情報セキュリティ / サイバーセキュリティ

2022.07.04

英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンター長(National Cyber Security Centre CEO)が、テルアビブで開催されたCyber Weekに登壇し、演説したことが、公表されていますね。。。

次のことが重要なのでしょうかね。。。

・学術界、産業界、政府間の連携

・(ウクライナへのロシア侵攻以後であっても)ランサムウェアは世界最大のサイバー脅威であり続けている

・回復力(レジリエンス)とそのための準備が重要である。

あと、末尾に2022.05.19に英国のSuella Braverman司法長官 [wikipedia] のInternational Law in Future Frontiers に関するスピーチも載せています。。。興味深いです。。。

 

● U.K. Goverment - Natinal Cyber Security Centre 

・2022.06.28 Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO

Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO 商業的なサイバー能力は合法的かつ責任を持って使用されなければならないと、英国NCSCのCEOは述べました
Lindy Cameron's speech at Tel Aviv Cyber Week emphasised the importance of partnerships and international regulation of sophisticated cyber capabilities. テルアビブ・サイバーウィークでのリンディ・キャメロンのスピーチは、高度なサイバー能力に関するパートナーシップと国際的な規制の重要性を強調しました。
The head of the UK’s National Cyber Security Centre (NCSC) has delivered an international speech emphasising the importance of legal and responsible use of commercial cyber capabilities. 英国の国家サイバーセキュリティセンター(NCSC)のトップは、商業的なサイバー能力を合法的かつ責任を持って使用することの重要性を強調する国際的なスピーチを行いました。
Speaking to an audience at the globally prestigious Cyber Week hosted by Tel Aviv University, Lindy Cameron also discussed how the ties between academia, industry, and governments are key to countering the latest cyber threats. リンディ・キャメロンは、テルアビブ大学主催の世界的に権威のあるサイバーウィークで聴衆を前に、最新のサイバー脅威に対抗するためには、学術界、産業界、政府間の連携がいかに重要であるかについても述べました。
The CEO of the UK NCSC – which is part of the world-leading intelligence agency GCHQ – will say that even following the illegal Russian invasion of Ukraine, ransomware remains the biggest global cyber threat most organisations must manage. 世界をリードする情報機関GCHQの一部である英国NCSCのCEOは、ロシアのウクライナへの不法侵入の後でも、ランサムウェアはほとんどの組織が管理しなければならない世界最大のサイバー脅威であり続けていると述べました。
She will also praised Ukrainian cyber defenders for their response to Russia’s invasion, highlighting the resilience of their networks in repelling many attacks. She said: また、ロシアの侵攻に対するウクライナのサイバー擁護者の対応を称賛し、多くの攻撃を撃退したネットワークの回復力を強調する予定です。彼女は次のように述べました。
“Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. 「ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するために、サイバー圧力を使ってきました。」
“But – just as they have on the battlefield – the Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. 「しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事を成し遂げました。彼らは真の英雄です。」
“And I think resilience and preparation are at the heart of this success.” 「そして、この成功の核心は、回復力と準備にあると思います。」
The main focus of her speech was the international regulation of sophisticated cyber capabilities. Lindy Cameron said: 彼女のスピーチの主な焦点は、高度なサイバー能力の国際的な規制であった。リンディ・キャメロンは次のように述べました。
“If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 「私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が、合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
“I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. 「イスラエルがこれらのツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこのような侵入型スパイウェアを入手することをはるかに困難にしたことは喜ばしいことです。」
“It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse.” 「この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から守るための適切な保護措置を講じて、責任ある行動をとることが本当に重要です。」
Describing Israel as a “shining” example of what can be done when a nation takes cyber security seriously, she said: イスラエルは、国家がサイバーセキュリティに真剣に取り組んだときに何ができるかを示す「輝く」例であると、彼女は述べました。
“The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. 「イスラエルで開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野における才能は、他の追随を許しません。そして、その防御は世界でも最も強固なものです。」
“But making the most of our digital future is too big an issue for any one nation to handle alone. 「しかし、デジタルの未来を最大限に活用することは、一国だけで対処するには大きすぎる問題です。」
“Whether it is drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 「イスラエルは、灌漑や医療、気候変動に関する技術など、国境を越えて人々の役に立つ技術革新を常に誇りとしてきました。」
“So, I hope you will continue to produce cyber security solutions which are safe, strong but also affordable for the whole world.” 「ですから、これからも、安全で、強力で、しかも全世界にとって手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けることを期待します。」
Turning to ransomware and how the upward trend of the commercialisation of such capabilities dramatically lowers the technical knowhow required to conduct criminal operations, she said: ランサムウェアについては、その商業化が進み、犯罪行為に必要な技術的ノウハウが劇的に低下していることを指摘し、次のように述べました。
“But - even with a war raging in Ukraine - the biggest global cyber threat we still face is ransomware. That tells you something of the scale of the problem. 「しかし、ウクライナで戦争が勃発しても、私たちが直面している最大のグローバルなサイバー脅威はランサムウェアなのです。このことが、問題の大きさを物語っています。」
“Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. 「ランサムウェアの攻撃は激しく、そして速い。ランサムウェアは急速に進化し、あらゆるところに蔓延しており、ギャングがサービスとして提供することも多く、サイバー犯罪への参入のハードルが低くなっています。」
“And that's what makes them such a threat – not just the nationally significant incidents that my team and I we deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 「私たちNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす数百の事件もこうした脅威になります。」
“These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today.” 「これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識がなければ、私たちの社会や経済に大きな影響を与える可能性があります」。
Returning to the theme of partnerships, Lindy Cameron emphasised that prosperous relationships between different institutions are key to countering the latest cyber threats: リンディ・キャメロンは、「パートナーシップ」というテーマに戻り、最新のサイバー脅威に対抗するためには、異なる機関同士の豊かな関係が重要であることを強調しました。
“To succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. 「成功するためには、パートナーシップは不可欠です。成功するためには、パートナーシップが不可欠です。ですから、私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。」
“We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion.” 「私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルや強みを持ち寄り、攻撃に自然に強いネットワークを構築しています。」

 

スピーチ本文

・2022.06.28 Lindy Cameron speech at Tel Aviv Cyber Week

Lindy Cameron speech at Tel Aviv Cyber Week テルアビブ・サイバーウィークでのリンディ・キャメロン長官のスピーチ
The CEO of the NCSC emphasises the ties between academia, industry and government in countering cyber threats. NCSCのCEOは、サイバー脅威に対抗するための学術界、産業界、政府間の結びつきを強調しています。
Good morning everyone. And it’s fantastic to be here again in Tel Aviv. 皆さん、おはようございます。またテルアビブに来ることができ、大変うれしく思います。
Thank you so much for inviting me. And thanks to those of you who are joining us online - thanks for tuning in. It's great to be back here for a 2nd year running despite the challenges of COVID. お招きいただき、本当にありがとうございます。そして、オンラインで参加してくださっている方々にも感謝します。COVIDの挑戦にもかかわらず、2年連続でここに戻ってこられたのは素晴らしいことです。
I would like to start by congratulating Gaby Portnoy on his appointment as Director General of the Israel National Cyber Directorate earlier this year. まず、今年初めにイスラエル国家サイバー総局の局長に就任されたGaby Portnoy氏にお祝いを申し上げたいと思います。
My own organisation - the UK’s National Cyber Security Centre - and the INCD share an awful lot in terms of mission and of outlook. 私の所属する英国の国家サイバーセキュリティセンターとINCDは、その使命と展望において非常に多くのことを共有しています。
Our collaborations over the years have really delivered and I look forward to expanding the partnership in the years ahead. 私たちの長年の協力関係は実を結んでおり、今後数年間でこのパートナーシップを拡大することを楽しみにしています。
Since I was here in Tel Aviv this time last year, the brutal Russian invasion of Ukraine has not only changed the geo-political landscape but transformed the context for our work on cyber security. 昨年の今頃、私はここテルアビブにいましたが、ロシアの残忍なウクライナ侵攻は、地政学的な状況を変えただけでなく、私たちのサイバーセキュリティに関する仕事の文脈も一変させました。
When the first Russian tank crossed into Ukrainian territory, the unthinkable suddenly became a terrifying reality. 最初のロシアの戦車がウクライナの領土を横切ったとき、考えられないことが突然、恐ろしい現実となったのです。
Millions of innocent people have had their lives, homes and families taken from them. 何百万人もの罪のない人々が、その命、家、家族を奪われたのです。
And while Russia inflicted this physical oppression, they were also conducting a cyber campaign. This came as no surprise. Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. そして、ロシアはこのような物理的な抑圧を加える一方で、サイバーキャンペーンも行っていたのです。これは驚くことではありません。ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するためにサイバー圧力を使ってきました。
But – just as they have done on the battlefield – Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事をやってのけた。彼らは真の英雄です。
And I think resilience and preparation are at the heart of this success. I’ll come back to this point shortly. そして、この成功の核心は、回復力と準備にあると思います。この点については、またすぐに触れたいと思います。
But for all the pernicious activity that we have seen from Russia in the last few months in cyber space and beyond, we must not lose sight of the longer-term strategic challenges posed by the continued growth of China as a technological and economic power. しかし、ここ数カ月、サイバー空間やそれ以外の場所でロシアから見られたあらゆる悪質な活動について、私たちは、技術力および経済力として成長を続ける中国がもたらす長期的な戦略的課題を見失ってはなりません。
Because in cyber security this challenge is particularly acute because of the globalised nature of digital technology. なぜなら、サイバーセキュリティにおいては、デジタル技術のグローバル化により、この課題は特に深刻だからです。
The Chinese government’s use of technology is about coercion and control. And the country’s technological and economic power mean they can export this vision very widely. 中国政府によるテクノロジーの利用は、強制と統制を目的としています。そして、この国の技術力と経済力は、このビジョンを非常に広く輸出することができることを意味します。
Once the world relies on technology delivered with an authoritarian bias, it will constrain our choices. いったん世界が権威主義的なバイアスをもって提供されるテクノロジーに依存すれば、それは我々の選択を制約することになります。
As allies…as equals…our more open systems can take time to reach agreement. And when we leave important choices unmade, we leave gaps in our defences which will be rapidly exploited. 同盟国として、対等な立場で、よりオープンなシステムで合意に達するには時間がかかるかもしれません。そして、重要な選択をしないままにしておくと、防御の隙間ができてしまい、それが急速に利用されることになるのです。
So these challenges - from China, Russia and others - make it impossible for us to leave cyber security for another day. 中国、ロシア、その他の国々からのこうした挑戦は、私たちがサイバーセキュリティを別の日に残しておくことを不可能にしています。
So now is the time to innovate, educate and empower our citizens. ですから、今こそイノベーションを起こし、教育し、市民に力を与えるべき時なのです。
The democracies of the world have to challenge themselves to develop technologies and systems which allow us to avoid reliance on products not aligned with our values. 世界の民主主義国家は、我々の価値観に合わない製品に依存しないような技術やシステムの開発に挑戦しなければならないのです。
And I hope that the ‘start-up nation’ of Israel can play an important role in this innovation over the years to come. そして、「新興国」イスラエルが、今後何年にもわたって、このイノベーションにおいて重要な役割を果たすことを期待しています。
But – even with a war raging in Ukraine – the biggest global cyber threat we still face is ransomware. しかし、ウクライナで戦争が勃発しても、私たちが直面している世界的なサイバー脅威の最大のものはランサムウェアです。
That tells you something of the scale of the problem. このことは、問題の規模を物語っています。
Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. ランサムウェアの攻撃は激しく、速い。ランサムウェアは急速に進化しており、あらゆるところに蔓延しています。また、ギャングがサービスとして提供することも増えており、サイバー犯罪への参入のハードルが低くなっています。
And that's what makes them such a threat – not just the nationally significant incidents that my team and I deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 私やNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす何百もの事件も、このような脅威となっています。
These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today. これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識なしには、私たちの社会や経済に大きな影響を与える可能性があります。
So, we worked hard over the last year, to really understand, with our law enforcement partners, the criminal system behind ransomware. We want to drive down profits and drive up the risk to the criminals. We continue to work on understanding the scale, nature and evolution of their techniques. 私たちは昨年、法執行機関のパートナーとともに、ランサムウェアの背後にある犯罪システムを理解するために、懸命に取り組みました。私たちは、犯罪者の利益を減少させ、リスクを増加させたいと考えています。私たちは、犯罪者の技術の規模、性質、進化を理解するための努力を続けています。
We want to make ransomware an unprofitable and unattractive business. ランサムウェアを収益性の低い、魅力的でないビジネスにしたいのです。
Russia may dominate the headlines at the moment, but this threat of ransomware has not gone away – and nor have we stopped our relentless focus on it. 今はロシアが話題の中心かもしれませんが、ランサムウェアの脅威は消えていませんし、私たちもランサムウェアへの徹底的な取り組みを止めてはいません。
But it’s not all doom and gloom. しかし、悲観的な話ばかりではありません。
I’ve mentioned Ukraine, and closer to home, just look at the work undertaken by our hosts here in Israel - a shining example of what can be done when a nation takes cyber security seriously. ウクライナについて触れましたが、身近なところでは、ここイスラエルで私たちのホストが行っている活動をご覧になってください。
The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. この国で開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野では、他の追随を許さないほどの才能があります。そして、その防御は世界でも最も強固なもののひとつです。
But making the most of our digital future is too big an issue for any one nation to handle alone. しかし、デジタルの未来を最大限に活用することは、一国だけで扱うには大きすぎる問題です。
Whether its drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 点滴にせよ、健康・気候技術にせよ、イスラエルは常に、国境を越えて人々のためにイノベーションを起こすことを誇りとしてきました。
So, I hope you will continue to produce cyber security solutions which are safe, strong and affordable for the whole world. ですから、これからも全世界のために、安全で、強く、手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けてほしいと思います。
Because an isolationist stance is just not going to work, long term. I think the war in Ukraine is a case in point there. なぜなら、孤立主義的なスタンスでは、長期的にうまくいかないからです。ウクライナの戦争は、その典型例だと思います。
Technology and tactics developed there won't remain local problems. We've all watched that carefully. そこで開発された技術や戦術は、ローカルな問題として残ることはないでしょう。私たちはそれを注意深く見守ってきました。
An important part of our response to this as an international community is a clearer definition and enforcement of the rules that govern activity in cyberspace. 国際社会としての対応で重要なのは、サイバースペースでの活動を統制するルールをより明確に定義し、実施することです。
If we are to ensure that the digital world remains a place of opportunity, and to avoid it becoming a place of conflict and struggle, we must be clearer about the guidelines and norms that transcend international borders. We must explore innovative new technologies and share lessons learnt. デジタルの世界がチャンスの場であり続け、紛争や闘争の場にならないようにするには、国境を越えたガイドラインや規範をより明確にしなければなりません。革新的な新技術を探求し、学んだ教訓を共有しなければなりません。
Last month, the UK's Attorney-General set out the UK views on how international law applies in cyberspace in peace time. 先月、英国の司法長官は、平時のサイバースペースにおける国際法の適用方法について、英国の見解を示しました。
She focused on providing more detail on the rule on prohibited intervention. Her speech brings this to life by providing examples from key sectors of the sort of cyber behaviour that would be unlawful if conducted in peacetime. 彼女は、禁止された介入に関するルールについて、より詳細な情報を提供することに焦点を当てました。同弁護士は、平時に行われた場合には違法となるようなサイバー行動について、主要なセクターから例を挙げて説明し、これを現実のものとしました。
She stressed that the United Kingdom’s aim is to ensure that future frontiers evolve in a way that reflects our democratic values and interests, as well as those of our allies. また、英国の目的は、将来のフロンティアが、わが国の民主主義的価値と利益、そして同盟国の利益を反映する形で発展していくようにすることだと強調しました。
We need clarity on the points of law if they are to be part of a framework for governing international relations and if they are to rein in irresponsible cyber behaviour. 国際関係を統治する枠組みの一部となり、無責任なサイバー行動を抑制するためには、法律のポイントを明確にする必要があります。
Another very significant element is the international regulation of sophisticated cyber capabilities. Some of which have been pioneered here, in Israel. もう一つの非常に重要な要素は、高度なサイバー能力の国際的な規制です。そのうちのいくつかは、ここイスラエルで先駆的に開発されたものです。
If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. イスラエルがこうしたツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこうした侵入型スパイウェアを入手するのをはるかに困難にしたことは喜ばしいことです。
It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse. この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から保護するための適切なセーフガードを用いて、責任ある行動をとることが本当に重要です。
There is a key role here for those of you in the private sector, for our respective cyber industries and technology companies in conducting due diligence and ensuring their products are not deployed in a manner that creates harm or undermines these principles. 民間企業の皆さん、サイバー産業やテクノロジー企業の皆さんは、デューディリジェンスを行い、自社の製品がこれらの原則を損なったり、損害を与えるような形で配備されないようにすることが重要な役割となります。
One of the great benefits of coming to fantastic events like this at Tel Aviv Cyber Week is the opportunity to learn from others and exchange ideas. テルアビブ・サイバーウィークのような素晴らしいイベントに参加する大きなメリットの一つは、他の人から学び、アイデアを交換する機会であることです。
In the UK, we take our ‘whole of society’ approach to cyber security really seriously. We want everyone ‘on the team’, pulling together to present a cohesive and resilient digital face to the world. Every citizen, business and utility, every school, charity and hospital. And I think that is something that we look to you for some real lessons on. 英国では、サイバーセキュリティに対する「社会全体」での取り組みに真摯に取り組んでいます。私たちは、すべての人が「チーム」となり、力を合わせて、結束力のある、弾力的なデジタルの顔を世界に示すことを望んでいます。すべての市民、企業、公共事業、学校、慈善団体、病院がそうです。そのために、私たちは皆さんに本当の意味での教訓を求めたいと考えています。
We want to help create a society that is resilient to cyber attacks, where cyber security is second nature to all of us. 私たちは、サイバー攻撃に強い社会、サイバーセキュリティが当たり前の社会を作りたいと考えています。
Israel is already some way ahead in this process. Your cyber security ecosystem of businesses, education, and research is thoroughly inspirational. I am personally in awe of your cyber education programme – it is something that the UK’s CyberFirst scheme has learnt many lessons from. イスラエルは、このプロセスにおいて、すでにいくつかの点で先を行っています。ビジネス、教育、研究からなるサイバーセキュリティのエコシステムは、非常に刺激的です。個人的には、イスラエルのサイバー教育プログラムに畏敬の念を抱いています。このプログラムは、英国のサイバーファースト計画から多くの教訓を得たものです。
And I appreciate that building this kind of depth of understanding, as Professor Ben-Israel said, takes time. But early investment really pays dividends. ベン・イスラエル教授がおっしゃるように、このような深い理解を得るには時間がかかります。しかし、早期の投資は実に大きな利益をもたらします。
The same is true of organisations around the world as they build resilience to cyber compromises. このことは、世界中の組織がサイバー攻撃への耐性を強化する際にも同じことが言えます。
Which is why my organisation has been encouraging organisations throughout the UK to follow the advice that we give as NCSC to improve their resilience – learning from the lessons we've seen in Ukraine of how to build that resilience in the face of the Russian onslaught. 私の組織では、NCSCとしてのアドバイスに従って回復力を高めるよう、英国内の組織に働きかけています。ロシアの猛攻に直面したときに回復力を高める方法について、ウクライナで見た教訓から学んでいるわけです。
And learning the lessons of Ukrainian cyber security in recent months has been something we've tried to help our companies in the UK to understand. そして、ここ数カ月のウクライナのサイバーセキュリティの教訓を学ぶことは、英国の企業にも理解してもらおうとしたことでした。
But to build this kind of resilience we need to create an environment where people are not too busy putting out the little fires to focus on the longer term. しかし、このようなレジリエンスを構築するためには、人々が小さな火事を消すことに忙しく、長期的な視点に集中できないような環境を作り出す必要があります。
Which is why the NCSC is really proud of our Active Cyber Defence programme, which helps to reduce the volume of low-level commodity attacks. And we’ve had some noteworthy successes. NCSCが、低レベルのコモディティ攻撃の量を減らすのに役立つ「アクティブ・サイバー・ディフェンス」プログラムを高く評価しているのはそのためです。そして、私たちは特筆すべき成功を収めています。
Our ‘Takedown project’, for example, removed 3.1 million malicious URLs in 2021. Which we think saved the UK £223 million. 例えば、私たちの「Takedownプロジェクト」は、2021年に310万件の悪質なURLを削除しました。これにより、英国は2億2,300万ポンドを節約できたと我々は考えています。
In the same period, our  ‘Protective DNS’ service handled more than 600 billion requests. 160 million of which were blocked from accessing known sources of malicious content. 同じ期間に、私たちの「Protective DNS」サービスは6,000億以上のリクエストを処理しました。そのうち1億6000万件は、悪質なコンテンツの既知のソースへのアクセスをブロックしました。
And, one service that I am particularly proud of is our Suspicious Email Reporting Service, because we enlist the great British public to help us. So far, the public have told us about 10.5 million suspicious emails, from which we’ve taken down 76,000 online scams. It's a great example of our “whole of society” approach in action and it helps our citizens feel as if they're helping us as a country, not just to protect themselves, but to protect the nation as a whole. また、私が特に誇りに思っているサービスのひとつに、「疑わしい電子メール報告サービス」があります。これは、英国の優れた一般市民の協力を得ているためです。これまで、1,050万通の不審なメールについて一般の方から情報をいただき、その中から76,000件のオンライン詐欺を取り締まりました。これは、私たちの「社会全体で取り組む」アプローチの好例であり、国民が自分たちを守るためだけでなく、国全体を守るために協力しているのだと実感できるようになります。
So, this ambitious approach to a whole of society approach to cyber. But I think to succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. つまり、この野心的なアプローチは、サイバーに対する社会全体のアプローチなのです。しかし、成功するためには、パートナーシップが不可欠だと思います。そこで私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。
We’re reaching out to startups, with initiatives designed to spur the development of tools which will protect the UK’s smaller and medium sized businesses. 英国の中小企業を保護するツールの開発に拍車をかけるために、新興企業にも手を差し伸べています。
And we are engaging, as we are here, with our friends and allies. そして、ここにいるように、私たちは友人や同盟国とも関わっています。
We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion. 私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルと強みを持ち寄り、攻撃に自然に強いネットワークを構築し、支配や強制よりもイノベーションや言論、創造性を優先させます。
They are big challenges, and they point to even larger actions. So, I look forward to discussing them with you here at Cyber Week, and in the months and years to come. これらは大きな挑戦であり、さらに大きな行動を指し示しています。このサイバーウィークで、そしてこれからの数ヶ月、数年の間に、皆さんと一緒にこれらの課題について議論できることを楽しみにしています。
Thank you for your time. お忙しい中、ありがとうございました。

 

1_20220704055101

 

 

Continue reading "英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)"

| | Comments (0)

2022.07.03

米国 FBI-IC3が盗んだ個人情報とディープフェイクを利用してリモートワーク等に応募していると警告していますね。。。

こんにちは、丸山満彦です。

ディープフェイクが身近になってくると、こういう事件は起こってきますよね。。。

2020年の第24回サイバー犯罪に関する白浜シンポジウムのテーマが、「AIはサイバーセキュリティの夢を見るか?で私もスマートサイバー AI活用時代のサイバーリスク管理 という演題で講演しましたが、ここで、フェイク動画についてのなりすましについて簡単に紹介しました。。。

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理

今回の場合は、リモート面接においての話ですが、特定の人の顔画像、音声情報、個人の履歴書等を盗み、その人になりすまし、AIを活用して本人になりすまし、機密情報に触れられる職に就き、必要な機密情報を盗むということが、これから日常的になるのでしょうかね。。。

懸念していたことが、現実社会においても広がってきているという状況ですね。。。そして、今後ますます広がっていくでしょうね。。。

 

 ● Federal Bureau of Investigation - Internet Crime Complaint Center: FBI-ICS3

・2022.06.28 Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions

Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions リモートワークの応募にディープフェイクや盗まれた個人情報が利用される事例が発生
The FBI Internet Crime Complaint Center (IC3) warns of an increase in complaints reporting the use of deepfakes and stolen Personally Identifiable Information (PII) to apply for a variety of remote work and work-at-home positions. Deepfakes include a video, an image, or recording convincingly altered and manipulated to misrepresent someone as doing or saying something that was not actually done or said. FBIインターネット犯罪苦情センター(IC3)は、様々なリモートワークや在宅勤務の職種に応募するために、ディープフェイクと盗まれた個人識別情報(PII)が使用されているという苦情が増加していることを警告する。ディープフェイクとは、ビデオ、画像、または録音を説得力を持って改変・操作し、実際には行われていないことを誰かが行った、または言ったと誤解させるようなものを指す。
The remote work or work-from-home positions identified in these reports include information technology and computer programming, database, and software related job functions. Notably, some reported positions include access to customer PII, financial data, corporate IT databases and/or proprietary information. この報告書に記載されているリモートワークや在宅勤務の職種には、情報技術、コンピュータ・プログラミング、データベース、ソフトウェア関連の職務が含まれている。特に、顧客の個人情報、財務データ、企業のITデータベースおよび/または専有情報にアクセスする職種が含まれていることが報告されている。
Complaints report the use of voice spoofing, or potentially voice deepfakes, during online interviews of the potential applicants. In these interviews, the actions and lip movement of the person seen interviewed on-camera do not completely coordinate with the audio of the person speaking. At times, actions such as coughing, sneezing, or other auditory actions are not aligned with what is presented visually. 苦情では、応募者のオンライン面接において、音声スプーフィング、または潜在的な音声ディープフェイクが使用されていることが報告されている。これらの面接では、カメラで撮影された面接者の動作や唇の動きが、話している人の音声と完全に一致していない。咳やくしゃみなどの聴覚的な動作と、視覚的に提示された動作が一致しないことがある。
IC3 complaints also depict the use of stolen PII to apply for these remote positions. Victims have reported the use of their identities and pre-employment background checks discovered PII given by some of the applicants belonged to another individual. また、IC3への苦情では、遠隔地のポジションに応募するために、盗まれた個人情報が使用されていることが指摘されている。被害者は、自分のIDが使用されたことを報告し、雇用前のバックグラウンド・チェックで、応募者の何人かが提供したPIIが別の個人のものであることを発見した。

 

Ic3_20220703044601

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.20 米国 カーネギーメロン大学ソフトウェア工学研究所 Deep Fakeの作成と検出はどの程度簡単か?

・2022.01.26 英国王立学会 オンライン情報環境(フェイク情報は削除すべき、削除すべきでない?)at 2022.01.19

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.10.12 中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.21 米国 上院議員がデータ保護法案を再提出

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.23 Europol, UNICRI, Trendmicro 犯罪者もAIを活用!(ディープフェイクだけではない)

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.09.04 マイクロソフトがDeepfake検出ツールを発表してました。。。

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.07.02 ディズニーがメガピクセルのディープフェイクで映画?

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.01.27 Deepfake

| | Comments (0)

2022.07.02

中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が「個人情報の越境移転に関する標準契約条項(意見募集案)」を公表し、意見募集をしていますね。。。

国家互联网信息办公室(国家サイバースペース管理局)

2022.06.30 国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)

 

内容は、、、

个人信息出境标准合同规定 個人情報の越境移転に関する標準的契約条項
(征求意见稿) (意見募集案)
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。 第1条 個人情報の流出活動を規制し、個人情報の権益を保護し、国境を越えた個人情報の安全かつ自由な流通を促進するため、「中華人民共和国個人情報保護法」に基づき、本規定を制定する。
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。 第2条 個人情報処理事業者は、中華人民共和国個人情報保護法第38条第1項第3号に基づき、海外の受取人に対し個人情報を提供する契約を締結する場合、これらの規定に基づき、個人情報の越境移転に関する標準契約(以下「標準契約」という)を締結するものとする。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。 その他、個人情報の越境移転に関して、個人情報取扱事業者と海外の受取人との間で締結される契約は、本標準契約に抵触しないものとする。
第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。 第3条 標準契約に基づいて個人情報の越境移転を行う場合、独立した契約と記録管理の組み合わせを遵守し、個人情報の越境移転セキュリティリスクを防止し、法律に従って個人情報の秩序と自由な流れを確保しなければならない。
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息: 第4条 個人情報取扱事業者は、次の各号にも該当する場合は、標準契約によって個人情報を国外に提供することができる。
(一)非关键信息基础设施运营者; (一)非重要情報インフラ事業者。
(二)处理个人信息不满100万人的; (二)100万人未満の個人情報を取り扱うもの
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的; (三) 前年の1月1日からの国外への個人情報の提供の累計が10万人に達しないとき。
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 (四) 前年の1月1日以降、外国への機微な個人情報の提供の累計が1万人に達しない場合。
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容: 第5条 個人情報取扱事業者は、個人情報を国外に提供する前に、以下の要素に着目して、個人情報保護に与える影響について事前に評価を行うものとする。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (一)個人情報取扱事業者及び海外受取事業者の個人情報の取扱いの目的、範囲及び方法の適法性、正当性及び必要性について。
(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; (二) 越境移転される個人情報の量、範囲、種類及び機密性、並びに個人情報の越境移転に起因する個人情報の権利及び利益に対する起こり得る危険性
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; (三) 海外の受取人が負う責任及び義務並びにその責任及び義務を履行するための管理及び技術的な措置並びに能力が国外に持ち出される個人情報の安全を保障することができるかどうか。
(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; (四) 越境後の個人情報の漏えい、破壊、改ざん、不正使用等のリスク、個人が個人情報の権利・利益を守るための手段が開かれているか等
(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响; (五) 海外の受取人の国または地域における個人情報保護に関する政策や規制が標準契約の履行に与える影響。
(六)其他可能影响个人信息出境安全的事项。 (六) その他、個人情報の越境の安全性に影響を与える事項。
第六条 标准合同包括以下主要内容: 第6条 標準契約書の主な内容は次のとおりである。
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等; (一) 個人情報の処理者及び海外受取人の氏名、住所、連絡先等の基本情報。
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等; (二)越境する個人情報の目的、範囲、種類、機密性、数量、方法、保管期間、保管場所等
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等; (三) 個人情報取扱事業者及び海外受取事業者の個人情報保護に関する責任及び義務並びに個人情報等の持ち出しに伴い発生し得る安全上のリスクを防止するために講じた技術的及び管理的措置。
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响; (四) 海外の受取人の国または地域における個人情報保護に関する政策や規制が、この契約条件の遵守に与える影響。
(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式; (五) 個人情報主体の権利、及び個人情報主体の権利を保護する方法・手段
(六)救济、合同解除、违约责任、争议解决等。 (六) 救済措置、契約の解除、契約不履行責任、紛争解決等
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料: 第7条 個人情報取扱事業者は、標準契約書の発効日から10営業日以内に、所在地の省内インターネット情報部門に契約書を提出しなければならない。 記録のため、以下の資料を提出すること。
(一)标准合同; (一)標準契約。
(二)个人信息保护影响评估报告。 (二) 個人情報保護に関する影響評価報告書。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。 個人情報取扱事業者は、提出された資料の真偽について責任を負うものとする。 個人情報処理事業者は、標準契約の効力発生後、個人情報の越境移転を行うことがでる。
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案: 第8条 個人情報処理事業者は、標準契約の有効期間中に次の各号の一に該当する事由が生じたときは、標準契約を再締結し、これを届け出るものとする。
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; (一) 海外の受取人に提供する個人情報の利用目的、範囲、種類、機密性、数量、方法、保管場所及び海外受取人による個人情報の利用及び取扱いの変更、又は国外での個人情報の保管期間の延長。
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的; (二) 海外の受取人の所在する国または地域の個人情報保護方針および規則の変更で、個人情報の権利・利益に影響を及ぼす可能性があるもの。
(三)可能影响个人信息权益的其他情况。 (三) その他個人情報の権利利益に影響を及ぼす可能性のある事情。
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 第9条 標準契約書の提出に関わる機関および職員は、職務遂行上知り得た個人のプライバシー、個人情報、商業上の秘密および業務上の機密を法律に従い守秘し、他人に開示し、または違法に使用してはならない。
第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。 第10条 個人情報取扱事業者が本規定に違反していると認める組織または個人は、省レベル以上のインターネット情報部門に苦情または通報する権利を有する。
第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。 第11条 省レベル以上のインターネット情報部門は、標準契約の締結による個人情報越境移転が、実際の処理過程で個人情報越境移転の安全管理のための要件を満たさなくなったと判断した場合、個人情報加工業者に書面により通知し、個人情報越境移転を中止させなければならない。 個人情報処理事業者は、通知を受けた後、直ちに個人情報の越境移転を停止する。
第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。 第12条 個人情報取扱事業者が、本規定に基づき海外の受取人と標準契約を締結し、個人情報を国外に提供する場合、省レベル以上のインターネット情報部門は、「中華人民共和国個人情報保護法」の規定に基づき、一定期間内に是正を命ずる。また、是正せず個人情報の権利・利益を損害した場合は、個人情報越境移転行為の停止を命じ、法律に基づき処罰する。 刑事責任は、法律に従って調査される。
(一)未履行备案程序或者提交虚假材料进行备案的; (一) 申告手続きに従わず、または虚偽の申告資料を提出した場合。
(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的; (二)標準契約で合意した責任義務を履行せず、個人情報の権利利益を侵害し、損害を与えた場合。
(三)出现影响个人信息权益的其他情形。 (三) その他個人情報の権利利益に影響を及ぼす場合。
第十三条 本规定自___年___月___日起施行。 第13条 この規定は、○月○日から施行する。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.07.06 中国のデータセキュリティ法案

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

 


 

越境移転関係

・2022.06.23 個人情報保護委員会「個人情報保護委員会の国際戦略」の公表

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連..

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

・2022.03.08 経済産業省 データの越境移転に関する研究会 報告書 (2022.02.28)

・2021.11.21 欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

・2021.07.04 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表

時代は少し遡り...

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

 

 

| | Comments (0)

デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。

こんにちは、丸山満彦です。

デジタル庁が、デジタル社会推進標準ガイドラインを公表していますが、そこにセキュリティに関するドキュメントが4つ、データ連携に関するドキュメントが1つ追加されましたね。。。

デジタル庁の「次世代セキュリティアーキテクチャ検討会」委員をしておりまして、こういうガイドラインが充実していけば良いと思っております。。。

● デジタル庁資料 - デジタル社会推進標準ガイドライン

 

セキュリティに関するドキュメント

ドキュメント名 本文
[PDF]
統合版[ZIP] 最終改定 ドキュメントの位置づけ 概要
DS-200 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン 2,145KB 4,151KB 2022.06.30 Informative 情報システムに対して効率的にセキュリティを確保するためには、情報システムの企画から運用まで一貫したセキュリティ対策(セキュリティ・バイ・デザイン)を実施する必要がある。本文書はシステムライフサイクルにおけるセキュリティ対策を俯瞰的にとらえるため、各工程でのセキュリティ実施内容、要求事項を記載するとともに、関係者の役割を定義する。
DS-210 ゼロトラストアーキテクチャ適用方針 774KB 981KB 2022.06.30 Informative クラウドサービスの利活用拡大や、リモートワーク等の業務環境の変化に伴い、従来の境界型のセキュリティモデルだけでは、近年の高度化したサイバー攻撃を完全に予防・防御することは困難になってきており、ゼロトラストな考え方の適用が求められている。本文書は、ゼロトラスト・アーキテクチャを適用するための基本方針を説明するとともに、導入時の留意事項について述べる。
DS-211 常時リスク診断・対処(CRSA)アーキテクチャ 1,073KB 1,491KB 2022.06.30 Informative ゼロトラストアーキテクチャの環境下において、安定且つ安全なサービス提供を実現するためには、政府全体のサイバーセキュリティリスクを早期に検知し、低減する事が必要となる。本文書は、この活動を継続的に実施するための、情報収集・分析を目的としたプラットフォームのアーキテクチャについて説明する。
DS-221 政府情報システムにおける脆弱性診断導入ガイドライン 1,078KB 1,292KB 2022.06.30 Informative 政府情報システムにおいてサイバーレジリエンスを確保するためには、脆弱性診断を実施することが重要である。本文書は、最適な脆弱性診断を選定、調達できるようにするための、脆弱性導入に係る基準とその指針について説明する。


データ連携に関するドキュメント

ドキュメント名 本文
[PDF]
統合版
[ZIP]
最終改定 ドキュメントの位置づけ 概要
DS-400 政府相互運用性フレームワーク(GIF)   34,884KB 2022.06.30 Informative データの利活用、連携がスムースに行える社会を実現するための技術的体系として、「政府相互運用性フレームワーク(Government Interoperability Framework)」(GIF​)を提供する。当フレームワークを利用してデータを整備することで、拡張性が高く、連携が容易なデータを設計することが可能。

 

Digital




Continue reading "デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。"

| | Comments (0)

2022.07.01

ENISA 年次プライバシーフォーラム (APF) 2022 in Warsaw (2022.06.24)

こんにちは、丸山満彦です。

ENISAが2022.06.23-24にワルシャワで開催された第10回年次プライバシーフォーラム (APF) 2022 の概要を公表していますね。。。

● ENISA

・2022.06.24 The Annual Privacy Forum (APF) celebrates its first 10 years, as the links between privacy protection & cybersecurity continue to grow

パネルディスカッションでは、次の3つが議論されたようですね。。。

AI and privacy challenges AIとプライバシーの課題
privacy preserving data sharing プライバシー保護データ共有
Privacy by Design and cookies. プライバシーバイデザインとCookie

 

Key take-aways 主な成果
What became clear from the discussion is that: 今回のディスカッションで明らかになったことは、以下の通りである。
The issues touched upon at the APF affect an ever-broader cross-sector of stakeholders and the open debate needs to continue. APFで取り上げられた問題は、これまで以上に幅広いステークホルダーに影響を与えており、オープンな議論を継続する必要がある。
AI systems may process personal information independently without taking into account compliance with GDPR data protection principles such as: purpose limitation, data minimization, accountability, fairness or transparency. This may lead to unexpected consequences and negative impacts for individuals, demanding action in terms of adequate safeguards. AIシステムは、目的の限定、データの最小化、説明責任、公平性、透明性といったGDPRデータ保護原則の遵守を考慮することなく、独自に個人情報を処理する可能性がある。これは、個人にとって予期せぬ結果や悪影響をもたらす可能性があり、適切な保護措置の観点からの対応を要求している。
The risks for privacy stemming from the rapid advancement of digital solutions and the use of multiple sources represent ever-moving targets. They require an approach which addresses the continuously evolving technological and legal challenges, such as: デジタルソリューションの急速な発展と複数の情報源の利用から生じるプライバシーに関するリスクは、常に変化する標的である。それらは、以下のような継続的に進化する技術的・法的課題に対処するアプローチを必要とする。
・The rule-based use of large AI models in relation to how they may be combined and for what purposes they should be used; ・大規模なAIモデルをどのように組み合わせ、どのような目的で使用するかに関連するルールベースの使用。
・The definition of criteria for trustworthiness in the technologies used providing a sufficient, adequate and meaningful information to users of the technologies and the data subjects; ・技術の利用者とデータ対象者に十分で適切かつ意味のある情報を提供するために使用される技術の信頼性基準の定義。
・Drawing attention to the increasing power of large platforms to predict data subject behaviour and considering a rule-based approach on collective data protection in addition to data subject protection; ・データ主体の行動を予測する大規模なプラットフォームの力が増大していることに注意を喚起し、データ主体の保護に加えて、集団データ保護に関する規則に基づくアプローチを検討すること。
・A collaboration strategy between DPAs which fosters effective enforcement; ・効果的なエンフォースメントを促進するDPA間の連携戦略。
・Privacy preserving data sharing which remains a challenge in the current new EU legislative initiatives. This should take into account the technical aspects of secure date transfers, anti-money laundry and anti-terrorism enforcement, as well as the different roles and bodies that are involved in the supervision related to data sharing including which of these bodies acts as the coordinating authority; and finally ・現在のEUの新たな立法措置において課題となっているプライバシーを保護したデータ共有。これは、安全なデータ転送、アンチマネーロンダリング、アンチテロの実施に関する技術的側面と、データ共有に関連する監督に関与する様々な役割や機関(これらの機関のうち誰が調整当局として機能するかを含む)を考慮する必要がある。
・New tools to adequately respond to the new emerging EU Regulations like the Digital Services Act, Digital Markets Act, the AI Act and NIS2 Directive in order to better protect our fundamental rights. ・デジタルサービス法、デジタル市場法、AI法、NIS2指令などの新しいEU規制に適切に対応し、我々の基本的権利をよりよく保護するための新しいツール。
From a privacy regulator perspective, it is important to build bridges between scientific research and the practice in data protection to effectively deal with new technologies. The principles of transparency, interpretability, explainability and fairness are key. プライバシー規制当局の立場からは、新しい技術に効果的に対処するために、科学的研究とデータ保護の実務の間に橋を架けることが重要である。透明性、解釈可能性、説明可能性、公平性の原則が重要である。
If privacy by design is applied in cookie banners, data subjects would not be required to define the settings, as they are set in a way that only the minimal settings are default. This especially should be the case for third party cookies. The attention of those parties using cookie banners should be placed on explaining the purpose of using cookies instead of technology-based explanations. クッキーバナーにおいてプライバシー・バイ・デザインが適用されれば、最低限の設定のみがデフォルトとなるように設定されるため、データ主体が設定を定義する必要はなくなるはずである。特にサードパーティのクッキーについてはそうであるべきである。クッキーバナーを使用する側の注意としては、技術的な説明ではなく、クッキーを使用する目的を説明することに重点を置くべきである。
This 10th version of the Annual Privacy Forum provided great points to consider for the challenges ahead and set the scene for future Annual Privacy Forums. 今回の第10回年次プライバシー・フォーラムは、今後の課題を考える上で大きなポイントを提供し、今後の年次プライバシー・フォーラムの舞台を整えた。
The next Annual Privacy Forum is planned in 1st and 2nd of June, 2023 in Lyon, France. The APF invites you to join us in 次回の年次プライバシーフォーラムは、2023年6月1日、2日にフランス・リヨンで開催する予定である。APFは、皆様の参加を待っている。

 

AFP自体のウェブページは、

Annual Privacy Forum 2022

プログラムは、

PROGRAMME

| | Comments (0)

2022.06.30

公安調査庁 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示(2022.06.23)

こんにちは、丸山満彦です。

2022.06.23に公安調査庁長官が、公安調査局長・公安調査事務所長会議での訓示が公開されていますね。。。

 

概要は、

1. 経済安全保障に関する取組の強化・推進(経済安全保障特別調査室を設置)
(1)
官民連携の推進
(2)
国内外の関係機関との更なる連携の強化
(3)
機能・体制の強化

2. サイバー空間における脅威に対する取組の強化・推進(サイバー特別調査室を設置等)

3. 我が国の外交・安全保障に関する各種動向の迅速かつ的確な把握
(1)
北朝鮮
(2) 中国は
(3)
ロシア
(4)
インフルエンス・オペレーション(偽情報の流布なども含めた活動)
(5)
国際テロ情勢(ISIL、アルカイダなどの国際テロ組織、アフガニスタン)
(6)
ウクライナ情勢

4. いわゆるオウム真理教に対する観察処分の適正かつ厳格な実施

ということのようです。。。

 

サイバーセキュリティ部分...


第二に、サイバー空間における脅威に対する取組の強化・推進についてです。
 サイバー攻撃が国内外で常態化し、その手口も巧妙化する中で、特に我が国の周辺国等は、その政治的、軍事的、経済的目的を達成するため、サイバー空間を利用した諜報活動や重要インフラの破壊、偽情報の流布などによる情報操作といったサイバー戦能力を強化しており、我が国の安全保障に与える影響等を注視していかなければなりません。
 このような情勢を受け、サイバー攻撃事案等に係る情報収集・分析能力を強化するため、本年4月、サイバー特別調査室を設置しました。サイバー関連情報については、高まる情報ニーズの中、当庁に寄せられる期待にこれまで以上に応える必要があります。各局・事務所においても、サイバー特別調査室と緊密に連携し、同関連調査をより一層推進していただきたいと思います。


 

公安調査庁

・2022.06.23 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示

 

1hroyyh9_400x400

| | Comments (0)

2022.06.29

メタバースのシステム構成論(佐藤一郎教授の資料 at 総務省 情報通信法学研究会AI分科会(令和4年度第1回会合))

こんにちは、丸山満彦です。

昨日は、欧州議会のThink Tankによるメタバース:機会、リスク、政策への影響について載せましたが、今日は総務省情報通信法学研究会AI分科会(令和4年度第1回会合)の佐藤一郎教授(構成員)のメタバースのシステム構成論です。。。

技術進歩とともに、できることが増えることにより、その結果は良い面にも悪い面にも影響を及ぼす、だからどのような政策が必要かというのが昨日の話ですが、そもそも技術の限界はどのようなものかというのが、今回の佐藤先生の資料から見えてくる部分もあるように思います。

これは読む価値があると思います。。。

個人的には、技術進歩により変わってきている一つの要素に没入感があると思います。演算速度、通信速度が高まり、現実に近い画像解像度、音質を3D的に表現しつつ他人とインタラクティブにコミュニケーションができるようになったきたということですね。。。(と言っても、視覚と聴覚だけですが。。。)

それ以外は既に歴史を振り返って検証すればわかることが多いのではないかと思っています。。。(それも佐藤先生の資料にありますが、、、)

そういう意味では、健康や心理的な側面の検討をより進める必要があるのかもしれません。。。

そして当面は、仮想社会ができても、現実社会との紐付けからは逃れられないようにする必要があるようのではないかと思います。つまり、KYC的なものは必要ということになると思います。。。(人類が仮想空間で過ごす時間が現実空間で過ごす時間より増えても、KYC的なものが必要なのは変わらないのであれば、常に必要ということかもしれない。)

ということで、当面の利用は、少人数による管理された環境下(例えば企業内でのコミュニケーション、会員間でのゲームやシミュレーション等)で使われるのが現実的なのかもしれません。。。

とはいえ、プラットフォーマの手数料も含めたシステム開発費、運用費の負担に比した利用のメリットがどれだけあるのか???ということを現実的に突き詰めていく頃には、どのようなものが残っているのかというのは興味があります。。。(もちろん、技術進歩により、同じ性能における開発費や運用費も下がっていくでしょうし。。。)

 

総務省  - 情報通信法学研究会 Fig1_20220629050001

・2022.06.29 情報通信法学研究会AI分科会(令和4年度第1回会合) 

[PDF] 資料1         佐藤構成員発表資料

20220629-45813


[PDF] 資料2         成原構成員解説資料
[PDF] 参考資料1 情報通信法学研究会開催要綱
[PDF] 参考資料2 情報通信法学研究会分科会構成
[PDF] 参考資料3 学術雑誌『情報通信政策研究』第6巻第1号の特集について


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

 

| | Comments (0)

2022.06.28

JIPDEC 将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~

こんにちは、丸山満彦です。

一般財団法人 日本情報経済社会推進協会 (JIPDEC) が、情報セキュリティ対策を行うためのエッセンスを紹介したガイドブック「将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~」を新たにまとめ、発行していますね。。。

12ページでコンパクトにまとめられているということですかね。。。

主なポイントは以下のとおりとのことです。。。



■ テレワークによる職場環境やクラウドサービス活用を含むシステム変更等によって変化するリスクにどう対応するかを解説
■ 情報セキュリティにおけるガバナンスの重要性を解説
■ デジタルトランスフォーメーション(DX)推進に即したセキュリティ対策の考え方を紹介


 

● JIPDEC

・2022.06.27 JIPDEC クラウドサービス提供&利用のリスク対応を解説したガイドブックを発行 - 今、そして将来の脅威にどう対応する?ISO規格をもとにISMS構築のエッセンスを解説!

・[PDF] 将来の脅威に対応できるISMS 構築のエッセンス ~クラウドセキュリティに役立つISO 規格~ 

20220628-51355

 

目次...

1 はじめに
2
目的に沿った運用にするには
 2.1
ガバナンス
 2.2
リスクマネジメント
 2.3
運用時の注意事項
3
効果的な仕組みづくりのために ~ISMS 適合性評価制度の活用~
4
おわりに


 

 

| | Comments (0)

欧州議会 Think Tank メタバース:機会、リスク、政策への影響

こんにちは、丸山満彦です。

欧州議会のThink Tankが、メタバースをめぐる、機会、リスク、政策への影響について考察したレポートを公表していますね。。。

メタバースというか、仮想現実、拡張現実を利用し、没入感を高めたデジタル環境において、人間社会にどのようなチャンスとリスクがあるのか、それを踏まえてどのような政策が必要かを考察している資料ですね。。。

さすが欧州ですね。日本ではここまで踏み込んで検討していないでしょうね。。。

 

European Parliament - Think Tank

・2022.06.24 Metaverse: Opportunities, risks and policy implications

Metaverse: Opportunities, risks and policy implications メタバース:機会、リスク、政策への影響
One of the most talked about concepts in modern technology, the metaverse can be described as an immersive and constant virtual 3D world where people interact by means of an avatar to carry out a wide range of activities. Such activities can range from leisure and gaming to professional and commercial interactions, financial transactions or even health interventions such as surgery. While the exact scope and impact of the metaverse on society and on the economy is still unknown, it can already be seen that the metaverse will open up a range of opportunities but also a number of risks in a variety of policy areas. Major tech companies are scaling up their metaverse activities, including through mergers and acquisitions. This has given impetus to a debate on how merger regulations and antitrust law should apply. Business in the metaverse is expected to be underpinned largely by cryptocurrencies and non-fungible tokens, raising issues of ownership, misuse, interoperability and portability. Furthermore, the huge volume of data used in the metaverse raises a number of data protection and cybersecurity issues (e.g. how to collect user consent or protect avatars against identity theft). There is considerable scope for a wide range of illegal and harmful behaviours and practices in the metaverse environment. This makes it essential to consider how to attribute responsibility, inter alia, for fighting illegal and harmful practices and misleading advertising practices, and for protecting intellectual property rights. Moreover, digital immersion in the metaverse can have severe negative impacts on health, especially for vulnerable groups, such as minors, who may require special protection. Finally, the accessibility and inclusiveness of the metaverse remain areas where progress has still to be made in order to create an environment of equal opportunities. 現代技術で最も話題になっている概念の一つであるメタバースは、人々がアバターによって交流し、様々な活動を行う没入型かつ恒常的な仮想3D世界と表現することができる。このような活動は、レジャーやゲームから、専門家や商人との交流、金融取引、あるいは手術などの健康介入に至るまで、多岐にわたる。メタバースが社会や経済に及ぼす正確な範囲や影響はまだ不明だが、メタバースがさまざまな政策分野において、さまざまな機会をもたらすと同時に、多くのリスクをもたらすことはすでに確認されている。大手ハイテク企業は、M&Aを含め、メタバース活動を拡大している。このため、合併規制や独禁法の適用をどうするかという議論に弾みがついている。メタバースにおけるビジネスは、主に暗号通貨や非ファンジブルトークンに支えられ、所有権、不正使用、相互運用性、ポータビリティの問題が生じると予想される。さらに、メタバースで使用される膨大なデータは、多くのデータ保護とサイバーセキュリティの問題を提起する(例えば、利用者の同意を収集する方法、ID盗難からアバターを保護する方法など)。メタバース環境では、さまざまな違法・有害な行動や行為が行われる可能性がかなりある。このため、特に違法・有害な行為や誤解を招くような広告手法との戦い、および知的財産権の保護について、どのように責任を帰属させるかを検討することが不可欠である。さらに、メタバースにおけるデジタルへの没入は、特に特別な保護を必要とする未成年者などの脆弱な集団にとって、健康に深刻な悪影響を及ぼす可能性がある。最後に、メタバースのアクセシビリティと包摂性は、機会均等の環境を作るために、依然として進展が必要な領域である。

 

検討している内容は、次の7分野で、

o Competition  o 競争
o Data protection o データ保護
o Liabilities o 負債
o Financial transactions o 金融取引
o Cybersecurity  o サイバーセキュリティ 
o Health o 健康
o Accessibility and inclusiveness o アクセシビリティと包摂性

それぞれ、課題、考えられる政策的影響を分析しています。

非常に参考になると思います。

 

・2022.06.24 [PDF] Metaverse - Opportunities, risks and policy implications

20220628-43121

内容は、、、

Continue reading "欧州議会 Think Tank メタバース:機会、リスク、政策への影響"

| | Comments (0)

2022.06.27

ドイツ BSI TR-03161 ヘルスケア分野でのアプリケーション等に対するセキュリティ要求事項

こんにちは、丸山満彦です。

ドイツが、ヘルスケア分野のアプリケーションについてのセキュリティ要求事項を「モバイルアプリケーション (TR-03161-1)」 、「ウェブアプリケーション (TR-03161-2)」 、「バックグラウンドシステム (TR-03161-3)」に分けて公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

プレス...

・2022.06.23 Bundesamt für Sicherheit in der Informationstechnik BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen

BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen BSI、デジタルヘルス・アプリケーションのセキュリティに関する技術指針を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Im Rahmen unterschiedlicher explorativer Projekte konnte das BSI in den letzten Jahren Erkenntnisse über den aktuellen Stand der IT-Sicherheit im Gesundheitswesen gewinnen. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). ドイツ連邦情報セキュリティ局 (BSI) は、ヘルスケア分野のアプリケーションに対するセキュリティ要件を発表しました。BSIは、さまざまな探索的プロジェクトの枠組みの中で、近年のヘルスケア分野におけるITセキュリティの現状について知見を得ることができました。メーカーやオペレーターに予防策を提供できるよう、ヘルスケア分野のさまざまなアプリケーションのサブエリアについて、セキュリティ要件が作成されています。本技術指針は、モバイルアプリケーション (TR-03161-1) 、ウェブアプリケーション (TR-03161-2) 、バックグラウンドシステム (TR-03161-3) の要件をいくつかのパートに分けて構成しています。
Die Anforderungen basieren auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Unter Berücksichtigung der stark fortschreitenden Digitalisierung im Gesundheitswesen und des sich wandelnden Standes der Technik, pflegt das BSI weiterhin einen regelmäßigen Austausch mit Vertretern der Industrie und den zuständigen Behörden. Die sich hieraus ergebenden Erkenntnisse werden im Rahmen einer jährlichen Evaluierung der TR berücksichtigt und in Form von Anpassungen und Erweiterungen mit aufgenommen. 要件は、ヘルスケアにおける現状と、BSIのさまざまなプロジェクトで得られた知見に基づいています。さらに、BSIの観点からは、産業界との定期的な交流や、連邦医薬品・医療機器研究所 (BfArM) 、連邦データ保護・情報自由委員会 (BfDI) の関与の結果であると言えるでしょう。BSIは、急速に進むヘルスケア分野のデジタル化とその状況の変化を考慮し、産業界や所轄官庁の代表者と定期的な交流を続けています。その結果得られた知見は、毎年行われるTRの評価で考慮され、適応や拡張の形で盛り込まれます。
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. 記載されたセキュリティ要件に適合していることを証明するために、BSI は TR に従った認証手続きを提供します。
Digitale Gesundheitsanwendungen (DiGA) nach § 33 a SGB V und digitale Pflegeanwendungen (DiPA) nach § 40 a SGB XI können grundsätzlich als Anwendungen im Gesundheitswesen gewertet werden. Eine Anerkennung der Zertifizierung nach TR für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem BfArM. 33 a SGB Vによるデジタルヘルスアプリケーション (DiGA) と40 a SGB XIによるデジタルケアアプリケーション (DiPA) は、基本的にヘルスケア分野におけるアプリケーションとして評価することができる。満たすべき安全要件の証明として、SGB V §139 e 10 項に関する DiGA および SGB XI §78 a 7 項に関する DiPA の TR による認証の承認は、BfArM の責任です。

 

 

・2022.06.23 BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen BSI TR-03161 ヘルスケア分野でのアプリケーションに対する要求事項
Gegenstand der Technischen Richtlinie 技術指針の対象
Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH]. 連邦保健省によると、欧米の医療制度は大きな課題に直面しています。高齢者や慢性疾患患者が増え、高価な医療技術革新に費用がかかり、構造的に弱い地方に医療を提供しなければならないのです[BMG-EHI]。ヘルスケア・アプリケーションは、このような課題をよりよく解決するために役立ちます。これらは、「患者の治療とケア」を支援し、「現代の情報通信技術 (ICT) が提供する可能性を利用する」ことを一般的な目的としています[BMG-EH]。
Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern. 技術ガイドライン (TR) ファミリーは、ヘルスケア分野のアプリケーションメーカーを対象としています。また、機密性の高いデータを処理・保管するアプリケーションのガイドラインとしても考慮できる。
Zielsetzung der Technischen Richtlinie 技術指針の目的
Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt. 職場、家庭環境、個人、公共交通機関など、生活のあらゆる場面でデジタル化が着実に進行しています。すでに2018年には、インターネット利用者が40億人を突破しています。現在、世界の人口76億人のうち、3分の2が携帯電話を使用しています。30億人以上の人々がソーシャルネットワークを利用し、10件中9件はスマートフォンから利用しています ([GDR18]を参照) 。このような動きは、ヘルスケア分野でも続いており、「セルフトラッキング」の流れに加え、一度収集した医療データの効率的な活用が求められています。特に医療分野では、場所や時間に関係なく自分の医療データにアクセスできるのは便利なことです。この場合、アプリケーションには、脈拍や睡眠リズムの記録、投薬計画、医療処方箋や証明書など、機密性の高い個人情報が保存されます。ユーザーを対応するサービスに接続し、通信ノードとして機能する。エンドデバイスが危険にさらされると、意図せずユーザーのデジタルライフ全体が明らかになり、高額な金銭的損害につながる可能性があるのです。適切なセキュリティ基準を遵守することで、このような事態をより困難なものとし、場合によっては防ぐことができます。開発段階であっても、メーカーはアプリケーションが個人情報やその他の機密情報をどのように処理し、保存し、保護するかについて、非常に責任ある計画を立てる必要があります。
Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. ITセキュリティは、基本的に3つの保護目標を追求しています。機密性、完全性、可用性。
Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben. 特に、ヘルスケア分野のアプリケーションでは、これらの要件への適合が重要です。特に医療分野では、意図せず公開された健康データの機密性は永遠に失われます。この場合、患者は補償を受けることができるが、強制的な開示は元に戻すことができません。また、意図せずして健康データが開示されると、社会的・職業的に大きな影響を及ぼし、好ましくない結果になることもあります。万が一、攻撃者が第三者の機密データを操作し、その完全性を侵害した場合、治療の意思決定、ひいては本人の健康に大きな影響を与える可能性があります。
Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. この技術ガイドラインファミリーは、アプリケーション開発者が安全なソリューションを作成するためのガイドとして機能することを目的としています。
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート1:モバイルアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート2:ウェブアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme BSI TR-03161 ヘルスケアアプリケーションの要件 - Part 3: バックグラウンドシステム
Biometrie bei mobilen Gesundheitsanwendungen モバイルヘルスアプリケーションにおけるバイオメトリクス
Neue mobile Gesundheitsanwendungen sehen unter anderem auch eine biometrische Benutzerauthentisierung vor. Allerdings weist der Markt eine hohe Zahl an biometrischen Komponenten für mobile Endgeräte auf, welche sich in Performanz und Fälschungssicherheit deutlich unterscheiden. Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Smartphones für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, will das BSI biometrische Authentifikationssysteme auf Smartphones prüfen und im Frühjahr 2022 eine initiale Whitelist geeigneter Geräte veröffentlichen, welche danach in regelmäßigen Abständen aktualisiert werden wird. Eine Verwendung biometrischer Authentisierungsmethoden wird nur für Geräte in dieser Whitelist zulässig sein, alle anderen werden sich auf die klassischen PIN/Passwort-Verfahren beschränken müssen. モバイルヘルスの新しいアプリケーションには、バイオメトリクスによるユーザー認証が含まれます。しかし、市場にはモバイル機器用の生体認証部品が数多く存在し、その性能や偽造防止性能は大きく異なっているのが現状です。BSIは、モバイルヘルスアプリケーション用のスマートフォンにおける生体認証手順が十分な信頼性を達成できるよう、スマートフォンにおける生体認証システムのテストを行い、2022年春に適切なデバイスの初期ホワイトリストを公開し、その後定期的に更新する予定です。生体認証の使用は、このホワイトリストに登録された機器にのみ許可され、それ以外の機器では従来のPIN/パスワードによる認証に限定されます。
Die Anforderungen für diese Prüfung ergeben sich aus der - derzeit im Finalisierungs- und Veröffentlichungsprozess befindlichen - Technischen Richtlinie TR-03161-1 (Anhang C). Hersteller von Endgeräten, die an einer Listung ihrer Endgeräte in dieser Whitelist interessiert sind, werden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge werden die konkreten Prüfanforderungen sowie nähere Informationen zum Prüfprozess bereitgestellt. Die Prüfung besteht dabei im Wesentlichen aus zwei Komponenten. Zunächst benötigt das BSI eine Herstellererklärung, die dokumentiert, dass das jeweilige Endgerät die näher bezeichneten Anforderungen erfüllt und wie diese Prüfung seitens des Hersteller erfolgt ist. Diese Herstellererklärung wird dann im BSI auf Plausibilität geprüft. Darüber hinaus behält sich das BSI eine stichprobenartige praktische Kontrolle der Endgeräte vor. 本テストの要求事項は、現在最終版として発行されている技術指針 TR-03161-1  (Annex C) から導き出されたものです。このホワイトリストへの掲載を希望するエンドデバイスの製造者は、BSI に連絡することが望まれる。本講座では、具体的なテスト要件に加え、テストプロセスに関するより詳細な情報を提供します。このテストは、基本的に2つの要素で構成されています。まず、BSIは、それぞれのエンドデバイスが指定された要件を満たしていること、そしてこのテストが製造者によってどのように実施されたかを文書化した製造者の宣言を要求しています。この製造者の宣言は、BSIでもっともらしいかどうかチェックされる。さらに、BSI は、エンドデバイスのランダムな実地チェックを行う権利を留保します。
Endgeräte werden in die Whitelist aufgenommen, soweit die Angaben in der Herstellererklärung plausibel sind und - sofern einschlägig - eine etwaige stichprobenartige Prüfung des jeweiligen Endgeräts keine Zweifel an der Herstellererklärung aufgeworfen hat. Erfolgt die stichprobenartige Kontrolle nach der initialen Listung des Endgerätes in der Whitelist, kann ein negatives Prüfergebnis zur Entfernung dieses Gerätes von der Whitelist führen. Jeder Eintrag in der Whitelist beinhaltet die Hersteller- und Modellbezeichnung, die zugelassene biometrische Modalität und die ggf. notwendige Konfiguration für ein als geeignet eingestuftes Gerät. Weitere Informationen werden nicht veröffentlicht. Insbesondere ist nicht geplant, eine Art „Blacklist“ mit solchen Geräten, die die Anforderungen nicht erfüllen, zu veröffentlichen. 端末機器は、製造者の宣言に記載されている情報が妥当であり、かつ (該当する場合) 各端末機器のランダムチェックで製造者の宣言に疑義が生じない場合に、ホワイトリストに掲載されます。ホワイトリストにエンドデバイスを最初に登録した後にランダムチェックを実施した場合、テスト結果がよくなければ、このデバイスをホワイトリストから削除することができます。ホワイトリストの各項目には、メーカー名とモデル名、承認された生体認証モダリティ、適切と判断されたデバイスに必要な設定 (ある場合) が含まれています。それ以外の情報は公開されません。特に、要件を満たさないそのような機器の「ブラックリスト」のようなものを公表する予定はない。
Der gesamte Prüf- und Veröffentlichungsprozess erfolgt seitens des BSI unter Wahrung der Vertraulichkeit. Den Herstellern wird zudem - sowohl im Falle einer Aufnahme ihrer Endgeräte in die Whitelist als auch im Falle einer Ablehnung - unter angemessener Fristsetzung Gelegenheit zur Stellungnahme gegeben werden. テストと公表の全プロセスは、BSIが機密を保持しながら実施します。さらに、製造者は、合理的な期間内に、ホワイトリストにエンドデバイスを含める場合と拒否する場合の両方について、意見を述べる機会を与えられます。
Aufgrund des dargestellten Prüfprozesses erhebt die Whitelist keinen Anspruch auf Vollständigkeit. Aus der fehlenden Listung eines Endgerätes in der Whitelist kann somit nicht zwingend der Schluss gezogen werden, dass dieses Gerät die Prüfanforderungen nicht erfüllt. 上記のような審査のため、ホワイトリストが完全であるとは言えません。ホワイトリストに含まれていないからといって、必ずしもテスト要件を満たしていないとは限りません。

 

モバイル版 T1

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

20220627-141320

ウェブアプリケーション版 T2

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

20220627-141339

バックグラウンドシステム版 T3

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

20220627-141353

 

目次は共通項目が多いので、、、

     -1 -2  -3
1 Einleitung 1 はじめに
1.1 Gegenstand der Technischen Richtlinie 1.1 技術指針の主題
1.2 Zielsetzung der Technischen Richtlinie 1.2 技術指針の目的
1.3 Übersicht der Technischen Richtlinie 1.3 技術指針の概要
1.3.1 Methodik 1.3.1 方法論
1.3.2 Begriffe 1.3.2 用語の説明
2 Überblick der Sicherheitsanforderungen an Anwendungen im Gesundheitswesen 2 ヘルスケアアプリケーションに求められるセキュリティ要件の概要
2.1 Anwendungskonzepte auf mobilen Endgeräten 2.1 モバイル端末におけるアプリケーションの概念
2.1.1 Native-Anwendungen 2.1.1 ネイティブアプリケーション
2.1.2 Hybride Ansätze 2.1.2 ハイブリッド・アプローチ
2.2 Web-Anwendungen 2.2 ウェブアプリケーション
2.3 Hintergrundsysteme 2.3 バックグラウンド・システム
2.3.1 Selbst gehostete Systeme 2.3.1 セルフホストシステム
2.3.2 Extern gehostete Systeme 2.3.2 外部からホストされるシステム
2.3.3 Cloud Computing 2.3.3 クラウドコンピューティング
2.4 Security Problem Definition 2.4 セキュリティ問題の定義
2.4.1 Annahmen 2.4.1 前提条件
2.4.2 Bedrohungen 2.4.2 脅威
2.4.3 Organisatorische Sicherheitspolitiken 2.4.3 組織的なセキュリティポリシー
2.4.4 Restrisiken 2.4.4 残留リスク
3 Prüfaspekte für Anwendungen im Gesundheitswesen 3 ヘルスケアアプリケーションのためのテストの側面
3.1 Prüfaspekte 3.1 テスト面
3.1.1 Prüfaspekt (1): Anwendungszweck 3.1.1 テスト側面  (1) :適用目的
3.1.2 Prüfaspekt (2): Architektur 3.1.2 テスト側面  (2) :アーキテクチャ
3.1.3 Prüfaspekt (3): Quellcode 3.1.3 テスト側面  (3) :ソースコード
3.1.4 Prüfaspekt (4): Drittanbieter-Software 3.1.4 テスト側面  (4) :サードパーティソフトウェア
3.1.5 Prüfaspekt (5): Kryptographische Umsetzung 3.1.5 テスト側面  (5) :暗号化実装
3.1.6 Prüfaspekt (6): Authentifizierung 3.1.6 テスト側面  (6) :認証
3.1.7 Prüfaspekt (7): Datensicherheit 3.1.7 テスト側面  (7) :データセキュリティ
3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen 3.1.8 テスト側面  (8) :有償リソース
3.1.9 Prüfaspekt (9): Netzwerkkommunikation 3.1.9 テスト側面  (9)  :ネットワーク通信  
3.1.10 Prüfaspekt (10): Plattformspezifische Interaktionen 3.1.10 テスト側面  (10)  :プラットフォーム固有のインタラクション  
3.1.9 Prüfaspekt (9): Netzwerksicherheit 3.1.9 テスト側面 (9) :ネットワークセキュリティ    
3.1.10 Prüfaspekt (10): Organisatorische Sicherheit
3.1.10 テスト側面 (10) :組織的なセキュリティ    
3.1.11 Prüfaspekt (11): Resilienz 3.1.11 テスト側面  (11)  :回復力  
4 Prüfschritte einer Anwendung im Gesundheitswesen 4. ヘルスケアアプリケーションのテストステップ
4.1 Anforderungen an die Prüfung 4.1 テスト要件
4.2 Protokollierung der Ergebnisse 4.2 結果の記録
4.3 Testcharakteristika 4.3 テスト特性
4.3.1 Testcharakteristik zu Prüfaspekt (1): Anwendungszweck 4.3.1 テスト側面  (1)  に対するテスト特性:適用目的
4.3.2 Testcharakteristik zu Prüfaspekt (2): Architektur 4.3.2 テスト側面  (2)  のテスト特性:アーキテクチャ
4.3.3 Testcharakteristik zu Prüfaspekt (3): Quellcode 4.3.3 テスト側面  (3)  のテスト特性:ソースコード
4.3.4 Testcharakteristik zu Prüfaspekt (4): Drittanbieter-Software 4.3.4 テスト側面  (4)  :サードパーティソフトウェアに関するテスト特性
4.3.5 Testcharakteristik zu Prüfaspekt (5): Kryptographische Umsetzung 4.3.5 テスト側面  (5)  のテスト特性:暗号化実装
4.3.6 Testcharakteristik zu Prüfaspekt (6): Authentifizierung 4.3.6 テスト側面  (6)  のテスト特性:認証
4.3.7 Testcharakteristik zu Prüfaspekt (7): Datensicherheit 4.3.7 テスト側面  (7)  に対するテスト特性:データセキュリティ
4.3.8 Testcharakteristik zu Prüfaspekt (8): Kostenpflichtige Ressourcen 4.3.8 テスト側面  (8)  のテスト特性:有償リソース
4.3.9 Testcharakteristik zu Prüfaspekt (9): Netzwerkkommunikation 4.3.9 テスト側面 (9) のテスト特性:ネットワーク通信
4.3.10 Testcharakteristik zu Prüfaspekt (10): Plattformspezifische Interaktionen 4.3.10 テスト側面 (10) :プラットフォーム固有のインタラクションに関するテスト特性
4.3.11 Testcharakteristik zu Prüfaspekt (11): Resilienz 4.3.11 テスト側面 (11) のテスト特性:弾力性 (Resilience  
5 Sicherheitsstufen und Risikoanalyse 5 セキュリティレベルとリスク分析
Anhang A: Schutzbedarf sensibler Datenelemente 附属書A:機密データ要素の保護要件
Anhang B: Begutachtungsperspektive 附属書B:評価の視点
B.1. Primäres Designziel B.1. 設計の主目的
B.2. Schutzmechanismen B.2. 保護機構
B.3. Sichere Entwicklung B.3. 安全な開発
B.4. Authentifizierung B.4. 認証
B.5. Sicherheit der Kommunikation B.5. 通信セキュリティ
B.6. Weitere Prüfthemen B.6. その他のテストトピック
Anhang C: Anforderungen an biometrische Authentifizierungs- und Verifizierungsverfahren für Anwendungen im Gesundheitswesen 附属書C:ヘルスケアアプリケーションのためのバイオメトリクス認証および検証方法に関する要求事項    
C.1.  Anforderungen an die Leistung und an die Erkennung von Präsentationsangriffen biometrischer Systeme auf mobilen Endgeräten C.1. モバイル機器上の生体認証システムの性能とプレゼンテーション攻撃検知の要件    
C.1.1. Begriffe C.1.1. 用語    
C.1.2. [GEN] Allgemeine Anforderungen C.1.2 [GEN] 一般要求事項    
Abkürzungsverzeichnis 略語一覧
Literaturverzeichnis 参照情報

 

参考になるBSIのページ...

eHealth – Cyber-Sicherheit im Gesundheitswesen

eHealth – Cyber-Sicherheit im Gesundheitswesen eHealth - ヘルスケア分野でのサイバーセキュリティ
Der Bereich eHealth befasst sich mit der Digitalisierung im Gesundheitswesen. Er wird thematisch in verschiedene Abschnitte aufgeteilt. Zum einen geht es um die elektronische Gesundheitskarte (eGK) und die dazugehörige Telematikinfrastruktur (TI) und zum anderen um die Cyber-Sicherheit von in Deutschland eingesetzter Medizintechnik. eHealthの分野では、ヘルスケア分野のデジタル化を扱っています。テーマ別に分かれています。一方では、電子健康保険証 (eGK) と関連するテレマティクスインフラ (TI) を扱い、他方では、ドイツで使用されている医療技術のサイバーセキュリティを扱っています。
Moderne Gesundheitsversorgung: digital und sicher 現代の医療:デジタルとセキュア
Medizinische Versorgung in Deutschland wird allen zu Teil. Sie ist ein Gradmesser für den Wohlstand, die Stärke und Solidarität in einer Gesellschaft. Das Gesundheitswesen in unserem Land gilt weltweit als eines der besten – auch, weil es in vielen Bereichen digitalisiert ist. Die elektronische Patientenakte, die Messung, Speicherung und Auswertung von Gesundheitsdaten per App oder die Video-Sprechstunde sind Beispiele für digitale Technologien, die derzeit die deutsche Gesundheitswirtschaft verändern. Von der Digitalisierung profitieren alle Akteure im Gesundheitswesen – von den Patientinnen und Patienten über die Kliniken und Arztpraxen bis hin zu den Krankenkassen. Digitale Gesundheitsfürsorge kann das Leben der Menschen erleichtern, lange Wege und Wartezeiten minimieren und im Krankheits- oder Notfall schnell helfen. ドイツの医療は誰でも受けられます。社会の繁栄、力強さ、連帯感を測る尺度である。我が国の医療制度は世界でもトップクラスと言われていますが、それは多くの分野でデジタル化されているからです。電子患者ファイル、アプリによる健康データの測定・保存・評価、ビデオ診察などは、現在ドイツの医療業界を変えつつあるデジタル技術の一例です。患者から診療所、医師会、医療保険会社まで、医療システムのすべてのプレーヤーがデジタル化の恩恵を受けています。デジタルヘルスケアは、人々の生活をより快適にし、長時間の移動や待ち時間を最小限に抑え、病気や緊急事態の際には迅速に対応することができます。
Doch alle Vorteile von eHealth sind ohne Informationssicherheit nicht denkbar. Denn die Digitalisierung erhöht auch im Gesundheitswesen das Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen. Wozu das führen kann, belegen zahlreiche Vorfälle der letzten Monate und Jahre: Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben. しかし、eヘルスがもたらすすべてのメリットは、情報セキュリティなしには考えられません。また、デジタル化により、医療分野におけるITセキュリティ事故やサイバー攻撃のリスクも高まっています。ここ数カ月、数年にわたる数々の事件は、このことが何をもたらすかを示しています。病院が緊急操業に入らなければならなくなったり、何百万という患者の機密データが盗まれたり、パスワード保護なしで長期間にわたってインターネット上で一般公開されたりしています。また、インスリンポンプ、患者用モニター、人工呼吸器など、ネットワーク接続された医療機器の脆弱性が繰り返し報告されています。その故障や権限のない第三者による操作は、緊急時に患者の健康、生命、身体に対して直ちに影響を与える可能性があります。
Sichere Digitalisierung gestalten 安全なデジタル化の設計
All diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten. Auch deshalb gehören Einrichtungen des Gesundheitswesens zu den Kritischen Infrastrukturen in Deutschland. Als zentrales Kompetenzzentrum für Informationssicherheit in Deutschland übernimmt das BSI Verantwortung als Gestalter einer sicheren Digitalisierung in diesem für die Gesellschaft so wichtigen Bereich. 現代社会は、このような事件ばかりではいられない。ドイツで医療施設が重要インフラとされる理由のひとつがこれです。BSIは、ドイツにおける情報セキュリティの中央コンピテンスセンターとして、社会にとって重要なこの分野の安全なデジタル化の形成者としての責任を担っています。
Mit dem IT-Sicherheitsgesetz von 2015 hat das BSI die Zuständigkeit als Aufsichtsbehörde für Betreiber Kritischer Infrastrukturen (KRITIS) auch im Sektor Gesundheitswesen erhalten. Kritische Infrastrukturen im Gesundheitswesen sind beispielsweise Krankenhäuser und Kliniken mit mehr als 30.000 stationären Behandlungsfällen pro Jahr oder Pharmahersteller mit mehr als 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr. 2015年のITセキュリティ法により、BSIは医療分野でも重要インフラ (CRITIS) の運用者の監督官庁としての責任を担うことになりました。ヘルスケア分野の重要インフラとは、例えば、年間3万件以上の入院患者を抱える病院や診療所、年間465万個以上の医薬品を上市している製薬会社などを指します。
Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wesentlichen Beitrag bei der Gestaltung der großen Digitalisierungsprojekte im Gesundheitswesen. Das BSI befasst sich mit der Weiterentwicklung der elektronischen Gesundheitskarte, mit dem Notfalldatenmanagement und dem elektronischen Medikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit, mit der elektronischen Patientenakte, mit der Telematikinfrastruktur sowie der IT-Sicherheit von Medizinprodukten, beispielweise mit dem Projekt ManiMed - Manipulation von Medizinprodukten. Das BSI hat auch dafür gesorgt, dass die Corona-Warn-App des Bundes ein hohes Maß an Informationssicherheit bietet – nicht zuletzt ein wesentlicher Faktor für die hohe Akzeptanz der App in der Bevölkerung. 連邦政府のサイバーセキュリティ当局として、BSIはヘルスケア分野における主要なデジタル化プロジェクトの形成に大きく貢献しています。BSIは、電子健康カード、緊急時データ管理、薬物療法セキュリティに関連した電子投薬計画、電子患者ファイル、テレマティクス・インフラ、医療機器のITセキュリティのさらなる開発に取り組んでおり、例えば、ManiMedプロジェクト (医療機器の操作性) などがあります。BSIは、連邦政府のコロナ警報アプリが高いレベルの情報セキュリティを提供することを保証しており、このことが、同アプリが国民に高いレベルで受け入れられている重要な要因であることは言うまでもありません。
Das BSI leistet einen wesentlichen Beitrag zur sicheren Digitalisierung im Gesundheitswesen. Davon profitieren Kliniken, Ärztinnen und Ärzte ebenso wie die Patientinnen und Patienten. BSIは、ヘルスケア分野における安全なデジタル化に大きく貢献しています。これは、クリニック、医師、患者さんのいずれにもメリットがあります。
ARNE SCHÖNBOHM, PRÄSIDENT DES BSI アルネ・シェーンボーム (BSI会長)
Das BSI unterstützt in den IT-Anwendungsfeldern im Gesundheitsbereich mit Vorgaben, Sicherheitsstandards in Form von Technischen Richtlinien oder IT-Grundschutz-Bausteinen sowie konkreter Hilfestellung und Beratung für Behörden und Unternehmen, um schnell praktikable und zugleich sichere Anwendungen zu realisieren. Wichtig ist dabei die enge Zusammenarbeit des BSI mit Partnern wie der gematik, dem Bundesministerium für Gesundheit (BMG), dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV). BSIは、医療分野のITアプリケーション分野において、実用的であると同時に安全なアプリケーションを迅速に実装するために、仕様、技術ガイドラインやIT-Grundschutzビルディングブロックの形式によるセキュリティ標準、当局や企業に対する具体的な支援やアドバイスなどのサポートを提供しています。ここでは、BSIとgematik、連邦保健省 (BMG) 、連邦データ保護・情報自由委員会 (BfDI) 、連邦医薬品・医療機器研究所 (BfArM) 、全国法定保険医協会 (KBV) 、全国法定保険歯科医協会 (KZBV) といったパートナーとの密接な連携が重要な意味をもっています。

 

 

| | Comments (0)

より以前の記事一覧