リンク

2023.02.25

NISC インターネットの安全・安心ハンドブックVer 5.00 (2023.01.31)

こんにちは、丸山満彦です。

NISCが「インターネットの安全・安心ハンドブック」を改訂し、発表していました。。。改訂のメンバーには、主査として猪俣先生のほか、データの宮本さんなどが入っていますね。。。

表紙入れて208ページの大部です。振り返ってみると、このブログではあまり取り上げていなかったですね。。。なぜだろう...

一般国民を意識したこの手の啓発資料は、各省庁で出すのではなく、テーマ毎に省庁横断で整理したほうがわかりやすいかもしれませんね。。。英国政府のように(ただ、英国政府も全体感がわかりにくいという問題はありますが。。。)

あと、PDFでの発行というのは従にして、基本はHTMLで公表するというのが良いと思います。(これも英国政府を参考にしてみてくださいませ。。。)

 

NISC

インターネットの安全・安心ハンドブック

・2023.01.31 [PDF] インターネットの安全・安心ハンドブックVer 5.00

20230225-135144

 

目次的...部分版(各章別)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

2021.10.18 内閣官房 NISC ランサムウェア特設ページ

・2020.04.21 IPA テレワークを行う際のセキュリティ上の注意事項

 

| | Comments (0)

2022.10.19

帝国データバンク サイバー攻撃に関する実態アンケート(2022 年 10 月) (2022.10.14)

こんにちは、丸山満彦です。

帝国データバンクが「サイバー攻撃に関する実態アンケート(2022 年 10 月)」を公表していますね。。。

セキュリティベンダーの調査とはまた違うような感じで、なかなか興味深いです。。。

 

約50%の企業は全くサイバー攻撃を受けたことがないということのようです。。。

(1年以上サイバー攻撃を受けていない企業は約10%、1年以内にサイバー攻撃を受けた企業は約25%、約15%はわからない...)

 


調査結果

  1. サイバー攻撃を「1カ月以内に受けた」企業は8.6%となった。「1カ月超から1年以内に受けた」企業 (15.6%)と合計すると『1年以内に受けた』企業は24.2%だった。また、「過去に受けたが、1年以内に受けていない」は10.6%となった。一方で、「全く受けたことがない」企業は約半数だった
  2. 2022年3月に実施した同様の調査と比較すると、サイバー攻撃を「1カ月以内に受けた」企業は19.8ポイント減となった
  3. サイバー攻撃を受けた際に支出した額について、「0円(サイバー攻撃を受けたが支出はない)」が77.9%で最も高い。次いで、「100万円未満」が15.1%で続いた

 

帝国データバンク

・2022.10.14 サイバー攻撃に関する実態アンケート(2022年10月)

・[PDF

20221019-30242

 

 


 

■ 参考

2022.03の調査

・2022.03.15 サイバー攻撃に関する実態アンケート

・[PDF]

20221019-30639

 


調査結果

  1. 企業の28.4%で、1カ月以内にサイバー攻撃を受けたと回答
  2. 企業規模により、1カ月以内のサイバー攻撃の有無に濃淡あり

 

 


 

こういう調査って、まさに企業規模や業種により濃淡がありそうで、母集団を代表するようなサンプリングが難しいのかもしれませんね。。。

 

 

| | Comments (0)

2022.07.16

経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

こんにちは、丸山満彦です。

経済産業省が、令和3年度に委託調査をしたものの報告書一覧がありますが、それが2022.07.14に更新されて、サイバーセキュリティ関連の報告書が公開されていましたので、紹介です。。。

どの課が、どの事業予算で委託し、どの事業者が受託したかがわかります。金額も合わせて一表でわかると良いのにね。。。

 

経済産業省1_20220705055701

・[PDF] 令和3年度 委託調査報告書 HP掲載一覧

20220716-70750

 

2022.07.14公表分...

・2022.07.14 企業におけるサプライチェーンのサイバーセキュリティ対策に関する調査 調査報告書

20220716-70853


4.調査結果のまとめ 現状の課題

1 企業におけるリスク認識・対策

【リスク認識、攻撃被害の状況】
 企業は取引先等を経由したサイバー攻撃(Emotet、ランサムウェア、不正アクセス等)の被害影響のリスクを認識しており、実際に影響を受けているケースも多い
 業界・企業ごとにサプライチェーンの構造・特徴(商材、顧客、活動地域、利用するITサービス等)は異なり、特定・対処するリスクも様々
【取引先等への要請】
 多くの企業は、秘密保持、資産の取扱い、再委託の禁止等、自社で定める基準の適合を求めているが、推奨セキュリティ設定や、特定のサービス導入まで要求しているケースは少ない
 対策費用の負担、業種・規模・環境・意識レベル等の違い、自社と取引先等との関係性(力関係、取引への影響の懸念)から、サイバーセキュリティに関する要請を行いにくいと考える企業が多い
 取引先が多岐に渡り個別に対応する負荷が大きいため、各社への対応が十分に実施できない

2 企業における情報共有、攻撃被害の報告・公表

 取引先等がサイバー攻撃の被害を受けた際の報告・連絡手順、対応窓口が明確化されていない企業も多い
 IPAやJPCERT/CC等の公的機関から情報収取を実施する企業は多いが、専門家の活用や、情報収集コミュニティを通じた情報取得を実施する企業は一部に留まる
 サイバー攻撃の被害について、個人情報の流出や事業停止といった重大な影響が生じない場合、外部に公表しない企業が多い

3 国等の支援制度

 「中小企業の情報セキュリティ対策ガイドライン」の活用・認知は比較的進んでいる一方、「サイバーセキュリティお助け隊サービス」「SECURITY ACTION」は5割前後の認知に留まる
 補助金制度の拡大、強制力を伴う制度の導入、規模の小さい企業向けや特定のテーマに焦点化したガイドラインの提供等のニーズがある

4.調査結果のまとめ 優良事例・取組みの方向性

1 普及させるべき取組みの優良事例

【共通】
 取引先等の実態や調達するサービス・商材に応じたリスク評価と対策(自社基準、認証制度等の活用)
【仕入・外注・委託先等】
 業界団体・協議会等による、基準の策定やプラクティスの収集とその普及・啓発
 委託先等に提供する業務システム(プラットフォーム)を通じた情報提供、教育、アセスメント
 セキュリティ強化のための費用の一部負担
【グループ会社/海外拠点】
 グループポリシーの適用(海外拠点の場合等、実態に応じた適用)
 KPIの制定と経営層を含む定期的な会議体運営を通じたPDCA
 対策費用の一部負担、本社からの稼働提供によるサポート
 本社経営層主導での対策の強化

2 企業における情報共有の認識、今後の在り方

【情報収集・共有】
 IPA、JPCERT等の専門機関、業界団体・コミュニティ(ISAC等)を通じた情報収集・共有
 取引先等への情報共有の方針の検討
【攻撃被害の公表】
 平時における、攻撃被害の外部公表方針の検討、及びステークホルダーとの共有

3 企業、国、民間団体等が講ずべき措置の方向性

【企業等】
 業界団体・協議体等の働きかけによるベースラインの構築と定着
【国、自治体、関係機関等】
 補助金の拡充
 ガイドラインの提供
 相談・情報提供等の窓口の一元化


 

・2022.07.14 サイバーセキュリティ法制度の国際動向等に関する調査 報告書 

20220716-71018

別紙1が読み応えありますね。。。


1. はじめに
1.1 調査背景・目的
1.2 調査実施概要

2. サイバーセキュリティに関する諸外国の法制度や官民の取組等に関する調査
2.1 ランサムウェアに関する法制度や取組
 2021年4月以降のランサムウェア関連調査
 サイバーインシデントに関する報告
2.2 諸外国におけるサイバーセキュリティに関する取組
 諸外国における中小企業向けのガイドライン・ツール・認証制度等の比較
 諸外国における政府(国)のサイバー保険普及策の有無
 EU 諸国におけるソフトウェアのセキュリティ確保に向けた取組(SBOM 等)に関する調査

3. サプライチェーンを支える基盤インフラ技術に関する調査
3.1 基盤インフラ技術の最新動向
 基盤インフラ技術の全体像
 基盤インフラ実現に向けた政策動向
 基盤インフラを構成する基盤ソフトウェアの課題
3.2 基盤インフラ技術に関して求められる政策の検討
 有識者会合(持ち回り会合)の実施

4. 総括

別紙 1 現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査


 

 

・2022.07.14 ビルシステムのサイバーセキュリティ高度化に向けた調査 報告書 

20220716-71146


1. はじめに
1.1 調査背景・目的
1.2 調査実施概要

2. ビルガイドラインの高度化のための調査
2.1 ビルの空調設備システムの対応策に関する調査
2.2 共通ガイドラインの拡充に向けた調査
 インシデントレスポンスに対する要求の整理
 現在のガイドラインへの追加情報の充実化
 ビルシステム及び関連するシステムへの攻撃事例の収集

3. ビルシステムのサイバーセキュリティ推進体制の調査
3.1 推進体制の情報提供・共有・相談等の機能の実践的評価
3.2 推進体制のあり方の調査

4. 検討会の運営
4.1 ビルSWGの運営
 第12回ビル SWG の運営
 第13回ビル SWG の運営
4.2 作業グループの運営
 小グループ検討会(空調編作業グループ)の実施
 小グループ検討会(インシデントレスポンス作業グループ)の実施
 小グループ検討会(情報共有・推進体制ディスカッション)の実施

5. 総括


 

 

・2022.07.14 サイバー・フィジカル・セキュリティ対策フレームワークの実装・推進に関する調査 調査報告書

20220716-71247


エクゼクティブサマリー

  • 経済産業省では、サイバー空間とフィジカル空間を高度に融合させることにより、多様なニーズにきめ細かに対応したモノやサービスを提供し、経済的発展と社会的課題の解決を両立する超スマート社会「Society5.0」の実現へ向けて様々なデータの「つながり」から新たな付加価値を創出していく「Connected Industries」という概念を提唱し、その実現に向けた取り組みを推進している。「つながる」ことによるネットワーク化の進展は、悪意のある者にとって新たな攻撃の機会ともなっていくおそれがあるため、各企業におけるサイバーセキュリティ対策に加えて、サプライチェーン全体としてサイバーセキュリティ確保に向けて取り組む必要がある。また、サイバー攻撃は国境を越えて行われるものであり、米欧各国等との連携を強化し、我が国の取り組みを積極的に国際標準に提案するなど、国際ハーモナイゼーションを確保していくことを常に視野に入れた取り組みを進めていく必要がある。
  • このような背景を踏まえ経済産業省では、平成 29 年 12 月に産業界を代表する経営者、インターネット時代を切り開いてきた学識者等から構成される「産業サイバーセキュリティ研究会」(以下、「研究会」という。)を立ち上げた。サプライチェーンのサイバーセキュリティ強化に向けては、「制度・技術・標準化」WG にて、「Society5.0」における新たな形のサプライチェーンに求められるセキュリティ対策の全体像を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク」(以下、「CPSF」という。)を平成 31 年 4 月に策定した。CPSF では、「Society5.0」における産業社会を3つの層(企業間のつながり(第1層)、フィジカル空間とサイバー空間のつながり(第2層)、サイバー空間におけるつながり(第3層))に整理し、セキュリティ確保のための信頼性の基点の明確化を行った。加えて、産業分野共通の課題を検討する分野横断 SWG、タスクフォース(以下、「TF」という。)等を立ち上げ、それぞれの課題に応じた検討を並行して進めている。
  • CPSF では、サイバー空間とフィジカル空間が高度に融合した産業社会の中で、サイバー空間とフィジカル空間の境界で交換される情報が正確に転換されること、つまり境界上における“転写”という役割に焦点を当て、第 2 層の信頼性の基点を転写機能とした上で、転写機能の信頼性を確保するための対策要件及び対策例を提示しているが、転写機能を担う IoT 機器等の多様性やインシデントが発生した場合の被害の複雑化等も踏まえ、IoT 機器等に求められるセキュリティ対策やリスクアセスメントの考え方等について更なる検討が必要である。そこで、令和 2 年 11 月に、サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされる新たなリスクに着目し、リスク形態及びそうしたリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する「IoT セキュリティ・セーフティ・フレームワーク」(以下、「IoTSSF」という。)を策定した。
  • サプライチェーンのサイバーセキュリティ強化に向けては、各国政府においても取り組みが行われている状況下で、日本が国際的なサイバーセキュリティ対策のルールメイキングに主導的な役割を担えるようになるためにも、日本からサイバーセキュリティ対策の枠組みを提案することが重要である。
  • 本事業では、研究会及び各 WG 等の議論を踏まえ、各国政府の取り組みやその他国内外のセキュリティ等に関する文献等を調査し、サイバー空間におけるつながりの信頼性及びIoT機器等の転写機能の信頼性を確保するための対策要件等の検討及び CPSF 等に基づく国際規格(TR等を含む。)の推進を目的として実施した。
  • 本事業項目(1)「サイバー空間におけるつながりの信頼性及び IoT 機器等の転写機能の信頼性を確保するための対策要件等に関する動向等についての調査」では、IoT 機器等の転写機能の信頼性を確保するために求められる標準化団体、業界団体及び外国政府の取り組み等や IoT 機器等のセキュリティ対策、及びそれらの信頼性の確認手法等について、公開情報等を調査し整理した。また、一連の IoT-SSF の適用の流れを複数のユースケースを用いて例示するユースケース集を検討し、事業期間中開催された TF 等の議論の内容を反映して、「IoT セキュリティ・セーフティ・フレームワーク Version 1.0 実践に向けたユースケース集」としてまとめた。
  • サイバー空間におけるつながりの信頼性を確保するために求められる標準化団体、業界団体及び外国政府の取り組み等やデータのセキュリティ対策及びそれらの信頼性の確認手法等について、公開情報等を調査し整理した。また、事業期間中 2 回実施したパブリックコメントでいただいた意見や、TF 等での議論の内容を反映し、「協調的なデータ利活用に向けたデータマネジメント・フレームワーク~データによる価値創造の信頼性確保に向けた新たなアプローチ」としてまとめた。
  • 本事業項目(2)「CPSF 等に基づく国際規格(TR 等を含む。)の推進」においては、CPSF をベースにした国際標準化を推進することを目的として、推進に必要な諸外国の政府又は政府関連機関、業界団体、標準化団体等によるルール形成の取り組み状況等の調査や、ISO/IEC及びそれに関連する会議等における必要な働きかけの実施、CPSF 等に基づく国際規格(案)の作成等を実施した。
  • 具体的には、国際規格策定に向けた検討のロードマップを策定し、適宜必要な文献調査等を実施しつつ、サイバーセキュリティに関する国際規格の策定や維持管理を担う ISO/IEC JTC1/SC 27/WG 4 (セキュリティコントロールとサービス)の国内エキスパートと連携して本件に係る国際規格策定プロジェクトの提案及び PWI(予備業務項目)、NWIP(新規作業項目提案)としてのプロジェクト推進、その他必要に応じて国内外の関係者との意見交換を行った。CPSF をベースにした国際標準の実現に向けては、2022 年度以降も、本調査を通じて策定されたロードマップや識別された推進上の課題等を参照して、ISO/IEC JTC 1/SC 27/WG 4 におけるプロジェクトを効果的に推進していくことが期待される。

 

過去分...

・2022.06.24 熱供給事業のサイバーセキュリティ対策に関する調査事業 報告書

20220716-71507

・2022.06.17 北海道におけるサイバーセキュリティコミュニティ強化に向けた調査 調査報告書

20220716-71552

・2022.06.17 宇宙産業におけるサイバーセキュリティ対策に関する調査 調査報告書

20220716-72602

 

・2022.05.25 電力分野のサイバーセキュリティ対策 のあり方に関する詳細調査分析 報告書

20220716-72345

・2022.04.06 令和3年度四国地域の中小企業サイバーセキュリティ対策促進事業 調査報告書(公表用)

20220716-72450

 



 

 

| | Comments (0)

2022.05.15

カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナー室がプライバシーに関する戦略的優先事項とそこから生まれたテーマと見解を公表していますね。。。

これを読むと、欧州を中心としたプライバシーに関する法制度のそもそもの意図についての理解が進むかもしれませんね。。。

たとえば、こんな部分とか...

また、カナダのプライバシー法制のリンク集としても有益ですね(^^)

 

Fig_20220515053201

 

● Office of the Privacy Commissioner of Canada; OPC

発表

OPC News - News and announcements

・2022.05.12 OPC publishes analysis of themes and observations that emerged from strategic privacy priorities exercise

内容

About the OPC - OPC strategic privacy priorities

・2022.05.12 Strategic Privacy Priorities and the themes and observations that emerged: 2015-2022

 

Strategic Privacy Priorities and the themes and observations that emerged: 2015-2022 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解:2015-2022年
Introduction はじめに
In 2015, following significant public consultations, the Office of the Privacy Commissioner of Canada (OPC) identified four strategic priorities: 2015年、大規模な公開協議を経て、カナダ・プライバシーコミッショナー室(OPC)は4つの戦略的優先事項を特定しました。
Economics of personal information; ・個人情報の経済性
Government surveillance; ・政府の監視
Reputation and privacy; and ・レピュテーションとプライバシー
The body as information. ・情報としての身体
The priorities selected reflect the values and concerns of Canadians, as well as the views of numerous stakeholders in civil society and consumer advocacy groups, industry, legal service, academia and government. 選択された優先順位は、カナダ人の価値観と懸念、および市民社会と消費者擁護団体、産業界、法律事務所、学界、政府の多くの利害関係者の意見を反映しています。
The OPC’s aim was to hone its focus to make best use of its limited resources, to further its ability to inform Parliamentarians, organizations and the public of the issues at stake, to influence behaviour and to use the office’s regulatory powers most effectively. OPCの目的は、限られた資源を最大限に活用するために焦点を絞り、国会議員や団体、一般市民に問題点を伝え、行動に影響を与え、オフィスの規制権限を最も効果的に活用する能力をさらに高めることです。
The OPC sought to achieve its goals through a variety of strategic approaches that included public education, better addressing the privacy needs of vulnerable groups, and protecting Canadians’ privacy in a borderless world. OPCは、一般市民への教育、社会的弱者のプライバシーニーズへの対応、国境のない世界におけるカナダ人のプライバシー保護など、さまざまな戦略的アプローチによって目標達成を目指しています。
The strategic priorities have guided and helped focus the OPC’s work during Commissioner Daniel Therrien’s term, as he sought to restore Canadians’ trust in government and the digital economy. ダニエル・セリエン委員が、政府とデジタル経済に対するカナダ人の信頼を回復するために努めている間、戦略的優先事項は、OPCの活動の指針となり、焦点を合わせるのに役立ちました。
Priorities: setting goals, exploring themes and reporting outcomes 優先事項:目標の設定、テーマの探求、成果の報告
For each strategic priority, the OPC began with a stated goal. What emerged in subsequent policy work, stakeholder interactions and investigations was a series of important themes. OPCは、戦略的優先事項のそれぞれについて、まず目標を設定しました。その後の政策活動、ステークホルダーとの交流、調査の中で浮かび上がったのは、一連の重要なテーマでした。
It is these themes that, combined, have led to the conclusion that effective privacy protection demands immediate rights-based law reform. Below is an exploration of the OPC’s original goals, the themes that emerged and the key initiatives that support its position. これらのテーマが組み合わさって、効果的なプライバシー保護には権利に基づく法改正が直ちに必要であるという結論に至ったのです。以下、OPCの当初の目標、浮かび上がったテーマ、そしてその立場を支える主要な取り組みについて紹介します。
The economics of personal information 個人情報の経済性
Initial goal: To enhance the privacy protection and trust of individuals so that they may confidently participate in the digital economy. 当初の目標:個人のプライバシー保護と信頼を強化し、デジタル経済に安心して参加できるようにする。
Emerging theme: Technology and new business models that rely on complex data practices are challenging the current consent model and raising questions about the relationship between privacy and other fundamental rights. 新たなテーマ:複雑なデータ処理に依存するテクノロジーと新しいビジネスモデルは、現在の同意モデルに挑戦し、プライバシーと他の基本的権利の関係について疑問を投げかけています。
During an extensive consultation with stakeholders following its publication in 2016 of a discussion paper on how to improve the consent model, the OPC heard from and agreed with many who argued the increasingly complex digital environment poses challenges for the protection of privacy and the role of consent. 2016年に発表した同意モデルの改善方法に関するディスカッションペーパーに続く関係者との広範な協議において、OPCは、ますます複雑化するデジタル環境がプライバシー保護と同意の役割に課題をもたらすと主張する多くの人々からの意見を聞き、同意しました。
There was recognition that while consent can be meaningfully given in some situations, with better information, there were other circumstances where consent may be impracticable. This may be so, for instance, in some uses of big data or artificial intelligence, where it is no longer entirely clear to consumers who is processing their information and for what purposes. In fact, at times consent can be used to legitimize uses that, objectively, are completely unreasonable. より良い情報があれば、ある状況下では同意が有意義に与えられる一方で、同意が実行不可能な状況も存在することが認識されました。例えば、ビッグデータや人工知能の利用では、誰がどのような目的で自分の情報を処理しているのかが、消費者にとってもはや完全に明確ではなくなっている場合がそうです。実際、客観的に見ればまったく合理性のない利用を正当化するために、同意が利用されることもあります。
The OPC sought to address these challenges through various means discussed in its 2017 consent report, notably by clarifying in its Guidelines for obtaining meaningful consent the key elements to be conveyed to consumers to ensure consent is meaningful. However, where consent is not practicable, the OPC put forward the idea that alternatives to consent may need to be considered to maintain effective privacy protections. OPCは、2017年の同意報告書で議論された様々な手段を通じてこれらの課題に対処しようとし、特に、意味のある同意を得るためのガイドラインにおいて、同意が意味のあるものとなるために消費者に伝えるべき主要な要素を明確にしました。しかし、同意が現実的でない場合、OPCは、効果的なプライバシー保護を維持するために、同意に代わる選択肢を検討する必要がある場合があるという考えを打ち出しました。
At the same time, the OPC published guidance on “no go zones” for the collection, use and disclosure of personal information. It outlines practices that would be considered “inappropriate” by a reasonable person, even with consent, and therefore contrary to subsection 5(3) of Canada’s federal private sector privacy law, the Personal Information Protection and Electronic Documents Act (PIPEDA). The guidance included as inappropriate personal information practices that involve profiling or categorization that leads to unfair, unethical or discriminatory treatment, contrary to human rights law. 同時に、OPCは個人情報の収集、使用、開示の「禁止区域」についてのガイダンスを発表しました。これは、たとえ同意があったとしても、合理的な人からは「不適切」とみなされ、したがってカナダの連邦民間部門プライバシー法である個人情報保護および電子文書法(PIPEDA)の第5項(3)に反すると思われる慣行を概説したものです。このガイダンスでは、人権法に反して不当、非倫理的、または差別的な扱いにつながるプロファイリングや分類を伴う個人情報の取り扱いは不適切であるとしています。
Some time later, a joint investigation into the Facebook/Cambridge Analytica scandal starkly illustrated how Canada had reached a critical tipping point and that privacy rights and democratic values were at stake. その後、FacebookとCambridge Analyticaのスキャンダルに関する共同調査が行われ、カナダがいかに重大な転換点を迎え、プライバシーの権利と民主主義の価値が危機にさらされているかが明確に示されました。
That case underscored how privacy rights and data protection are not just a set of technical or procedural rules, settings, controls and administrative safeguards. Instead, privacy is a fundamental right and a necessary precondition for the exercise of other fundamental rights, including freedom, equality and democracy. この事件は、プライバシーの権利とデータ保護が、単なる技術的・手続き的な規則、設定、制御、管理上のセーフガードではないことを強調しました。むしろ、プライバシーは基本的な権利であり、自由、平等、民主主義を含む他の基本的な権利の行使に必要な前提条件なのです。
Most recently, global developments in machine learning and the increasingly widespread use of artificial intelligence have led to the parallel realizations that privacy and equality (non-discrimination) are also vitally linked. 最近では、機械学習や人工知能の普及が世界的に進み、プライバシーと平等(無差別)が極めて密接に関連していることが並行して認識されるようになりました。
Such examples informed the OPC’s views on law reform, as set out in its 2018-2019 Annual Report to Parliament, which described the urgent need for a rights-based law framework, and its subsequent submission to Parliament on Bill C-11, the Digital Charter Implementation Act, 2020. こうした事例は、権利に基づく法の枠組みの緊急な必要性を述べた2018-2019年の国会への年次報告書や、それに続く2020年のデジタル憲章実施法である法案C-11に関する国会への提出文書で示された、法改革に関するOPCの見解に反映されています。
In this submission, the OPC agreed with the intention behind Bill C-11 to give organizations greater flexibility to use personal information, even without consent, for legitimate commercial and socially beneficial purposes. But this should be done within a rights based framework that recognizes privacy as a human right and as a prior condition to the exercise of other fundamental rights. This, it argued, would promote responsible innovation. この提出書類の中で、OPCは、商業的・社会的に有益な正当な目的のために、同意がなくても個人情報を利用する柔軟性を組織に与えるという法案C-11の背後にある意図に同意しました。しかし、これは、プライバシーを人権として、また他の基本的権利の行使の前提条件として認識する、権利に基づく枠組みの中で行われるべきものです。そうすることで、責任ある技術革新が促進されると主張しました。
While the government’s bill died on the order paper when the election was called in 2021, the government said it would table new legislation in 2022. 2021年に選挙が行われた際、政府の法案は法案段階で廃案になりましたが、政府は2022年に新しい法案を提出するとしています。
The OPC is not alone in this position, which is held by many international partners. In 2019, for instance, the OPC sponsored a resolution, adopted by the Global Privacy Assembly, a forum which brings together data regulators from around the world, to recognize privacy as a fundamental human right and vital to the protection of other democratic rights. The resolution called on governments to reaffirm a strong commitment to privacy as a human right and to review and update privacy and data protection laws. このような立場は、多くの国際的なパートナーが持っているもので、OPCだけではありません。例えば2019年、OPCは決議を後援し、世界中のデータ規制当局が集まるフォーラム「グローバル・プライバシー・アセンブリ」で、プライバシーを基本的人権と認め、他の民主的権利の保護に不可欠であるとする決議が採択されました。この決議は、各国政府に対し、プライバシーを人権として尊重することを再確認し、プライバシーおよびデータ保護に関する法律を見直し、更新するよう求めています。
Other OPC work: その他のOPCの活動
・Privacy breaches (or personal data leaks) remain a perennial problem that forever threatens consumer confidence in the digital economy. The OPC has investigated a number of significant breaches that underscore deficiencies with the security safeguards adopted by organizations: ・プライバシー侵害(または個人情報漏洩)は、デジタル経済における消費者の信頼を永遠に脅かす永遠の問題であり続けています。OPCは、組織が採用するセキュリティ対策の不備を浮き彫りにするような重大な違反事件を数多く調査してきました。
・・An investigation into the Fédération des caisses Desjardins du Québec following a breach of security safeguards that ultimately affected close to 9.7 million individuals in Canada and abroad; ・・Fédération des caisses Desjardins du Québec に対する調査は、カナダ国内および海外の約970万人の個人を危険にさらしたセキュリティ保護措置の違反に続いて行われました。
・・An investigation into Equifax that occurred when hackers gained access to the credit reporting agency’s systems through a security vulnerability the company had known about for more than two months, but had not fixed; and ・・Equifaxが2ヶ月以上前から知っていながら修正しなかったセキュリティの脆弱性により、ハッカーが信用調査会社のシステムにアクセスした際に発生した調査。
・・An investigation into a breach of the World Anti-Doping Agency’s database that resulted in the disclosure of sensitive health and location information about more than 100 athletes who had competed in the 2016 Rio Olympic Games.
・・世界アンチ・ドーピング機構のデータベースが侵害され、2016年のリオ・オリンピックに出場した100人以上のアスリートの健康状態や位置情報などの機密情報が流出した事件に関する調査。
Government surveillance 政府による監視
Initial goal: To contribute to the adoption and implementation of laws and other measures that demonstrably protect both national security and privacy. 当初の目標:国家の安全保障とプライバシーの両方を明らかに保護する法律やその他の措置の採択と実施に貢献すること。
Emerging theme: Public safety and national security institutions require effective oversight and stronger legal thresholds are needed to ensure their activities are not just lawful, but also necessary and proportional to the outcomes they are seeking to achieve. 新たなテーマ:公共安全および国家安全保障機関は、その活動が単に合法的であるだけでなく、必要かつ達成しようとする結果に比例していることを保証するために、効果的な監視とより強力な法的閾値を必要とする。
After 9/11, Canada and its allies enacted many laws and initiatives that broadened the authorities for government data collection in the name of national security, some of which adversely affected privacy. The OPC was called upon to comment on a number of these issues. In general, its advice stressed the importance of strict standards to limit the sharing of personal information to what is necessary for public safety purposes, and the importance of oversight to ensure the activities of law enforcement and national security agencies are conducted lawfully. 9.11以降、カナダとその同盟国は、国家安全保障の名の下に政府のデータ収集の権限を拡大する多くの法律や施策を制定し、その中にはプライバシーに悪影響を及ぼすものもありました。OPCは、これらの問題の多くについてコメントを求められていました。一般に、OPCの助言は、個人情報の共有を公共の安全のために必要なものに限定するための厳格な基準の重要性と、法執行機関や国家安全保障機関の活動が合法的に行われることを保証するための監視の重要性を強調しています。
By and large, the recommendations were reflected in the bills that were passed, notably Bill C-51, the Anti-Terrorism Act, 2015 and Bill C-13, on cyber-criminality. 大体において、この提言は、可決された法案、特に2015年の反テロ法である法案C-51と、サイバー犯罪に関する法案C-13に反映されました。
On the former, the OPC recognized the important work of national security agencies but stressed that collection thresholds should be sufficiently high in order to protect the privacy of law abiding citizens. 前者についてOPCは、国家安全保障機関の重要な活動を認めながらも、法を守る市民のプライバシーを保護するために、収集の閾値を十分に高くするべきだと強調しました。
The investigation into the Canada Border Services Agency’s examination of digital devices was a good example of the OPC’s work to improve thresholds. The investigation raised a number of concerns with the CBSA’s practices and argued the Customs Act should be updated to recognize that digital devices contain sensitive personal information and are not mere “goods” that should be subject to border searches without legal grounds. This outdated notion does not reflect the realities of modern technology. カナダ国境サービス庁のデジタル機器検査に関する調査は、OPCが閾値の改善に取り組んだ良い例でしました。この調査では、CBSAの慣行について多くの懸念が示され、デジタル機器には機密性の高い個人情報が含まれており、法的根拠なく国境で検査されるべき単なる「物品」ではないことを認識するために関税法を更新すべきであると主張しました。この時代遅れの考え方は、現代のテクノロジーの現実を反映していません。
The OPC called for a clear legal framework for the examination of digital devices and the threshold for examinations of digital devices to be elevated to “reasonable grounds to suspect” a legal contravention. As early as 2017 in an appearance on border privacy, the OPC expressed the view that Canadian courts would find groundless searches of electronic devices to be unconstitutional, even at the border. OPCは、デジタル機器の検査に関する明確な法的枠組みと、デジタル機器の検査の閾値を、法律違反を疑う「合理的な根拠」にまで引き上げることを求めました。早くも2017年に国境のプライバシーに関する出演で、OPCは、カナダの裁判所は国境であっても電子機器の根拠のない捜査を違憲と判断するだろうとの見解を示しました。
In 2020, the Alberta Court of Appeal ruled the Customs Act provisions that permitted warrantless searches of devices by CBSA officers were in fact unconstitutional and suspended its declaration of invalidity to give the government time to amend the legislation. On March 31, 2022, the government tabled Bill S-7 in response to the ruling. 2020年、アルバータ州控訴裁判所は、CBSA職員による令状なしの機器検索を認めた関税法の規定を事実上違憲と判断し、政府に法改正の時間を与えるため無効宣言を一時停止しました。2022年3月31日、政府はこの判決を受け、法案S-7を提出しました。
The importance of robust collection thresholds was also highlighted in the OPC’s 2016 submissions on Privacy Act reform. Given the relative ease with which government institutions can collect personal information with today’s digital technologies, the Office recommended that the collection of personal information be subject to the international standard of necessity and proportionality. 堅牢な収集閾値の重要性は、プライバシー法改革に関するOPCの2016年の提出文書でも強調されています。今日のデジタル技術により政府機関が比較的容易に個人情報を収集できることを踏まえ、同局は、個人情報の収集は必要性と比例性という国際基準の対象とするよう勧告しました。
The investigation of Statistics Canada’s collection of personal information from a credit bureau and financial institutions offered a practical example of the tension between broad government data collection and the public’s expectation of privacy. Although the investigation found the Statistics Act authorizes broad data collection, it also found significant privacy concerns regarding the initiative, which led the OPC to recommend that the agency adopt a standard of necessity and proportionality into all its collection activities. The OPC concluded: カナダ統計局による信用調査機関や金融機関からの個人情報収集に関する調査は、政府の広範なデータ収集と国民のプライバシーへの期待との間の緊張関係を示す実例となりました。この調査は、統計法が広範なデータ収集を許可していることを明らかにしたものの、この取り組みに関してプライバシーに関する重大な懸念があることも明らかにしたため、OPCは、すべての収集活動に必要性と比例性の基準を採用するよう勧告しました。OPCは次のように結論づけました。
We consider a complete record of financial transactions to be extremely sensitive personal information. Indeed, this line-by-line collection of information relating to individuals’ banking activities by a government institution could be considered akin to total state surveillance. It is doubtful that any public objective can be so compelling (pressing and substantial) as to justify this level of intrusiveness. 私たちは、金融取引の完全な記録は、極めて機密性の高い個人情報であると考えています。実際、政府機関が個人の銀行業務に関する情報を一行ごとに収集することは、国家の全面的な監視に近いと考えられます。このレベルの侵入を正当化するほど切実な(pressing and substantial)公的目的があるかは疑問です。
Beyond stronger thresholds and standards for the collection and sharing of personal information, the OPC also called for greater accountability and oversight over national security agencies. To that end, Bill C-22 introduced the National Security and Intelligence Committee of Parliamentarians and Bill C-59 created a new expert national security oversight body, the National Security and Intelligence Review Agency (NSIRA), which consolidated national security review under one roof. OPCは、個人情報の収集と共有の基準値を強化するだけでなく、国家安全保障機関に対する説明責任と監視を強化するよう求めました。そのために、法案C-22は国会議員による国家安全保障・情報委員会を導入し、法案C-59は国家安全保障の専門的な監視機関である国家安全保障・情報審査局(NSIRA)を新設して、国家安全保障の審査を一元化しました。
In order to ensure that both privacy and national security expertise are brought to bear upon oversight activities, the OPC has developed strong partnerships with NSIRA, resulting in a collaborative review under the Security of Canada Information Disclosure Act (SCIDA) and issuance of the first joint report in February 2022. プライバシーと国家安全保障の両方の専門性を監視活動に生かすため、OPCはNSIRAと強いパートナーシップを築き、カナダ情報公開安全法(SCIDA)に基づく共同審査を実現し、2022年2月に初の共同報告書を発行しています。
Other OPC work: その他のOPCの活動
・In 2016, the OPC raised the issue of warrantless access to personal information by law enforcement. During a committee appearance and subsequent submission on Public Safety Canada’s National Security Green Paper, the OPC stressed the importance of maintaining the role of judges in the authorization of warrants for the collection of metadata by police. It also emphasized the need for technical solutions that might support discrete, lawfully authorized access to specific encrypted devices, as opposed to imposing new legislative requirements. ・2016年、OPCは法執行機関による個人情報への令状なしのアクセスについて問題を提起しました。カナダ公共安全省の国家安全保障グリーンペーパーに関する委員会への出席とその後の提出書類の中で、OPCは、警察によるメタデータ収集のための令状承認において、裁判官の役割を維持することの重要性を強調しました。また、新たな法的要件を課すのではなく、暗号化された特定のデバイスへの合法的なアクセスを個別にサポートするような技術的ソリューションの必要性も強調しています。
・The OPC has made the inclusion of necessity and proportionality a key principle in the frameworks, guidance, joint statements and international resolutions it has put forward with provincial, territorial and international data protection colleagues. For example: ・OPC は、必要性と比例性を、州、地域、国際的なデータ保護の仲間とともに提出した枠組み、ガイダンス、共同声明、国際決議の主要な原則に盛り込んでいます。例えば
・・It is included in the Framework for the Government of Canada to Assess Privacy-Impactful Initiatives in Response to COVID-19 and the Regulatory Framework for AI: Recommendations for PIPEDA Reform; ・・COVID-19に対応した「カナダ政府がプライバシーに配慮した取り組みを評価するための枠組み」や「AIに関する規制の枠組み:PIPEDA改革のための提言」に盛り込まれています。
・・The updated Guidance for the use of body-worn cameras by law enforcement authorities and the Privacy guidance on facial recognition for police agencies; ・・法執行機関による身体装着型カメラの使用に関するガイダンスの更新と、警察機関の顔認識に関するプライバシーガイダンス。
・・The joint FPT statements on Privacy and COVID-19 Vaccine Passports and Privacy principles for contract tracing apps; and ・・プライバシーとCOVID-19ワクチンパスポートに関するFPT共同声明、および契約追跡アプリのプライバシー原則。
・・The Global Privacy Assembly Resolution on Government Access to Data, Privacy and the Rule of Law which the OPC sponsored and signed along with 18 other DPAs. ・・OPCがスポンサーとなり、他の18のDPAとともに署名した「政府によるデータへのアクセス、プライバシー、法の支配に関する世界プライバシー総会決議」。
Reputation and privacy 評判とプライバシー
Initial goal: To help create an environment where individuals can use the Internet to explore their interests and develop as people without fear that their digital trace will lead to unfair treatment. 当初の目標:個人がインターネットを利用して自分の興味を探求し、デジタルトレースによって不当な扱いを受けることを恐れることなく人間として成長できるような環境作りを支援すること。
Emerging theme: Canadians deserve privacy laws that provide them with some measure of protection of their reputation, while respecting freedom of expression. 新たなテーマ:カナダ人には、表現の自由を尊重しつつ、自分の評判をある程度保護するプライバシー法がふさわしい。
Central to the OPC’s work on reputation and privacy is the Draft Position on Online Reputation. Developed after a consultation and call for essays from various stakeholders, it highlighted the OPC’s preliminary views on existing protections in Canada’s federal private-sector privacy law, which includes the right to ask search engines to de-list web pages that contain inaccurate, incomplete or outdated information and remove information at the source. The Draft Position also emphasized the importance of education to help develop responsible, informed online citizens. 評判とプライバシーに関するOPCの活動の中心は、「オンライン上の評判に関する意見書ドラフト(Draft Position on Online Reputation)」です。様々なステークホルダーからのコンサルテーションとエッセイの募集を経て作成されたこのドラフトは、カナダの連邦民間部門プライバシー法における既存の保護について、OPCの予備的見解を強調しています。この保護には、不正確、不完全または古い情報を含むウェブページのリスト解除とソースでの情報削除を検索エンジンに要求する権利が含まれています。また、Draft Positionでは、責任ある情報通のオンライン市民を育成するための教育の重要性が強調されました。
In 2018, the OPC filed a Reference with the Federal Court seeking clarity on whether Google’s search engine service is subject to federal privacy law when it indexes web pages and presents results in response to a search for a person’s name. The Court was asked to consider the issue in the context of a complaint involving an individual who alleged Google was contravening PIPEDA by prominently displaying links to online news articles about him when his name was searched. 2018年、OPCは、Googleの検索エンジンサービスが、人名の検索に応じてウェブページをインデックス化し結果を提示する際に、連邦プライバシー法の適用を受けるかどうかについて、連邦裁判所にReferenceを提出し、明確化を求めました。同裁判所は、Googleが自分の名前を検索した際に、自分に関するオンラインニュース記事へのリンクを目立つように表示し、PIPEDAに違反していると主張する個人に関する苦情との関連でこの問題を検討するよう要請されたのです。
The Federal Court issued its decision on the merits of the reference questions in July 2021. The OPC welcomed the Court’s decision, which aligned with its position that Google’s search engine service is collecting, using, and disclosing personal information in the course of commercial activities, and is not exempt from PIPEDA under the journalistic exemption. Google is appealing the decision. The OPC’s Draft Position will remain in draft until the conclusion of this litigation and the underlying investigation. 連邦裁判所は、2021年7月に付託された質問の是非について判決を下しました。OPCは、Googleの検索エンジンサービスは商業活動の過程で個人情報を収集、使用、開示しており、ジャーナリズムの免責によりPIPEDAから免除されないという立場と一致した裁判所の決定を歓迎しました。Googleはこの決定を不服として控訴しています。OPCの意見書ドラフトは、この訴訟とその基礎となる調査が終了するまで、ドラフトとして残されます。
Since it is ultimately up to elected officials to confirm the right balance between privacy and freedom of expression, the OPC has stated that its preference would be for Parliament to clarify the law with regard to a right to request de-listing by search engines, as Quebec did through Bill 64. プライバシーと表現の自由の適切なバランスを確認するのは、最終的には選挙で選ばれた議員に委ねられるため、OPCは、ケベック州が法案64を通じて行ったように、検索エンジンによるリスト解除を要求する権利に関して、議会が法律を明確にすることを望むと表明しています。
Other OPC work: その他のOPCの活動
・The OPC launched an investigation into Romanian website Globe24h which was republishing court and tribunal decisions, including Canadian decisions available through legal websites like CanLII. Unlike CanLII, which uses the web’s robot exclusion standard to limit indexing of decisions by name and thereby minimize the privacy impact on individuals, the Globe24h site indexed decisions and made them searchable by name. It also charged a fee to individuals who wanted their personal information be removed. The investigation found the company did not obtain consent to collect, use and disclose the personal information found in the tribunal decisions and that its actions were not ones a reasonable person would consider appropriate in the circumstances. ・OPCは、ルーマニアのウェブサイトGlobe24hの調査を開始しました。このサイトは、CanLIIなどの法律サイトで利用できるカナダの判決を含む裁判所や法廷の判決を再掲載していました。CanLIIは、ウェブ上のロボット排除基準を用いて、名前による判決のインデックス作成を制限し、それにより個人へのプライバシーへの影響を最小限に抑えていますが、Globe24hのサイトは判決をインデックス化し、名前による検索ができるようにしています。また、個人情報の削除を希望する個人には料金を請求していた。調査の結果、同社は判決文にある個人情報を収集、使用、開示することに同意を得ておらず、その行為は合理的な人がその状況下で適切と考えるものではないことが判明しました。
 After the release of the OPC’s investigation report, a complainant pursued the matter further in Federal Court, seeking damages from the company as well as an enforceable order for the operator of the site to delete all Canadian court and tribunal decisions on its servers. Given the precedent-setting nature of the issues at play, the OPC intervened in the litigation and in January 2017, the Federal Court confirmed the findings of the OPC investigation and ordered Globe24h to remove Canadian court and tribunal decisions containing personal information from its website, and to refrain from further copying and republishing Canadian decisions in a manner that contravened PIPEDA. It also ordered the organization to pay for nominal damages incurred as a result of its offside practices. Shortly after the Court’s decision was issued, the website ceased to operate.  OPCの調査報告書の発表後、原告は連邦裁判所でこの問題をさらに追及し、同社に損害賠償を求めるとともに、サイトの運営会社に対して、サーバーにあるすべてのカナダの裁判所および裁判の判決を削除するよう強制力を持った命令を下しました。問題の先例性を考慮し、OPCはこの訴訟に介入し、2017年1月、連邦裁判所はOPCの調査結果を確認し、Globe24hに対し、個人情報を含むカナダの裁判所および法廷の判決をウェブサイトから削除し、PIPEDAに反する方法でカナダの判決をさらにコピーして再出版しないよう命じました。また、同裁判所は、同団体の違反行為により発生した名目上の損害の賠償を命じました。裁判所の決定が出された直後、同ウェブサイトの運営は停止されました。
・An investigation into the website RateMDs.com was initiated following a complaint that anonymous users of the site were posting reviews and ratings concerning her work as a dentist. ・RateMDs.comの匿名ユーザーが、歯科医としての仕事に関するレビューや評価を投稿しているという苦情を受け、同サイトの調査が開始されました。
・Several complaints about the RCMP’s use of non-conviction information in vulnerable sector checks led to an investigation that found the RCMP’s policy of reporting non-conviction information, including mental health incidents, in vulnerable sector checks was neither proportional nor minimally intrusive. ・RCMPによる弱者部門チェックにおける前科者以外の情報の使用に関するいくつかの苦情を受けて、弱者部門チェックにおいて精神衛生事件を含む前科者以外の情報を報告するというRCMPの方針が、比例的でも最小限の押しつけでもないことが判明し、調査が実施されました。
The body as information 情報としての身体
Initial goal: To promote respect for the privacy and integrity of the human body as the vessel of our most intimate personal information. 当初の目標:最も親密な個人情報の容器である人体のプライバシーと完全性の尊重を促進すること。
Emerging theme: Because they rely on permanent characteristics that are so intimately personal, the collection, use and disclosure of biometrics and genetic information can lead to very significant privacy risks and must accordingly be protected under the highest possible privacy standards. 新たなテーマ:バイオメトリクスと遺伝情報の収集、使用、開示は、個人と密接に関係する永久的な特徴に依存しているため、非常に重大なプライバシー・リスクにつながる可能性があり、それゆえ、可能な限り最高のプライバシー基準の下で保護されなければなりません。
Canada’s privacy laws were designed to be technology neutral, which is positive, given the pace of technological change compared to that of legislative modernization. カナダのプライバシー法は技術的に中立であるように設計されており、法制の近代化と比較して技術的変化のペースが速いことを考えると、これは好ましいことです。
However, the use of facial recognition technology (FRT) by both the private and public sectors has raised questions about whether specific rules may be warranted. しかし、民間と公的セクターの両方による顔認識技術(FRT)の使用は、特定の規則が正当化されるかどうかについての疑問を提起しています。
This is already the case for other forms of biometrics collected by law enforcement such as fingerprints and DNA profiles, and Quebec recently became the first jurisdiction in Canada to actually enact a law that specifically addresses biometrics, which encompasses FRT. これは、指紋やDNAプロファイルなど、法執行機関によって収集される他の形態のバイオメトリクスについては既にそうなっており、ケベック州は最近、FRTを含むバイオメトリクスを特に扱う法律を実際に制定したカナダで最初の司法当局となりました。
The OPC’s investigations into Clearview AI and the RCMP’s use of the company’s facial recognition technology thrust the issue into the spotlight, making it a key initiative under this priority. クリアビューAIとRCMPによる同社の顔認識技術の使用に関するOPCの調査は、この問題にスポットライトを当て、この優先事項における重要な取り組みとしました。
The investigations found Clearview AI violated Canada’s federal private sector privacy law by creating a databank of more than three billion images scraped from internet websites without the express knowledge or consent of individuals. Clearview users, such as the RCMP, could match photographs of people against the photographs in the databank. The result was that billions of people essentially found themselves in a police line-up. We concluded this represented mass surveillance and was a clear violation of privacy. この調査により、クリアビューAIは、個人の明示的な認識や同意なしにインターネットウェブサイトからかき集めた30億枚以上の画像のデータバンクを作成し、カナダの連邦民間企業プライバシー法に違反したことが判明しました。RCMPのようなクリアビューのユーザーは、データバンク内の写真と人物の写真を照合することができました。その結果、何十億人もの人々が、実質的に警察に並ばされることになりました。これは大規模な監視であり、明らかにプライバシーの侵害であると結論づけました。
Separately, the OPC concluded the RCMP violated the Privacy Act when it collected personal information from Clearview AI as a government institution cannot collect personal information from a third party agent if that third party agent collected the information unlawfully. これとは別に、OPCは、RCMPがクリアビューAIから個人情報を収集した際、プライバシー法に違反したと結論付けました。政府機関は、第三者のエージェントが違法に情報を収集した場合、そのエージェントから個人情報を収集することはできないからです。
The investigations demonstrate that significant gaps remain in appropriately protecting this highly sensitive biometric information and highlight some of the risks that can arise when the public and private sectors interact. It’s another reason why the OPC has called for greater interoperability between the two federal privacy laws to prevent gaps in accountability where the sectors interact. 今回の調査は、この機密性の高い生体情報の適切な保護に大きなギャップがあることを示すとともに、公共部門と民間部門が相互作用する際に発生し得るリスクの一部を浮き彫りにするものです。これは、OPCが2つの連邦個人情報保護法間の相互運用性を高め、部門間の相互作用による説明責任の欠如を防ぐよう求めたもう一つの理由でもあります。
At present, the use of FRT is regulated through a patchwork of statutes and case law that, for the most part, do not specifically address the risks posed by the technology. This creates room for uncertainty concerning what uses of facial recognition may be acceptable, and under what circumstances. 現在、FRTの利用は、法令や判例法のパッチワークによって規制されており、そのほとんどは、この技術がもたらすリスクを具体的に取り上げていない。このため、どのような状況下で、どのような顔認証の利用が許容されるかについて、不確実性が生じています。
At the same time as the OPC released its investigative findings into the RCMP’s use of Clearview’s services, it commenced an extensive consultation on draft guidance on the use of facial recognition technology by police services across Canada in cooperation with its provincial and territorial counterparts. OPCは、RCMPによるクリアビュー社のサービス利用に関する調査結果を発表すると同時に、州・準州のカウンターパートと協力して、カナダ全土の警察による顔認識技術の利用に関する指針案に関する広範な協議を開始しました。
In May 2022, the OPC, working jointly with its provincial and territorial counterparts, finalized and released its guidance on the use of FRT by police services across Canada. The guidance sets out the legal responsibilities of police agencies under the current legal framework with a view to ensuring any use of facial recognition complies with the law, minimizes privacy risks, and respects the fundamental human right to privacy. 2022年5月、OPCは州・準州のカウンターパートと共同で、カナダ全土の警察によるFRTの使用に関するガイダンスを完成させ、発表しました。このガイダンスは、顔認証の利用が法律を遵守し、プライバシーリスクを最小化し、プライバシーに対する基本的人権を尊重することを目的として、現在の法的枠組みの下での警察機関の法的責任を定めています。
The OPC and other privacy guardians also called on legislators to develop a new legal framework that would define clearly and explicitly the circumstances in which police use of facial recognition may be acceptable. The framework, they agreed, should include a list of prohibited uses of FRT, strict necessity and proportionality requirements as well as explicit oversight and retention requirements. OPCと他のプライバシー保護団体は、立法者に対し、警察が顔認識を使用することが許容される状況を明確かつ明白に定義する新しい法的枠組みを開発するよう求めました。その枠組みは、FRTの禁止された用途のリスト、厳格な必要性と比例性の要件、そして明確な監視と保存の要件を含むべきであるというのが、彼らの合意事項です。
Another important issue that emerged under this priority is the OPC’s work on genetic testing. In conjunction with its Alberta and B.C. counterparts, the OPC released guidance on direct-to-consumer genetic testing and privacy. It outlined key privacy risks associated with these tests and aimed to inform individuals of their rights. この優先事項の下で浮上したもう一つの重要な問題は、遺伝子検査に関するOPCの活動です。OPCは、アルバータ州およびBC州のカウンターパートと共同で、消費者向けの遺伝子検査とプライバシーに関するガイダンスを発表しました。これは、これらの検査に関連する主要なプライバシーリスクを概説し、個人の権利について知らせることを目的としています。
The OPC also testified before the Standing Senate Committee on Human Rights in support of Bill S-201, an Act to Prohibit and Prevent Genetic Discrimination. It later released a policy statement on the collection, use and disclosure of genetic test results following the implementation of the federal Genetic Non-Discrimination Act. And when the constitutionality of the law was challenged before the Supreme Court of Canada, the OPC intervened to defend the position that individuals should not be compelled to disclose their genetic test results to an employer or insurance company or any other business. The OPC welcomed the Court’s decision to uphold the constitutionality of the Genetic Non-Discrimination Act. また、OPCは、上院人権委員会において、法案S-201「遺伝的差別の禁止及び防止に関する法律」を支持する証言を行いました。その後、連邦遺伝的差別禁止法の施行に伴い、遺伝子検査結果の収集、利用、開示に関する方針声明を発表しました。そして、この法律の合憲性がカナダ最高裁判所で争われた際、OPCは、個人が雇用主や保険会社、その他の企業に遺伝子検査結果を開示することを強制されるべきではないという立場を守るために介入したのです。OPCは、「遺伝的無差別法」の合憲性を支持する裁判所の決定を歓迎しました。
Other OPC work: その他のOPCの活動
・The COVID-19 pandemic raised numerous issues for the protection of personal information. As a result, the OPC engaged on a range of files, including initiatives related to COVID-19 infection tracking and tracing and border controls. Some of those specific initiatives include: ・COVID-19の大流行により、個人情報の保護について多くの問題が提起されました。その結果、OPCはCOVID-19感染追跡や国境管理に関連するイニシアチブなど、様々なファイルに関与しました。その具体的な取り組みの一部を紹介します。
・・Working with the Government of Canada and its provincial counterparts to perform a review of the privacy implications of the COVID Alert exposure notification application. ・・カナダ政府およびその州当局と協力し、COVIDアラート暴露通知アプリケーションのプライバシーへの影響についてレビューを行う。
・・Releasing a joint statement in conjunction with provincial and territorial counterparts about the use of vaccine passports. It called for any use of such credentials to be time limited and developed and implemented in compliance with applicable privacy principles such as necessity and proportionality. ・・ワクチンパスポートの使用について、州・準州の関係者とともに共同声明を発表。この声明では、このようなクレデンシャルを使用する場合は時間を限定し、必要性や比例性など適用されるプライバシー原則を遵守して開発・実施するよう求めている。
・・Releasing a framework early on in the pandemic to assess privacy-impactful initiatives in response to COVID-19. The aim was to ensure greater flexibility to use personal information in an emergency while still respecting privacy as a fundamental right; and ・・COVID-19に対応したプライバシーに影響を与えるイニシアチブを評価するために、パンデミックの早い段階でフレームワークをリリースしました。その目的は、基本的権利としてのプライバシーを尊重しつつ、緊急時に個人情報をより柔軟に利用できるようにすることであった。
・・Publishing guidance to help organizations subject to federal privacy laws understand their privacy-related obligations during the pandemic. In May 2020, the OPC and its provincial and territorial counterparts also issued a joint statement outlining key privacy principles to consider as contact tracing and similar digital applications were being developed. ・・連邦プライバシー法の適用を受ける組織が、パンデミック時のプライバシー関連の義務を理解するためのガイダンスを発行すること。2020年5月、OPCとその州・準州のカウンターパートは、コンタクトトレースや同様のデジタルアプリケーションが開発される際に考慮すべき主要なプライバシー原則をまとめた共同声明も発表しています。
・The OPC participated in a Global Privacy Enforcement Network Privacy Sweep of health and wellness devices, as well as their associated applications and websites. The sweep, which looked at 21 devices including smart scales, blood pressure monitors and fitness trackers, raised a number of questions about the amount of data collected and how privacy practices are explained, among other things. ・OPCは、グローバル・プライバシー・エンフォースメント・ネットワークによる健康機器とその関連アプリケーション、ウェブサイトに関するプライバシー監査に参加しました。スマート体重計、血圧計、フィットネストラッカーなど21の機器を対象としたこの調査では、収集されるデータ量やプライバシー保護に関する説明の仕方など、多くの疑問点が指摘されました。
Conclusion まとめ
The issues and goals of the strategic priority initiative set out some fairly encompassing categories of privacy concern, right from the outset in 2015, that have proven both suitable and adaptable as trends and events across the data protection landscape evolved. 戦略的優先事項イニシアチブの課題と目標は、2015年の当初から、プライバシーに関する懸念事項をかなり包括的に分類しており、データ保護の状況全体の傾向や事象が進化するにつれ、適切かつ適応的であることが証明されています。
From intelligence oversight and border security, to online electioneering and the role of social media in democracy; from smart cities and machine learning, to public health surveillance and medical profiling, many privacy issues have emerged since we launched our priorities. 情報監視や国境警備から、オンラインでの選挙活動や民主主義におけるソーシャルメディアの役割まで、スマートシティや機械学習から公衆衛生監視や医療プロファイリングまで、私たちが優先事項を開始して以来、多くのプライバシー問題が浮かび上がってきています。
And from these priorities came new questions that led to broader themes that now form the core of the OPC’s advisory, compliance and parliamentary work. These themes highlight a range of trends that have fuelled the appetite for personal information playing out across all organizations. そして、これらの優先事項から新たな疑問が生まれ、それが現在OPCの諮問、遵守、議会活動の中核をなすより広範なテーマへとつながっています。これらのテーマは、あらゆる組織で繰り広げられている個人情報に対する欲求を加速させる様々な傾向を浮き彫りにしています。
Both the OPC’s economics of personal information and government surveillance work underscores how advanced the collection, analysis, sharing and leveraging of personal information have become. These practices are now axiomatic in both public-sector service delivery and private sector commercial offerings. This is just as evident in Canada as it is elsewhere around the world. OPCの個人情報の経済学と政府の監視の仕事は、個人情報の収集、分析、共有、活用がいかに高度になったかを強調している。これらの慣行は、公共部門のサービス提供においても、民間部門の商業的な提供においても、今や当然のものとなっています。このことは、世界の他の地域と同様、カナダでも明らかです。
Similarly, the OPC’s research and compliance work on the protection of reputation and the sensitivities of the body as information reveal an entire ecosystem of businesses, governments and intermediaries that remain – even today – unclear on the ethics, legalities and future implications of many of the technologies they are deploying. 同様に、レピュテーションの保護と情報としての身体の機密性に関するOPCの調査とコンプライアンス活動により、企業、政府、仲介者のエコシステム全体が、現在もなお、導入している多くのテクノロジーの倫理、合法性、将来の影響について不明確なままであることが明らかになりました。
The strategic priorities that helped guide the OPC’s work remain extremely relevant today. They have contributed significantly to the conclusion that effective privacy protection for Canadians requires the adoption of federal public and private sector privacy laws that are rights-based, interoperable and confer appropriate powers to the regulator to ensure compliance. OPCの活動の指針となった戦略的優先事項は、今日でも極めて重要な意味をもっています。カナダ人のプライバシーを効果的に保護するには、権利に基づき、相互運用性があり、規制当局に適切な権限を与えて遵守を確保する、連邦政府と民間部門のプライバシー法の採用が必要であるという結論に大きく寄与しています。

| | Comments (0)

2022.05.05

フランス CNIL AIについてのリンク集 (2022.04.05)

こんにちは、丸山満彦です。

備忘録です。。。CNILのAIについてのリンク集...

リンク先のコンテンツのほとんどはフランス語でして、私には理解がなかなかできないのですが、、、この取り組みについては、日本の個人情報保護委員会においても参考になるのかなと思いました。。。

「規制があるから産業革新が世の中に実装されない。故に規制は撤廃すべきだ」という議論がなされる場合があります。確かに環境変化によって、必要性が薄れている規制や内容を変えていく必要のある規制もあると思います。が、外部経済等が大きく、資源の最適配分がされないような場合には、それを是正するための規制は必要な場合があるでしょう。特に新しい分野においては、社会に実装後に大きな問題となりうるようなことについては、実装前に適切な制度設計が重要となる場合もあるでしょう(ある意味、シフトレフト...)

そういう意味では、新技術を使ったビジネス開発というのは、技術をよく知っているだけでなく、それが社会に与える正負両方の影響も踏まえて行う必要があり、負の影響を是正するための規制についても予測しながら進めることが重要なのかもしれません。

ということであれば、規制当局側が、新技術と規制の関係についての様々な情報を国民に提供していくことは、新技術の社会実装を助けることになるのではないかと思うんですよね。。。

 

CNIL

・2022.04.05 Intelligence artificielle : la CNIL publie un ensemble de ressources pour le grand public et les professionnels

Intelligence artificielle : la CNIL publie un ensemble de ressources pour le grand public et les professionnels 人工知能:CNIL、一般市民および専門家向けのリソース一式を公開
Afin d’apporter un éclairage sur les enjeux de l’intelligence artificielle (IA) liés à la protection de la vie privée et d’accompagner les professionnels dans leur mise en conformité, la CNIL propose un ensemble de ressources dédiées. Elle invite chacun à contribuer à ces travaux, qui ont vocation à être enrichis par la suite. プライバシー保護に関する人工知能(AI)の課題に光を当て、専門家のコンプライアンスを支援するために、CNILは一連の専用リソースを提供しています。この作品は、後に充実したものにするために、皆様からのご協力をお願いしているのです。
Pourquoi la CNIL souhaite-t-elle communiquer sur l’IA ? なぜCNILはAIに関するコミュニケーションを取りたいのですか?
Les systèmes utilisant l’intelligence artificielle (IA) se développent depuis plusieurs années et, avec eux, de nouveaux enjeux en matière de protection des données. Dans le cadre de ses missions d’information et de protection des droitsd’accompagnement vers la conformité et d’anticipation et d’innovation, la CNIL propose un ensemble de contenus consacrés à l’IA. 数年前から人工知能(AI)を利用したシステムが開発され、それに伴い、新たなデータ保護の問題が発生しています。CNILは、情報提供と権利保護、コンプライアンス支援、予見と革新の使命の一環として、AIに特化した一連のコンテンツを提供しています。
Ces ressources s’inscrivent ainsi dans une stratégie européenne visant à stimuler l’excellence dans le domaine de l’intelligence artificielle, ainsi que des règles destinées à garantir la fiabilité de ces technologies. Il s’agit en particulier d’élaborer un cadre réglementaire solide pour l’IA fondé sur les droits de l’Homme et les valeurs fondamentales et ainsi instaurer la confiance des citoyens européens. これらのリソースは、人工知能の分野での卓越性を刺激することを目的とした欧州戦略の一部であり、また、これらの技術の信頼性を保証するために設計されたルールでもあります。特に、人権や基本的価値観に基づいたAIに対する強力な規制の枠組みを構築することで、欧州市民の信頼を築くことを目指しています。
À qui s’adressent ces contenus ? このコンテンツは誰に向けて発信しているのか?
Les éléments proposés s’adressent à trois publics distincts : 提案する教材は、3つの異なる読者層を対象としています。
le grand public intéressé par le fonctionnement des systèmes d’IA, leurs implications dans nos vies quotidiennes ou encore souhaitant tester leur fonctionnement ; ・AIシステムの仕組みや日常生活への影響に関心があり、動作検証を希望する一般の方
les professionnels (responsables de traitement ou sous-traitants) mettant en œuvre des traitements de données personnelles reposant sur des systèmes d’IA, ou le souhaitant et qui s’interrogent sur la façon d’assurer leur conformité au RGPD ; ・AIシステムに基づく個人データ処理を実施している、または実施したいが、GDPRの遵守をどのように確認すればよいか悩んでいる実務家(データ管理者または処理者)の方。
les spécialistes (chercheur en IA, expert en science des données, ingénieur en apprentissage automatique, etc.) : pour les personnes manipulant l’intelligence artificielle au quotidien, curieuses des enjeux que fait peser l’intelligence artificielle sur la protection des données et qui s’intéressent à l’état de la technique sur ces questions. 専門家(AI研究者、データサイエンティスト、機械学習エンジニアなど):日常的に人工知能を扱っている方、人工知能がデータ保護にもたらす問題に興味がある方、これらの問題の現状に関心がある方が対象です。
Quelles sont ces ressources ? このリソースとは何でしょうか?
Pour le grand public 一般の方向け
IA, de quoi parle-t-on ? ・AI、何の話?
Courte présentation des enjeux de l’intelligence artificielle pour la protection des données, illustrée par des exemples du quotidien. データ保護における人工知能の課題について、日常的な事例を交えて短く紹介します。
Quelques ressources accessibles à tous pour comprendre l’intelligence artificielle (IA) ・人工知能(AI)を理解するために、誰でもアクセス可能ないくつかのリソース
Sélection non-exhaustive de livres, films ou ressources en ligne à destination des curieux comme des initiés pour comprendre le fonctionnement de l’intelligence artificielle, la démystifier et appréhender ses enjeux. 人工知能の仕組みを理解し、その謎を解き、課題を把握するための書籍、映画、オンラインリソースを網羅的にご紹介しています。
Petit glossaire de l’intelligence artificielle ・人工知能の簡易用語集
Des définitions relatives aux domaines de l’intelligence artificielle et de l’apprentissage automatique qu’il est indispensable de bien comprendre pour pouvoir en appréhender les enjeux. 人工知能や機械学習の分野で、課題を把握するために理解しておくべき定義について。
Pour les professionnels プロフェッショナル向け
IA : Comment être en conformité avec le RGPD AI:RGPDに対応する方法
Un rappel des grands principes de la loi Informatique et Libertés et du RGPD à suivre dans la mise en œuvre de traitements de données personnelles reposant sur des systèmes d’IA, ainsi que des positions de la CNIL sur certains aspects plus spécifiques. AIシステムに基づく個人データ処理を実施する際に従うべきデータ保護法およびRGPDの主要原則と、より具体的な側面に関するCNILの見解についての注意喚起です。
Guide d’auto-évaluation pour les systèmes d'intelligence artificielle 人工知能システムのためのセルフアセスメントガイド
Un outil d'analyse permettant aux organismes d'évaluer par eux-mêmes la maturité de leurs systèmes d’IA au regard du RGPD et des bonnes pratiques dans le domaine, dans la perspective du futur règlement européen. 今後の欧州規制を見据え、GDPRやグッドプラクティスに関するAIシステムの成熟度を組織自らが評価できる分析ツールです。
Pour les spécialistes 専門家向け
Des études concernant les technologies d’IA prometteuses pour la protection de la vie privée,par exemple l’apprentissage fédéré. 連合学習など、プライバシー保護のための有望なAI技術に関する研究。
Des présentations de l’état des connaissances sur des questions fondamentales posées par l’IA, par exemple sur la sécurité des systèmes d’IA. AIが提起する基本的な問題、例えばAIシステムの安全性などに関する最新技術の発表。
Des paroles d’experts reconnus du domaine de l’intelligence artificielle, par exemple Nicolas Papernot ou Aurélien Bellet et Marc Tommasi Nicolas Papernot、Aurélien Bellet、Marc Tommasiなど、人工知能の分野で著名な専門家による言葉
Où les retrouver ? どこにあるのでしょうか?
Déclinées en fonction des différents publics, les ressources mises à disposition par la CNIL sont accessibles à partir des espaces « Particuliers » et « Professionnels » du site cnil.fr ainsi que sur le site du Laboratoire d’innovation numérique de la CNIL (LINC) linc.cnil.fr. CNILが提供する、さまざまな対象者に合わせたリソースは、cnil.frウェブサイトの「個人」「専門家」エリア、およびCNILのデジタルイノベーション研究所(LINC)のウェブサイト linc.cnil.fr からアクセスすることが可能です。
Texte reference 参考テキスト
Pour approfondir 詳細の参照先
> Intelligence artificielle (IA)  > 人工知能(AI) 

 

人工知能(AI)を理解するために役立つ、わかりやすい資料のリンク集

・2022.04.05 Quelques ressources utiles et accessibles à tous pour comprendre l’intelligence artificielle (IA)

 

 

1_20220505035301

 

| | Comments (0)

2022.01.07

米国 2022.01.01から施行されるカリフォルニア州のプライバシー関連の法改正

こんにちは、丸山満彦です。

カリフォルニア州のプライバシー関連の法の改正の施行が2022.01.01から始まっていますね。。。

どこがどう変わったかまでは追えていないのですが、情報共有まで...

 

AB-694 プライバシーと消費者保護: オムニバス法案

・2021.10.06  議会法案第694号 第 525 章 消費者に関する、ビジネスおよび職業法典の第 12246 条と第 12533 条を改正し、民法の第 1798.140 条、第 1798.145 条、第 1798.199.40 条を改正する法律

● AB-825個人情報:データ侵害:遺伝子データ

・2021.10.06 議会法案第825号 第527章 情報のプライバシーに関する民法第 1798.29 条、第 1798.81.5 条、および第 1798.82 条を改正する法律


● AB-335 2018年カリフォルニア消費者プライバシー法:船舶情報

・2021.10.11 議会法案335号第700章 プライバシーに関する民法第 1798.145 条を改正する法律

● SB-41プライバシー:遺伝子検査会社

・2021.10.07 上院法案第41号第596章 民法第1編第2.6章(第56.18節から始まる)にプライバシーに関する章を追加する法律


参考 カリフォルニア州の民法等の条文のリンク

California Legislartive Information

Civil Code - CIV

遺伝情報関連...

DIVISION 1. PERSONS 38-86
PART 2.6. CONFIDENTIALITY OF MEDICAL INFORMATION 56-56.37
CHAPTER 2.6. Genetic Privacy 56.18-56.186

 

プライバシー関連...

DIVISION 3. OBLIGATIONS 1427-3273.16
PART 1. OBLIGATIONS IN GENERAL 1427-1543
TITLE 1.8. PERSONAL DATA 1798-1798.78
CHAPTER 1. Information Practices Act of 1977 1798-1798.78
ARTICLE 1. General Provisions and Legislative Findings 1798-1798.1
ARTICLE 2. Definitions 1798.3
ARTICLE 5. Agency Requirements 1798.14-1798.23
ARTICLE 6. Conditions of Disclosure 1798.24-1798.24b
ARTICLE 7. Accounting of Disclosures 1798.25-1798.29
ARTICLE 8. Access to Records and Administrative Remedies 1798.30-1798.44
ARTICLE 9. Civil Remedies 1798.45-1798.53
ARTICLE 10. Penalties 1798.55-1798.57
ARTICLE 11. Miscellaneous Provisions 1798.60-1798.69
ARTICLE 12. Construction With Other Laws 1798.70-1798.78
TITLE 1.80. Identification Documents 1798.79-1798.795
TITLE 1.807. DOMESTIC VIOLENCE, SEXUAL ASSAULT, AND STALKING: PERSONAL INFORMATION 1798.79.8-1798.79.95
TITLE 1.81. CUSTOMER RECORDS 1798.80-1798.84
TITLE 1.81.1. CONFIDENTIALITY OF SOCIAL SECURITY NUMBERS 1798.85-1798.89
TITLE 1.81.15. Reader Privacy Act 1798.90-1798.90.05
TITLE 1.81.2. CONFIDENTIALITY OF DRIVER'S LICENSE INFORMATION 1798.90.1
TITLE 1.81.23. COLLECTION OF LICENSE PLATE INFOMATION 1798.90.5-1798.90.55
TITLE 1.81.25. CONSUMER PRIVACY PROTECTION 1798.91
TITLE 1.81.26. Security of Connected Devices 1798.91.04-1798.91.06
TITLE 1.81.26. Security of Connected Devices 1798.91.04-1798.91.06
TITLE 1.81.27. Commercial Use of Booking Photographs 1798.91.1
TITLE 1.81.3. IDENTITY THEFT 1798.92-1798.97
TITLE 1.81.4. PRIVACY OF CUSTOMER ELECTRICAL OR NATURAL GAS USAGE DATA 1798.98-1798.99
TITLE 1.81.45. The Parent’s Accountability and Child Protection Act 1798.99.1
TITLE 1.81.48. Data Broker Registration 1798.99.80-1798.99.88
TITLE 1.81.5. California Consumer Privacy Act of 2018 1798.100-1798.199.100
TITLE 1.81.6. Identity Theft in Business Entity Filings 1798.200-1798.202

 

Fig1_20220106155401

| | Comments (0)

2021.10.18

内閣官房 NISC ランサムウェア特設ページ

こんにちは、丸山満彦です。

NISCがランサムウェア特設ページ(ポータルサイトのようなもの)を開設していますね。。。

NISC

・2021.10.13 ストップ! ランサムウェア ランサムウェア特設ページ STOP! RANSOMWARE

 

内閣サイバーセキュリティセンター(NISC)
重要インフラ事業者等向け注意喚起 ランサムウェアによるサイバー攻撃について、予防・検知・対応・復旧の観点から、具体的な対策を採れるよう、重要インフラ事業者等向けに注意喚起を発出し、広く一般にも活用していただけるよう公開。
インターネットの安全・安心ハンドブック 一般国民向けに、ランサムウェアに関するコラムを掲載。
経済産業省
経営者向け注意喚起 ランサムウェア攻撃によって発生した被害への対応は企業の信頼に直接関わる重要な問題であり、その事前対策から事後対応まで、経営者のリーダーシップが求められる 等
警察庁
特設ページ ランサムウェアの手口、未然防止対策、被害軽減対策、再発防止対策等を掲載。
IPA
特設ページ  IPA注意喚起情報、対策情報等を掲載。
JPCERT/CC
特設ページ ランサムウェアの種類や対策、JPCERT/CCの取組等を掲載。
日本サイバー犯罪対策センター(JC3)
特設ページ 予防対策、復号ツール等を掲載。

 

Nisc_20211018004601

 

米国、英国、カナダ、オーストラリア、EU、英国、ドイツ、オランダ、中国、ロシアの政府等のランサムウェアのサイトも合わせて紹介してくれればよいのに...

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

・2021.10.05 米国・EU 10月はサイバーセキュリティ(意識向上)月間

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね。

・2021.08.19 ニップンとその上場子会社のオーケー食品工業がデータを暗号化され決算発表が遅れていますね。。。

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2021.08.01 米国 上院商務・科学・運輸委員会 公聴会 パイプラインサイバーセキュリティ:重要インフラストラクチャの保護

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

2021.07.10 バイデン大統領とプーチン大統領は電話会議でランサムウェアについて話をしたようですね。。。

・2021.07.03 米国 CISA ランサムウェアへの備えについての自己評価ツールの公表

・2021.06.10 米国 国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

・2021.04.30 NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

・2021.04.15 カプコン 不正アクセスに関する調査結果のご報告【第4報】

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.02.08 Ziggy Ransomwareの管理者が過去を反省して、サイトを閉じて被害者の復号鍵を公開?

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

・2020.12.25 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.12.08 Egregor ransomware

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.11.06 ブラジルの裁判所のシステムがランサムウェアの攻撃を受けて停止中のようですね。

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.21 ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

・2020.10.03 ランサムウェアに関するブルース シュナイアーさんのブログ

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

・2020.09.19 AU ACSC Annual Cyber Threat Report: July 2019 to June 2020

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.07.13 米国のシークレットサービスが金融犯罪調査委員会(FCTF)と電子犯罪調査委員会(ECTF)を統合してサイバー不正調査委員会(CFTF)を設立したようですね。

・2020.04.30 ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

・2020.04.06 アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

 

言葉としては、この時代から

・2005.06.14 米国 ファーミングを中心とした悪意ある行為

 

↓Ransomwareをまるちゃんブログで検索... 

1_20210415075201

| | Comments (0)

2021.05.26

U.K. National Audit Office (会計監査院)が「効果的な規制の原則」を公表していますね。。。

こんにちは、丸山満彦です。

U.K. National Audit Office (会計監査院)が政策立案者、規制当局、議員向けに「効果的な規制の原則」を公表していますね。。。国レベルの話ですが、会社の規定等を作る際にも参考になると思います。

● U.K. National Audit Office

・2021.05.25 Principles of effective regulation

・[PDF

20210526-05232

目次です。

Introduction はじめに
The objectives of regulation and who is involved 規制の目的と関係者
Different approaches, and alternatives, to regulation 規制に対するさまざまなアプローチとその代替手段
The principles of effective regulation: a learning cycle 効果的な規制の原則:学習サイクル
1. Design 1. 設計
2. Analyse 2. 分析
3. Intervene 3. 介入
4. Learn 4. 学習

学習サイクルの概要

1. Design 1. 設計
These principles are intended to translate the policy intent and purpose of regulation into the design of an overall regulatory framework. When setting up, or considering changes to, a regulator or regulatory system, these principles need particular consideration and resolution to avoid costly, untimely or disruptive remedial action later (for example, because they may require new legislation). これらの原則は、規制の政策意図と目的を、規制の枠組み全体の設計に反映させることを目的としています。規制機関や規制システムの設立や変更を検討する際には、これらの原則を特に考慮し、解決する必要があります。これは、後になってコストがかかり、時間がかからず、混乱を招くような改善措置を避けるためです(例えば、新たな法律が必要になる場合があります)。
・Defining the overall purpose of regulation  ・規制の全体的な目的の定義 
・Setting regulatory objectives  ・規制目的の設定 
・Ensuring accountability  ・説明責任の確保 
・Determining the degree of regulatory independence  ・規制の独立性の度合いの決定
・Deciding on powers  ・権限の決定 
・Determining a funding model ・資金調達モデルの決定
・Designing organisational structure and culture ・組織の構造と文化の設計
2. Analyse 2. 分析
Within a regulatory framework as designed, these principles are intended to help regulators and policymakers: analyse the market or issue being regulated on an ongoing basis; identify and assess in a timely manner where problems may be occurring that require intervention; engage with stakeholders to understand needs and priorities; and understand what capacity is needed to respond appropriately. 設計された規制の枠組みの中で、これらの原則は規制当局と政策立案者を支援することを目的としています。規制の枠組みの中で、これらの原則は、規制当局や政策立案者が、規制の対象となる市場や問題を継続的に分析し 介入が必要な問題がどこで発生しているかをタイムリーに把握し評価します。ニーズと優先事項を理解するためにステークホルダーと関わり、適切な対応をするために必要な能力を理解し、適切に対応するために必要な能力を理解します。
・Using information and data ・情報とデータの活用
・Embedding the citizen perspective ・市民の視点を取り入れる
・Monitoring service provider compliance and incentives ・サービス提供者のコンプライアンスとインセンティブの監視
・Engaging with stakeholders ・ステークホルダーとの連携
・Ensuring capacity and capability ・キャパシティとケイパビリティの確保
・Adopting a forward-looking approach ・将来を見越したアプローチの採用
3. Intervene 3. 介入
Where regulators identify problems that may require intervention, these principles are intended to help them: understand what impact they might have; prioritise actions; and consider how best to respond to achieve their intended outcomes with proportionate and timely responses. Regulatory tools range from ‘soft’ approaches (such as guidance and support) to ‘harder’ tools, including enforcement action and prosecution. 規制当局が介入を必要とする可能性のある問題を発見した場合、これらの原則は、それらがどのような影響を及ぼしうるかを理解し、行動に優先順位をつけ、意図した結果を達成するためにどのように対応するのが最善かを、適切かつ適時に検討するのに役立つことを目的としています。規制手段は、ガイダンスや支援などの「ソフト」なアプローチから、強制執行や告発などの「ハード」な手段まで多岐にわたります。
・Developing a theory of change ・変化の理論の開発
・Prioritising interventions ・介入の優先順位付け
・Drawing on a range of regulatory tools ・さまざまな規制手段の活用
・Embedding consistency and predictability ・一貫性と予測可能性の確立
・Ensuring interventions are proportionate ・介入が適切であることの確認
・Being responsive ・積極的な対応
4. Learn 4. 学習
It is important for regulators and policymakers to work collaboratively, measure progress and learn from experience to maximise effectiveness in future. These principles are intended to help measure and report performance and outcomes against regulatory objectives, evaluate the real-world impact of interventions, and work in a joined-up way with other organisations in the regulatory landscape. 規制当局と政策立案者は、今後の効果を最大化するために、協力して作業を行い、進捗を測定し、経験から学ぶことが重要です。これらの原則は、規制目的に対するパフォーマンスと成果を測定して報告し、介入の現実世界での影響を評価し、規制環境の中で他の組織と連携して作業するためのものです。
・Establishing governance processes ・ガバナンスプロセスの確立
・Measuring performance ・パフォーマンスの測定
・Evaluating impact and outcomes ・影響と成果の評価
・Engendering cooperation and coordination ・協力と調整の促進
・Ensuring transparency ・透明性の確保

 

■ 関連

● U.K. NAO

・2020.05.18 Overview Regulation 2019

 ・[PDF] Departmental Overview Regulation 2019

・2017.09.27 A Short guide to Regulation

 ・[PDF]

・2016.11.04 Performance measurement by regulators

 ・[DOC] Performance measurement good practice criteria and maturity mode

 ・[PDF] Performance Measurement by Regulators

・2015.08.03 A Short Guide to Regulation

 ・[PDF]

 

 

| | Comments (0)

2021.04.03

U.S. Office of Inspectors General(連邦監察官室)

こんにちは、丸山満彦です。

米国連邦政府の仕組みの特徴的なところは、各省庁に内部監査部門のような部署、Office of Inspectors General: IG(連邦監察官室)があるところですかね。。。

各省庁の連邦監査官室は政府組織ですから大統領の指揮下にあることになっていますが、議会が一定の歯止めをかけられる感じですね。。。

The Council of the Inspectors General on Integrity and Efficiency: CIGIE と[Wikipedia]が一番まとまってわかりやすいですかね...

で、各府省庁を監査するGAOがさらにある、という構造ですね。

GAOは連邦議会の活動を補佐する業務ではあるのですが、委員長の選任は上院下院の議員からなる委員会が推薦して大統領が任命するので、完全な第三者とは言えない部分もありますね。

なんで、このような記事を書いたかというと、各府省庁の監察官室でもセキュリティ監査をしているからです。。。ということで、2014年の報告では74あると報告されている連邦監察官室の監査についてもチェックしないといけないかな。。。とか思っているところなんですよね。。。いや、大変だ・・・

で、IGは内部通報の受付窓口にもなっていますね。。。

The Council of the Inspectors General on Integrity and Efficiency: CIGIE

Wikipedia - Office of Inspector General (United States)

1_20210402030201

 

Wikipediaからリストを作ってみました。。。(リンクが切れていたところは、リンクを貼り直していたりする場合もあります・・・※ 記載が漏れていたものを追加したものもあります・・・※※)

Presidentially-appointed inspectors general 大統領に任命された監察官  
Jurisdiction 所管 Website
Agency for International Development (AID-OIG) 国際開発庁 AID-OIG
Department of Agriculture (USDA-OIG) 米国農務省 USDA-OIG
Central Intelligence Agency (CIA-OIG) 米国中央情報局 CIA-OIG ※
Department of Commerce (DOC-OIG) 商務省 DOC-OIG
Corporation for National and Community Service (CNCS-OIG) 全米社会奉仕団 CNCS-OIG
Department of Defense (DOD-OIG) 国防総省 DOD-OIG
Department of Education (ED-OIG) 教育省 DOED-OIG
Department of Energy (DOE-OIG) エネルギー省 DOE-OIG
Environmental Protection Agency and Chemical Safety and Hazard Investigation Board (EPA-OIG) 環境保護庁および化学物質安全・有害性調査委員会 EPA-OIG
Export-Import Bank (EIB-OIG) 米国輸出入銀行 EIB-OIG
Federal Deposit Insurance Corporation (FDIC-OIG) 連邦預金保険公社 FDIC-OIG
Federal Housing Finance Agency (FHFA-OIG) 連邦住宅金融機関 FHFA-OIG
General Services Administration (GSA-OIG) 一般調達局 GSA-OIG
Department of Health and Human Services (HHS-OIG) 保健社会福祉省 HHS-OIG
Department of Homeland Security (DHS-OIG) 米国国土安全保障省 DHS-OIG
Department of Housing and Urban Development (HUD-OIG) 住宅都市開発省 HUD-OIG
Intelligence Community (ICIG) 情報コミュニティ ICIG
Department of the Interior (DOI-OIG) 内務省 DOI-OIG
Internal Revenue Service (TIGTA) 内国歳入庁 TIGTA
Department of Justice (DOJ-OIG) 司法省 DOJ-OIG
Department of Labor (DOL-OIG) 労働省 DOL-OIG
National Aeronautics and Space Administration (NASA-OIG) 米国航空宇宙局 NASA-OIG
Nuclear Regulatory Commission (NRC-OIG) 原子力規制委員会 NRC-OIG
Office of Personnel Management (OPM-OIG) 人事管理局 OPM-OIG
Railroad Retirement Board (RRB-OIG) 鉄道退職委員会 RRB-OIG
Small Business Administration (SBA-OIG) 中小企業庁 SBA-OIG
Social Security Administration (SSA-OIG) 社会保障庁 SSA-OIG
Department of State and the Agency for Global Media (DOS-OIG) 国務省およびグローバルメディア庁 DOS-OIG
Tennessee Valley Authority (TVA-OIG) テネシーバレー公社 TVA-OIG
Department of Transportation and National Transportation Safety Board (DOT-OIG) 運輸省および国家運輸安全委員会 DOT-OIG
Department of the Treasury (Treasury OIG) 財務省 Treasury OIG
Department of Veterans Affairs (VA-OIG) 退役軍人省 VA-OIG
List of presidentially appointed inspectors general 大統領が任命した監察官のリスト  
Designated federal entity inspectors general 指定された連邦機関の連邦監察官室  
Jurisdiction 所管 Website
Appalachian Regional Commission (ARC-OIG) アパラチア地域委員会 ARC-OIG ※
Committee for Purchase from People Who Are Blind or Severely Disabled (CPPBSD-OIG) 盲目または重度障害者からの購入委員会 CPPBSD-OIG
Commodity Futures Trading Commission (CFTC-OIG) 商品先物取引委員会 CFTC-OIG
Consumer Product Safety Commission (CPSC-OIG) 消費者製品安全委員会 CPSC-OIG
Corporation for Public Broadcasting (CPB-OIG) 公共放送協会 CPB-OIG
Denali Commission (DC-OIG) デナリ委員会 Denali OIG
Election Assistance Commission (EAC-OIG) 選挙支援委員会 EAC-OIG
Equal Employment Opportunity Commission (EEOC-OIG) 男女雇用機会均等委員会 EEOC-OIG ※
Farm Credit Administration (FCA-OIG) 農業信用機関 FCA-OIG
Federal Communications Commission (FCC-OIG) 連邦通信委員会 FCC-OIG
Federal Election Commission (FEC-OIG) 連邦選挙委員会 FEC-OIG
Federal Labor Relations Authority (FLRA-OIG) 連邦労働関係局 FLRA-OIG
Federal Maritime Commission (FMC-OIG) 連邦海事委員会 FMC-OIG
Federal Reserve Board and Consumer Financial Protection Bureau (FRB-OIG) 連邦準備委員会および消費者金融保護局 FRB-OIG
Federal Trade Commission (FTC-OIG) 連邦取引委員会 FTC-OIG
International Development Finance Corporation (DFC-OIG) 国際開発金融公社 DFC-OIG ※※
International Trade Commission (USITC-OIG) 国際貿易委員会 USITC-OIG
Legal Services Corporation (LSC-OIG) リーガルサービス・コーポレーション LSC-OIG
National Archives and Records Administration (NARA-OIG) 米国国立公文書館および記録管理局( NARA-OIG
National Credit Union Administration (NCUA-OIG) 全米信用組合管理局 NCUA-OIG
National Endowment for the Arts (NEA-OIG) 全米芸術基金 NEA-OIG
National Endowment for the Humanities (NEH-OIG) 全米人文科学振興財団 NEH-OIG
National Labor Relations Board (NLRB-OIG) 全米労働関係委員会 NLRB-OIG
National Railroad Passenger Corporation 全米鉄道旅客公社 Amtrak OIG
National Science Foundation (NSF-OIG) 全米科学財団 NSF-OIG
Peace Corps (PC-OIG) 平和部隊 PC-OIG
Pension Benefit Guaranty Corporation (PBGC-OIG) 年金給付保証公社 PBGC-OIG
Postal Regulatory Commission (PRC-OIG) 郵政規制委員会 PRC-OIG
Postal Service (USPS-OIG) 郵政公社 USPS-OIG
Securities and Exchange Commission (SEC-OIG) 証券取引委員会 SEC-OIG
Smithsonian Institution (SI-OIG) スミソニアン協会 SI-OIG
Special inspectors general 特別監察官  
Jurisdiction 所管 Website
Afghanistan Reconstruction (SIGAR) アフガニスタン復興支援 SIGAR
Pandemic Recovery (SIGPR) パンデミック対策  
Troubled Asset Relief Program (SIGTARP) 問題資産救済プログラム SIGTARP
Legislative agency inspectors general 立法機関の監察官  
Jurisdiction 所管 Website
Architect of the Capitol (AOC-OIG) 連邦議会議事堂 AOC-OIG
Capitol Police (USCP-OIG) 議事堂警察 USCP-OIG
Government Accountability Office (GAO-OIG) GAO GSA-OIG
Government Publishing Office (GPO-OIG) 政府出版局 GPO-OIG
House of Representatives 下院 House IG
Library of Congress (LOC-OIG) 議会図書館 LOC-OIG
U.S. military[edit] 米軍  
Jurisdiction 所管 Website
United States Air Force (USAF-OIG) アメリカ空軍 USAF-OIG
United States Army (USA-OIG) アメリカ陸軍 USA-OIG
Defense Intelligence Agency (DIA-OIG) 国防情報局 DIA-OIG
National Geospatial-Intelligence Agency (NGA-OIG) 国家地理空間情報局 NGA-OIG ※
National Reconnaissance Office (NRO-OIG) 国家偵察局 NRO-OIG ※
National Security Agency and Central Security Service (NSA-OIG) 国家安全保障局および中央警備局 NSA-OIG
United States Navy (USN-OIG) 米国海軍 USN-OIG

 

 

| | Comments (0)

2021.03.09

ENISA 金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表

こんにちは、丸山満彦です。

ENISAが金融セクターにおけるEUサイバーセキュリティイニシアティブに関するレポートを公表していますね。。。

ENISA

・2021.03.05 Achieving Harmonisation and Cyber Resilience in the Finance Sector

The European Union Agency for Cybersecurity (ENISA) issues a report shedding light on European policy initiatives in the finance sector.

・[PDF] EU Cybersecurity Initiatives in the Finance Sector

20210309-05350

1. INTRODUCTION 1. 序論
1.1 SCOPE, TARGET AUDIENCE AND OBJECTIVES 1.1 対象範囲、対象読者、目的
1.2 METHODOLOGY 1.2 方法論
2. EU CYBER INITIATIVES IN THE FINANCE SECTOR 2. 金融分野におけるEUのサイバーイニシアティブ
2.1 DEVELOPMENT AND IMPLEMENTATION OF POLICY 2.1 方針の策定と実施
2.2 INFORMATION SHARING AND CAPACITY BUILDING 2.2 情報共有と能力開発
2.3 CYBER CRISIS MANAGEMENT 2.3 サイバー危機管理
2.4 AWARENESS RAISING AND TRAINING 2.4 意識向上と訓練
2.5 STANDARDIZATION AND CERTIFICATION 2.5 標準化と認証
2.6 RESEARCH AND INNOVATION 2.6 研究とイノベーション

 

サイバーセキュリティ法(ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)
の条項に基づいて編成された以下のトピックをカバーしているということです。。。。。。

  1. 方針の策定と実施(サイバーセキュリティ法第5条)
  2. 情報共有と能力開発(第6条、第9条)
  3. サイバー危機管理と運用協力(第7条、第12条)
  4. 意識向上(第10条)
  5. 標準化と認証(第8条)
  6. 研究とイノベーション(第11条)

よくまとまっているので、きっちりと分析したいところです。。。


 

取り急ぎ、軽く翻訳はしてみた。。。

[DOC] 軽く翻訳

 

| | Comments (0)

より以前の記事一覧