個人情報保護 / プライバシー

2024.07.21

世界経済フォーラム (WEF) スマートコントラクトの台頭とサイバーリスクおよび法的リスクを軽減する戦略 (2024.07.16)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、スマートコントラクトの台頭とサイバーリスクおよび法的リスクを軽減する戦略という文書を書いていますね...

スマートコントラクトの普及はセキュリティ、法的な安定を含み、安全・安心の確保が重要ということですかね...まぁ、第三者を介さずに信用が担保されたトランザクションを自動処理しようという話なので、当然といえば、当然なのですが...

 

World Economic Forum

1_20240721031101

・2024.07.16 The rise of smart contracts and strategies for mitigating cyber and legal risks

 

The rise of smart contracts and strategies for mitigating cyber and legal risks スマートコントラクトの台頭とサイバーリスクおよび法的リスクを軽減する戦略
This article is part of:Centre for the Fourth Industrial Revolution この記事は:第4次産業革命センターの一部である。
・Smart contracts – self-executing agreements embedded in blockchain – offer the promise of seamless execution without human intervention. ・スマートコントラクト(ブロックチェーンに組み込まれた自己実行契約)は、人間の介入なしにシームレスに実行できることを約束している。
・However, the rapid adoption of this revolutionary technology comes with significant technological, legal and cybersecurity-related risks. ・しかし、この革命的なテクノロジーの急速な導入には、技術的、法的、サイバーセキュリティ関連の重大なリスクが伴う。
・Here's why adopting a multi-faceted approach is essential to addressing these risks and enhancing the security and reliability of smart contracts. ・こうしたリスクに対処し、スマート・コントラクトのセキュリティと信頼性を高めるためには、多面的なアプローチの採用が不可欠である理由を説明しよう。
Imagine a world where contracts are executed seamlessly without human intervention, reducing costs and enhancing efficiency across industries – from finance to real estate. This is the promise of smart contracts, self-executing agreements embedded in blockchain technology. 人間の介入なしに契約がシームレスに実行され、コストを削減し、金融から不動産まで、業界全体の効率を高める世界を想像してみてほしい。これがスマート・コントラクトの約束であり、ブロックチェーン技術に組み込まれた自己実行契約である。
However, the rapid adoption of this revolutionary technology comes with significant risks. In 2016, a coding flaw in the Decentralized Autonomous Organization (DAO) smart contract on the Ethereum platform led to a theft of $50 million worth of ether, illustrating the potential vulnerabilities. しかし、この革命的な技術の急速な普及には大きなリスクが伴う。2016年、イーサリアム・プラットフォーム上の分散型自律組織(DAO)スマート・コントラクトにコーディング上の欠陥があり、5,000万ドル相当のエーテルが盗まれるという事件が発生したが、これは潜在的な脆弱性を示している。
DISCOVER 発見
How is the World Economic Forum promoting the responsible use of blockchain? 世界経済フォーラムはブロックチェーンの責任ある利用をどのように推進しているのか?
The World Economic Forum's Platform for Shaping the Future of Blockchain and Digital Assets ensures equity, interoperability, transparency, and trust in the governance of this technology for everyone in society to benefit from blockchain’s transformative potential. 世界経済フォーラムの「ブロックチェーンとデジタル資産の未来を形作るためのプラットフォーム」は、社会のすべての人がブロックチェーンの変革の可能性から恩恵を受けることができるよう、このテクノロジーのガバナンスにおける公平性、相互運用性、透明性、信頼を保証する。
・The Forum helped central banks build, pilot and scale innovative policy frameworks to guide the implementation of blockchain, with a focus on central bank digital currencies. ・同フォーラムは、中央銀行のデジタル通貨を中心に、中央銀行がブロックチェーンの導入を導くための革新的な政策フレームワークを構築し、試験的に運用し、規模を拡大するのを支援した。
・The Redesigning Trust with Blockchain in the Supply Chain initiative is helping supply chain decision-makers implement blockchain, while ensuring that this technology is utilized in a secure, responsible and inclusive way. ・サプライチェーンにおけるブロックチェーンによる信頼の再設計」イニシアチブは、サプライチェーンの意思決定者がブロックチェーンを導入し、この技術が安全で責任ある包括的な方法で活用されるよう支援している。
・The Centre for the Fourth Industrial Revolution UAE is testing the application of digital assets and tokenization to improve financial systems. ・第4次産業革命アラブ首長国連邦センター(Centre for the Fourth Industrial Revolution UAE)は、金融システムを改善するためのデジタル資産とトークン化の応用をテストしている。



Contact us for more information on how to get involved.
With the smart contracts market projected to reach $73 billion by 2030, expanding at a compound annual growth rate (CAGR) of 82.2% as reported by Grand View Research, the urgency to address these risks is paramount. グランド・ビュー・リサーチの報告によると、スマート・コントラクト市場は2030年までに730億ドルに達し、年平均成長率(CAGR)82.2%で拡大すると予測されており、こうしたリスクへの対応が急務となっている。
Smart contracts are playing an increasingly important role and being more widely adopted across various sectors. As platforms like Ethereum continue to dominate the market, ensuring their security and reliability is crucial for the broader adoption and trust in smart contracts. スマートコントラクトはますます重要な役割を果たすようになり、様々な分野でより広く採用されるようになっている。イーサリアムのようなプラットフォームが市場を席巻し続ける中、そのセキュリティと信頼性を確保することは、スマートコントラクトをより広く採用し、信頼されるために極めて重要である。
Technical risks of smart contracts スマート・コントラクトの技術的リスク
Smart contracts are highly dependent on the precision of their code and the security of the blockchain infrastructure they operate on. スマートコントラクトは、そのコードの正確さと、運用するブロックチェーンインフラストラクチャのセキュリティに大きく依存する。
Even minor flaws or oversights can lead to severe consequences such as unauthorized access, fund misappropriation or unintentional legal disputes. To enhance the security and reliability of smart contracts, adopting a multi-faceted approach is essential. 些細な欠陥や見落としでも、不正アクセスや資金の横領、意図しない法的紛争といった深刻な結果を招く可能性がある。スマートコントラクトのセキュリティと信頼性を高めるには、多面的なアプローチを採用することが不可欠だ。



Formal verification tools are critical for checking the correctness of code before deployment. Following established best practices and standards in smart contract development, along with comprehensive auditing processes, can further minimize vulnerabilities. 正式な検証ツールは、デプロイ前にコードの正しさをチェックするために不可欠である。スマートコントラクト開発において確立されたベストプラクティスと標準に従うことは、包括的な監査プロセスとともに、脆弱性をさらに最小化することができる。
Additionally, employing advanced encryption techniques and stringent access controls can safeguard sensitive contract data and transactions from malicious attacks. Implementing these measures can help mitigate technical risks and enhance the trustworthiness of smart contracts. さらに、高度な暗号化技術と厳格なアクセス制御を採用することで、機密性の高い契約データとトランザクションを悪意のある攻撃から守ることができる。これらの対策を実施することで、技術的リスクを軽減し、スマートコントラクトの信頼性を高めることができる。
Evolving crypto threats and legal risks 進化する暗号の脅威と法的リスク
Despite improvements in blockchain security, vulnerabilities in smart contracts continue to be exploited, leading to significant losses. ブロックチェーンのセキュリティが向上しているにもかかわらず、スマートコントラクトの脆弱性が悪用され続け、大きな損失に繋がっている。
In 2023, the value lost in decentralized finance (DeFi) hacks declined by more than 63%, showing a positive trend in reducing the impact of these incidents, as reported by Chainalysis. However, the overall number of crypto hacks increased, indicating that the threat landscape is evolving and remains a significant concern. Chainalysisが報告したように、2023年には、分散型金融(DeFi)のハッキングで失われた価値は63%以上減少し、これらのインシデントの影響を減らすというポジティブな傾向を示している。しかし、暗号ハッキングの全体的な件数は増加しており、脅威の状況は進化しており、依然として重大な懸念事項であることを示している。
These developments highlight a critical challenge: as the adoption of smart contracts grows, so does the sophistication of attacks targeting them. スマート・コントラクトの普及が進むにつれて、スマート・コントラクトを標的にした攻撃の高度化も進んでいる。
Have you read? 読んだことがあるか?
This is the path toward smart financial contracts and more resilient banking これがスマート金融契約とよりレジリエントなバンキングへの道だ
How women are staking out a space in the blockchain world 女性がブロックチェーンの世界でどのように居場所を確保しているか
One of the biggest challenges with smart contracts is that the rules aren't always clear. It's like playing a board game where the rules differ from one place to another; what's acceptable in one country might be illegal in another. This can create confusion about how secure these contracts are and what happens if things go wrong. スマート・コントラクトの最大の課題のひとつは、ルールが必ずしも明確ではないということだ。ある国では容認されていても、別の国では違法かもしれない。このため、契約の安全性や、問題が起きた場合の対応に混乱が生じる可能性がある。
Let's say a smart contract is supposed to pay you when you deliver a project, but the payment never arrives due to a flaw in the programme. Who do you call? Usually, you might take legal action, but with smart contracts, it's not always clear how you can enforce your rights. The laws that apply to traditional contracts don't always match up with how smart contracts work. 例えば、スマート・コントラクトが、あるプロジェクトを納品したときに報酬を支払うことになっているが、プログラムの欠陥のために報酬が支払われなかったとしよう。誰に連絡する?通常は法的措置を取るかもしれないが、スマート・コントラクトでは、権利を行使する方法が必ずしも明確ではない。従来の契約に適用される法律は、スマート・コントラクトの仕組みと必ずしも一致しないのだ。
Economic risks and security concerns 経済的リスクとセキュリティ上の懸念
Think of a smart contract like a vending machine. You pick a snack, pay the money, and the snack comes out. Everything usually works smoothly unless the machine jams. Now, imagine if the price of the snacks suddenly changed while your money was still inside because of a rapid market shift. スマート・コントラクトを自動販売機のように考えてみよう。あなたはスナックを選び、お金を払い、スナックが出てくる。自動販売機がジャムらない限り、通常はすべてがスムーズに機能する。では、急激な市場の変化により、あなたのお金が中に入っている間にスナックの値段が突然変わってしまったとしよう。
That happened to a digital platform called MakerDAO during a major market crash. When the market fell abruptly, the digital contracts couldn't adapt quickly enough, causing people to lose money unexpectedly. This incident shows how sudden changes in market conditions can make these automated systems unreliable, a bit like a vending machine that takes your money without giving you the snack. MakerDAOと呼ばれるデジタル・プラットフォームでは、市場の大暴落の際にそのようなことが起こった。市場が急落したとき、デジタル契約は十分に素早く適応することができず、人々は予想外の損失を被った。この事件は、市場環境の急激な変化が、こうした自動システムをいかに信頼性のないものにしてしまうかを示しており、スナックを与えずにお金を奪う自動販売機のようなものだ。



In November 2017, a seemingly innocent game involving digital cats, CryptoKitties, became so popular that it clogged the Ethereum network. This cute overload caused a significant slowdown across the network, delaying transactions and escalating fees. 2017年11月、CryptoKittiesという一見何の変哲もないデジタル猫のゲームが大人気となり、イーサリアムのネットワークを詰まらせた。このキュートな過負荷はネットワーク全体の大幅な減速を引き起こし、トランザクションを遅延させ、手数料を高騰させた。
This incident is a textbook example of how scalability challenges can lead to economic inefficiencies, which in turn compromise the security of all operations on the network, making every transaction, not just game-related, vulnerable to attacks and failures. この事件は、スケーラビリティの課題がいかに経済的非効率につながり得るかの教科書的な例であり、その結果、ネットワーク上のすべてのオペレーションのセキュリティが損なわれ、ゲーム関連だけでなく、すべてのトランザクションが攻撃や障害に脆弱になる。
The Infrastructure Investment and Jobs Act passed in the US in 2021 shook the foundations of many blockchain projects. This legal shake-up illustrated how swiftly changing regulations could destabilize the smart contract landscape, forcing projects to adapt or perish. 2021年に米国で成立したインフラ投資・雇用法は、多くのブロックチェーン・プロジェクトの基盤を揺るがした。この法的揺り戻しは、規制の迅速な変更がいかにスマートコントラクトの状況を不安定にし、プロジェクトに適応するか滅びるかを迫るかを示している。
This regulatory unpredictability doesn't just affect the economics of projects; it poses serious security risks, as projects rush to comply with new laws, potentially overlooking vulnerabilities or making hasty changes to their infrastructure. このような規制の予測不可能性は、プロジェクトの経済性に影響を与えるだけでなく、プロジェクトが新しい法律への準拠を急ぐあまり、脆弱性を見落としたり、インフラを性急に変更したりする可能性があるため、深刻なセキュリティリスクをもたらす。
Smart contracts will be revolutionary スマート・コントラクトは革命的になる
Smart contracts are poised to revolutionize how we conduct transactions, promising more efficient and secure ways to manage agreements digitally. スマート・コントラクトは、私たちの取引方法に革命をもたらし、より効率的で安全なデジタル契約管理方法を約束する。
DISCOVER 発見する
What is the World Economic Forum doing about the Fourth Industrial Revolution? 世界経済フォーラムは第4次産業革命について何をしているのか?
The World Economic Forum was the first to draw the world’s attention to the Fourth Industrial Revolution, the current period of unprecedented change driven by rapid technological advances. Policies, norms and regulations have not been able to keep up with the pace of innovation, creating a growing need to fill this gap. 世界経済フォーラムは、急速な技術進歩がもたらす前例のない変化の時代である第4次産業革命に、世界で初めて注意を喚起した。政策、規範、規制はイノベーションのペースに追いついておらず、このギャップを埋める必要性が高まっている。
The Forum established the Centre for the Fourth Industrial Revolution Network in 2017 to ensure that new and emerging technologies will help—not harm—humanity in the future. Headquartered in San Francisco, the network launched centres in China, India and Japan in 2018 and is rapidly establishing locally-run Affiliate Centres in many countries around the world. 同フォーラムは、2017年に第4次産業革命センター・ネットワークを設立し、新たなテクノロジーや新興のテクノロジーが、将来人類に害を与えるのではなく、人類を助けることを確実にすることを目指している。サンフランシスコに本部を置くこのネットワークは、2018年に中国、インド、日本でセンターを立ち上げ、世界各国で現地運営のアフィリエイト・センターを急速に設立している。



The global network is working closely with partners from government, business, academia and civil society to co-design and pilot agile frameworks for governing new and emerging technologies, including artificial intelligence (AI)autonomous vehiclesblockchaindata policydigital tradedronesinternet of things (IoT)precision medicine and environmental innovations. このグローバル・ネットワークは、政府、企業、学界、市民社会のパートナーと緊密に連携し、人工知能(AI)、自律走行車、ブロックチェーン、データ政策、デジタル貿易、ドローン、モノのインターネット(IoT)、精密医療、環境イノベーションなど、新しく出現するテクノロジーを管理するためのアジャイルなフレームワークを共同設計し、試験的に運用している。
Learn more about the groundbreaking work that the Centre for the Fourth Industrial Revolution Network is doing to prepare us for the future. 第4次産業革命ネットワークセンターが未来に向けて行っている画期的な取り組みについてもっと知る。
Want to help us shape the Fourth Industrial Revolution? Contact us to find out how you can become a member or partner. 第4次産業革命の形成に貢献したい。メンバーやパートナーになる方法については、こちらまでお問い合わせを。
Yet, the journey toward widespread adoption is laden with hurdles – technical glitches, legal ambiguities and economic fluctuations. Overcoming these challenges requires not just innovative technology but a comprehensive strategy that includes robust security measures, clear legal standards and adaptive economic policies. しかし、普及に向けた道のりには、技術的な不具合、法的な曖昧さ、景気の変動といったハードルが山積している。これらの課題を克服するには、革新的な技術だけでなく、強固なセキュリティ対策、明確な法的基準、適応力のある経済政策を含む包括的な戦略が必要だ。
As we continue to navigate this complex landscape, the success of smart contracts will hinge on our ability to secure and stabilize them against an ever-evolving backdrop of risks. 私たちがこの複雑な状況を乗り越え続ける中で、スマート・コントラクトの成功は、進化し続けるリスクを背景に、スマート・コントラクトを安全かつ安定させる私たちの能力にかかっている。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.04.13 米国 NIST IR 8475(初期公開ドラフト) Web3パラダイムに関するセキュリティの視点

・2024.03.09 米国 NIST IR 8472 非代替性トークンのセキュリティ

・2023.09.08 NIST IR 8408 ステーブルコイン技術と関連するセキュリティ上の考慮事項の理解

・2023.09.04 NIST IR 8472(初期公開ドラフト) 非代替性トークン (NFT) のセキュリティ (2023.08.31)

・2023.04.29 米国 NISTIR 8460 (ドラフト) 状態機械複製とビザンチン敵対者のコンセンサス

・2022.12.30 Belfer Center: Web3関連のイベント(構築、投資、政策立案)(2022.10.20-12.01)

・2022.09.14 米国 MITRE Web3のセキュリティ確保とインターネットの未来への挑戦

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.05.30 NISTIR 8403 アクセス制御システムのためのブロックチェーン

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.01 欧州委員会 データ法の提案

・2022.02.24 Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

・2021.12.21 NIST 意見募集 NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーン

・2021.07.20 Cloud Security Alliance ヘルスケアにおけるブロックチェーンの利用

・2021.05.04 ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview(ブロックチェーンネットワーク:トークンのデザインと管理の概要)

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2020.09.30 NIST NISTIR 8301 (Draft) Blockchain Networks: Token Design and Management Overview

・2020.09.30 NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices

 

| | Comments (0)

2024.07.20

米国のハイテク企業の団体である情報技術産業協会 (ITI) がEUのAI政策についてご意見しています

こんにちは、丸山満彦です。

欧州は、欧州の価値が米国を含む外部から侵されるのは、欧州の結合を緩めることにもつながるので、嫌なのかもしれませんね...しかし、米国も商売ですから、うまくやっていきたいと考えているのでしょうね...ある意味、駆け引き、外交ということなのかもしれません...

・EUの法体系が複雑なのでビジネスがやりにくい、もっとわかりやすくしてくれ

・私たちとももっと会話をしてくれ

・規制については米国との相互運用性を高めて欲しい

・EUの発展のために米国IT企業も協力するよ

というかんじですかね...

Letter SizeではなくA4でPDFにしていますね...

 

Information Technology Industry Council; ITI

・2024.07.10 ITI Vision 2030: Global tech trade association outlines competitive future for EU AI policy and AI Act implementation

ITI Vision 2030: Global tech trade association outlines competitive future for EU AI policy and AI Act implementation ITIビジョン2030:世界的なハイテク業界団体、EUのAI政策とAI法実施に向けた競争力のある将来像を示す
BRUSSELS – Today, global tech trade association ITI, the Information Technology Industry Council, has outlined its Vision for the Future of EU AI Policy and the implementation of the EU AI Act. ブリュッセル発 - 本日、世界的なハイテク業界団体であるITI(情報技術産業協会)は、EUのAI政策とEU AI法の実施に向けた将来像の概要を発表した。
Supporting AI development and adoption must be a fundamental public policy goal for the EU in the coming mandate. For this reason, ITI has put forward four strategic priorities: AIの開発と導入を支援することは、今後EUに課される基本的な公共政策の目標でなければならない。このため、ITIは4つの戦略的優先事項を提唱している:
・Successfully implement the AI Act by promoting legal clarity, cohesion of the Single Market and streamlining overlaps with other digital legislations. ・法の明確化、単一市場の結束、他のデジタル法制との重複の合理化を推進することにより、AI法を成功裏に実施する。
・Build a successful and ambitious AI Office by promoting transparent and effective dialogue with industry stakeholders. ・業界関係者との透明で効果的な対話を促進することにより、成功裏に野心的なAI事務局を構築する。
・Increase International Cooperation on AI by supporting regulatory interoperability and leveraging international standards. ・規制の相互運用性を支援し、国際標準を活用することにより、AIに関する国際協力を強化する。
・Support enablers for AI Innovation, including digital skills, data flows and innovative data storage solutions. ・デジタル・スキル、データの流れ、革新的なデータ・ストレージ・ソリューションなど、AIイノベーションのためのイネーブラーを支援する。
“As the AI Act enters into force, its successful implementation will be key for the future EU competitiveness on this technology.” said ITI Senior Policy Manager for Europe Marco Leto Barone. “The EU must now work towards providing much needed legal certainty in close dialogue with industry, promote global regulatory interoperability and support enablers for AI innovation.” 「AI法の施行に伴い、その成功裏の実施は、この技術に関する将来のEUの競争力にとって重要な鍵となる」と、ITI欧州担当シニア・ポリシー・マネジャーのマルコ・レト・バローネ氏は述べた。「EUは今後、産業界との緊密な対話を通じて、必要とされる法的確実性をプロバイダとして提供し、グローバルな規制の相互運用性を促進し、AI技術革新のイネイブラーを支援しなければならない」と述べた。

 

・[PDF] ITI Vision 2030: EU Artificial Intelligence Policy - Tech Sector Views on How to Successfully Implement the AI Act and Boost AI Innovation in Europe 

20240720-64021

 

ITI Vision 2030: EU Artificial Intelligence Policy  ITIビジョン2030:EUの人工知能政策 
Tech Sector Views on How to Successfully Implement the AI Act and Boost AI Innovation in Europe   AI法を成功裏に実施し、欧州におけるAIイノベーションを促進する方法に関するハイテク業界の見解  
ITI – The Information Technology Industry Council is the global trade association of the tech industry, representing 80 of the world’s most innovative technology companies. ITI members operate across the AI value chain, including leading AI developers, deployers and providers of infrastructure. ITI members invest and create jobs in Europe and significantly contribute to the European economy and to the EU’s digitalization goals.  ITI - 情報技術産業協会(ITI)は、世界で最も革新的なテクノロジー企業80社の代表者を擁するハイテク業界の世界的な業界団体である。ITI会員は、AI開発、デプロイ、インフラプロバイダーなど、AIのバリューチェーン全体にわたって活動している。ITI会員は欧州で投資と雇用を創出し、欧州経済とEUのデジタル化目標に大きく貢献している。
What’s ITI Vision 2030?  ITIビジョン2030とは?
ITI Vision2030[1] is ITI’s manifesto for the next mandate of the European Union. To ensure innovators can thrive and create new opportunities for all Europeans, ITI’s Vision 2030 outlines measures policymakers can take to support and achieve Europe’s digitalization goals.   ITI Vision2030[1]は、EUの次期政権に対するITIのマニフェストである。イノベーターが活躍し、すべての欧州人に新たな機会を創出できるようにするため、ITIのビジョン2030は、欧州のデジタル化目標を支援し達成するために政策立案者が取るべき措置を概説している。 
Europe needs a strategic vision for the future of its technology policy to reap the benefits of technological innovation, attract much-needed investments, and meet its 2030 Digital Targets. The future EU technology policy must pursue this objective by addressing obstacles that are holding back the EU’s innovation potential and competitiveness, such as regulatory complexity, reduced investments,[2] and lack of sufficient digital skills.   技術革新の恩恵を享受し、必要とされる投資を誘致し、2030年デジタル目標を達成するために、欧州は技術政策の将来に対する戦略的ビジョンを必要としている。将来のEU技術政策は、規制の複雑さ、投資の減少[2]、十分なデジタルスキルの不足など、EUの技術革新の可能性と競争力を妨げている障害に対処することによって、この目標を追求しなければならない。 
To this end, ITI Vision 2030 contains six Strategic Priorities and a Call for Action with ten concrete recommendations for EU policymakers in the next mandate. It also contains a Scorecard with an evaluation of the impact of key EU tech policies on Europe’s attractiveness for investments. This document further explores how these priorities can be pursued in the field of Artificial Intelligence (AI).   この目的のために、ITIビジョン2030には、6つの戦略的優先事項と、EUの政策立案者に向けた次の指令における10の具体的提言を含む行動要請が含まれている。また、EUの主要なハイテク政策が欧州の投資魅力に与える影響を評価したスコアカードも含まれている。本書ではさらに、これらの優先事項を人工知能(AI)分野でどのように追求できるかを探っている。 
ITI’s Vision for the Future of EU AI Policy  EUのAI政策の将来に対するITIのビジョン 
AI is a profoundly transformative technology which will bring about tremendous benefits for our societies and economies. AI will enhance productivity, efficiency and accelerate scientific discovery and can help address the most pressing challenges of our time.   AIは、私たちの社会と経済に多大な恩恵をもたらす大変革的な技術である。AIは、生産性、効率性を高め、科学的発見を加速させ、現代における最も差し迫った課題に対処する助けとなる。 
At a time of acute global challenges, including geopolitical tensions, climate instability and demographic change, enabling governments and organizations to leverage AI is a strategic competitive advantage for Europe. Supporting AI development and adoption must thus be a fundamental public policy goal for the EU in the coming mandate.   地政学的緊張、気候変動、人口動態の変化など、世界的な課題が山積している現在、政府や組織がAIを活用できるようにすることは、欧州にとって戦略的な競争上の優位性となる。したがって、AIの開発と導入を支援することは、EUにとって、今後課される基本的な公共政策の目標でなければならない。 
The European Commission’s 2023 report on the State of the Digital Decade[3] indicates that Europe is not on track to reach the EU target of 75% of companies adopting AI, cloud, and big data by 2030. The lack of a sufficiently skilled workforce further increases difficulties in meeting these targets. These are clear signals that more is needed to enable AI uptake and stimulate AI innovation in Europe.  欧州委員会の「デジタルの10年の現状に関する2023年報告書」[3]によると、欧州は、2030年までにAI、クラウド、ビッグデータを導入する企業を75%にするというEUの目標に到達していない。十分に熟練した労働力の不足は、これらの目標を達成する困難をさらに高めている。これらは、欧州でAIを導入し、AIイノベーションを促進するためには、さらなる取り組みが必要であるという明確なシグナルである。
At the same time, the last EU mandate focused on a comprehensive technology regulation agenda, introducing new, oftentimes unprecedented, requirements on technology companies. Notably in the field of AI, the newly passed EU AI Act provides an ambitious example for AI regulation and for managing potential risks stemming from the use of AI in certain contexts. While the finalization of the AI Act is an important milestone for the EU, ensuring that its implementation is effective, practical, predictable, and conducive to innovation must be a priority in the new mandate.  同時に、前回のEU指令では、包括的な技術規制のアジェンダに重点が置かれ、技術系企業に対する新たな、時には前例のない要件が導入された。特にAIの分野では、新たに可決されたEUのAI法が、AI規制と、特定の文脈におけるAIの使用から生じる潜在的リスクのマネジメントについて、野心的な例を示している。AI法の最終決定はEUにとって重要なマイルストーンであるが、その実施が効果的で、実用的で、予測可能で、イノベーションに資するものであることを保証することが、新たな任務における優先事項でなければならない。
The AI Act will not be the only regulation applying to AI: it will coexist with other EU regulations such as the GDPR, cybersecurity regulations, the newly adopted Digital Services Act, the GPSR, the Copyright Directive as well as sectoral regulations such as those for Medical Devices and Machinery. These regulations will be enforced by different authorities, and implementation at national level may diverge. In addition to that, the new Product Liability Directive and potentially the proposed AI Liability Directive will further increase AI companies’ liability exposure.   AI法は、AIに適用される唯一の規制ではない。GDPR、サイバーセキュリティ規制、新たに採択されたデジタルサービス法、GPSR、著作権指令、さらには医療機器や機械などの分野別規制など、他のEU規制と共存することになる。これらの規制はそれぞれ異なる認可機関によって施行されるため、国レベルでの実施は異なる可能性がある。加えて、新たな製造物責任指令と潜在的に提案されているAI責任指令は、AI企業の責任エクスポージャーをさらに増大させるだろう。 
The resulting legal framework is complex, fragmented, and uncertain. Businesses of all sizes cite regulatory complexity as an obstacle to investments and AI adoption.[4]  The next EU mandate should thus pursue an ambitious agenda aimed at strategically addressing these barriers to AI adoption, investments, and innovation. As part of this effort, it must provide legal clarity to businesses, ensure predictable implementation of EU laws across the Single Market, guide business compliance efforts as well as support digital skills.   その結果、法的枠組みは複雑かつ断片的で不確実なものとなる。あらゆる規模の企業が、投資やAI導入の障害として規制の複雑さを挙げている[4]。したがって、次期EU指令は、AI導入、投資、イノベーションに対するこうした障壁に戦略的に対処することを目的とした野心的なアジェンダを追求すべきである。この努力の一環として、企業に法的明確性を提供し、単一市場全体におけるEU法の予測可能な実施を確保し、企業のコンプライアンス努力を導くとともに、デジタルスキルを支援しなければならない。 
Below, we provide a list of strategic priorities as well as concrete recommendations based on ITI’s Vision 2030 Manifesto for the next EU mandate, which must guide EU institutions’ approaches to AI policy in the next mandate.  以下では、戦略的優先事項のリストと、ITIの「ビジョン2030マニフェスト」に基づく具体的な提言を示す。
Strategic Priority 1: Implementation  戦略的優先事項1:実施 
› Ensure Coordinated Implementation of the EU AI Act Across the Single Market  単一市場全体におけるEU AI法の協調的実施を確保する 
EU Member States will be in charge of the enforcement and implementation of most of the AI Act, including the provisions on high-risk AI systems. The AI Act leaves Member States discretion to appoint different types of market surveillance authorites and other national competent authorities. Member States are currently taking different approaches, by creating new authorities or by leveraging existing ones (such as consumer protection or telecoms regulators).  EU加盟国は、リスクの高いAIシステムに関する規定を含め、AI法のほとんどの施行と実施を担当する。AI法は、加盟国に対し、さまざまな種類の市場監視認可機関やその他の国家管轄当局を任命する裁量権を残している。加盟国は現在、新たな当局を設立したり、既存の当局(消費者保護や電気通信規制当局など)を活用するなど、さまざまなアプローチをとっている。
This fragmented landscape risks leading to divergent national interpretations and legal complexity, which will impact businesses of all sizes in the Single Market. To minimize this risk, Member States and the Commission must prioritize EU-level coordination of enforcement and implementation activities. Meaningfully and ambitiously leveraging the structures introduced in the EU AI Act will be crucial to increase coordination and successfully implementing the AI Act. In particular, Member States should pursue aligned approaches and common understanding in the AI Board. The EU AI Office must also ambitiously use its coordination role to provide guidelines to regulators and businesses, facilitate information exchange and increase collaboration between national and sectoral authorities.  このように細分化された状況は、各国の解釈の相違や法律の複雑さにつながるリスクがあり、単一市場内のあらゆる規模の企業に影響を与えるだろう。このリスクを最小化するために、加盟国と欧州委員会は、施行と実施活動のEUレベルでの調整を優先させなければならない。EUのAI法に導入された仕組みを有意義かつ意欲的に活用することは、調整を強化し、AI法の実施を成功させるために極めて重要である。特に加盟国は、AI委員会における一致したアプローチと共通の理解を追求すべきである。また、EU AI事務局は、規制当局や企業にガイドラインを提供し、情報交換を促進し、各国・各分野の当局間の協力を強化するために、その調整の役割を意欲的に活用しなければならない。
› Assess and Streamline Legal and Regulatory Overlaps   法的・規制的重複のアセスメントと合理化  
The regulatory environment impacting AI in Europe is increasingly complex. The newly passed AI Act will coexist with a multiplicity of other requirements and competent authorities under EU law, which AI developers and deployers will have to apply concurrently. These include the GDPR, cybersecurity rules in the CRA and NIS 2, algorithmic transparency rules in the DSA, the GPSR, the DMA, sectoral laws such as the Machinery, Medical Devices or In Vitro Diagnostic Regulations, Copyright rules, Product Liability and AI Liability.  欧州のAIに影響を与える規制環境はますます複雑化している。新たに成立したAI法は、EU法に基づく他の多くの要件や管轄当局と共存することになり、AIの開発者や導入者はこれらを同時に適用しなければならなくなる。これらには、GDPR、CRAおよびNIS 2におけるサイバーセキュリティ規則、DSA、GPSR、DMAにおけるアルゴリズム透明性規則、機械規則、医療機器規則、体外診断規則などのセクター法、著作権規則、製造物責任、AI責任などが含まれる。
This complexity makes enforcement activities less predictable, especially where multiple authorities are involved and enforcing different pieces of legislation impacting AI. In turn, it increases the difficulty of companies’ compliance efforts, especially in a quickly evolving area like AI governance, and could harm the competitiveness of Europe’s AI ecosystem. To streamline potential legal overlaps and complexity, the next EU mandate should:  このような複雑さは、特に複数の認可当局が関与し、AIに影響を与えるさまざまな法律を執行する場合、執行活動の予測性を低下させる。ひいては、特にAIガバナンスのように急速に発展する分野では、企業のコンプライアンス努力の難易度を高め、欧州のAIエコシステムの競争力に悪影響を及ぼす可能性がある。潜在的な法律の重複や複雑さを合理化するために、EUの次期指令は以下のことを行うべきである: 
•       Conduct an ambitious assessment of the digital legislation applying to AI, with the aim to identify and map legal overlaps and potential enforcement conflicts. This assessment can be used to provide further compliance guidance to businesses, to promote coordination of different enforcement authorities as well as to inform future EU policymaking.   ・AIに適用されるデジタル法制の野心的なアセスメントを実施し,法的重複や潜在的な執行上の矛盾を特定・マッピングする。このアセスメントは,企業へのコンプライアンス指針の提供,異なる執行当局の調整の促進,EUの今後の政策立案への情報提供に利用できる。
•       A similar assessment is needed for proposals that are yet to be approved. For example, the interplay between the revised Product Liability Directive (PLD) and the proposed AI Liability Directive (AILD) must be further explored.[5] In absence of clear legal gaps and given the recent approval of the PLD, the Commission should consider withdrawing the proposal.   ・まだ承認されていない提案についても、同様のアセスメントが必要である。例えば、改正製造物責任指令(PLD)と提案されているAI責任指令(AILD)の相互作用について、さらに検討する必要がある[5]。明確な法的ギャップがなく、PLDが最近承認されたことを考慮すると、欧州委員会は同提案の撤回を検討すべきである。 
•       The Commission and Member States must pursue increased coordination between different authorities enforcing EU AI and digital legislation. For example, the creation of an ad-hoc forum of EU-level bodies and authorities coordinating the enforcement of the EU AI Act, DSA, DMA, GDPR, GPSR and cybersecurity legislation could help prevent regulatory complexity, increase coordination and strengthen the cohesion of the Single Market.  ・欧州委員会と加盟国は,EUのAIおよびデジタル関連法を執行するさまざまな当局間の連携を強化することを追求しなければならない。例えば,EU AI法,DSA,DMA,GDPR,GPSR,サイバーセキュリティに関する法律の施行を調整するEUレベルの団体や当局によるアドホック・フォーラムを認可することは,規制の複雑化を防ぎ,協調を強化し,単一市場の結束を強化するのに役立つだろう。
› Provide Timely and Robust Implementation Guidance to Businesses  企業に対し、タイムリーかつ強力な実施ガイダンスを提供する 
The EU should launch a programme to follow-up on recently adopted digital legislation with the goal to guide business in Europe in their compliance efforts. This is particularly important for AI governance, considering that companies will be facing not only a large number of new laws, but also that many of them are entirely new and groundbreaking in nature.   EUは、最近採択されたデジタル法制をフォローアップするプログラムを立ち上げ、欧州における企業のコンプライアンスへの取り組みを指導することを目的とすべきである。これは、企業が多数の新しい法律に直面するだけでなく、その多くがまったく新しく画期的なものであることを考慮すると、AIガバナンスにとって特に重要である。 
•       The Commission and the AI Office are tasked with developing several interpretation and compliance guidelines under the EU AI Act, on some of the key parts of the Regulation. These include the classification of high-risk AI systems, the definition of AI, the interplay with sectoral regulations and the banned practices.   ・欧州委員会とAI室は,EUのAI法に基づき,同規則の主要部分のいくつかについて,いくつかの解釈およびコンプライアンス・ガイドラインを作成する任務を負っている。これには,リスクの高いAIシステムの分類,AIの定義,分野別規制との相互関係,禁止されている慣行などが含まれる。
o   Given how some AI Act requirements will start applying already in 2025 (for example the banned practices), it will be crucial to provide clear and comprehensive guidelines as soon as possible.  o In line with the Act’s risk-based approach, implementation should recognize diversity of AI use cases and avoid one-size-fits-all approaches, for example when it comes to the specificities of enterprise AI in B2B contexts.  o AI法の要求事項の中には、2025年にすでに適用が開始されるもの(例えば禁止される慣行)もあることから、できるだけ早く明確で包括的なガイドラインを提供することが重要である。
o   Industry must be systematically involved and consulted for the development of these guidelines to leverage available expertise and ensure new rules work in practice. Consultation should include existing sectoral stakeholder bodies – for example the Medical Device Coordination Group (MDCG) in the medical sector.  o 産業界は、利用可能な専門知識を活用し、新たなルールが実際に機能することを保証するために、これらのガイドラインの策定に体系的に関与し、協議されなければならない。協議には、例えば医療分野の医療機器調整グループ(MDCG)のような、既存の分野別利害関係団体を含めるべきである。
•       Authorities should also provide guidance for companies to navigate all rules applicable to AI beyond the AI Act and ensure the legal framework is clear, agile and streamlined, without overlaps and conflicts. Particular guidance is needed on the interplay between the EU AI Act and the GDPR, for example on issues like data minimization, accuracy and bias mitigation.   ・認可当局はまた,企業がAI法を超えてAIに適用されるすべての規則をナビゲートするためのガイダンスを提供し,重複や抵触のない,明確で機動的かつ合理的な法的枠組みを確保すべきである。例えば,データの最小化,正確性,バイアスの低減といった問題に関して,EUのAI法とGDPRの相互関係について,特にガイダンスが必要である。
Strategic Priority 2: Building a Successful AI Office  戦略的優先事項2:成功するAI事務局の構築 
› Ensure Timely Set Up and Sufficient Funding for the Office  事務局のタイムリーな設立と十分な資金を確保する 
The establishment of the AI Office offers a unique opportunity to build an innovative and agile governance structure, which is key for the successful implementation of the EU AI Act. Its tasks will range from the direct supervision of General Purpose AI (GPAI) Models, to crucially important coordination, guidance and implementation support roles, as well as international engagement.   AI事務局の確立は、革新的で機敏なガバナンス構造を構築するまたとない機会を提供する。その任務は、汎用AI(GPAI)モデルの直接的な監督から、極めて重要な調整、指導、実施支援の役割、さらには国際的な関与まで多岐にわたる。 
With some of the AI Act obligations kicking in as early as in 2025, it is fundamental to ensure the Office is fully operational as soon as possible to provide much-needed legal certainty, launch priority work streams and support AI innovators. To that end, the next EU mandate must ensure sufficient funding and staffing that can support the Office’s functioning and its ambition.   AI法の義務の一部は、早ければ2025年に開始されるため、同局をできるだけ早く完全に稼働させ、必要とされる法的確実性を提供し、優先的な作業の流れを立ち上げ、AIイノベーターを支援することが重要である。そのためには、EUの次期指令は、事務局の機能とその野心を支えることができる十分な資金と人員を確保しなければならない。 
› Prioritize Robust Industry Engagement in the AI Office  AI事務局における産業界の積極的関与を優先する 
The AI Office will directly enforce the AI Act’s provisions on GPAI Models. In particular, the upcoming work on the Codes of Practice for GPAI Models and generative AI, as well as the template for the summary of training data will be important to build practical, flexible and innovation-friendly compliance tools for developers of GPAI models.   AI事務局は、GPAIモデルに関するAI法の規定を直接執行する。特に、GPAIモデルと生成的AIに関する実施規範、および訓練データの要約のテンプレートに関する今後の作業は、GPAIモデルの開発者にとって実用的で柔軟性があり、イノベーションに適したコンプライアンスツールを構築する上で重要となる。 
Given the emerging and evolving nature of the state of the art of the technology, collaboration between the AI Office and the companies that will have to implement these measures must be a central component of these activities, and must be prioritized.   技術の現状が新興的で進化していることを考慮すると、AI事務局とこれらの対策を実施しなければならない企業との協力は、これらの活動の中心的な要素でなければならず、優先されなければならない。 
The Codes will need to be ready within 9 months from the expected entry into force of the EU AI Act in the summer of 2024. To ensure meaningful dialogue and cooperation, the AI Office must:  コードは、2024年夏に予定されているEU AI法の発効から9ヶ月以内に準備する必要がある。有意義な対話と協力を確保するため、AI事務局は以下を行わなければならない: 
•       Facilitate collaboration and actively involve impacted industry from the start;  ・協力を促進し、影響を受ける業界を最初から積極的に関与させる; 
•       Work with industry to develop clear timelines and a roadmap of expected milestones as soon as possible;  ・産業界と協力して、明確なタイムラインと予想されるマイルストーンのロードマップを早急に作成する; 
•       Work with industry to clarify as soon as possible the processes and structures that will support the drawing up of the Codes of Practice and other deliverables.  ・産業界と協力し,実施規範およびその他の成果物の作成を支援するプロセスおよび体制を早急に明確化する。
› Ensure Broad Representation in Key Advisory Bodies  主要諮問団体における幅広い代表の確保 
The final EU AI Act sets up a number of bodies with important advisory functions needed for the successful implementation of the AI Act:   最終的なEUのAI法は、AI法を成功裏に実施するために必要な重要な諮問機能を持つ団体を多数設置している:  
•       The Advisory Forum can play an important role in creating meaningful dialogue between the stakeholder community, the Commission and the AI Board. To ensure its effectiveness in support of the implementation of the AI Act, it will be crucial to ensure adequate and diverse representation from industry in this body, including non-EU headquartered organizations.  ・諮問フォーラムは,利害関係者コミュニティ,欧州委員会,AI委員会の間で有意義な対話を行う上で重要な役割を果たすことができる。顧問フォーラムは,利害関係者コミュニティー,欧州委員会,AI理事会の間で有意義な対話を生み出す重要な役割を果たすことができる。AI法の実施を支援する上でその実効性を確保するためには,この団体に,EU域外に本部を置く団体を含め,産業界から適切かつ多様な代表を確保することが極めて重要である。
•       The Scientific Panel of Independent Experts will provide advice on issues related to GPAI models and systems, including on their classification, benchmarking tools and methodologies as well as systemic risks. According to the AI Act, experts in the panel will have to be independent from any providers of GPAI systems or models.   ・独立専門家科学パネルは,GPAIモデルやシステムの分類,ベンチマークツールや手法,システミックリスクなどに関する問題について助言を提供する。AI法によれば,パネルの専門家は,GPAIシステムやモデルのプロバイダから独立していなければならない。
o Given the Panel’s role in the implementation of the EU AI Act and its competence on technical matters, we regret the exclusion of industry from this forum. We suggest ensuring dialogue between the Panel and industry, for example by organizing hearings or consultations.   o EUのAI法の実施におけるパネルの役割と、技術的事項に関するパネルの権限を考慮すると、このフォーラムから産業界が除外されていることは遺憾である。ヒアリングや協議を開催するなど、パネルと産業界の対話を確保することを提案する。 
› Enhance Cooperation Between the EU AI Office and its Global Counterparts  EU AI事務局とそのグローバルなカウンターパートとの協力関係を強化する 
At the end of the sixth EU-U.S. Trade and Technology Council ministerial in April 2024, the EU and the U.S. announced a commitment to establish a dialogue between the EU AI Office and the US AI Safety Institute. The dialogue is meant to ‘foster scientific information exchange on topics such as benchmarks, potential risks, and future technological trends.’   EUと米国は、2024年4月に開催された第6回EU・米国貿易技術理事会閣僚会合の終了時に、EUのAI事務局と米国のAI安全機構との間に対話を設けることを約束したと発表した。この対話は、「ベンチマーク、潜在的リスク、将来の技術動向などのテーマについて科学的な情報交換を促進する」ことを目的としている。 
Increased transatlantic coordination especially on emerging risks and frontier technologies can be extremely helpful to advance alignment in global AI governance discussions, while at the same time supporting innovators on both sides of the Atlantic. For example, diverging definitions of advanced foundation models (GPAI models with systemic risk in the EU AI Act; dual-use foundation models in the US AI Executive Order) or interpretations of emerging risks associated with them, could complicate and undermine companies’ AI governance efforts.   特に新たなリスクやフロンティア技術に関する大西洋を越えた連携を強化することは、グローバルなAIガバナンスの議論において連携を進める上で非常に有益であり、同時に大西洋両岸のイノベーターを支援することにもなる。例えば、先進的な基盤モデル(EUのAI法ではシステミック・リスクを伴うGPAIモデル、米国のAI大統領令ではデュアルユース基盤モデル)の定義や、それらに関連する新たなリスクの解釈が分かれることは、企業のAIガバナンスの取り組みを複雑にし、弱体化させる可能性がある。 
Following the announcement, the two sides should formalize and commence this dialogue as soon as possible. Given the focus on technological trends and benchmarks, robust industry engagement on both sides of the Atlantic should accompany this dialogue. In addition, the EU AI Office should aim to establish similar dialogues with other global counterparts to foster broader international cooperation on these issues.   今回の発表を受けて、両者はできるだけ早くこの対話を正式化し、開始すべきである。技術動向とベンチマークに焦点を当てることを考えると、大西洋の両岸における業界の強固な関与がこの対話に付随すべきである。加えて、EU AI事務局は、これらの問題に関してより広範な国際協力を促進するために、他のグローバルなカウンターパートとの同様の対話の確立を目指すべきである。 
Strategic Priority 3: Global Cooperation  戦略的優先課題3:グローバルな協力 
› Strengthen Global Alignment and Interoperability    グローバルな連携と相互運用性の強化   
Increased international coordination will be crucial to enable AI governance globally and  support innovation. AI is developed through global value chains and no region of the world can harness its opportunities in isolation.   AIガバナンスをグローバルに実現し、イノベーションを支援するためには、国際協調の強化が不可欠である。AIはグローバルなバリューチェーンを通じて開発され、世界のどの地域も孤立してその機会を活用することはできない。 
As governments around the world increase policy and regulatory activities on AI, interoperable governance frameworks across jurisdictions and like-minded countries will be crucial to support and enable companies’ compliance efforts, facilitate trade and ensure broad availability of new technologies.   世界各国の政府がAIに関する政策や規制を強化する中、企業のコンプライアンス活動を支援・可能にし、貿易を促進し、新技術の幅広い利用可能性を確保するためには、法域や志を同じくする国を超えた相互運用可能なガバナンスの枠組みが不可欠となる。 
As part of the efforts to implement the EU AI Act, the EU must continue robust engagement with key partners – for example within the EU-U.S. Trade and Technology Council - and multilateral organizations like the OECD, the G7 or the UN to advance interoperability of global regulatory environments, increase mutual understanding of key concepts relevant to AI governance, and support common global standards.  EU AI法の実施に向けた努力の一環として、EUは、グローバルな規制環境の相互運用性を促進し、AIガバナンスに関連する重要な概念についての相互理解を深め、共通のグローバル標準を支援するために、主要なパートナー(例えば、EU・米国貿易技術理事会など)およびOECD、G7、国連などの多国間組織との強固な関与を継続しなければならない。
› Leverage International Standards for AI Act Compliance  AI法遵守のための国際標準の活用 
The EU should map relevant global standardization activities and work towards ensuring these standards can be leveraged for compliance with the EU AI Act. There are many standardization activities that are taking place outside of Europe, such as within ISO/IEC 42001, that can be relevant for the AI Act. A solely regional approach to AI standards will have negative consequences for innovation: it could create divergence and fragmentation of global regulatory environments and it will decrease the ability of European companies to scale and compete globally.   EUは、関連するグローバルな標準化活動をマッピングし、これらの標準がEUのAI法遵守のために活用できるように取り組むべきである。ISO/IEC 42001など、欧州以外の地域でもAI法に関連する標準化活動が数多く行われている。グローバルな規制環境の乖離と分断を生み出しかねず、欧州企業のグローバルな規模拡大と競争力を低下させる。 
Moreover, it will be important to ensure coherence among horizontal standards for the EU AI Act and vertical standards developed in specific sectors – such as medical technologies or machinery.   さらに、EU AI法のための水平標準と、医療技術や機械などの特定分野で開発された垂直標準の間の一貫性を確保することも重要である。 
› Maximize Recognition of Conformity Assessment Bodies Based in Third Countries  第三国を拠点とする適合性アセスメント団体の最大限の承認 
The EU AI Act requires third party conformity assessment for a limited number of high-risk AI systems, with the possibility to extend this requirement to other high-risk AI systems in scope. Conformity assessment for AI systems is a nascent field and there are significant practical concerns regarding how EU Notified Bodies will carry out the task of assessing conformity for the extensive requirements of the regulation. Logistical problems, including lack of expertise and standards, or lack of sufficient designated Notified Bodies, may lead to backlogs for testing bodies, which could significantly slow down the roll-out of certain AI technologies in the EU market.   EUのAI法は、限られた数の高リスクのAIシステムに対してサードパーティによる適合性評価を要求しており、この要求を適用範囲内の他の高リスクのAIシステムにも拡大する可能性がある。AIシステムの適合性評価はまだ始まったばかりの分野であり、EUの被認証団体が規制の広範な要求事項への適合性を評価する作業をどのように行うかについて、現実的に大きな懸念がある。専門知識や標準の不足、あるいは十分な指定被認証団体の不足など、ロジスティクスの問題が試験団体の滞留につながり、EU市場での特定のAI技術の展開が大幅に遅れる可能性がある。 
Article 39 of the Act allows for Conformity Assessment Bodies (CABs) based in third countries to carry out the activities of a notified body in cases in which there is an “agreement” in place between the EU and the third country. Recital 127 further specifies that the European Commission should “actively explore” international instruments to facilitate mutual recognition of conformity assessment results, in line with the EU’s commitments under the WTO Technical Barriers to Trade agreement. Maximizing acceptance of test results performed abroad can help addressing some of the logistical problems outlined above.  同法第39条は、EUと第三国との間に「協定」がある場合、第三国に拠点を置く適合性評価団体(CAB)が被認証団体の活動を実施することを認めている。さらに、EU委員会は、WTOの貿易の技術的障害に関する協定におけるEUの約束に沿って、適合性評価結果の相互承認を促進するための国際的な手段を「積極的に検討」すべきであると規定している。海外で実施された試験結果の受け入れを最大化することは、上記のようなロジスティクスの問題のいくつかに対処するのに役立つ。
Given the significance of EU-U.S. trade for AI, the Commission should negotiate with the U.S. a mechanism to enable CABs located in the U.S. to certify AI systems as conforming to relevant AI Act standards, and vice versa. This would reduce logistical barriers, support trade and simplify the placement on the EU market of innovative products.   AIにとってEUと米国の貿易が重要であることを考慮すると、欧州委員会は、米国にある認証機関がAIシステムをAI法の関連標準に適合していると認証できるようにするメカニズムについて米国と交渉すべきである。これは、物流障壁を減らし、貿易を支援し、革新的製品のEU市場への投入を簡素化する。 
Strategic Priority 4: Supporting Innovation  戦略的優先課題4: イノベーションの支援 
› Enhance Digital Skills  デジタル・スキルの強化 
Strengthening the digital skills of the EU’s present and future workforce will contribute to the long-term competitiveness of the EU. The EU and Member States must increase investments in STEM and computer education and training programs for people of all ages, which are necessary to address the growing demand for highly skilled professionals in the EU.  EUの現在および将来の労働力のデジタル・スキルを強化することは、EUの長期的競争力に貢献する。EUおよび加盟国は、あらゆる年齢層の人々に対するSTEMおよびコンピューター教育・訓練プログラムへの投資を拡大しなければならない。これは、EUにおける高度専門職業人に対する需要の高まりに対応するために必要である。
Effective programs in support of digital literacy and AI skills require curricula and training upgrades starting from kindergarten, throughout primary and secondary education. Partnerships between industry and universities must also be leveraged to integrate high-profile digital skills in educational and doctoral programs and support R&D activities. Beyond school-age, investment is also needed for the up-skilling and re-skilling of existing workforce.   デジタルリテラシーとAIスキルを支援する効果的なプログラムには、幼稚園から初等・中等教育を通じてカリキュラムと訓練を改善することが必要である。また、産業界と大学間のパートナーシップを活用し、教育課程や博士課程に注目されるデジタルスキルを統合し、研究開発活動を支援する必要がある。学齢期を超え、既存の労働力のスキルアップと再スキルアップのための投資も必要である。 
Programs must take into account inclusivity of underrepresented communities and women to ensure the benefits of the technology are accessible and distributed to all. Finally, the EU should also seek to attract specialists from third countries, including through collaborations between educational institutions, as well as immigration policies.   プログラムは、技術の恩恵が誰にでもアクセスでき、行き渡るようにするため、社会的地位の低いコミュニティや女性の参加性を考慮に入れなければならない。最後に、EUは、移民政策だけでなく、教育機構間の協力も含め、第三国からの専門家の誘致にも努めるべきである。 
› Support International Data Flows  国際的なデータの流れを支援する 
Robust, accurate and innovative AI will rely on the ability of companies to access diverse datasets. The ability to transfer data between jurisdictions, including sensitive data like health data, will thus be crucial to support AI innovation in Europe. EU policymakers must ensure a stable legal framework that can enable seamless and secure global data flows. This must include swiftly conducting adequacy assessments to steadily grow the list of GDPR-adequate third countries, but also working towards a more scalable and effective global approach to data flows.  ロバストで正確かつ革新的なAIは、企業が多様なデータセットにアクセスできるかどうかにかかっている。したがって、健康データのような機密データを含め、管轄区域間でのデータ転送能力は、欧州におけるAIイノベーションを支援する上で極めて重要となる。EUの政策立案者は、シームレスでセキュアなグローバルデータの流れを可能にする安定した法的枠組みを確保しなければならない。これには、GDPRが適用される第三国のリストを着実に増やすための適切性評価の迅速な実施だけでなく、データフローに対するよりスケーラブルで効果的なグローバルアプローチへの取り組みも含まれる。
› Enable Innovative and Sustainable Data and Data Storage Solutions  革新的で持続可能なデータとデータ保管ソリューションを可能にする 
To facilitate AI development in Europe, it will be important to promote sustainable and highcapacity solutions for data centers such as intelligent data storage infrastructure, hardware and cloud-based solutions. AI will lead to a boom in data and data storage demand. With the growing demands of AI, data center storage capacity is expected to grow significantly in the short to medium term. Not only will this create more demand for data centers, but also for increasingly energy-efficient and innovative data storage and cloud solutions which will make data centers more sustainable.   欧州におけるAI開発を促進するためには、インテリジェントなデータストレージインフラ、ハードウェア、クラウドベースのソリューションなど、データセンター向けの持続可能で大容量のソリューションを促進することが重要である。AIはデータとデータストレージの需要急増につながる。AIの需要拡大に伴い、データセンターのストレージ容量は短期・中期的に大幅に増加すると予想される。これにより、データセンターに対する需要が高まるだけでなく、データセンターをより持続可能なものにする、エネルギー効率の高い革新的なデータストレージやクラウド・ソリューションの需要も高まるだろう。 

 

[1] https://www.itic.org/documents/europe/ITI_Vision2030_2024_Final.pdf 

[2] For AI specifically, a recent report from the European Court of Auditors found the EU is lagging behind its investment targets on AI:  https://www.eca.europa.eu/Lists/ECAReplies/COM-Replies-SR-2024-08/COMReplies-SR-2024-08_EN.pdf  

[3] https://digital-strategy.ec.europa.eu/en/library/2023-report-state-digital-decade

[4] See for example: Strand Partners, Unlocking Europe’s AI Potential in the Digital Decade: https://www.unlockingeuropesaipotential.com/_files/ugd/c4ce6f_ecf071799e4c4eba80113648d2b1090b.pdf  

[5] The need for further assessment of possible legal overlaps was also recently referenced in the initial appraisal of the AILD’s Impact Assessment made by the European Parliamentary Research Service. https://www.europarl.europa.eu/RegData/etudes/BRIE/2024/757810/EPRS_BRI(2024)757810_EN.pdf

 

 

ちなみに、情報技術産業協会 (ITI) の会員企業...

ITI Members

GAFAMはもちろん会員です。

Big4ではEYが唯一会員ですね...Accentureも会員

日本企業では、キヤノン富士通ソフトバンク東芝...

中国系企業ではLenovo

欧州企業では、SAP、SIEMENS...

 

 

 

| | Comments (0)

欧州 EDPB EU-USデータプライバシー枠組みに関するFAQ(欧州企業向け、欧州個人向け)

こんにちは、丸山満彦です。

EDPBが、EU-USデータプライバシー枠組みに関するFAQ(欧州企業向け、欧州個人向け)を公表していますね。。。

 

● EDPB

・2024.07.16 EU-US Data Privacy Framework FAQ for European businesses

・[PDF]

20240720-54815

 

 

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN BUSINESSES[1]  欧州企業向けEU・米国データ・プライバシー枠組みFAQ[1]|
Q1. What is the EU-U.S. Data Privacy Framework? Q1. EU-米国データ・プライバシー枠組みとは何か?
Q2. Which U.S. companies are eligible to the EU-U.S. Data Privacy Framework? Q2. EU-米国データ・プライバシー枠組の対象となる米国企業は?
Q3. What to do before transferring personal data to a company in the U.S. which is, or claims to be certified under the EU-U.S. Data Privacy Framework? Q3. EU-米国データ・プライバシー・フレームワークの認証を受けている、または受けていると主張する米国企業に個人データを移転する前に何をすべきか?
Q4. Where can I find guidance regarding the certification of U.S. subsidiary companies of European businesses? Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか?

 

 

 

・2024.07.16 EU-US Data Privacy Framework FAQ for European individuals

・[PDF]

20240720-55018

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN INDIVIDUALS[15]  欧州個人向けEU・米国データ・プライバシー枠組みFAQ[15]。
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?  Q1. EU-米国のデータ・プライバシー枠組みとは何か?
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?   Q2. EU-米国のデータ・プライバシー枠組みからどのような恩恵を受けるのか? 
Q3. HOW DO I LODGE A COMPLAINT?   Q3. 苦情を申し立てるにはどうすればよいか? 
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?  Q4. 各国のDpaは私の苦情をどのように扱うのか?

 

 

合わせて...

 

EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN BUSINESSES[1]  欧州企業向けEU・米国データ・プライバシー枠組みFAQ[1]|
Table of contents  目次 
Q1. What is the EU-U.S. Data Privacy Framework? Q1. EU-米国データ・プライバシー枠組みとは何か?
Q2. Which U.S. companies are eligible to the EU-U.S. Data Privacy Framework? Q2. EU-米国データ・プライバシー枠組の対象となる米国企業は?
Q3. What to do before transferring personal data to a company in the U.S. which is, or claims to be certified under the EU-U.S. Data Privacy Framework? Q3. EU-米国データ・プライバシー・フレームワークの認証を受けている、または受けていると主張する米国企業に個人データを移転する前に何をすべきか?
Q4. Where can I find guidance regarding the certification of U.S. subsidiary companies of European businesses? Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか?
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?  Q1. EU-米国データ・プライバシー枠組みとは何か?
The EU-U.S. Data Privacy Framework (“DPF”) is a self-certification mechanism for companies in the U.S. Companies that have self-certified under the DPF must comply with its principles, rules and obligations related to the processing of personal data of EEA individuals. For more information about these commitments, see the Data Privacy Framework Principles.[2]  EU-米国データ・プライバシー・フレームワーク(DPF)は、米国内企業のための自己認証メカニズムである。DPFの下で自己認証を受けた企業は、EEA加盟国の個人データの処理に関するDPFの原則、規則、義務を遵守しなければならない。これらの義務の詳細については、データ・プライバシー・フレームワークの原則を参照のこと[2]。
The European Commission considered that transfers of personal data from the EEA to companies certified under the DPF enjoy an adequate level of protection.[3] As a result, personal data can be transferred freely to U.S. certified companies, without the need to put in place further safeguards or obtain an authorisation. Here are some relevant links for more information:   欧州委員会は、EEAからDPFの認定を受けた企業への個人データの移転は、十分な保護レベルを享受しているとみなした[3]。その結果、個人データは、さらなる保護措置を講じたり、認可を得たりする必要なく、米国の認定を受けた企業に自由に移転することができる。以下は関連リンクである:  
-       The European Commission’s Questions and Answers: Data Privacy Framework[4]   ・欧州委員会のQ&A: データ・プライバシー枠組[4]。 
-       The Data Privacy Framework website as administrated by the U.S. Department of Commerce[5]  ・米国商務省が管理するデータ・プライバシー枠組のウェブサイト[5]。
-       The European Commission’s decision on the adequate level of protection of personal data under the EU-U.S. Data Privacy Framework[6]  ・EU-米国データ・プライバシー枠組みにおける個人データの適切な保護レベルに関する欧州委員会の決定[6]。
The DPF applies to any type of personal data transferred from the EEA to the U.S., including personal data processed for commercial or health purposes, and human resources data collected in the context of an employment relationship (hereafter: “HR Data”), as long as the recipient company in the U.S. is self-certified under the DPF to process those types of data.[7]     DPFは、EEAから米国に移転されるあらゆる種類の個人データに適用される。これには、商業目的や健康目的で処理される個人データ、雇用関係の文脈で収集される人的資源データ(以下、「HRデータ」)が含まれるが、米国の取得者企業がDPFに基づき、これらの種類のデータを処理することを自己認証している限りにおいて適用される[7]。   
Q2. WHICH U.S. COMPANIES ARE ELIGIBLE TO THE EU-U.S. DATA PRIVACY FRAMEWORK?   Q2. どのような米国企業がEU・米国データ・プライバシー枠組の対象となるのか。 
In order to be eligible to self-certify to the DPF, a company in the U.S. must be subject to the investigatory and enforcement powers of the U.S. Federal Trade Commission (“FTC”) or of the U.S. Department of Transportation (“DoT”). Other U.S. statutory bodies may be included in the future.[8]   米国の企業がDPFの自己認証を受けるためには、米国連邦取引委員会(「FTC」)または米国運輸省(「DoT」)の調査・執行権限の対象となる必要がある。将来的には他の米国法定団体も含まれる可能性がある[8]。 
This means that, for example, non-profit organizations, banks, insurance companies and telecommunication service providers (with regard to common carrier activities) which do not fall under the jurisdiction of the FTC or DoT cannot self-certify under the DPF.  つまり、例えば、FTCやDoTの管轄下にない非営利団体、銀行、保険会社、(コモンキャリア活動に関する)電気通信サービスプロバイダは、DPFに基づく自己認証を行うことができない。
Q3. WHAT TO DO BEFORE TRANSFERRING PERSONAL DATA TO A COMPANY IN THE U.S. WHICH IS, OR CLAIMS TO BE CERTIFIED UNDER THE EU-U.S. DATA PRIVACY FRAMEWORK?   Q3. 個人データを、EU-米国データ・プライバシー・フレームワークの認定を受けた、または受けていると主張する米国企業に移転する前に何をすべきか? 
Before transferring personal data to a company in the U.S. which claims to be self-certified under the DPF, a data exporter in the EEA must ascertain that the company in the U.S. holds an active selfcertification (certifications must be renewed annually) and that this certification covers the data in question (in particular if it covers HR Data, respectively, non-HR Data).[9]  EEAのデータ輸出者は、DPFの下で自己認証を受けていると主張する米国の企業に個人データを移転する前に、当該米国企業が有効な自己認証(認証は毎年更新されなければならない)を取得していること、および当該認証が問題のデータ(特に人事データ、それぞれ非人事データを対象としている場合)をカバーしていることを確認しなければならない[9]。
To verify whether or not a self-certification is active and applicable, data exporters in the EEA need to check if the company in the U.S. is on the Data Privacy Framework List,[10] published on the U.S. Department of Commerce’s website. This list also includes a register of companies that have been removed from the List (“inactive participants”), stating the reasons for their removal. An EEA data exporter cannot rely on the DPF for transfers of personal data to such companies. Please note that companies that have been removed from the Data Privacy Framework List must continue to apply the Data Privacy Framework Principles to personal data received while participating in the DPF for as long as they retain these data.  自己認証が有効で適用可能かどうかを確認するために、EEAのデータ輸出者は、米国の企業が米国商務省のウェブサイトで公表されている「データ・プライバシー・フレームワーク・リスト」[10]に掲載されているかどうかを確認する必要がある。このリストには、リストから削除された企業(「非アクティブ参加者」)の登録も含まれており、削除理由が記載されている。EEAのデータ輸出者は、このような企業への個人データの移転についてDPFに依拠することはできない。データ・プライバシー枠組リストから削除された企業は、DPF参加中に受領した個人データを保持する限り、データ・プライバシー枠組原則を適用し続けなければならない。
For the transfer of personal data to companies in the U.S. that are not (or no longer) self-certified under the DPF, other grounds for transfer in Chapter V of the GDPR may be used, such as Binding Corporate Rules or Standard Contractual Clauses.   DPFの下で自己認証を受けていない(または受けられなくなった)米国内の企業への個人データの移転については、拘束力のある企業規則や標準契約条項など、GDPR第5章の他の移転根拠を用いることができる。 
The fact that the recipient in the U.S. is self-certified under the DPF will enable data exporters in the EEA to comply with Chapter V of the GDPR, but all other requirements in the GDPR and any other national data protection law remain applicable.  米国の取得者がDPFの下で自己認証されているという事実は、EEAのデータ輸出者がGDPR第5章を遵守することを可能にするが、GDPRおよびその他の国内データ保護法の他のすべての要件は引き続き適用される。
3.1. Transfers to U.S. subsidiaries of companies certified under the EU-U.S. Data Privacy Framework  3.1. EU-米国データ・プライバシー枠組の認定を受けた企業の米国子会社への移転 
In the case of transfers to companies in the U.S. that are subsidiaries of a DPF-certified parent company, EEA data exporters must check if the certification of the parent company also covers the subsidiary company concerned.  DPF認証を受けた親会社の子会社である米国内の企業への移転の場合、EEAデータ輸出者は、親会社の認証が当該子会社にも適用されるかどうかを確認しなければならない。
You can find additional information on how to verify the scope of an organisation’s self-certification, including whether other U.S. entities or U.S. subsidiaries are covered by it, here.[11]  他の米国事業体や米国子会社が対象となるかどうかなど、組織の自己認証の範囲を確認する方法に関する追加情報は、こちらで確認できる[11]。
3.2. Transfers to a company in the U.S. acting as a controller   3.2. 管理者として行動する米国内の企業への移転  
Before transferring personal data to a controller in the U.S., an EEA data exporter must ensure the transfer complies with all relevant provisions of the GDPR. As a first step, the data exporter can only share personal data with a company in the U.S. if there is a legal basis for the processing (Article 6 of the GDPR). Moreover, all other requirements in the GDPR need to be met (e.g. purpose limitation, proportionality, accuracy and information obligations towards data subjects). Note that when data is to be transferred to a self-certified company in the U.S., the EEA data exporter, in accordance with Articles 13 and 14 GDPR, must inform data subjects about the identity of the recipients of their data and about the fact that the transfer is covered by the EU-U.S. Data Privacy Framework adequacy decision.   EEAのデータ輸出者は、米国内のデータ管理者に個人データを移転する前に、その移転がGDPRのすべての関連条項に準拠していることを確認しなければならない。まず第一段階として、データ輸出者は、処理に法的根拠がある場合にのみ、パーソナルデータの処理を米国内の企業と共有することができる(GDPR第6条)。さらに、GDPRのその他の要件(目的の限定、比例性、正確性、データ対象者に対する情報提供義務など)をすべて満たす必要がある。なお、データを米国の自己認証企業に移転する場合、EEAのデータ輸出者はGDPR第13条および第14条に従い、データ取得者の身元および移転がEU-米国データ・プライバシー枠組の十分性認定の対象であることをデータ対象者に通知しなければならない。 
3.3. Transfers to a company in the U.S. acting as a processor   3.3. 処理者として行動する米国内の企業への移転  
When an EEA controller transfers data to a processor in the U.S., the controller and processor are obliged to conclude a data processing agreement under Article 28 GDPR (hereafter: Data processing agreement), regardless of whether the processor is self-certified under the DPF.    EEAの管理者が米国内の処理者にデータを移転する場合、処理者がDPFの自己認証を受けているか否かにかかわらず、管理者と処理者はGDPR第28条に基づくデータ処理契約(以下、データ処理契約)を締結する義務がある。  
You can find more information about the contract requirements for transfers to a processor in the U.S. here.[12]  米国における処理業者への移転に関する契約要件については、こちらを参照されたい[12]。
 The conclusion of a data processing agreement is required in order to ensure that the U.S. processor commits to:     データ処理契約の締結は、米国の処理者が以下を約束することを保証するために必要である:   
-                process the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;   ・個人データの第三国または国際機関への移転に関しても、データ処理者が対象としている連邦法または加盟国の法律によって要求されない限り、管理者からの文書化された指示に基づいてのみ個人データを処理すること;  
-                ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;   ・パーソナルデータの処理権限を有する者が守秘義務を負うか、または適切な法的守秘義務を負っていることを確認すること;  
-                implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, in line with what is required by the data processing agreement (stemming from Article 32 of the GDPR) and sections 4 and 10 of the DPF;   ・データ処理契約(GDPR第32条に由来する)およびDPF第4項および第10項で要求されていることに従い、リスクに見合ったレベルのセキュリティを確保するための適切な技術的および組織的措置を講じること;  
-                respect the conditions referred to in the data processing agreement (stemming from paragraphs 2 and 4 of Article 28 of the GDPR) and Section II.3.B of the DPF for engaging another processor;   ・データ処理契約(GDPR第28条第2項および第4項に由来する)およびDPF第II.3.B項で言及されている、別のデータ処理者を雇用するための条件を尊重すること;  
-                taking into account the nature of the processing, assist the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III of the GDPR;  ・処理の性質を考慮し、GDPR第3章に規定されているデータ対象者の権利行使の要求に対応する管理者の義務の履行について、可能な限り、適切な技術的および組織的手段によって管理者を支援すること; 
-                assist the controller in ensuring compliance with its obligations pursuant to Articles 32 to 36 of the GDPR, taking into account the nature of processing and the information available to the processor;   ・処理の性質および処理者が利用可能な情報を考慮し、GDPR第32条から第36条に基づく義務の遵守を確保するために管理者を支援すること;  
-                at the choice of the controller, delete or return all the personal data to the controller after the end of the provision of services relating to processing, and delete existing copies unless Union or Member State law requires storage of the personal data;   ・管理者の選択により、処理に関連するサービスの提供終了後、すべてのパーソナルデータを削除または管理者に返却し、連合国または加盟国の法律によりパーソナルデータの保管が義務付けられている場合を除き、既存のコピーを削除すること;  
-                make available to the controller all information necessary to demonstrate compliance with the obligations laid down in Article 28 of the GDPR and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. With regard to this last point, the processor shall immediately inform the controller if, in its opinion, an instruction infringes the DPF. ・GDPR第28条に規定された義務の遵守を証明するために必要なすべての情報を管理者に提供し,管理者または管理者が委任した別の監査人が実施する検査などの監査を許可し,これに貢献すること。この最後の点に関して,処理者は,その見解において,ある指示がDPFに抵触する場合,直ちに管理者に通知するものとする。
Where the U.S. processor engages another processor (“sub-processor”) to carry out specific processing activities on behalf of the EEA controller, the processor must ensure that the requirements under Section II.3.B DPF are fulfilled. This includes ensuring that the sub-processor provides the same level of protection of personal data as required in the DPF and the same data protection obligations as set out in the data processing agreement.  Where a sub-processor fails to fulfil its data protection obligations, the initial U.S. processor shall remain fully liable to the controller for the performance of that sub-processor's obligations.  米国の処理者が、EEAの管理者に代わって特定の処理活動を実施するために他の処理者(「サブ処理者」)を雇用する場合、処理者は、第II.3.B項DPFに基づく要件が満たされるようにしなければならない。これには、DPFで要求されているのと同レベルのパーソナルデータの保護、およびデータ処理契約に定められているのと同レベルのデータ保護義務を、サブ処理者が確実に提供することが含まれる。 サブ処理者がデータ保護義務を履行しない場合、最初の米国の処理者は、当該サブ処理者の義務の履行について、管理者に対して完全な責任を負うものとする。
Q4. WHERE CAN I FIND GUIDANCE REGARDING THE CERTIFICATION OF U.S. SUBSIDIARY COMPANIES OF EUROPEAN BUSINESSES?  Q4. 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか。
U.S. subsidiaries of EEA businesses can self-certify to the DPF if they are subject to the jurisdiction of the Federal Trade Commission (FTC) or the U.S. Department of Transportation (DoT).   EEA企業の米国子会社は、連邦取引委員会(FTC)または米国運輸省(DoT)の管轄下にある場合、DPFに自己認証することができる。 
You can find more information on the eligibility requirements here,[13] and a guide to the selfcertification process here.[14]  資格要件の詳細についてはこちら[13]、自己認証プロセスのガイドについてはこちら[14]を参照されたい。
   
EU-U.S. DATA PRIVACY FRAMEWORK F.A.Q. FOR EUROPEAN INDIVIDUALS[15]  欧州個人向けのEU-米国データ・プライバシー枠組みFAQ[15]。
Table of contents  目次 
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?  Q1. EU-米国のデータ・プライバシー枠組みとは何か?
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?   Q2. EU-米国のデータ・プライバシー枠組みからどのような恩恵を受けるのか? 
Q3. HOW DO I LODGE A COMPLAINT?   Q3. 苦情を申し立てるにはどうすればよいか? 
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?  Q4. 各国のDPAは私の苦情をどのように扱うのか。
Q1. WHAT IS THE EU-U.S. DATA PRIVACY FRAMEWORK?  Q1. EU-米国データ・プライバシー枠組みとは何か?
The DPF applies to any type of personal data transferred from the EEA to the U.S., including personal data processed for commercial or health purposes, and human resources data collected in the context of an employment relationship (hereafter: “HR Data”), as long as the recipient company in the U.S. is self-certified under the DPF to process those types of data.[17]   DPFは、EEAから米国に移転されるあらゆる種類の個人データに適用される。これには、商業目的または健康目的で処理される個人データや、雇用関係の文脈で収集される人的資源データ(以下、「HRデータ」)が含まれる。 
Q2. HOW DO I BENEFIT FROM THE EU-US DATA PRIVACY FRAMEWORK?   Q2. EU-米国データ・プライバシー枠組みからどのような恩恵を受けるのか? 
The DPF relies on commitments taken by companies in the U.S. to respect its principles, rules and obligations related to the processing of personal data of European individuals. For more information about these commitments, see the Data Privacy Framework Principles.[18]  DPFは、欧州の個人データの処理に関連する原則、規則、義務を尊重するために、米国の企業が取るコミットメントに依存している。これらの約束の詳細については、データ・プライバシー枠組み原則を参照のこと[18]。
The DPF grants you certain rights when your personal data have been transferred from the EEA to a company in the U.S. that has self-certified under the DPF. Notably, you have the right to be informed of such a transfer and its purpose, as well as to obtain access to your personal data, and correct or delete any incorrect or unlawfully handled data.[19] You can verify whether a company in the U.S. has a valid certification by checking the online EU-U.S. Data Privacy Framework List[20] on the U.S. Department of Commerce’s website.   DPFは、個人データがEEAからDPFに基づき自己認証した米国の企業に移転された場合、特定の権利を付与する。特筆すべきは、あなたには、そのような移転とその目的について知らされる権利、あなたの個人データへのアクセスを得る権利、不正確または違法に取り扱われたデータを修正または削除する権利があることである[19]。米国の企業が有効な認証を受けているかどうかは、米国商務省のウェブサイトにあるオンラインのEU-米国データ・プライバシー・フレームワーク・リスト[20]を確認することで確認できる。 
If you have any questions or concerns about the processing of your personal data by a company certified under the DPF, you are encouraged to directly contact that company, as a first step.    DPFの認定を受けた企業によるパーソナルデータの処理について疑問や懸念がある場合は、まずその企業に直接連絡することが推奨される。  
If your concern is not resolved by the company, or you have reasons to not address it directly to the company, you can contact any EEA national data protection authority (national DPA) and, in particular, the one in the country where you reside or work, or from where your personal data has been transferred to the U.S.[21] 当該企業で懸念が解決されない場合、または当該企業に直接問い合わせることができない理由がある場合は、EEA各国のデータ保護当局(各国DPA)、特にあなたが居住または勤務している国、またはあなたの個人データが米国に移転された国のデータ保護当局に問い合わせることができる[21]。
Q3. HOW DO I LODGE A COMPLAINT?   Q3. 苦情を申し立てるにはどうすればよいか? 
 If you believe that a company in the U.S. has violated its obligations or your rights under the EU-U.S. Data Privacy Framework, several redress avenues are available to you. Read more about the ways to submit a complaint here.[22]   米国の企業がEU-米国データ・プライバシー枠組みにおける義務やあなたの権利に違反していると思われる場合、いくつかの救済手段を利用することができる。苦情を提出する方法についてはこちらをお読みいただきたい[22]。
On the Data Privacy Framework List[23] you can find information about the complaint procedure and independent recourse mechanism for each self-certified company.[24]   データ・プライバシー枠組みリスト[23]では、各自己認証企業の苦情申し立て手続きと独立した救済メカニズムに関する情報を見つけることができる[24]。 
You can always lodge a complaint relating to a U.S. company’s compliance with the Data Privacy Framework Principles directly with a national DPA. Please provide the national DPA with as many details on the matter as possible, enabling your DPA to handle your complaint in the best way. A template complaint form[25] (to be used on a voluntary basis) is available for such cases.   米国企業のデータ・プライバシー枠組原則の遵守に関する苦情は、いつでも各国のDPAに直接申し立てることができる。DPAが最善の方法で苦情を処理できるように、できるだけ多くの詳細を国内DPAに提供すること。このような場合のために、苦情申立書の雛形[25](任意で使用)が用意されている。 
You may also contact your national DPA for more information about the ways to submit a complaint.[26]  また、苦情の提出方法に関する詳細については、各国のDPAに問い合わせることもできる[26]。
Q4. HOW WILL THE NATIONAL DPA HANDLE MY COMPLAINT?  Q4. 各国のDPAは私の苦情をどのように扱うのか。
When you lodge a complaint with a national DPA, different scenarios may occur:   各国のDPAに苦情を申し立てる場合、さまざまなシナリオが考えられる:  
1- Informal panel of EU DPAs  1- EU DPAの非公式パネル 
If your complaint concerns the processing of HR Data[27] transferred to a company in the U.S., or if the company in the U.S. has voluntarily chosen the EU DPAs as its independent recourse mechanism, an informal panel of several EU DPAs will be set up to handle the complaint.     苦情が米国の企業に移転された人事データ[27]の処理に関するものである場合、または米国の企業が自主的にEUのDPAを独立した救済メカニズムとして選択した場合、複数のEUのDPAからなる非公式パネルが苦情を処理するために設置される。   
The informal panel of EU DPAs will launch an investigation during which both you and the company in the U.S. will have the possibility to express your views. If necessary in order to resolve the case, the informal panel can issue an ‘advice’, which is binding on the company in the U.S.    EU DPAの非公式パネルは調査を開始し、その間にあなたと米国の企業の双方が意見を述べる可能性がある。案件を解決するために必要であれば、非公式パネルは「助言」を出すことができ、これは米国企業を拘束する。  
 2.- Referral to U.S. authorities    2.- 米国当局への照会  
If your complaint does not concern the processing of HR Data or the company in the U.S. has not committed to cooperate with the EU DPAs, the informal panel of EU DPAs will not be competent. Your national DPA may then refer your complaint to the competent U.S. authorities, such as the Federal Trade Commission (FTC), the Department of Transportation’s Office of Aviation Consumer Protection, or the U.S. Department of Commerce (DoC).[28]   苦情が人事データの処理に関するものでない場合、または米国の企業がEUのDPAと協力することを約束していない場合、EUのDPAの非公式パネルは権限を持たない。その場合、各国のDPAは、連邦取引委員会(FTC)、運輸省航空消費者保護局、米国商務省(DoC)などの米国の所轄当局に苦情を照会することができる[28]。 
Depending on the circumstances of the case, the national DPA which is competent for the EEA data exporter may also directly exercise its powers (such as prohibition or suspension of data transfers) towards the data exporter.  事案の状況によっては、EEAデータ輸出者の管轄である各国のDPAがデータ輸出者に対して直接権限(データ移転の禁止や停止など)を行使することもある。

 

[1] In this context, European businesses refer to businesses in the EEA, which transfer or may transfer personal data to companies in the U.S. certified under the DPF.  [1] この文脈では、欧州企業とは、DPFに基づき認定された米国の企業に個人データを移転する、または移転する可能性のあるEEA内の企業を指す。
[2] https://www.dataprivacyframework.gov/program-articles/Participation-Requirements-Data-PrivacyFramework-(DPF)-Principles  
[3] The decision on the adequacy of the Data Privacy Framework was adopted by the European Commission on July 10, 2023. It was designed by the European Commission and the U.S. Department of Commerce to replace the Privacy Shield Decision (EU) 2016/1250 which was declared invalid by the European Court of Justice in  16 July 2020 in Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II).  [3] データ・プライバシー枠組の十分性認定は、2023年7月10日に欧州委員会によって採択された。これは、欧州司法裁判所が2020年7月16日にC-311/18事件(Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II))で無効としたプライバシー・シールド決定(EU)2016/1250に代わるものとして、欧州委員会と米国商務省が策定したものである。
[4] https://ec.europa.eu/commission/presscorner/detail/en/qanda 23 3752  
[5] https://www.dataprivacyframework.gov/s/  
[6] https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EUUS%20Data%20Privacy%20Framework en.pdf  
[7] Note that not all DPF self-certifications cover HR Data. It is therefore important to check whether this is the case, if relevant. See also Q3.  [7] DPFのすべての自己認証が人事データを対象としているわけではないことに留意されたい。従って、該当する場合は、該当するかどうかを確認することが重要である。Q3も参照のこと。
[8] See Annex I to the adequacy decision, EU-U.S. Data Privacy Framework Principles issued by the U.S. Department of Commerce, para I.2.  [8] 米国商務省発行の十分性認定書「EU-米国データ・プライバシー枠組み原則」の附属書Ⅰ、パラⅠ.2を参照のこと。
[9] See definition of HR Data in Q1.  [9] Q1の人事データの定義を参照のこと。
[10] https://www.dataprivacyframework.gov/list  
[11] https://www.dataprivacyframework.gov/program-articles/How-to-Verify-an-Organization-s-Privacy-DataPrivacy-Framework-(DPF)-Commitments  
[12] https://www.dataprivacyframework.gov/program-articles/Contract-Requirements-for-Data-Transfers-to-a-Processor
[13] https://www.dataprivacyframework.gov/program-articles/U-S-Subsidiaries-of-European-Businesses-Participation-in-the-Data-Privacy-Framework-(DPF)-Program  
[14] https://www.dataprivacyframework.gov/program-articles/How-to-Join-the-Data-Privacy-Framework-(DPF)Program-(part%E2%80%931)  
[15] In this context, European individuals means any natural person, regardless of their nationality, whose personal data have been transferred to a U.S. company under the EU-U.S. Data Privacy Framework.  [15] ここでいう欧州の個人とは、国籍に関係なく、EU-米国データ・プライバシー枠組みに基づいて個人データが米国企業に移転されたすべての自然人を意味する。
[16] The decision on the adequacy of the EU-U.S. Data Privacy Framework was adopted by the European Commission on July 10, 2023. It was designed by the European Commission and the U.S. Department of Commerce to replace the Privacy Shield Decision (EU) 2016/1250 which was declared invalid by the European Court of Justice in 16 July 2020 in Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II).  [16] EU-米国データ・プライバシー枠組の十分性に関する認定は、2023年7月10日に欧州委員会によって採択された。これは、欧州司法裁判所が2020年7月16日にC-311/18事件(Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II))で無効としたプライバシー・シールド決定(EU)2016/1250に代わるものとして、欧州委員会と米国商務省が策定したものである。
[17] Note that not all DPF self-certifications cover HR Data. You may check the scope of a specific company’s certification on the EU-U.S. Data Privacy Framework List on the U.S. Department of Commerce’s website ([web]
). 
[17] DPFの自己認証のすべてが人事データを対象としているわけではないことに注意すること。特定の企業の認証範囲は、米国商務省のウェブサイト([web]
)のEU-米国データ・プライバシー・フレームワーク・リストで確認することができる。
[18] https://www.dataprivacyframework.gov/program-articles/Participation-Requirements-Data-PrivacyFramework-(DPF)-Principles  
[19] For more detailed information as to the guarantees for the data transferred and as to your rights under the EU-U.S. Data Privacy Framework, please consult the European Commission’s FAQ on the EU-U.S. Data Privacy Framework ([web]
) (see, in particular, the answer to Q3).  
[19] 転送されるデータ・プライバシーに対する保証、およびEU-米国データ・プライバシー枠組の下での権利に関する詳細情報については、欧州委員会のEU-米国データ・プライバシー枠組に関するFAQ([web]
)を参照されたい(特にQ3に対する回答を参照)。 
[20] https://www.dataprivacyframework.gov/list  
[21] The terms “national data protection authority” or “EU handling authority” include the data protection authorities of the EEA and also the EDPS, which will be the EU handling authority when your personal data have been transferred to the U.S. by an EU institution.  [21] 「各国データ保護認可機関」または「EU取扱機関」という用語には、EEAのデータ保護認可機関のほか、EUの機関から米国に個人データが移転された場合にEU取扱機関となるEDPSも含まれる。
[22] https://www.dataprivacyframework.gov/program-articles/How-to-Submit-a-Complaint-Relating-to-a-Participating-Organization%E2%80%99s-Compliance-with-the-DPF-Principles  
[23] https://www.dataprivacyframework.gov/list  
[24] Under the name of the company, click on “Full Profile” and go to “Dispute Resolution”.   [24] 会社名の下にある "Full Profile "をクリックし、"Dispute Resolution "に進む。 
[25] https://www.edpb.europa.eu/system/files/2024-04/dpf template-complaint-form commercialcomplaints en.pdf 
[26] As for complaints regarding access to your personal data by U.S. national security authorities, please check the EDPB Information Note: [web]
[26] 米国の国家安全保障当局による個人データへのアクセスに関する苦情については、EDPB情報ノート([web]
)を確認すること。
[27] See definition of HR Data in Q1 above. [27] 上記Q1のHRデータの定義を参照のこと。
[28] See decision on the adequacy of the Data Privacy Framework, Recitals 69, 80, and Annex V, Section II.A.  [28] データ・プライバシー枠組の十分性認定、リサイタル69、80、附属書V、セクションII.Aを参照のこと。

 

 

 

| | Comments (0)

EU EDPB GDPRとEU-AI法関連

こんにちは、丸山満彦です。

少し前に、ドイツ BfDI フランス CNIL オランダ APがAI法に関連する文書等を公表していましたが、EDPBもAI法におけるGDPRの役割に関する声明をだしているので紹介です...

AI法とEUのデータ保護法(特にGDPR[3]、EUDPR[4]およびLED[5]、ならびにeプライバシー指令[6])は、原則として[7]、補完的で相互に補強し合う文書とみなされる(そして首尾一貫して解釈される)必要がある。

というところがポイントでしょうか???

 

EDPB

・2024.07.16 Statement 3/2024 on data protection authorities’ role in the Artificial Intelligence Act framework

[PDF]

20240719-162902

 

Statement 3/2024 on data protection authorities’ role in the Artificial Intelligence Act framework  人工知能法の枠組みにおけるデータ保護当局の役割に関する声明 3/2024 
Adopted on 16 July 2024  2024年7月16日採択 
The European Data Protection Board has adopted the following statement:  欧州データ保護理事会は以下の声明を採択した: 
1 BACKGROUND AND PURPOSE OF THIS STATEMENT  1 本声明の背景と目的 
1. On 12 July 2024, Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act, hereinafter the “AI Act”) and amending certain Union Legislative Acts was published in the Official Journal[1].  1. 2024年7月12日、人工知能に関する調和された規則を定める規則(EU)2024/1689(Artificial Intelligence Act、以下「AI法」)および特定の連邦立法法の改正が官報に掲載された[1]。 
2. The AI Act lays down harmonised rules on the placement on the market, putting into service and use of Artificial Intelligence (hereinafter “AI”) in line with the New Legislative Framework and requires market surveillance within the meaning of Regulation (EU) 2019/1020[2]. As stated in its Article 1(1), the AI Act aims to improve the functioning of the internal market and support innovation, whilst promoting the uptake of human-centric and trustworthy AI and ensuring health, safety and a high level of protection of the fundamental rights enshrined in the Charter of Fundamental Rights of the European Union (hereinafter the “Charter”), including as regards the fundamental rights to privacy and to the protection of personal data (respectively, Article 7 and 8 of the Charter).  2. AI法は、新法規制の枠組みに沿って人工知能(以下「AI」)の市場投入、サービス開始、使用に関する調和された規則を定め、規則(EU)2019/1020[2]の意味における市場監視を義務付けている。AI法は、その第1条(1)に記載されているように、域内市場の機能を改善し、イノベーションを支援する一方で、人間中心で信頼できるAIの導入を促進し、プライバシーと個人データの保護に関する基本的権利(それぞれ同憲章第7条と第8条)を含む欧州連合基本権憲章(以下、「憲章」)に謳われている基本的権利の健康、安全、高水準の保護を確保することを目的としている。 
3. From this perspective, the AI Act and the Union data protection legislation (notably, GDPR[3], EUDPR[4] and LED[5], as well as the ePrivacy Directive[6]) need to be, in principle[7], considered (and coherently interpreted) as complementary and mutually reinforcing instruments. This must be done both in terms of the law’s goals and in terms of the protections provided, including the rights of the affected persons (which may also be qualified as “data subjects” under the GDPR). Further, it is important to underline that Union data protection law is fully applicable to the processing of personal data involved in the lifecycle of the AI systems, as explicitly recognised in Article 2(7) AI Act (see also Recitals 9 and 10).  3. この観点から、AI法とEUのデータ保護法(特にGDPR[3]、EUDPR[4]およびLED[5]、ならびにeプライバシー指令[6])は、原則として[7]、補完的で相互に補強し合う文書とみなされる(そして首尾一貫して解釈される)必要がある。これは、法律の目標と、影響を受ける者(GDPRでは「データ対象者」とされる場合もある)の権利を含む、提供される防御の両方の観点から行われなければならない。さらに、AI法第2条7項(リサイタル9および10も参照)で明確に認められているように、AIシステムのライフサイクルに関わるパーソナルデータの処理には、EUのデータ保護法が全面的に適用されることを強調しておくことが重要である。
4. In fact, the processing of personal data (which is often strictly intertwined with non-personal data) along the lifecycle of AI systems ‒ and particularly along the lifecycle of those AI systems presenting a high risk to fundamental rights[8] ‒ clearly is (and will continue to be) a core element of the various technologies covered under the umbrella of the AI definition, as enshrined in Article 3(1) AI Act. For these reasons, national data protection authorities (hereinafter “DPAs”) have been active with regard to these technological developments[9] and the EDPB, which has closely followed the legislative process regarding the AI Act[10], has already initiated the examination of its (multifaceted) interplay with EU data protection law.  4. 実際、AIシステムのライフサイクルに伴う個人データ(多くの場合、非個人データと厳密に絡み合っている)の処理、特に基本的権利[8]に高いリスクをもたらすAIシステムのライフサイクルに伴う個人データの処理は、AI法3条1項に明記されているように、AIの定義の傘の下でカバーされる様々な技術の中核的要素であることは明らかである(そして今後もそうである)。こうした理由から、各国のデータ保護当局(以下、「DPA」)は、こうした技術開発に関して積極的に取り組んでおり[9]、AI法に関する立法過程[10]を注視してきたEDPBは、すでにEUデータ保護法との(多面的な)相互関係の検討を開始している。 
5. With this statement, the EDPB would like to further highlight supervision and coordination issues that could result from the designation of competent authorities by the Member States[11] in areas that are so closely linked to personal data protection matters. It should be considered that, at the national level, the AI Act enforcement framework will have to be built in the next year after entry into force of the AI Act around one or more established or designated “national competent authorities” (hereinafter “NCAs”), in particular market surveillance authority/authorities (hereinafter “MSAs”)[12], interacting both among themselves and with DPAs and other authorities protecting fundamental rights.[13] The EDPB recognises that some Member States have already decided on the appointment of MSAs and that, therefore, some of the recommendations in this statement may not be fully relevant in those cases.  5. この声明により、EDPBは、加盟国[11]が個人データ保護問題と密接に関連する領域において、管轄当局を認可することから生じうる監督と調整の問題をさらに強調したい。国内レベルでは、AI法の施行後1年以内に、1つまたは複数の「国内管轄当局」(以下、「NCA」)、特に市場監視当局(以下、「MSA」)[12]を中心に、AI法施行の枠組みを構築する必要があり、DPAやその他の基本的権利を保護する当局[13]と相互作用することを考慮すべきである。EDPBは、加盟国の中には既にMSAの選任を決定している国もあり、そのような場合には本声明における勧告の一部が十分に意味をなさない可能性があることを認識している。

6. As already stated in the Joint Opinion of the EDPB and the EDPS[14], in this emerging enforcement framework, a prominent role of the DPAs at national level should be recognised, in particular due to the experience and expertise gathered by them in working out guidelines and best practices and carrying out enforcement actions on AI-related issues with respect to the processing of personal data at both national and international level[15]. DPAs have proven and are proving to be indispensable actors in the chain leading to the safe, rights-oriented and secure deployment of AI systems across several sectors.  6. EDPBとEDPSの共同意見[14]で既に述べられているように、この新たな執行の枠組みにおいては、特に、国内及び国際的なレベル[15]で、個人データの処理に関するガイドラインやベストプラクティスを策定し、AI関連の問題について執行措置を実施するためにDPAが収集した経験と専門知識により、国内レベルにおけるDPAの重要な役割が認識されるべきである。DPAは、様々な分野におけるAIシステムの安全で権利重視の安全な導入につながる連鎖において、不可欠なアクターであることが証明されており、また証明されつつある。 
7. Moreover, it should be pointed out that the designation of DPAs as MSAs would benefit all stakeholders in the AI value chain by making available a single contact point, facilitating the interactions between different regulatory bodies that are concerned by both the AI Act and EU data protection law.  7. さらに、DPAをMSAに指定することは、単一の窓口を利用可能にし、AI法とEUデータ保護法の両方に関係する異なる規制団体間の相互作用を容易にすることによって、AIバリューチェーンのすべての利害関係者に利益をもたらすことを指摘すべきである。 
8. Furthermore, in the light of the AI Act, the EDPB considers the following points of particular importance:  8. さらに、AI法に照らして、EDPBは以下の点が特に重要であると考えている: 
§ DPAs, in addition to their existing expertise in AI technologies, are skilled in many of the areas referred to in Article 70(3) AI Act, such as data computing and data security, and in assessing risks to fundamental rights posed by new technologies;  § DPAは、AI技術に関する既存の専門知識に加えて、データコンピューティングやデータセキュリティなど、AI法第70条3項で言及されている多くの分野や、新しい技術がもたらす基本的権利に対するリスクのアセスメントに長けている; 
§ DPAs, due to their full independence[16], can provide effective independent supervision of AI systems, as required by Article 70(1) AI Act[17];  § DPAは、その完全な独立性[16]により、AI法第70条第1項[17]が要求するとおり、AIシステムに対して効果的な独立した監督を行うことができる; 
§ Pursuant Article 74(8) AI Act, DPAs ‒ or other authorities with same requirements on independence (under the conditions laid down in Articles 41 to 44 of Directive (EU) 2016/680) ‒ must be designated as MSAs for high-risk AI systems listed in point 1 of Annex III AI Act, in so far they are used for law enforcement purposes, border management and justice and democracy, and for high-risk AI systems listed in points 6, 7 and 8 of Annex III AI Act, which are key elements of the democratic order;  § AI法第74条8項に従い、DPA-又は独立性に関して(指令(EU)2016/680の第41条から第44条に規定された条件下で)同様の要件を有する他の当局-は、法執行目的、国境マネジメント、司法及び民主主義のために使用される限りにおいて、AI法附属書Ⅲのポイント1に列挙されたリスクの高いAIシステム、及び民主主義秩序の重要な要素であるAI法附属書Ⅲのポイント6、7及び8に列挙されたリスクの高いAIシステムについて、MSAとして指定されなければならない; 
§ From a systematic perspective, it is also particularly valuable that where Union institutions, bodies, offices or agencies fall within the scope of the AI Act, the EDPS shall act as the competent authority for their supervision, as provided for by Article 70(9) AI Act[18];  § また、制度的な観点から、連邦の機構、団体、事務所または機関がAI法の適用範囲に含まれる場合、AI法第70条9項[18]に規定されるとおり、EDPSがその監督について権限のある当局として行動することは、特に価値あることである; 
§ Moreover, in the light of the provisions contained in Articles 26(9), 27(4) and Annex VIII, Section C, point 5 AI Act, a close relationship is expected between the data protection impact assessment and the fundamental right impact assessment[19].  § さらに、AI法第26条9項、第27条4項及び附属書VIII、セクションC、ポイント5に含まれる規定に照らすと、データ保護影響評価と基本的権利影響評価との間には密接な関係が期待される[19]。
2 RECOMMENDATIONS  2 推奨事項 
9. The EDPB recommends that DPAs should be designated by Member States as MSAs for the high-risk AI systems mentioned in Article 74(8) AI Act. Further, the EDPB recommends that, taking account of the views of the national DPA, Member States consider appointing DPAs as MSAs for the remaining high-risk AI systems as listed in Annex III, particularly where those high-risk AI systems are in sectors likely to impact natural persons rights and freedoms with regard to the processing of personal data, unless those sectors are covered by a mandatory appointment required by the AI Act (e.g. the financial sector).  9. EDPBは、AI法第74条(8)に記載されているリスクの高いAIシステムについては、加盟国によってDPAがMSAとして指定されるべきであると勧告する。さらに、EDPBは、加盟国に対し、附属書IIIに列挙されている残りの高リスクのAIシステム、特に個人データの処理に関して自然人の権利及び自由に影響を与える可能性が高い分野に属する高リスクのAIシステムについては、当該分野がAI法で義務付けられている強制的な選任の対象でない限り(金融分野等)、加盟国がDPAをMSAとして選任することを検討するよう勧告する。
10. Considering the above, since the single point of contact under the AI Act should be a MSA as provided for by Article 70(2) AI Act, DPAs (acting as MSAs) should be designated as the single points of contact for the public and counterparts at Member State and Union levels. This would be without prejudice to the representatives of Member State to the European Artificial Intelligence Board, which could be different, as indicated by Article 65(4)(b) AI Act. This would also enable a unified, consistent, and effective approach across the different sectors.  10. 上記を考慮すると、AI法に基づく単一の窓口は、AI法第70条第2項に規定されるとおり、MSAであるべきであるため、(MSAとして行動する)DPAは、加盟国レベルおよび同盟国レベルの一般市民およびカウンターパートに対する単一の窓口として指定されるべきである。これは、AI法第65条4項(b)に示されるように、加盟国の代表者が欧州人工知能委員会(European Artificial Intelligence Board)に参加することを妨げるものではない。これによって、異なるセクターを横断した統一的で一貫性のある効果的なアプローチが可能になる。 
11. From a broader perspective, there is a need for sound cooperation between MSAs and the other entities which are tasked with the supervision of AI systems[20], including DPAs, and clear procedures have to be provided for in this regard on the basis of Article 74(10) AI Act21. Such procedures should be built and developed under the principle of sincere cooperation provided by the Article 4(3) of the Treaty of the European Union, as highlighted by the Court of Justice in the Bundeskartellamt case22. In this way, inconsistencies between decisions taken by different oversight authorities and bodies can be prevented in the digital ecosystem, and synergies can be exploited in coherent, effective and complementary enforcement actions for the benefit of individuals and legal certainty.  11. より広い観点からは、MSAと、DPAを含むAIシステム[20]の監督を任務とする他の事業体との健全な協力が必要であり、この点については、AI法第74条10項21に基づいて、明確な手続が規定されなければならない。このような手続きは、欧州連合司法裁判所(Bundeskartellamt)事件22で強調されたように、欧州連合条約4条3項が定める誠実な協力の原則の下で構築・発展されるべきである。このようにして、デジタルエコシステムにおいて、異なる監督当局や団体による決定間の矛盾を防止し、個人の利益と法的確実性のために、首尾一貫した効果的かつ補完的な執行措置において相乗効果を活用することができる。
12. Whilst the attribution of new tasks and powers with regard to the supervision of AI systems could be facilitated by the legal and technical skills already present in the DPAs, the very fact that new tasks and powers are envisaged for DPAs, including in their capacity as MSAs, entails the need for adequate additional human and financial resources to be provided by Member States.  12. AIシステムの監督に関する新たな任務と権限の付与は、DPAに既に存在する法的・技術的スキルによって促進され得るが、MSAとしての立場を含め、DPAに新たな任務と権限が想定されているという事実そのものが、加盟国による適切な人的・財政的資源の追加提供を必要とすることを意味する。 
13. The considerations made so far concerning the relationship between national DPAs and MSAs under the AI Act similarly apply to the supervisory activity carried out by the AI Office[21] on general-purpose AI models, which could be as well trained on personal data[22] and whose output can affect individuals’ privacy and data protection rights. In this regard, no clear coordination is currently established in the AI Act between the AI Office and the DPAs/EDPB.  13. AI 法の下での各国の DPA と MSA の関係に関するこれまでの考察は、AI Office[21]が汎用の AI モデル[22]について実施する監督活動にも同様に適用される。この点に関して、現在のところ、AI局とDPA/EDPBとの間の明確な連携はAI法に確立されていない。 
14. The EDPB underlines that whenever a general-purpose AI model or system entails the processing of personal data, it may fall – like any other AI system – under the supervisory remit, as applicable, of the relevant national DPAs (also cooperating according to Chapter VII of the GDPR) and of the EDPS (when it falls under the EUDPR). Therefore, national DPAs and the EDPS cannot but be properly involved where questions arise as to matters falling within the scope of Union data protection law in the supervision of those systems. This is necessary to comply with Article 8 of the Charter and Article 16 of the TFEU, including as regards the process of assessment of the codes of practice mentioned in Article 56 AI Act.  14. EDPBは、汎用AIモデルやシステムがパーソナルデータの処理を伴う場合は常に、他のAIシステムと同様に、該当する各国のDPA(GDPR第7章に従って協力)およびEDPS(EUDPRに該当する場合)の監督権限に該当する可能性があることを強調する。したがって、EUデータ保護法の適用範囲に属する事項に関して疑問が生じた場合、各国のDPAとEDPSはこれらのシステムの監督に適切に関与せざるを得ない。これは、AI法第56条に記載されている実施規範のアセスメントプロセスを含め、憲章第8条およびTFEU第16条を遵守するために必要なことである。
15. Accordingly, the EDPB calls the attention of the European Commission and the EU AI Office which is part of it to the need to cooperate with the national DPAs and the EDPB, and the need to establish, in agreement with them, the appropriate mutual cooperation[23] in the most effective way and in full compliance with the principle of sincere cooperation as recalled by the Court of Justice[24].  15. したがって、EDPBは、欧州委員会およびその一部であるEU AI事務局に対し、各国のDPAおよびEDPBと協力する必要性、および、司法裁判所[24]が想起した誠実な協力の原則を完全に遵守し、最も効果的な方法で、適切な相互協力[23]を確立する必要性について注意を喚起する。

 

 

[1] Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) (Text with EEA relevance), OJ L, 2024/1689, 12.7.2024, ELI: [web]
[1] 人工知能に関する調和された規則を定め、規則(EC)No 300/2008、(EU)No 167/2013、(EU)No 168/2013、(EU)2018/858、(EU)2018/1139および(EU)2019/2144ならびに指令2014/90/EU、(EU)2016/797および(EU)2020/1828(人工知能法)(EEA関連テキスト)、OJ L, 2024/1689, 12. 7.2024, ELI: [web]
[2] Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011 (Text with EEA relevance).  [2] 製品の市場監視及びコンプライアンスに関する2019年6月20日付欧州議会及び理事会規則(EU)2019/1020、並びに指令2004/42/EC及び規則(EC)No 765/2008及び(EU)No 305/2011を改正する(EEA関連テキスト)。
[3] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), OJ L 119, 4.5.2016, p. 1–88.  [3] 個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日付欧州議会及び理事会規則(EU)2016/679及び指令95/46/EC(一般データ保護規則)の廃止(EEA関連文書)、OJ L 119, 4.5.2016, p. 1-88. 
[4] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (Text with EEA relevance), OJ L 295, 21.11.2018, p. 39–98.  [4] 欧州連合機関、団体、事務所及び機関によるパーソナルデータの処理に関する自然人の保護並びに当該データの自由な移動に関する2018年10月23日付欧州議会及び理事会規則(EU)2018/1725、規則(EC)第45/2001号及び決定第1247/2002/EC号の廃止(EEA関連テキスト)、OJ L 295, 21.11.2018, p. 39-98. 
[5] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016, p. 89–131.  [5] 2016年4月27日の欧州議会及び理事会指令(EU)2016/680は、刑事犯罪の予防、捜査、探知若しくは訴追又は刑事罰の執行を目的とする権限のある当局によるパーソナルデータの処理に関する自然人の保護、並びに当該データの自由な移動に関するものであり、理事会枠組み決定2008/977/JHAを廃止するものである、OJ L 119, 4.5.2016, p. 89-131. 
[6] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), OJ L 201, 31.7.2002, p. 37–47.  [6] 2002年7月12日付欧州議会および理事会指令2002/58/EC(電子通信分野におけるパーソナルデータの処理およびプライバシーの保護に関する指令)、OJ L 201, 31.7.2002, p. 37-47. 
[7] More specifically, for remote biometric identification the AI Act is lex specialis vis-à-vis the LED (Art. 5(1)(h) AI Act).  [7] 具体的には、遠隔バイオメトリクス識別については、AI法がLEDに対する特別法である(AI法第5条1項h)。
[8] See in this regards the largest part of AI systems listed in Annex III of the AI Act.  [この点に関しては、AI法の附属書IIIに記載されているAIシステムの大部分を参照のこと。
[9] It has materialised in the EU jurisdictions through position papers, public consultations, parliamentary hearings, guidelines, opinions related to data protection impact assessments, investigations, corrective measures and (sometimes) sanctions. Furthermore, DPAs are also participating in various regulatory sandboxes.  [9] EUの司法管轄区では、ポジションペーパー、公開協議、議会公聴会、ガイドライン、データ保護影響アセスメントに関する意見、調査、是正措置、(時には)制裁措置を通じて具体化している。さらに、DPAは様々な規制のサンドボックスにも参加している。
[10] See, in particular, EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), 18 June 2021 (hereinafter “EDPB-EDPS Joint Opinion 5/2021”); EDPB Statement on the Digital Services Package and Data Strategy adopted on 18 November 2021.  [10] 特に、2021年6月18日の人工知能に関する調和された規則を定めた欧州議会及び理事会規則(人工知能法)の提案に関するEDPB-EDPS共同意見5/2021(以下「EDPB-EDPS共同意見5/2021」)、2021年11月18日に採択されたデジタルサービスパッケージ及びデータ戦略に関するEDPB声明を参照のこと。
[11] See Recital 153 AI Act.  [11] AI法153条を参照のこと。
[12] See Article 3(48) AI Act.  [12] AI法第3条48項参照。
[13] See Article 77 and Recital 157 AI Act.  [13] AI法第77条および説明157条を参照のこと。
[14] See, in particular points 47 ff. of the EDPB-EDPS Joint Opinion 5/2021.  [14] 特にEDPB-EDPS共同意見書5/2021の第47項以降を参照のこと。 
[15] DPAs have been active for a long time and also cooperate on the different topics related to AI systems in different international fora (G7 Data Protection and Privacy Authorities Roundtable, Global Privacy Assembly - GPA, International Working Group on Data Protection in Technology, Council of Europe, international standards organisations, etc.) and, with their representatives, at the OECD. This integration is particularly important in the current context in which AI regulation is widely discussed at the global level, notably regarding the development of standards.  [DPA は以前から積極的に活動しており、様々な国際的な場(G7 Data Protection and Privacy Authorities Roundtable、Global Privacy Assembly - GPA、International Working Group on Data Protection in Technology、欧州評議会、国際標準化機構など)において、また代表者と共に OECD において、AI システムに関連する様々なトピックについて協力している。この統合は、AI規制が世界レベルで広く議論されている現在の状況、特に標準の策定において特に重要である。
[16] See Article 8(3) of the Charter and Article 16(2) of the Treaty on the Functioning of the European Union (hereinafter “TFEU”).  [16] 憲章第8条3項および欧州連合機能条約(以下「TFEU」)第16条2項を参照のこと。
[17] See also Recitals 79 and 80 AI Act.  [17] AI法79条および80条も参照のこと。
[18] See also Articles 3(48), 74(9) and 43(1) AI Act.  [18] AI法3条48項、74条9項、43条1項も参照のこと。
[19] See Articles 26(9), 27(4) and Annex VIII, point 5 AI Act.  [19] AI法第26条第9項、第27条第4項及び附属書VIII第5項も参照のこと。
[20] In particular in the fields of product safety (e.g. in the case of smart toys, see also Annex I), competition, digital and media services, financial services, consumer protection, and fundamental rights protection. 21 See also, with regard to the activity carried out within the regulatory sandboxes, Article 57(10) AI Act. 22 Judgment of the Court of Justice of 4 July 2023, Meta Platforms and others (Conditions générales d’utilisation d’un réseau social, C-252/21, ECLI:EU:C:2023:537), in particular paras 53-63.  [20] 特に、製品安全(スマート玩具の場合など、附属書Iも参照)、競争、デジタルサービスおよび媒体保護サービス、金融サービス、消費者保護、基本的権利保護の分野において。21 規制のサンドボックス内で行われる活動に関しては、AI法第57条10項も参照のこと。22 2023年7月4日付のメタ・プラットフォームズ等に関する司法裁判所の判決(Conditions générales d'utilisation d'un réseau social, C-252/21, ECLI:EU:C:2023:537)、特にパラ53-63。
[21] The AI Office, referred to in Article 64 AI Act, has been established by Commission Decision of 24 January 2024 establishing the European Artificial Intelligence Office, C/2024/390, OJ C, C/2024/1459, 14.2.2024.  [21] AI法第64条で言及されているAI事務局は、欧州人工知能事務局(European Artificial Intelligence Office)を設置する2024年1月24日付の欧州委員会決定(C/2024/390, OJ C, C/2024/1459, 14.2.2024)により設置された。
[22] See also Annex XI, Section 1(1)(e) and (2)(c) of the AI Act.  [22] AI法の附属書XI、第1条(1)(e)および(2)(c)も参照のこと。
[23] Also in light of Articles 2(3)(c) and (d), Articles 3 and 6 of the Commission Decision of 24 January 2024 establishing the European Artificial Intelligence Office, C/2024/1459.  [23] また、第2条(3)(c)および(d)に照らして、欧州人工知能事務局を設置する2024年1月24日の欧州委員会決定(C/2024/1459)の第3条および第6条も参照のこと。
[24] See footnote 22 of this Statement.  [24] 本声明の脚注22を参照のこと。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

| | Comments (0)

2024.07.19

米国 MITRE AI保証

こんにちは、丸山満彦です。

何事にもアカウンタビリティが重要と考える欧米の文化ですから、AIのAssurance(保証)というのも当然に考えるわけですが、英国のみならず、米国もですかね...

 

MITRE

・2024.07.15 AI Assurance: A Repeatable Process for Assuring AI-Enabled Systems—Executive Summary

AI Assurance: A Repeatable Process for Assuring AI-Enabled Systems—Executive Summary AI保証: AIを活用したシステムを保証するための反復可能なプロセス - エグゼクティブサマリー
This document provides an executive summary of "AI Assurance: A Repeatable Process for Assuring AI-enabled Systems," which defines the process for discovering, assessing, and managing risk throughout the life cycle of an AI-enabled system. 本書は「AI保証」のエグゼクティブサマリーを提供する: AI Assurance: A Repeatable Process for Assuring AI-enabled Systems」の要旨であり、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントするためのプロセスを定義している。
Federal agencies are being encouraged by the White House to remove barriers to innovation, accelerate the use of artificial intelligence (AI) tools, and leverage AI to better fulfill their missions, all while setting up guardrails to mitigate risks. In recent years, the U.S. has made progress in addressing these concerns, but there are significant gaps in our current understanding of the risks posed by AI-enabled applications when they support consequential government functions. A repeatable engineering approach for assuring AI-enabled systems is required to extract maximum value from AI while protecting society from harm. 連邦政府機関はホワイトハウスから、イノベーションの障壁を取り除き、人工知能(AI)ツールの利用を加速させ、AIを活用して任務をよりよく遂行するよう奨励されている。近年、米国はこうした懸念への対処を進めてきたが、AIを活用したアプリケーションが政府の重要な機能をサポートする際にもたらすリスクに関する現在の理解には大きなギャップがある。社会を危害から守りつつAIから最大限の価値を抽出するためには、AI対応システムを保証するための反復可能な工学的アプローチが必要である。
This document provides an executive summary of "AI Assurance: A Repeatable Process for Assuring AI-enabled Systems," which defines and articulates AI assurance as a process for discovering, assessing, and managing risk throughout an AI-enabled system's life cycle to ensure it operates effectively for the benefit of its stakeholders. The process is designed to be adaptable to different contexts and sectors, making it relevant to the national discussion on regulating AI. 本書は、「AI保証」のエグゼクティブ・サマリーを提供する: 本書は、「AI保証:AI対応システムをアシュアするための反復可能なプロセス」のエグゼクティブ・サマリーを提供するものであり、AI保証を、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントし、ステークホルダーの利益のために効果的に運用するためのプロセスとして定義し、明確にしている。このプロセスは、さまざまな文脈や分野に適応できるように設計されており、AI規制に関する国内議論に関連している。

 

エグゼクティブサマリー...

・[PDF] AI ASSURANCE A Repeatable Process for Assuring AI-enabled Systems

20240719-144421

 

全体...

・2024.06.05 AI Assurance: A Repeatable Process for Assuring AI-enabled Systems

AI Assurance: A Repeatable Process for Assuring AI-enabled Systems AI保証: AIを活用したシステムを保証するための反復可能なプロセス - エグゼクティブサマリー
Extracting maximum value from AI while protecting against societal harm requires a repeatable engineering approach for assuring AI-enabled systems in mission contexts. This paper articulates such an approach and outlines how it can be used to develop an AI Assurance Plan to achieve and maintain assurance throughout the life cycle of an AI-enabled system. 本書は「AI保証」のエグゼクティブサマリーを提供する: AI Assurance: A Repeatable Process for Assuring AI-enabled Systems」の要旨であり、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントするためのプロセスを定義している。
Artificial intelligence increasingly informs consumer choices—from movie recommendations to routine customer service inquiries. However, high-consequence AI applications such as autonomous vehicles, accessing government benefits, or healthcare decisions surface significant concerns. The MITRE-Harris Poll survey on AI trends finds that just 48% of the American public believes AI is safe and secure, whereas 78% voice concern about its potential for malicious use. Assuring AI-enabled systems to address these concerns is nontrivial and will require collaboration across government, industry, and academia 連邦政府機関はホワイトハウスから、イノベーションの障壁を取り除き、人工知能(AI)ツールの利用を加速させ、AIを活用して任務をよりよく遂行するよう奨励されている。近年、米国はこうした懸念への対処を進めてきたが、AIを活用したアプリケーションが政府の重要な機能をサポートする際にもたらすリスクに関する現在の理解には大きなギャップがある。社会を危害から守りつつAIから最大限の価値を抽出するためには、AI対応システムを保証するための反復可能な工学的アプローチが必要である。
In AI Assurance: A Repeatable Process for Assuring AI-enabled Systems, we define and articulate AI assurance as a process for discovering, assessing, and managing risk throughout an AI-enabled system's life cycle to ensure it operates effectively for the benefit of its stakeholders. The process results in an AI Assurance Plan, a comprehensive artifact outlining the necessary activities to achieve and maintain the assurance of an AI-enabled system in a mission context. We also discuss how this process may be applied in different phases of the AI life cycle, such as system development, acquisition, certification, and deployment. We conclude by highlighting the need for sector-specific AI assurance labs and emphasize the importance of public-private partnerships in advancing AI assurance. 本書は、「AI保証」のエグゼクティブ・サマリーを提供する: 本書は、「AIアシュアランス:AI対応システムをアシュアするための反復可能なプロセス」のエグゼクティブ・サマリーを提供するものであり、AIアシュアランスを、AI対応システムのライフサイクルを通じてリスクを発見、アセスメント、マネジメントし、ステークホルダーの利益のために効果的に運用するためのプロセスとして定義し、明確にしている。このプロセスは、さまざまな文脈や分野に適応できるように設計されており、AI規制に関する国内議論に関連している。

 

・[PDF]

20240719-151701

 

・[DOCX][PDF] 両方あわせた仮訳...

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

AI Assurance

・2024.07.07 米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する

・2024.02.14 英国 AI保証への導入ガイダンス (2024.02.12)

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.27 米国 MITRE 重要インフラにおけるAIサイバーリスク低減の原則: 優先順位付けのアプローチ

・2023.09.10 カーネギーメロン大学ソフトウェア工学研究所 新たなテクノロジー:国防総省におけるソフトウェアの未来を変える7つのテーマ (2023.08.24)

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.06.16 米国 MITRE AIセキュリティのための賢明な規制の枠組み

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

 

| | Comments (0)

ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

こんにちは、丸山満彦です。

2024.07.12にEUのAI法が官報に掲載されたことを受けて、ドイツのBfDI、フランスのCNIL、オランダのAPがAI法関連の情報を掲載していますね...

1_20240719012201

 

CNILの内容は特によいように感じます。

 


まずは、ドイツのBfDI

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; BfDI

1_20240719012301

 

・2024.07.16 Die neue KI-Verordnung der EU

Die neue KI-Verordnung der EU EUの新しいAI規制
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fasst zur Veröffentlichung der Verordnung über künstliche Intelligenz (KI-VO) die wichtigsten Punkte aus Sicht des Datenschutzes zusammen. 連邦データ保護・情報自由委員会(BfDI)は、人工知能規則(AI規則)の公表について、データ保護の観点から最も重要な点をまとめている。
Die KI-VO wurde am 13. Juni von den Präsidenten des EU Parlaments und des Rates der EU unterzeichnet. Nach der Veröffentlichung im Amtsblatt der EU am 12. Juli tritt die Verordnung 20 Tage später in Kraft. Sie stellt umfassende Regeln auf, um Grundrechte zu gewährleisten und Innovation zu fördern, darunter ein Verbot von Social Scoring und von bestimmten Methoden der Gesichtserkennung. In der Einschätzung des BfDI erfahren Sie mehr zum Thema. AI規則は6月13日、EU議会とEU理事会の議長によって署名された。7月12日にEU官報に掲載された後、同規則は20日後に発効する。同規則は、基本的権利を保証し、イノベーションを促進するための包括的な規則を定めており、ソーシャル・スコアリングや特定の顔認識方法の禁止も含まれている。BfDIの評価で詳細を確認する。

 

 

Die KI-Verordnung der EU EUのAI規則
Die KI-VO stellt umfassende Regeln für KI auf, welche die Einhaltung der Grundrechte gewährleisten und gleichzeitig Innovation fördern sollen. AI規則は、基本的権利の遵守を確保し、同時にイノベーションを促進することを目的とした、AIに関する包括的な規則を制定している。
In der KI-VO wird ein risikobasierter Ansatz verfolgt. KI-Praktiken, die mit fundamentalen Werten der EU nicht vereinbar sind und ein inakzeptables Risiko für die Grundrechte der EU Bürgerinnen und Bürger darstellen, werden verboten. Darunter fällt beispielsweise das sogenannte „Social Scoring“, die Bewertung natürlicher Personen auf Grundlage ihres Sozialverhaltens, aber auch die Erstellung von Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet. AI規則はリスクベースのアプローチをとっている。EUの基本的価値観と相容れず、EU市民の基本的権利に受け入れがたいリスクをもたらすAI行為は禁止されている。これには、例えば、いわゆる「ソーシャル・スコアリング」と呼ばれる、社会的行動に基づいて自然人を評価する行為や、インターネット上の顔画像を無制限に読み取って顔認識用のデータベースを作成する行為などが含まれる。
KI-Systeme in bestimmten anderen Bereichen werden als mit hohem Risiko behaftet klassifiziert. Das umfasst etwa KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden, aber auch solche KI-Systeme, die zur biometrischen Fernidentifizierung oder bei der Prüfung von Asylanträgen zum Einsatz kommen. Für solche Hochrisiko-KI-Systeme gelten spezifische Anforderungen, beispielsweise an die Qualität der verwendeten Daten, die Genauigkeit, die Robustheit und die Cybersicherheit. Zusätzlich muss es für Hochrisiko-KI-Systeme eine technische Dokumentation, eine Protokollierungsfunktion und ein Risikomanagement geben. Weitere Anforderungen sind Transparenz und menschliche Aufsicht. その他の特定分野のAIシステムは、高リスクに分類される。これには、無線機器や自動車などの製品に使用されるAIシステムだけでなく、遠隔生体認証や亡命申請のチェックに使用されるAIシステムも含まれる。このような高リスクのAIシステムには、使用するデータの品質、正確性、堅牢性、サイバーセキュリティなどに関して、特定の要件が適用される。さらに、リスクの高いAIシステムには、技術文書、ロギング機能、リスク管理が義務付けられている。その他の要件としては、透明性と人的監視がある。
Bestimmte Transparenzanforderungen müssen auch von KI-Systemen, die mit natürlichen Personen interagieren, Emotionserkennungssystemen, biometrischen Kategorisierungssystemen und KI-Systemen mit allgemeinem Verwendungszwecke erfüllt werden. KI-Systeme, die nur mit geringen Risiken verbunden sind, sind nicht von der KI-VO betroffen. Das bedeutet allerdings nicht, dass für diese KI-Systeme keine Gesetze gelten. KI befand sich auch vor der KI-VO nicht in einem rechtsfreien Raum. Die DSGVO ist technologieneutral und gilt insbesondere auch für KI-Systeme, das wird auch mit der KI-VO weiterhin der Fall sein. Die KI-VO ergänzt bestehende rechtliche Vorgaben. Wegen der hohen Komplexität von KI-Systemen und der im Vergleich zu herkömmlicher Software geringeren Nachvollziehbarkeit und Transparenz sind die KI-spezifischen Vorgaben aus der KI-VO für den Schutz der Grundrechte sinnvoll. Auch die Datenschutzaufsichtsbehörden erhalten durch die KI-VO neue Aufgaben und Befugnisse. 自然人と対話するAIシステム、感情認識システム、生体認証分類システム、汎用AIシステムについても、一定の透明性要件を満たさなければならない。リスクが低いAIシステムは、AI規制の影響を受けない。しかし、これはこれらのAIシステムに法律が適用されないことを意味するものではない。AI規則が制定される以前から、AIは法的空白地帯にあったわけではない。GDPRは技術的に中立であり、特にAIシステムにも適用される。AI規則は既存の法的要件を補完するものである。AIシステムは複雑性が高く、従来のソフトウェアに比べてトレーサビリティや透明性が低いため、AI規則によるAI固有の要件は基本的権利の保護にとって意味がある。AI規則はまた、データ保護監督当局に新たな任務と権限を与えている。
Informationen, Befugnisse und Aufgaben für Datenschutzaufsichtsbehörden データ保護監督当局の情報、権限、任務
Als für den Schutz der Grundrechte zuständige Behörden erhalten sie Zugriff auf für die Erfüllung ihrer Aufgaben erforderliche Dokumente, die zur Einhaltung der KI-VO erstellt werden müssen. Bei ihren bestehenden Aufsichtstätigkeiten werden die Datenschutzaufsichtsbehörden zudem unterstützt, indem sie, falls erforderlich, technische Untersuchungen durch die Marktüberwachungsbehörden für KI anfragen können. Außerdem sind sie von diesen über Meldungen schwerwiegender Vorkommnisse zu informieren. Einige Hochrisiko-KI-Systeme müssen grundsätzlich von den Anbietenden in einer EU-Datenbank registriert werden. Diese Registrierungen sind in bestimmten Fällen nicht öffentlich, die Datenschutzaufsichtsbehörden dürfen diese aber einsehen. 基本的権利の保護に責任を負う当局として、当局はその任務遂行に必要な文書にアクセスすることができ、それらはAI規則を遵守するために作成されなければならない。また、データ保護監督当局は、必要に応じてAIに関する市場監視当局の技術的調査を要請することができ、既存の監督活動を支援される。また、重大インシデントの報告については、これらの当局から報告を受けなければならない。リスクの高いAIシステムの中には、提供者がEUのデータベースに登録しなければならないものもある。場合によっては、これらの登録は公開されないが、データ保護監督当局は閲覧することができる。
Bei der Aufsicht über staatliche Strafverfolgungsbehörden ist eine weitere Ergänzung vorgesehen. So muss auf Nachfrage die Dokumentation der Anwendung biometrischer Fernidentifizierungssysteme gegenüber der zuständigen Datenschutzaufsichtsbehörde offengelegt werden. Zudem müssen den Datenschutzaufsichtsbehörden zusammengefasste Jahresberichte über die Verwendung von biometrischen Fernidentifizierungssystemen vorgelegt werden. 国家法執行当局の監督については、さらなる追加が計画されている。例えば、バイオメトリクス遠隔識別システムの使用に関する文書は、要求に応じて管轄のデータ保護監督当局に開示されなければならない。さらに、バイオメトリクス遠隔識別システムの使用に関する要約された年次報告書をデータ保護監督当局に提出しなければならない。
Eine weitere Aufgabe für die Datenschutzaufsichtsbehörden ergibt sich im Rahmen der Reallabore, die in der KI-VO zur Innovationsförderung vorgesehen sind. Reallabore sollen eine kontrollierte Umgebung bieten, die die Entwicklung, das Training, das Testen und die Validierung innovativer KI-Systeme für einen begrenzten Zeitraum erleichtert. Wenn in einem solchen Reallabor personenbezogene Daten verarbeitet werden, sind die Datenschutzaufsichtsbehörden einzubeziehen. データ保護監督当局のさらなる任務は、イノベーションを促進するためにAI規則で規定されている実世界ラボとの関連で生じる。リアルワールド・ラボは、革新的なAIシステムの開発、訓練、テスト、検証を一定期間容易にする管理された環境を提供することを目的としている。そのような実世界ラボで個人データが処理される場合、データ保護監督当局は関与しなければならない。
Diese Aspekte ergänzen bereits bestehende Aufgaben und Befugnisse der Datenschutzaufsichtsbehörde und stärken den Schutz der Grundrechte und die Einhaltung des Datenschutzes. Der BfDI begrüßt diese Änderungen und freut sich auf die neuen Aufgaben. これらの側面は、データ保護監督当局の既存の任務と権限を補完し、基本的権利の保護とデータ保護の遵守を強化するものである。BfDIはこれらの変更を歓迎し、新たな任務に期待している。
Grundsätzlich bleibt die Zuständigkeit der Datenschutzaufsichtsbehörden für den Datenschutz aber von der KI-VO unberührt. Bei Beschwerden über Datenschutzverletzungen im Zusammenhang mit KI-Systemen sind weiterhin die Datenschutzaufsichtsbehörden die zuständigen Ansprechpartner. Bürgerinnen und Bürger können entsprechende Beschwerden an die für sie bereits zuständige Datenschutzaufsichtsbehörde richten. しかし、原則として、データ保護に関するデータ保護監督当局の権限は、AI規則の影響を受けないままである。AIシステムに関連したデータ保護違反に関する苦情については、データ保護監督当局が引き続き管轄窓口となる。市民はそのような苦情を、すでに担当しているデータ保護監督当局に訴えることができる。
Aufsichtsstrukturen für die KI Aufsicht AI監督のための監督機構
Die KI-VO beinhaltet allerdings auch umfassende neue Regeln für KI. Die Aufsicht über die Einhaltung dieser Vorgaben ist grundsätzlich nach Sektoren aufgeteilt. Für einige KI-Systeme wird die Zuständigkeit bei der EU Kommission liegen, die dafür ein Büro für KI einrichtet. Dieses wird KI-Modelle mit allgemeinem Verwendungszweck und KI-Systeme mit allgemeinem Verwendungszweck, die auf einem Modell desselben Anbieters basieren, beaufsichtigen. Darunter fallen zum Beispiel Chatbots, die auf einem großen Sprachmodell (engl. Large Language Model) des gleichen Herstellers beruhen. しかし、AI規則にはAIに関する包括的な新規則も含まれている。これらの要求事項の遵守の監督については、基本的に分野ごとに分かれている。一部のAIシステムについては、EU委員会が責任を負うことになり、同委員会はそのためのAI事務所を設置する。このオフィスは、汎用のAIモデルと、同じプロバイダーのモデルをベースにした汎用のAIシステムを監督する。これには、例えば、同じベンダーの大規模な言語モデルに基づくチャットボットなどが含まれる。
Für Hochrisiko-KI-Systeme, die in Produkten wie Funkanlagen oder Fahrzeugen eingesetzt werden für die es bereits EU Produktregulierungen gibt, werden die dafür zuständigen Marktüberwachungsbehörden der Mitgliedstaaten auch die Einhaltung der zusätzlichen Vorgaben aus der KI-VO durchsetzen. Für den Finanzbereich sieht die KI-VO vor, dass die für die Finanzaufsicht zuständigen Behörden in diesem Bereich auch für die KI-VO zuständig sind. Für Hochrisiko-KI-Systeme, die im Bereich der Strafverfolgung, Migration, Asyl oder Grenzkontrolle, sowie bei der Rechtspflege und im Zusammenhang mit demokratischen Prozessen eingesetzt werden, sind die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden vorgesehen. EUの製品規制がすでに存在する無線機器や自動車などの製品に使用される高リスクのAIシステムについては、加盟国の担当市場監視当局もAI規則の追加要件の遵守を強制する。金融分野については、この分野の金融監督を担当する当局がAI規則にも責任を持つことが規定されている。法執行、移民、亡命、国境管理、司法行政、民主主義プロセスなどの分野で使用されるリスクの高いAIシステムについては、データ保護監督当局が市場監視当局として想定されている。
Ein spannender Aspekt und noch offen ist, welche nationalen Behörden die Aufsicht über die KI-Systeme mit allgemeinem Verwendungszweck haben werden, die nicht unter die Zuständigkeit des Europäischen Büros für KI fallen. Außerdem ist nicht festgelegt, welche Behörden die Marktüberwachungsbehörden für die KI-Systeme zur biometrischen Fernidentifizierung oder Kategorisierung und zur Emotionserkennung sein werden. Auch die Zuständigkeiten für Hochrisiko-KI-Systeme in den Bereichen kritische Infrastruktur, allgemeine und berufliche Bildung, Arbeitnehmermanagement, sowie Zugang zu und Inanspruchnahme grundlegender privater Dienstleistungen und grundlegender öffentlicher Dienste und Leistungen sind noch nicht festgelegt.   興味深い点としては、欧州AIビューローの権限に属さない汎用AIシステムの監督を、どの国家当局が担当するかがまだ決まっていない。また、遠隔生体認証や分類、感情認識のためのAIシステムについても、どの当局が市場監視当局となるかは決まっていない。また、重要インフラ、教育・訓練、労務管理、必要不可欠な民間サービスや必要不可欠な公共サービス・給付へのアクセス・利用といった分野におけるリスクの高いAIシステムに対する責任も、まだ定義されていない。 
Insgesamt sind die Aufsichtsstrukturen für KI sehr komplex. Insbesondere in Deutschland führt das föderale System zu einer besonders hohen Anzahl an Behörden, die in die KI-Aufsicht involviert sein werden. Damit es für Interessenträger dennoch nur einen zentralen Kontaktpunkt bei Anliegen im Kontext der KI-VO gibt, soll jeder Mitgliedstaat einen sogenannten Single-Point-of-Contact benennen. Dieser ist für Bürgerinnen und Bürger besonders relevant im Hinblick auf das Recht auf Einreichung einer Beschwerde bei einer Marktüberwachungsbehörde, da solche Beschwerden dann an diesen Single-Point-of-Contact gerichtet werden können. Zukünftig sollen zudem Verstöße gegen die KI-VO dort gemeldet werden. Welche Behörde diese Aufgabe in Deutschland übernehmen wird ist noch nicht festgelegt. 全体として、AIの監督機構は非常に複雑である。特にドイツでは、連邦制を採用しているため、AI監督に関わる当局の数が特に多い。AI規則に関連して懸念を抱く利害関係者の窓口を一本化するため、各加盟国は窓口を一本化することになっている。これは特に、市場監視当局に苦情を申し立てる権利に関する市民にとって重要である。将来的には、AI規則の違反もこの窓口で報告されることになる。ドイツでどの認可機関がこの任務を担うかはまだ決まっていない。
Ausblick 展望
Die noch offenen Zuständigkeiten unterliegen jetzt einer Umsetzung auf nationaler Ebene. In engem Austausch mit den in Frage kommenden Behörden wird aktuell eine entsprechende Zuordnung ausgehandelt, die den jeweiligen Besonderheiten der einzelnen Bereiche entsprechen und eine möglichst reibungslose Zusammenarbeit der verschiedenen Stellen gewährleisten soll. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat dazu ein Positionspapier veröffentlicht. 現在、未解決の責務は、各国レベルでの実施に委ねられている。該当する当局との緊密な対話の中で、現在、各分野の特殊性に対応し、各機関間の協力が可能な限り円滑に行われるよう、対応する割り当てについて交渉中である。独立連邦・州データ保護監督機関会議(DSK)は、これに関するポジションペーパーを発表した。
Behörden und Firmen haben zunächst eine Übergangsfrist zur Umsetzung der Vorgaben aus der KI-VO. Die Verbote von KI-Praktiken, die ein inakzeptables Risiko für die Grundrechte der EU Bürgerinnen und Bürger darstellen, gelten bereits 6 Monate nach Inkrafttreten der KI-VO. Die übrigen Vorgaben werden nach einem bis drei Jahren gelten. 当局と企業は当初、AI規則の要求事項を実施するための経過措置期間が設けられている。EU市民の基本的権利に許容できないリスクをもたらすAI慣行の禁止は、AI規則の発効から6ヵ月後に適用される。その他の要件は1~3年後に適用される。
Bei einigen Aspekten lässt die KI-VO Raum für nationale Anpassungen. Der BfDI empfiehlt der Bundesregierung diese Möglichkeit im Kontext der biometrischen Fernidentifizierung zu nutzen und striktere nationale Verbote umzusetzen. いくつかの点については、AI規則は国内調整の余地を残している。BfDIは、連邦政府に対し、遠隔生体認証に関してこの可能性を活用し、より厳格な国内禁止措置を実施するよう勧告する。

 

 


次はフランスのCNIL

CNIL

1_20240719013101

・2024.07.12 Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL AIに関する欧州規制の発効:CNILの最初の質問と回答
Depuis un an, la CNIL a lancé son plan d’action pour promouvoir une IA respectueuse des droits des personnes sur leurs données et sécuriser les entreprises innovant en la matière dans leur application du RGPD. À l’occasion de la publication du règlement IA au JOUE, la CNIL répond à vos questions sur ce nouveau texte. 1年前、フランスデータ保護局(CNIL)は、データに対する人々の権利を尊重するAIを推進し、この分野でイノベーションを起こす企業がGDPRを適用する際の安全性を提供するための行動計画を発表した。OJEUでのAI規則の公表に際して、CNILはこの新しい文書に関する質問に答えている。
résentation du règlement IA AI規則の紹介
Qu’est-ce que prévoit le règlement IA (ou AI Act) ? AI規則(またはAI法)は何を規定するのか?
Qui contrôlera l’application du RIA dans l’UE et en France ? 誰がEUおよびフランスにおけるAI規則の適用を監視するのか?
Comment la CNIL va-t-elle prendre en compte le RIA ? CNILはRIAをどのように考慮するのか?
Quand le RIA entre-t-il en application ? RIAはいつ発効するのか?
Comment s’articulent le RGPD et le RIA ? RGPDとRIAはどのように整合するのか?
Le RIA remplace-t-il les exigences du RGPD ? RIAはRGPDの要求事項に取って代わるのか?
>RIA / RGPD : comment savoir quel(s) règlement(s) s’applique(nt) à moi ? RIA/RGPD:どの規制が適用されるかを知るには?
Comment le RIA impacte-t-il le RGPD ? RIAはRGPDにどのような影響を与えるのか?
Transparence et documentation : comment articuler ces exigences du RIA avec celles du RGPD ? 透明性と文書化:RIAの要求事項とRGPDの要求事項をどのように関連づければよいか?

 

 


オランダ...

 Autoriteit Persoonsgegevens; AP

1_20240719013701

 

AI-verordening

AI-verordening AI規制
De AI-verordening komt eraan: de eerste uitgebreide wet over kunstmatige intelligentie ter wereld. In de AI-verordening staan de regels voor het verantwoord ontwikkelen en gebruiken van AI door bedrijven, overheden en andere organisaties.  人工知能に関する世界初の包括的な法律「AI規則」が誕生する。AI規制は、企業、政府、その他の組織によるAIの責任ある開発と利用のためのルールを定めたものである。
De verordening gaat gefaseerd in en zal medio 2027 geheel van kracht zijn. Een aantal AI-systemen is waarschijnlijk vanaf eind 2024 al verboden. Daarom is het slim om u nu alvast voor te bereiden. Zie ook de 'snelle antwoorden' op deze pagina.   規制は段階的に導入され、2027年半ばには完全に施行される予定だ。一部のAIシステムは、早ければ2024年末に禁止される可能性が高い。したがって、今から準備しておくのが賢明だ。このページの「クイックアンサー」も参照のこと。 
Rapportage AI- en algoritmerisico’s Nederland オランダでAIとアルゴリズムのリスクを報告する
De AP publiceert elk half jaar een Rapportage AI- en algoritmerisico’s Nederland (RAN), om daarmee een beeld te geven van ontwikkelingen en trends in de risico’s. APは6カ月ごとに、リスクの進展と傾向を把握するため、Rapportage AI- en algoritmerisk's Nederland (RAN) (オランダのAIとアルゴリズムリスクに関する報告書)を発行している。
Waarom deze wet?   なぜこの法律なのか? 
De AI-verordening is er om ervoor te zorgen dat iedereen in Europa erop kan vertrouwen dat AI-systemen veilig werken en dat grondrechten beschermd zijn. Ook al zijn er veel systemen met weinig risico’s en zijn er allerlei voordelen aan AI, er is ook een hele andere kant. Bestaande wetten zoals de Algemene verordening gegevensbescherming (AVG) en de Wet politiegegevens (Wpg) bieden al bescherming. Bijvoorbeeld als AI-systemen worden gebruikt om persoonsgegevens te verwerken. Maar dat is onvoldoende om alle risico’s aan te pakken die bij AI komen kijken. Onverantwoord gebruik van AI kan bijvoorbeeld leiden tot discriminatie, beperkingen van onze vrijheden en misleiding en uitbuiting van mensen. De AI-verordening helpt ervoor te zorgen dat ontwikkelaars van AI-systemen risico’s aanpakken en dat daar toezicht op is.  AI規制は、AIシステムが安全に機能し、基本的権利が保護されることを欧州の誰もが信頼できるようにするためにある。AIには低リスクのシステムも多く、さまざまな利点があるが、まったく別の側面もある。一般データ保護規則(AVG)や警察データ法(Wpg)といった既存の法律は、すでに保護を提供している。例えば、AIシステムが個人データの処理に使用される場合などだ。しかし、AIに関わるすべてのリスクに対処するには不十分だ。例えば、AIの無責任な使用は、差別、私たちの自由の制限、人々の欺瞞や搾取につながる可能性がある。AI規制は、AIシステムの開発者がリスクに対処し、これを監督することを保証するのに役立つ。
Voor wie gelden de regels in de AI-verordening?  AI規制のルールは誰に適用されるのか?
De AI-verordening is zowel gericht op organisaties die AI aanbieden als op organisaties die de AI gebruiken. Van overheid en zorginstelling tot het mkb. AI規制は、AIを提供する組織と利用する組織の双方を対象としている。政府機関や医療機関から中小企業に至るまでである。
Aanbieders moeten er bijvoorbeeld voor zorgen dat de systemen die ze ontwikkelen voldoen aan de eisen voordat ze deze in de handel brengen en deze in gebruik mogen worden genomen. Ook moeten zij blijven monitoren of er risico’s ontstaan voor bijvoorbeeld de bescherming van grondrechten. En actie ondernemen als er iets mis is met het systeem. Aanbieders moeten er ook voor zorgen dat de systemen voldoende transparant zijn zodat ze op de juiste manier gebruikt worden. 例えば、プロバイダーは、開発したシステムを販売し、使用を許可する前に、そのシステムが要件を満たしていることを確認しなければならない。また、例えば基本的権利の保護に何らかのリスクが生じないかどうかを監視し続けなければならない。そして、システムに何か問題があれば、対策を講じなければならない。プロバイダーはまた、システムが適切に利用されるよう、十分な透明性を確保しなければならない。
Organisaties hebben bijvoorbeeld de verantwoordelijkheid het AI-systeem te gebruiken volgens de gebruiksaanwijzing die de aanbieder meegeeft. Ook moeten gebruikende organisaties zorgen dat er menselijk toezicht is, relevante en voldoende representatieve inputdata gebruiken en incidenten melden bij de aanbieder en de toezichthouder. In bepaalde gevallen moeten zij ook het gebruik van het systeem registeren in een Europese databank.  例えば、組織は、プロバイダーが提供するユーザーマニュアルに従ってAIシステムを使用する責任がある。また、使用する組織は、人間による監督を確保し、適切かつ十分に代表的な入力データを使用し、インシデントをプロバイダーと規制当局に報告しなければならない。場合によっては、システムの利用を欧州のデータベースに登録しなければならない。
Daarnaast regelt de AI-verordening dat alle mensen die in aanraking komen met een AI-systeem, het recht hebben om: さらにAI規制は、AIシステムに接触するすべての人が以下の権利を有することを規定している:
een klacht in te dienen bij een toezichthouder; 規制当局に苦情を申し立てる;
in sommige gevallen een toelichting te krijgen wanneer er een besluit over hen wordt genomen op basis van de uitvoer van een AI-systeem met een hoog risico. 高リスクのAIシステムの輸出に基づく決定がなされた場合、場合によっては説明を受ける権利がある。
Wat regelt de AI-verordening?  AI規制は何を規制しているのか?
De AI-verordening deelt AI-systemen in aan de hand van risicogroepen. Hoe hoger het risico voor burgers en de samenleving als geheel, hoe strenger de regels. Belangrijke punten die de wet bijvoorbeeld regelt zijn dat:  AI規制は、AIシステムをリスクグループによって分類している。市民や社会全体に対するリスクが高ければ高いほど、規則は厳しくなる。法律が規制する重要なポイントは、例えば以下の通りである: 
toepassingen die een onaanvaardbaar risico met zich meebrengen worden verboden; 許容できないリスクをもたらすアプリケーションは禁止される;
toepassingen die een hoog risico vormen aan strengere regels worden gebonden. Voorbeelden zijn AI-systemen die bedoeld zijn voor werving- en selectie of voor rechtshandhaving. Organisaties moeten bijvoorbeeld activiteiten van het systeem loggen, adequaat datamanagement inrichten en zorgen dat er menselijk toezicht mogelijk is. Ze moeten ook kunnen aantonen dat ze aan deze verplichtingen voldoen. De AI-verordening bevat een lijst met hoogrisicosystemen die aan deze en andere eisen moeten voldoen.  Toepassingen die een lager risico vormen moeten voldoen aan verschillende regels op het gebied van transparantie. Een systeem dat kunstmatige content genereert, moet dit bijvoorbeeld duidelijk markeren voor de burger.  高いリスクをもたらすアプリケーションには、より厳しいルールが適用される。例えば、採用選考や法執行を目的としたAIシステムなどがある。例えば、組織はシステムの活動を記録し、適切なデータ管理を設定し、人間による監視が可能であることを保証しなければならない。また、これらの義務を遵守していることを証明できなければならない。AI規制には、これらの要件やその他の要件を満たさなければならない高リスクシステムのリストが含まれている。 低リスクのアプリケーションは、様々な透明性ルールに従わなければならない。例えば、人工的なコンテンツを生成するシステムは、それを市民向けに明確に表示しなければならない。
er toezichthouders worden aangewezen die het naleven van de verordening kunnen handhaven, organisaties kunnen verplichten een product uit de handel te nemen en boetes kunnen opleggen. 規制当局は、コンプライアンスを強制し、組織に製品の市場からの撤退を要求し、罰金を課すことができる。
Als uw organisatie een AI-systeem ontwikkelt of gebruikt, dan is het uw verantwoordelijkheid om te controleren in welke categorie het systeem valt. Voordat de verplichtingen gelden voor AI-systemen met een hoog risico, komen er richtlijnen die organisaties helpen om te beoordelen welke systemen in welke risicogroep vallen. Zie ook: Risicogroepen AI-verordening.  あなたの組織がAIシステムを開発または使用する場合、そのシステムがどのカテゴリーに分類されるかを確認するのはあなたの責任である。高リスクのAIシステムに義務が適用される前に、組織がどのシステムがどのリスクグループに該当するかを評価するのに役立つガイドラインが策定される予定である。参照:リスクグループ AI規制 
Specifieke regels voor overheden  公的機関向けの特別ルール 
In de AI-verordening staan ook extra regels voor overheden en uitvoerders van publieke taken. Zij moeten bij systemen met een hoog risico altijd een zogenoemde grondrechteneffectbeoordeling doen. Deze organisaties moeten ook hun gebruik registreren in de Europese database voor AI-systemen. AI規制には、公的機関や公的業務の実施者に対する追加規則も含まれている。これらの機関は、リスクの高いシステムについて、常にいわゆる基本的権利影響評価を行わなければならない。また、これらの組織は、AIシステムの使用を欧州のデータベースに登録しなければならない。
Aanbieders van AI-modellen voor algemene doeleinden   汎用AIモデルの提供者  
Voor aanbieders van 'AI-modellen voor algemene doeleinden' gaan er ook regels gelden. Deze modellen staan ook wel bekend als 'general purpose AI'. Het gaat dan om de modellen die de basis vormen voor andere toepassingen, bijvoorbeeld de taalmodellen die bestaan voor AI-chatbots.  汎用AIモデル」のプロバイダーも規則の対象となる。これらのモデルは「汎用AI」とも呼ばれる。例えば、AIチャットボット用の言語モデルなどである。
De ontwikkelaars van deze modellen zijn onder meer verplicht om technische documentatie over hun product op te stellen, het systeem 'uitlegbaar' te maken en ze moeten beleid hebben om auteursrechten te beschermen. Handhaving zal voor het grootste deel op Europees niveau plaatsvinden, door het Europese AI Office.  とりわけ、これらのモデルの開発者は、その製品に関する技術文書を作成し、システムを「説明可能」にし、著作権を保護するポリシーを持たなければならない。施行は、欧州AI庁によって欧州レベルで行われる。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

| | Comments (0)

2024.07.18

米国AI安全研究所と欧州AI事務局の技術対話 (2024.07.12)

こんにちは、丸山満彦です。

米国AI安全研究所と欧州AI事務局が技術対話が開始されているようですね...


環境災害を予測するために重要な気象モデリングに焦点が当てられた。


ということで、環境問題の解決にもAIの活用を考えている様ですね...

 

また、


電子透かしとコンテンツ実証のためのベストプラクティスとツールを探求し、それぞれの活動の中でこれらのツールを促進し、合成コンテンツから生じるリスクに対処するため、AIの安全性と信頼に関する科学的・技術的交流をさらに進めるという共通の関心を表明した。


AIが作るコンテンツから生じるリスクに対処するための、技術的対策(電子少し、コンテンツ実証など)のための実践やツールを検討するようですね...

 

 

NIST - U.S. Artificial Intelligence Safety Institute

・2024.07.12 U.S. AI Safety Institute and European AI Office Hold Technical Dialogue

 

U.S. AI Safety Institute and European AI Office Hold Technical Dialogue 米国AI安全機構と欧州AI事務局が技術対話を実施
On July 11, 2024, U.S. Under Secretary of Commerce for Standards and Technology Laurie E. Locascio and Director General of the European Commission’s DG Connect Roberto Viola, initiated a technical dialogue between the European AI Office (EUAIO) and the U.S. AI Safety Institute (USAISI). The dialogue, held at the Department of Commerce in Washington, D.C., aims to deepen bilateral collaboration on AI and foster scientific information exchange between the E.U. and the U.S. It was included as part of the sixth ministerial meeting of the U.S.-E.U. Trade and Technology Council. 2024年7月11日、ローリー・E・ロカシオ米商務次官(標準技術担当)とロベルト・ヴィオラ欧州委員会コネクト総局長は、欧州AI事務局(EUAIO)と米国AI安全研究所(USAISI)の技術対話を開始した。ワシントンD.C.の商務省で開催されたこの対話は、AIに関する二国間の協力を深め、EUと米国の科学的な情報交換進することを目的としている。この対話は、第6回米・EU貿易・技術協議会閣僚会議の一環として開催された。

USAISI Director Elizabeth Kelly and EUAIO Director Lucilla Sioli led the technical discussion on best practices, key risks and other core questions related to AI. The dialogue focused on three key topics: watermarking and content authentication of synthetic content; government compute infrastructure; and AI for societal good. In this respect, the dialogue focused on weather modelling, which is key to enable simulations and forecasts and anticipate environmental disasters.  USAISIのエリザベス・ケリー所長とEUAIOのルチッラ・シオリ所長が、AIに関するベストプラクティス、主要リスク、その他の核心的な質問に関する技術的な議論を主導した。対話では、合成コンテンツの電子透かしとコンテンツ認証、政府の計算インフラ、社会的利益のためのAIという3つの主要トピックに焦点が当てられた。その中でも、シミュレーションや予測を可能にし、環境災害を予測するために重要な気象モデリングに焦点が当てられた。
The conversations featured a session on watermarking that included academics and civil society representatives. The government discussions brought together experts from the U.S. Department of Energy, National Science Foundation, National Oceanic and Atmospheric Administration, and the Department of State as well as experts from the European AI Office, the Emerging and Enabling Technologies department of DG Connect, the European Commission's Joint Research Centre, and the European Centre for Medium-Range Weather Forecasts.  対話では、学者や市民社会の代表者が参加した電子透かしに関するセッションが行われた。政府との対話では、米国エネルギー省、米国科学財団、米国海洋大気庁、国務省の専門家のほか、欧州AI事務局、コネクト総局の新興・実現技術部門、欧州委員会共同研究センター、欧州中距離天気予報センターの専門家が参加した。
During the discussion, the EUAIO and USAISI expressed a shared interest to explore best practices and tools for watermarking and content provenance, promote these tools within their respective actions and further scientific and technical exchange on AI safety and trust to address risks arising from synthetic content. Both institutions reiterated the shared ambition to develop an international network among key partners to accelerate the advancement of the science of AI safety as articulated at the AI Seoul Summit.  意見交換の中で、EUAIOとUSAISIは、電子透かしとコンテンツ実証のためのベストプラクティスとツールを探求し、それぞれの活動の中でこれらのツールを促進し、合成コンテンツから生じるリスクに対処するため、AIの安全性と信頼に関する科学的・技術的交流をさらに進めるという共通の関心を表明した。両機関は、AIソウル・サミットで明確にされたように、AIの安全性の科学の進歩を加速させるために、主要なパートナー間で国際的なネットワークを開発するという共通の野心を改めて表明した。
“This dialogue between the AI Safety Institute and EU AI Office highlights the strength of our partnership to facilitate the exchange of the latest scientific approaches and techniques from our experts in order to promote safe and trustworthy AI internationally,” said Laurie E. Locascio, Under Secretary of Commerce for Standards and Technology and director of the National Institute of Standards and Technology (NIST). 国立標準技術研究所(NIST)のローリー・E・ロカシオ商務次官(標準技術担当)は、次のように述べた。「AI安全研究所とEUのAI事務局との今回の対話は、安全で信頼できるAIを国際的に推進するため、両機関の専門家による最新の科学的アプローチと技術の交換を促進するという、両機関のパートナーシップの強みを浮き彫りにするものである。」
“Our EU-US cooperation strengthens our mutual trust and paves the way for an international network among key partners for a truly global impact on trustworthy AI for societal good,” said Roberto Viola, Director-General of the European Commission’s Directorate-General for Communications Networks, Content and Technology (DG Connect). 欧州委員会の通信ネットワーク・コンテンツ・技術総局(コネクト総局)のロベルト・ヴィオラ総局長は、次のように述べた。「我々のEUと米国の協力は、相互の信頼を強化し、社会のために信頼できるAIを真に世界的な規模で普及させるための主要パートナー間の国際的なネットワークへの道を開くものである」。

 

 

European Commission - European AI Office

・2024.07.12 U.S. AI Safety Institute and European AI Office Technical Dialogue

 

1_20240717161601

 

| | Comments (0)

2024.07.17

米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

こんにちは、丸山満彦です。

NISTが、SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3と、NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズを公表していますね...

● NIST- ITL 

プレス...

・2024.07.15 Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78

Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78 個人アイデンティティ検証(PIV)インタフェース、暗号アルゴリズム、および鍵サイズ: NIST は SP 800-73 および SP 800-78 を改訂する。
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) credentials, including those on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201. 2022 年 1 月、NIST は、PIV カード上のものを含む個人識別検証(PIV)クレデンシャルの使 用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂された。
SP 800-73-5: Parts 1–3  SP 800-73-5: パート 1-3 
SP 800-73-5: Parts 1–3, Interfaces for Personal Identity Verification, describe the technical specifications for using PIV Cards. The three parts cover the PIV data model (Part 1), the card edge interface (Part 2), and the application programming interface (Part 3). Major changes to the documents include:  SP 800-73-5: パート1~パート3、個人アイデンティティ検証用インタフェースは、PIV カードを使用するための技術仕様 を記述している。この 3 部は、PIV データ・モデル(パート1)、カード・エッジ・インタフェース (パート2)、およびアプリケーション・プログラミング・インタフェース(パート3) を対象としている。文書の主な変更点は以下のとおりである:
・Removal of the previously deprecated CHUID authentication mechanism ・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms ・SYM-CAK および VIS 認証メカニズムの廃止。
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for facility access applications ・施設アクセス・アプリケーション用のオプションの 1 要素セキュア・メッセージング認証 (SM-Auth)の追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms ・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Addition of an optional Cardholder identifier in the PIV Authentication Certificate to identify a PIV credential holder to their PIV credential set issued during PIV eligibility ・PIV 認証証明書にオプションのカード保持者識別子を追加して、PIV クレデンシャル保持 者を PIV 資格認定中に発行された PIV クレデンシャル・セットに識別する。
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less ・各アクティベーション方法(すなわち、PIN および OCC 試行)の連続アクティベーショ ン再試行回数を 10 回以下に制限する。
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement ・SP 800-73-5: PIV ミドルウェア仕様の第 3 部は、実装のオプションとされた。
SP 800-78-5 SP 800-78-5
SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for the cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It has been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing, including: SP 800-78-5「個人 ID 検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム(CAVP) 検証テストの要件を更新するために、以下のように修正されている:
Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’ 識別子が'00'および'03'の3TDEAアルゴリズムの廃止。
Removal of the retired RNG from CAVP PIV component testing where applicable 該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
Removal of retired FIPS 186-2 key generation from CAVP PIV component testing where applicable 該当する場合、CAVP PIV コンポーネント・テストからの引退した FIPS 186-2 鍵生成の削除。
Accommodation of the Secure Messaging Authentication key Secure Messaging 認証鍵の収容
Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031 セクション 3.1 および表 1 を更新し、2031 年から認証に使用される、少なくとも 128 ビットのセ キュリティを持つ、より強度の高い鍵を追加する。

 

 

こちらは、SP800-78-5...

・2024.07.15 NIST SP 800-78-5 Cryptographic Algorithms and Key Sizes for Personal Identity Verification

NIST SP 800-78-5 Cryptographic Algorithms and Key Sizes for Personal Identity Verification NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ
Abstract 概要
Federal Information Processing Standard 201-3 (FIPS 201-3) defines the requirements for Personal Identity Verification (PIV) life cycle activities, including identity proofing, registration, PIV Card issuance, and PIV Card usage. FIPS 201-3 also defines the structure of an identity credential that includes cryptographic keys. This document contains the technical specifications needed for the mandatory and optional cryptographic keys specified in FIPS 201-3, as well as the supporting infrastructure specified in FIPS 201-3 and the related NIST Special Publication (SP) 800-73, Interfaces for Personal Identity Verification, and SP 800-76, Biometric Specifications for Personal Identity Verification, which rely on cryptographic functions. 連邦情報処理標準 201-3(FIPS 201-3)は、身元確認、登録、PIV カード発行、および PIV カード使用を含む、個人アイデンティティ検証(PIV)のライフサイクル活動の要件を定義している。FIPS 201-3 は、暗号鍵を含む ID クレデンシャルの構造も定義している。この文書には、FIPS 201-3 で指定された必須およびオプションの暗号鍵に必要な技術仕様、ならびに FIPS 201-3 および関連する NIST 特別刊行物(SP)800-73「個人識別検証のためのインタフェース」、および SP 800-76「個人アイデンティティ検証のためのバイオメトリクス仕様」で指定されたサポート・インフラストラ クチャが含まれており、これらは暗号機能に依存している。

 

・[PDF] NIST.SP.800-78-5

20240717-64558

 

目次と図表

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 想定読者および前提
1.4. Document Overview 1.4. 文書の概要
2. Application of Cryptography in FIPS 201-3 2. FIPS 201-3 における暗号の適用
3. On-Card Cryptographic Requirements 3. オンカード暗号要件
3.1. PIV Cryptographic Keys 3.1. PIV 暗号鍵
3.2. Authentication Information Stored on the PIV Card 3.2. PIV カードに格納される認証情報
3.2.1. Specification of Digital Signatures on Authentication Information 3.2.1. 認証情報に対するデジタル署名の仕様
3.2.2. Specification of Public Keys In X.509 Certificates 3.2.2. X.509 証明書内の公開鍵の仕様
3.2.3. Specification of Message Digests in the NIST SP 800-73-4 Security Object 3.2.3. NIST SP 800-73-4 セキュリティ・オブジェクトにおけるメッセージ・ダイジェストの仕様
4. Certificate Status Information 4. 証明書ステータス情報
5. PIV Card Application Administration Keys 5. PIV カード・アプリケーション管理鍵
6. Identifiers for PIV Card Interfaces 6. PIV カード・インタフェースの識別
6.1. Key Reference Values 6.1. 鍵参照値
6.2. PIV Card Algorithm Identifiers 6.2. PIV カード・アルゴリズム識別
6.3. Algorithm Identifiers for PIV Key Types 6.3. PIV 鍵タイプのアルゴリズム識別子
7. Cryptographic Algorithm Validation Testing Requirements 7. 暗号化アルゴリズム検証テスト要件
References 参考文献
Appendix A 附属書 A
Appendix B 附属書 B
List of Symbols, Abbreviations, and Acronyms 記号、略語、頭字語のリスト
Change Log 変更履歴
List of Tables 表一覧
Table 1. Algorithm and key size requirements for PIV key types 表 1. PIV 鍵タイプのアルゴリズムおよび鍵サイズの要件
Table 2. Signature algorithm and key size requirements for PIV information 表 2. PIV 情報に対する署名アルゴリズムおよび鍵サイズ要件
Table 3. FIPS 201-3 signature algorithm object identifiers 表 3. FIPS 201-3 署名アルゴリズム・オブジェクト識別子
Table 4. Public key object identifiers for PIV key types 表 4. PIV 鍵タイプの公開鍵オブジェクト識別子
Table 5. ECC parameter object identifiers for approved curves 表 5. 承認済み曲線のECCパラメータ・オブジェクト識別子
Table 6. Hash algorithm object identifiers 表 6. ハッシュ・アルゴリズム・オブジェクト識別子
Table 7. Algorithm and key size requirements for PIV Card application administration keys 表 7. PIV カード・アプリケーション管理鍵のアルゴリズムおよび鍵サイズ要件
Table 8. Key references for PIV Key Types 表 8. PIV 鍵タイプの鍵参照
Table 9. Identifiers for supported cryptographic algorithms 表 9. サポートされる暗号アルゴリズムの識別。
Table 10. PIV Card keys: Key references and algorithms 表 10. PIV カード鍵: 鍵参照およびアルゴリズム
Table 11. Cryptographic Algorithm Validation Program (CAVP) validation requirements 表 11. 暗号アルゴリズム検証プログラム(CAVP)検証要件

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.17 米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

・2024.07.17 米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

・2023.12.16 NIST SP 800-79 Rev.3(初期公開ドラフト)PIV カードおよび派生 PIV クレデンシャル発行者の認可に関するガイドライン

・2023.09.30 NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

 

 

| | Comments (0)

米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

こんにちは、丸山満彦です。

NISTが、SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3と、NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズを公表ていますね...

● NIST- ITL 

プレス...

・2024.07.15 Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78

Personal Identity Verification (PIV) Interfaces, Cryptographic Algorithms, and Key Sizes: NIST Revises SP 800-73 and SP 800-78 個人アイデンティティ検証(PIV)インタフェース、暗号アルゴリズム、および鍵サイズ: NIST は SP 800-73 および SP 800-78 を改訂する。
In January 2022, NIST revised Federal Information Processing Standard (FIPS) 201, which establishes standards for the use of Personal Identity Verification (PIV) credentials, including those on PIV Cards. NIST Special Publication (SP) 800-73-5: Parts 1–3 and SP 800-78-5 have subsequently been revised to align with FIPS 201. 2022 年 1 月、NIST は、PIV カード上のものを含む個人アイデンティティ検証(PIV)クレデンシャルの使 用標準を確立する連邦情報処理標準(FIPS)201 を改訂した。NIST 特別刊行物(SP)800-73-5: パート 1-3 および SP 800-78-5 は、その後 FIPS 201 と整合するように改訂された。
SP 800-73-5: Parts 1–3  SP 800-73-5: パート 1-3 
SP 800-73-5: Parts 1–3, Interfaces for Personal Identity Verification, describe the technical specifications for using PIV Cards. The three parts cover the PIV data model (Part 1), the card edge interface (Part 2), and the application programming interface (Part 3). Major changes to the documents include:  SP 800-73-5: パート1~パート3、個人アイデンティティ検証用インタフェースは、PIV カードを使用するための技術仕様 を記述している。この 3 部は、PIV データ・モデル(パート1)、カード・エッジ・インタフェース (パート2)、およびアプリケーション・プログラミング・インタフェース(パート3) を対象としている。文書の主な変更点は以下のとおりである:
・Removal of the previously deprecated CHUID authentication mechanism ・以前は非推奨であった CHUID 認証メカニズムの削除。
・Deprecation of the SYM-CAK and VIS authentication mechanisms ・SYM-CAK および VIS 認証メカニズムの廃止。
・Addition of an optional 1-factor secure messaging authentication mechanism (SM-Auth) for facility access applications ・施設アクセス・アプリケーション用のオプションの 1 要素セキュア・メッセージング認証 (SM-Auth)の追加
・Additional use of the facial image biometric for general authentication via BIO and BIO-A authentication mechanisms ・BIOおよびBIO-A認証メカニズムによる一般認証への顔画像バイオメトリックの追加使用
・Addition of an optional Cardholder identifier in the PIV Authentication Certificate to identify a PIV credential holder to their PIV credential set issued during PIV eligibility ・PIV 認証証明書にオプションのカード保持者識別子を追加して、PIV クレデンシャル保持 者を PIV 資格認定中に発行された PIV クレデンシャル・セットに識別する。
・Restriction on the number of consecutive activation retries for each of the activation methods (i.e., PIN and OCC attempts) to be 10 or less ・各アクティベーション方法(すなわち、PIN および OCC 試行)の連続アクティベーショ ン再試行回数を 10 回以下に制限する。
・SP 800-73-5: Part 3 on PIV Middleware specification marked as optional to implement ・SP 800-73-5: PIV ミドルウェア仕様の第 3 部は、実装のオプションとされた。
SP 800-78-5 SP 800-78-5
SP 800-78-5, Cryptographic Algorithms and Key Sizes for Personal Identity Verification, defines the requirements for the cryptographic capability of the PIV Card and supporting systems in coordination with FIPS 201-3. It has been modified to add additional algorithm and key size requirements and to update the requirements for Cryptographic Algorithm Validation Program (CAVP) validation testing, including: SP 800-78-5「個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ」は、FIPS 201-3 と連携して、PIV カードおよび支援システムの暗号機能の要件を定義している。追加アルゴリズムおよび鍵サイズ要件を追加し、暗号化アルゴリズム検証プログラム(CAVP) 検証テストの要件を更新するために、以下のように修正されている:
Deprecation of 3TDEA algorithms with identifier ‘00’ and ‘03’ 識別子が'00'および'03'の3TDEAアルゴリズムの廃止。
Removal of the retired RNG from CAVP PIV component testing where applicable 該当する場合、CAVP PIV コンポーネント・テストから引退した RNG を削除する。
Removal of retired FIPS 186-2 key generation from CAVP PIV component testing where applicable 該当する場合、CAVP PIV コンポーネント・テストからの引退した FIPS 186-2 鍵生成の削除。
Accommodation of the Secure Messaging Authentication key Secure Messaging 認証鍵の収容
Update to Section 3.1 and Table 1 to reflect additional higher strength keys with at least 128-bit security for use in authentication beginning in 2031 セクション 3.1 および表 1 を更新し、2031 年から認証に使用される、少なくとも 128 ビットのセ キュリティを持つ、より強度の高い鍵を追加する。

 

 

こちらは、SP800-73-5...

・2024.07.15 NIST SP 800-73-5 Interfaces for Personal Identity Verification:

Part 1 – PIV Card Application Namespace, Data Model and Representation パート 1 - PIV カードアプリケーション名前空間、データモデルおよび表現
Part 2 – PIV Card Application Card Command Interface パート 2 - PIV カードアプリケーション・カード・コマンド・インタフェース
Part 3 – PIV Client Application Programming Interface パート 3 - PIV クライアント・アプリケーション・プログラミング・インターフェイス

 

Abstract 概要
FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials. It specifies that these identity credentials must be stored on a smart card and that additional common identity credentials, known as derived PIV credentials, may be issued by a federal department or agency and used when a PIV Card is not practical. This document contains the technical specifications to interface with the smart card to retrieve and use the PIV identity credentials. The specifications reflect the design goals of interoperability and PIV Card functions. The goals are addressed by specifying a PIV data model, card edge interface, and application programming interface. Moreover, this document enumerates requirements for the options and branches in international integrated circuit card standards [ISO7816]. The specifications go further by constraining interpretations of the normative standards to ease implementation, facilitate interoperability, and ensure performance in a manner tailored for PIV applications. FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義して いる。FIPS 201 は、政府全体で相互運用可能な ID クレデンシャルの要件および特性を定義する。 FIPS 201 は、これらの ID クレデンシャルがスマート・カードに格納されなければならず、派生 PIV クレデンシャルと呼ばれる追加の共通 ID クレデンシャルが連邦省庁によって発行され、PIV カードが実用的でない場合に使用される可能性があることを規定する。本文書には、PIV ID クレデンシャルを取得して使用するためにスマート・カードとインタ ーフェースする技術仕様が含まれている。この仕様は、相互運用性および PIV カード機能の設計目標を反映している。目標は、PIV データ・モデル、カード・エッジ・インタフェース、およびアプリケーショ ン・プログラミング・インタフェースを規定することで対処される。さらに、本文書は、国際集積回路カード標準[ISO7816]のオプションおよび分岐に対する要 件を列挙している。この仕様は、実装を容易にし、相互運用性を促進し、PIV アプリケーションに合わせた方法でパ フォーマンスを確保するために、標準の解釈を制約することによって、さらに進む。

 

・[PDF] NIST.SP.800-73pt1-5

20240717-64539

目次...

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Effective Date 1.3. 発効日
1.4. Audience and Assumptions 1.4. 想定読者および前提条件
1.5. Document Overview and Structure  1.5. 文書の概要と構成 
2. PIV Card Application Namespaces 2. PIV カード・アプリケーション名前空間
2.1. Namespaces of the PIV Card Application 2.1. PIV カード・アプリケーションの名前空間
2.2. PIV Card Application AID 2.2. PIV カード・アプリケーション AID
3. PIV Data Model Elements 3. PIV データ・モデル要素
3.1. Mandatory Data Elements 3.1. 必須データ要素
3.2. Conditional Data Elements 3.2. 条件付きデータ要素
3.3. Optional Data Elements 3.3. オプションのデータ要素
3.4. Inclusion of Universally Unique Identifiers (UUIDs) 3.4. 汎用一意識別子(UUID)のインクルード
3.5. Data Object Containers and Associated Access Rules and Interface Modes 3.5. データ・オブジェクト・コンテナおよび関連するアクセス・ルールとインターフェイス・モード
4. PIV Data Objects Representation 4. PIV データ・オブジェクトの表現
4.1. Data Objects Definition 4.1. データ・オブジェクト定義
4.2. OlDs and Tags of PIV Card Application Data Objects 4.2. PIV カード・アプリケーション・データ・オブジェクトの OlDs とタグ
4.3. Object Identifiers  4.3. オブジェクト識別子 
5. Data Types and Their Representation  5. データ型とその表現 
5.1. Key References 5.1. キー参照
5.2. PIV Algorithm Identifier 5.2. PIV アルゴリズム識別子
5.3. Cryptographic Mechanism Identifiers 5.3. 暗号メカニズム識別子
5.4. Secure Messaging and Authentication Using a Secure Messaging Key (SM-AUTH) 5.4. セキュア・メッセージング鍵(SM-AUTH)を使用するセキュア・メッセージングおよび認証
5.5. Virtual Contact Interface 5.5. バーチャル・コンタクト・インターフェース
5.6. Status Words 5.6. ステータスワード
References 参考文献
Appendix A. PIV Data Model  附属書A. PIV データモデル 
Appendix B. PIV Authentication Mechanisms 附属書B. PIV 認証メカニズム
Appendix C. PIV Algorithm Identifier Discovery 附属書C. PIV アルゴリズム識別子の発見
Appendix D. List of Symbols, Abbreviations, and Acronyms 附属書D. 記号、略語、および頭字語のリスト
Appendix E. Glossary 附属書E. 用語集
Appendix F. Notation 附属書F. 表記法
Appendix G. Revision History 附属書G. 改訂履歴

 

 

・[PDF] NIST.SP.800-73pt2-5

20240717-64546

 

目次...

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 想定読者および前提
1.4. Content and Organization 1.4. 内容と構成
2. Overview: Concepts and Constructs 2. 概要 概念と構成要素
2.1. Platform Requirements 2.1. プラットフォーム要件
2.2. Namespaces of the PIV Card Application 2.2. PIV カード・アプリケーションの名前空間
2.3. Card Applications 2.3. カード・アプリケーション
2.3.1. Default Selected Card Application 2.3.1. デフォルト選択カード・アプリケーション
2.4. Security Architecture 2.4. セキュリティ・アーキテクチャ
2.4.1. Access control kule 2.4.1. アクセス管理クレ
2.4.2. Security Status 2.4.2. セキュリティ・ステータス
2.4.3. Authentication of an Individual 2.4.3. 個人の認証
2.5. Current State of the PIV Card Application 2.5. PIV カード・アプリケーションの現状
3. PIV Card Application Card Command Interface 3. PIV カード・アプリケーション・カード・コマンド・インタフェース
3.1. PIV Card Application Card Commands for Data Access 3.1. データ・アクセスのための PIV カード・アプリケーション・カード・コマンド
3.1.1. SELECT Card Command  3.1.1. SELECT カード・コマンド 
3.4.2. Oll DalA Laro Command 3.4.2. Oll DalA Laro コマンド
3.2. PIV Card Application Card Commands for Authentication 3.2. 認証のための PIV カード・アプリケーション・カード・コマンド
3.2.1. VERIFY Card Command 3.2.1. VERIFY カード・コマンド
3.2.2. CHANGE REFERENCE DATA Card Command 3.2.2. CHANGE REFERENCE DATA カード・コマンド
3.2.3. REStT RETRY COUNTER Card command  3.2.3. REStT RETRY COUNTER カード・コマンド 
3.2.4. GENERAL AUTHENTICATE Card Command 3.2.4. GENERAL AUTHENTICATE カード・コマンド
3.3. PIV Card Application Card Commands for Credential Initialization and Administration 3.3. クレデンシャル初期化および管理のための PIV カードアプリケーションカードコマンド
3.3.1. PUT DATA Card Command  3.3.1. PUT DATA カード・コマンド 
3.3.2. GENERATE ASYMMETRIC KEY PAIR Card Command 3.3.2. GENERATE ASYMETRIC KEY PAIR カード・コマンド
4. Secure Messaging 4. セキュア・メッセージング
4.1. Key Establishment Protocol, 4.1. 鍵確立プロトコル
4.1.1. Client Application Steps 4.1.1. クライアント・アプリケーションの手順
4.1.2. PIV Card Application Protocol Steps 4.1.2. PIV カード・アプリケーション・プロトコル・ステップ
4.1.3. Notations 4.1.3. 表記
4.1.4. Cipher Suite 4.1.4. 暗号スイート
4.1.5. Card Verifiable Certificate  4.1.5. カード検証可能証明書 
4.1.6. Key Derivation  4.1.6. 鍵の導出 
4.1.7. Key Confirmation 4.1.7. 鍵の確認
4.1.8. Command Interface 4.1.8. コマンド・インターフェース
4.2. Secure Messaging 4.2. セキュア・メッセージング
4.2.1. Secure Messaging Data Objects 4.2.1. セキュア・メッセージング・データ・オブジェクト
4.2.2. Command and Response Data Confidentiality 4.2.2. コマンドとレスポンス・データの機密性
4.2.3. Command Integrity 4.2.3. コマンドの完全性
4.2.4. Command With PIV Secure Messaging 4.2.4. PIV セキュア・メッセージングを使用したコマンド
4.2.5. Response Integrity 4.2.5. 応答の完全性
4.2.6. Response With PIV Secure Messaging 4.2.6. PIV セキュア・メッセージングを使用した応答
4.2.7. Error Handling 4.2.7. エラー処理
4.3. Session Key Destruction 4.3. セッション鍵の破棄
References 参考文献
Appendix A. Examples of the Use of the GENERAL AUTHENTICATE Command 附属書A. GENERAL AUTHENTICATEコマンドの使用例
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary 附属書C.用語集
Appendix D. Notation 附属書D.表記

 

 

・[PDF] NIST.SP.800-73pt3-5

20240717-64552

 

目次...

1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience and Assumptions 1.3. 想定読者および前提
1.4. Content and Organization 1.4. 内容と構成
2. Overview: Concepts and Constructs 2. 概要 概念と構成要素
3. Client Application Programming Interface 3. クライアント・アプリケーション・プログラミング・インターフェイス
3.1. Entry Points for Communication  3.1. コミュニケーションのエントリーポイント 
3.2. Entry Points for Data Access 3.2. データアクセスのエントリーポイント
3.3. Entry Points for Cryptographic Operations 3.3. 暗号操作のエントリーポイント
3.4. Entry Points for Credential Initialization and Administration 3.4. クレデンシャルの初期化および管理のエントリポイント
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A. 記号、略語、および頭字語のリスト 
Appendix B. Glossary 附属書B. 用語集
Appendix C. Notation 附属書C. 表記法

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.17 米国 NIST SP 800-78-5 個人アイデンティティ検証のための暗号アルゴリズムおよび鍵サイズ

・2024.07.17 米国 NIST SP 800-73-5 個人アイデンティティ検証用インタフェース Part1-3

・2023.12.16 NIST SP 800-79 Rev.3(初期公開ドラフト)PIV カードおよび派生 PIV クレデンシャル発行者の認可に関するガイドライン

・2023.09.30 NIST SP 800-73-5(初期公開ドラフト) 個人 ID 検証のためのインタフェース:パート 1 - PIV データ・モデル、パート 2 - カード・エッジ・インタフェース、パート 3 - アプリケーション・プログラミング・ インタフェース

・2023.09.30 NIST SP 800-78-5(初期公開ドラフト) 個人識別検証の暗号アルゴリズムおよび鍵サイズ

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

 

| | Comments (0)

2024.07.16

EU 2024.07.12にAI法がEU官報に掲載された

こんにちは、丸山満彦です。

AI法の学者からちゃんと官報を見なさいといわれたことがあるので...

AI法は、 2024.07.12に官報に掲載され、20日後、2024.08.01に拘束力を持つ法律となるということですかね...

 

EUR-LEX

・2024.07.12 Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)Text with EEA relevance.

 

各国言語によるHTML、PDF版があります...

PDFよりもHTMLのほうが読みやすいですよね...

 

英語のHTML版...

英語のPDF版...

20240716-65629

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

 

| | Comments (0)

より以前の記事一覧