個人情報保護 / プライバシー

2023.11.28

米国 CISA 英国 NCSC 安全なAIシステム開発のための共同ガイドライン

こんにちは、丸山満彦です。

どうも、AIに関しては日本の出る幕はほとんどないのかもしれませんね。。。

 

CISA

・2023.11.26 DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development

 

NCSC

・2023.11.27 UK and US develop new global guidelines for AI security

 

ドイツのBSIもプレスしていますね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2023.11.27 Internationale Cybersicherheitsbehörden veröffentlichen Leitfaden zur Entwicklung sicherer KI-Systeme

 

日本のNISCもプレスしていますね。。。

内閣官房サイバーセキュリティセンター (NISC)

報道発表

・2023.11.28 [PDF] セキュア AI システム開発ガイドラインについて

仮訳

・2023.11.28 [PDF] セキュアな AI システム開発のためのガイドライン

 

 

ガイダンス

・[PDF]

20231128-61347

Guidelines for secure AI system development

 

Guidelines for secure AI system development 安全なAIシステム開発のためのガイドライン
Introduction はじめに
Guidelines  ガイドライン
 Secure design  セキュアな設計
 Secure development  セキュアな開発
 Secure deployment  セキュアな実装
 Secure operation and maintenance  安全な運用と保守
Further reading さらに読む
About this document この文書について

 

参考

NCSC

Secure development and deployment guidance

 

NIST

Secure Software Development Framework SSDF

 

CISA

Secure by Design

 

 

 


 

CISA

・2023.11.26 DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development

DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development DHS CISAと英国NCSC、安全なAIシステム開発のための共同ガイドラインを発表
WASHINGTON – Taking a significant step forward in addressing the intersection of artificial intelligence (AI) and cybersecurity, the U.S. Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) and the United Kingdom’s National Cyber Security Centre (NCSC) today jointly released Guidelines for Secure AI System Development to help developers of any systems that use AI make informed cybersecurity decisions at every stage of the development process.  The guidelines were formulated in cooperation with 21 other agencies and ministries from across the world – including all members of the Group of 7 major industrial economies -- and are the first of their kind to be agreed to globally. ワシントン発 - 人工知能(AI)とサイバーセキュリティの接点に取り組む上で重要な一歩を踏み出した米国国土安全保障省(DHS)のサイバーセキュリティ・インフラ・セキュリティ局(CISA)と英国国家サイバーセキュリティセンター(NCSC)は本日、AIを利用するあらゆるシステムの開発者が開発プロセスの各段階で十分な情報に基づいたサイバーセキュリティ上の意思決定を行えるよう、「安全なAIシステム開発のためのガイドライン」を共同で発表した。 このガイドラインは、主要先進7カ国(G7)加盟国を含む世界21の省庁との協力により策定されたもので、世界的に合意された初めてのものである。
“We are at an inflection point in the development of artificial intelligence, which may well be the most consequential technology of our time. Cybersecurity is key to building AI systems that are safe, secure, and trustworthy,” said Secretary of Homeland Security Alejandro N. Mayorkas.  “The guidelines jointly issued today by CISA, NCSC, and our other international partners, provide a commonsense path to designing, developing, deploying, and operating AI with cybersecurity at its core. By integrating ‘secure by design’ principles, these guidelines represent an historic agreement that developers must invest in, protecting customers at each step of a system’s design and development.  Through global action like these guidelines, we can lead the world in harnessing the benefits while addressing the potential harms of this pioneering technology.” 「人工知能は、現代において最も重要な技術かもしれない。安全、安心、信頼できるAIシステムを構築するためには、サイバーセキュリティが鍵となる」と国土安全保障省のアレハンドロ・N・マヨルカス長官は述べた。 「CISA、NCSC、その他の国際的パートナーが本日共同で発表したガイドラインは、サイバーセキュリティを核としたAIの設計、開発、導入、運用に向けた常識的な道筋を示すものだ。セキュア・バイ・デザイン』の原則を統合することで、これらのガイドラインは、システムの設計と開発の各段階で顧客を保護し、開発者が投資しなければならない歴史的な合意を示すものだ。 このガイドラインのようなグローバルな行動を通じて、我々は、この先駆的な技術の潜在的な害に対処しながら、その利点を活用することで世界をリードすることができる。
The guidelines provide essential recommendations for AI system development and emphasize the importance of adhering to Secure by Design principles that CISA has long championed. このガイドラインは、AIシステム開発に不可欠な推奨事項を提供し、CISAが長年支持してきたセキュア・バイ・デザインの原則を遵守することの重要性を強調している。
“The release of the Guidelines for Secure AI System Development marks a key milestone in our collective commitment—by governments across the world—to ensure the development and deployment of artificial intelligence capabilities that are secure by design,” said CISA Director Jen Easterly. “As nations and organizations embrace the transformative power of AI, this international collaboration, led by CISA and NCSC, underscores the global dedication to fostering transparency, accountability, and secure practices. The domestic and international unity in advancing secure by design principles and cultivating a resilient foundation for the safe development of AI systems worldwide could not come at a more important time in our shared technology revolution. This joint effort reaffirms our mission to protect critical infrastructure and reinforces the importance of international partnership in securing our digital future.” 「セキュアなAIシステム開発のためのガイドラインのリリースは、セキュア・バイ・デザインである人工知能機能の開発と配備を確実にするために、世界中の政府が一丸となって取り組む重要なマイルストーンとなる」と、CISAディレクターのジェン・イースタリーは述べた。「CISAとNCSCが主導するこの国際協力は、透明性、説明責任、安全な実践を促進するための世界的な取り組みを強調するものだ。セキュア・バイ・デザインの原則を推進し、世界中でAIシステムを安全に開発するための強靭な基盤を培うという国内外での団結は、われわれが共有する技術革命においてこれ以上重要な時期はない。この共同努力は、重要インフラを保護するという我々の使命を再確認し、デジタルの未来の安全確保における国際的パートナーシップの重要性を強化するものである。"
The guidelines are broken down into four key areas within the AI system development lifecycle: secure design, secure development, secure deployment, and secure operation and maintenance.  Each section highlights considerations and mitigations that will help reduce the cybersecurity risk to an organizational AI system development process. ガイドラインは、AIシステム開発のライフサイクルの中で、セキュアな設計、セキュアな開発、セキュアな配備、セキュアな運用と保守という4つの主要分野に分かれている。 各セクションは、組織のAIシステム開発プロセスにおけるサイバーセキュリティ・リスクを軽減するのに役立つ考慮事項と緩和策を強調している。
“We know that AI is developing at a phenomenal pace and there is a need for concerted international action, across governments and industry, to keep up,” said NCSC CEO Lindy Cameron. “These Guidelines mark a significant step in shaping a truly global, common understanding of the cyber risks and mitigation strategies around AI to ensure that security is not a postscript to development but a core requirement throughout. I’m proud that the NCSC is leading crucial efforts to raise the AI cyber security bar: a more secure global cyber space will help us all to safely and confidently realize this technology’s wonderful opportunities.” 「NCSCのリンディ・キャメロン最高経営責任者(CEO)は、「我々は、AIが驚異的なスピードで発展していることを知っている。「このガイドラインは、AIにまつわるサイバーリスクと緩和策について、真にグローバルで共通の理解を形成する上で重要な一歩であり、セキュリティが開発の後付けではなく、全体を通して中核的な要件となることを保証するものである。私は、NCSCがAIのサイバーセキュリティの水準を高める重要な取り組みを主導していることを誇りに思う。"より安全なグローバルなサイバー空間は、私たち全員がこの技術の素晴らしい機会を安全かつ自信を持って実現するのに役立つだろう。
“I believe the UK is an international standard bearer on the safe use of AI,” said UK Secretary of State for Science, Innovation and Technology Michelle Donelan. “The NCSC’s publication of these new guidelines will put cyber security at the heart of AI development at every stage so protecting against risk is considered throughout.” 「ミシェル・ドネラン英国科学・イノベーション・技術担当国務長官は、「英国はAIの安全な利用に関する国際的な旗手であると信じている。「NCSCがこの新しいガイドラインを発表したことで、AI開発のあらゆる段階でサイバーセキュリティが中心に据えられ、リスクからの保護が全体を通して考慮されることになる。
These guidelines are the latest effort across the U.S.’s body of work supporting safe and secure AI technology development and deployment. In October, President Biden issued an Executive Order that directed DHS to promote the adoption of AI safety standards globally, protect U.S. networks and critical infrastructure, reduce the risks that AI can be used to create weapons of mass destruction, combat AI-related intellectual property theft, and help the United States attract and retain skilled talent, among other missions.  このガイドラインは、安全でセキュアなAI技術の開発と展開を支援する米国の一連の取り組みの中でも最新のものである。バイデン大統領は10月、DHSに対し、AI安全基準の世界的な普及促進、米国のネットワークと重要インフラの保護、AIが大量破壊兵器の製造に使用されるリスクの低減、AI関連の知的財産の窃盗との闘い、米国が熟練した人材を惹きつけ、維持するための支援などを指示する大統領令を発布した。
Earlier this month, CISA released its Roadmap for Artificial Intelligence, a whole-of-agency plan aligned with national strategy to address our efforts to promote the beneficial uses of AI to enhance cybersecurity capabilities, ensure AI systems are protected from cyber-based threats, and deter the malicious use of AI capabilities to threaten the critical infrastructure Americans rely on every day. Learn more about CISA’s AI work. 今月初め、CISAは「人工知能のためのロードマップ」を発表した。これは、国家戦略に沿った全省庁的な計画で、AIの有益な利用を促進してサイバーセキュリティ能力を強化し、AIシステムをサイバーベースの脅威から確実に保護し、米国人が日々依存している重要インフラを脅かすAI能力の悪意ある利用を抑止するための取り組みに取り組むものである。CISAのAI活動の詳細はこちら。

 

 


 

NCSC

・2023.11.27 UK and US develop new global guidelines for AI security

UK and US develop new global guidelines for AI security 英米がAIセキュリティの新グローバルガイドラインを策定
New guidelines for secure AI system development will help developers of any systems that use AI make informed cyber security decisions at every stage of the development process. 安全なAIシステム開発のための新ガイドラインは、AIを使用するあらゆるシステムの開発者が、開発プロセスの各段階において、十分な情報に基づいたサイバーセキュリティ上の意思決定を行うことを支援する。
・Agencies from 18 countries, including the US, endorse new UK-developed guidelines on AI cyber security ・米国を含む18カ国の機関が、英国が開発したAIのサイバーセキュリティに関する新ガイドラインを承認した。
・Guidelines for Secure AI System Development, led by GCHQ’s National Cyber Security Centre and developed with US’s Cybersecurity and Infrastructure Security Agency, build on AI Safety Summit to establish global collaboration on AI ・GCHQのNational Cyber Security Centreが主導し、米国のCybersecurity and Infrastructure Security Agencyと共同で開発された「安全なAIシステム開発のためのガイドライン」は、AIに関する世界的な協力体制を確立するためのAI Safety Summitに基づくものである。
・Written in partnership with industry, guidelines advise developers on the security of AI systems ・産業界との協力により作成されたこのガイドラインは、AIシステムのセキュリティについて開発者に助言するものである。
THE UK has today (Monday) published the first global guidelines to ensure the secure development of AI technology. 英国は本日(月曜日)、AI技術の安全な開発を確保するための世界初のガイドラインを発表した。
In testament to the UK’s leadership in AI safety, agencies from 17 other countries have confirmed they will endorse and co-seal the new guidelines. 英国がAIの安全性においてリーダーシップを発揮していることの証しとして、他の17カ国の政府機関もこの新しいガイドラインを支持し、共同承認することを確認した。
The guidelines aim to raise the cyber security levels of artificial intelligence and help ensure that it is designed, developed, and deployed securely. このガイドラインは、人工知能のサイバーセキュリティレベルを向上させ、人工知能が安全に設計、開発、導入されるよう支援することを目的としている。
The Guidelines for Secure AI System Development have been developed by the UK’s National Cyber Security Centre (NCSC), a part of GCHQ, and the US’s Cybersecurity and Infrastructure Security Agency (CISA) in cooperation with industry experts and 21 other international agencies and ministries from across the world – including those from all members of the G7 group of nations and from the Global South. 安全なAIシステム開発のためのガイドラインは、GCHQの一部である英国のナショナル・サイバー・セキュリティ・センター(NCSC)と米国のサイバーセキュリティ・インフラ・セキュリティ庁(CISA)が、業界の専門家や、G7の全メンバー国やグローバル・サウスを含む世界中の21の国際機関や省庁の協力を得て策定した。
The new UK-led guidelines are the first of their kind to be agreed globally. They will help developers of any systems that use AI make informed cyber security decisions at every stage of the development process – whether those systems have been created from scratch or built on top of tools and service provided by others. 英国が主導するこの新しいガイドラインは、世界的に合意された初めてのものである。このガイドラインは、AIを使用するあらゆるシステムの開発者が、開発プロセスのあらゆる段階で、ゼロから作成されたシステムであろうと、他社が提供するツールやサービスの上に構築されたシステムであろうと、十分な情報に基づいたサイバーセキュリティ上の決定を下す助けとなる。
The guidelines help developers ensure that cyber security is both an essential pre-condition of AI system safety and integral to the development process from the outset and throughout, known as a ‘secure by design’ approach. このガイドラインは、開発者がサイバーセキュリティをAIシステムの安全性の必須条件とし、「セキュア・バイ・デザイン」アプローチとして知られる開発プロセスの最初から最後まで不可欠なものとすることを支援する。
The product will be officially launched this afternoon at an event hosted by the NCSC, at which 100 key industry, government and international partners will gather for a panel discussion on the shared challenge of securing AI. Panellists include Microsoft, the Alan Turing Institute and UK, American, Canadian, and German cyber security agencies. この製品は本日午後、NCSC主催のイベントで正式に発表される。このイベントでは、主要な産業界、政府、国際的なパートナー100社が集まり、AIの安全確保という共通の課題についてパネルディスカッションを行う。パネリストには、マイクロソフト、アラン・チューリング研究所、英国、米国、カナダ、ドイツのサイバーセキュリティ機関が含まれる。
NCSC CEO Lindy Cameron said: NCSCのリンディ・キャメロンCEOは、次のように述べた:
We know that AI is developing at a phenomenal pace and there is a need for concerted international action, across governments and industry, to keep up. 我々は、AIが驚異的なスピードで発展していることを知っており、それに遅れを取らないためには、政府と産業界が一体となった国際的な行動が必要である。
These guidelines mark a significant step in shaping a truly global, common understanding of the cyber risks and mitigation strategies around AI to ensure that security is not a postscript to development but a core requirement throughout. このガイドラインは、AIにまつわるサイバーリスクと緩和策について、真にグローバルで共通の理解を形成する上で重要な一歩となる。
I’m proud that the NCSC is leading crucial efforts to raise the AI cyber security bar: a more secure global cyber space will help us all to safely and confidently realise this technology’s wonderful opportunities. 私は、NCSCがAIサイバーセキュリティの水準を高めるための重要な取り組みを主導していることを誇りに思う。より安全なグローバル・サイバー空間は、私たち全員がこの技術の素晴らしい機会を安全かつ自信を持って実現するのに役立つだろう。
In a keynote speech at Chatham House in June, NCSC CEO Lindy Cameron warned about the perils of retrofitting security into AI systems in years to come, stressing the need to bake security into AI systems as they are developed, and not as an afterthought. 6月にチャタムハウスで行われた基調講演で、NCSCのリンディ・キャメロン最高経営責任者(CEO)は、今後数年のうちにAIシステムにセキュリティを後付けすることの危険性について警告し、後付けではなく、AIシステムを開発する際にセキュリティを組み込む必要性を強調した。
These guidelines are intended as a global, multi-stakeholder effort to address that issue, building on the UK Government’s AI Safety Summit’s legacy of sustained international cooperation on AI risks. このガイドラインは、英国政府のAI安全サミットの遺産であるAIリスクに関する持続的な国際協力に基づき、この問題に対処するためのグローバルでマルチステークホルダーな取り組みとして意図されている。
CISA Director Jen Easterly said: CISAディレクターのジェン・イースタリーは、次のように述べた:
The release of the Guidelines for Secure AI System Development marks a key milestone in our collective commitment—by governments across the world—to ensure the development and deployment of artificial intelligence capabilities that are secure by design. 安全なAIシステム開発のためのガイドラインの公表は、設計上安全な人工知能能力の開発と配備を確実にするために、世界中の政府が一丸となって取り組む重要なマイルストーンとなる。
As nations and organizations embrace the transformative power of AI, this international collaboration, led by CISA and NCSC, underscores the global dedication to fostering transparency, accountability, and secure practices. The domestic and international unity in advancing secure by design principles and cultivating a resilient foundation for the safe development of AI systems worldwide could not come at a more important time in our shared technology revolution. CISAとNCSCが主導するこの国際協力は、国家や組織がAIの変革力を受け入れる中で、透明性、説明責任、安全な実践を促進するための世界的な献身を強調するものである。セキュア・バイ・デザインの原則を推進し、世界中でAIシステムを安全に開発するための強靭な基盤を培うという国内および国際的な団結は、われわれが共有するテクノロジー革命においてこれ以上重要な時期はない。
This joint effort reaffirms our mission to protect critical infrastructure and reinforces the importance of international partnership in securing our digital future. この共同努力は、重要インフラを保護するという我々の使命を再確認し、デジタルの未来の安全確保における国際的パートナーシップの重要性を強化するものである。
Science and Technology Secretary Michelle Donelan, said: ミシェル・ドネラン科学技術長官は、次のように述べた:
I believe the UK is an international standard bearer on the safe use of AI. The NCSC's publication of these new guidelines will put cyber security at the heart of AI development at every stage so protecting against risk is considered throughout. 私は、英国がAIの安全な使用に関する国際的な旗手であると信じている。NCSCがこの新しいガイドラインを発表したことで、AI開発のあらゆる段階でサイバーセキュリティが中心に据えられ、リスクからの保護が全体を通して考慮されることになる。
Just weeks after we brought world-leaders together at Bletchley Park to reach the first international agreement on safe and responsible AI, we are once again uniting nations and companies in this truly global effort. ブレッチリー・パークで世界のリーダーたちを集め、安全で責任あるAIに関する初の国際合意に達したわずか数週間後、我々は再び、この真にグローバルな取り組みで国や企業を団結させようとしている。
In doing so, we are driving forward in our mission to harness this decade-defining technology and seize its potential to transform our NHS, revolutionise our public services and create the new, high-skilled, high-paid jobs of the future. そうすることで、我々は、この10年を定義する技術を活用し、NHSを変革し、公共サービスに革命をもたらし、未来の新しい高スキルで高賃金の雇用を創出する可能性をつかむという使命を推進している。
Secretary of Homeland Security Alejandro Mayorkas said: アレハンドロ・マヨルカス国土安全保障長官は、次のように述べた:
We are at an inflection point in the development of artificial intelligence, which may well be the most consequential technology of our time. Cyber security is key to building AI systems that are safe, secure, and trustworthy. 人工知能は、我々の時代において最も重要な技術になるかもしれない。サイバーセキュリティは、安全、安心、信頼できるAIシステムを構築するための鍵となる。
The guidelines jointly issued today by CISA, NCSC, and our other international partners, provide a common sense path to designing, developing, deploying, and operating AI with cyber security at its core. By integrating ‘secure by design’ principles, these guidelines represent an historic agreement that developers must invest in, protecting customers at each step of a system’s design and development. CISA、NCSC、その他の国際的パートナーが本日共同で発表したガイドラインは、サイバーセキュリティを核としたAIの設計、開発、配備、運用への常識的な道筋を示すものである。セキュア・バイ・デザイン」の原則を統合することで、これらのガイドラインは、システムの設計と開発の各段階で顧客を保護し、開発者が投資しなければならない歴史的な合意を示すものである。
Through global action like these guidelines, we can lead the world in harnessing the benefits while addressing the potential harms of this pioneering technology. このガイドラインのような世界的な行動を通じて、我々は、この先駆的な技術の潜在的な害に対処しつつ、その利点を活用することで世界をリードすることができる。
The guidelines are broken down into four key areas – secure design, secure development, secure deployment, and secure operation and maintenance – complete with suggested behaviours to help improve security. このガイドラインは、セキュアな設計、セキュアな開発、セキュアな配備、セキュアな運用と保守という4つの主要分野に分けられ、セキュリティーを向上させるための推奨行動も示されている。
The guidelines can be accessed on the NCSC website, alongside a blog later in the day (Monday) from key NCSC officials who worked on the product. ガイドラインは、NCSCのウェブサイトからアクセスでき、後日(月曜日)、この製品に携わったNCSCの主要関係者によるブログも掲載される。
A full list of international signatories is below: 国際署名者のリストは以下の通り:
Australia – Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) オーストラリア-オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ACSC)
Canada – Canadian Centre for Cyber Security (CCCS)  カナダ - カナダ・サイバーセキュリティセンター(CCCS) 
Chile - Chile’s Government CSIRT チリ - チリ政府CSIRT
Czechia - Czechia’s National Cyber and Information Security Agency (NUKIB) チェコ - チェコ国家サイバー情報セキュリティ庁(NUKIB)
Estonia - Information System Authority of Estonia (RIA) and National Cyber Security Centre of Estonia (NCSC-EE) エストニア - エストニア情報システム局(RIA)およびエストニア国家サイバーセキュリティセンター(NCSC-EE)
France - French Cybersecurity Agency (ANSSI) フランス - フランス・サイバーセキュリティ庁(ANSSI)
Germany - Germany’s Federal Office for Information Security (BSI) ドイツ - ドイツ連邦情報セキュリティ局(BSI)
Israel - Israeli National Cyber Directorate (INCD) イスラエル - イスラエル国家サイバー総局(INCD)
Italy - Italian National Cybersecurity Agency (ACN) イタリア - イタリア国家サイバーセキュリティ局(ACN)
Japan - Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC; Japan’s Secretariat of Science, Technology and Innovation Policy, Cabinet Office 日本 - サイバーセキュリティ総合対策センター(NISC、内閣府総合科学技術・イノベーション推進事務局
New Zealand - New Zealand National Cyber Security Centre ニュージーランド - ニュージーランド国家サイバーセキュリティセンター
Nigeria - Nigeria’s National Information Technology Development Agency (NITDA) ナイジェリア - ナイジェリア国家情報技術開発庁(NITDA)
Norway - Norwegian National Cyber Security Centre (NCSC-NO) ノルウェー - ノルウェー国家サイバーセキュリティセンター(NCSC-NO)
Poland - Poland’s NASK National Research Institute (NASK) ポーランド - ポーランド国立研究所(NASK)
Republic of Korea - Republic of Korea National Intelligence Service (NIS) 韓国 - 韓国国家情報院(NIS)
Singapore - Cyber Security Agency of Singapore (CSA) シンガポール - シンガポール・サイバーセキュリティ庁(CSA)
United Kingdom of Great Britain and Northern Ireland – National Cyber Security Centre (NCSC) グレートブリテンおよび北アイルランド連合王国 - 国家サイバーセキュリティセンター(NCSC)
United States of America – Cybersecurity and Infrastructure Agency (CISA); National Security Agency (NSA; Federal Bureau of Investigations (FBI) アメリカ合衆国 - サイバーセキュリティ・インフラストラクチャ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.11.21 EDPS 説明可能な人工知能

・2023.11.17 米国 連邦CIO室 意見募集 政府機関における人工知能活用のためのガバナンス、イノベーション、リスクマネジメントの推進 (2023.11.01)

・2023.11.07 OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

・2023.11.07 EDPS AI法に関するEDPS最終提言 (2023.10.24)

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.10.31 外務省 G7 広島AIプロセスに関するG7首脳声明

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.30 中国 グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.10.30 経団連 AI活用戦略Ⅱ -わが国のAI-Powered化に向けて- (2023.10.17)

・2023.10.25 インド AIに関する専門家の報告書「インディアAI 2023」を公表 (2023.10.14)

| | Comments (0)

2023.11.26

英国 AI規制法案 上院で審議開始

こんにちは、丸山満彦です。

AI規制法案が上院のリッチモンド・ホームズ卿 [web][web][X][wikipedia]がスポンサーになって議案と上がっていて、上院で第2回の読み合わせがおわっていますね。。。ということでまだまだですが、参考までに。。。

リッチモンド・ホームズ卿(男爵)は遺伝病で失明したパラリンピック金メダリストなんですね。。。

引退後は、弁護士を務め、その後議員となり、金融関連の法案を提出したりしているようですね。。。

さて、法案...

EUのAI法案とは雰囲気が違いますね。。。

 

・AIを統合的に規制する官庁をつくり、そこで総合的な調整をすることを想定しているようですね。。。

規制は、AI規制庁、AIを開発・運用する企業

まずは、AI規制庁

(1) The AI Authority must have regard to the principles that—  (1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—  (a) AIに対する規制は,以下を実現すべきである。
(i) safety, security and robustness;  (i) 安全,セキュリティ及び堅牢性 
(ii) appropriate transparency and explainability;  (ii) 適切な透明性と説明可能性 
(iii) fairness;  (iii) 公平性 
(iv) accountability and governance; (iv) 説明責任とガバナンス
(v) contestability and redress;  (v) 競争可能性と救済 

企業に対しては...

(b) any business which develops, deploys or uses AI should—  (b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;  (i) 透明性を確保する; 
(ii) test it thoroughly and transparently;  (ii) 徹底的かつ透明性をもってテストする; 
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;  (iii) データ保護、プライバシー、知的財産を含む適用法を遵守する; 

 

そしてAIについての監査も含まれていますね。。。

おそらくISO的な監査を想定しているのだろうと思います。

 

これは通るかどうかわからないので、参考まで。。。

 

ということで、

UK Parliament

・2023.11.23 Artificial Intelligence (Regulation) Bill [HL]

・[PDF]

20231125-65654_20231126063001

・[HTML]

 

 

目次...

1 The AI Authority  1 AI規制庁
2 Regulatory principles  2 規制の原則 
3 Regulatory sandboxes  3 規制のサンドボックス 
4 AI responsible officers  4 AI責任者 
5 Transparency, IP obligations and labelling  5 透明性、知的財産義務、ラベリング 
6 Public engagement  6 公的関与 
7 Interpretation  7 解釈 
8 Regulations  8 規則 
9 Extent, commencement and short title  9 範囲、開始および略称 

 

 

 

Artificial Intelligence (Regulation) Bill [HL]  人工知能(規制)法案[HL] 
CONTENTS  目次 
1 The AI Authority  1 AI規制庁
2 Regulatory principles  2 規制の原則 
3 Regulatory sandboxes  3 規制のサンドボックス 
4 AI responsible officers  4 AI責任者 
5 Transparency, IP obligations and labelling  5 透明性、知的財産義務、ラベリング 
6 Public engagement  6 公的関与 
7 Interpretation  7 解釈 
8 Regulations  8 規則 
9 Extent, commencement and short title  9 範囲、開始および略称 
   
A BILL TO 以下の法案を提出する。
Make provision for the regulation of artificial intelligence; and for connected purposes.  人工知能の規制に関する規定、およびそれに関連する目的を定める。
BE IT ENACTED by the King’s most Excellent Majesty, by and with the advice and consent of the Lords Spiritual and Temporal, and Commons, in this present Parliament assembled, and by the authority of the same, as follows:—  国王陛下は、本国会において、霊的・時間的諸侯およびコモンズの助言と同意を得て、またその権限により、以下のとおり制定される。
1  The AI Authority  1 AI規制庁
(1) The Secretary of State must by regulations make provision to create a body called the AI Authority.  (1) 閣内大臣は、規則により、AI規制庁と呼ばれる機関を設置する規定を設けなければならない。
(2) The functions of the AI Authority are to—  (2) AI規制庁の機能は以下のとおりである。
(a) ensure that relevant regulators take account of AI;  (a) 関連する規制当局がAIを考慮することを確保する; 
(b) ensure alignment of approach across relevant regulators in respect of AI;  (b) AIに関して、関連規制当局間のアプローチの整合性を確保する; 
(c) undertake a gap analysis of regulatory responsibilities in respect of AI;  (c) AIに関する規制当局の責任のギャップ分析を行う; 
(d) coordinate a review of relevant legislation, including product safety, privacy and consumer protection, to assess its suitability to address the challenges and opportunities presented by AI;  (d) AIがもたらす課題と機会に対処するための適切性を評価するため、製品安全、プライバシー、消費者保護を含む関連法令の見直しを調整する; 
(e) monitor and evaluate the overall regulatory framework’s effectiveness and the implementation of the principles in section 2, including the extent to which they support innovation;  (e) 規制の枠組み全体の有効性と、イノベーションを支援する程度を含む第2項の原則の実施状況を監視・評価する; 
(f) assess and monitor risks across the economy arising from AI;  (f) AIから生じる経済全体のリスクを評価・監視する; 
(g) conduct horizon-scanning, including by consulting the AI industry, to inform a coherent response to emerging AI technology trends;  (g) 新たなAI技術動向への首尾一貫した対応を知らせるため、AI業界との協議を含め、ホライズンスキャンニングを実施する; 
(h) support testbeds and sandbox initiatives (see section 3) to help AI innovators get new technologies to market;  (h) AIイノベーターが新技術を市場に投入するのを支援するため、テストベッドとサンドボックス・イニシアチブ(第3項参照)を支援する; 
(i) accredit independent AI auditors (see section 5(1)(a)(iv));  (i) 独立したAI監査人を認定する(第5節(1)(a)(iv)参照); 
(j) provide education and awareness to give clarity to businesses and to empower individuals to express views as part of the iteration of the framework;  (j) 枠組みの反復の一環として、企業に明確性を与え、個人が意見を表明できるようにするための教育と認識を提供する; 
(k) promote interoperability with international regulatory frameworks.  (k) 国際的な規制の枠組みとの相互運用性を促進する。
(3) The Secretary of State may by regulations amend the functions in subsection (2), and may dissolve the AI Authority, following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、規則により(2)項の機能を修正することができ、また、適切と考える者との協議の後、AI規制庁を解散することができる。
2  Regulatory principles  2 規制原則 
(1) The AI Authority must have regard to the principles that—  (1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—  (a) AIに対する規制は,以下を実現すべきである。
(i) safety, security and robustness;  (i) 安全,セキュリティ及び堅牢性 
(ii) appropriate transparency and explainability;  (ii) 適切な透明性と説明可能性 
(iii) fairness;  (iii) 公平性 
(iv) accountability and governance; (iv) 説明責任とガバナンス
(v) contestability and redress;  (v) 競争可能性と救済 
(b) any business which develops, deploys or uses AI should—  (b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;  (i) 透明性を確保する; 
(ii) test it thoroughly and transparently;  (ii) 徹底的かつ透明性をもってテストする; 
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;  (iii) データ保護、プライバシー、知的財産を含む適用法を遵守する; 
(c) AI and its applications should—  (c) AIとその応用は以下のようにすべきである。
(i) comply with equalities legislation;  (i) 平等法を遵守する; 
(ii) be inclusive by design;  (ii) 設計上、包括的であること; 
(iii) be designed so as neither to discriminate unlawfully among individuals nor, so far as reasonably practicable, to perpetuate unlawful discrimination arising in input data;  (iii) 個人間で違法な差別をしないように、また、合理的に実行可能な限り、入力データに起因する違法な差別を永続させないように設計する; 
(iv) meet the needs of those from lower socio-economic groups, older people and disabled people;  (iv) 社会経済的低所得者層、高齢者、障害者のニーズを満たす; 
(v) generate data that are findable, accessible, interoperable and  reusable;  (v) 検索可能、アクセス可能、相互運用可能、再利用可能なデータを生成すること; 
(d) a burden or restriction which is imposed on a person, or on the carrying on of an activity, in respect of AI should be proportionate to the benefits, taking into consideration the nature of the service or product being delivered, the nature of risk to consumers and others, whether the cost of implementation is proportionate to that level of risk and whether the burden or restriction enhances UK international competitiveness.  (d) AIに関して個人または活動の実施に課される負担または制限は、提供されるサービスまたは製品の性質、消費者等に対するリスクの性質、実施コストがそのリスクの程度に見合うかどうか、負担または制限が英国の国際競争力を高めるかどうかを考慮し、便益に見合うものでなければならない。
(2) The Secretary of State may by regulations amend the principles in subsection (1), following consultation with such persons as he or she considers appropriate.  (2) 閣内大臣は、適切と考える関係者との協議を経て、規則により(1)の原則を修正することができる。
3  Regulatory sandboxes  3 規制のサンドボックス 
(1) The AI Authority must collaborate with relevant regulators to construct regulatory sandboxes for AI.  (1) AI規制庁は、AIに関する規制のサンドボックスを構築するために、関連する規制当局と協力しなければならない。
(2) In this section a “regulatory sandbox” is an arrangement by one or more regulators which—  (2) 本条において「規制のサンドボックス」とは、1つ以上の規制当局による以下のような取り決めをいう。
(a) allows businesses to test innovative propositions in the market with real consumers;  (a) 事業者が実際の消費者とともに革新的な提案を市場でテストすることを可能にする; 
(b) is open to authorised firms, unauthorised firms that require authorisation and technology firms partnering with, or providing services to, UK firms doing regulated activities;  (b) 認可企業、認可を必要とする未認可企業、規制対象活動を行う英国企業と提携する、または英国企業にサービスを提供するテクノロジー企業に開放される; 
(c) provides firms with support in identifying appropriate consumer protection safeguards;  (c) 適切な消費者保護セーフガードを特定するための支援を企業に提供する; 
(d) requires tests to have a clear objective and to be conducted on a small scale;  (d) 明確な目的を持ち、小規模で実施される試験を要求する; 
(e) requires firms which want to test products or services which are regulated activities to be authorised by or registered with the relevant regulator before starting the test.  (e) 規制対象活動である製品またはサービスのテストを希望する企業に対し、テスト開始前に、関連する規制当局の認可または登録を受けることを求める。
(3) The Secretary of State may by regulations amend the description in subsection (2), following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、適切と考える者との協議に基づき、規則により(2)の記述を修正することができる。
4  AI responsible officers  4 AI 責任者 
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that any business which develops, deploys or uses AI must have a designated AI officer, with duties—  (1) 閣内大臣は,AI規制庁及び長官が適切と考えるその他の者と協議した後,規則により,AIを開発,配備又は使用する事業者は,次の職務を有する指名されたAI責任者を置かなければならないことを規定しなければならない。
(a) to ensure the safe, ethical, unbiased and non-discriminatory use of AI by the business;  (a) 事業者によるAIの安全、倫理的、公平かつ非差別的な利用を確保すること; 
(b) to ensure, so far as reasonably practicable, that data used by the business in any AI technology is unbiased (see section 2(1)(c)(iii)).  (b) 合理的に実行可能な限り、事業者がAI技術で使用するデータが偏りのないものであることを保証すること(第2条(1)(c)(iii)参照)。
(2) In the Companies Act 2006, section 414C(7)(b), after paragraph (iii) insert—  (2) 2006年会社法第414C条(7)(b)において、(iii)項の後に以下を挿入する。
“(iv) any development, deployment or use of AI by the company, and the name and activities of the AI officer designated under the Artificial Intelligence (Regulation) Act 2024,”.  「(iv)会社によるAIの開発、展開または使用、ならびに2024年人工知能(規制)法に基づいて指定されたAI担当官の氏名および活動」。
(3) The Secretary of State may by regulations amend the duties in subsection (1) and the text inserted by section (2), following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、適切と考える者との協議を経て、規則により、第(1)項の義務及び第(2)項により挿入された文章を修正することができる。
5  Transparency, IP obligations and labelling  5 透明性、知的財産義務およびラベリング
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that—   (1) 閣内大臣は、AI機関及びその他適切と考える者と協議した後、規則により以下の事項を規定しなければならない。 
(a)  any person involved in training AI must—  (a) AIの訓練に関与する者は、以下のことを行わなければならない。
(i) supply to the AI Authority a record of all third-party data and intellectual property (“IP”) used in that training; and  (i) 当該訓練において使用された全ての第三者のデータ及び知的財産(「IP」)の記録をAI規制庁に提出すること。
(ii) assure the AI Authority that—  (ii) AI規制庁に対し、以下を保証すること。
(A)  they use all such data and IP by informed consent;  and  (A) インフォームド・コンセントに基づき、当該データおよび知的財産を全て使用すること。
(B)  they comply with all applicable IP and copyright obligations;  (B) 適用されるすべての知的財産および著作権の義務を遵守すること; 
(iii) any person supplying a product or service involving AI must give customers clear and unambiguous health warnings, labelling and opportunities to give or withhold informed consent in advance; and  (iii) AIを含む製品又はサービスを供給する者は、顧客に対し、明確かつ曖昧さのない健康上の警告、表示、及びインフォームド・コンセントを事前に与える又は保留する機会を与えなければならない。
(iv) any business which develops, deploys or uses AI must allow independent third parties accredited by the AI Authority to audit its processes and systems.  (iv) AIを開発、配備又は使用する事業者は、AI規制庁の認定を受けた独立した第三者がそのプロセス及びシステムを監査することを認めなければならない。
(2) Regulations under this section may provide for informed consent to be express (opt-in) or implied (opt-out) and may make different provision for different cases.  (2) 本条に基づく規則は、インフォームド・コンセントが明示的(オプトイン)又は黙示的(オプトアウト)であることを規定することができ、異なるケースについて異なる規定を設けることができる。
6  Public engagement  6 公的関与 
The AI Authority must—  AI規制庁は,次のことを行わなければならない。
(a) implement a programme for meaningful, long-term public engagement about the opportunities and risks presented by AI; and  (a) AIがもたらす機会とリスクについて,有意義で長期的な一般市民参加のためのプログラムを実施する。
(b) consult the general public and such persons as it considers appropriate as to the most effective frameworks for public engagement, having regard to international comparators.  (b)国際的な比較対象を考慮し、一般市民及び適切と思われる者に、公的関与のための最も効果的な枠組みについて相談すること。
7  Interpretation  7 解釈 
(1) In this Act “artificial intelligence” and “AI” mean technology enabling the programming or training of a device or software to—  (1) 本法において、「人工知能」および「AI」とは、以下のことを行う装置またはソフトウェアのプログラミングまたはトレーニングを可能にする技術を意味する。
(a) perceive environments through the use of data;  (a) データを利用して環境を認識する; 
(b) interpret data using automated processing designed to approximat cognitive abilities; and  (b) 認知能力に近似するように設計された自動処理を使用してデータを解釈する。
(c) make recommendations, predictions or decisions; with a view to achieving a specific objective.  (c) 特定の目的を達成するために、推奨、予測、決定を行う。
(2) AI includes generative AI, meaning deep or large language models able to generate text and other content based on the data on which they were trained.  (2)AIには生成的AIが含まれ、学習されたデータに基づいてテキストやその他のコンテンツを生成できる深層または大規模な言語モデルを意味する。
8  Regulations  8 規制 
(1) Regulations under this Act are made by statutory instrument.  (1) 本法に基づく規則は、法的文書によって制定される。
(2) Regulations under this Act may create offences and require payment of fees, penalties and fines.  (2) 本法に基づく規則は、犯罪を創設し、手数料、罰則および罰金の支払いを要求することができる。
(3) A statutory instrument containing regulations under section 1 or 2 or regulations covered by subsection (2) may not be made unless a draft of the   instrument has been laid before and approved by resolution of both Houses of Parliament.  (3) 第1項もしくは第2項の規定または第(2)項に該当する規定を含む法定文書は、その文書の草案が国会両院の前に置かれ、その決議によって承認されない限り、作成することができない。
(4) A statutory instrument containing only regulations not covered by subsection (3) is subject to annulment in pursuance of a resolution of either House of Parliament.  (4) 第(3)項に該当しない規則のみを含む法定文書は、 国会のいずれかの議院の決議により無効とされる。
(5) A statutory instrument containing regulations applying to Wales, Scotland or Northern Ireland must be laid before Senedd Cymru, the Scottish Parliament or the Northern Ireland Assembly respectively before being made.  (5) ウェールズ、スコットランドまたは北アイルランドに適用される規則を含む法定文書は、作成前に、それぞれセネダード・サイムル、スコットランド議会または北アイルランド議会に提出されなければならない。
9  Extent, commencement and short title  9 適用範囲、開始および略称 
(1) This Act extends to England and Wales, Scotland and Northern Ireland.  (1) 本法は、イングランドおよびウェールズ、スコットランド、北アイルランドに適用される。
(2) This Act comes into force on the day on which it is passed.  (2) 本法は、成立の日に施行される。
(3) This Act may be cited as the Artificial Intelligence (Regulation) Act 2024.  (3) この法律は、人工知能(規制)法2024として引用することができる。

 

 

 

■ 参考

EUのAI法

・2021.04.21 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

 

 

 

OECDの「人工知能に関する理事会勧告」

 OECD

OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

20220824-21538

 

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

20220824-21652

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.16 OECD 主要国でのプライバシー・ガイドラインの実施状況

・2023.11.07 OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.10.31 外務省 G7 広島AIプロセスに関するG7首脳声明

 

2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

・2023.10.30 英国 科学技術革新省 フロンティアAI:その能力とリスク - ディスカッション・ペーパー

 

・2023.10.30 中国 グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.09.24 OECD 生成的人工知能のための初期政策検討

・2023.09.13 OECD 生成的人工知能(AI)に関するG7広島プロセス (2023.09.07)

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

 

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

 

・2023.07.20 国連安全保障理事会の人工知能に関するセッションが初開催される

・2023.07.14 OECD 人工知能における規制のサンドボックス

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.06.06 個人情報保護委員会 生成 AI サービスの利用に関する注意喚起等について (2023.06.02)

・2023.06.01 生成的AIとプライバシー当局(カナダ ニュージーランド)

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.02 デジタル庁 G7群馬高崎デジタル・技術大臣会合の開催結果

・2023.05.01 米国 国家人工知能諮問委員会1年間の活動報告書

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

 

・2023.04.01 英国 意見募集 AI規制白書

 

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.14 米国商工会議所 人工知能報告書

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.11 NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

 

・2022.09.30 欧州委員会 AI責任指令案

 

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

 

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

| | Comments (0)

2023.11.25

英国 データ保護とデジタル情報法政府案が下院で審議中

こんにちは、丸山満彦です。

EUから分離したので、英国はEUとは別に個人データ保護法を設計できるようになっているので、英国なりの視点でデータ保護法を検討していますね。。。

 

GOV.UK

・2023.11.23 Changes to data protection laws to unlock post-Brexit opportunity

Changes to data protection laws to unlock post-Brexit opportunity データ保護法の改正がブレグジット後の機会を解き放つ
Common sense changes to the Data Protection and Digital Information Bill will safeguard the public, prevent fraud, and unlock post-Brexit opportunities. データ保護およびデジタル情報法案への常識的な変更は、国民を保護し、詐欺を防止し、ブレグジット後の機会を解き放つ。
・Data Protection and Digital Information Bill amendments tabled to further improve data security, bolster national security and prevent fraud データ保護・デジタル情報法案の修正案が提出され、データセキュリティのさらなる改善、国家安全保障の強化、不正行為の防止が図られる。
・changes include better use of data to identify fraud - tackling benefits cheats intent on ripping off the taxpayer 納税者から金をむしり取ろうとする不正受給者に対処するため、不正を特定するためのデータ活用の改善を含む。
・new measures also brought forward around preserving the data of deceased children, supporting bereaved families and coroner investigations また、死亡した子どものデータ保全、遺族支援、検視官調査に関する新たな措置も打ち出された。
A raft of common-sense changes to the Data Protection and Digital Information Bill will build an innovative data protection regime in the UK, crack down on benefit fraud cheats, and allow the country to realise new post-Brexit freedoms which are expected to deliver new economic opportunities to the tune of at least £4 billion. Data Protection and Digital Information Bill(データ防御およびデジタル情報法案)に対する常識的な変更の数々は、英国における革新的なデータ保護体制を構築し、給付金詐欺を取り締まり、少なくとも40億ポンド規模の新たな経済機会をもたらすと期待されるブレグジット後の新たな自由を実現することを可能にする。
The changes include new powers to require data from third parties, particularly banks and financial organisations, to help the UK government reduce benefit fraud and save the taxpayer up to £600 million over the next five years. Currently, Department for Work and Pensions (DWP) can only undertake fraud checks on a claimant on an individual basis, where there is already a suspicion of fraud.  ガバナンスの変更には、英国政府が給付金詐欺を減らし、今後5年間で納税者を最大6億ポンド節約するために、サードパーティ、特に銀行や金融組織からデータを要求する新しい権限が含まれている。現在、労働年金省(DWP)は、すでに不正の疑いがある場合にのみ、個別に受給者の不正チェックを行うことができる。
The new proposals would allow regular checks to be carried out on the bank accounts held by benefit claimants to spot increases in their savings which push them over the benefit eligibility threshold, or when people send more time overseas than the benefit rules allow for. This will help identify fraud take action more quickly. To make sure that privacy concerns are at the heart of these new measures, only a minimum amount of data will be accessed and only in instances which show a potential risk of fraud and error. 新提案では、給付金請求者の銀行口座を定期的にチェックし、給付金の受給資格を超えるような貯蓄の増加や、給付規則で認められている以上に海外に滞在している場合などを発見できるようになる。これにより、不正行為をより迅速に特定することができる。プライバシーへの配慮がこれらの新しい措置の中心にあることを確認するため、必要最小限のデータのみがアクセスされ、不正やエラーの潜在的リスクを示す場合にのみアクセスされる。
Another measure offers vital reassurance and support to families as they grieve the loss of a child. In cases where a child has died through suicide, a proposed ‘data preservation process’ would require social media companies to keep any relevant personal data which could then be used in subsequent investigations or inquests. もうひとつの対策は、子供を失った悲しみに暮れる家族に、重要な安心感とサポートを提供するものだ。子供が自殺で死亡した場合、「データ保全プロセス」が提案され、ソーシャルメディア企業は関連する個人データを保管することが義務づけられる。
Current rules mean that social media companies aren’t obliged to hold onto this data for longer than is needed, meaning that data which could prove vital to coroner investigations could be deleted as part of a platform’s routine maintenance. The change tabled today represents an important step for families coming to terms with the loss of a loved one, and takes further steps to help ensure harmful content has no place online. 現行の規則では、ソーシャルメディア企業は必要以上にデータを保持する義務はないため、検視官の調査に不可欠となりうるデータが、プラットフォームの定期保守の一環として削除されてしまう可能性がある。本日上程された変更は、愛する人を失った遺族にとって重要な一歩であり、有害なコンテンツがオンライン上に存在しないことを保証するためのさらなる措置である。
The use of biometric data, such as fingerprints, to strengthen national security is also covered by the amendments, with the ability of Counter Terrorism Police to hold onto the biometrics of individuals who pose a potential threat, and which are supplied by organisations such as Interpol, being bolstered. 国家セキュリティを強化するための指紋などの生体データの使用も改正の対象となり、潜在的な脅威をもたらす個人の生体情報を保持するテロ対策警察の能力が強化される。
This would see officers being able to retain biometric data for as long as an INTERPOL notice is in force, matching this process up with INTERPOL’s own retention rules. The amendments will also ensure that where an individual has a foreign conviction, their biometrics will be able to be retained indefinitely in the same way as is already possible for individuals with UK convictions – this is particularly important where foreign nationals may have existing convictions for serious offences, including terrorist offences. これにより、国際刑事警察機構(INTERPOL)の通達が有効である限り、警察官は生体データを保持することができるようになり、このプロセスはINTERPOL独自の保持規則と一致することになる。この改正はまた、個人が外国で有罪判決を受けた場合、英国で有罪判決を受けた個人と同様に、バイオメトリクスを無期限に保持できるようにするものである。これは、外国人がテロ犯罪を含む重大犯罪の前科を持つ可能性がある場合に特に重要である。
Maintaining the UK’s high standards of data protection is central to both the wider Bill and the proposed amendments which have been laid today. 英国の高水準のデータ保護を維持することは、より広範な法案と、本日提出された修正案の双方にとって重要である。
Secretary of State for Science, Innovation and Technology, Michelle Donelan, said: ミシェル・ドネラン科学・イノベーション・技術担当国務長官は、次のように述べた:
”Britain has seized a key Brexit opportunity – boosting small businesses, protecting consumers and cracking down on criminal enterprises like nuisance calling and benefit fraud. 「英国はブレグジットの重要なチャンスをつかんだ。中小企業を後押しし、消費者を保護し、迷惑電話や給付金詐欺のような犯罪エンタープライズを取り締まる。」
"These changes protect our privacy and data while also injecting common sense into the system - whether it is cracking down on cookies, scrapping pointless paperwork which stifles productivity, tackling benefit fraud or making it easier to protect our citizens from criminals. 「クッキーの取り締まりであれ、生産性を阻害する無意味なペーパーワークの廃止であれ、給付金詐欺への取り組みであれ、犯罪者から市民を守ることを容易にすることであれ、これらの変更は、我々のプライバシーとデータを保護すると同時に、システムに常識を注入するものである。」
"These changes help to establish the UK as a world-leading data economy; one that puts consumers and businesses at the centre and removes the ‘one-size-fits-all’ barriers that have held many British businesses back. 「これらの変更は、英国を世界をリードするデータエコノミーとして確立するのに役立つ。消費者と企業を中心に置き、多くの英国企業の足かせとなってきた "画一的な "障壁を取り除くものである。」
The Bill’s focus is to create an innovative and flexible data protection regime which will maintain the UK’s high standards of data protection, streamline processes for companies, strengthen national security, and support grieving families. Making it easier to use personal data which will improve efficiency, lead to better public services, and enable new innovations across science, innovation, and technology.  法案の焦点は、英国の高いデータ保護標準を維持し、企業のプロセスを合理化し、国家セキュリティを強化し、悲しむ家族を支援する、革新的で柔軟なデータ保護体制を構築することである。個人データの利用を容易にすることで、効率性を改善し、より良い公共サービスを実現し、科学、イノベーション、テクノロジーにおける新たなイノベーションを可能にする。
Secretary of State for Work and Pensions, Mel Stride MP, said: メル・ストライド労働年金担当国務長官は、次のように述べた:
" new powers send a very clear message to benefit fraudsters – we won’t stand for it. These people are taking the taxpayer for a ride and it is right that we do all we can to bring them to justice. 「新たな権限は、給付金詐欺師に対して非常に明確なメッセージを送るものだ。このような輩は納税者を乗っ取っており、彼らを裁くために全力を尽くすことは正しいことだ。」
"These powers will be used proportionately, ensuring claimants’ data is safely protected while rooting out fraudsters at the earliest possible opportunity. 「これらの権力は比例して行使され、不正受給者のデータが安全に保護されることを保証すると同時に、可能な限り早い機会に不正受給者を根絶する。」
Home Secretary, James Cleverly, said: ジェームズ・クレバリー内務大臣は次のように述べた:
"My priority is to continue cutting crime and ensuring the public is protected from security threats. Law enforcement and our security partners must have access to the best possible tools and data, including biometrics, to continue to keep us safe. 「私の最優先事項は、犯罪を削減し続け、国民を安全保障上の脅威から確実に守ることだ。法執行機関と私たちのセキュリティ・パートナーは、私たちの安全を守り続けるために、生体認証を含む最善のツールとデータにアクセスできなければならない。」
"This Bill will improve the efficiency of data protection for our security and policing partners—encouraging better use of personal information and ensuring appropriate safeguards for privacy. 「この法案は、私たちのセキュリティと警察活動のパートナーのために、データ保護の効率を改善し、個人情報のより良い利用を促し、プライバシーのための適切な保護措置を確保するものである。」
The amendments tabled today show the practical steps being taken by the UK government to improve how the nation uses and accesses personal data, capitalising on the UK’s departure from the European Union to introduce measures which will protect the public purse, strengthen national security, and offer important support to grieving families. 本日提出された修正案は、国家が個人データをどのように利用し、アクセスするかを改善するために英国政府がとっている実際的な措置を示すものであり、英国のEU離脱を活かして、財政を保護し、国家安全保障を強化し、悲嘆に暮れる家族に重要な支援を提供する措置を導入するものである。
These amendments will also help the Bill realise its ambition of bulldozing burdens for businesses and removing restrictions for researchers, ensuring new advances in science, innovation, and technology can be fuelled by more practical ways to access data. これらの修正案はまた、企業の負担をブルドーザーで取り除き、研究者の制限をなくすという法案の野望を実現する助けとなり、科学、イノベーション、テクノロジーの新たな進歩が、データへのアクセスのより実用的な方法によって促進されることを保証する。
Further Information 詳細情報
Full list of amendments tabled can be found here. 提出された修正案の全リストはこちらを参照のこと。
These amendments will be considered by the House of Commons at Report next Wednesday (29 November). これらの修正案は、来週水曜日(11月29日)の下院報告会で審議される。
Further information on the Data Protection and Digital Information Bill can be found here. データ保護およびデジタル情報法案に関する詳細はこちらを参照のこと。

 

政府案

英国議会 - 議会 (https://publications.parliament.uk/)

・2023.11.23 [PDF] Data Protection and Digital Information Bill (Amendment Paper) 

20231125-64332

 

議会(法案)

・2023.11.23 Data Protection and Digital Information Bill (Government Bill)

・[PDF] Data Protection and Digital Information Bill 

20231125-65505

 

Data Protection and Digital Information Bill  データ保護およびデジタル情報法案 
CONTENTS  目次 
PART 1 DATA PROTECTION  第1部 データ保護 
Definitions  定義 
1 Information relating to an identifiable living individual  1 識別可能な生存する個人に関する情報 
2 Meaning of research and statistical purposes  2 研究および統計目的の意味 
3 Consent to processing for the purposes of scientific research  3 科学的調査目的の処理に対する同意 
4 Consent to law enforcement processing  4 法執行処理に対する同意 
Data protection principles  データ保護の原則 
5 Lawfulness of processing  5 情報処理の合法性 
6 The purpose limitation  6 目的の制限 
Special categories of personal data  特別カテゴリーの個人データ 
7 Elected representatives responding to requests  7 要求に応じる選挙代理人 
Data subjects’ rights  データ主体の権利 
8 Vexatious or excessive requests by data subjects  8 データ主体による執拗または過剰な要求 
9 Time limits for responding to requests by data subjects  9 データ主体による要求に応じる期限 
10 Information to be provided to data subjects  10 データ当事者に提供されるべき情報 
11 Data subjects’ rights to information: legal professional privilege exemption  11 情報に対するデータ主体の権利:法律専門家特権の免除 
Automated decision-making  自動化された意思決定 
12 Automated decision-making  12 自動的意思決定 
Obligations of controllers and processors  管理者および処理者の義務 
13 General obligations  13 一般的義務 
14 Removal of requirement for representatives for controllers etc outside the UK  14 英国外の管理者等に対する代理人要件の撤廃 
15 Senior responsible individual  15 上級責任者 
16 Duty to keep records  16 記録の保存義務 
17 Logging of law enforcement processing  17 法執行処理の記録 
18 Assessment of high risk processing 18 高リスク処理の評価
19 Consulting the Commissioner prior to processing  19 処理前のコミッショナーへの相談 
20 General processing and codes of conduct  20 一般的な処理と行動規範 
21 Law enforcement processing and codes of conduct  21 法執行処理と行動規範 
22 Obligations of controllers and processors: consequential amendments  22 管理者および処理者の義務:結果的改正 
International transfers of personal data  個人データの国際移転 
23 Transfers of personal data to third countries and international organisations  23 第三国および国際機関への個人データの移転 
Safeguards for processing for research etc purposes  研究等の目的で処理する場合の保護措置 
24 Safeguards for processing for research etc purposes  24 研究等の目的で処理する場合の保護措置 
25 Section 24: consequential provision  25 第24条:結果規定 
National security  国家安全保障 
26 National security exemption  26 国家安全保障の適用除外 
Intelligence services  情報機関 
27 Joint processing by intelligence services and competent authorities  27 情報機関および管轄当局による共同処理 
28 Joint processing: consequential amendments  28 共同処理:結果的修正 
Information Commissioner’s role  情報コミッショナーの役割 
29 Duties of the Commissioner in carrying out functions  29 機能の遂行における情報コミッショナーの義務 
30 Strategic priorities  30 戦略的優先事項 
31 Codes of practice for the processing of personal data  31 個人データ処理に関する実施規範 
32 Codes of practice: panels and impact assessments  32 実施規範:委員会と影響評価 
33 Codes of practice: approval by the Secretary of State  33 実施規範:国務長官の承認 
34 Vexatious or excessive requests made to the Commissioner  34 委員会に対する執拗または過剰な要求 
35 Analysis of performance  35 実績の分析 
Enforcement  施行 
36 Power of the Commissioner to require documents  36 委員会の文書要求権 
37 Power of the Commissioner to require a report  37 報告書を要求する委員会の権限 
38 Interview notices  38 面談通知 
39 Penalty notices  39 違約金通知 
40 Annual report on regulatory action  40 規制措置に関する年次報告 
41 Complaints to controllers  41 管理者に対する苦情 
42 Power of the Commissioner to refuse to act on certain complaints  42 特定の苦情への対応を拒否する権限 
43 Complaints: minor and consequential amendments  43 苦情:小改正および結果的改正 
44 Consequential amendments to the EITSET Regulations  44 EITSET規則の結果的改正 
Protection of prohibitions, restrictions and data subject’s rights  禁止、制限および情報主体の権利の保護 
45 Protection of prohibitions, restrictions and data subject’s rights  45 禁止、制限および情報主体の権利の保護 
Miscellaneous  その他 
46 Regulations under the UK GDPR  46 英国GDPRに基づく規制 
47 Minor amendments  47 軽微な修正 
PART 2 DIGITAL VERIFICATION SERVICES 
第2部 デジタル検証サービス
Introductory  はじめに
48 Introductory  48 はじめに
DVS trust framework  DVS信頼の枠組み 
49 DVS trust framework  49 DVS信頼の枠組み
DVS register  DVS 登録 
50 DVS register  50 DVS登録 
51 Applications for registration  51 登録申請 
52 Fees for registration  52 登録料 
53 Duty to remove person from the DVS register  53 DVS登録から削除する義務 
54 Power to remove person from the DVS register  54 DVS登録から個人を削除する権限 
55 Revising the DVS trust framework: top-up certificates  55 DVS信頼の枠組みの改訂:トップアップ証明書 
Information gateway  情報ゲートウェイ 
56 Power of public authority to disclose information to registered person  56 公的機関が登録者に情報を開示する権限 
57 Information disclosed by the Revenue and Customs  57 税関歳入庁が開示する情報 
58 Information disclosed by the Welsh Revenue Authority  58 Welsh Revenue Authority が開示する情報 
59 Information disclosed by Revenue Scotland  59 Scotland歳入庁が開示する情報 
60 Code of practice about the disclosure of information  60 情報開示に関する実施規範 
Trust mark  トラストマーク 
61 Trust mark for use by registered persons  61 登録者が使用するトラストマーク 
Supplementary  補足 
62 Power of Secretary of State to require information  62 国務長官が情報を要求する権限 
63 Arrangements for third party to exercise functions  63 第三者による機能行使の取り決め 
64 Report on the operation of this Part  64 本編の運用に関する報告 
PART 3 CUSTOMER DATA AND BUSINESS DATA
第3部 顧客データおよび事業データ 
Introductory  はじめに 
65  Customer data and business data  65 顧客データおよび業務データ 
Data regulations  データ規制 
66  Power to make provision in connection with customer data  66 顧客データに関して規定する権限 
67  Customer data: supplementary  67 顧客データ:補足 
68 Power to make provision in connection with business data  68 事業データに関して規定する権限 
69 Business data: supplementary  69 事業データ:補足 
70 Decision-makers  70 意思決定者 
Enforcement  施行 
71 Enforcement of data regulations  71 データ規制の施行 
72 Restrictions on powers of investigation etc  72 調査権限等の制限 
73 Financial penalties  73 罰則 
Fees etc and financial assistance  手数料等および補助金
74 Fees  74 手数料 
75 Levy  75 課徴金 
76 Financial assistance  76 補助金
Supplementary  補足 
77 Restrictions on processing and data protection  77 処理の制限およびデータ保護 
78 Regulations under this Part  78 本編に基づく規制 
79 Duty to review regulations  79 規則を見直す義務 
80 Repeal of provisions relating to supply of customer data  80 顧客データの提供に関する規定の廃止 
81 Interpretation of this Part  81 本編の解釈 
PART 4 OTHER PROVISION ABOUT DIGITAL INFORMATION 
第4部 デジタル情報に関するその他の規定 
Privacy and electronic communications  プライバシーおよび電子通信 
82 The PEC Regulations  82 PEC規則 
83 Storing information in the terminal equipment of a subscriber or user  83 加入者または利用者の端末機器における情報の保存 
84 Unreceived communications  84 未受信の通信 
85 Meaning of “direct marketing”  85 「ダイレクトマーケティング」の意味 
86 Use of electronic mail for direct marketing purposes  86 ダイレクトマーケティング目的の電子メールの使用 
87 Direct marketing for the purposes of democratic engagement  87 民主的関与を目的とするダイレクトマーケティング 
88 Meaning of expressions in section 87  88 第87条における表現の意味 
89 Duty to notify the Commissioner of unlawful direct marketing  89 違法なダイレクト・マーケティングを委員会に通知する義務 
90 Commissioner’s enforcement powers  90 欧州委員会の執行権限 
91 Codes of conduct  91 行動規範 
92 Pre-commencement consultation  92 開始前のコンサルテーション 
Trust services  トラストサービス 
93 The eIDAS Regulation  93 eIDAS規則 
94 Recognition of EU conformity assessment bodies  94 EU適合性評価機関の承認 
95 Removal of recognition of EU standards etc  95 EU規格等の承認の廃止 
96 Recognition of overseas trust products  96 海外の信託商品の承認 
97 Co-operation between supervisory authority and overseas authorities  97 監督当局と海外当局の協力 
Data Protection and Digital Information Bill  v  データ保護・デジタル情報法案 
Sharing of information  情報の共有 
98 Disclosure of information to improve public service delivery to undertakings  98 事業者への公共サービス提供向上のための情報開示 
99 Implementation of law enforcement information-sharing agreements  99 法執行情報共有協定の実施 
100 Meaning of “appropriate national authority”  100 「適切な国家機関」の意味 
Registers of births and deaths  出生・死亡登録 
101 Form in which registers of births and deaths are to be kept  101 出生及び死亡の登録の保管形態 
102 Provision of equipment and facilities by local authorities  102 地方自治体による設備及び施設の提供 
103 Requirements to sign register  103 登録簿への署名要件 
104 Treatment of existing registers and records  104 既存の登録および記録の取り扱い 
105 Minor and consequential amendments  105 軽微かつ結果的な修正 
Information standards for health and social care  医療および社会福祉に関する情報基準 
106 Information standards for health and adult social care in England  106 イングランドにおける保健および成人福祉ケアのための情報基準 
PART 5 REGULATION AND OVERSIGHT  第5部 規制および監督 
Information Commission  情報委員会 
107 The Information Commission  107 情報委員会 
108 Abolition of the office of Information Commissioner  108 情報委員会の廃止 
109 Transfer of functions to the Information Commission  109 情報委員会への機能移転 
110 Transfer of property etc to the Information Commission  110 財産等の情報委員会への移管 
Oversight of biometric data  バイオメトリックデータの監視 
111 Oversight of retention and use of biometric material  111 バイオメトリック資料の保持と使用の監督 
112 Removal of provision for regulation of CCTV etc  112 CCTV等の規制に関する規定の削除 
113 Oversight of biometrics databases  113 バイオメトリクス・データベースの監視 
PART 6 FINAL PROVISIONS 
第6部 最終規定 
114 Power to make consequential amendments  114 結果的修正を行う権限 
115 Regulations  115 規則 
116 Interpretation  116 解釈 
117 Financial provision  117 財務規定 
118 Extent  118 範囲 
119 Commencement  119 開始 
120 Transitional, transitory and saving provision  120 経過的、一時的および保存的規定 
121 Short title  121 短称 
   
Schedule 1 —  Lawfulness of processing: recognised legitimate interests  別表1 - 処理の適法性:認識された正当な利益 
Schedule 2 —  Purpose limitation: processing to be treated as compatible with original purpose  別表2 - 目的の制限:当初の目的に適合するものとして取り扱われるべき処理 
Schedule 3 —  Automated decision-making: consequential amendments  別表3 - 自動意思決定:結果的修正 
Schedule 4 —  Obligations of controllers and processors: consequential amendments  別表4 - 管理者および処理者の義務:結果的修正 
Schedule 5 —  Transfers of personal data to third countries etc: general processing  別表5 - 「個人データの第三国等への移転:一般的な処理 
Schedule 6 —  Transfers of personal data to third countries etc: law enforcement processing  別表6 - 第三国等への個人データの移転:法執行処理 
Schedule 7 —  Transfers of personal data to third countries etc: consequential and transitional provision  別表7 - 第三国等への個人データの移転:結果的および経過的規定 
Part 1 —  Consequential provision  第1部 - 結果的規定 
Part 2 —  Transitional provision  第2部 - 経過規定 
Schedule 8 —  Complaints: minor and consequential amendments  別表8 - 苦情処理:小修正および結果的修正 
Schedule 9 —  Data protection: minor amendments  別表9 - データ保護:若干の修正 
Schedule 10 —  Privacy and electronic communications: Commissioner’s enforcement powers  別表10 - プライバシーおよび電子通信 コミッショナーの執行権限 
Schedule 11 —  Registers of births and deaths: minor and consequential amendments  別表11 - 出生および死亡の登録簿:小修正および結果的修正 
Part 1 —  Amendments of the Births and Deaths Registration Act 1953  第1部 - 1953年出生・死亡登録法の改正 
Part 2 —  Amendments of other legislation  第2部 - その他の法律の改正 
Schedule 12 —  Information standards for health and adult social care in England  別表12 - イングランドにおける医療および成人社会ケアの情報基準 
Schedule 13 —  The Information Commission  別表13 - 情報委員会 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

 

・2023.09.20 英国 ICO 子供を守るための情報共有のための10ステップガイド (2023.09.14)

 

・2023.06.28 英国 ICO 金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを作成 (2023.06.19)

・2023.05.23 英国 NCSCとICOの共同ブログ サイバーインシデント報告...

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.27 英国 ICO 「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集

・2023.03.20 英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

 

・2023.03.15 英国 英国版GDPR新版の審議始まる (2023.03.08)

 

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

・2022.12.14 英国 デジタル・文化・メディア・スポーツ省 アプリストア運営者及びアプリ開発者のための実践規範

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

 

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

 

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表

・2022.07.18 英国 情報コミッショナー 新しい戦略計画案 ICO25 を公表し、意見募集をしていますね。。。

・2022.06.15 英国 健康分野のデータ戦略

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.10 英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

・2022.01.28 英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ長期調査:第1回

・2022.01.26 英国 世界最高レベルのデータ専門家(Google, IBM, Microsoftのメンバーを含む)による国際的なデータ転送に関する政府協議会を設立

・2022.01.19 英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

・2021.12.19 英国 AIバロメータ21 公表

 

・2021.11.27 英国 情報コミッショナーの意見:オンライン広告の提案に対するデータ保護とプライバシーの期待

 

・2021.11.05 英国 デジタル・文化・メディア・スポーツ省の提案に対する、バイオメトリックスコミッショナーおよび監視カメラコミッショナーであるフィッシャー氏の回答

 

・2021.10.28 英国 データ保護局 (ICO) ビデオ会議事業者に期待されるグローバルなプライバシーに関する共同声明

・2021.10.16 英国 ICO(データ保護局)意見募集 「ジャーナリズムの実践規範」案

・2021.09.22 英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由

・2021.09.17 G7データ保護・プライバシー機関ラウンドテーブル 2021.09

 

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

 

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

 

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。


・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

 

・2021.02.17 英国 デジタルID・属性のフレームワーク案の意見募集

・2020.11.03 英国 Information Commissioner's Office (ICO)による罰金

 

・2020.09.13 英国 データ保護委員会 アカウンタビリティ フレームワーク

・2020.05.08 UK-ICO NHSXのコンタクト・トレース・アプリ試用版のデータ保護影響評価に関するメディアからの問い合わせへの声明

・2020.05.05 UK ICO COVID-19 コンタクト・トレーシング:アプリ開発におけるデータ保護の期待

・2020.05.02 英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

 

| | Comments (0)

防衛省 防衛研究所 中国安全保障レポート2024 -中国、ロシア、米国が織りなす新たな戦略環境-

こんにちは、丸山満彦です。

防衛省 防衛研究所が 中国安全保障レポート2024 -中国、ロシア、米国が織りなす新たな戦略環境- を公表していますね。。。

日本語版のみならず、英語版中国語版もあります。。。

 

防衛省 防衛研究所

・2023.11.24 中国安全保障レポート2024

・中国安全保障レポート2024 -中国、ロシア、米国が織りなす新たな戦略環境- 本文·(紙·奥付

20231125-15721

 

目次... 

中国安全保障レポート2024

目次
要約
略語表

序章

第 1 章  既存秩序の変革を目指す中国の戦略
はじめに
1
 協調から対抗へ転換した中国の対米政策
(1)冷戦後の国際秩序に協調姿勢で適応
(2)対米対抗と既存秩序の変革に向けた動き

2
 国際秩序をめぐってロシアとの連携を強める中国
(1)ライバルからパートナーへの転換
(2)既存秩序の変革に向けた協力の深化

3
 米国への軍事的対抗姿勢を強める中国
(1)軍事における対米対抗とロシアとの連携強化
(2)対米抑止力の強化を目指した核戦力の増強

おわりに

第 2 章  ロシア・ウクライナ戦争とプーチン体制の生存戦略
はじめに
1
 プーチン体制の生存戦略
(1) 2020 年憲法改革と「インナー・サークル」の生存戦略
(2)プーチン体制と個人支配化をめぐる議論

2
 ウクライナ戦争下におけるプーチン体制の変容と生存戦略としての対外政策
(1)体制変容のダイナミズム
(2)新たな「対外政策概念」と「狭小な国家グループ」への挑戦
(3)軍事・原子力・北極海における中露の体制間協力
(4)ロシアと「グローバル・サウス」

おわりに

第 3 章  国際秩序の維持に向けた米国の軍事戦略
はじめに
1
 中国、ロシアに対する脅威認識の高まり
(1) 大国間競争の再来
(2)戦略的競争において浮上する 3 つの軍事的課題

2
 新たな軍事的課題に対する米軍の取り組み
(1) 作戦行動に対する認識の変化
(2)将来戦に関する取り組み

3
 将来的な核戦力バランスの変化
(1) 「同格の二大核保有国」問題の浮上
(2)バイデン政権の対応

おわりに

終章



 


要約

第1章 既存秩序の変革を目指す中国の戦略

冷戦終結直後の中国は、米国を共産党に対する脅威と見ており、米国との対立を避けつつ協力を推進することで対米関係の安定化を図った。米国が主導する冷戦後の国際秩序についても基本的に受け入れ、協調を主軸とした国際秩序戦略を推進した。ところが2000年代終わりごろから、西側諸国のパワーが低下し、発展途上国のパワーが増大しているとの情勢認識に至った共産党政権は、既存の国際秩序について力を背景に「核心的利益」を確保することを可能とするとともに、中国共産党による支配体制が脅威にさらされない方向への変革を目指すようになった。

習近平政権は、米国に中国の「核心的利益」を尊重し、中国を対等に扱う「新型大国関係」を受け入れるよう要求した。同時に、普遍的価値とルールに基づいた既存の国際秩序を明確に拒否し、中国を中心とした発展途上国がより大きな発言力を持つ「新型国際関係」と「人類運命共同体」を新たな国際秩序のモデルとして推進するようになった。その中国にとって、ロシアは望ましい国際秩序を共有する重要なパートナーである。国際秩序をめぐる米国や西側諸国との競争において、中国とロシアは相互の支持と協力を強化している。

米国に対抗し、米軍が主導してきた東アジアの安全保障秩序の変革を目指して、中国はA2/AD能力を中心とした軍事力の強化を進めている。中国は周辺地域において、米軍の行動を物理的に妨害するとともに、ロシア軍との共同訓練や連携した行動を強化している。中国は核戦力も急速に強化しており、これは将来の核をめぐる安全保障秩序における中国の発言力を高めるとともに、中国の「核心的利益」に関わる紛争に対して、米国が軍事的に関与するハードルを高めることになるだろう。今後中国は、核を含む軍事力を強化しつつ、望ましい国際秩序を共有するロシアとの戦略的協力を深化させることで、既存の国際秩序の改変を進めていくことになると思われる。

第2章 ロシア・ウクライナ戦争とプーチン体制の生存戦略

2022224日、プーチン体制は、ウクライナへの全面的な軍事侵攻に踏み切り、米欧諸国による厳しい経済制裁と広く国際的な信用の失墜を招いた。既存の国際秩序に対する挑戦者となったプーチン体制の秩序観には、G7諸国が志向する国際秩序への強い対抗意識があり、この点は20233月に改訂された「ロシア連邦対外政策概念」の中で強調されている。こうした対抗意識の根底には、冷戦後国際秩序の再編プロセスに対する不満の蓄積がある。また、プーチン体制には、ロシアの伝統的な精神・道徳的価値観や独自の歴史観を偏重する態度、さらには多様性や包摂性に代表される米欧のリベラルな価値観や市民社会の在り方への嫌悪感が観察要約序章第1章第2章第3章終章4される。特に近年、それらは政治体制の個人支配化の進展とも相まって、プーチン体制の国内的な体制の生存戦略として増幅される傾向にあった。

こうした秩序観は、現代ロシア政治・外交史の多様な文脈の中で生成されたものであるが、その1つとして、市民的自由の制約や立憲主義の不在、個人支配化に象徴されるロシア内政動向との連関も指摘できよう。同じく政治体制として個人支配化の様相を強める中国の習近平体制との親和性は高まる傾向にあり、第2次ロシア・ウクライナ戦争に伴うロシアの対中依存の深まりも影響して、中露の体制間協力は、プーチン体制の対外的な生存戦略として位置付けられている。中露関係は、軍事・原子力・北極圏開発といった政策分野で着実に深まりつつある。

さらに戦時下のプーチン体制は、インドやトルコをはじめとするグローバル・サウスと呼ばれる新興国・途上国との連携強化を目指しており、上海協力機構(SCO)やBRICS加盟国、中東・アフリカ諸国など、政治体制の観点から親和性の高い国々への外交的・軍事的アプローチが積極的に行われている。

第3章 国際秩序の維持に向けた米国の軍事戦略

バイデン政権が最大の挑戦としてとらえているのが中国である。NSS2022は、中国が「米国にとって最も重大な地政学的挑戦」であるとして、中国との競争に打ち勝つという方針を示した。軍事的観点からも、バイデン政権は中国を焦点としており、同国が主要な地域を支配するのを阻止することを最優先課題とした戦略を打ち出している。中国との軍事・外交分野における競争は、経済分野にも波及している。

ロシアに対しては、2014年以降継続しているウクライナへの侵略だけでなく、主要な地域における重大で継続したリスクを突き付ける「深刻な脅威」であるという認識を示している。バイデン政権は、ウクライナ侵略がロシアにとって「戦略的失敗」となることを政策目標として、北大西洋条約機構(NATO)をはじめとする同盟国やパートナー国と連携しながら、ウクライナに対する圧倒的な規模での安全保障支援を行う一方で、ロシアに対して経済制裁を科している。

中露との競争を優位に進めるうえで、米国が直面している軍事的課題とは、武力紛争に至らない段階における活動、米軍の戦力投射・作戦行動、キルチェーンに対する脅威、将来的な核戦力バランスの変化、である。第1の課題に対して米軍は、「航行の自由作戦」や情報・サイバー空間での作戦行動に加え、あらゆる段階で米軍が一定の活動を行うことを示した「競争連続体モデル」という新たな概念枠組みを形成して対応している。第2の軍事的課題であるA2/ADおよび米軍のキルチェーンに対する脅威に関して、米軍は新たなコンセプトの開発を継続させている。第3の、米国と同等の核戦力を保有する中国とロシアに同時に対峙するという、将来的な「同格の二大核保有国」問題に対して、バイデン政権は米国の抑止力の強化と軍備管理による核使用リスクの低減に取り組む姿勢を示している。

バイデン政権は、今後の10年間の取り組みが将来的な国際秩序の姿を左右すると認識しており、中国との競争を優位に進め、ロシアの脅威を抑制することを目標として、積極的に取り組む姿勢を強めている。国際秩序をめぐる中国やロシアとの競争は、今後も継続し激しさを増していくであろう。

終章

ロシアで急激な政治変動が生じない限り、今後10年程度の見通し得る将来において、国際秩序をめぐる米国と中露の対立は加速し、グローバル・サウスも巻き込みながら、米国を中心とした既存秩序の現状維持勢力と、中露を中心とした現状変更勢力の間の対立へと拡大していくだろう。双方が共に競争力を高めていくものと思われるため、帰趨はすぐには決まらず、対立は緊張の度を高めながら長期にわたって続くだろう。今後は偶発的な衝突や予期しないエスカレーションといった不安定要因の顕在化を防止するために、いかに競争を管理していくのかが双方に問われることになる。他方で、より長期的な観点に立った場合、ロシアによるウクライナ侵攻が国際秩序の変更に至る見込みは極めて小さい。一方で中国は、南シナ海や台湾海峡などで現状変更の既成事実を積み重ねている。今後、このような中国の力による一方的な現状変更を防止できるか否かが、国際秩序をめぐる競争の行方を決定づける最も重要な要因であるといえよう。

 


 

 

年度 副題 テーマ
2024


中国、ロシア、米国が織りなす新たな戦略環境


1 既存秩序の変革を目指す中国の戦略
2 ロシア・ウクライナ戦争とプーチン体制の生存戦略
3 国際秩序の維持に向けた米国の軍事戦略
2023


認知領域とグレーゾーン事態の掌握を目指す中国


1 中国の軍事組織再編と非軍事的手段の強化
2 活発化する中国の影響力工作
3 海上で展開される中国のグレーゾーン事態
2022


統合作戦能力の深化を目指す中国人民解放軍
1 中国人民解放軍の統合作戦構想の変遷
2 改編された中国人民解放軍の統合作戦体制
3 軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021 新時代における中国の軍事戦略 1 情報化戦争の準備を進める中国
2 中国のサイバー戦略
3 中国における宇宙の軍事利用
4 中国の軍民融合発展戦略
2020 ユーラシアに向かう中国 1 中国のユーラシア外交
2 中央アジア・ロシアから見た中国の影響力拡大
3 ユーラシアにおけるエネルギー・アーキテクチャ
2019 アジアの秩序をめぐる戦略とその波紋 1 既存秩序と摩擦を起こす中国の対外戦略
2 中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
3 「一帯一路」と南アジア――不透明さを増す中印関係
4 太平洋島嶼国 ――「一帯一路」の南端
2018 岐路に立つ米中関係 1 中国の対米政策
2 米国の対中政策
3 地域における米中関係の争点
2017 変容を続ける中台関係 1 中国の台湾政策の変遷
2 台湾から見た中台関係
3 米国にとっての台湾問題
4 中台関係の変容と「現状維持」
2016 拡大する人民解放軍の活動範囲とその戦略 1 遠海での作戦能力強化を図る中国海軍
2 空軍の戦略的概念の転換と能力の増大
3 ミサイル戦力の拡充
4 統合的な作戦能力の強化
2014 多様化する人民解放軍・人民武装警察部隊の役割 1 中央国家安全委員会創設とその背景
2 人民武装警察部隊の歴史と将来像
3 人民解放軍による災害救援活動
4 軍事外交としての国連平和維持活動
5 ソマリア沖・アデン湾における海賊対処活動
2013   1 中国の対外危機管理体制
2 中国の危機管理概念
3 危機の中の対外対応
2012   1 「党軍」としての性格を堅持する人民解放軍
2 深化する軍と政府の政策調整
3 軍と政府が連携を深める安全保証政策
4 政策調整の制度化を求める人民解放軍
2011   1 海洋に向かう中国
2 南シナ海で摩擦を起こす中国
3 外洋に進出する中国海軍
4 対外園で発言力を増す人民解放軍
創刊号   1 中国の対外姿勢
2 拡大する活動範囲
3 役割を増す軍事外交
4 進む装備の近代化

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.28 防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

・2021.11.28 防衛省 防衛研究所 中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

| | Comments (0)

2023.11.24

世界経済フォーラム (WEF) 電力セクターにおけるサイバー規制のグローバルな相互運用性の促進 (2023.11.17)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、電力セクターにおけるサイバー規制のグローバルな相互運用性の促進に関する報告書を公表していますね。。。

島国の日本というよりも、大陸の国向けの話ですね。。。

ただ、The Systems of Cyber Resilienceの考え方は重要だと思います。。。

 

World Economic Forum - Report

・2023.11.17 Facilitating Global Interoperability of Cyber Regulations in the Electricity Sector

 

Facilitating Global Interoperability of Cyber Regulations in the Electricity Sector 電力セクターにおけるサイバー規制のグローバルな相互運用性の促進
This position paper on cybersecurity in the electricity sector advocates for interoperability among nations to cultivate a secure, resilient and standardized approach globally. 電力セクターにおけるサイバーセキュリティに関する本ポジションペーパーは、安全でレジリエンスに優れ、標準化されたアプローチをグローバルに展開するために、各国間の相互運用性を提唱するものである。
The evolution of technology has reshaped the electricity industry, ushering in smarter grids, integration of renewable energy and improved operational efficiencies. However, a new set of challenges has emerged, particularly in safeguarding these intricate systems from cyber threats. The increasing interdependencies among power systems across borders and the escalating sophistication of cyberattacks underscore the necessity of a harmonized, global approach to cybersecurity regulations in the electricity sector. テクノロジーの進化は電力業界の形を変え、よりスマートな送電網、再生可能エネルギーの統合、業務効率の改善をもたらした。しかし、特にサイバー脅威からこれらの複雑なシステムを守る上で、新たな課題が浮上している。国境を越えた電力システム間の相互依存の高まりと、サイバー攻撃の高度化は、電力セクターにおけるサイバーセキュリティ規制の調和されたグローバルなアプローチの必要性を強調している。
The Systems of Cyber Resilience: Electricity initiative of the World Economic Forum has scrutinized the current landscape of cyber regulations to tackle existing gaps and complexities, and in this paper, proposes collective positions on behalf of the sector to standardize cybersecurity practices across diverse regulatory environments. システムズ・オブ・サイバー・レジリエンス: 世界経済フォーラムの「サイバー・レジリエンスのシステム:電力」イニシアチブは、既存のギャップと複雑性に取り組むため、サイバー規制の現状を精査し、本稿では、多様な規制環境全体でサイバーセキュリティの実践を標準化するため、セクターを代表して集団的な立場を提案する。

 

・[PDF

20231124-41731

 

目次...

Introduction  序文 
1 Current state of affairs 1 現状
2 Importance of global regulatory interoperability 2 グローバルな規制の相互運用性の重要性
3 10 key themes for global regulatory interoperability 3 グローバルな規制の相互運用性に関する 10 の主要テーマ
4 Community position on the key themes 4 主要テーマに関するコミュニティの見解
Conclusion 結論
Contributors 協力者
Annex 1: Related publications 附属書1:関連出版物

 

Introduction 序文
In today’s interconnected world, the electricity sector stands as a cornerstone of societal functioning, powering industries, homes and critical infrastructure. As power systems go through rapid digital transformation, the critical link between cybersecurity and the energy landscape becomes increasingly evident. The need for global interoperability in cyber regulations in the electricity sector has become paramount.  今日の相互接続された世界において、電力部門は社会機能の要として、産業、家庭、重要インフラに電力を供給している。電力システムが急速なデジタル変革を遂げるにつれ、サイバーセキュリティとエネルギー状況の重要な関連性がますます明らかになっている。電力セクターのサイバー規制におけるグローバルな相互運用性の必要性は、最重要となっている。
The evolution of technology has significantly reshaped the electricity industry, ushering in smarter grids, integration of renewable energy and improved operational efficiencies. However, this evolution presents a new set of challenges, particularly in safeguarding these intricate systems from cyber threats. The increasing interdependencies among power systems across borders and the growing sophistication of cyberattacks underscore the importance of a harmonized, global approach to cybersecurity regulations in the electricity sector. テクノロジーの進化は電力業界を大きく変貌させ、よりスマートな送電網、再生可能エネルギーの統合、運用効率の改善をもたらした。しかし、この進化は、特にサイバー脅威からこれらの複雑なシステムを保護する上で、新たな一連の課題を提示している。国境を越えた電力システム間の相互依存の高まりと、サイバー攻撃の巧妙化は、電力セクターにおけるサイバーセキュリティ規制の調和されたグローバルなアプローチの重要性を強調している。
This position paper from the Systems of Cyber Resilience: Electricity (SCRE) initiative aims to consolidate a cohesive stance from the electricity sector on cybersecurity. It advocates for interoperability among nations to cultivate a cybersecure, resilient and standardized approach around the world. By scrutinizing the current landscape of cyber regulations, the paper endeavours to tackle existing gaps and complexities while proposing collective positions to standardize cybersecurity practices across diverse regulatory environments. Its objective is to champion international cooperation, mutual understanding and the adoption of common standards to fortify the electricity sector against emerging cyber threats while encouraging innovation and growth. 本ポジションペーパーは、Systems of Cyber Resilience: 電力(SCRE)イニシアティブのこのポジションペーパーは、サイバーセキュリティに関する電力セクターの一貫した姿勢をまとめることを目的としている。世界中でサイバーセキュリティ、レジリエンス、標準的なアプローチを育成するために、国家間の相互運用性を提唱している。サイバー規制の現状を精査することで、既存のギャップや複雑性に取り組むと同時に、多様な規制環境におけるサイバーセキュリティの実践を標準化するための集団的な立場を提案している。その目的は、イノベーションと成長を促しながら、新たなサイバー脅威に対して電力セクターを強化するために、国際協力、相互理解、共通標準の採用を支持することである。
Ultimately, this position paper strives to contribute to the ongoing discourse on harmonization of regulations to nurture a secure, interoperable and resilient global electricity ecosystem, ensuring a reliable and safe energy supply for the world’s population in an increasingly digitalized world. 最終的に、本ポジションペーパーは、安全で相互運用可能かつレジリエンスに優れた世界的な電力エコシステムを育成し、デジタル化が進む世界において、世界の人々のために信頼性が高く安全なエネルギー供給を確保するための規制の調和に関する現在進行中の議論に貢献することを目指している。
The Systems of Cyber Resilience: Electricity Initiative サイバー・レジリエンスのシステム: 電力イニシアティブ
Since 2018, the World Economic Forum’s Systems of Cyber Resilience: Electricity (SCRE) initiative has brought together representatives of over 60 electricity utilities, energy service providers, regulatory bodies and other pertinent organizations worldwide. Their efforts aim to achieve cooperation and fortify a cyber resilient electricity ecosystem. The SCRE stands out as the only global publicprivate partnership tailored for the electricity industry, where cybersecurity experts collaborate to enhance resilience across the electricity ecosystem. 2018年以来、世界経済フォーラムのSystems of Cyber Resilience: 電力(SCRE)イニシアチブは、世界中の60以上の電力会社、エネルギー・サービス・プロバイダ、規制団体、その他の関連団体の代表者を集めている。彼らの努力は、協力を達成し、サイバーレジリエンスに強い電力エコシステムを強化することを目的としている。SCREは、サイバーセキュリティの専門家が電力エコシステム全体のレジリエンスを強化するために協力する、電力業界向けに調整された唯一のグローバルな官民パートナーシップとして際立っている。
“It is a great opportunity to create a collaborative environment, focused on increasing global cyber resilience, based on the sharing of information, on the development of common initiatives, on the definition of principles and the alignment around them by the main actors of our industry.”  「SCREは、情報の共有、共通のイニシアティブの開発、原則の定義に基づき、電力業界の主要な関係者が連携することで、世界的なサイバーレジリエンスの強化に焦点を当てた協力的な環境を構築する絶好の機会である。
Jesús Sánchez, Head of Global Cybersecurity, Naturgy ヘスス・サンチェス、ナトゥルギー社グローバル・サイバーセキュリティ部門責任者
The Global Regulations Working Group グローバル規制ワーキンググループ
In September 2022, the SCRE community had identified global regulatory interoperability in the electricity sector as one of its key focus areas, and had set up the Global Regulations working group towards this end.  2022年9月、SCREコミュニティは、電力セクターにおけるグローバルな規制の相互運用性を重要な重点分野のひとつと位置づけ、この目的のためにグローバル規制ワーキンググループを立ち上げた。
The working group addresses the intricate global regulatory challenges prevalent throughout the electricity sector, marked by fragmentation, inconsistency and sporadic conflicts. These regulatory barriers impede the attainment of global interoperability, resulting in increased costs, inefficiencies and missed opportunities. Resources are diverted to resolve regulatory issues rather than improving cybersecurity postures specific to the sector and its various organizations. この作業部会は、断片化、矛盾、散発的な対立によって特徴づけられる、電力セクター全体に蔓延する複雑なグローバル規制の課題に取り組んでいる。このような規制上の障壁は、グローバルな相互運用性の達成を妨げ、コスト増、非効率、機会損失をもたらしている。リソースは、セクターやそのさまざまな組織に特有のサイバーセキュリティ態勢の改善よりも、規制上の問題の解決に振り向けられている。
1. Current state of affairs 1. 現状
Regulators and government agencies responsible for establishing cybersecurity requirements in various industries worldwide often adopt different approaches to tackle similar cybersecurity challenges due to the lack of a global consensus. This results in complex, industry-agnostic, fragmented, inconsistent and occasionally conflicting sets of regulations. These regulations not only lack mutual interoperability but actively hinder it. The dynamic nature of cybersecurity threats further compounds the problem as regulators frequently tighten regulations in response. This forces organizations to allocate their limited resources towards compliance rather than concentrating on bolstering their cybersecurity defences.  世界のさまざまな業界でサイバーセキュリティ要件の確立を担当するガバナンスや政府機関は、世界的なコンセンサスがないため、同様のサイバーセキュリティ課題に取り組むために異なるアプローチを採用することが多い。その結果、複雑で、業種にとらわれず、断片的で、一貫性がなく、時には矛盾する規制が生み出される。こうした規制は相互運用性を欠くだけでなく、積極的にそれを妨げている。サイバーセキュリティの脅威の動的な性質は、規制当局がそれに対応して頻繁に規制を強化するため、問題をさらに複雑にしている。このため、組織は限られたリソースをサイバーセキュリティ防御の強化に集中させるのではなく、コンプライアンスに振り向けざるを得なくなる。
Achieving regulatory interoperability may present challenges. Differences in cybersecurity standards, legal systems and national priorities among various jurisdictions can lead to conflicts and inconsistencies, making it difficult to establish and maintain interoperability over time. One notable challenge is the issue of data privacy laws, as different countries have unique data protection regulations tailored to their cultural, economic and political landscapes.  規制の相互運用性を実現するには、課題があるかもしれない。サイバーセキュリティの標準、法制度、国の優先事項がさまざまな法域で異なるため、矛盾や不整合が生じ、相互運用性の確立と長期的な維持が困難になる可能性がある。注目すべき課題の一つはデータプライバシー法の問題であり、国によって文化的、経済的、政治的景観に合わせた独自のデータ保護規制があるからである。
A similar challenge arises in incident reporting laws. For instance, some countries mandate the reporting of all data breaches, regardless of their severity, while others have thresholds for reporting based on the number of affected individuals or the level of harm. These differences can create difficulties in incident response and information sharing, particularly in cases where a breach spans multiple jurisdictions. Creating synergy among these diverse regulations is a complex and intricate process, especially given the rapid pace of digital innovation. This dynamic environment necessitates constant updates and revisions to ensure the regulations remain relevant and effective. インシデント報告法にも同様の課題がある。例えば、重大性に関係なくすべてのデータ漏洩の報告を義務付けている国もあれば、影響を受けた個人の数や被害のレベルに応じて報告のしきい値を設けている国もある。このような違いは、特に情報漏えいが複数の管轄区域にまたがる場合、インシデント対応や情報共有に困難をもたらす可能性がある。これらの多様な規制の間で相乗効果を生み出すことは、特にデジタル革新の急速なペースを考えると、複雑で入り組んだプロセスである。このようなダイナミックな環境では、規制が適切かつ効果的であり続けるよう、常に更新や改定を行う必要がある。
Moreover, there is a pressing concern to ensure that regulatory interoperability does not compromise national security. Nations must strike a balance between the need for a collective cybersecurity front and the need to protect their individual interests and security.  さらに、規制の相互運用性が国家の安全保障を損なわないようにすることも急務である。各国は、集団的なサイバーセキュリティ前線の必要性と、個々の利益と安全保障を守る必要性との間でバランスを取らなければならない。
Despite the obstacles, solutions can be found. Initiatives such as working groups, international forums and collaborative agreements can play a pivotal role in promoting dialogue and establishing robust systems to monitor, evaluate and update regulatory frameworks. These mechanisms not only contribute to a more secure and resilient digital landscape but also foster innovation and growth.  障害はあるが、解決策は見つかる。ワーキンググループ、国際フォーラム、協力協定などのイニシアチブは、対話を促進し、規制の枠組みを監視、評価、更新する強固なシステムを確立する上で極めて重要な役割を果たすことができる。こうした仕組みは、より安全でレジリエンスに優れたデジタル環境の実現に貢献するだけでなく、イノベーションと成長の促進にもつながる。
Many regulators and government agencies have begun to recognize the need for regulatory harmonization and multiple efforts have been put into practice, such as the European Commission’s Cyber Resilience Act (CRA) and the White House Office of the National Cyber Director (ONCD)’s request for information (RFI) on cybersecurity regulatory harmonization.  多くの規制当局や政府機関が規制調和の必要性を認識し始めており、欧州委員会のサイバーレジリエンス法(CRA)やホワイトハウスの国家サイバー長官室(ONCD)のサイバーセキュリティ規制調和に関する情報提供要請(RFI)など、複数の取り組みが実践されている。
Simultaneously, several international dialogues are going on between states, such as the EU-US Cyber Dialogue, US-Japan Cyber Dialogue and FranceUnited Kingdom Cyber Dialogue, in addition to regulatory reciprocity schemes such as the EU-US Data Privacy Framework, Singapore Cybersecurity Labelling Scheme and APEC Cross-Border Privacy Rules (CBPR) system.  同時に、EU-米国サイバーダイアログ、日米サイバーダイアログ、フランス-英国サイバーダイアログなど、国家間の国際対話がいくつか行われており、EU-米国データプライバシーフレームワーク、シンガポールサイバーセキュリティラベル制度、APEC越境プライバシー規則(CBPR)制度などの規制相互主義制度もある。
While these efforts are in the right direction, they are far from achieving global interoperability and much work remains to be done by both the public and private sectors to build a more cyber resilient electricity ecosystem. これらの努力は正しい方向にあるが、グローバルな相互運用性を達成するには程遠く、よりサイバーレジリエンスに強い電力エコシステムを構築するためには、官民両セクターによる多くの作業が残されている。
2. Importance of global regulatory interoperability 2. グローバルな規制の相互運用性の重要性
Aligning cybersecurity regulations globally ensures uniform cybersecurity practices, enabling companies operating across multiple regions to adhere to consistent standards. Harmonization reduces complexity and confusion, simplifying compliance efforts. Moreover, interoperability fosters enhanced collaboration and information sharing among various entities globally, facilitating joint efforts to combat cyber threats and exchange best practices.  サイバーセキュリティ規制をグローバルに整合させることで、統一されたサイバーセキュリティの実践が保証され、複数の地域で事業を展開する企業が一貫した標準を遵守できるようになる。相互運用性により、複雑さと混乱が緩和され、コンプライアンスへの取り組みが簡素化される。さらに、相互運用性により、世界各地のさまざまな事業体間の連携と情報共有が強化され、サイバー脅威との戦いやベストプラクティスの交換に向けた共同の取り組みが促進される。
A unified approach to cybersecurity regulations allows for a comprehensive understanding and management of risks, transcending different regions in the electricity industry. Standardizing regulations minimizes the complexity and costs of compliance for global corporations, eliminating the need to navigate a multitude of divergent regulations.  サイバーセキュリティ規制への統一的なアプローチにより、電力業界のさまざまな地域を超えて、リスクを包括的に理解しマネジメントすることが可能になる。規制を標準化することで、グローバル企業のコンプライアンスの複雑さとコストを最小限に抑え、多数の異なる規制をナビゲートする必要がなくなる。
Global interoperability also leads to more robust defence mechanisms against cyber threats by enabling standardized cybersecurity practices, bolstering overall cyber resilience. A harmonized regulatory landscape fosters a fair playing field, encouraging innovation and the development of new cybersecurity technologies, free from varying compliance requirements.  また、グローバルな相互運用性は、標準化されたサイバーセキュリティの実践を可能にすることで、サイバー脅威に対するより強固な防御メカニズムにつながり、全体的なサイバーレジリエンスを強化する。規制の調和は公平な競争の場を促進し、さまざまなコンプライアンス要件から解放されたサイバーセキュリティ技術の革新と発展を促す。
In a cyber incident with global implications, uniform regulations enable a coordinated and efficient response across multiple jurisdictions, significantly mitigating the impact of such incidents. Given the global spread of supply chains, being able to rely on shared prevention, mitigation, information sharing and incident response practices will lead to a more sustainable, cyber resilient ecosystem worldwide. Ultimately, regulatory interoperability for cybersecurity around the world is imperative to foster a more secure digital and physical environment. It can align standards, promote collaboration, reduce costs and effectively manage and respond to cyber threats worldwide. グローバルな影響を及ぼすサイバーインシデントが発生した場合、統一された規制によって、複数の法域にまたがる協調的かつ効率的な対応が可能になり、そのようなインシデントの影響が大幅に低減される。サプライチェーンがグローバルに広がっていることを考えると、予防、低減、情報共有、インシデント対応のプラクティスを共有できることは、世界的により持続可能で、サイバーレジリエンスの高いエコシステムにつながる。最終的には、世界中のサイバーセキュリティに関する規制の相互運用性は、より安全なデジタルおよび物理的環境を促進するために不可欠である。これにより、標準を合わせ、協力を促進し、コストを削減し、世界中のサイバー脅威を効果的に管理し、対応することができる。
3. 10 key themes for global regulatory interoperability 3. グローバルな規制の相互運用性のための10の主要テーマ
After analysing multiple regulations, the community has identified 10 key global regulatory themes for regulators to consider. 複数の規制を分析した結果、コミュニティは、規制当局が検討すべき10の主要なグローバル規制テーマを特定した。
FIGURE 1. Key themes for facilitating global interoperability of cyber regulations 図 1. サイバー規制のグローバルな相互運用性を促進するための主要テーマ
20231124-45847
1. Compliance and enforcement 1. コンプライアンスと執行
2. Data protection and privacy 2. データ保護とプライバシー
3. Information sharing 3. 情報共有
4. Incident response and reporting 4. インシデント対応と報告
5. Cybersecurity hygiene internal policies and procedures 5. サイバーセキュリティ衛生に関する社内方針と手順
6. Penetration testing 6. 侵入テスト
7. Vulnerability disclosure and management 7. 脆弱性の開示と管理
8. Risk assessment and management 8. リスクアセスメントとマネジメント
9. Third-party risk management 9. サードパーティリスク管理
10. Adoption of existing international standards versus creation of unique, national (or regional) standards 10. 既存の国際標準の採用か、独自の国内(または地域)標準の策定か。
4. Community position on the key themes 4. 主要テーマに関するコミュニティの見解
The SCRE Global Regulations working group has adopted the following positions on the 10 key global regulatory themes: SCRE Global Regulations ワーキンググループは、10 の主要なグローバル規制テーマについて以下の立場を採択した:
1. Compliance and enforcement: Global commitment to prioritize cybersecurity best practices over compliance. This implies a shift in mindset. Instead of merely meeting regulatory requirements, the focus is on prioritizing cybersecurity measures and protocols, sometimes beyond what is mandated. This approach emphasizes a proactive stance in ensuring a high level of cybersecurity rather than just checking the boxes to comply with regulations.  1. コンプライアンスと執行:コンプライアンスよりもサイバーセキュリティのベストプラクティスを優先することを世界的に約束する。これは、考え方の転換を意味する。単に規制要件を満たすのではなく、サイバーセキュリティ対策やプロトコルを優先させることに重点を置く。このアプローチは、規制を遵守するために単にチェックボックスをチェックするのではなく、高いレベルのサイバーセキュリティを確保するための積極的な姿勢を強調するものである。
2. Data protection and privacy: Global commitment to support data protection and privacy regulations such as the General Data Protection Regulation (GDPR) of the European Union (EU). This commitment indicates a recognition of the importance of safeguarding sensitive information. Its ambit includes data privacy, ensuring the confidentiality, integrity and availability of data while aligning with the principles of privacy by design and default.  2. データ保護とプライバシー: 欧州連合(EU)の一般データ保護規則(GDPR)のようなデータ保護とプライバシー規制を支持するグローバルなコミットメント。このコミットメントは、機密情報を保護することの重要性を認識していることを示している。その範囲にはデータプライバシーが含まれ、プライバシー・バイ・デザインとデフォルトの原則に沿いながら、データの機密性、完全性、可用性を確保する。
3. Information sharing: Global commitment to create and use a common information-sharing protocol and taxonomy worldwide, and to support the respective electricity information sharing and analysis centres (ISACs). Establishing a common information-sharing protocol and taxonomy globally is vital. It allows for consistent communication and collaboration among various stakeholders in the electricity sector, enhancing the ability to promptly identify and respond to threats. This commitment extends to supporting ISACs.  3. 情報共有: 世界共通の情報共有プロトコルと分類法を作成・使用し、各電力の情報共有・分析センター(ISAC)を支援することを約束する。世界共通の情報共有プロトコルと分類法を確立することは極めて重要である。これによって、電力セクターのさまざまな利害関係者の間で一貫したコミュニケーションと協力が可能になり、脅威を迅速に特定し対応する能力が強化される。このコミットメントはISACの支援にも及ぶ。
4. Incident response and reporting: Global commitment to adopt a common and efficient international incident reporting taxonomy and requirements. This commitment would ensure a standardized approach to reporting cybersecurity incidents. Such a taxonomy facilitates a better and shared understanding of the nature and impact of incidents, enabling a coordinated and timely response both within and across borders.  4. インシデント対応と報告: 共通かつ効率的な国際的インシデント報告分類法と要件を採用することを世界的に約束する。このコミットメントにより、サイバーセキュリティインシデントを報告するための標準化されたアプローチが確保される。このような分類法は、インシデントの性質と影響に関するより良い共通の理解を促進し、国内および国境を越えた協調的かつタイムリーな対応を可能にする。
5. Cybersecurity hygiene internal policies and procedures: Global commitment to establish basic cyber hygiene principles specific to the electricity sector. This commitment would provide for a foundational level of security across all operations, reducing vulnerabilities, enhancing overall resilience and promoting a cybersecurity culture.  5. サイバーセキュリティ衛生に関する内部の方針と手順: 電力部門に特化したサイバー衛生の基本原則を確立するための世界的なコミットメント。このコミットメントは、すべての業務にわたって基礎的なレベルのセキュリティを提供し、脆弱性を低減し、全体的なレジリエンスを強化し、サイバーセキュリティ文化を促進する。
6. Penetration testing: Global commitment to regular internal penetration testing, which includes operational technology (OT) penetration testing. This allows for identifying and addressing potential weaknesses in systems and infrastructure, fortifying defences against cyber threats.  6. 侵入テスト: 運用技術(OT)侵入テストを含む、定期的な内部侵入テストへのグローバルなコミットメント。これにより、システムやインフラの潜在的な弱点を特定して対処し、サイバー脅威に対する防御を強化することができる。
7. Vulnerability disclosure and management: Global commitment to sectorial vulnerability disclosure among closed groups of sectorspecific, pre-authorized entities. This would foster a secure environment for information sharing within closed groups, allowing for proactive resolution of vulnerabilities without risking widespread exposure.  7. 脆弱性の開示と管理: セクターごとに事前に認可された事業体のクローズドなグループ間で、セクターごとの脆弱性開示に世界的に取り組む。これにより、クローズドなグループ内での情報共有のための安全な環境が醸成され、広範なエクスポージャーのリスクを冒すことなく、脆弱性を事前に解決することが可能となる。
8. Risk assessment and management: Global commitment to applying risk assessment methodology consistently across information technology and operational technology environments. Applying consistent risk assessment methodology across IT and OT environments ensures a comprehensive understanding of potential risks, allowing for better-informed and timely decision-making regarding cybersecurity matters.  8. リスクアセスメントとマネジメント: 情報技術(IT)および業務技術(IT)環境全体で一貫したリスクアセスメント手法の適用にグローバルに取り組む。IT 環境と OT 環境に一貫したリスクアセスメント手法を適用することで、潜在的なリスクを包括的に 理解し、サイバーセキュリティに関する意思決定をより的確かつタイムリーに行うことができる。
9. Third-party risk management: Global commitment that every organization in the supply chain must consider and be responsible for the cybersecurity of its scope of work. This would ensure a comprehensive approach to managing and mitigating risks associated with third-party involvement, securing and embracing ecosystem-wide resilience in the electricity sector.  9. サードパーティリスクマネジメント: サプライチェーン内のすべての組織が、その業務範囲のサイバーセキュリティを検討し、責任を負わなければならないというグローバルなコミットメント。これにより、サードパーティの関与に関連するリスクを管理・低減する包括的なアプローチが確保され、電力セクターにおけるエコシステム全体のレジリエンスが確保され、包含されることになる。
10. Adoption of existing international standards versus creation of unique, national (or regional) standards: Global commitment to adoption of mature existing international standards such as ISO 27001 and the ISA/IEC 62443 series. Adopting existing international standards rather than creating unique regional standards would ensure a more universally accepted and harmonized approach to cybersecurity practices, leveraging established best practices. These standards should be updated when needed to allow for a harmonized approach to global regulations instead of frequent changes trying to account for evolving technologies and threats. 10. 既存の国際標準の採用と、各国(または地域)独自の標準の作成との比較: ISO 27001 や ISA/IEC 62443 シリーズなど、成熟した既存の国際標準の採用に世界的に取り組む。地域ごとに独自の標準を策定するのではなく、既存の国際標準を採用することで、確立されたベストプラクティスを活用したサイバーセキュリティの実践がより普遍的に受け入れられ、調和されたアプローチとなる。これらの標準は、進化する技術や脅威を考慮して頻繁に変更するのではなく、グローバルな規制に調和したアプローチを可能にするために、必要に応じて更新されるべきである。
Conclusion 結論
These collective commitments help regulators and other stakeholders in the electricity sector to share a common vision and understand what the electricity sector deems as important to be cyber resilient. Together, they embody the direction that the global community is heading towards.  これらの集団的なコミットメントは、規制当局と電力セクターの他の利害関係者が共通のビジョンを共有し、電力セクターがサイバーレジリエンスを高めるために何が重要だと考えているかを理解するのに役立つ。これらは共に、国際社会が目指す方向を体現している。
Achieving global interoperability of cybersecurity regulations in the electricity sector demands a significant shift in approach. This transformation involves prioritizing security measures over mere regulatory compliance, taking a proactive stance to bolster cybersecurity standards and ensuring a higher level of protection. It requires the establishment of consistent risk evaluations, uniform standards and shared responsibility throughout the supply chain to strengthen the cybersecurity structure of the sector.  電力セクターにおけるサイバーセキュリティ規制のグローバルな相互運用性を達成するには、アプローチの大幅な転換が必要である。この転換には、単なる規制遵守よりもセキュリティ対策を優先し、サイバーセキュリティ標準を強化するために積極的な姿勢をとり、より高いレベルの保護を確保することが含まれる。そのためには、一貫したリスク評価、標準の統一、サプライチェーン全体での責任分担を確立し、このセクターのサイバーセキュリティ体制を強化する必要がある。
Additionally, the adoption of international standards and the promotion of secure information-sharing environments play a critical role. These actions encourage collaboration, innovation and effective strategies for responding to incidents worldwide. Support for standardized data protection laws, such as GDPR, highlights the commitment to safeguarding sensitive information and ensuring its integrity and confidentiality.  さらに、国際標準の採用と安全な情報共有環境の促進も重要な役割を果たす。これらの行動は、世界的なインシデントに対応するための協力、革新、効果的な戦略を促進する。GDPRのような標準化されたデータ保護法の支持は、機密情報を保護し、その完全性と機密性を確保するというコミットメントを強調するものである。
Ultimately, the journey towards a more secure and robust electricity sector involves aligning regulations, fostering collaboration and streamlining endeavours across diverse jurisdictions. This collective endeavour not only mitigates cyber threats but also promotes innovation and coordinated response mechanisms, thus establishing a resilient and unified global cybersecurity approach within the electricity industry. 最終的に、より安全で堅牢な電力セクターを目指すには、規制を整え、協力を促進し、多様な管轄区域にまたがる努力を合理化する必要がある。この集団的な努力は、サイバー脅威を軽減するだけでなく、イノベーションと協調的な対応メカニズムを促進し、電力業界におけるレジリエンスと統一されたグローバルなサイバーセキュリティ・アプローチを確立する。

 

Annex 1: Related publications  附属書1:関連出版物 
1. Cyber Resilience in the Electricity Ecosystems: Principles and Guidance for Boards  1. 電力エコシステムにおけるサイバーレジリエンス: 理事会のための原則とガイダンス 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem.pdf 
2. Cyber Resilience in the Electricity Industry: Analysis and Recommendations on Regulatory Practices for the Public and Private Sectors  2. 電力業界におけるサイバーレジリエンス: 官民セクターの規制慣行に関する分析と提言 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem_Policy_ makers_2020.pdf 
3. Cyber Resilience in the Electricity Ecosystems: Playbook for Boards and Cybersecurity Officers  3. 電力エコシステムにおけるサイバーレジリエンス: 取締役会とサイバーセキュリティ・オフィサーのためのプレイブック 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem_Playbook_for_ Boards_and_Cybersecurity_Officers_2020.pdf 
4. Cyber Resilience in the Electricity Ecosystems: Securing the Value Chain  4. 電力エコシステムにおけるサイバーレジリエンス: バリューチェーンの確保 
https://www3.weforum.org/docs/WEF_Securing_the_Electricity_Value_Chain_2020.pdf 
5. European Commission’s Cybersecurity Package: Commentary in light of recent sophisticated supply chain attacks  5. 欧州委員会のサイバーセキュリティ・パッケージ: 最近の高度なサプライチェーン攻撃を踏まえた解説 
https://www3.weforum.org/docs/WEF_Commentary_in_light_of_recent_sophisticated_supply_chain_ attacks_2021.pdf 
6. Response to the White House’s Request on Harmonizing Cybersecurity Regulations  6. サイバーセキュリティ規制の調和に関するホワイトハウスの要請への回答 
https://www3. weforum.org/docs/WEF_Response_to_the_White_House%E2%80%99s_Request_on_Harmonizing_ Cybersecurity_Regulations_2023.pdf

| | Comments (0)

2023.11.21

EDPS 説明可能な人工知能

こんにちは、丸山満彦です。

欧州データ保護監督官 (EUROPEAN DATA PROTECTION SUPERVISOR: EDPS) が説明可能な人工知能 (Explainable Artificial Intelligence) を公表していました。。。

大規模言語モデルなど、データとその解析をするためのパラメータが多く、入力に対してどのような出力をだすのか、わからない、いわゆる関数のブラックボックス化がAIの問題として捉えられることが多いように思います。

関数がブラックボックスになので、バイアス、不正確さ、幻覚などが生じても、生じているかどうかを判定できない場合もあるだろう。。。

ブラックボックスなので、その結果を利用することにより、社会や個人にとって有害な状況が生じるかもしれない。

その結果に対して責任は誰がとるべきなのか?開発者?利用者?その両方?状況次第?

でも考えてみたら当たり前の話ですよね。。。人間を模倣して作ったのだから当然に関数はブラックボックスになる。だって、人間の思考関数はブラックボックスだから。。。

むしろ、人間の思考より再現性が高いくらいだと思います。

私はAIをむしろ人間と同じように捉えて、ブラックボックス、つまり入力値から出力値を正確に予測できないことを前提にいろいろと考えたほうが良いのだろうと思います。

なので、AIが出した結果については、AIの開発者と利用者双方で責任をどのように負うのかということを考えるようにすべきなのではないかと思います。

おそらく次のような考え方がよいのではないかと思っています。

1. 政府等が出荷されるAIについての認定基準をつくり、検査した結果、合格したものだけが社会に提供される制度をつくる

2. AI開発者は認定AIのみを社会に提供する。この認定基準に違反した製品を社会に提供した場合に開発者に責任が問われる。

3. 利用者は認定したAIを調整して利用することができるが、その調整した後、生じた結果については利用者が責任を負うことになる。場合によってはけんさを受けてそれを認定AIとすることもできる。

4. 認定AIの生じた結果による損害は、政府または基金から補償することにする。

細かいことは検討できていないのですが、ざっとそんな感じが社会的にも受け入れやすいのではないかと思いますが、どうでしょうか???

 

ただ、だからといって、透明性、解釈可能性、説明可能性をおろそかにするということではないとは思います。これらを出来うる限り追求するのだけれども、必ずしも完全にはそうできないから、そのできない部分をどうするのか、、、ということだと思います。。。

 

さて、本題...

EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.11.16 Explainable Artificial Intelligence

・[PDF]

20231121-10010

 

 

| | Comments (0)

EDPS プライバシーおよび個人情報保護の基本的権利の本質に関する研究 (2023.11.08)

こんにちは、丸山満彦です。

欧州データ保護監督官 (EUROPEAN DATA PROTECTION SUPERVISOR: EDPS) がプライバシーおよび個人情報保護の基本的権利の本質に関する研究 (Study on the Essence of the fundamental rights to privacy and to the protection of personal data) を公表していました。。。

この報告書自体は2022年12月のようですね。。。

 

EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.11.08 Study on the Essence of the fundamental rights to privacy and to the protection of personal data

 

Abstract:  概要 
This background paper explores the requirement of respecting the ‘essence’ of the rights to respect for private life and of right to the protection of personal data whenever these rights are limited under European Union (EU) law. The requirement is explicitly established in Article 52(1) of the Charter of Fundamental Rights of the EU, and currently also mentioned in EU secondary law. With the aim of facilitating further reflection and discussion on the requirement’s application notably when limitations of the right to personal data protection are at stake, the paper reviews current knowledge on the subject and illustrates the significant limitations of existing knowledge. Taking stock of the relevant literature and case law, mainly of the Court of Justice of the EU and of the European Court of Human Rights (ECHR), it also identifies a few key issues deserving further analysis and discussion. The paper concludes by suggesting it can be useful to focus not on speculating about what would be the essence of the rights at stake, but rather on when must a limitation of a right be regarded as a breach of the essence requirement.  本稿では、欧州連合(EU)法の下で私生活の尊重と個人情報保護の権利が制限される場合、その「本質」を尊重するという要件について考察する。この要件は、EU基本権憲章 第52条1項で明確に規定されており、現在EUの二次法でも言及されている。本稿では、特に個人情報保護の権利の制約が問題となっている場合に、この要件の適用に関する考察と議論を促進することを目的として、このテーマに関する現在の知見をレビューし、既存の知見には大きな限界があることを説明する。主にEU司法裁判所と欧州人権裁判所(ECHR)の関連文献と判例を概観し、さらなる分析と議論に値するいくつかの重要な問題を明らかにする。本稿の結論は、問題となっている権利の本質が何であるかを推測することではなく、むしろ、権利の制限が本質要件の違反とみなされるのはどのような場合であるかに焦点を当てることが有益であることを示唆している。

 

・[PDF]

20231120-234931

・[DOCX] 英語

 

 

Executive summary  要旨 
The Charter of Fundamental Rights of the European Union (EU) establishes that the EU fundamental rights to the respect for private life and to the protection of personal data may be limited only if the limitations at stake respect the rights’ essence. The paper reviews current knowledge on this ‘essence requirement’ taking stock of the pertinent case law of Court of Justice of the EU (CJEU), the European Court of Human Rights (ECtHR) and selected national courts, building on the growing literature on the subject.  欧州連合(EU)の基本権憲章は、私生活の尊重と個人データの保護に関するEUの基本権は、その制限が権利の本質を尊重する場合にのみ制限されることを定めている。本稿では、EU司法裁判所(CJEU)、欧州人権裁判所(ECtHR)、および特定の国内裁判所の関連判例を概観しながら、この「本質的要件」に関する現在の知見をレビューし、このテーマに関する増加しつつある文献を紹介する。
The starting point of the contribution is that the interpretation of the essence requirement finds itself at the crossroads of three elusive issues: the very notion of ‘essence’ in EU fundamental rights law, the content of the EU fundamental right to personal data protection, and the oftenambiguous relation between this right and the right to respect for private life. These three issues are discussed in detail.    この寄稿の出発点は、本質的要件の解釈が、3つのとらえどころのない問題の交差点にあるということである: すなわち、EU基本権法における「本質」の概念そのもの、個人データ保護に関するEU基本権の内容、そしてこの権利と私生活尊重の権利との間のしばしば曖昧な関係である。これら3つの問題について詳しく論じる。
The explicit reference in Article 52(1) of the EU Charter to the obligation to respect the essence of rights as a condition for their lawful limitations was formally a novelty, even though the CJEU had previously already referred to the need to respect the very substance of fundamental rights, and the ECtHR had also relied on similar arguments. Similar mechanisms can also be found in national legal frameworks.  EU憲章第52条1項で、権利が合法的に制限されるための条件として、権利の本質を尊重する義務について明確に言及したことは、形式的には斬新なものであったが、それ以前にCJEUはすでに基本的権利の本質を尊重する必要性に言及しており、ECtHRも同様の議論に依拠していた。同様の仕組みは国内法の枠組みにも見られる。
The case law of CJEU reveals that the essence requirement may be applied by the Court without there being a particularly clear delimitation of the essence of a right as such. In this sense, it can be useful to envision the essence requirement not as an imperative imposed on courts to clearly delimit a core area of each right, but rather as a tool put in their hands to declare unlawful certain types of limitations of rights.  CJEUの判例法は、権利の本質が特に明確に規定されていなくても、裁判所が本質要件を適用する可能性があることを明らかにしている。この意味で、本質的要件は、各権利の中核的領域を明確に画定するよう裁判所に課せられた命令ではなく、むしろ、ある種の権利の制限を違法と宣言するために裁判所が手にする道具として想定することが有益である。
Regarding the content of the EU fundamental right to personal data protection, there is currently no consensus on what it comprises exactly. This unsettled status of the content of the EU fundamental right to personal data does not facilitate the identification of what could be its essence. In addition, a certain ambiguity also surrounds the relation between this right and the EU fundamental right to respect for private life. Even though there has been an evolution in the CJEU case law, and the two rights have been progressively recognised as existing independently and detached from each other, they are not necessarily applied in isolation.   個人データ保護に関するEUの基本的権利の内容については、現在のところ、それが具体的にどのようなものであるかについてのコンセンサスは得られていない。このように個人データに関するEUの基本的権利の内容が定まっていない状態は、その本質となりうるものの特定を容易にしていない。さらに、この権利とEUの私生活尊重の基本的権利との関係にも、ある種の曖昧さがつきまとっている。CJEUの判例法には進化があり、この2つの権利は互いに独立し、切り離されて存在するものとして徐々に認められてきたとはいえ、必ずしも切り離して適用されるわけではない。 
The essence requirement has played an important role in the case law of the CJEU about the rights to respect for private life at personal data protection – it has been mentioned in multiple judgments. The cases where a specific right’s limitation was deemed not to respect the essence of a right are nevertheless, comparatively, only a few instances.  本質的要件は、私生活の尊重と個人データ保護の権利に関するCJEUの判例法において重要な役割を果たしており、複数の判決で言及されている。とはいえ、特定の権利の制限が権利の本質を尊重していないと判断されたケースは、比較的少数である。
A recurrent mismatch between what the CJEU has stressed as important elements of the right to personal data protection, on the one hand, and the facets mentioned by the Court when applying the essence requirement, on the other, appears to confirm that the CJEU is not primarily concerned with construing the essence of the right as the core of a well-articulated series of spheres.   日本欧州委員会(CJEU)が個人情報保護の権利の重要な要素として強調してきたことと、裁判所が本質の要件を適用する際に言及した側面との間にミスマッチが繰り返し生じていることは、CJEUが権利の本質を一連の領域の核心として解釈することに主眼を置いていないことを裏付けているように思われる。 
In light of the described landscape can be identified a number of issues deserving further consideration, taking also into account ongoing policy and legislative developments. These issues concern the mentioned connection between the essence requirement and the delimitation of right’s content, the specificity of the right to personal data protection, the criteria to determine that the essence requirement is not respected, and, finally, the surfacing of references to the essence requirement in other instruments of EU data protection law.   以上のような状況に照らして、現在進行中の政策や法制の進展も考慮に入れつつ、さらに検討すべき多くの問題を特定することができる。これらの問題は、本質的要件と権利内容の限定との間に言及された関連性、個人データ保護の権利の特異性、本質的要件が尊重されていないと判断する基準、そして最後に、EUデータ保護法の他の文書における本質的要件への言及の表面化に関するものである。 
As the essence requirement may be applied without a simultaneous clear demarcation by the courts of the content of a right, the content of the right to personal data protection may therefore be, at least to some extent, discussed independently from the limited list of elements highlighted when the essence requirement is at stake in the CJEU case law. The question of which data protection safeguards are part of the content of the right guaranteed under Article 8 of the EU Charter remains in any case open.  エッセンス要件は、裁判所が権利の内容を同時に明確に区分することなく適用される可能性があるため、個人データ保護の権利の内容は、少なくともある程度は、CJEUの判例法においてエッセンス要件が問題となった際に強調された限られた要素のリストとは独立して議論される可能性がある。どのデータ保護保護措置がEU憲章第8条で保障された権利の内容に含まれるのかという問題は、いずれにせよ未解決のままである。
Another important question that remains open is whether the progressive increase in requests for preliminary rulings specifically on the interpretation of the General Data Protection Regulation (GDPR), which refers in its first Recital to Article 8 of the EU Charter but not Article 7, will eventually lead to a clearer focus in the CJEU case law on the singularity of Article 8 of the EU Charter. Future case law should throw further light on the criteria relevant to determining that the essence requirement is not respected.  また、EU憲章第8条には言及しているが第7条には言及していない一般データ保護規則(GDPR)の解釈に関する仮判決の請求が増加していることから、EU憲章第8条の特異性に関してCJEUの判例法がより明確な焦点を当てるようになるかどうかも重要な問題である。今後の判例法は、本質的要件が尊重されていないと判断するための基準についてさらに光を当てるはずである。
In any case, references to the essence requirement are currently not confined to Article 52(1) of the EU Charter - the requirement appears also in provisions of secondary law. Examples of such more recent manifestations are the reference to the essence in Article 25 of Regulation 2018/1725, for instance, or in the Standard Contractual Clauses adopted by the European Commission in June 2021. These developments imply that not only the legislator and the judiciary, but also data controllers and processors, should be able to determine there has been a breach of the requirement to respect the essence of EU fundamental rights, including of the essence of the rights to respect for private life and to personal data protection.  いずれにせよ、本質要件への言及は現在、EU憲章第52条1項に限定されているわけではなく、二次法の規定にも現れている。例えば、規則2018/1725の第25条や、2021年6月に欧州委員会が採択した標準契約条項における本質への言及がその例である。こうした動きは、立法者や司法だけでなく、データ管理者や処理者も、私生活の尊重や個人データ保護の権利の本質を含め、EUの基本的権利の本質を尊重する義務に違反したと判断できるようになることを示唆している。
This study thus situates existing knowledge on the essence requirement insofar as it relates to the EU fundamental right to personal data protection, illustrating the limitations of such knowledge. The numerous cases pending in front of the CJEU which concern data protection law in general could in the upcoming months and years offer more relevant insights on the way in which courts might use this tool to put an end to unacceptable violations of the EU Charter. In the meantime, references to the essence requirement are surfacing in a variety of instruments, including, for instance, Standard Contractual Clauses, obliging actors different from the courts and the legislator to understand how to deal in practice with this still elusive requirement. A pragmatic approach to the current challenges could focus not on speculating on what would be the very essence of the rights at stake, but rather on when must a limitation of a right be regarded as a breach of the essence requirement.  本研究は、このように、個人データ保護に対するEUの基本的権利に関連する限りにおいて、本質的要件に関する既存の知識を位置づけ、そのような知識の限界を説明するものである。データ保護法一般に関わるCJEUで係争中の数多くの事例から、今後数カ月から数年のうちに、裁判所がEU憲章の容認しがたい違反に終止符を打つためにこの手段を用いる方法について、より適切な洞察が得られる可能性がある。その一方で、例えば標準契約条項を含む様々な文書において、本質的要件への言及が表面化しており、裁判所や立法者とは異なる主体が、このまだ捉えどころのない要件に実際にどのように対処すべきかを理解することを義務付けている。現在の課題に対する実際的なアプローチは、問題となっている権利の本質が何であるかを推測することではなく、むしろ、権利の制限が本質要件の違反とみなされるのはどのような場合か、ということに焦点を当てることができるだろう。

 

目次...

1.  Introduction 1.  はじめに
2.  Legal framework 2.  法的枠組み
3.  State of knowledge 3.  知識の現状
3.1.  The essence requirement 3.1.  本質的要件
3.2.  The right to the protection of personal data 3.2.  個人情報保護の権利
3.3.  The right to respect for private life 3.3.  私生活を尊重する権利
4.  Case law on the essence of the rights of Art. 7 and 8 EU Charter 4.  EU憲章第7条および第8条の権利の本質に関する判例法
4.1.  ECtHR 4.1.  ECtHR
4.2.  CJEU 4.2.  CJEU
5.  Key issues 5.  主な争点
5.1.  Link between the essence and the content of rights 5.1.  権利の本質と内容の関連性
5.2.  The specificity of the right to personal data protection 5.2.  個人データ保護の権利の特殊性
5.3.  Criteria for the qualification of the limitation 5.3.  制限の認定基準
5.4.  References to the essence in other instruments 5.4.  他の文書における本質への言及
6.  Concluding remarks 6.  結論
Bibliographical references 参考文献

 

欧州連合基本権憲章

EUR -Lex

Charter of Fundamental Rights of the European Union

CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION

Article 7 第7条
Respect for private and family life 私生活および家庭生活の尊重
Everyone has the right to respect for his or her private and family life, home and communications. すべての人は、自己の私生活、家庭生活及び通信手段を尊重される権利を有する。
   
Article 8 第8条
Protection of personal data 個人情報の保護
1.   Everyone has the right to the protection of personal data concerning him or her. 1.   すべての人は、自己に関する個人情報を保護される権利を有する。
2.   Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified. 2.   個人情報は、特定された目的のために、本人の同意または法律で定められたその他の正当な根拠に基づいて、公正に処理されなければならない。すべての人は、自分に関して収集されたデータにアクセスする権利、およびそれを修正させる権利を有する。
3.   Compliance with these rules shall be subject to control by an independent authority. 3.   本規則の遵守は、独立機関による管理の対象とする。
   
Article 52 第52条
Scope and interpretation of rights and principles 権利および原則の範囲と解釈
1.   Any limitation on the exercise of the rights and freedoms recognised by this Charter must be provided for by law and respect the essence of those rights and freedoms. Subject to the principle of proportionality, limitations may be made only if they are necessary and genuinely meet objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others. 1.   本憲章によって認められる権利および自由の行使に対するいかなる制限も、法律によって定められ、かつ、これらの権利および自由の本質を尊重しなければならない。比例原則に従い、制限は、それが必要であり、かつ、真に同盟が認める一般的利益の目的または他人の権利および自由を保護する必要を満たす場合に限り、行うことができる。
2.   Rights recognised by this Charter for which provision is made in the Treaties shall be exercised under the conditions and within the limits defined by those Treaties. 2.   本憲章によって認められる権利であって、条約において規定されているものは、条約によって定められた条件および範囲内で行使されるものとする。
3.   In so far as this Charter contains rights which correspond to rights guaranteed by the Convention for the Protection of Human Rights and Fundamental Freedoms, the meaning and scope of those rights shall be the same as those laid down by the said Convention. This provision shall not prevent Union law providing more extensive protection. 3.   本憲章が人権及び基本的自由の保護に関する条約によって保障される権利に対応する権利を含む限りにおいて、これらの権利の意味及び範囲は、同条約が定めるものと同一とする。この規定は、連合法がより広範な保護を提供することを妨げるものではない。
4.   In so far as this Charter recognises fundamental rights as they result from the constitutional traditions common to the Member States, those rights shall be interpreted in harmony with those traditions. 4.   この憲章が、加盟国に共通する憲法の伝統から生じる基本的権利を認める限りにおいて、これらの権利は、これらの伝統と調和して解釈されるものとする。
5.   The provisions of this Charter which contain principles may be implemented by legislative and executive acts taken by institutions, bodies, offices and agencies of the Union, and by acts of Member States when they are implementing Union law, in the exercise of their respective powers. They shall be judicially cognisable only in the interpretation of such acts and in the ruling on their legality. 5.   原則を含むこの憲章の規定は、連合の機関、団体、官庁および機関がそれぞれの権限を行使する際にとる立法行為および行政行為、ならびに加盟国が連合法を実施する際にとる行為によって実施することができる。これらの行為は、当該行為の解釈およびその適法性に関する裁定においてのみ、司法上認められるものとする。
6.   Full account shall be taken of national laws and practices as specified in this Charter. 6.   本憲章に規定された国内法および慣行を十分に考慮しなければならない。
7.   The explanations drawn up as a way of providing guidance in the interpretation of this Charter shall be given due regard by the courts of the Union and of the Member States. 7.   本憲章の解釈の指針として作成された解説は、連合国および加盟国の裁判所において、十分に考慮されるものとする。

 

 

| | Comments (0)

2023.11.20

NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響:エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント, NIST SP 800-221A 情報通信技術(ICT)リスクの成果: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

こんにちは、丸山満彦です。

NISTがICTリスクとERMを結ぶ、「SP800-221 情報通信技術リスクのエンタープライズへの影響:エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント」とその補足文書である「NIST SP 800-221A 情報通信技術(ICT)リスクの成果: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合」の確定版を公表していますね。。。

2023.03に経済産業省からサイバーセキュリティ経営ガイドライン Ver 3.0公表したのですが、これはNISTのこの流れを踏まえてサイバーセキュリティリスクをERMの一部として考えることにより、経営全体の一部として経営者が取り組みやすいように考えたものなんです。。。

 

NIST - ITL

・2023.11.17 NIST SP 800-221 Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio

 

NIST SP 800-221 Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響:エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント
Abstract 概要
All enterprises should ensure that information and communications technology (ICT) risk receives appropriate attention within their enterprise risk management (ERM) programs. This document is intended to help individual organizations within an enterprise improve their ICT risk management (ICTRM). This can enable enterprises and their component organizations to better identify, assess, and manage their ICT risks in the context of their broader mission and business objectives. This document explains the value of rolling up and integrating risks that may be addressed at lower system and organizational levels to the broader enterprise level by focusing on the use of ICT risk registers as input to the enterprise risk profile. すべてのエンタープライズは、エンタープライズリスクマネジメント(ERM)プログラムの中で、情報通信技術(ICT)リスクに適切な注意を払うようにすべきである。本文書は、エンタープライズ内の各組織がICTリスクマネジメント(ICTRM)を改善するのを支援することを意図している。これにより、エンタープライズとその構成組織は、より広範なミッションとビジネス目標との関連において、ICTリスクをより適切に識別、アセスメント、管理できるようになる。本文書は、エンタープライズ・リスク・プロファイルへのインプットとしての ICT リスク登録の使用に 焦点を当てることにより、より低いシステム及び組織レベルで対処される可能性のあるリスクを、 より広範なエンタープライズ・レベルにロールアップし統合することの価値を説明する。

 

・[PDF] NIST.SP.800-221

20231120-45140

・[DOCX] 仮訳

 

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
All types of organizations, from corporations to federal agencies, face a broad array of risks. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [OMB-A11]. The effect of uncertainty on enterprise mission and business objectives may then be considered an “enterprise risk” that must be similarly managed. An enterprise is an organization that exists at the top level of a hierarchy with unique risk management responsibilities. Managing risks at that level — enterprise risk management (ERM) — calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. In the Federal Government, ERM is considered “an effective agency-wide approach to addressing the full spectrum of the organization’s significant risks by understanding the combined impact of risks as an interrelated portfolio, rather than addressing risks only within silos” [OMB-A11]. OMB Circular A-123 “establishes an expectation for federal agencies to proactively consider and address risks through an integrated…view of events, conditions, or scenarios that impact mission achievement” [OMB-A123].  企業から連邦政府機関まで、あらゆる種類の組織が、広範なリスクに直面している。連邦政府機関については、OMB(Office of Management and Budget)通達A-11が、リスクを「目的に対する不確実性の影響」と定義している[OMB-A11]。そのため、エンタープライズのミッションや事業目標に対する不確実性の影響は、同様に管理されなければならない「エンタープライズリスク」と考えられる。エンタープライズとは、独自のリスクマネジメント責任を持つ階層の最上位に存在する組織である。そのレベルでリスクを管理すること、すなわちエンタープライズ・リスク・マネジメント(ERM)は、エンタープライズが直面する中核的なリスクを理解し、それらのリスクに対処する最善の方法を決定し、必要な措置を確実に講じることを求めている。連邦政府では、ERMは「サイロの中だけでリスクに対処するのではなく、相互に関連するポートフォリオとしてリスクの複合的な影響を理解することにより、組織の重大なリスクの全領域に対処する効果的な全庁的アプローチ」[OMB-A11]と考えられている。OMB通達A-123は、「連邦政府機関が、ミッション達成に影響を与える事象、状況、シナリオを統合的に捉えることにより、リスクを積極的に検討し、対処することを求めている」[OMB-A123]。 
The information and communications technology (ICT) on which an enterprise relies is managed through a broad set of ICT risk disciplines that include privacy, supply chain, and cybersecurity. ICT includes a broad range of information and technology that extends far beyond traditional information technology considerations. For example, a growing number of enterprises rely on operational technology (OT) and IoT (Internet of Things) devices’ sensors or actuators bridging the physical world and the digital world. Increasingly, artificial intelligence (AI) factors into enterprise risk. NIST’s AI Risk Management Framework points out that “AI risk management should be integrated and incorporated into broader enterprise risk management strategies and processes. Treating AI risks along with other critical risks, such as cybersecurity and privacy, will yield a more integrated outcome and organizational efficiencies.”[1]  エンタープライズが依存する情報通信技術(ICT)は、プライバシー、サプライチェー ン、サイバーセキュリティを含む広範なICTリスク分野を通じて管理される。ICTには、従来の情報技術に関する検討事項をはるかに超える広範な情報と技術が含まれる。例えば、物理的世界とデジタル世界の橋渡しをするOT(オペレーション技術)やIoT(モノのインターネット)デバイスのセンサーやアクチュエーターに依存するエンタープライズが増えている。エンタープライズリスクに人工知能(AI)を取り込むケースも増えている。NISTのAIリスクマネジメントフレームワークは、「AIリスクマネジメントは、より広範なエンタープライズリスクマネジメント戦略とプロセスに統合され、組み込まれるべきである」と指摘している。AIリスクをサイバーセキュリティやプライバシーなど他の重要リスクとともに扱うことで、より統合された結果と組織の効率性が得られる」 。 [1]
This publication addresses OMB’s points above for ensuring that ERM considerations and decisions take an ICT portfolio perspective. This publication examines the relationships among ICT risk disciplines and enterprise risk practices. Notably, OMB has stressed the need for enterprise risk considerations and decisions to be based on a portfolio-wide perspective. Individual risk programs have an important role and must integrate activities as part of that enterprise portfolio. Doing so ensures a focus on achieving enterprise objectives and helps identify those risks that will have the most significant impact on the entity’s mission. This publication extends that NIST risk program guidance to recognize that risk extends beyond the boundaries of individual programs. There are extensive ICT risk considerations (e.g., Internet of Things, supply chain, privacy, cybersecurity) as well as risk management frameworks that support the management of a mosaic of interrelated risks. Effectively addressing these ICT risks at the enterprise level requires coordination, communication, and collaboration. This publication examines the relationships between ICT risk disciplines and enterprise risk practices.  本書は、ICTポートフォリオの視点に立ったERMの検討と決定を確保するためのOMBの上記の指摘に対応するものである。本書は、ICTリスク規律とエンタープライズリスク実務の関係を検証している。特にOMBは、エンタープライズ・リスクの検討と決定はポートフォリオ全体の視点に基づく必要性を強調している。個々のリスクプログラムには重要な役割があり、エンタープライズポートフォリオの一部として活動を統合しなければならない。そうすることで、エンタープライズ目標の達成に焦点を絞ることができ、事業体のミッションに最も大きな影響を与えるリスクを特定することができる。本書は、NISTリスクプログラムガイダンスを拡張し、リスクは個々のプログラムの境界を越えて拡大することを認識するものである。広範なICTリスク(モノのインターネット、サプライチェーンリスク、プライバシーリスク、サイバーセキュリティリスクなど)の検討や、相互に関連するモザイク状のリスクのマネジメントを支援するリスクマネジメントフレームワークが存在する。エンタープライズレベルでこれらのICTリスクに効果的に対処するには、調整、コミュニケーション、コラボレーションが必要である。本書では、ICTリスク分野とエンタープライズリスク実務の関係を検証する。 
The broad set of ICT disciplines forms an adaptive system-of-systems composed of many interdependent components and channels. The resulting data represent information, control signals, and sensor readings. As with other complex systems-of-systems, the interconnectedness of these technologies produces system behaviors that cannot be determined by the behavior of individual components. That interconnectedness causes risks that exist between and across multiple risk programs. As systems become more complex, they present exploitable vulnerabilities, emergent risks, and system instabilities that — once triggered — can have a runaway effect with multiple severe and often irreversible consequences. In the contemporary enterprise, emergency and real-time circumstances can turn a relatively minor ICT-based risk into true operational risks that disrupt an organization’s ability to perform mission or business functions. Many organizations have applied traditional fault tolerance and resilience measures to support the availability of essential functions and services. Those measures themselves can introduce fragility and increase attack surface, as can system complexity (e.g., real-time control systems), so the enterprise may need to consider more advanced resilience techniques.  ICT分野の幅広いセットは、相互に依存し合う多くのコンポーネントとチャンネルで構成される適応システム・オブ・システムを形成している。結果として生じるデータは、情報、制御信号、センサーの読み取り値を表す。他の複雑なシステム・オブ・システムと同様に、これらの技術の相互接続性は、個々の構成要素の動作では決定できないシステム動作を生み出す。その相互接続性により、複数のリスクプログラム間、あるいは複数のリスクプログラムにまたがって存在するリスクが発生する。システムが複雑化するにつれて、脆弱性、顕在化リスク、システムの不安定性が顕在化し、一旦それが引き起こされると、複数の深刻でしばしば取り返しのつかない結果をもたらす暴走を引き起こす可能性がある。現代のエンタープライズでは、緊急時やリアルタイムの状況は、比較的軽微なICTベースのリスクを、組織のミッションやビジネス機能の遂行能力を混乱させる真のオペレーションリスクに変える可能性がある。多くの組織は、必要不可欠な機能やサービスの可用性をサポートするために、従来のフォールト・トレ ランスやレジリエンスを適用してきた。このような対策は、システムの複雑さ (たとえば、リアルタイム制御システム) と 同様に、それ自体が脆弱性をもたらし、攻撃サーフェスを増大させる可能性があるため、エンタープライズ は、より高度なレジリエンス技術を検討する必要があるかもしれない。 
This publication supports an interconnected approach to risk frameworks and programs that address ICT risk areas (e.g., cybersecurity, privacy, supply chain) within an enterprise risk portfolio. This publication encourages the practice of aggregating and normalizing ICT risk information. Doing so helps to identify, quantify, and communicate risk scenarios and their consequences to support effective decision-making. This integrated approach ensures that shareholder and stakeholder value is quantified in financial, mission, and reputation metrics similar to those attributed to other (non-technical) enterprise risks, thereby enabling executives and officials to prudently reallocate resources among varied competing risk types.   本書は、エンタープライズリスクポートフォリオの中で ICT リスク分野(例えば、サイバーセキュリティ、 プライバシー、サプライチェーン)に対応するリスクフレームワーク及びプログラムに対する 相互連結的なアプローチを支援するものである。本書は、ICT リスク情報を集約し、正規化することを奨励する。そうすることで、リスクシナリオとその結果を識別、定量化、及びコミュニケー ションすることができ、効果的な意思決定を支援することができる。この統合的アプローチにより、株主及び利害関係者の価値が、他の(非テクニカルな)エ ンタープライズリスクと同様に、財務、ミッション、及びレピュテーションの指標で定量化されるこ とが保証され、それにより、経営幹部及び関係者は、様々な競合するリスクタイプ間で リソースを慎重に再配分することが可能となる。  
While NIST is widely recognized as a source of cybersecurity guidance, cyber is only one portion of a large and complex set of risk types that also include financial, legal, legislative, safety, and strategic risks. As part of an ERM program, senior leaders (e.g., corporate officers, government senior executive staff) often have fiduciary and reporting responsibilities that other organizational stakeholders do not, so they have a unique responsibility to holistically manage the combined set of risks. ERM provides the umbrella under which risks are aggregated and prioritized so that all risks can be evaluated and “stovepiped” risk reporting can be avoided. ERM also provides an opportunity to identify operational risk — a subset of enterprise risks that is so significant that potential losses could jeopardize one or more aspects of operations. Risk managers determine whether a failed internal process (related to enterprise people, processes, technology, or governance) may directly cause a significant operational impact. Some risk response activities directly protect mission operations. Enterprise leaders should define these operational risk parameters as part of enterprise risk strategy.  NISTはサイバーセキュリティに関するガイダンスの情報源として広く認知されているが、サイバーは、財務リスク、法的リスク、立法リスク、安全リスク、戦略リスクなど、大規模かつ複雑なリスク群の一部分に過ぎない。ERMプログラムの一環として、シニアリーダー(例えば、会社役員、政府の上級幹部職員)は、他の組織の利害関係者にはない受託責任や報告責任を負うことが多いため、複合的なリスクを総合的に管理する独自の責任を負う。ERMは、すべてのリスクを評価し、「縦割り」のリスク報告を避けることができるように、リスクを集約し、優先順位をつけるための傘を提供する。ERMはまた、オペレーショナル・リスク(潜在的な損失がオペレーションの1つ以上の側面を危険にさらす可能性があるほど重大なエンタープライズ・リスクのサブセット)を識別する機会も提供する。リスクマネジメントは、社内プロセス(エ ンタープライズの人材、プロセス、テクノロジー、またはガバナンスに関連する)の失敗が、直接的に業務に重大な影響を及ぼすかどうかを判断する。リスク対応活動の中には、ミッション業務を直接的に保護するものもある。エンタープライズリーダーは、エンタープライズリスク戦略の一環として、これらのオペレーショナルリスクパラメータを定義すべきである。
This publication explores the high-level ICT risk management (ICTRM) process illustrated by Fig. 1. Many resources — such as well-known frameworks from the Committee of Sponsoring Organizations (COSO), OMB circulars, and the International Organization for Standardization (ISO) — document ERM frameworks and processes. They generally include similar approaches: identify context, identify risk, analyze risk, estimate risk importance, determine and execute the risk response, and identify and respond to changes over time. The process recognizes that no risk response should occur without understanding stakeholder expectations for managing risk to an acceptable level, as informed by leadership’s risk appetite and risk tolerance statements.  本書では、図1に示すハイレベルのICTリスクマネジメント(ICTRM)プロセスについて検討 する。COSO(Committee of Sponsoring Organizations:支援組織委員会)、OMB通達、ISO(International Organization for Standardization:国際標準化機構)の有名なフレームワークなど、多くのリソースがERMのフレームワークとプロセスを文書化している。これらのフレームワークには一般的に、「コンテキストの特定」、「リスクの特定」、「リスクの分析」、「リスクの重要性の見積もり」、「リスク対応の決定と実行」、「経年変化の特定と対応」という類似のアプローチが含まれている。このプロセスでは、リーダーシップのリスク選好度及びリスク許容度の声明によって知らされる、リスクを許容可能なレベルにマネジメントすることに対する利害関係者の期待を理解することなしに、リスク対応は行われるべきではないことを認識する。
To ensure that leaders can be provided with a composite understanding of the various threats and consequences each organization and enterprise faces, risk information is recorded and shared through risk registers.[2] At higher levels in the enterprise structure, various risk registers (including those related to ICTRM) are aggregated, normalized, and prioritized into risk profiles.  各組織とエンタープライズが直面する様々な脅威とその結果について、リーダーが複合的な 理解を提供できるようにするため、リスク情報はリスク登録簿を通じて記録され、共有される [2] エンタープライズ構造のより高いレベルでは、様々なリスク登録簿(ICTRM に関連するものを含む)が集約され、正規化され、リスクプロファイルに優先順位付けされる。 
1_20231120161501
Fig. 1. ICTRM integration cycle  図1.ICTRM統合サイクル 
While it is critical for an enterprise to address potential negative impacts on mission and business objectives, it is equally critical (and required for federal agencies) that enterprises plan for success. OMB states that “the [Enterprise Risk] profile must identify sources of uncertainty, both positive (opportunities) and negative (threats)” [OMB-A123].   エンタープライズにとって、ミッションや事業目標への潜在的な負の影響に対処することは極めて重要であるが、エンタープライズが成功に向けて計画を立てることも同様に重要である(連邦政府機関にとっては必須である)。OMBは、「[エンタープライズ・リスク]プロフィールは、プラス(機会)とマイナス(脅威)の両方の不確実性の原因を特定しなければならない」と述べている[OMB-A123]。  
Enterprise-level decision makers use the risk profile to choose which enterprise risks to address, allocate resources, and delegate responsibilities to appropriate risk owners. ERM strategy includes defining terminology, formats, criteria, and other guidance for risk inputs from lower levels of the enterprise.  エンタープライズレベルの意思決定者は、リスクプロファイルを用いて、対応すべきエンタープライズリスクを選択し、リソースを配分し、適切なリスク所有者に責任を委譲する。ERM戦略には、用語、形式、基準、及びエンタープライズ下層からのリスクインプットに関するその他のガイダンスを定義することが含まれる。 
Integrating risk management information from throughout the enterprise supports a full-scope enterprise risk register (ERR) and a prioritized enterprise risk profile (ERP). These artifacts enhance ERM deliberations, decisions, and actions. Integrating this information enables the inclusion of ICT risks (including various operational technology, supply chain, privacy, and cybersecurity risks) as part of financial, valuation, mission, and reputation exposure. A comprehensive ERR and ERP support communication and disclosure requirements. The integration of technology-specific risk management activities supports an understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities. The iterative ICTRM process enables adjustments to risk management direction. As leaders receive feedback regarding enterprise progress, strategy can be adjusted to take advantage of an opportunity or to better address negative risks as information is collected and shared.  エンタープライズ全体のリスクマネジメント情報を統合することで、全範囲のエンタープライズリスクレジスター(ERR)と優先順位付けされたエンタープライズリスク・プロファイル(ERP)をサポートする。これらの成果物は、ERMの審議、決定、及び行動を強化する。これらの情報を統合することにより、財務、評価、ミッション、及びレピュテーションのエクスポージャーの一部として、ICTリスク(様々なオペレーショナルテクノロジー、サプライチェーン、プライバシー、及びサイバーセキュリティリスクを含む)を含めることが可能となる。包括的なERRとERPは、コミュニケーションと情報開示の要件をサポートする。技術固有のリスクマネジメント活動の統合は、企業報告(損益計算書、貸借対照表、 キャッシュフロー等)及び公共部門事業体の類似の要求事項(処分及び監督当局への 報告等)に関連するエクスポージャーの理解を支援する。反復的なICTRMプロセスにより、リスクマネジメントの方向性を調整することができる。リーダーがエンタープライズの進捗状況についてフィードバックを受けると、情報が収集され共有されるにつれて、戦略を調整して好機を生かしたり、ネガティブリスクによりよく対処したりすることができる。 
Applying a consistent approach to identify, assess, respond to, and communicate risk throughout the enterprise about the entire portfolio of ICT risk disciplines will help ensure that leaders and executives are accurately informed and able to support effective strategic and tactical decisions. While the methods for managing risk among different disciplines will vary widely, an ICT-wide approach to directing risk management, reporting and monitoring the results, and adjusting to optimize the achievement of enterprise objectives will provide valuable benefits.  ICTリスク分野のポートフォリオ全体について、エンタープライズ全体でリスクを特定、アセスメント、 対応、及びコミュニケーションするための一貫したアプローチを適用することは、リーダー及び経営幹部 が正確な情報を入手し、効果的な戦略的及び戦術的意思決定を支援できるようにするのに役立つ。各分野におけるリスクマネジメントの方法は多岐にわたるが、リスクマネジメントを指揮し、 結果を報告し、監視し、エンタープライズ目標の達成を最適化するために調整するための ICT 全体のアプローチは、価値ある利益をもたらす。

 

[1] The NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0) is available at https://doi.org/10.6028/NIST.AI.100-1.  [1] NIST人工知能リスクマネジメントフレームワーク(AI RMF 1.0)はhttps://doi.org/10.6028/NIST.AI.100-1。 
[2] OMB Circular A-11 defines a risk register as “a repository of risk information including the data understood about risks over time”  [OMB-A11].  [2] OMB通達A-11では、リスク登録簿を「経時的にリスクについて理解されるデータを含むリスク情報のリポジトリ」と定義している[OMB-A11]。 

 

 


 

・2023.11.17 NIST SP 800-221A Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio

 

NIST SP 800-221A Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio NIST SP 800-221A 情報通信技術(ICT)リスクの成果: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合
Abstract 概要
The increasing frequency, creativity, and severity of technology attacks means that all enterprises should ensure that information and communications technology (ICT) risk is receiving appropriate attention within their enterprise risk management (ERM) programs. Specific types of ICT risk include, but are not limited to, cybersecurity, privacy, and supply chain. This document provides a framework of outcomes that applies to all types of ICT risk. It complements NIST Special Publication (SP) 800-221, Enterprise Impact of Information and Communications Technology Risk, which focuses on the use of risk registers to communicate and manage ICT risk.< テクノロジー攻撃の頻度、創造性、及び重大性が増していることから、すべてのエンタープライズは、情報通信技術(ICT)リスクが企業リスクマネジメント(ERM)プログラムの中で適切な注意を払っていることを確認する必要がある。ICTリスクの具体的な種類としては、サイバーセキュリティ、プライバシー、サプライチェーンなどが挙げられるが、これらに限定されるものではない。本文書は、あらゆる種類の ICT リスクに適用される成果のフレームワークを提供する。これは、NIST 特別刊行物(SP)800-221「情報通信技術のリスクのエンタープライズへの影響」を補完するものであり、ICT リスクを伝達しマネジメントするためのリスク登録の使用に焦点を当てている。

 

・[PDF] NIST.SP.800-221A

20231120-45148

 

・[DOCX] 仮訳

 

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.25 NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響:エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果:ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

 

経営ガイドライン Veer3.0

・2023.11.09 IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31)

 

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

 

・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

 

| | Comments (0)

2023.11.19

APEC デジタルアジェンダ関係

こんにちは、丸山満彦です。

APEC2023が開催されていましたね。。。First Roundの議題の中にデジタル経済のアジェンダがあったようで、米国国務省のページに記載がありましたので、紹介です。。。

Apec_2023_tag_horizontal

 

DFFTにも少し関係しますかね。。。

 

U.S. Department of State

Asia-Pacific Economic Cooperation

 

・2023.11.17 U.S. 2023 APEC Outcomes

デジタルアジェンダの部分だけ...

DIGITAL PACIFIC AGENDA デジタル・パシフィック・アジェンダ
Through the Digital Pacific Agenda, the United States committed to working with APEC economies to shape the rules, norms, and standards that govern the digital economy, expand secure digital access for consumers and businesses, and support the responsible design, development, and deployment of emerging digital technologies. デジタル・パシフィック・アジェンダを通じて、米国はAPECエコノミーと協力し、デジタル経済を管理するルール、規範、標準を形成し、消費者と企業のための安全なデジタルアクセスを拡大し、新興デジタル技術の責任ある設計、開発、展開を支援することを約束した。
Digital Economy and Digitalization デジタル経済とデジタル化
The United States along with fellow Global Cross-Border Privacy Rules Forum Members established the Global Cooperation Arrangement for Privacy Enforcement (CAPE), bringing APEC’s cooperation in privacy enforcement through the APEC Cross-Border Privacy Enforcement Arrangement (CPEA) to the global stages. 米国は、グローバル・クロスボーダー・プライバシー・ルール・フォーラムの加盟国とともに、プライバシー執行のためのグローバル協力取り決め(CAPE)を設立し、APECクロスボーダー・プライバシー執行取り決め(CPEA)を通じたプライバシー執行におけるAPECの協力を世界的な段階に引き上げた。
The United States hosted the inaugural APEC Digital Month in August in Seattle, which convened hundreds of public and private sector experts in more than 40 technical workshops, roundtables, and public-private dialogues on a range of digital topics. 米国は8月にシアトルで第1回APECデジタル月間を主催し、40以上の技術ワークショップ、円卓会議、官民対話に数百人の官民専門家を集め、デジタルに関する様々なトピックを議論した。
APEC has endorsed the Recommendations for Cloud Transformation in APEC which will promote the accelerated adoption of cloud computing technologies in the region.
APECは「APECにおけるクラウド・トランスフォーメーションのための提言」を承認し、域内におけるクラウド・コンピューティング技術の導入加速を促進する。
The United States initiated a dialogue about new and emerging low-earth orbit satellite communication systems that can advance the objective of extending connectivity to everyone in the APEC region. 米国は、APEC地域のすべての人々に接続性を拡大するという目的を推進することができる、新しい低軌道衛星通信システムに関する対話を開始した。
The United States furthered APEC’s work on digital assets to help economies commit to maintaining high regulatory standards, closing regulatory gaps, and promoting financial stability. 米国は、エコノミーが高い規制標準を維持し、規制格差を是正し、金融の安定を促進することを約束できるよう、デジタル資産に関するAPECの作業をさらに進めた。
The APEC Closing the Digital Skills Gap Forum sought to provide economies with tools to invest in the digital upskilling and reskilling of the workforce and address the skills gap exacerbated by the COVID-19 pandemic. APEC Closing the Digital Skills Gap Forumは、エコノミーが労働力のデジタル・アップスキリングとリスキリングに投資し、COVID-19パンデミックによって悪化したスキル・ギャップに対処するためのツールを提供することを目指した。
APEC members worked to increase capacity to integrate digital health and telehealth solutions and further develop health ecosystems, including through exploring the possible development of digital health-focused toolbox for APEC economies. APECメンバーは、APECエコノミーのためのデジタルヘルスに焦点を当てたツールボックスの開発の可能性を探ることを含め、デジタルヘルスと遠隔医療ソリューションを統合し、ヘルスエコシステムをさらに発展させる能力を高めるために努力した。
Promoting Digital Trade デジタル貿易の促進
The U.S. held trade policy dialogues on Digital Trade, focused on building regulatory environments conducive to maximizing the flow of data and on building a worker-centric digital trade agenda across the APEC region. 米国はデジタル貿易に関する貿易政策対話を開催し、データの流れを最大化するのに資する規制環境の構築と、APEC地域全体で労働者中心のデジタル貿易アジェンダを構築することに焦点を当てた。
In May, APEC Trade Ministers endorsed Principles for the Interoperability of E-Invoicing Systems, which will promote interoperable approaches and the use of digital technologies to facilitate trade and investment . この原則は、貿易と投資を促進するための相互運用可能なアプローチとデジタル技術の利用を促進するものである。
In May, APEC Trade Ministers endorsed Principles for the Interoperability of E-Invoicing Systems, which will promote interoperable approaches and the use of digital technologies to facilitate trade and investment. APECエコノミーは、オープンな政府データへのアクセスを促進するための原則を承認した。この原則は、公共部門データへの相互運用性とアクセスの基本原則を促進するために、異なる管轄区域間の協力を強化することを目指すものである。

 

 

関連リンク

商務省のプライバシー関連...

U.S. Department of Commerce

Global Cross-Border Privacy Rules Declaration

 

Global Cross-Border Privacy Rules (CBPR) Forum

・[PDF] GLOBAL COOPERATION ARRANGEMENT FOR PRIVACY ENFORCEMENT

デジタル月間

U.S. Department of State

・203.08 APEC DIGITAL MONTH

 

クラウド関係

● APEC

・2023.08 [PDF] Recommendations for Cloud Transformation in APEC (Endorsed) 

Annex 1: Principles for the Interoperability of Electronic Invoicing Systems in the APEC Region

・[PDF] NON-BINDING PRINCIPLES FOR FACILITATING ACCESS TO OPEN GOVERNMENT DATA IN THE APEC REGION

 

| | Comments (0)

2023.11.18

個人情報保護委員会 個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起

こんにちは、丸山満彦です。

個人情報保護委員会が、個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起について、を公表していますね。。。

個人情報取扱事業者の元従業者が、元勤務先が管理する名刺情報管理システムのログイン認証情報を不正に転職先の従業者に提供し、同システムを第三者が利用可能な状態に置いた事例については、この個人情報データベース等不正提供等罪(法179条)等により元従業者が逮捕・起訴され、
有罪が確定していること、また類似の事案が増えているかもしれないので、注意喚起をすることになったのかもしれませんね。。。

 

個人情報保護委員会

・2023.11.16 個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起について

 

・[PDF]【別添】個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点について(注意喚起)

20231118-164657

 

1 安全管理措置(法第 23 条)等に関する留意点

2 漏えい等の報告(法第 26 条第1項)に関する留意点

 

が特に強調されていますね。。。

 

・[PDF] 個人情報の保護に関する法律についてのガイドライン(通則編)

昔話になりますが、法律ができたことから、経済産業省でガイドラインをつくることになり、私と他2名が中心となって安全管理帥についてのガイドラインを策定したのですが、その当時からあまり変わっていな感じがします。もちろん、無理に変える必要はないのですが、もう少し工夫があってもよいかなぁと感じますね。。。

そうそう、当時は漏洩をした時に、どうすべきかは法律にかかれていなかったのですが、個人の権利利益を守るという趣旨から、漏洩をした場合には、その結果生じるリスクについては、本人が知りうる状態にすることが重要と感じ、本人に通知することが望ましいということにしましたね。。たくさんの人がいる場合、連絡先がわからない場合には、ウェブ等で幅広く周知して、本人が漏洩したかもしれない企業に問い合わせられるようにするようにしましたね。。。

それで、漏洩すると公表する慣例ができ、個人情報保護法が厳しい・・・みたいな感じになったようにも思いますが、しかたがないように思っています。。。

 

 

 

 

| | Comments (0)

より以前の記事一覧