英国フランスパル・モール・プロセスにおける商用サイバー侵入製品業界（CCICs）の慣行に関する意見募集 (2025.11.20): まるちゃんの情報セキュリティ気まぐれ日記

January 2026
Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

2025.11.29

英国フランスパル・モール・プロセスにおける商用サイバー侵入製品業界（CCICs）の慣行に関する意見募集 (2025.11.20)

こんにちは、丸山満彦です。

いわゆるスパイウェアを製造販売している事業者を野放しにしてはいけないよね。。。無秩序に使われると、国家の安全保障や個人のプライバシーにも影響するから。。。ということですよね。。。

2024年2月に英国のランカスター・ハウスで開始されたPall Mall Process（パル・モール・プロセス）では、商用サイバー侵入能力（commercial cyber intrusion capabilities: CCICs）の拡散と無責任な使用がもたらすサイバー脅威に対処する解決策を策定するための議論がされ、パル・モール・プロセス宣言（Pall Mall Process Declaration）が公表されています。。。

そして、2025年4月には国家向け実践行動規範（Code of Practice for States）を公表していますね...

で、今回の発表として商用サイバー侵入業界の慣行に関する意見募集が行われています...

行動規範では、

国家安全保障
人権
国際的安定

を脅かすリスクを認識し、責任ある利用を促すために、

説明責任
的確性
監督
透明性

の4原則を提示していますね...

説明責任（Accountability）：国際法や国内法に基づき、合法かつ責任ある方法で活動を行うこと。輸出管理や適切な規制枠組みの整備を含む。
的確性（Precision）：使用は合法的で必要かつ均衡のとれた範囲に限定し、無差別な使用や人権侵害を避けること。
監督（Oversight）：使用が適正に行われているかを確認するための評価やデューデリジェンスの仕組みを設けること。
透明性（Transparency）：業界や市民社会との信頼構築に向けた透明性の確保。

ちなみにこのパル・モール・プロセスに参加している国は2025.02.28現在で26カ国と2つの国家連合ですね...日本もはいっています...

● Gov.UK

・2025.11.20 UK and France seek views on commercial cyber intrusion industry practices

UK and France seek views on commercial cyber intrusion industry practices	英国とフランスは、商業サイバー侵入業界の慣行について意見を求める
The UK and France are launching this private consultation under the Pall Mall Process, an international and multistakeholder initiative to stop the threat posed by the proliferation and irresponsible use of commercial cyber intrusion capabilities.	英国とフランスは、商業用サイバー侵入能力の拡散と無責任な使用がもたらすサイバー脅威を阻止するための国際的かつ多者間イニシアチブであるパル・モール・プロセスに基づき、この非公開協議を開始する。
The Pall Mall Process is consulting on good practice for organisations operating in and around the market for commercial cyber intrusion capabilities.	パル・モール・プロセスは、商業的なサイバー侵入能力の市場で活動する組織向けの優良事例について協議している。
The UK and France are launching this private consultation under the Pall Mall Process, an international and multistakeholder initiative to develop solutions through which to address the threat presented by the proliferation and irresponsible use of commercial cyber intrusion capabilities.	英国とフランスは、商業用サイバー侵入能力の拡散と無責任な使用がもたらすサイバー脅威に対処する解決策を策定するための国際的かつ多者間イニシアチブである「パル・モール・プロセス」の下で、この非公開協議を開始する。
The Process was launched at Lancaster House in February 2024, when a coalition of states, businesses and civil society came together to discuss the issue. They published the Pall Mall Process Declaration, also available in French: Processus de Pall Mall	同プロセスは2024年2月、ランカスター・ハウスにおいて国家・企業・市民社会の連合が問題検討のために集結した際に発足した。彼らは「パル・モール・プロセス宣言」を公表しており、フランス語版も存在する：Processus de Pall Mall
In April 2025, following an extensive multistakeholder consultation and negotiation, the Pall Mall Process agreed a Code of Practice for States, which sets forth political commitments and practical recommendations to address irresponsible use of commercial cyber intrusion capabilities and promote responsible behaviour across the cyber intrusion market. The Code of Practice for States has been supported by over 27 countries.	2025年4月、広範なマルチステークホルダー協議と交渉を経て、パル・モール・プロセスは「国家向け行動規範」を合意した。これは商業用サイバー侵入能力の無責任な使用に対処し、サイバー侵入市場全体での責任ある行動を促進するための政治的コミットメントと実践的提言を定めたものである。国家向け行動規範は27カ国以上が支持している。
The UK and France are committed to working with the global multistakeholder community to implement policy options and new practices, track progress, and develop a shared picture for responsible practice. This includes the development of complementary guidelines for the commercial cyber intrusion industry to ensure the responsible development, sale and operation of these powerful capabilities.	英国とフランスは、政策選択肢と新たな実践の実施、進捗の追跡、責任ある実践の共通認識構築に向け、世界のマルチステークホルダーコミュニティと協力することを約束する。これには、商業的サイバー侵入産業向けの補完的ガイドライン策定も含まれ、これらの強力な能力の責任ある開発・販売・運用を確保する。
Through this consultation we invite stakeholders to share views on good practice for organisations operating in and around the market for commercial cyber intrusion capabilities. We welcome responses from those in the industry themselves, as well as other stakeholders with relevant views and expertise.	本協議を通じ、商業用サイバー侵入能力市場及びその周辺で活動する組織の優良事例について、関係者の意見を募集する。業界関係者自体のほか、関連する見解や専門知識を持つその他の関係者からの回答を歓迎する。
The consultation will close on Monday 22 December 2025.	協議の締切は2025年12月22日（月）である。
If you would like to take part in the consultation, you can register to participate by providing your contact details. You will then be provided with the consultation questionnaire.	協議への参加を希望する場合は、連絡先情報を提供して参加登録を行える。登録後、協議用質問票が提供される。

パル・モール・プロセス宣言

・2025.02.28 The Pall Mall Process declaration: tackling proliferation and irresponsible use of commercial cyber intrusion capabilities

宣言文...

2024年2月6日に公表されたもの...

・2025.02.28 The Pall Mall Process: tackling the proliferation and irresponsible use of commercial cyber intrusion capabilities

The Pall Mall Process: tackling the proliferation and irresponsible use of commercial cyber intrusion capabilities	パル・モール・プロセス：商業用サイバー侵入能力の拡散と無責任な使用への対応
Lancaster House, London, 6 February 2024	ランカスター・ハウス（ロンドン）、2024年2月6日
Declaration	宣言
We, as participant representatives of States, international organisations, private industry, academia, and civil society met to participate in an international conference hosted by the United Kingdom and France. The conference discussed the challenges posed by the proliferation and irresponsible use of commercial cyber intrusion capabilities and initiated the Pall Mall Process.	我々、国家・国際機関・民間企業・学術界・市民社会の参加代表者は、英国とフランスが主催する国際会議に参加するため集結した。本会議は商業用サイバー侵入能力の拡散と無責任な使用がもたらす課題について議論し、パル・モール・プロセスを開始した。
1. In acknowledgment of the need for greater international action and multi‑stakeholder consultation on this issue, while recognising the need for legitimate and responsible development and use of cyber intrusion capabilities, we resolve to initiate an inclusive global process – the Pall Mall Process. The Pall Mall Process will establish guiding principles and highlight policy options for States, industry and civil society in relation to the development, facilitation, purchase, and use of commercially available cyber intrusion capabilities. This Process builds on the whole of society approach to cyberspace and acknowledges the importance of public-private partnership and multi-stakeholder collaboration in the pursuit of a more secure cyberspace.	1. 我々は、この問題に対する国際的な行動と多者間協議の必要性を認識しつつ、サイバー侵入能力の正当かつ責任ある開発・利用の必要性も認めつつ、包括的なグローバルプロセスである「パル・モール・プロセス」を開始することを決意する。パル・モール・プロセスは、商業的に入手可能なサイバー侵入能力の開発、促進、購入、使用に関して、国家、産業、市民社会向けの指針原則を確立し、政策選択肢を提示する。このプロセスは、サイバー空間に対する社会全体のアプローチを基盤とし、より安全なサイバー空間の実現に向けた官民連携と多者間協力の重要性を認めるものである。
2. The growing commercial market enabling the development, facilitation, purchase, and use of commercially available cyber intrusion capabilities raises questions and concerns over its impact on national security, human rights and fundamental freedoms, international peace and security, and a free, open, peaceful, stable, and secure cyberspace.	2. 商業的に入手可能なサイバー侵入能力の開発、促進、購入、使用を可能にする拡大する商業市場は、国家安全保障、人権及び基本的自由、国際的な平和と安全、自由で開かれた平和的・安定的・安全なサイバー空間への影響に関して疑問と懸念を引き起こしている。
3. With its transformational impact on the cyber landscape, this growing market vastly expands the potential pool of state and non-state actors with access to commercially available cyber intrusion capabilities and increases the opportunity for malicious and irresponsible use, making it more difficult to mitigate and defend against the threats they pose. These threats, including to cyber stability, human rights, national security, and digital security at large, are expected to increase over the coming years.	3. この拡大する市場はサイバー環境に変革的な影響を与え、商用サイバー侵入能力にアクセス可能な国家・非国家主体の潜在的なプールを大幅に拡大し、悪意ある無責任な使用の機会を増大させる。これにより、これらの主体がもたらす脅威への緩和・防御がより困難となる。サイバー安定性、人権、国家安全保障、デジタルセキュリティ全般に対するこれらの脅威は、今後数年間で増加すると予想される。
4. Without international and meaningful multi-stakeholder action, the growth, diversification, and insufficient oversight of this market raises the likelihood of increased targeting for profit, or to compromise a wider range of targets, including journalists, activists, human rights defenders, and government officials. It also risks facilitating the spread of potentially destructive or disruptive cyber capabilities to a wider range of actors, including cyber criminals. Uncontrolled dissemination may increase the breadth of access to sophisticated capabilities and, as a consequence, the complexity of incidents for cyber defence to detect and mitigate. This trend risks contributing to unintentional escalation in cyberspace.	4. 国際的かつ実質的なマルチステークホルダーによる行動がなければ、この市場の成長・多様化と不十分な監視体制は、利益目的での標的増加、あるいはジャーナリスト・活動家・人権擁護者・政府関係者など幅広い対象への侵害リスクを高める。また、サイバー犯罪者を含む多様な主体へ、破壊的・混乱的サイバー能力が拡散する危険性を孕む。制御されない拡散は、高度な能力へのアクセス範囲を拡大し、結果としてサイバー防衛が検知・緩和すべきインシデントの複雑性を増大させる。この傾向は、サイバー空間における意図しないエスカレーションを助長するリスクがある。
5. The market encompasses a wide variety of products and services that are continually evolving and diversifying. The market includes an interconnected ecosystem of researchers, developers, brokers, resellers, investors, corporate entities, operators, and customers. To aid discussions on the threats posed and potential risks, we offer some working definitions at Annex A.	5. この市場は、絶えず進化・多様化する多種多様な製品・サービスを含む。研究者、開発者、ブローカー、再販業者、投資家、事業体、オペレーター、顧客が相互に接続された生態系を形成している。脅威と潜在リスクに関する議論を支援するため、附属書Aに暫定的な定義を提示する。
6. We recognise that, across the breadth of this market, many of these tools and services can be used for legitimate purposes, but they should not be developed or used in ways that threaten the stability of cyberspace or human rights and fundamental freedoms, or in a manner inconsistent with applicable international law, including international humanitarian law and international human rights law. Nor should they be used without appropriate safeguards and oversight in place. We resolve to explore the parameters of both legitimate and responsible use, by State, civil society, legitimate cyber security, and industry actors alike, throughout the Pall Mall Process.	6. 我々は、この市場の広範な領域において、これらのツールやサービスの多くが正当な目的に使用され得ることを認識する。しかし、それらはサイバー空間の安定性や人権・基本的自由を脅かす方法、あるいは国際人道法や国際人権法を含む適用可能な国際法に反する方法で開発・使用されるべきではない。また、適切な保護措置と監督が整備されていない状態で使用されるべきではない。我々は、パル・モール・プロセスを通じて、国家、市民社会、正当なサイバーセキュリティ、産業関係者による、正当かつ責任ある利用の枠組みを探求することを決意する。
7. We recall that existing international law applies to the conduct of States in cyberspace and that all UN Member States have committed to act in accordance with the framework for responsible state behaviour in cyberspace. We reaffirm that States should seek to prevent the proliferation of malicious ICT tools and techniques and the use of harmful hidden functions, should respect human rights, and should encourage responsible reporting of ICT vulnerabilities, consistent with norms 13(e), (i) and, (j) from the 2015 and 2021 UN GGE Reports on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security, subsequently endorsed by consensus by the UN General Assembly.	7. 我々は、既存の国際法がサイバー空間における国家の行動に適用されること、及び全ての国連加盟国がサイバー空間における責任ある国家行動の枠組みに従って行動することを約束していることを想起する。我々は、国家が規範13(e)、(j)（2015年及び2021年の国連GGE報告書「国際安全保障の文脈におけるサイバー空間における責任ある国家行動の推進」より）に合致し、悪意のあるICTツール及び技術の拡散、有害な隠された機能の使用を防止し、人権を尊重し、ICT脆弱性の責任ある報告を促進すべきであることを再確認する。(i)、(j)の規範に沿って、国際セキュリティの枠組みの中でサイバー空間における責任ある国家行動を促進すべきであることを改めて確認する。
8. In addition, we encourage the private sector to respect and support human rights, including as set out in the United Nations Guiding Principles on Business and Human Rights. All actors, including both States and the private sector, should seek to ensure that the development, facilitation, purchase, export, and use of commercially available cyber intrusion capabilities does not undermine stability or threaten human rights and fundamental freedoms, including in cyberspace. We encourage the multi-stakeholder community to continue improving its awareness and efforts to prevent commercially available cyber intrusion capabilities from being used irresponsibly.	8. さらに、民間セクターに対し、国連ビジネスと人権に関する指導原則に定められた内容を含め、人権を尊重し支援するよう促す。国家及び民間セクターを含む全ての主体は、市販のサイバー侵入能力の開発、促進、購入、輸出及び使用が、サイバー空間を含む安定性を損なったり、人権及び基本的自由を脅かしたりしないよう確保すべきである。我々は、マルチステークホルダーコミュニティが、市販のサイバー侵入能力が無責任に使用されることを防止するための認識と取り組みを継続的に改善することを奨励する。
9. Recognising the importance of cyber capacity building, and the necessity of cyber resilience in preparing, mitigating, responding, recovering, and learning from destructive or disruptive cyber attacks, we strongly encourage States, industry, civil society, academia, members of the technical community, and individuals to continue to build greater global cyber capacity for defensive purposes to ensure secure, safe, inclusive, and trustworthy access to the opportunities offered by digital technologies. We acknowledge the benefit that good faith security research, vulnerability disclosure, bug bounties for cyber defensive purposes and penetration testing can have on cyber security defences. We recognise the vital role that industry plays in strengthening cyber security and supporting victims in responding to malicious cyber activity.	9. サイバー能力構築の重要性、ならびに破壊的・混乱的サイバー攻撃への備え、緩和、対応、復旧、教訓化におけるサイバーレジリエンスの必要性を認識し、我々は国家、産業界、市民社会、学術界、技術コミュニティの構成員、個人に対し、デジタル技術が提供する機会への安全で、包括的かつ信頼できるアクセスを確保するため、防御目的のグローバルなサイバー能力構築を継続するよう強く促す。我々は、善意のセキュリティ研究、脆弱性開示、サイバー防御目的のバグ報奨金制度、ペネトレーションテストがサイバーセキュリティ防御にもたらす有益性を認める。また、サイバーセキュリティ強化と悪意あるサイバー活動への対応における被害者支援において、産業界が果たす重要な役割を認識する。
10. We welcome existing efforts by States to take steps to tackle the issue, including efforts made via existing international export control frameworks and the ongoing development of domestic action by national jurisdictions. We recognise civil society and industry efforts which have increased global awareness on this issue including critical investigations, reporting, and support to victims.	10. 我々は、既存の国際輸出管理枠組みを通じた取り組みや、各国管轄区域における国内措置の継続的発展を含む、この問題に対処するための国家による既存の努力を歓迎する。我々は、批判的な調査、報告、被害者支援など、この問題に関する世界的な認識を高めてきた市民社会と産業界の努力を認める。
11. In the context of future multi-stakeholder cooperation, and to inform the Pall Mall Process, we consider the following pillars helpful to frame our future engagement involving States, industry, civil society, and academia representatives:	11. 今後のマルチステークホルダー協力の文脈において、またパルモール・プロセスに情報を提供するため、我々は以下の柱が、国家、産業、市民社会、学界の代表者を巻き込んだ将来の取り組みを枠組み化する上で有用であると考える：
1 1.1. Accountability: Activity should be conducted in a legal and responsible manner, in line with the framework for responsible state behaviour in cyberspace and existing international law, and domestic frameworks. Actions should be taken, as appropriate, to hold States accountable whose activity is inconsistent with international human rights law and to hold non-state actors to account in domestic systems, as appropriate.	1 1.1. 説明責任：活動は、サイバー空間における責任ある国家行動の枠組み、既存の国際法、及び国内枠組みに沿い、法的かつ責任ある方法で実施されるべきである。国際人権法に反する活動を行う国家に対しては、適切な措置を講じて責任を追及すべきである。非国家主体に対しても、国内制度において適切な責任追及を行うべきである。
11.2. Precision: The development and use of capabilities should be conducted with precision, in such a way as to ensure they avoid or mitigate unintended, illegal, or irresponsible consequences.	11.2. 精密性：能力の開発と使用は、意図しない、違法な、または無責任な結果を回避または緩和するよう、精密に行われるべきである。
11.3. Oversight: Assessment and due diligence mechanisms (by both users and vendors – including States and industry actors) should be in place to ensure activity is carried out legally, responsibly, and may incorporate principles such as lawfulness, necessity, proportionality, and reasonableness, informed by existing international law and norms.	11.3. 監督：活動が合法的かつ責任を持って実施されることを確保するため、アセスメント及びデューデリジェンスの仕組み（ユーザーとベンダー双方によるもの－国家及び産業主体を含む）を設けるべきである。これには、既存の国際法及び規範に基づく、合法性、必要性、比例性、合理性などの原則を組み込むことができる。
11.4. Transparency: Business interactions should be conducted in such a way as to ensure that industry and users understand their supply chains; building trust and confidence in the responsible business practices of vendors they interact with.	11.4. 透明性：事業活動は、産業界と利用者が自らのサプライチェーンを理解し、取引先の責任ある事業慣行に対する信頼と確信を構築できるよう実施されるべきである。
12. Following our participation at today’s discussions, we resolve to engage in an ongoing and globally inclusive dialogue, complementary to other multilateral initiatives, and look forward to advancing this process in the coming months. A follow-up conference will be organized in France in 2025 to take stock of the progress made under this agenda and bring forward further discussions.	12. 本日の議論への参加を受け、我々は他の多国間イニシアチブを補完する形で、継続的かつ世界的に包括的な対話に取り組むことを決意し、今後数ヶ月でこのプロセスを推進することを期待する。本議題の下で達成された進捗を総括し、さらなる議論を進めるため、2025年にフランスでフォローアップ会議を開催する。

Annex A: Working definitions to aid discussions on commercially available cyber intrusion capabilities	附属書A：市販サイバー侵入能力に関する議論を支援するための暫定定義
To ground discussions in common language, we offer the below working definitions which cover key aspects of the commercial cyber intrusion market. We note that these definitions are not exhaustive nor definitive and will be shaped throughout the Pall Mall Process. The working definitions employed here are merely for illustrative purposes and are not intended to be comprehensive nor binding.	議論を共通言語で進めるため、市販サイバー侵入市場の主要側面を網羅する以下の暫定定義を示す。これらの定義は網羅的でも決定的でもなく、パル・モール・プロセスを通じて形成されることに留意せよ。ここで用いる暫定定義はあくまで説明目的であり、包括的でも拘束力を持つものでもない。
Commercially available cyber intrusion capabilities describe tools and services made available by cyber intrusion companies and similar high-end capabilities developed by other companies. Capability providers may also operate based on as-a-service models of operation. As-a-service describes a model whereby an entity develops, provides, and supports a capability for a customer. These include, but are not limited to:	商用サイバー侵入能力とは、サイバー侵入企業によって提供されるツールやサービス、および他企業によって開発された同等の高度な能力を指す。能力プロバイダはサービスとしての運用モデルに基づく場合もある。サービスとしての運用モデルとは、事業体が顧客向けに能力を開発・提供・サポートする形態を指す。これには以下が含まれるが、これらに限定されない：
1.1. Access-as-a-service whereby one entity provides the access vector by which end-users are able to gain unauthorised access to computer systems, and;	1.1. アクセス・アズ・ア・サービス：ある事業体がアクセスベクトルを提供し、エンドユーザーがコンピュータシステムへの不正アクセスを可能にするもの。
1.2 Malware[footnote 1]-as-a-service by which providers develop, maintain, and provide malware to be used against targets on behalf of a customer.	1.2 マルウェア[脚注1]・アズ・ア・サービス：プロバイダが顧客に代わって標的に対して使用されるマルウェアを開発、維持、提供するものである。
2. Cyber intrusion companies refers to commercial business entities that offer ‘off-the-shelf’ products or services for computer system penetration or interference in exchange for commercial benefit. Such entities might include developers or sellers of vulnerabilities and exploits, companies developing and selling cyber intrusion products or companies offering hacker-for-hire services. These include, but are not limited to:	2. サイバー侵入企業とは、商業的利益と引き換えに、コンピュータシステムへの侵入や妨害を目的とした「既製品」の製品やサービスを提供する商業事業体を指す。こうした事業体には、脆弱性やエクスプロイトの開発者・販売者、サイバー侵入製品を開発・販売する企業、あるいはハッカーを雇うサービスを提供する企業などが含まれる。具体的には以下のようなものが挙げられるが、これらに限定されない：
2.1. Hacking-as-a-service companies, which are companies providing the capability and often the supporting infrastructure for computer system penetration as a service. The customers usually identify requirements, such as target selection and consume the resulting information. This does not include consensual access, such as security testing; and	2.1. サービスとしてのハッキング企業：コンピュータシステム侵入の能力、および多くの場合その支援インフラをサービスとして提供するプロバイダである。顧客は通常、標的選定などの要件を識別し、得られた情報を消費する。セキュリティテストなどの合意に基づくアクセスは含まれない。
2.2. Hackers-for-hire, which are unaffiliated individuals or groups of actors that are hired by States, entities or even individuals to conduct computer system penetration to meet customer requirements. They use their own tools and techniques and are aware of, and in some cases may select, who they are targeting.	2.2. ハッカー・フォー・ハイア：国家、事業体、個人から依頼を受け、顧客の要求を満たすためにコンピュータシステムへの侵入を行う、独立した個人または集団。彼らは独自のツールと技術を使用し、標的を認識しており、場合によっては自ら選択することもある。
3. The vulnerability and exploit marketplace describes the commercial trade in zero-day vulnerabilities and exploits[footnote 2] that enable cyber intrusion. It does not refer to the commercial payment for vulnerability research to enable cyber defence, such as security testing, or bug bounty programs for cyber defensive purposes.	3. 脆弱性・エクスプロイト市場とは、サイバー侵入を可能にするゼロデイ脆弱性やエクスプロイト[脚注2]の商業取引を指す。セキュリティテストや防御目的のバグ報奨金プログラムなど、サイバー防衛を可能にする脆弱性研究への商業的支払いは含まれない。
4. Commercial intrusive surveillance software, sometimes referred to as ‘spyware’, describes commercially-available software and tools that provides the user the capability to gain remote access to a computer system, without the consent of the user, administrator, or owner of the computer system, in order to access, collect, exploit, extract, intercept, retrieve, alter or delete or transmit content, including information stored on or transmitted through a device connected to the Internet. This may include the capability to record video, audio or calls, or to track the location of the computer.	4. 商用侵入監視ソフトウェア（通称「スパイウェア」）とは、インターネットに接続されたデバイスに保存または伝送される情報を含むコンテンツへのアクセス、収集、悪用、抽出、傍受、取得、改変、削除、送信を目的として、コンピュータシステムのユーザー、管理者、所有者の同意なしに遠隔アクセスを可能にする市販ソフトウェア及びツールを指す。これには、動画・音声・通話の記録や、コンピュータの位置追跡機能が含まれる場合がある。
5. Destructive or disruptive cyber capability refers to capability developed to enable a damaging effect through cyber means on a computer system. This might include tools designed to enable intrusion and interference in operational technology, such as ransomware or wipers.	5. 破壊的または妨害的サイバー能力とは、サイバー手段を通じてコンピュータシステムに損害を与えるために開発された能力を指す。これには、ランサムウェアやワイパーなど、運用技術への侵入や妨害を可能にするツールが含まれる場合がある。
1. Malware is derived from ‘malicious software’, and includes viruses, trojans, worms or any code or content used for illicit purposes against computer systems, networks or devices. ↩	1. マルウェアは「悪意のあるソフトウェア」に由来し、ウイルス、トロイの木馬、ワーム、あるいはコンピュータシステム、ネットワーク、デバイスに対して不正な目的で使用されるあらゆるコードやコンテンツを含む。↩
2. A vulnerability is a weakness, or flaw, in a system or process. An attacker may seek to exploit a vulnerability to gain access to a system. The code developed to do this is known as an exploit. A zero-day exploit exploits a vulnerability where there are no security fixes yet available. A zero-day vulnerability becomes an n-day vulnerability once a security fix (patch) has been issued by the vendor. Exploitation of an n-day vulnerability relies on finding systems that have not been updated. ↩	2. 脆弱性とは、システムやプロセスにおける弱点や欠陥を指す。攻撃者はシステムへのアクセスを得るため、脆弱性の悪用を試みる。この目的で開発されたコードはエクスプロイトと呼ばれる。ゼロデイエクスプロイトは、セキュリティ修正プログラムがまだ提供されていない脆弱性を悪用する。ベンダーがセキュリティ修正（パッチ）を発行すると、ゼロデイ脆弱性はnデイエクスプロイトとなる。nデイエクスプロイトの悪用は、更新されていないシステムを見つけることに依存する。↩

フランス政府

● France Diplomatie

・2024.02.06 Processus de Pall Mall : Lutter contre la prolifération et l’usage irresponsable des capacités d’intrusion cyber disponibles sur le marché (Lancaster House, Londres, 6 février 2024)

それを踏まえた上で、国家のためのパル・モール・プロセス行動規範

・2025.04.04 The Pall Mall Process Code of Practice for States

・2025.10.23 The Pall Mall Process Code of Practice for States

The Pall Mall Process Code of Practice for States	国家向けパル・モール・プロセス行動規範
Section 1: Preface	第1節：序文
1. We as States and international organisations support this voluntary and non-binding ‘Code of Practice’ for States, through which to tackle the challenges posed by the proliferation and irresponsible use of commercial cyber intrusion capabilities (CCICs).	1. 我々国家及び国際機関は、商業的サイバー侵入能力（CCIC）の拡散及び無責任な使用がもたらす課題に対処するため、国家向けのこの自発的かつ拘束力のない「行動規範」を支持する。
2. The Pall Mall Process is an iterative multi-stakeholder initiative launched in 2024 to respond to these challenges It intends to bring together States, international organisations, private industry, academia and civil society to establish guiding principles and highlight policy options in relation to the development, facilitation, purchase, transfer and use of CCICs. As supporters of this Code of Practice, we recognise:	2. パル・モール・プロセスは、これらの課題に対応するため2024年に開始された反復的なマルチステークホルダー・イニシアチブである。国家、国際機関、民間企業、学術界、市民社会を結集し、CCICの開発、促進、購入、移転、使用に関する指針原則を確立し、政策選択肢を提示することを目的とする。本行動規範の支持者として、我々は以下の点を認識する：
2.a. Many of these tools and services can be developed or used for legitimate purposes. However, the proliferation of CCICs raises questions and concerns over the impact of their potential irresponsible use on national security, respect for human rights and fundamental freedoms, international peace and security, and an open, secure, stable, accessible, peaceful and interoperable cyberspace.	2.a. これらのツールやサービスの多くは、正当な目的のために開発・使用される可能性がある。しかし、CCICの拡散は、その潜在的な無責任な使用が国家安全保障、人権及び基本的自由の尊重、国際的な平和と安全、そして開放的で安全、安定、アクセス可能、平和的かつ相互運用可能なサイバー空間に与える影響について、疑問と懸念を提起している。
2.a.i. For the purposes of the Pall Mall Process, irresponsible use by State or non-State actors should be understood as use in ways that threaten security, respect for human rights and fundamental freedoms or the stability of cyberspace, without appropriate safeguards and oversight in place or in a manner inconsistent with applicable international law or the consensus United Nations framework on responsible State behaviour in cyberspace, with due regard to domestic law where relevant. Moreover, CCICs should not be used to target individuals or members of a group based on any discriminatory grounds, to violate or abuse human rights and fundamental freedoms, including the right to freedom of expression, and that no one should be subjected to arbitrary or unlawful interference with privacy.	2.a.i. パル・モール・プロセスの目的上、国家または非国家主体による無責任な使用とは、適切な保護措置や監督が整備されていない状態で、あるいは適用される国際法やサイバー空間における国家の責任ある行動に関する国連の合意枠組みに反する形で、安全保障、人権及び基本的自由の尊重、またはサイバー空間の安定を脅かす使用方法を指す。関連する場合、国内法も適切に考慮される。さらに、サイバー攻撃能力は、いかなる差別的根拠に基づく個人または集団の標的化、表現の自由を含む人権及び基本的自由の侵害・乱用、あるいはいかなる者もプライバシーに対する恣意的または違法な干渉を受けるべきでないことに利用されてはならない。
2.a.ii For the purposes of the Pall Mall Process, proliferation should be understood as the uncontrolled dissemination of CCICs to state and non-state actors in a manner that significantly increases the breadth of access to these tools and services and potential for their irresponsible use.	2.a.ii パルモール・プロセスの目的上、拡散とは、国家および非国家主体へのCCICの制御不能な普及を指す。これにより、これらのツールやサービスへのアクセス範囲が大幅に拡大し、無責任な使用の可能性が高まる。
2.b. The market for CCICs encompasses a wide variety of cyber intrusion companies offering products and services that are continually evolving and diversifying. The market includes an interconnected ecosystem of researchers, developers, brokers, resellers, investors, corporate entities, operators, and customers, including States. The emergence of new technologies such as artificial intelligence, although they can enhance cyber defensive capabilities including the detection, response and remediation of malicious cyber incidents, are likely to increase the availability of cyber intrusion tools and services and the threat stemming from their irresponsible use, whilst making them more difficult to monitor and regulate.	2.b. CCIC市場は、絶えず進化・多様化する製品・サービスを提供する多様なサイバー侵入企業で構成される。この市場には、研究者、開発者、仲介業者、再販業者、投資家、企業体、運用者、顧客（国家を含む）が相互に連関した生態系が存在する。人工知能などの新技術は、悪意あるサイバーインシデントの検知・対応・修復を含む防御能力を強化し得る一方で、サイバー侵入ツール・サービスの入手可能性を高め、その無責任な使用に起因する脅威を増大させると同時に、監視・規制を困難にする可能性が高い。
2.c. This growing market vastly expands the potential pool of state and non-state actors with access to CCICs and increases the opportunity for irresponsible use, making it more difficult to mitigate and defend against the threats they pose. These threats, including to security, respect for human rights and fundamental freedoms and the stability of cyberspace, are expected to increase over the coming years.	2.c. この拡大する市場は、CCICにアクセス可能な国家・非国家主体の潜在的なプールを大幅に拡大し、無責任な使用の機会を増大させる。これにより、彼らがもたらす脅威への緩和や防御策の実施がより困難になる。セキュリティ、人権及び基本的自由の尊重、サイバー空間の安定性に対するこれらの脅威は、今後数年間で増加すると予想される。
2.d. Without international and meaningful multi-stakeholder action, the growth, diversification, and insufficient oversight across this market raises the likelihood of increased irresponsible targeting of a range of public and private targets, including journalists, human rights defenders and government officials, as well as critical national infrastructure. It also risks facilitating the spread of potentially destructive or disruptive cyber capabilities to a wider range of actors, including cyber criminals. Increasing access to sophisticated capabilities may expand the complexity of incidents and opportunities for irresponsible use, and could contribute to unanticipated risks arising from the interaction of multiple actors in cyberspace, including potential unintentional escalation in cyberspace.	2.d. 国際的かつ実質的なマルチステークホルダーによる行動がなければ、この市場の成長・多様化と不十分な監視体制は、ジャーナリスト、人権擁護者、政府関係者、重要国家インフラなど、公的・私的対象への無責任な標的攻撃増加の可能性を高める。また、サイバー犯罪者を含むより広範な主体への、破壊的・混乱的サイバー能力の拡散を助長するリスクもある。高度な能力へのアクセス拡大は、インシデントの複雑化や無責任な利用の機会を増大させ、サイバー空間における複数の主体間の相互作用から生じる予期せぬリスク、特にサイバー空間における意図せぬエスカレーションの可能性に寄与する恐れがある。
3. We recall that all United Nations Member States have affirmed by consensus that international law, including customary international law and the principles of sovereignty and non-intervention, apply to the conduct of States in cyberspace, including in the context of States’ regulation and use of CCICs. The pertinent international legal frameworks where applicable in relation to States’ regulation of the development, transfer and use of CCICs include, but are not limited to:	3. 我々は、全ての国連加盟国が、慣習国際法や主権・不干渉の原則を含む国際法が、国家によるサイバー空間での行動（国家によるCCICの規制・利用を含む）に適用されることを合意で確認したことを想起する。国家によるCCICの開発・移転・利用の規制に関連する適用可能な国際法的枠組みには、以下が含まれるが、これらに限定されない：
3.a. The United Nations Charter.	3.a. 国連憲章。
3.b. International human rights law, including but not limited to the right to freedom of thought, conscience and religion, the right to freedom of opinion, the right to freedom of expression, the right of peaceful assembly with others, the right to freedom of association, and that no one should be subjected to arbitrary or unlawful interference with his privacy, as set out in the International Covenant on Civil and Political Rights and other applicable international and regional treaties.	3.b. 国際人権法。これには、思想・良心・信教の自由、意見の自由、表現の自由、他者との平和的集会の権利、結社の自由、並びに『市民的及び政治的権利に関する国際規約』及びその他の適用可能な国際・地域条約に規定される、いかなる者もそのプライバシーに対する恣意的又は違法な干渉を受けるべきでない権利が含まれるが、これらに限定されない。
3.c. International treaties, alongside other applicable regional conventions.	3.c. その他の適用可能な地域条約と併せて、国際条約。
3.d. International humanitarian law, with respect to cyber activities carried out with CCICs in the context of an armed conflict.	3.d. 武力紛争の文脈においてCCICを用いて行われるサイバー活動に関しては、国際人道法。
4. We further recall that all United Nations Member States have committed to act in accordance with the consensus United Nations framework on responsible State behaviour in cyberspace, which relies on applicable international law and additional voluntary and non-binding norms of responsible behaviour. We reaffirm that States should seek to prevent the proliferation of malicious Information Communications Technology (ICT) tools and techniques and the use of harmful hidden functions, should respect and protect human rights, and should encourage coordinated reporting of ICT vulnerabilities, and should not knowingly allow their territory to be used for inter-nationally wrongful acts using ICTs, consistent with the voluntary and non-binding norms 13 (c), (d), (e), (i) and, (j) from the 2015 and 2021 United Nations Group of Governmental Experts (GGE) Reports on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security, subsequently endorsed by consensus by the United Nations General Assembly (UNGA), and most recently the 2024 Open-Ended Working Group (OEWG) Annual Progress Report. We further recall other pertinent UNGA resolutions, including Resolution 217 adopting the Universal Declaration of Human Rights, Resolution 79/175 on the right to privacy in the digital age, Resolution 78/213 on the promotion and protection of human rights in the context of digital technologies, and other pertinent Human Rights Council resolutions, including Resolution 57/29 on the promotion, protection and enjoyment of human rights on the Internet and new and emerging digital technologies and human rights 47/23.	4. さらに我々は、全ての国連加盟国が、適用可能な国際法及び追加的な自発的かつ拘束力のない責任ある行動規範に基づく、サイバー空間における責任ある国家行動に関する国連の合意枠組みに従って行動することを約束したことを想起する。我々は、国家が以下のことを行うべきであることを再確認する：悪意のある情報通信技術（ICT）ツール及び技術の拡散、並びに有害な隠された機能の使用を防止するよう努めること、人権を尊重し保護すること、ICT脆弱性の調整された報告を奨励すること、そして自国の領域がICTを用いた国際的に不法な行為に利用されることを故意に許容しないこと。これは、2015年及び2021年の国連政府専門家グループ（GGE）報告書「国際安全保障の文脈における責任ある国家の行動の促進」における自発的かつ拘束力のない規範13(c)、(d)、(e)、 (i)、(j)の自発的かつ拘束力のない規範に合致する形で、自国の領土がサイバー空間を利用した国際的に不法な行為に利用されることを故意に許容してはならない。さらに我々は、その他の関連する国連総会決議を想起する。これには、世界人権宣言を採択した決議217、デジタル時代におけるプライバシーの権利に関する決議79/175、デジタル技術における人権の促進及び保護に関する決議78/213、並びにインターネット及び新たなデジタル技術における人権の促進、保護及び享受に関する決議57/29、人権47/23を含むその他の関連する人権理事会決議を想起する。
5. The actions foreseen under this document sit alongside our common objective to close all digital divides. We recognise the role confidence building measures can play to enable information sharing to address this issue, the importance of cooperation on cyber capacity building, and the necessity of cyber resilience in identifying, preparing, mitigating, responding, recovering, and learning from destructive or disruptive malicious cyber activities. We strongly encourage States, industry, civil society, academia, members of the technical community, and individuals to continue to build greater global cyber capacity for defensive purposes, in line with the cyber capacity building principles set forth in the 2021 OEWG Final Substantive Report.	5. 本文書で想定される行動は、あらゆるデジタル格差を解消するという我々の共通目標と並行するものである。我々は、この問題に対処するための情報共有を可能にする上で信頼醸成措置が果たし得る役割、サイバー能力構築における協力の重要性、破壊的または混乱を招く悪意あるサイバー活動を識別・準備・緩和・対応・回復・教訓化するためのサイバーレジリエンシー必要性を認識する。我々は、2021年OEWG最終実質報告書に定められたサイバー能力構築の原則に沿い、防衛目的のためのより大きなグローバルなサイバー能力構築を継続するよう、各国政府、産業界、市民社会、学術界、技術コミュニティの構成員、及び個人に対し強く促す。
6. We recognise the vital role that industry plays in strengthening cyber security and supporting victims and Governments in responding to and recovering from malicious cyber incidents. We acknowledge the benefit that security by design policies, good faith cyber security research, coordinated vulnerability disclosure, and penetration testing can have on cyber security and national resilience. We further recall that the United Nations Guiding Principles on Business and Human Rights sets out that States have a duty to protect human rights, that business enterprises have a responsibility to respect human rights, and that States must take appropriate steps to ensure that when business-related human rights abuses occur within their territory and/or jurisdiction, those affected have access to effective remedy, including during the development, facilitation, purchase, transfer and use of CCICs.	6. 我々は、サイバーセキュリティの強化、ならびに悪意あるサイバーインシデントへの対応及び復旧における被害者及び政府への支援において、産業界が果たす極めて重要な役割を認識する。設計段階からのセキュリティ対策、善意に基づくサイバーセキュリティ研究、脆弱性情報の調整された開示、ペネトレーションテストが、サイバーセキュリティ及び国家レジリエンスに及ぼし得る有益性を認める。さらに我々は、国連ビジネスと人権に関する指導原則が、国家には人権を保護する義務があり、企業には人権を尊重する責任があり、国家は自国の領域及び／又は管轄区域内でビジネス関連の人権侵害が発生した場合、影響を受けた者が効果的な救済手段にアクセスできるよう適切な措置を講じなければならないと定めていることを想起する。これはCCICの開発、促進、購入、移転及び使用の過程においても同様である。
Section 2: Voluntary Good Practice for States	第2節：国家のための自主的良き慣行
7. In line with our common objective to uphold our international legal obligations and promote responsible state behaviour, we intend to take domestic and international action to tackle this issue. This voluntary and non-binding ‘Code of Practice’ establishes practices for States in relation to the development, facilitation, purchase, transfer and use of CCICs, subject to national legal frameworks and the inherent limitations of national jurisdictions and where applicable to particular capabilities, through the four pillars underpinning the Pall Mall Process, the guiding principles of: accountability, precision, oversight and transparency.	7. 我々は、国際法上の義務を遵守し、責任ある国家行動を促進するという共通の目標に沿って、この問題に対処するため、国内及び国際的な行動を取ることを意図する。この自主的かつ拘束力のない「行動規範」は、各国の法的枠組み及び国家管轄権の固有の限界に従い、また特定の能力に適用される場合には、パルモール・プロセスの基盤となる四つの柱、すなわち説明責任、精度、監督及び透明性という指針原則を通じて、CCICの開発、促進、購入、移転及び使用に関する国家の慣行を定めるものである。
Pillar 1: Accountability	柱1：説明責任
8. Activity should be conducted in a lawful and responsible manner, in line with existing applicable international law, the consensus United Nations framework on responsible State behaviour in cyberspace, and domestic legal frameworks. Actions should be taken, as appropriate, to promote international adherence to this Code of Practice and address irresponsible activity inconsistent with applicable international law (including international human rights law) and domestic legal systems, as appropriate. To this end, we will commit to:	8. 活動は、既存の適用可能な国際法、サイバー空間における責任ある国家行動に関する国連合意枠組み、及び国内法体系に沿い、合法的かつ責任ある方法で実施されるべきである。本行動規範への国際的な遵守を促進し、適用される国際法（国際人権法を含む）及び国内法体系に合致しない無責任な活動に対処するため、適切な措置を講じる。この目的のため、我々は以下を約束する：
8.a. Establishing or applying national frameworks to the extent possible in relation to the development, facilitation, purchase, transfer, and use of CCICs. Practices include:	8.a. CCICの開発、促進、購入、移転及び使用に関して、可能な範囲で国内枠組みを確立または適用する。実践例：
8.a.i. Ensuring, through an appropriate system of rules, regulations and oversight, that any development, facilitation, purchase, transfer, and use of CCICs is carried out responsibly, and solely for lawful, legitimate and necessary purposes. Any such framework should respect applicable international law, including international human rights law, and the consensus United Nations framework on responsible States behaviour in cyberspace.	8.a.i. 適切な規則・規制・監督システムを通じて、CCICの開発、促進、購入、移転、使用が責任を持って行われ、合法的、正当かつ必要な目的にのみ用いられることを確保する。かかる枠組みは、国際人権法を含む適用される国際法及びサイバー空間における責任ある国家行動に関する国連合意枠組みを尊重すべきである。
8.b. Applying controls, where applicable, on the export of CCICs to mitigate risks of potential irresponsible use. Practices include, where applicable and as appropriate:	8.b. 適用可能な場合、CCICの輸出に対する規制を適用し、潜在的な無責任な使用のリスクを緩和する。適用可能かつ適切な場合には、以下の実践を含む：
8.b.i. Ensuring export control licensing decisions concerning CCICs take into account the risk, among others, of their use in connection with internal repression, as appropriate, and/or the commission of serious violations or abuses of human rights.	8.b.i. CCICに関する輸出管理ライセンス決定において、内部弾圧との関連での使用リスク、及び／又は重大な人権侵害・虐待の遂行リスク等を、適切に考慮することを確保する。
8.b.ii. Ensuring licencing decisions limit the export of CCICs to a specific end-user and for a defined lawful and legitimate purpose, and where consideration of these elements does not raise concerns regarding lawful and responsible use or the risk of diversion, recognising that such controls should not be used to impose undue market restrictions to States, or to hinder legitimate cybersecurity activity.	8.b.ii. 輸出許可決定において、特定エンドユーザーへの輸出を限定し、明確な合法的かつ正当な目的に限定する。これらの要素を考慮しても、合法的かつ責任ある使用や転用リスクに関する懸念が生じない場合、当該規制が国家に対する不当な市場制限や正当なサイバーセキュリティ活動の妨げとなるべきではないことを認識する。
8.b.iii. Reviewing, and where necessary preparing, published guidance to ensure it clarifies where and how States existing domestic export control regulations place obligations on exporters, including the consequences of non-compliance with these obligations.	8.b.iii. 公表されたガイダンスを見直し、必要に応じて作成し、各国の既存の国内輸出管理規制が輸出業者にどのような義務を課すか、またその義務違反の結果を含め、明確に説明することを確保する。
8.b.iv. Exploring opportunities to update multilateral or domestic export control regimes to ensure appropriate coverage of CCICs.	8.b.iv. CCICを適切にカバーするため、多国間または国内の輸出管理体制を更新する機会を探る。
8.b.v. Exploring opportunities for needs-based capacity building support to address the technical challenges presented by the implementation and enforcement of controls.	8.b.v. 管理の実施と執行に伴う技術的課題に対処するため、ニーズに基づく能力構築支援の機会を探る。
8.c. Incentivising responsible activity across the market for CCICs. Practices include:	8.c. CCIC市場全体における責任ある活動を促進する。実践例は以下の通りである：
8.c.i. Assessing vendors to Governments with regards to national and international cybersecurity standards and respect for the rule of law and applicable international law, including human rights and fundamental freedoms, as well the United Nations Guiding Principles on Business and Human Rights.	8.c.i. 政府向けベンダーを、国内及び国際的なサイバーセキュリティ標準、法の支配及び適用される国際法（人権及び基本的自由を含む）の尊重、並びに国連ビジネスと人権に関する指導原則の観点から評価する。
8.c.ii. Exploring opportunities to align procurement controls across government, as appropriate, and defining which entities under their jurisdiction are authorised to, import, purchase, hold, offer, sell, rent and use CCICs and in what capacity.	8.c.ii. 政府全体での調達管理の整合化を適切に模索し、管轄下にあるどの事業体が、どのような立場でCCICの輸入事業者、購入、保有、提供、販売、賃貸及び使用を許可されるかを定義する。
8.c.iii. Exploring opportunities to establish or enhance formal processes to debar or exclude potential CCIC vendors that do not meet the standard of responsible behaviour from Government procurement, to send a clear message to industry that illegal or irresponsible activity is unacceptable.	8.c.iii. 政府調達から、責任ある行動標準を満たさない潜在的なCCICベンダーを排除または除外する正式なプロセスを確立または強化する機会を検討する。これにより、違法または無責任な活動は容認されないという明確なメッセージを業界に送る。
8.c.iv Exploring opportunities to encourage CCIC vendors to conduct human rights due diligence, in order to identify, prevent and mitigate their adverse human rights impacts.	8.c.iv CCICベンダーに対し、人権デュー・ディリジェンスを実施するよう促す機会を検討する。これにより、人権への悪影響を特定、防止、緩和する。
8.d. Developing a toolkit of measures, including the use of existing policy tools, through which to deter irresponsible behaviour across the global market for CCICs and consider how they should be used. Practices include:	8.d. 既存の政策手段を含む対策ツールキットを開発し、CCICの世界市場における無責任な行動を抑制する。また、それらの使用方法を検討する。実践例：
8.d.i. Identifying policy levers to target and impose a cost, where appropriate and in compliance with due legal process, on specific individuals and entities involved in carrying out, facilitating, or benefiting from the irresponsible use of CCICs, such as criminal proceedings, financial or travel restrictions.	8.d.i. 刑事手続き、金融・渡航制限など、CCICの無責任な使用を実行・助長・利益享受する特定個人・事業体に対し、適切な法的プロセスに従い、コストを課すための政策手段を特定する。
8.d.ii. Exploring opportunities to cooperate with each other and industry partners on the use of such measures, in order to maximise their impact and send a strong signal that illegal or irresponsible activity is unacceptable.	8.d.ii. こうした措置の効果を最大化し、違法または無責任な活動が容認されないという強いメッセージを発信するため、相互および業界パートナーとの協力機会を模索する。
8.d.iii. Collaborating when appropriate with international and industry partners to act against the development, purchase, facilitation, transfer of CCICs to and use of CCICs by irresponsible and illegitimate non-state actors, such as criminals.	8.d.iii. 犯罪者などの無責任かつ非合法な非国家主体によるCCICの開発、購入、促進、移転、使用に対抗するため、国際的・業界パートナーと適切に連携する。
8.e. Providing support for victims targeted or affected by the irresponsible use of CCICs. Practices include:	8.e. CCICの無責任な使用により標的とされた、または影響を受けた被害者への支援を提供する。具体的な取り組みには以下が含まれる：
8.e.i. Where necessary, providing procedures for those claiming redress as a result of the irresponsible use of CCICs, including ensuring access to effective judicial or non-judicial remedies, and, where relevant and appropriate, strengthening cross-border collaboration on CCIC investigations.	8.e.i. 必要に応じて、CCICの無責任な使用による被害救済を求める者に対する手続きを提供する。これには、効果的な司法または非司法救済へのアクセス確保、および関連性・適切性が認められる場合には、CCIC調査に関する越境協力の強化が含まれる。
8.e.ii. Carrying out awareness-raising and provide cybersecurity advice to those at high risk of being targeted through irresponsible use of CCICs, such as journalists, human rights defenders and government officials.	8.e.ii. ジャーナリスト、人権擁護者、政府関係者など、CCICの無責任な使用により標的とされるリスクが高い者に対する啓発活動の実施及びサイバーセキュリティ助言の提供。
8.e.iii. Improving support to victims affected by the irresponsible use of CCICs.	8.e.iii. CCICの無責任な使用により影響を受けた被害者への支援の改善。
8.e.iv. Exploring opportunities to establish and strengthen reporting mechanisms through which individuals or groups can raise concerns about irresponsible use of CCICs.	8.e.iv. 個人または団体がCCICの無責任な使用に関する懸念を表明できる報告メカニズムの確立及び強化の機会を模索すること。
Pillar 2: Precision	柱2：的確性
9. The development, facilitation, purchase, transfer and use of CCICs should be conducted with precision, in such a way as to ensure they avoid irresponsible use or mitigate the consequences of it. To this end, we will commit to:	9. CCICの開発、促進、購入、移転及び使用は、無責任な使用を回避し、その影響を緩和する方法を確保する精密性をもって実施されるべきである。この目的のために、我々は以下を約束する：
9.a. Developing, and where relevant articulating policy surrounding Government use of CCICs. Practices include:	9.a. 政府によるCCICの使用に関する政策を策定し、関連する場合には明確化する。実践例：
9.a.i. Preparing, where relevant, a national position on responsible Government use of CCICs.	9.a.i. 必要に応じて、政府によるCCICの責任ある利用に関する国家見解を準備する。
9.a.ii. Ensuring that their use of CCICs does not violate human rights and fundamental freedoms.	9.a.ii. CCICsの使用が人権及び基本的自由を侵害しないことを確保する。
9.a.iii. Limiting the use of CCICs to where necessary for lawful purposes, such as in the context of legal frameworks pertaining to national security and defence, or the investigation and prevention of serious crime or for cybersecurity activities.	9.a.iii. CCICsの使用を、国家安全保障・防衛に関する法的枠組み、重大犯罪の調査・防止、サイバーセキュリティ活動など、合法的な目的で必要な場合に限定する。
9.a.iv. Ensuring that decisions to use CCICs are tested and the design of operations to deploy them are based on nationally determined principles, examples of which could include ‘proportionality, subsidiarity, necessity, non-discrimination, time limitation, and security’.	9.a.iv. CCICsの使用決定が検証され、その展開作戦の設計が「比例性、補完性、必要性、非差別性、時間制限、安全保障」などの国内で定めた原則に基づくことを確保する。
9.a.v. Establishing or defining clear national policies on what constitutes legitimate use of CCICs in the context of cybersecurity (for example for penetration testing, red teaming and in relation to coordinated vulnerability disclosure policies and bug bounty programmes) and research for cybersecurity activities, aligned to existing protections or safeguards for cybersecurity researchers.	9.a.v. サイバーセキュリティ活動におけるCCICの正当な使用（例：ペネトレーションテスト、レッドチーム活動、調整された脆弱性開示方針やバグ報奨金プログラム関連）および研究について、サイバーセキュリティ研究者に対する既存の保護・安全対策と整合した明確な国家方針を確立または定義する。
9.b. Enhancing internal cross-government information sharing on CCICs. Practices include:	9.b. CCICに関する政府内部の情報共有を強化する。その実践例としては、以下のようなものがある。
9.b.i. Encouraging all relevant parts of Government to pool knowledge and understanding of the risks surrounding CCICs and their use, in order to establish a nationally shared view.	9.b.i. 政府の関連部門すべてに対して、CCIC およびその使用に関するリスクについての知識と理解を共有し、全国的に共通の見解を確立するよう奨励する。
9.b.ii. Exploring opportunities to bring together relevant Government users of CCICs to share responsible and risk-minimising practices, where the distribution of authority within Government allows it.	9.b.ii. 政府内の権限配分が許す限り、CCIC の関連政府ユーザーを集め、責任あるリスク最小化の実践を共有する機会を模索する。
9.b.iii. Educating policy makers on the responsible use of CCICs and the procedures for reporting irresponsible activity.	9.b.iii. 政策立案者に対して、CCIC の責任ある利用と、無責任な活動の報告手順について教育を行う。
9.c. Cooperating between States to incentivise good practice in the use of CCICs. Practices include:	9.c. CCIC の利用における優れた実践を奨励するため、国家間で協力する。実践例としては、以下が挙げられる。
9.c.i. Exploring opportunities to share examples of domestic good practice internationally to reduce inconsistencies between national approaches towards CCICs, in order to discourage strategic relocation by irresponsible actors.	9.c.i. 無責任な行為者による戦略的な移転を阻止するため、CCIC に対する各国のアプローチ間の不整合を減少させるべく、国内の優れた実践例を国際的に共有する機会を探る。
9.c.ii. Exploring opportunities for how inter-regional and multilateral cyber capacity building, where appropriate, can be used as a way of supporting States to achieve ‘best practices’ with regards to a responsible approach to the market.	9.c.ii. 必要に応じて、地域間および多国間のサイバー能力構築を、市場に対する責任あるアプローチに関する「ベストプラクティス」の達成を支援する手段として活用する方法を模索する。
9.c.iii. Encouraging inter-regional and multilateral cyber capacity building efforts, where appropriate, to help strengthen global resilience against irresponsible uses of CCICs.	9.c.iii. 必要に応じて、地域間および多国間のサイバー能力構築の取り組みを奨励し、CCIC の無責任な使用に対するグローバルなレジリエンスの強化を支援する。
9.c.iv. Exploring opportunities to ensure to the extent possible that, when engaging in international capacity building, any CCICs purchased to facilitate capacity building of international partners, in the cyber sector or otherwise, are used responsibly.	9.c.iv. 国際的な能力構築に関与する際、サイバー分野その他の分野における国際パートナーの能力構築を促進するために購入されたCCICが、可能な限り責任を持って使用されることを確保する機会を探る。
9.d. Supporting cybersecurity education and training relevant for professionals operating across the market for CCICs. Practices include:	9.d. CCIC市場全体で活動する専門家に関連するサイバーセキュリティ教育・訓練を支援する。実践例：
9.d.i. Developing skilled cybersecurity professionals who are equipped and incentivised to identify and tackle emerging threats, uphold respect for human rights and safeguard national interests responsibly.	9.d.i. 新たな脅威を識別・対処し、人権尊重を維持し、国家利益を責任を持って守るための能力と動機付けを備えた、熟練したサイバーセキュリティ専門家の育成。
9.d.ii. Ensuring that Government cyber professionals deploying CCICs are well-informed of, and regularly trained on the way these tools function and in, the responsible and lawful use of CCICs and their technical capabilities.	9.d.ii. CCICを展開する政府サイバー専門家が、これらのツールの機能、責任ある合法的な使用方法、技術的能力について十分な情報を得て、定期的に訓練を受けることを確保する。
9.d.iii. Raising awareness amongst cybersecurity professionals, including independent security researchers, of the implications of their work and the use of CCICs, to incentivise responsible behaviour across the market.	9.d.iii. サイバーセキュリティ専門家（独立系セキュリティ研究者を含む）に対し、自らの業務及びCCICs使用が及ぼす影響に関する認識を高め、市場全体での責任ある行動を促すこと。
9.d.iv. Exploring opportunities to coordinate to ensure efforts to establish best practices and standards for professionals operating across the market for CCICs, including independent security researchers, are coherent internationally.	9.d.iv. 独立系セキュリティ研究者を含むCCICs市場で活動する専門家向けのベストプラクティス及び標準確立に向けた取り組みが国際的に整合性を保つよう、調整の機会を模索すること。
Pillar 3: Oversight	柱3：監督
10. Assessment and due diligence mechanisms should be in place to ensure Government activity is carried out legally, responsibly, and may incorporate principles such as lawfulness, necessity, proportionality, and reasonableness, in accordance with applicable international law and guided by the consensus UN framework on responsible State behaviour in cyberspace, and domestic legal frameworks. To this end, we will commit to:	10. 政府の活動が合法的かつ責任を持って実施されることを保証するため、アセスメント及びデューデリジェンスの仕組みを設ける。これには、適用される国際法、サイバー空間における国家の責任ある行動に関する国連合意枠組み、及び国内法体系に基づき、合法性、必要性、比例性、合理性などの原則を組み込むことができる。この目的のため、我々は以下を約束する：
10.a. Establishing or ensuring the effective operation of existing structures to provide, in accordance with domestic legal frameworks and to the extent possible, independent and effective oversight of Government use of CCICs to mitigate the risk of irresponsible use. Practices include:	10.a. 国内の法的枠組みに従い、可能な範囲で、政府によるCCICの利用を監視し、無責任な利用のリスクを緩和するための独立かつ効果的な監督体制を確立、あるいは既存の体制の効果的な運用を確保すること。具体的な手法には以下が含まれる：
10.a.i. Ensuring that a clear decision-making and authorisation process is followed and recorded surrounding Government use of CCICs.	10.a.i. 政府によるCCICの利用に関して、明確な意思決定と承認プロセスが遵守され、記録されることを保証する。
10.a.ii. Establishing or ensuring the effective operation of existing mechanisms for review of the Government use of CCICs, through a judicial or alternative competent authority – for example an independent authority or a national legislature – with guarantees of independence, impartiality, and effectiveness.	10.a.ii. 司法機関または代替的な権限機関（例：独立機関、国家議会）を通じ、政府によるCCIC利用を審査する既存メカニズムの確立または効果的な運用を確保する。これには独立性、公平性、有効性の保証が含まれる。
10.a.iii. Providing, as far as possible, such structures with adequate resourcing and the means to understand the specific technical features of CCICs.	10.a.iii. 可能な限り、こうした枠組みに十分な資源とCCICの特定技術的特徴を理解する手段を提供する。
10.a.iv. Encouraging both Government and private entities involved in the development, facilitation, purchase, transfer and use of CCICs to implement a robust ICT security perimeter, in order to prevent any unintended dissemination of CCICs.	10.a.iv. サイバー攻撃用情報技術の開発、促進、購入、移転、使用に関わる政府及び民間事業体に対し、意図しないサイバー攻撃用情報の拡散を防ぐため、強固な情報通信技術（ICT）セキュリティ境界の実施を促すこと。
10.a.v. Exploring opportunities for reporting on oversight and control activities.	10.a.v. 監督・管理活動に関する報告の機会を検討すること。
10.b. Developing measures to minimise the risk that Government professionals’ offensive cyber skills will be used for irresponsible purposes after leaving Government service. Practices include:	10.b. 政府職員の攻撃的サイバースキルが、政府を離れた後に無責任な目的に利用されるリスクを最小化する措置を開発する。具体的な実践例は以下の通りである：
10.b.i. Exploring opportunities to implement controls for researchers contracting with Governments to ensure their work does not contribute to irresponsible activity across the market for CCICs.	10.b.i. 政府と契約する研究者に対し、その業務がCCIC市場全体における無責任な活動に寄与しないよう管理措置を実施する機会を検討する。
10.b.ii. Exploring opportunities to implement measures to incentivise more responsible activity among cyber security professionals with an expertise in deploying CCICs, as well as measures to deter them from using these skills for irresponsible purposes, without impacting the legitimate use of CCICs in the context of cyber security.	10.b.ii. CCIC展開の専門知識を持つサイバーセキュリティ専門家に対し、より責任ある活動を促すインセンティブ措置、およびこれらのスキルを無責任な目的に利用するのを抑止する措置を実施する機会を検討する。ただし、サイバーセキュリティの文脈におけるCCICの正当な利用には影響を与えないようにする。
Pillar 4: Transparency	柱4：透明性
11. Business transactions should be conducted in such a way as to ensure that industry and Government users can take reasonable steps to understand their supply chains and toolkits as far as possible, building trust and confidence in the responsible business practices of vendors they interact with. To this end, we will commit to:	11. ビジネス取引は、産業界及び政府ユーザーがサプライチェーンとツールキットを可能な限り理解するための合理的な措置を講じられるよう実施され、取引先ベンダーの責任ある事業慣行に対する信頼と確信を構築すべきである。この目的のため、我々は以下を約束する：
11.a. Building understanding of the global CCIC market and how it operates. Practices include:	11.a. グローバルなCCIC市場とその運営方法に関する理解を深める。具体的な取り組み：
11.a.i. Seeking opportunities for robust information sharing, including through confidence building measures, bilateral and multilateral frameworks and collaboration with industry, academia and civil society, on their understanding of the CCIC market, and the changing threat that irresponsible activity may present.	11.a.i. 信頼醸成措置、二国間・多国間枠組み、産業界・学術界・市民社会との連携を通じ、CCIC市場への理解と無責任な活動がもたらす変化する脅威に関する強固な情報共有の機会を模索する。
11.a.ii. Identifying opportunities to better support and protect the commercial, civil society and independent cyber threat researcher ecosystem, including from intimidatory litigation.	11.a.ii. 商業・市民社会・独立系サイバー脅威研究者のエコシステムを、威圧的な訴訟などからより良く支援・防御する機会を識別する。
11.a.iii. Encouraging industry, civil society, academia and other relevant parties to continue conducting research into CCICs, their use, technical attributes and effects on human rights and fundamental freedoms as well as international peace and security.	11.a.iii. 産業界、市民社会、学術界及びその他の関係者が、CCIC、その使用方法、技術的特性、人権及び基本的自由ならびに国際的な平和と安全に対する影響に関する研究を継続するよう奨励する。
11.b. Establishing transparency mechanisms surrounding Governments’ engagement with and regulation of the market for CCICs. Practices include:	11.b. 政府によるCCIC市場の関与及び規制に関する透明性メカニズムを確立する。実践例：
11.b.i. Defining an evaluation process for decisions surrounding discovered cybersecurity vulnerabilities.	11.b.i. 発見されたサイバーセキュリティ脆弱性に関する決定のための評価プロセスを定義する。
11.b.ii. Encouraging commercial entities to establish and publish their own coordinated vulnerability disclosure processes, informed by existing international standards.	11.b.ii. 商業事業体に対し、既存の国際標準を踏まえた独自の脆弱性開示プロセスを確立・公表するよう促すこと。
11.b.iii. Exploring, where relevant, opportunities to establish or enhance ‘Know Your Vendor’ and ‘Know Your Customer’ requirements for vendors to Governments, to create a more consistent and reliable reporting environment across the market.	11.b.iii. 市場全体でより一貫性のある信頼性の高い報告環境を構築するため、政府向けベンダーに対する「ベンダー確認（Know Your Vendor）」及び「顧客確認（Know Your Customer）」要件の確立・強化の機会を、関連する場合には模索すること。
11.b.iv. Exploring opportunities to implement appropriate transparency around the processes implemented for controls on the export, government procurement, and use of CCICs, meeting the interest of individuals and the public to be informed, and the need to prevent the disclosure of information that could impact commercial sensitivity, law enforcement, national security and defence interests, and public safety.	11.b.iv. CCICの輸出、政府調達、使用に関する管理プロセスに適切な透明性を実施する機会を検討する。これは、個人及び公衆の情報提供への関心と、商業上の機密性、法執行、国家安全保障及び防衛上の利益、公共の安全に影響を与える可能性のある情報の開示を防止する必要性を満たすものである。
12. Together, through our support for and voluntary implementation of measures identified through this ‘Code of Practice’ for States, and cooperation through the ongoing Pall Mall Process, we will enhance our efforts to prevent irresponsible activity across the global cyber intrusion market and mitigate the threats presented by the proliferation and irresponsible use of CCICs. We encourage individual States to develop and share additional national actions towards addressing this issue. We intend to regularly review progress on the implementation of these voluntary good practices and on improving accountability across the market. We resolve to keep this Code of Practice up to date with developments in the threat landscape.	12. 各国が本「行動規範」で識別された措置を支持し自主的に実施すること、および継続的なパルモール・プロセスを通じた協力を通じて、我々はグローバルなサイバー侵入市場における無責任な活動を防止し、CCICの拡散と無責任な使用がもたらす脅威を緩和する取り組みを強化する。個々の国がこの問題に対処するための追加的な国家行動を策定し共有することを奨励する。我々は、これらの自主的優良慣行の実施状況及び市場全体の説明責任向上に関する進捗を定期的に見直す意向である。脅威情勢の進展に応じて、本行動規範を常に最新の状態に保つことを決意する。