個人情報保護 / プライバシー

2023.03.29

米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

こんにちは、丸山満彦です。

司法省がBreachForumsの創設者を逮捕し、フォーラムを破壊したと報告しているんですよね。。。

日本でも、サンリオの人気キャラクターのポムポムプリンを名乗る...ってニュースになってますよね。。。

 

⚫︎ Department of Justice: DOJ

・2023.03.24 Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation

Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation 司法省、世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊したことを発表
FBI Disrupts BreachForums Marketplace for Hacked and Stolen Data FBI、ハッキングされ盗まれたデータのマーケットプレイス「BreachForums」を破壊する
The founder of BreachForums made his initial appearance today in the Eastern District of Virginia on a criminal charge related to his alleged creation and administration of a major hacking forum and marketplace for cybercriminals that claimed to have more than 340,000 members as of last week. In parallel with his arrest on March 15, the FBI and Department of Health and Human Services Office of Inspector General (HHS-OIG) have conducted a disruption operation that caused BreachForums to go offline. BreachForumsの創設者は、先週時点で34万人以上の会員を有するとされる大規模なハッキングフォーラムおよびサイバー犯罪者のためのマーケットプレイスの創設・運営に関連する刑事告発について、本日バージニア州東部地区で最初の出廷を行いた。3月15日の逮捕と並行して、FBIと米保健福祉省監察官室(HHS-OIG)は、BreachForumsをオフラインにする破壊工作を実施した。
According to court documents unsealed today, Conor Brian Fitzpatrick, 20, of Peekskill, New York, allegedly operated BreachForums as a marketplace for cybercriminals to buy, sell, and trade hacked or stolen data and other contraband since March 2022. Among the stolen items commonly sold on the platform were bank account information, social security numbers, other personally identifying information (PII), means of identification, hacking tools, breached databases, services for gaining unauthorized access to victim systems, and account login information for compromised online accounts with service providers and merchants.  本日公開された法廷文書によると、ニューヨーク州ピークスキル在住のコナー・ブライアン・フィッツパトリック(20)は、2022年3月以降、サイバー犯罪者がハッキングまたは盗まれたデータおよびその他の禁制品を売買するマーケットプレイスとしてBreachForumsを運営していたとされている。同プラットフォームで一般的に販売されている盗品の中には、銀行口座情報、社会保障番号、その他の個人識別情報(PII)、識別手段、ハッキングツール、侵害されたデータベース、被害者システムへの不正アクセスを得るためのサービス、サービスプロバイダーや商人の侵害されたオンラインアカウントのアカウントログイン情報などが含まれていた。 
“Today, we continue our work to dismantle key players in the cybercrime ecosystem,” said Deputy Attorney General Lisa O. Monaco. “Like its predecessor RaidForums, which we took down almost a year ago, BreachForums bridged the gap between hackers hawking pilfered data and buys eager to exploit it. All those operating in dark net markets should take note: Working with our law enforcement partners, we will take down illicit forums and bring administrators to justice in U.S. courtrooms.” リサ・O・モナコ副司法長官は、次のように述べている。「今日も、サイバー犯罪のエコシステムにおける主要なプレイヤーを解体するための活動を続けている。ほぼ1年前に削除した前身のRaidForumsと同様に、BreachForumsは、盗んだデータを売り込むハッカーと、それを利用しようとする買い手の間のギャップを埋めていた。ダークネット市場で活動するすべての人は注意すること。我々は法執行機関のパートナーと協力し、違法なフォーラムを取り下げ、米国の法廷で管理者を裁く。」
“People expect that their online data will be protected, and the Department of Justice is committed to doing just that,” said Assistant Attorney General Kenneth A. Polite, Jr. of the Criminal Division. “We must and will remain vigilant to the threat posed by those who attempt to undermine our digital security. We will continue to disrupt the forums that facilitate the theft and distribution of personal information and prosecute those responsible.” 刑事部のKenneth A. Polite, Jr.検事補は、つぎのように次のように述べている。「人々はオンラインデータが保護されることを期待しており、司法省はそれを実現するために尽力している。我々は、デジタル・セキュリティーを弱体化させようとする者たちがもたらす脅威に警戒し続けなければならないし、これからも警戒し続けるだろう。我々は、個人情報の窃盗と配布を促進するフォーラムを破壊し、責任者を起訴し続ける。」
Fitzpatrick’s alleged victims have included millions of U.S. citizens and hundreds of U.S. and foreign companies, organizations, and government agencies. Some of the stolen datasets contained the sensitive information of customers at telecommunication, social media, investment, health care services, and internet service providers. For instance, on Jan. 4, a BreachForums user posted the names and contact information for approximately 200 million users of a major U.S.-based social networking site. Further, on Dec. 18, 2022, another BreachForums user posted details of approximately 87,760 members of InfraGard, a partnership between the FBI and private sector companies focused on the protection of critical infrastructure. フィッツパトリックの被害者とされる人々には、数百万人の米国市民と数百の米国および外国の企業、組織、政府機関が含まれている。盗まれたデータセットの中には、通信、ソーシャルメディア、投資、医療サービス、インターネットサービスプロバイダーにおける顧客の機密情報が含まれていたものもある。例えば、1月4日、BreachForumsのユーザーが、米国を拠点とする大手SNSのユーザー約2億人分の氏名と連絡先を投稿した。さらに、2022年12月18日には、別のBreachForumsのユーザーが、重要インフラの保護に焦点を当てたFBIと民間企業のパートナーシップであるInfraGardの約8万7760人の会員の詳細を投稿している。
“Cybercrime victimizes and steals financial and personal information from millions of innocent people,” said U.S. Attorney Jessica D. Aber for the Eastern District of Virginia. “This arrest sends a direct message to cybercriminals: your exploitative and illegal conduct will be discovered, and you will be brought to justice.” バージニア州東部地区連邦検事ジェシカ・D・アバーは、次のようにのべている。「サイバー犯罪は、何百万人もの無実の人々から金銭や個人情報を盗み出し、被害を与えている。今回の逮捕は、サイバー犯罪者に直接的なメッセージを送るもので、あなたたちの搾取的で違法な行為は必ず発見され、裁かれる。」
“The FBI will continue to devote all available resources to deter, disrupt, and diminish criminal enterprise activity,” said FBI Deputy Director Paul Abbate. “We will work alongside our federal and international partners to impose costs on malicious cyber actors around the world and continue to bring justice to those who victimize the American public.” FBIの副長官であるPaul Abbateは、次のようにのべている。「FBIは、犯罪エンタープライズ活動を抑止、破壊し、減少させるために、利用可能なすべてのリソースを引き続き投入していく。我々は、連邦政府および国際的なパートナーとともに、世界中の悪意のあるサイバー行為者にコストを課し、米国民を犠牲にする者に正義をもたらし続ける。」
“Following the seizure of RaidForums last year, cybercriminals turned to BreachForums to buy and sell stolen data, including breached databases, hacking tools, and the personal and financial information of millions of U.S. citizens and businesses,” said Assistant Director in Charge David Sundberg of the FBI Washington Field Office. “The FBI and our partners will not let cybercriminals and those who enable them profit from the theft of sensitive data while hiding behind keyboards. This arrest and disruption of yet another criminal marketplace demonstrates the potency of our joint work to dismantle the digital structures that facilitate cybercrime.” FBIワシントン支局の担当アシスタントディレクターDavid Sundberg氏は次のように述べている。「昨年のRaidForumsの押収に続き、サイバー犯罪者はBreachForumsに目をつけ、侵害されたデータベース、ハッキングツール、数百万人の米国市民や企業の個人・金融情報などの盗難データを売買している。FBIとそのパートナーは、キーボードの後ろに隠れながら機密データを盗んで利益を得るサイバー犯罪者とそれを可能にする人たちを許さないでしょう。今回の逮捕と新たな犯罪市場の破壊は、サイバー犯罪を助長するデジタル構造を解体するための我々の共同作業の威力を示すものである。
As part of the scheme, Fitzpatrick allegedly supported the activities of cybercriminals by creating and operating a “Leaks Market” subsection that was dedicated to buying and selling hacked or stolen data, tools for committing cybercrime, and other illicit material. To facilitate transactions on the forum, Fitzpatrick allegedly offered to act as a trusted middleman, or escrow service, between individuals on the website who sought to conduct these types of illicit transactions. In addition, Fitzpatrick allegedly managed an “Official” databases section through which BreachForums directly sold access to verified hacked databases through a “credits” system administered by the platform. As of Jan. 11, the Official database section purported to contain 888 datasets, consisting of over 14 billion individual records. These databases belong to a wide variety of both U.S. and foreign companies, organizations, and government agencies. Fitzpatrick allegedly profited from the scheme by charging for forum credits and membership fees. この計画の一環として、フィッツパトリックは、ハッキングされたデータや盗まれたデータ、サイバー犯罪を行うためのツール、その他の不正な物質の売買に特化した「リークス・マーケット」サブセクションを作成・運営し、サイバー犯罪者の活動を支援したとされている。フォーラムでの取引を促進するため、Fitzpatrickは、この種の不正取引を行おうとするウェブサイト上の個人の間で、信頼できる仲介者、すなわちエスクロー・サービスとして行動することを申し出たとされる。さらに、Fitzpatrickは、「公式」データベースセクションを管理し、BreachForumsがプラットフォームが管理する「クレジット」システムを通じて、検証済みのハッキングデータベースへのアクセスを直接販売していたとされる。1月11日現在、「公式」データベースセクションには、140億件以上の個人レコードからなる888のデータセットが含まれているとされている。これらのデータベースは、米国および外国のさまざまな企業、組織、政府機関に属している。Fitzpatrickは、フォーラムクレジットと会費を請求することで、このスキームから利益を得たとされている。
“This case sends a clear message that illicitly stealing, selling, and trading the personal information of innocent members of the public will not be tolerated, and that malicious cyber actors will be held accountable,” said Special Agent in Charge Stephen Niemczak of the HHS-OIG. “HHS-OIG and our law enforcement partners remain dedicated to protecting the American public and the integrity of government networks and data from these egregious cyberattacks.” HHS-OIGの特別捜査官Stephen Niemczakは次のように述べている。「この事件は、無実の一般市民の個人情報を不正に盗み、販売、取引することは許されず、悪意のあるサイバー行為者は責任を問われるという明確なメッセージを送るものである。HHS-OIGと我々の法執行機関のパートナーは、これらのひどいサイバー攻撃から米国民と政府のネットワークとデータの整合性を保護することに引き続き専念する。」
The BreachForums website has supported additional sections in which users discuss tools and techniques for hacking and exploiting hacked or stolen information, including in the “Cracking,” “Leaks,” and “Tutorials” sections. The BreachForums website also includes a “Staff” section that appears to be operated by the BreachForums administrators and moderators. BreachForumsウェブサイトは、「クラッキング」、「リーク」、「チュートリアル」セクションなど、ハッキングされた情報や盗まれた情報を利用するためのツールやテクニックについてユーザーが議論するセクションを追加サポートした。また、BreachForumsのウェブサイトには、BreachForumsの管理者やモデレーターが運営していると思われる「スタッフ」セクションがある。
Fitzpatrick is charged with conspiracy to commit access device fraud. If convicted, he faces a maximum penalty of five years in prison. Fitzpatrickは、アクセス機器詐欺の共謀で起訴されている。有罪となった場合、最高刑は懲役5年である。
Fitzpatrick’s arrest and the disruption of BreachForums comes nearly a year after the Department of Justice announced the seizure of a predecessor hacking marketplace, Raidforums, and unsealed criminal charges against RaidForums’ founder and chief administrator, who is the subject of extradition proceedings in the United Kingdom. The Justice Department’s Office of International Affairs is handling the extradition. フィッツパトリックの逮捕とBreachForumsの機能停止は、司法省が前身のハッキング市場であるRaidforumsの押収を発表し、RaidForumsの創設者と主任管理者(英国で引渡し手続きの対象になっている)の刑事告発を公開してからほぼ1年後の出来事である。 同人は英国で身柄引き渡し手続き中で、司法省の国際問題局が引き渡しに対応している。
The law enforcement actions against Fitzpatrick and BreachForums are the result of an ongoing criminal investigation by the FBI Washington Field Office, FBI San Francisco Division, and HHS-OIG, with assistance provided by the U.S. Secret Service, Homeland Security Investigations New York Field Office, New York Police Department, U.S. Postal Inspection Service, and Peekskill Police Department. The U.S. Attorneys’ Office for the Northern District of California, the District of Maryland, and the Southern District of New York have also provided assistance in this matter. FitzpatrickとBreachForumsに対する法執行措置は、FBIワシントン支局、FBIサンフランシスコ支局、HHS-OIGによる進行中の犯罪捜査の結果であり、米国シークレットサービス、Homeland Security Investigations New York Field Office、ニューヨーク警察、米国郵便検査局、Peekskill Police Departmentによる支援が提供されます。また、カリフォルニア州北部地区、メリーランド州地区、ニューヨーク州南部地区の米国弁護士事務所も、この件に関して支援を提供している。
The Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorney Carina A. Cuellar for the Eastern District of Virginia are prosecuting the case. 刑事部コンピュータ犯罪・知的財産課(CCIPS)とバージニア州東部地区担当のカリーナ・A・クエラ連邦検事補がこの事件を起訴している。
A criminal complaint is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 刑事告訴は、単なる申し立てに過ぎません。すべての被告人は、法廷で合理的な疑いを超えて有罪が証明されるまでは、無罪と推定される。

 

Fig1_20220411162001

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

 

| | Comments (0)

米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

こんにちは、丸山満彦です。

米国の司法省が、30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサー (ChipMixer) のテイクダウンに成功と公表していました。

犯罪でえた暗号資産等を使用できないようにすることが重要ですからね。。。暗号資産でいろいろな買い物ができないということが、今は犯罪抑止になっているのかもしれないですね。。。

 

⚫︎ Department of Justice: DOJ

・2023.03.15 Justice Department Investigation Leads to Takedown of Darknet Cryptocurrency Mixer that Processed Over $3 Billion of Unlawful Transactions

Justice Department Investigation Leads to Takedown of Darknet Cryptocurrency Mixer that Processed Over $3 Billion of Unlawful Transactions 司法省の調査により、30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功
Vietnamese Operator of ChipMixer Charged with Laundering Money for Ransomware Perpetrators, Darknet Markets, Fraudsters, and State-Sponsored ChipMixerのベトナム人オペレーター、ランサムウェア加害者、ダークネット市場、詐欺師、国家支援のための資金洗浄で起訴される
The Justice Department announced today a coordinated international takedown of ChipMixer, a darknet cryptocurrency “mixing” service responsible for laundering more than $3 billion worth of cryptocurrency, between 2017 and the present, in furtherance of, among other activities, ransomware, darknet market, fraud, cryptocurrency heists and other hacking schemes. The operation involved U.S. federal law enforcement’s court-authorized seizure of two domains that directed users to the ChipMixer service and one Github account, as well as the German Federal Criminal Police’s (the Bundeskriminalamt) seizure of the ChipMixer back-end servers and more than $46 million in cryptocurrency. 司法省は本日、ランサムウェア、ダークネット市場、詐欺、暗号通貨強盗、その他のハッキングスキームなどの活動を推進するため、2017年から現在までの間に、30億ドル相当以上の暗号通貨を洗浄した責任を負うダークネット暗号通貨「混合」サービス、ChipMixerの国際協調摘発を発表した。この作戦には、米国連邦法執行機関がChipMixerサービスにユーザーを誘導する2つのドメインと1つのGithubアカウントを裁判所から認可を受けて押収し、さらにドイツ連邦刑事警察(Bundeskriminalamt)がChipMixerバックエンドサーバーと4600万ドル以上の暗号通貨を押収した。
Coinciding with the ChipMixer takedown efforts, Minh Quốc Nguyễn, 49, of Hanoi, Vietnam, was charged today in Philadelphia with money laundering, operating an unlicensed money transmitting business and identity theft, connected to the operation of ChipMixer. ChipMixerの摘発と同時に、ベトナム・ハノイのMinh Quốc Nguyễn(49歳)は、ChipMixerの運営に関連したマネーロンダリング、無許可送金業の運営、個人情報窃盗の容疑で、本日フィラデルフィアで起訴された。
“This morning, working with partners at home and abroad, the Department of Justice disabled a prolific cryptocurrency mixer, which has fueled ransomware attacks, state-sponsored crypto-heists and darknet purchases across the globe,” said Deputy Attorney General Lisa Monaco. “Today’s coordinated operation reinforces our consistent message: we will use all of our authorities to protect victims and take the fight to our adversaries. Cybercrime seeks to exploit boundaries, but the Department of Justice’s network of alliances transcends borders and enables disruption of the criminal activity that jeopardizes our global cybersecurity.” 今朝、国内外のパートナーと協力して、司法省は、世界中でランサムウェア攻撃、国家主催のクリプトヘイスト、ダークネット購入の燃料となった、多量の暗号通貨ミキサーを無効にした。 副司法長官のリサ・モナコは言いました。 「今日の協調作戦は、私たちの一貫したメッセージである、被害者を保護し、敵対者に戦いを挑むために、あらゆる権限を行使することを強化するものである。サイバー犯罪は境界を利用しようとするが、司法省の同盟ネットワークは国境を越え、世界のサイバーセキュリティを危険にさらす犯罪行為を阻止することができる。
“Today's announcement demonstrates the FBI's commitment to dismantling technical infrastructure that enables cyber criminals and nation-state actors to illegally launder cryptocurrency funds,” said FBI Deputy Director Paul Abbate. “We will not allow cyber criminals to hide behind keyboards nor evade the consequences of their illegal actions. Countering cybercrime requires the ultimate level of collaboration between and among all law enforcement partners. The FBI will continue to elevate those partnerships and leverage all available tools to identify, apprehend and hold accountable these bad actors and put an end to their illicit activity.” 本日の発表は、サイバー犯罪者や国家主体が暗号通貨の資金を違法に洗浄することを可能にする技術インフラを解体するというFBIのコミットメントを示すものである。とFBI副長官ポール・アベイトは述べている。「我々は、サイバー犯罪者がキーボードの後ろに隠れることも、違法行為の結果を回避することも許さない。サイバー犯罪に対抗するには、すべての法執行機関のパートナーとの間で、究極のレベルの協力が必要である。FBIは、このようなパートナーシップをさらに強化し、利用可能なあらゆるツールを活用して、悪質な行為者を特定、逮捕、責任追及し、その違法行為に終止符を打つ。"
According to court documents, ChipMixer – one of the most widely used mixers to launder criminally-derived funds – allowed customers to deposit bitcoin, which ChipMixer then mixed with other ChipMixer users’ bitcoin, commingling the funds in a way that made it difficult for law enforcement or regulators to trace the transactions. As detailed in the complaint, ChipMixer offered numerous features to enhance its criminal customers’ anonymity. ChipMixer had a clearnet web domain but operated primarily as a Tor hidden service, concealing the operating location of its servers to prevent seizure by law enforcement. ChipMixer serviced many customers in the United States, but did not register with the U.S. Department of the Treasury’s Financial Crimes Enforcement Network (FinCEN) and did not collect identifying information about its customers.  法廷文書によると、ChipMixerは、犯罪に由来する資金を洗浄するために最も広く使われているミキサーの1つで、顧客がビットコインを入金し、ChipMixerが他のChipMixerユーザーのビットコインと混合し、警察や規制当局が取引を追跡することが困難な方法で資金を混同させることができる。訴状に詳述されているように、ChipMixerは、犯罪者の顧客の匿名性を高めるために、数多くの機能を提供していた。ChipMixerは、クリアネットのウェブドメインを持っていましたが、主にTorの隠しサービスとして運営され、法執行機関による押収を防ぐためにサーバーの運営場所を隠していた。ChipMixerは、米国内で多くの顧客にサービスを提供していたが、米国財務省の金融犯罪取締ネットワーク(FinCEN)に登録せず、顧客に関する識別情報を収集していなかった。 
As alleged in the complaint, ChipMixer attracted a significant criminal clientele and became indispensable in obfuscating and laundering funds from multiple criminal schemes. Between August 2017 and March 2023, ChipMixer processed: 訴状で主張されているように、ChipMixerは重要な犯罪者の顧客を集め、複数の犯罪スキームからの資金を難読化しロンダリングする上で不可欠な存在となった。2017年8月から2023年3月にかけて、ChipMixerは処理を行った:
・$17 million in bitcoin for criminals connected to approximately 37 ransomware strains, including Sodinokibi, Mamba and Suncrypt; ・Sodinokibi、Mamba、Suncryptを含む約37種類のランサムウェア系統に関連する犯罪者のために、1700万ドルのビットコインを処理した;
・Over $700 million in bitcoin associated with wallets designated as stolen funds, including those related to heists by North Korean cyber actors from Axie Infinity’s Ronin Bridge and Harmony’s Horizon Bridge in 2022 and 2020, respectively; ・2022年にAxie InfinityのRonin Bridgeから、2020年にHarmonyのHorizon Bridgeから、それぞれ北朝鮮のサイバーアクターによる強盗に関連するものなど、盗難資金として指定されたウォレットに関連する7億ドルを超えるビットコイン;
・More than $200 million in bitcoin associated either directly or through intermediaries with darknet markets, including more than $60 million in bitcoin processed on behalf of customers of Hydra Market, the largest and longest running darknet market in the world until its April 2022 shutdown by U.S. and German law enforcement; ・2022年4月に米国とドイツの法執行機関により閉鎖されるまで、世界最大かつ最も長く運営されていたダークネット市場であるHydra Marketの顧客のために処理された6000万ドル以上のビットコインを含む、ダークネット市場と直接または仲介業者を通じて関連付けられた2億ドル以上のビットコインが含まれる;
・More than $35 million in bitcoin associated either directly or through intermediaries with “fraud shops,” which are used by criminals to buy and sell stolen credit cards, hacked account credentials and data stolen through network intrusions; and ・犯罪者が盗んだクレジットカード、ハッキングされた口座情報、ネットワーク侵入によって盗まれたデータを売買するために使用される「詐欺ショップ」に直接または仲介者を通じて関連付けられた3500万ドル以上のビットコイン、および
・Bitcoin used by the Russian General Staff Main Intelligence Directorate (GRU), 85th Main Special Service Center, military unit 26165 (aka APT 28) to purchase infrastructure for the Drovorub malware, which was first disclosed in a joint cybersecurity advisory released by the FBI and National Security Agency in August 2020. ・2020年8月にFBIと国家安全保障局が発表した合同サイバーセキュリティ勧告で初めて公開されたDrovorubマルウェアのインフラを購入するために、ロシア参謀本部主要情報局(GRU)、第85主要特殊サービスセンター、軍事ユニット26165(別名APT 28)が使用したビットコイン。
Beginning in and around August 2017, as alleged in the complaint, Nguyễn created and operated the online infrastructure used by ChipMixer and promoted ChipMixer’s services online. Nguyễn registered domain names, procured hosting services and paid for the services used to run ChipMixer through the use of identity theft, pseudonyms, and anonymous email providers. In online posts, Nguyễn publicly derided efforts to curtail money laundering, posting in reference to anti-money laundering (AML) and know-your-customer (KYC) legal requirements that “AML/KYC is a sellout to the banks and governments,” advising customers “please do not use AML/KYC exchanges” and instructing them how to use ChipMixer to evade reporting requirements.  訴状で主張されているように、2017年8月頃から、NguyễnはChipMixerが使用するオンラインインフラを作成・運営し、ChipMixerのサービスをオンラインで宣伝した。Nguyễnは、ドメイン名を登録し、ホスティングサービスを調達し、なりすまし、偽名、匿名の電子メールプロバイダを使用してChipMixerを運営するために使用するサービスの支払いを行った。Nguyễnは、オンライン上の投稿で、マネーロンダリングを抑制する取り組みを公に嘲笑し、マネーロンダリング防止(AML)および顧客情報(KYC)の法的要件について、「AML/KYCは銀行や政府に売り渡すものだ」と投稿、顧客に「AML/KYC取引所を使用しないでください」と助言し、報告要件を回避するChipMixerを使う方法を指示している。 
“ChipMixer facilitated the laundering of cryptocurrency, specifically Bitcoin, on a vast international scale, abetting nefarious actors and criminals of all kinds in evading detection,” said U.S. Attorney Jacqueline C. Romero for the Eastern District of Pennsylvania. “Platforms like ChipMixer, which are designed to conceal the sources and destinations of staggering amounts of criminal proceeds, undermine the public’s confidence in cryptocurrencies and blockchain technology. We thank all our partners at home and abroad for their hard work in this case. Together, we cannot and will not allow criminals’ exploitation of technology to threaten our national and economic security.” ペンシルベニア州東部地区連邦検事ジャクリーン・C・ロメロは、「ChipMixerは、膨大な国際規模で暗号通貨、特にビットコインの資金洗浄を促進し、あらゆる種類の悪意ある行為者や犯罪者が検出を回避するのを教唆した」と語った。"ChipMixerのようなプラットフォームは、途方もない額の犯罪収益の出所と行き先を隠すように設計されており、暗号通貨とブロックチェーン技術に対する国民の信頼を損なっている。今回の事件で尽力してくれた国内外のすべてのパートナーに感謝する。共に、犯罪者による技術の悪用が私たちの国家と経済の安全を脅かすことを許すことはできませんし、許しません。"
“Criminals have long sought to launder the proceeds of their illegal activity through various means,” said Special Agent in Charge Jacqueline Maguire of the FBI Philadelphia Field Office. “Technology has changed the game, though, with a site like ChipMixer and facilitator like Nguyen enabling bad actors to do so on a grand scale with ease. In response, the FBI continues to evolve in the ways we ‘follow the money’ of illegal enterprise, employing all the tools and techniques at our disposal and drawing on our strong partnerships at home and around the globe. As a result, there’s now one less option for criminals worldwide to launder their dirty money.” 犯罪者は長い間、様々な手段で違法行為の収益を洗浄しようとしてきました。とFBIフィラデルフィア支局の特別捜査官Jacqueline Maguireは述べている。「しかし、ChipMixerのようなサイトやNguyenのような進行役がいれば、悪質業者は簡単に大規模な資金洗浄を行うことができるようになり、テクノロジーはゲームを変えた。これに対し、FBIは、あらゆるツールやテクニックを駆使し、国内外での強力なパートナーシップを活用しながら、違法エンタープライズの「資金を追う」方法を進化させ続けている。その結果、世界中の犯罪者が汚れた資金を洗浄するための選択肢が1つ減った」。
“Together, with our international partners at HSI The Hague, we are firmly committed to identifying and investigating cyber criminals who pose a serious threat to our economic security by laundering billions of dollars’ worth of cryptocurrency under the misguided anonymity of the darknet,” said Special Agent in Charge Scott Brown of Homeland Securities Investigations (HSI) Arizona. “HSI Arizona could not be more proud to work alongside every agent involved in this complex international case. We thank all our domestic and international partners for their support.” HSIハーグの国際的なパートナーとともに、ダークネットの見当違いの匿名性の下で数十億ドル相当の暗号通貨を洗浄することによって、我々の経済安全保障に深刻な脅威をもたらすサイバー犯罪者の特定と捜査にしっかりと取り組んでいる と、国土安全保障省捜査部(HSI)アリゾナ担当特別捜査官のスコットブラウンは言いました。「HSIアリゾナは、この複雑な国際的事件に関与したすべての捜査官とともに働けることを、これ以上ないほど誇りに思いる。国内外のすべてのパートナーの支援に感謝する。"
Nguyễn is charged with operating an unlicensed money transmitting business, money laundering and identity theft. If convicted, he faces a maximum penalty of 40 years in prison. Nguyễnは、無許可の送金ビジネスの運営、マネーロンダリング、ID窃盗の罪で起訴されている。有罪判決を受けた場合、最高刑は懲役40年となる。
The FBI, HSI Phoenix and HSI The Hague investigated the case. FBI、HSIフェニックス、HSIハーグがこの事件を調査した。
The U.S. Attorney’s Office for the Eastern District of Pennsylvania is prosecuting the case.  ペンシルベニア州東部地区連邦検事事務所が本件を起訴している。 
German law enforcement authorities took separate actions today under its authorities. The FBI’s Legal Attaché in Germany, the HSI office in The Hague, the HSI Cyber Crimes Center, the Justice Department’s Office of International Affairs and National Cryptocurrency Enforcement Team, EUROPOL, the Polish Cyber Police (Centralnego Biura Zwalczania Cyberprzestępczości) and Zurich State Police (Kantonspolizei Zürich) provided assistance in this case. ドイツの法執行機関は本日、その当局のもとで別々の行動をとった。本事件では、FBIの在独リーガルアタッシェ、ハーグのHSIオフィス、HSI Cyber Crimes Center、司法省国際局・国家暗号通貨執行チーム、EUROPOL、ポーランドサイバー警察(Centralnego Biura Zwalczania Cyberprzestępczości)、チューリヒ州警察(Kantonspolizei Zürich)より支援を受けた。
To report information about ChipMixer and its operators visit rfj.tips/Duhsup. ChipMixerとそのオペレータに関する情報を報告するには、rfj.tips/Duhsupを参照のこと。

 

 

Fig1_20220411162001


1_20230330000201

ユーロポールもプレスしていました。。。

⚫︎ Europol

・2023.03.15 One of the darkweb’s largest cryptocurrency laundromats washed out

One of the darkweb’s largest cryptocurrency laundromats washed out ダークウェブ最大の暗号通貨コインランドリーの1つが洗い流された
Europol supports Germany and the US in taking down the infrastructure of ChipMixer: as much as EUR 40 million seized 欧州刑事警察機構(Europol)、独米のChipMixerのインフラ破壊を支援:4千万ユーロの押収も
German and US authorities, supported by Europol, have targeted ChipMixer, a cryptocurrency mixer well-known in the cybercriminal underworld. The investigation was also supported by Belgium, Poland and Switzerland. On 15 March, national authorities took down the infrastructure of the platform for its alleged involvement in money laundering activities and seized four servers, about 1909.4 Bitcoins in 55 transactions (approx. EUR 44.2 million) and 7 TB of data.  ドイツと米国の当局は、ユーロポールの支援を受けて、サイバー犯罪の裏社会でよく知られている暗号通貨ミキサーであるChipMixerを標的とした。この捜査は、ベルギー、ポーランド、スイスからも支援を受けている。3月15日、各国当局はマネーロンダリング活動への関与が疑われる同プラットフォームのインフラをダウンさせ、4台のサーバー、55件の取引で約1909.4ビットコイン(約4420万ユーロ)、7TBのデータを押収した。 

ChipMixer, an unlicensed cryptocurrency mixer set up in mid-2017, was specialised in mixing or cutting trails related to virtual currency assets. The ChipMixer software blocked the blockchain trail of the funds, making it attractive for cybercriminals looking to launder illegal proceeds from criminal activities such as drug trafficking, weapons trafficking, ransomware attacks, and payment card fraud. Deposited funds would be turned into “chips” (small tokens with equivalent value), which were then mixed together - thereby anonymising all trails to where the initial funds originated. 

ChipMixerは、2017年半ばに設立された無許可の暗号通貨ミキサーで、仮想通貨資産に関連する痕跡の混合や切断に特化したものであった。ChipMixerソフトウェアは、資金のブロックチェーン・トレイルをブロックし、麻薬取引、武器取引、ランサムウェア攻撃、ペイメントカード詐欺などの犯罪行為による違法収益の洗浄を目指すサイバー犯罪者にとって魅力的なものであった。入金された資金は「チップ」(同等の価値を持つ小さなトークン)に変換され、それらが混合されることで、最初の資金がどこから来たのかの痕跡がすべて匿名化される。 
A service available both on the clear and on the darkweb, ChipMixer offered full anonymity to their clients. This type of service is often used before criminals’ laundered crypto assets are redirected to cryptocurrency exchanges, some of which are also in the service of organised crime. At the end of the process, the ‘cleaned’ crypto can easily be exchanged into other cryptocurrencies or directly into FIAT currency though ATM or bank accounts. ChipMixerはクリアウェブでもダークウェブでも利用可能なサービスで、顧客に完全な匿名性を提供した。この種のサービスは、犯罪者が洗浄した暗号資産を暗号通貨取引所に移す前に利用されることが多く、中には組織犯罪に加担している取引所もある。プロセスの最後に、「洗浄」された暗号は、他の暗号通貨に簡単に交換したり、ATMや銀行口座から直接FIAT通貨に交換することができる。 
EUR 2.73 billion in crypto assets laundered with “chips” チップ」を使って洗浄された27億3,000万ユーロの暗号資産
The investigation into the criminal service suggests that the platform may have facilitated the laundering of 152 000 Bitcoins (worth roughly EUR 2.73 billion in current estimations) in crypto assets. A large share of this is connected to darkweb markets, ransomware groups, illicit goods trafficking, procurement of child sexual exploitation material, and stolen crypto assets. Information obtained after the takedown of the Hydra Market darkweb platform uncovered transactions in the equivalent of millions of euros.  刑事サービスの調査によると、このプラットフォームが152 000ビットコイン(現在の推定でおよそ27億3000万ユーロ相当)の暗号資産の資金洗浄を促進した可能性がある。その大部分は、ダークウェブ市場、ランサムウェアグループ、不正商品売買、児童性的搾取材料の調達、盗難暗号資産に関連している。ダークウェブプラットフォーム「Hydra Market」の撤去後に得られた情報では、数百万ユーロに相当する取引が発覚している。 
Ransomware actors such as Zeppelin, SunCrypt, Mamba, Dharma or Lockbit have also used this service to launder ransom payments they have received. Authorities are also investigating the possibility that some of the crypto assets stolen after the bankruptcy of a large crypto exchange in 2022 were laundered via ChipMixer.  Zeppelin、SunCrypt、Mamba、DharmaまたはLockbitなどのランサムウェアのアクターも、受け取った身代金の支払いを洗浄するためにこのサービスを利用した。また当局は、2022年の大規模暗号取引所の倒産後に盗まれた暗号資産の一部が、ChipMixerを介して洗浄された可能性を調査している。 
Europol facilitated the information exchange between national authorities and supported the coordination of the operation. Europol also provided analytical support linking available data to various criminal cases within and outside the EU, and supported the investigation through operational analysis, crypto tracing, and forensic analysis. The Joint Cybercrime Action Taskforce (J-CAT) at Europol also supported the operation. This standing operational team consists of cybercrime liaison officers from different countries who work on high-profile cybercrime investigations. ユーロポールは、各国当局間の情報交換を促進し、この作戦の調整をサポートした。また、ユーロポールは、利用可能なデータをEU内外の様々な刑事事件に関連付ける分析支援を行い、作戦分析、暗号追跡、フォレンジック分析を通じて捜査をサポートした。ユーロポールのJoint Cybercrime Action Taskforce (J-CAT)もこの作戦をサポートした。この常設作戦チームは、注目を集めるサイバー犯罪の捜査に携わる各国のサイバー犯罪連絡官で構成されている。
National authorities involved: 関係する各国当局
Belgium: Federal police (Police Fédérale/Federale Politie) ベルギー 連邦警察
Germany: Federal Criminal Police Office (Bundeskriminalamt) and General Prosecutors Office Frankfurt-Main (Generalstaatsanwaltschaft Frankfurt/Main, Zentralstelle zur Bekämpfung der Internetkriminalität) ドイツ 連邦刑事警察庁およびフランクフルト・マイン検察庁
Poland: Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości) ポーランド 中央サイバー犯罪局
Switzerland: Cantonal Police of Zurich (Kantonspolizei Zürich) スイス チューリッヒ州警察
USA – Federal Bureau of Investigation, Homeland Security Investigation, Department of Justice 米国 - 連邦捜査局、国土安全保障省捜査局、司法省

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

| | Comments (0)

米国 国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令

こんにちは、丸山満彦です。

バイデン大統領が、国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令を出しています。米国政府職員の携帯電話が商用スパイウェアにより狙われていたことがきっかけになったようですね。。。また、このタイミングというのは、第2回民主主義サミットが今週開催されるということもありますね。。。

安全保障という背景もあるのでしょうが、第2回民主主義サミットが開催されるということから、人権、民主主義ということが強調されているように思います。。。商用スパイウェアの利用については、人権団体からも批判がありましたからね。。。

で、これは、すべての行政機関に対してなので、法執行機関(例えば、FBI)、諜報(例えば、CIA)、防衛関連省庁も含みますね。。。ということは、諜報機関も商用のスパイウェアを使って諜報活動をするということはできないということになりますね。。。

また、中国製品狙いと思うかもしれませんが、国として限定されていないことから、米国製品であっても同じということですね。。。(人権と民主主義ですから。。。)ブラックリスト(機密情報指定される)をつくるようです。

一方、例外も認められるような記述がありますね。。。

Fig1_20210802074601

⚫︎ The White House

・2023.03.27 Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security

Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security 国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令について
By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows:  合衆国憲法および合衆国法により大統領として私に与えられた権限により、ここに次のように命ずる: 
     Section 1.  Policy.  Technology is central to the future of our national security, economy, and democracy.  The United States has fundamental national security and foreign policy interests in (1) ensuring that technology is developed, deployed, and governed in accordance with universal human rights; the rule of law; and appropriate legal authorization, safeguards, and oversight, such that it supports, and does not undermine, democracy, civil rights and civil liberties, and public safety; and (2) mitigating, to the greatest extent possible, the risk emerging technologies may pose to United States Government institutions, personnel, information, and information systems.      第1条  方針:技術は、我が国の安全保障、経済および民主主義の将来にとって中心的なものである。  米国は、(1)技術が、普遍的人権、法の支配、適切な法的認可、保障措置、監視に従って開発、展開、管理され、民主主義、市民権、市民自由、公共の安全を支援し、損なうことがないようにすること、(2)新興技術が米国政府の機関、人員、情報、情報システムに与える可能性があるリスクを可能な限り軽減すること、について国家安全保障と外交政策の基本的利益を有する。
     To advance these interests, the United States supports the development of an international technology ecosystem that protects the integrity of international standards development; enables and promotes the free flow of data and ideas with trust; protects our security, privacy, and human rights; and enhances our economic competitiveness.  The growing exploitation of Americans’ sensitive data and improper use of surveillance technology, including commercial spyware, threatens the development of this ecosystem.  Foreign governments and persons have deployed commercial spyware against United States Government institutions, personnel, information, and information systems, presenting significant counterintelligence and security risks to the United States Government.  Foreign governments and persons have also used commercial spyware for improper purposes, such as to target and intimidate perceived opponents; curb dissent; limit freedoms of expression, peaceful assembly, or association; enable other human rights abuses or suppression of civil liberties; and track or target United States persons without proper legal authorization, safeguards, or oversight.       これらの利益を促進するため、米国は、国際標準開発の完全性を保護し、信頼に基づくデータとアイデアの自由な流れを可能にし促進し、私たちのセキュリティ、プライバシー、人権を保護し、経済競争力を強化する国際技術エコシステムの開発を支持する。  米国人の機密データの搾取の拡大や、商用スパイウェアを含む監視技術の不適切な使用は、このエコシステムの発展を脅かしている。  外国政府および個人は、米国政府の機関、職員、情報および情報システムに対して商用スパイウェアを展開し、米国政府に対して重大な防諜およびセキュリティリスクを提示している。  外国政府および個人はまた、認識された反対者を標的にして脅迫する、反対意見を抑制する、表現、平和的集会または結社の自由を制限する、その他の人権侵害または市民的自由の抑圧を可能にする、適切な法的認可、保護措置または監視なしに米国人を追跡または標的化するなど、不適切な目的で商用スパイウェアを使っている。 
     The United States has a fundamental national security and foreign policy interest in countering and preventing the proliferation of commercial spyware that has been or risks being misused for such purposes, in light of the core interests of the United States in protecting United States Government personnel and United States citizens around the world; upholding and advancing democracy; promoting respect for human rights; and defending activists, dissidents, and journalists against threats to their freedom and dignity.  To advance these interests and promote responsible use of commercial spyware, the United States must establish robust protections and procedures to ensure that any United States Government use of commercial spyware helps protect its information systems and intelligence and law enforcement activities against significant counterintelligence or security risks; aligns with its core interests in promoting democracy and democratic values around the world; and ensures that the United States Government does not contribute, directly or indirectly, to the proliferation of commercial spyware that has been misused by foreign governments or facilitate such misuse.      米国は、世界中の米国政府要員および米国市民の保護、民主主義の支持と推進、人権の尊重の促進、活動家、反体制派、ジャーナリストの自由と尊厳に対する脅威からの擁護という米国の基本的利益に照らし、このような目的で悪用されてきた、またはその危険性がある商用スパイウェアの拡散に対抗し防止することについて、国家安全保障および外交政策の基本的利益を有している。  これらの利益を促進し、商用スパイウェアの責任ある使用を促進するために、米国は、米国政府による商用スパイウェアの使用が、その情報システム、情報および法執行活動を重大な防諜またはセキュリティのリスクから保護し、世界中の民主主義と民主的価値の促進という米国の中核的利益に合致し、米国政府が外国政府によって悪用された商用スパイウェアの拡散に直接または間接的に寄与せず、その悪用が促進されることを確実にする、強固な保護と手順を確立しなければならない。
     Therefore, I hereby establish as the policy of the United States Government that it shall not make operational use of commercial spyware that poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person.  In furtherance of the national security and foreign policy interests of the United States, this order accordingly directs steps to implement that policy and protect the safety and security of United States Government institutions, personnel, information, and information systems; discourage the improper use of commercial spyware; and encourage the development and implementation of responsible norms regarding the use of commercial spyware that are consistent with respect for the rule of law, human rights, and democratic norms and values.  The actions directed in this order are consistent with the policy objectives set forth in section 6318 of the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023 (NDAA FY 2023) (Public Law 117-263) and section 5502 of the National Defense Authorization Act for Fiscal Year 2022 (NDAA FY 2022) (Public Law 117-81).       したがって、私は、米国政府にとって重大な防諜または安全保障上のリスク、あるいは外国政府または外国人による不正使用の重大なリスクをもたらす商用スパイウェアを業務上使用しないことを、米国政府の方針としてここに確立する。  米国の国家安全保障および外交政策の利益を促進するため、この命令は、この政策を実施し、米国政府の機関、職員、情報、および情報システムの安全およびセキュリティを保護し、商用スパイウェアの不適切な使用を阻止し、法の支配、人権、および民主主義の規範と価値の尊重と一致する、商用スパイウェアの使用に関する責任規範の策定と実施を奨励する措置を指示するものである。  この命令で指示された行動は、2023会計年度ジェームズ・M・インホーフ国防権限法(NDAA 2023年度)(公法117-263)の第6318条および2022会計年度国防権限法(NDAA 2022年度)(公法117-81)の第5502条に定められた政策目標に合致している。 
     Sec. 2.  Prohibition on Operational Use.  (a)  Executive departments and agencies (agencies) shall not make operational use of commercial spyware where they determine, based on credible information, that such use poses significant counterintelligence or security risks to the United States Government or that the commercial spyware poses significant risks of improper use by a foreign government or foreign person.  For the purposes of this use prohibition:      第 2 条  業務上の使用の禁止: (a) 行政府および政府機関(以下、機関)は、信頼できる情報に基づき、その使用が米国政府にとって重大な防諜または安全保障上のリスクをもたらすと判断した場合、またはその商用スパイウェアが外国政府または外国人によって不適切に使用される重大なリスクをもたらすと判断した場合には、商用スパイウェアを業務上使用してはならない。この使用禁止の目的のために
          (i)    Commercial spyware may pose counterintelligence or security risks to the United States Government when:           (i) 商業用スパイウェアは、以下の場合に、合衆国政府に対して防諜上または安全保障上のリスクをもたらす可能性がある:
               (A)  a foreign government or foreign person has used or acquired the commercial spyware to gain or attempt to gain access to United States Government computers or the computers of United States Government personnel without authorization from the United States Government; or                (A) 外国政府または外国人が、合衆国政府のコンピュータまたは合衆国政府職員のコンピュータに、合衆国政府の許可なくアクセスするため、またはアクセスしようとするために、商用スパイウェアを使用または取得した場合。
               (B)  the commercial spyware was or is furnished by an entity that:                (B) 商用スパイウェアが、以下の事業者によって提供された、または提供された場合:
                    (1)  maintains, transfers, or uses data obtained from the commercial spyware without authorization from the licensed end-user or the United States Government;                     (1) ライセンスを受けたエンドユーザまたは合衆国政府の許可なく、商用スパイウェアから得られたデータを維持、転送、または使用する;
                    (2)  has disclosed or intends to disclose non-public United States Government information or non-public information about the activities of the United States Government without authorization from the United States Government; or                     (2) 米国政府からの許可なく、米国政府の非公開情報または米国政府の活動に関する非公開情報を開示した、または開示する予定である。
                    (3)  is under the direct or effective control of a foreign government or foreign person engaged in intelligence activities, including surveillance or espionage, directed against the United States.                     (3) 米国に向けられた監視またはスパイ活動を含む諜報活動に従事する外国政府または外国人の直接的または実効的な管理下にある。
          (ii)   Commercial spyware may pose risks of improper use by a foreign government or foreign person when:           (ii) 商用スパイウェアは、以下の場合に、外国政府または外国人による不適切な使用のリスクをもたらす可能性がある:
               (A)  the commercial spyware, or other commercial spyware furnished by the same vendor, has been used by a foreign government or foreign person for any of the following purposes:                (A) 商業用スパイウェア、または同じベンダーが提供する他の商業用スパイウェアが、外国政府または外国人によって以下のいずれかの目的で使用されたことがある:
                    (1)  to collect information on activists, academics, journalists, dissidents, political figures, or members of non-governmental organizations or marginalized communities in order to intimidate such persons; curb dissent or political opposition; otherwise limit freedoms of expression, peaceful assembly, or association; or enable other forms of human rights abuses or suppression of civil liberties; or                     (1) 活動家、学者、ジャーナリスト、反体制派、政治家、非政府組織または疎外されたコミュニティのメンバーに関する情報を収集し、これらの人々を脅迫し、反対意見や政治的反対を抑制し、表現、平和的集会、または結社の自由を制限し、または他の形態の人権侵害または市民の自由の抑圧を可能にするために使用すること、または
                    (2)  to monitor a United States person, without such person’s consent, in order to facilitate the tracking or targeting of the person without proper legal authorization, safeguards, and oversight; or                     (2) 適切な法的認可、保護措置、監視なしに、米国人の追跡または標的化を促進するために、当該人の同意なしに、米国人を監視すること。
               (B)  the commercial spyware was furnished by an entity that provides commercial spyware to governments for which there are credible reports in the annual country reports on human rights practices of the Department of State that they engage in systematic acts of political repression, including arbitrary arrest or detention, torture, extrajudicial or politically motivated killing, or other gross violations of human rights, consistent with any findings by the Department of State pursuant to section 5502 of the NDAA FY 2022 or other similar findings.                (B) 国務省の人権慣行に関する年次国別報告書において、恣意的な逮捕または拘留、拷問、超法規的または政治的動機による殺害、またはその他の重大な人権侵害を含む政治的抑圧行為を組織的に行っているという信頼できる報告がある政府に対して、2022年度NDAA第5502条に基づく国務省による所見またはその他の同様の所見と一致する商用スパイウェアが提供された事業者である。
          (iii)  In determining whether the operational use of commercial spyware poses significant counterintelligence or security risks to the United States Government or poses significant risks of improper use by a foreign government or foreign person, such that operational use should be prohibited, agencies shall consider, among other relevant considerations, whether the entity furnishing the commercial spyware knew or reasonably should have known that the spyware posed risks described in subsections (a)(i) or (ii) of this section, and whether the entity has taken appropriate measures to remove such risks, such as canceling relevant licensing agreements or contracts that present such risks; taking other verifiable action to prevent continuing uses that present such risks; or cooperating in United States Government efforts to counter improper use of the spyware.           (iii) 市販のスパイウェアの運用上の使用が、米国政府にとって重大な防諜または安全保障上のリスクをもたらすか、あるいは運用上の使用を禁止すべきような外国政府または外国人による不正使用の重大なリスクをもたらすかを判断するにあたり、機関は、他の関連する考慮事項の中でも、以下を考慮しなければならない、 商用スパイウェアを提供する事業者が、当該スパイウェアが本節(a)(i)または(ii)に記載されたリスクをもたらすことを知っていたか、または合理的に知るべきだったか、および当該事業者が、当該リスクをもたらす関連ライセンス契約または契約を取り消すなど、リスクを取り除くための適切な措置をとったかどうか; そのようなリスクをもたらす継続的な使用を防止するための他の検証可能な行動をとること、又はスパイウェアの不適切な使用に対抗する合衆国政府の努力に協力すること。
     (b)  An agency shall not request or directly enable a third party to make operational use of commercial spyware where the agency has determined that such use poses significant counterintelligence or security risks to the United States Government or that the commercial spyware poses significant risks of improper use by a foreign government or foreign person, as described in subsection (a) of this section.  For purposes of this order, the term “operational use” includes such indirect use.      (b) 機関は、そのような使用が合衆国政府にとって重大な防諜または安全保障上のリスクをもたらすと機関が判断した場合、あるいは、その商用スパイウェアが本節の(a)項に記載されているように外国政府または外国人による不正使用の重大なリスクをもたらすと機関が判断した場合には、第三者に商用スパイウェアの運用を要請したり直接可能にしたりしてはならない。 この命令の目的上、「運用上の使用」という用語は、このような間接的な使用を含む。
     (c)  To facilitate effective interagency coordination of information relevant to the factors set forth in subsection (a) of this section and to promote consistency of application of this order across the United States Government, the Director of National Intelligence (DNI) shall, within 90 days of the date of this order, and on a semiannual basis thereafter, issue a classified intelligence assessment that integrates relevant information — including intelligence, open source, financial, sanctions-related, and export controls-related information — on foreign commercial spyware or foreign government or foreign person use of commercial spyware relevant to the factors set forth in subsection (a) of this section.  The intelligence assessment shall incorporate, but not be limited to, the report and assessment required by section 1102A(b) of the National Security Act of 1947, 50 U.S.C. 3001 et seq., as amended by section 6318(c) of the NDAA FY 2023.  In order to facilitate the production of the intelligence assessment, the head of each agency shall, on an ongoing basis, provide the DNI all new credible information obtained by the agency on foreign commercial spyware vendors or foreign government or foreign person use of commercial spyware relevant to the factors set forth in subsection (a) of this section.  Such information shall include intelligence, open source, financial, sanctions-related, export controls-related, and due diligence information, as well as information relevant to the development of the list of covered contractors developed or maintained pursuant to section 5502 of the NDAA FY 2022 or other similar information.      (c) 本項(a)に規定する要因に関連する情報の効果的な省庁間調整を促進し、合衆国政府全体における本命令の適用の一貫性を促進するため、国家情報長官(DNI)は、本令の日付から90日以内に、またその後半期ごとに、次のことを行う、 本節の第(a)項に定める要因に関連する外国の商用スパイウェアまたは外国政府もしくは外国人の商用スパイウェアの使用に関する情報、オープンソース、金融、制裁関連および輸出管理関連の情報を含む関連情報を統合した機密情報評価を発行する。  情報評価は、2023年度NDAA第6318条(c)により改正された1947年国家安全保障法(50 U.S.C. 3001 et seq)の1102A条(b)により求められる報告及び評価を取り入れるものとするが、これに限定されない。  情報評価の作成を促進するため、各機関の長は、継続的に、外国の商用スパイウェアのベンダーまたは外国政府もしくは外国人の商用スパイウェアの使用に関して当該機関が得たすべての新しい信頼できる情報を、本節の第(a)項に規定する要因に関連させてDNIに提供しなければならない。  当該情報には、情報、オープンソース、金融、制裁関連、輸出管理関連、デューディリジェンス情報のほか、2022年度NDAA第5502条に従って作成または維持される対象業者のリストの作成に関連する情報またはその他の同様の情報を含むものとする。
     (d)  Any agency that makes a determination of whether operational use of a commercial spyware product is prohibited under subsection (a) of this section shall provide the results of that determination and key elements of the underlying analysis to the DNI.  After consulting with the submitting agency to protect operational sensitivities, the DNI shall incorporate this information into the intelligence assessment described in subsection (c) of this section and, as needed, shall make this information available to other agencies consistent with section 3(b) of this order.       (d) 本節の第(a)項に基づき、市販のスパイウェア製品の運用利用が禁止されているか否かの判断を行った機関は、その判断結果および基礎となる分析の主要要素をDNIに提供する。  DNIは、作戦上の機密を保護するために提出機関と協議した後、この情報を本節の(c)項に記載の情報評価に組み込み、必要に応じて、この情報を本命令の第3項(b)に従って他機関に提供しなければならないものとする。 
     (e)  The Assistant to the President for National Security Affairs (APNSA), or a designee, shall, within 30 days of the issuance of the intelligence assessment described in subsection (c) of this section, and additionally as the APNSA or designee deems necessary, convene agencies to discuss the intelligence assessment, as well as any other information about commercial spyware relevant to the factors set forth in subsection (a) of this section, in order to ensure effective interagency awareness and sharing of such information.      (e) 国家安全保障問題担当大統領補佐官(APNSA)またはその被指名者は、本項(c)に記載された情報評価の発行から30日以内に、またAPNSAまたは被指名者が必要と考える場合には、省庁間の認識と情報の共有を効果的に行うために、情報評価、および本項(a)に定める要因に関連する商用スパイウェアに関するその他の情報についても話し合うために省庁を招集するものとする。
     (f)  For any commercial spyware intended by an agency for operational use, a relevant official, as provided in section 5(k) of this order, shall certify the determination that the commercial spyware does not pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person based on the factors set forth in subsection (a) of this section.  The obligation to certify such a determination shall not be delegated, except as provided in section 5(k) of this order.      (f) 機関が運用目的で使用する商用スパイウェアについては、本命令の第5条(k)に定める関係当局者が、本条(a)に定める要因に基づき、商用スパイウェアが合衆国政府に対する重大な防諜・セキュリティ上のリスク、または外国政府もしくは外国人による不正使用の著しいリスクをもたらさないという決定を証明するものとする。 このような決定を証明する義務は、本命令の第5条(k)に規定される場合を除き、委任されないものとする。
     (g)  If an agency decides to make operational use of commercial spyware, the head of the agency shall notify the APNSA of such decision, describing the due diligence completed before the decision was made, providing relevant information on the agency’s consideration of the factors set forth in subsection (a) of this section, and providing the reasons for the agency’s determination.  The agency may not make operational use of the commercial spyware until at least 7 days after providing this information or until the APNSA has notified the agency that no further process is required.       (g) ある機関が市販のスパイウェアを運用することを決定した場合、当該機関の長は、APNSAに当該決定を通知し、決定前に完了したデューディリジェンスを説明し、本項(a)に規定する要因の検討に関する関連情報を提供し、当該機関の決定の理由を提供するものとする。  当該機関は、この情報を提供してから少なくとも7日後、またはAPNSAがこれ以上の処理を必要としないことを当該機関に通知するまで、商用スパイウェアの運用利用を行うことはできない。 
     (h)  Within 90 days of the issuance of the intelligence assessment described in subsection (c) of this section, each agency shall review all existing operational uses of commercial spyware and discontinue, as soon as the head of the agency determines is reasonably possible without compromising ongoing operations, operational use of any commercial spyware that the agency determines poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, pursuant to subsection (a) of this section.      (h) 本項(c)に記載された情報評価の発行から90日以内に、各機関は、商用スパイウェアの既存の運用上の使用をすべて見直し、本項(a)に従って、米国政府に対する重大な防諜またはセキュリティ上のリスクまたは外国政府もしくは外国人による不正使用の著しいリスクがあると機関長が判断する商用スパイウェアの運用上の使用を、進行中の業務を損なわずに合理的に可能と判断した時点で停止しなければならない。
     (i)  Within 180 days of the date of this order, each agency that may make operational use of commercial spyware shall develop appropriate internal controls and oversight procedures for conducting determinations under subsection (a) of this section, as appropriate and consistent with applicable law.      (i) この命令の日付から180日以内に、市販のスパイウェアを運用上使用する可能性のある各機関は、本条第(a)項に基づく判断を行うための適切な内部統制および監視手順を、適切かつ適用法と一致するように開発するものとする。
     (j)  At any time after procuring commercial spyware for operational use, if the agency obtains relevant information with respect to the factors set forth in subsection (a) of this section, the agency shall determine whether the commercial spyware poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, and, if so, shall terminate such operational use as soon as the head of the agency determines is reasonably possible without compromising ongoing operations, and shall notify the DNI and the APNSA.      (j) 業務用スパイウェアを調達した後いつでも、本条(a)項に定める要因に関して関連情報を入手した場合、当該機関は、当該商用スパイウェアが合衆国政府にとって重大な防諜またはセキュリティ上のリスクをもたらすかどうか、または外国政府もしくは外国人による不適切な使用の重大なリスクをもたらすかを判断し、その場合は、継続中の業務を損なわずに機関の長が合理的に可能と判断した時点で当該業務使用を終了し、DNI及びAPNSAに通知しなければならない。
     (k)  The Federal Acquisition Security Council shall consider the intelligence assessment described in subsection (c) of this section in evaluating whether commercial spyware poses a supply chain risk, as appropriate and consistent with applicable law, including 41 C.F.R. Part 201-1 and 41 U.S.C. 1323.      (k) 連邦調達安全委員会は、商業用スパイウェアがサプライチェーンのリスクをもたらすかどうかを評価する際に、適切かつ41CFR Part 201-1および41U.S.C. 1323を含む適用法と一致するように、本節(c)に記載の情報評価を考慮しなければならない。
     (l)  The prohibitions contained in this section shall not apply to the use of commercial spyware for purposes of testing, research, analysis, cybersecurity, or the development of countermeasures for counterintelligence or security risks, or for purposes of a criminal investigation arising out of the criminal sale or use of the spyware.      (l) 本条に含まれる禁止事項は、試験、研究、分析、サイバーセキュリティ、または防諜もしくはセキュリティ・リスクに対する対策の開発を目的とした商用スパイウェアの使用、またはスパイウェアの犯罪的販売もしくは使用から生じる犯罪捜査の目的には適用されないものとする。
     (m)  A relevant official, as provided in section 5(k) of this order, may issue a waiver, for a period not to exceed 1 year, of an operational use prohibition determined pursuant to subsection (a) of this section if the relevant official determines that such waiver is necessary due to extraordinary circumstances and that no feasible alternative is available to address such circumstances.  This authority shall not be delegated, except as provided in section 5(k) of this order.  A relevant official may, at any time, revoke any waiver previously granted.  Within 72 hours of making a determination to issue or revoke a waiver pursuant to this subsection, the relevant official who has issued or revoked the waiver shall notify the President, through the APNSA, of this determination, including the justification for the determination.  The relevant official shall provide this information concurrently to the DNI.      (m) 本命令第5条(k)に規定される関係当局は、本条(a)項に従って決定された運用使用禁止の放棄が異常事態により必要であり、当該状況に対処するために実行可能な代替手段がないと関係当局が判断した場合、1年を超えない期間、当該放棄を行うことができます。 この権限は、本令第5条(k)に規定される場合を除き、委任されないものとする。 関係者は、いつでも、以前に付与された免除を取り消すことができる。  本項に従って免除を発行または取り消す決定を下してから 72 時間以内に、免除を発行または取り消した関係当局は、APNSA を通じて、決定の正当性を含むこの決定を大統領に通知するものとする。  関係当局は、この情報を DNI に同時に提供しなければならない。
     Sec. 3.  Application to Procurement.  An agency seeking to procure commercial spyware for any purpose other than for a criminal investigation arising out of the criminal sale or use of the spyware shall, prior to making such procurement and consistent with its existing statutory and regulatory authorities:       第 3 条  調達への適用:スパイウェアの犯罪的販売または使用に起因する犯罪捜査以外の目的で市販のスパイウェアを調達しようとする機関は、当該調達を行う前に、既存の法令および規制上の権限に基づき、以下のことを行うものとする: 
     (a)  review the intelligence assessment issued by the DNI pursuant to section 2(c) of this order;      (a) この命令の第2条(c)に従ってDNIが発行した情報評価を検討すること;
     (b)  request from the DNI any additional information regarding the commercial spyware that is relevant to the factors set forth in section 2(a) of this order;      (b) この命令の第2条(a)に規定する要因に関連する商用スパイウェアに関する追加情報をDNIに要求すること;
     (c)  consider the factors set forth in section 2(a) of this order in light of the information provided by the DNI; and      (c) DNIから提供された情報に照らして、本命令の第2条(a)に規定する要因を検討すること。
     (d)  consider whether any entity furnishing the commercial spyware being considered for procurement has implemented reasonable due diligence procedures and standards — such as the industry-wide norms reflected in relevant Department of State guidance on business and human rights and on transactions linked to foreign government end-users for products or services with surveillance capabilities — and controls that would enable the entity to identify and prevent uses of the commercial spyware that pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person.      (d) 調達が検討されている商用スパイウェアを提供する事業者が、合理的なデューディリジェンスの手順と基準(ビジネスと人権に関する国務省の関連ガイダンスや監視機能を有する製品またはサービスに関する外国政府のエンドユーザと関連する取引に反映される業界全体の規範など)および米国政府にとって重大な防諜またはセキュリティ上のリスクをもたらす商用スパイウェアや外国政府または外国人によって不正使用する著しいリスクの用途を特定および防止できる統制を実施しているかを検討する。
     Sec. 4.  Reporting Requirements.  (a)  The head of each agency that has procured commercial spyware, upon completing the review described in section 2(h) of this order, shall submit to the APNSA a report describing the review’s findings.  If the review identifies any existing operational use of commercial spyware, as defined in this order, the agency report shall include:      第4条  報告要件: (a) 商用スパイウェアを調達した各機関の長は、本命令の第2項(h)に記載されたレビューを完了した時点で、レビューの結果を記載した報告書をAPNSAに提出する。  レビューにより、本命令で定義される商用スパイウェアの既存の業務上の使用が確認された場合、当該機関の報告書には、以下が含まれるものとする:
          (i)    a description of such existing operational use;           (i) 当該既存の業務上の使用に関する記述;
          (ii)   a determination of whether the commercial spyware poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, along with key elements of the underlying analysis, pursuant to section 2(a) of this order; and           (ii) 本命令の第2条(a)に従い、商業用スパイウェアが、米国政府にとって重大な防諜またはセキュリティ上のリスク、あるいは外国政府または外国人による不適切な使用の重大なリスクをもたらすかどうかの判断と、その基礎となる分析の主要要素。
          (iii)  in the event the agency determines that the commercial spyware poses significant risks pursuant to section 2(a) of this order, what steps have been taken to terminate its operational use.             (iii) 本命令の第2項(a)に従って商用スパイウェアが重大なリスクをもたらすと機関が判断した場合、その業務上の使用を終了させるためにどのような措置が取られたのか。 
     (b)  Within 45 days of an agency’s procurement of any commercial spyware for any use described in section 2(l) of this order except for use in a criminal investigation arising out of the criminal sale or use of the spyware, the head of the agency shall notify the APNSA of such procurement and shall include in the notification a description of the purpose and authorized uses of the commercial spyware.      (b) スパイウェアの犯罪的な販売または使用に起因する犯罪捜査における使用を除き、本注文の第2項(l)に記載された用途で機関が商用スパイウェアを調達した日から45日以内に、機関の長は、APNSAに当該調達を通知し、通知には、商用スパイウェアの目的および許可された用途の説明を含めなければならない。
     (c)  Within 6 months of the date of this order, the head of each agency that has made operational use of commercial spyware or has procured commercial spyware for operational use shall submit to the APNSA a report on the actions that the agency has taken to implement this order, including the internal controls and oversight procedures the agency has developed pursuant to section 2(i) of this order.      (c) 本命令の日付から6か月以内に、商用スパイウェアを業務上の目的で使用した、または業務上の目的で商用スパイウェアを調達した各機関の長は、本命令の第2項(i)に従って機関が開発した内部統制および監視手続を含め、当該機関が実施した措置に関する報告書をAPNSAに提出する。
     (d)  Within 1 year of the date of this order, and on an annual basis thereafter, the head of each agency that has procured commercial spyware for operational use shall provide the APNSA a report that identifies:      (d) 本命令の日付から1年以内、およびその後毎年、業務用の商用スパイウェアを調達している各機関の長は、APNSAに対し、以下を特定する報告書を提出する:
          (i)    any existing operational use of commercial spyware and the reasons why it does not pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, pursuant to section 2(a) of this order;           (i) 本命令の第2条(a)に従い、商用スパイウェアの既存の運用上の使用と、それが合衆国政府にとって重大な防諜またはセキュリティ上のリスク、あるいは外国政府または外国人による重大な不正使用のリスクを引き起こさない理由;
          (ii)   any operational use of commercial spyware that was terminated during the preceding year because it was determined to pose significant risks pursuant to section 2(a) of this order, the circumstances under which this determination was made, and the steps taken to terminate such use; and           (ii) この命令の第2条(a)に従って重大なリスクをもたらすと判断されたため、前年度に終了した商用スパイウェアの運用上の使用、この判断が下された状況、および当該使用を終了するために講じた措置。
          (iii)  any purchases made of commercial spyware, and whether they were made for operational use, during the preceding year.           (iii) 前年の間に、市販のスパイウェアを購入したこと、及びそれが業務用であったかどうか。
     Sec. 5.  Definitions.  For purposes of this order:       第5条  定義 :本命令の目的上、以下のとおりとする: 
     (a)  The term “agency” means any authority of the United States that is an “agency” under 44 U.S.C. 3502(1), other than those considered to be independent regulatory agencies, as defined in 44 U.S.C. 3502(5).      (a) 「機関」とは、44 U.S.C. 3502(1)に基づく「機関」である米国の当局をいい、44 U.S.C. 3502(5)に定義される独立規制機関とみなされるものは除きます。
     (b)  The term “commercial spyware” means any end-to-end software suite that is furnished for commercial purposes, either directly or indirectly through a third party or subsidiary, that provides the user of the software suite the capability to gain remote access to a computer, without the consent of the user, administrator, or owner of the computer, in order to:      (b) 「商用スパイウェア」とは、第三者または子会社を通じて直接的または間接的に商用目的で提供されるエンド・ツー・エンドのソフトウェア・スイートであって、当該ソフトウェアスイートの使用者に、当該コンピュータの使用者、管理者または所有者の同意なしに、以下の目的でコンピュータにリモートアクセスする機能を提供するものをいう:
          (i)    access, collect, exploit, extract, intercept, retrieve, or transmit content, including information stored on or transmitted through a computer connected to the Internet;           (i) インターネットに接続されたコンピュータに保存された情報またはコンピュータを通じて送信された情報を含むコンテンツにアクセス、収集、悪用、抽出、傍受、取得、または送信すること;
          (ii)   record the computer’s audio calls or video calls or use the computer to record audio or video; or           (ii) コンピュータの音声通話またはビデオ通話を記録すること、または音声またはビデオを記録するためにコンピュータを使用すること、または。
          (iii)  track the location of the computer.           (iii) コンピュータの場所を追跡すること。
     (c)  The term “computer” shall have the same meaning as it has in 18 U.S.C. 1030(e)(1).      (c) 「コンピュータ」という用語は、合衆国法律集第 18 編第 1030 条(e)(1)における意味と同じ意味を有するものとする。
     (d)  The term “entity” means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization.      (d) 「事業体」という用語は、パートナーシップ、協会、信託、ジョイントベンチャー、企業、グループ、サブグループ、またはその他の組織を意味する。
     (e)  The term “foreign entity” means an entity that is not a United States entity.      (e) 「外国企業」とは、米国の企業でない企業を意味する。
     (f)  The term “foreign government” means any national, state, provincial, or other governing authority, any political party, or any official of any governing authority or political party, in each case of a country other than the United States.      (f) 「外国政府」とは、国、州、地方、その他の統治当局、政党、統治当局または政党の役人をいい、いずれの場合も、米国以外の国のものをいう。
     (g)  The term “foreign person” means a person that is not a United States person.      (g) 「外国人」とは、合衆国人でない者をいう。
     (h)  The term “furnish,” when used in connection with commercial spyware, means to develop, maintain, own, operate, manufacture, market, sell, resell, broker, lease, license, repackage, rebrand, or otherwise make available commercial spyware.      (h)「提供する」という用語は、商用スパイウェアに関連して使用される場合、商用スパイウェアを開発、維持、所有、運用、製造、販売、再販、仲介、リース、ライセンス、再パッケージ、再ブランド、その他利用可能にすることを意味する。
     (i)  The term “operational use” means use to gain remote access to a computer, without the consent of the user, administrator, or owner of the computer, in order to:      (i) 「業務上の使用」とは、以下の目的で、コンピュータの使用者、管理者または所有者の同意を得ずに、コンピュータにリモートアクセスするための使用をいいる:
          (i)    access, collect, exploit, extract, intercept, retrieve, or transmit the computer’s content, including information stored on or transmitted through a computer connected to the Internet;           (i) インターネットに接続されたコンピュータに保存された情報またはコンピュータを通じて送信された情報を含む、コンピュータのコンテンツにアクセス、収集、悪用、抽出、傍受、取得、または送信すること;
          (ii)   record the computer’s audio calls or video calls or use the computer to otherwise record audio or video; or           (ii) コンピュータの音声通話またはビデオ通話を記録すること、あるいはコンピュータを使用して音声またはビデオを記録すること、または。
          (iii)  track the location of the computer.            (iii) コンピュータの位置を追跡すること。 
     The term “operational use” does not include those uses described in section 2(l) of this order.      運用上の使用」という用語には、本注文の第2項(l)に記載される使用は含まれない。
     (j)  The term “person” means an individual or entity.      (j) 「人」という用語は、個人または団体を意味する。
     (k)  The term “relevant official,” for purposes of sections 2(f) and 2(m) of this order, refers to any of the following:  the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, the DNI, the Director of the Central Intelligence Agency, or the Director of the National Security Agency.  The Attorney General’s obligation under section 2(f) of this order and authority under section 2(m) of this order may be delegated only to the Deputy Attorney General.      (k) 本命令第2条(f)および第2条(m)における「関係当局者」とは、国防長官、司法長官、国土安全保障省長官、DNI、中央情報局長官、国家安全保障局長官のいずれかを意味するものとする。  本命令第2条(f)に基づく司法長官の義務および本命令第2条(m)に基づく権限は、司法長官代理にのみ委任することができます。
     (l)  The term “remote access,” when used in connection with commercial spyware, means access to a computer, the computer’s content, or the computer’s components by using an external network (e.g., the Internet) when the computer is not in the physical possession of the actor seeking access to that computer.      (l) 「リモート・アクセス」という用語は、商用スパイウェアに関連して使用される場合、コンピュータへのアクセスを求める行為者がそのコンピュータを物理的に所有していないときに、外部ネットワーク(例えば、インターネット)を使用してコンピュータ、コンピュータのコンテンツ、またはコンピュータのコンポーネントにアクセスすることを意味する。
     (m)  The term “United States entity” means any entity organized under the laws of the United States or any jurisdiction within the United States (including foreign branches).      (m) 「米国企業」とは、米国法または米国内の司法権に基づき組織された企業(外国支店を含む)をいいる。
     (n)  The term “United States person” shall have the same meaning as it has in Executive Order 12333 of December 4, 1981 (United States Intelligence Activities), as amended.      (n) 「合衆国人」という用語は、1981年12月4日の大統領令12333(合衆国諜報活動)において修正されたものと同じ意味を有するものとする。
     (o)  The term “United States Government personnel” means all United States Government employees as defined by 5 U.S.C. 2105.      (o)「合衆国政府職員」とは、5 U.S.C. 2105に規定されるすべての合衆国政府職員をいう。
     Sec. 6.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect:       第6条 一般規定:  (a) 本命令のいかなる条項も、以下の事項を損なう、またはその他の影響を与えるものと解釈してはならない: 
          (i)   the authority granted by law to an executive department or agency, or the head thereof; or           (i) 行政機関またはその長に法律で認められた権限。
          (ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.           (ii) 予算、行政、または立法案に関する行政管理予算局長の機能。
     (b)  Nothing in this order shall be construed to limit the use of any remedies available to the head of an agency or any other official of the United States Government.      (b) 本命令のいかなる内容も、省庁の長または米国政府の他の職員が利用できる救済措置の利用を制限するものと解釈してはならない。
     (c)  This order shall be implemented consistent with applicable law, including section 6318 of the NDAA FY 2023, as well as applicable procurement laws, and subject to the availability of appropriations.      (c) 本命令は、2023年度NDAA第6318条、適用される調達法を含む適用法と一致し、かつ、充当可能な予算に応じて実施されるものとする。
     (d)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.      (d) 本命令は、実体的または手続き的に、いかなる当事者も米国、その省庁、団体、その役員、職員、代理人、またはその他の人物に対して法律上または衡平法上強制できる権利または利益を創出することを意図しておらず、また創出しない。
                             JOSEPH R. BIDEN JR.                              ジョセフ・R・バイデン Jr.
THE WHITE HOUSE, ホワイトハウス
   March 27, 2023.    2023年3月27日

 

 

・2023.03.27 FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security

FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security ファクトシート:バイデン大統領、国家安全保障に危険を及ぼす商用スパイウェアの米国政府使用を禁止する大統領令に署名
Presidential Directive Will Serve as a Cornerstone Initiative During the Second Summit for Democracy 大統領令は、第2回民主主義のためのサミットにおける基軸となるイニシアティブとなる
Today, President Biden signed an Executive Order that prohibits, for the first time, operational use by the United States Government of commercial spyware that poses risks to national security or has been misused by foreign actors to enable human rights abuses around the world. 本日、バイデン大統領は、国家安全保障に危険を及ぼす、あるいは外国人行為者によって世界中の人権侵害を可能にするために悪用されてきた商用スパイウェアの米国政府による運用利用を初めて禁止する大統領令に署名した。
Commercial spyware – sophisticated and invasive cyber surveillance tools sold by vendors to access electronic devices remotely, extract their content, and manipulate their components, all without the knowledge or consent of the devices’ users – has proliferated in recent years with few controls and high risk of abuse. 商用スパイウェアとは、電子機器に遠隔からアクセスし、そのコンテンツを抽出し、そのコンポーネントを操作するための、ベンダーが販売する高度で侵襲的なサイバー監視ツールで、すべて機器のユーザーの知識や同意なしに、制御がほとんどなく、悪用のリスクが高い状態で近年拡散している。
The proliferation of commercial spyware poses distinct and growing counterintelligence and security risks to the United States, including to the safety and security of U.S. Government personnel and their families. U.S. Government personnel overseas have been targeted by commercial spyware, and untrustworthy commercial vendors and tools can present significant risks to the security and integrity of U.S. Government information and information systems. 商用スパイウェアの拡散は、米国政府関係者とその家族の安全やセキュリティを含め、米国に明確かつ増大する防諜・安全保障上のリスクをもたらす。海外の米国政府関係者は、商用スパイウェアに狙われており、信頼できない商用ベンダーやツールは、米国政府の情報および情報システムのセキュリティと完全性に重大なリスクをもたらす可能性がある。
A growing number of foreign governments around the world, moreover, have deployed this technology to facilitate repression and enable human rights abuses, including to intimidate political opponents and curb dissent, limit freedom of expression, and monitor and target activists and journalists. Misuse of these powerful surveillance tools has not been limited to authoritarian regimes. Democratic governments also have confronted revelations that actors within their systems have used commercial spyware to target their citizens without proper legal authorization, safeguards, and oversight.  さらに、世界中のますます多くの外国政府が、政治的反対者を脅迫し、反対意見を抑制し、表現の自由を制限し、活動家やジャーナリストを監視し標的とするなど、抑圧を促進し人権侵害を可能にするためにこの技術を導入している。こうした強力な監視ツールの悪用は、権威主義的な政権に限ったことではない。民主的な政府もまた、自国のシステム内の行為者が、適切な法的認可、保護措置、監視なしに、市民を標的にするために商用スパイウェアを使用していることが明らかになったことに直面している。 
In response, the Biden-Harris Administration has mobilized a government-wide effort to counter the risks posed by commercial spyware. Today’s Executive Order builds on these initiatives, and complementary bipartisan congressional action, to establish robust protections against misuse of such tools. これに対し、バイデン-ハリス政権は、商用スパイウェアがもたらすリスクに対抗するため、政府を挙げての取り組みを行いました。本日の大統領令は、こうした取り組みと超党派の議会活動を補完するものであり、こうしたツールの悪用に対する強固な保護を確立するものである。
This Executive Order will serve as a cornerstone U.S. initiative during the second Summit for Democracy on March 29-30, 2023, which President Biden will co-host with the leaders of Costa Rica, the Netherlands, the Republic of Korea, and the Republic of Zambia. In furtherance of President Biden’s National Security Strategy, this Executive Order demonstrates the United States’ leadership in, and commitment to, advancing technology for democracy, including by countering the misuse of commercial spyware and other surveillance technology.  This Executive Order will also serve as a foundation to deepen international cooperation to promote responsible use of surveillance technology, counter the proliferation and misuse of such technology, and spur industry reform. この大統領令は、バイデン大統領がコスタリカ、オランダ、大韓民国、ザンビア共和国の首脳と共同開催する、2023年3月29~30日の第2回民主化サミットにおける米国の重要なイニシアティブとして機能することになるでしょう。バイデン大統領の国家安全保障戦略を推進するため、この大統領令は、商業用スパイウェアやその他の監視技術の悪用に対抗することを含め、民主主義のための技術の進歩における米国のリーダーシップとそのコミットメントを示すものである。  また、この大統領令は、監視技術の責任ある使用を促進し、そのような技術の拡散や悪用に対抗し、業界の改革を促進するための国際協力を深めるための基盤としても機能する。
*** ***
In particular, the Executive Order signed by President Biden today: 特に、本日バイデン大統領が署名した大統領令では
Applies to U.S. federal government departments and agencies, including those engaged in law enforcement, defense, or intelligence activities, and encompasses spyware tools furnished by foreign or domestic commercial entities. ・法執行、防衛、諜報活動に従事するものを含む、米国連邦政府の部局および機関に適用され、外国または国内の商業団体が提供するスパイウェアツールを包含する。
Prohibits departments and agencies across the federal government from operationally using commercial spyware tools that pose significant counterintelligence or security risks to the U.S. Government or significant risks of improper use by a foreign government or foreign person, including to target Americans or enable human rights abuses. ・連邦政府内の各省庁が、米国政府に対する重大な防諜・安全保障上のリスク、または米国人を標的にしたり人権侵害を可能にするなど、外国政府または外国人による不正使用の重大なリスクをもたらす商用スパイウェアツールを業務上、使用することを禁止する。
・Establishes key counterintelligence, security, and improper use factors that indicate such risks, including if
:
・以下の場合を含め、そのようなリスクを示す重要な防諜、安全保障、不適切な使用の要因を確立する:
・・a foreign government or foreign person has used or acquired the commercial spyware to gain or attempt to gain access to U.S. Government electronic devices, or those of U.S. Government personnel, without authorization from the U.S. Government; 外国政府または外国人が、米国政府の電子デバイスまたは米国政府職員の電子デバイスに、米国政府の許可なくアクセスするため、またはアクセスしようとするために、商用スパイウェアを使用または取得した;
・・the commercial spyware was or is furnished by an entity that (1) maintains, transfers, or uses data obtained from the commercial spyware without authorization from the licensed end-user or the U.S. Government; (2) has disclosed or intends to disclose non-public information about the U.S. Government or its activities without authorization from the U.S. Government; or (3) is under the direct or effective control of a foreign government or foreign person engaged in intelligence activities directed against the United States; ・・(1)ライセンスされたエンドユーザまたは米国政府の許可なく、商用スパイウェアから取得したデータを維持、転送または使用する、(2)米国政府またはその活動に関する非公開情報を米国政府の許可なく開示したまたは開示しようとする、(3)米国に向けた情報活動を行う外国政府または外国人の直接的または実効支配下にある事業者によって提供された、または提供されていた;
・・a foreign actor uses the commercial spyware against activists, dissidents, or other actors to intimidate; to curb dissent or political opposition; to otherwise limit freedoms of expression, peaceful assembly or association; or to enable other forms of human rights abuses or suppression of civil liberties; ・・外国の行為者が、活動家、反体制派、またはその他の行為者に対して、威嚇するため、反対意見や政治的反対を抑制するため、表現、平和的集会または結社の自由を制限するため、またはその他の形態の人権侵害や市民的自由の抑圧を可能にするために商業用スパイウェアを使用する;
・・a foreign actor uses the commercial spyware to monitor a United States person, without consent, in order to track or target them without proper legal authorization, safeguards, and oversight; and ・・外国の行為者が、適切な法的認可、保護措置、および監視なしに、米国人を追跡または標的とするために、同意なしに、商業用スパイウェアを使用して米国人を監視する場合、および
・・the commercial spyware is furnished to governments for which there are credible reports that they engage in systematic acts of political repression, including arbitrary arrest or detention, torture, extrajudicial or politically motivated killing, or other gross violations of human rights. This ensures application of the Executive Order in situations when foreign actors may not yet have committed specific abuses through the use of commercial spyware, but have engaged in other serious abuses and violations of human rights.  ・・商業用スパイウェアは、恣意的な逮捕や拘留、拷問、超法規的または政治的動機による殺害、その他の重大な人権侵害を含む政治的抑圧行為を組織的に行っているという信頼できる報告がある政府に対して提供されます。これにより、外国の行為者が商業用スパイウェアの使用を通じて特定の虐待をまだ行っていないかもしれないが、他の重大な虐待や人権侵害に関与している状況においても、大統領令の適用が保証される。 
・Identifies concrete remedial steps that commercial spyware vendors can take to reduce identified risks, such as cancelling relevant licensing agreements or contracts that present such risks. ・商業用スパイウェアのベンダーが、そのようなリスクをもたらす関連ライセンス契約や契約の取り消しなど、特定されたリスクを軽減するために取ることのできる具体的な改善策を特定する
Directs important new reporting and information-sharing requirements within the Executive Branch to ensure departments and agencies can make informed and consistent determinations based on up-to-date all-source information, including a semi-annual comprehensive intelligence assessment. ・半年ごとの包括的な情報評価を含む最新の全情報源情報に基づき、各省庁が情報に基づいた一貫した判断を下せるように、行政機関内で重要な新しい報告および情報共有の要件を指示する
The Executive Order, therefore, seeks to ensure that any U.S. Government use of commercial spyware aligns with the United States’ core national security and foreign policy interests in upholding and advancing democratic processes and institutions, and respect for human rights; does not contribute, directly or indirectly, to the proliferation and misuse of commercial spyware; and helps protect U.S. Government personnel and U.S. Government information systems and intelligence and law enforcement activities against significant counterintelligence or security risks.  したがって、この大統領令は、米国政府による商用スパイウェアの使用が、民主的プロセスと制度、人権の尊重を支持・促進するという米国の国家安全保障と外交政策の中核的利益に合致し、商用スパイウェアの拡散と悪用に直接的または間接的に寄与せず、米国政府職員、米国政府の情報システム、情報および法執行活動を重大な防諜またはセキュリティのリスクから守るのに役立つことを保証しようとする。 
*** ***
The Executive Order complements concrete actions the Biden-Harris Administration and Congress have taken to confront the threat posed by the proliferation and misuse of commercial spyware:  この大統領令は、バイデン=ハリス政権と議会が、商用スパイウェアの拡散と悪用によってもたらされる脅威に立ち向かうためにとった具体的な行動を補完するものである: 
・Congress enacted new statutory authorities and requirements related to commercial spyware in the Intelligence Authorization Acts for Fiscal Years 2022 and 2023, including new restrictions and reporting requirements for Intelligence Community (IC) employees’ post-service employment with foreign governments or companies, to include foreign commercial spyware entities. Last week, the Director of National Intelligence issued binding guidance to the U.S. Intelligence Community to implement these statutory requirements, which set an international standard that we hope will be followed by other countries. ・議会は、2022年度および2023年度の情報認可法において、商業スパイウェアに関連する新たな法的権限と要件を制定した。これには、情報コミュニティ(IC)職員の勤務後の外国政府または企業との雇用に関する新たな制限と報告要件(外国の商業スパイウェア事業体を含む)が含まれている。先週、国家情報長官は、これらの法定要件を実施するために、米国の情報コミュニティに対して拘束力のあるガイダンスを発行した。これは、他の国々が追随することを期待する国際標準を設定するものである。 
・The Department of Commerce’s Bureau of Industry and Security (BIS) has placed foreign entities on the Entity List to address foreign policy concerns related to surveillance technologies. In November 2021, BIS added four commercial entities to the Entity List for engaging in the proliferation and misuse of cyber intrusion tools contrary to the national security or foreign policy interests of the United States. ・商務省産業安全保障局(BIS)は、監視技術に関連する外交政策の懸念に対処するため、外国の事業者を事業者リストに載せている。2021年11月、BISは、米国の国家安全保障または外交政策の利益に反するサイバー侵入ツールの拡散と悪用に関与したとして、4つの商業団体をEntity Listに追加した。 
・The Department of Commerce has implemented technology-based controls to address digital surveillance tools. In October 2021, the Department implemented multilateral Wassenaar Arrangement export controls on certain cybersecurity items that could be used for surveillance, espionage or other actions that disrupt, deny, or degrade a network or devices on the network. The final rule has been in effect since May 2022. ・商務省は、デジタル監視ツールに対処するため、技術に基づく管理を実施した。2021年10月、同省は、監視、スパイ活動、またはネットワークやネットワーク上の機器を混乱、拒否、劣化させるその他の行為に使用される可能性のある特定のサイバーセキュリティ品目について、多国間ワッセナー・アレンジメント輸出規制を実施した。最終ルールは2022年5月から施行されている。
・In January 2022, the Department of State and the Office of the Director of National Intelligence’s National Counterintelligence and Security Center issued an advisory for the broader public on how to protect oneself from commercial surveillance tools. ・2022年1月、国務省と国家情報長官室の国家防諜・セキュリティセンターは、より広範な国民に向けて、商用監視ツールから身を守る方法に関する勧告を発表した。
At the direction of Congress, the Department of State, in consultation with the Office of the Director of National Intelligence, has submitted to appropriate oversight committees a classified report on contractors that have knowingly assisted or facilitated certain cyberattacks or conducted surveillance activities on behalf of relevant foreign governments against the United States or for the purposes of suppressing dissent or intimidating critics.   議会の指示により、国務省は国家情報長官室と協議の上、関連する外国政府のために米国に対する特定のサイバー攻撃を故意に支援または促進したり、監視活動を行ったりした業者、または反対意見の弾圧や批判者の威嚇を目的とした業者に関する機密報告書を適切な監視委員会に提出した。  
・In June 2021, Secretary Blinken announced that the Department of State, on behalf of the Biden-Harris Administration, will update the United States’ National Action Plan on Responsible Business Conduct. This builds on prior U.S. government guidance, including the U.S. Department of State guidance on implementing business and human rights principles for “Transactions Linked to Foreign Government End-Users for Products or Services with Surveillance Capabilities". ・2021年6月、ブリンケン長官は、バイデン=ハリス政権に代わり、国務省が「責任ある企業行動に関する米国の国家行動計画」を更新することを発表した。これは、"監視機能を有する製品またはサービスに関する外国政府のエンドユーザーと連携した取引 "に対するビジネスおよび人権原則の実施に関する米国務省のガイダンスなど、これまでの米国政府のガイダンスに基づくものである。
In parallel, the Biden-Harris Administration continues to undertake a concerted effort to assess the extent to which commercial spyware has been directed against U.S. Government personnel serving overseas and mitigate the counterintelligence and security risks posed by these tools. これと並行して、バイデン-ハリス政権は、商用スパイウェアが海外で勤務する米国政府関係者に向けられた程度を評価し、これらのツールがもたらす防諜およびセキュリティリスクを軽減するための協調的な取り組みを続けている。
Taken together, these efforts aim to reduce the improper use of new technological tools to facilitate repression and human rights abuses, mitigate the counterintelligence threats these tools can pose to the U.S. Government, ensure that U.S. companies and former U.S. Government personnel are not facilitating authoritarian or repressive practices abroad, and provide tools to Americans and civil society to better protect themselves. これらの努力は、抑圧や人権侵害を助長する新しい技術ツールの不適切な使用を減らし、これらのツールが米国政府にもたらす防諜上の脅威を軽減し、米国企業や元米国政府職員が海外で権威主義的または抑圧的な行為を助長しないようにし、米国人や市民社会がよりよく自衛できるツールを提供することを目的としている。

 

まだ掲載されていないが、ここに載るはず...

⚫︎ Federal Registor

2023 Joseph R. Biden Jr. Executive Orders

 


ニュース...

[UK]

⚫︎ Computing
・2023.03.28 50 US government staff targeted with commercial spyware

[Germany]

⚫︎AFX News
・2023.03.28 Government Use Of Risky Commercial Spyware Banned In US

[U.S.]

⚫︎ Tech Crunchz
・2023.03.28 Biden executive order bans federal agencies from using commercial spyware

⚫︎ Engadget
・2023.03.27 Biden administration bans federal agencies from using commercial spyware

⚫︎ The Star
・2023.03.28 US to adopt new restrictions on using commercial spyware

⚫︎ US Today
・2023.03.27 As part of ongoing effort to beef up cybersecurity, Biden turns gaze to commercial spyware

⚫︎ CBS News
・2023.03.27 Biden signs executive order restricting government's use of commercial spyware

⚫︎ Gizmodo
・2023.03.27 U.S. Rolls Out Strict Rules for Commercial Spyware Use, Amidst Rash of Hacks

⚫︎ PBS News
・2023.03.27 U.S. to adopt new restrictions on the use of commercial spyware

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

 

| | Comments (0)

2023.03.28

NIST NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書 (2021.03.21)

こんにちは、丸山満彦です。

NISTが、NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書を公表していましたね。。。

● NIST - ITL

・2023.03.21 NISTIR 8459 (Draft) Report on the Block Cipher Modes of Operation in the NIST SP 800-38 Series

NISTIR 8459 (Draft) Report on the Block Cipher Modes of Operation in the NIST SP 800-38 Series NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書
Announcement 通知
NIST IR 8459 is currently being prepared for final publication.  The report reviews the NIST Special Publication 800-38 series, including the limitations of the block cipher modes specified in those recommendations. NIST IR 8459は、現在最終出版に向けて準備中である。 この報告書は、NIST Special Publication 800-38シリーズについて、その勧告で規定されているブロック暗号モードの制限を含めてレビューしている。
Although NIST is not requesting formal public comments, NIST IR 8459 is intended to be a reference for discussion during the upcoming Third Workshop on Block Cipher Modes of Operation, October 3-4, 2023. NISTは正式なパブリックコメントを求めていませんが、NIST IR 8459は、2023年10月3日から4日にかけて開催されるブロック暗号モードに関する第3回ワークショップでの議論の参考とすることを目的としている。
Questions and comments about the report may be sent to [mail]. 本報告書に関するご質問やご意見は、[mail]までお寄せください。
Abstract 要旨
This report focuses on the NIST-recommended block cipher modes of operation specified in NIST Special Publications (SP) 800-38A through 800-38F. The goal is to provide a concise survey of relevant research results about the algorithms and their implementations. Based on these findings, the report concludes with a set of recommendations to improve the corresponding standards. 本レポートは、NIST Special Publications (SP) 800-38A から 800-38F に規定されている NIST 推奨のブロック暗号の動作モードに焦点をあてている。その目的は、アルゴリズムとその実装に関する関連する研究結果の簡潔な調査を提供することである。これらの調査結果に基づき、本報告書は、対応する規格を改善するための一連の勧告で締めくくられている。

 

 

これですね。。。

・[PDF] NISTIR 8459 (Draft)

20230328-22917

 

 

 

目次...

Table of Contents 目次
1. Introduction 1. 序文
2. Scope 2. 対象範囲
3. Modes of Operation 3. 動作モード
4. NIST SP 800-38A: Five Confidentiality Modes 4. NIST SP 800-38A: 5つの機密保持モード
4.1. Initialization Vector (IV) 4.1. 初期化ベクトル(IV)
4.2. Plaintext Length 4.2. 平文の長さ
4.3. Block Size 4.3. ブロックサイズ
5. NIST SP 800-38B: The CMAC Mode for Authentication 5. NIST SP 800-38B:本人認証のためのCMACモード。
6. NIST SP 800-38C: The CCM Mode for Authentication and Confidentiality 6. NIST SP 800-38C: 認証と機密保持のためのCCMモード
7. NIST SP 800-38D: Galois/Counter Mode (GCM) and GMAC 7. NIST SP 800-38D: ガロワ/カウンタモード(GCM)とGMAC
8. NIST SP 800-38E: The XTS-AES Mode for Confidentiality on Storage Devices 8. NIST SP 800-38E: ストレージデバイスの機密保持のためのXTS-AESモード
9. NIST SP 800-38F: Methods for Key Wrapping 9. NIST SP 800-38F: キーラッピングのためのメソッド
10. Implementation Considerations 10. 実装上の注意点
11. Editorial Comments 11. 編集部コメント
12. Recommendations 12. 推薦の言葉
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A.記号・略語・頭字語リスト
Appendix B. Glossary 附属書 B.用語集

 

 

序文...

1. Introduction  1. 序文 
NIST Interagency or Internal Report (NIST IR) 8319 [55] focuses on the Advanced Encryption Standard (AES) that was standardized in FIPS 197 [58]. AES is one of only two block ciphers that are currently standardized by NIST. The other is the Triple Data Encryption Algorithm (TDEA) [9], also known as Triple-DES (Data Encryption Standard). Triple DES is deprecated and will be disallowed after 2023 [10].  NIST Interagency or Internal Report (NIST IR) 8319 [55] は、FIPS 197 [58] で標準化された Advanced Encryption Standard (AES) に焦点を当てている。AES は、現在 NIST で標準化されている 2 つだけのブロック暗号のうちの 1 つである。もう一つは、Triple-DES(Data Encryption Standard)としても知られるTDEA(Triple Data Encryption Algorithm)[9]である。Triple DESは非推奨であり、2023年以降は使用不可となる予定である[10]。
A block cipher can only process inputs of a specific length, known as the block size. AES has a block size of 128 bits, and Triple-DES has a block size of 64 bits. To process inputs of other lengths, it is necessary to use a mode of operation. A mode of operation can process larger inputs by performing multiple calls to an underlying block cipher.  ブロック暗号は、ブロックサイズと呼ばれる特定の長さの入力のみを処理することができます。AESのブロックサイズは128ビット、Triple-DESのブロックサイズは64ビットである。それ以外の長さの入力を処理するためには、動作モードを使用する必要がある。動作モードは、基礎となるブロック暗号を複数回呼び出すことで、より大きな入力を処理できる。
In fact, it is possible to claim that a block cipher is always used in combination with a mode of operation: using a block cipher “directly” is equivalent to using it in the Electronic Codebook (ECB) mode with the restriction that the input must be exactly one block in length (e.g., 128 bits in the case of AES). Therefore, the real-world applications of the NIST-recommended modes of operation overlap with the applications of the underlying block cipher and include virtually all web browsers, Wi-Fi and cellular devices, and contact and contactless chip cards, as described in NIST IR 8319 [55].  ブロック暗号を「直接」使用することは、入力が正確に1ブロック長(例えばAESの場合は128ビット)でなければならないという制限のあるECB(Electronic Codebook)モードで使用することと同じである。したがって、NIST が推奨する動作モードの実世界での用途は、基礎となるブロック暗号の用途と重なり、NIST IR 8319 [55]に記載されているように、事実上すべてのウェブブラウザ、Wi-Fi およびセルラー機器、接触および非接触のチップカードが含まれている。
Therefore, a logical next step after NIST IR 8319 is to analyze the recommended modes of operation. This report analyzes the block cipher modes of operation that are standardized in NIST Special Publication (SP) 800-38A through 800-38F. More specifically:  したがって、NIST IR 8319 の次のステップとして、推奨される動作モードを分析することが論理的である。本レポートでは、NIST Special Publication (SP) 800-38A から 800-38F で標準化されているブロック暗号の動作モードについて分析する。より具体的には 
•       NIST SP 800-38A [25] defines the Electronic Codebook (ECB), Cipher Block Chaining (CBC), Cipher Feedback (CFB), Output Feedback (OFB), and Counter (CTR) modes, which will be referred to collectively as the “five confidentiality modes.”  - NIST SP 800-38A [25]では、電子コードブック(ECB)、暗号ブロック連鎖(CBC)、暗号フィードバック(CFB)、出力フィードバック(OFB)、カウンター(CTR)モードを定義し、これらを総称して "5 つの機密性モード "と呼ぶことにする。
•       The Addendum to NIST SP 800-38A [26] defines three variants of the CBC mode: the  - NIST SP 800-38A [26]の補遺では、CBCモードの3つのバリエーションが定義されている。
CBC-CS1, CBC-CS2, and CBC-CS3 modes, where “CS” indicates “ciphertext stealing.”  CBC-CS1、CBC-CS2、CBC-CS3モード。"CS "は "ciphertext stealing "を示す。
•       NIST SP 800-38B [27] defines the Cipher-based Message Authentication Code (CMAC) mode.  - NIST SP 800-38B [27]は、暗号ベースのメッセージ認証コード(CMAC)モードを定義している。
•       NIST SP 800-38C [28] defines the Counter with Cipher Block Chaining-Message Authentication Code (CCM) mode.  - NIST SP 800-38C [28]は、Counter with Cipher Block Chaining-Message Authentication Code (CCM) モードを定義している。
•       NIST SP 800-38D [29] defines the Galois/Counter Mode (GCM) and its specialization GMAC to generate a Message Authentication Code (MAC).  - NIST SP 800-38D [29]は、メッセージ認証コード(MAC)を生成するためのガロア/カウンタモード(GCM)およびその特殊化であるGMACを定義している。
•       NIST SP 800-38E [30] defines the XTS-AES mode, where XTS stands for “XEX Tweakable block cipher with ciphertext Stealing,” and XEX stands for “eXclusive-or Encrypt eXclusive-or.”  - NIST SP 800-38E [30]では、XTS-AESモードを定義しており、XTSは "XEX Tweakable block cipher with ciphertext Stealing"、XEXは "eXclusive-or Encrypt eXclusive-or "を表している。
•       NIST SP 800-38F [31] defines the AES Key Wrap (KW) mode, the AES Key Wrap with Padding (KWP) mode, and the TDEA Key Wrap (TKW) mode.  - NIST SP 800-38F [31]では、AESキーラップ(KW)モード、パディング付きAESキーラップ(KWP)モード、TDEAキーラップ(TKW)モードが定義されている。
NIST SP 800-38G [32], which defines the Format-Preserving Encryption (FPE) modes FF1 and FF3, is currently undergoing a revision that is proposed in Draft NIST SP 80038G, Revision 1 [33]. NIST SP 800-38G [32]は、FPE(Format-Preserving Encryption)モードFF1およびFF3を定義しているが、現在改訂中で、ドラフトNIST SP 80038G, Revision 1 [33] として提案されている。

 

 

| | Comments (0)

EU データ法が欧州議会で本会議で可決 (2023.03.14)

こんにちは、丸山満彦です。

EUのデータ法が欧州議会の本会議で可決されたようですね。。。

 

European Parliament

プレス...

・2023.03.14 Data Act: MEPs back new rules for fair access to and use of industrial data

Data Act: MEPs back new rules for fair access to and use of industrial data データ法: 欧州議会、産業データへの公正なアクセスと利用のための新ルールを支持
・Innovation increasingly relies on data ・イノベーションはますますデータに依存する
・Legislation clarifies who can access data and on what terms ・誰がどのような条件でデータにアクセスできるかを明確にする法制化
・It will empower a wider range of private and public entities to share data ・より広範な民間および公共団体がデータを共有できるようになる。
・MEPs want to preserve incentives for businesses to invest in data generation ・欧州議会は、企業がデータ生成に投資するためのインセンティブを維持したいと考えている
The “Data Act” aims to boost innovation by removing barriers obstructing access by consumers and businesses to data. 「データ法」は、消費者や企業によるデータへのアクセスを阻害する障壁を取り除くことで、イノベーションを促進することを目的としている。
The draft legislation, adopted on Tuesday 14 March, would contribute to the development of new services, in particular in artificial intelligence where huge amounts of data are needed for algorithm training. It can also lead to better prices for after-sales services and repairs of connected devices. 3月14日(火)に採択されたこのドラフト法案は、特にアルゴリズム学習に膨大なデータを必要とする人工知能において、新しいサービスの開発に貢献するものである。また、コネクテッドデバイスのアフターサービスや修理の価格改善にもつながる。
The volume of data generated by humans and machines is increasing exponentially and becoming a critical factor for innovation by businesses and by public authorities (e.g. shaping of smart cities). This kind of data is said to have become “the new oil”. 人間や機械が生み出すデータ量は指数関数的に増加し、企業や公的機関(スマートシティの形成など)がイノベーションを起こすための重要な要素になってきている。このようなデータは、「新しい石油」になったと言われている。
The data act establishes common rules governing the sharing of data generated by the use of connected products or related services (e.g. the internet of things, industrial machines) to ensure fairness in data sharing contracts. データ法は、接続された製品や関連サービス(モノのインターネット、産業機械など)の使用によって生成されるデータの共有を管理する共通のルールを確立し、データ共有契約の公平性を確保するものである。
80% of data not used 80%のデータが利用されていない
MEPs adopted measures to allow users access to the data they generate, as 80% of industrial data collected are never used, according to the European Commission. They also want to ensure contractual agreements are at the centre of business-to-business relationships. 欧州委員会によると、収集された産業データの80%は利用されることがないため、欧州議会は、ユーザーが生成したデータへのアクセスを可能にする措置を採択した。彼らはまた、企業間関係の中心に契約上の合意があることを望んでいる。
Companies would be able decide what data can be shared, and the manufacturer could choose not to make certain data available “by design”. When companies draft their data-sharing contracts, the law will rebalance the negotiation power in favour of SMEs, by shielding them from unfair contractual terms imposed by companies in a significantly stronger bargaining position. 企業は、どのようなデータを共有できるかを決めることができるようになり、メーカーは、特定のデータを「設計上」利用できないようにすることもできる。企業がデータ共有契約をドラフトする際、この法律は、著しく強い交渉力を持つ企業が課す不当な契約条件から中小企業を保護することで、交渉力のバランスを中小企業側に有利に調整することになる。
Protecting trade secrets and avoiding unlawful data transfer 企業秘密の保護と違法なデータ転送の回避
The text also defines how public sector bodies can access and use data held by the private sector that are necessary in exceptional circumstances or emergencies, such as floods and wildfires. また、洪水や山火事などの例外的な状況や緊急時に必要な、民間企業が保有するデータへの公的機関のアクセスや利用方法についても規定されている。
MEPs also strengthened provisions to protect trade secrets and avoid a situation where increased access to data is used by competitors to retro-engineer services or devices. They also set stricter conditions on business-to-government data requests. また、欧州議会は、企業秘密を保護し、データへのアクセスの増加によって競合他社がサービスや機器の改造に利用するような事態を避けるための規定を強化した。また、企業から政府へのデータ要求に関する条件もより厳しく設定された。
Finally, the data act would facilitate switching between providers of cloud services, and other data processing services, and introduce safeguards against unlawful international data transfer by cloud service providers. 最後に、データ法は、クラウドサービスやその他のデータ処理サービスのプロバイダー間の切り替えを容易にし、クラウドサービスプロバイダーによる違法な国際データ転送に対するセーフガードを導入するものである。
Quote 引用
“The Data Act will be an absolute game changer providing access to an almost infinite amount of high-quality industrial data. Competitiveness and innovation are part of its DNA,” said lead MEP Pilar del Castillo Vera (EPP, ES). 主任欧州議会議員Pilar del Castillo Vera(EPP、ES)は「データ法は、ほぼ無限にある高品質の産業データへのアクセスを提供する、絶対的なゲームチェンジャーとなる。競争力とイノベーションは、そのDNAの一部である」と、述べている。
Next steps 次のステップ
The text was adopted with 500 votes to 23, with 110 abstentions. MEPs are now ready to enter into negotiations with the Council on the final shape of the law. この文書は500票対23票で採択され、110の棄権があった。欧州議会は今後、法律の最終的な形について理事会との交渉に入る準備が整った。

 

法案

European-parliament

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.15 欧州 データ法案 欧州議会議員は産業データへの公正なアクセスと利用のための新ルールを支持

・2022.03.01 欧州委員会 データ法の提案

 

参考...

・2023.03.16 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.4-5)

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

 

データガバナンス法案

・2021.12.05 欧州 欧州議会とEU加盟国間でデータガバナンス法について政治的合意 (欧州データガバナンス法成立が近づきましたね。。。)

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

・2020.11.29 EU データガバナンス法案

 

 

| | Comments (0)

2023.03.27

英国 ICO 「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集

こんにちは、丸山満彦です。

英国の情報コミッショナー (Information Commissioner Office: ICO) が「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集をしていますね。。。例えば、ポルノサイト、大人向けゲーム、ソーシャルメディアが想定されるサイトですね。。。

U.K. ICO

プレス発表...

・2023.03.24 ICO consultation on the draft guidance for ‘Likely to be accessed’ in the context of the Children’s code

 

ガイダンス...

‘Likely to be accessed’ by children – FAQs, list of factors and case studies

 

サマリー...

・[PDF]

20230327-61146

 

 参考...

チルドレンズ・コード

Age appropriate design: a code of practice for online services

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行


 

| | Comments (0)

2023.03.25

個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書

こんにちは、丸山満彦です。

個人情報保護委員会が、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書」を公表していますね。。。

 

● 個人情報保護委員会

・2023.03.23 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書を公表しました。

報告書

20230325-72554

開催状況

 

報告書の目次...

第 1 章 本報告書の背景
1  顔識別機能付きカメラシステムを巡る国内動向
2  本報告書の対象範囲について
 (1)
取り扱う個人情報
 (2) 顔識別機能付きカメラを設置する空間的範囲
 (3) 顔識別機能付きカメラシステムを利用する目的
 (4) 顔識別機能付きカメラシステムを利用する主体的範囲

3  本報告書の位置づけ

第 2 章 用語の定義

第 3 章 顔識別機能付きカメラシステムについて
1  顔識別機能付きカメラシステムやその他防犯システムの機能や動向
 (1)
顔識別機能付きカメラシステムの技術的仕組み
 (2) 顔識別機能付きカメラシステム以外の映像分析技術
 (3) その他の防犯システム、対策

2  顔識別機能付きカメラシステムを利用することの利点・懸念点
 (1)
顔識別機能付きカメラシステムを利用することの利点
 (2) 顔識別機能付きカメラシステムを利用することの懸念点

3  犯罪予防や安全確保のために顔識別機能付きカメラシステムを利用することが想定される場面
 (1)
犯罪予防
 (2) 要保護者保護

第 4 章 肖像権・プライバシーに関する留意点
1  肖像権・プライバシー侵害を争点とする裁判例
 (1)
肖像権・プライバシー侵害を争点とする判例
 (2) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例における考慮要素
 (3) 顔識別機能付きカメラシステムを利用する場合への示唆

2  不法行為の成否と個人情報保護法の関係
(
参考) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例

第 5 章 顔識別機能付きカメラシステムを利用する際の個人情報保護法上の留意点
1 顔識別機能付きカメラシステムの利用と個人情報保護法の適用について
2 利用目的の特定、通知公表及びその他の個人情報に係る規律
 (1)
利用目的の特定
 (2) 利用目的等の通知公表等
 (3) 不適正利用の防止及び適正取得のための態様
 (4) 利用目的の通知公表等の例外
 (5) 要配慮個人情報について
 (6) 従来型防犯カメラについての考え方

3 運用基準の在り方及び当該内容に関する透明性の確保
 (1)
登録基準
 (2) 対応手順
 (3) 保存期間
 (4) 登録消去
 (5) 運用基準に関する透明性の確保

4 安全管理措置
5  他の事業者等に対する個人データの提供
 (1)
法令に基づく場合
 (2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき及び公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
 (3) 委託
 (4) 共同利用

6  保有個人データに係る情報の公表等及び開示等の請求や相談への対応
 (1)
保有個人データについて
 (2) 保有個人データに係る情報の公表等
 (3) 開示等の請求や相談への対応

(
参考) 顔識別機能付きカメラシステムに関する委託

第 6 章 事業者の自主的な取組として考えられる事項
1  実現しようとする内容の明確化・適切な手段の選択
2  導入前の影響評価
3  被撮影者への十分な説明
4  他の事業者との連携
5  導入後の検証

別紙1︓顔識別機能付きカメラシステムの利用を巡る国際的な議論
別紙2︓顔識別機能付きカメラシステムの検討の観点リスト
別紙3︓施設内での掲示案

(参考資料)犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会



 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2023.01.13 個人情報保護委員会 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集

・2022.12.24 個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

顔認識

・2022.12.24 個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.03 米国 2022年顔認識法案

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

 

| | Comments (0)

総務省 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集

こんにちは、丸山満彦です。

個人情報保護法のガイドラインは個人情報保護委員会ができてから、乱立しなくなったのですが、業法の規制が別途法律で上乗せされる場合などでは業界ガイドラインというのは残っています。。。その一つが電気通信事業。。。

で、総務省から「電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集」が公表されていますね。。。

電気通信事業法の改正に伴う変更で、「第4章 特定利用者情報の適正な取扱い」及び「第5章 外部送信に係る利用者に関する情報の取扱い」が新設されていますね。。。

総務省

・2023.03.24 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集


1 改正の背景

 総務省は、電気通信事業を取り巻く環境変化を踏まえ、電気通信サービスの円滑な提供及びその利用者の利益の保護を図るため、「電気通信事業法の一部を改正する法律案」を第208回国会に提出しました。可決成立の後、令和4年6月17日(金)に電気通信事業法の一部を改正する法律(令和4年法律第70号。以下「改正法」といいます。)が公布されたところです。

 総務省は、「特定利用者情報の適正な取扱いに関するワーキンググループ」(主査:大橋弘 東京大学副学長・大学院経済学研究科教授)及び「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」(主査:宍戸常寿 東京大学大学院法学政治学研究科教授)において、ガイドライン及びその解説について、改正法の施行に伴い改正が必要となる事項等の検討を行い、改正案を作成しました。

2 改正の概要

 ガイドラインにおいて、「第4章 特定利用者情報の適正な取扱い」及び「第5章 外部送信に係る利用者に関する情報の取扱い」を新設するとともに、その他必要とされる規定の整理を行いました。

3 意見募集対象

  • 「電気通信事業における個人情報保護に関するガイドライン」(令和4年個人情報保護委員会・総務省告示第4号)の改正案(新旧対照表)(別紙1のとおり)
  • 「電気通信事業における個人情報保護に関するガイドラインの解説」の改正案(新旧対照表)(別紙2のとおり)

 

・[PDF] 「電気通信事業における個人情報保護に関するガイドライン」(令和4年個人情報保護委員会・総務省告示第4号)の改正案(新旧対照表)

 

20230325-35435

 

・[PDF] 「電気通信事業における個人情報保護に関するガイドラインの解説」の改正案(新旧対照表)

20230325-35715

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集

10年以上遡って(^^)...

・2011.10.18 総務省 確定 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案

・2010.08.02 総務省 一部改正 電気通信事業における個人情報保護に関するガイドライン

・2010.05.28 総務省 パブコメ 電気通信事業における個人情報保護に関するガイドライン及び解説

・2009.09.10 総務省 パブコメ 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案

・2007.09.14 総務省 確定 電気通信事業における個人情報保護に関するガイドライン第26条の解説改訂版

・2007.07.14 総務省 パブコメ 「電気通信事業における個人情報保護に関するガイドライン第26条解説改訂案」

・2005.09.27 総務省 「電気通信事業における個人情報保護に関するガイドライン」の改訂案に係る意見募集結果

・2005.08.10 総務省 意見募集 電気通信事業における個人情報保護に関するガイドライン

・2005.08.06 総務省 通信の秘密及び個人情報の漏えい事案に関する株式会社エヌ・ティ・ティ・ドコモに対する措置

・2005.04.29 総務省(報道資料) 個人情報の流出事案に関する株式会社エヌ・ティ・ティ・ドコモに対する措置

・2005.03.02 政府ガイドライン名称・告示番号

 

| | Comments (0)

2023.03.24

厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版(案) の審議(第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料)

こんにちは、丸山満彦です。

厚生労働省の健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループの第16回検討会が開催され、医療情報システムの安全管理に関するガイドライン 第6.0版(案)や医療機関におけるサイバーセキュリティ対策が議論されたようですね。。。

昨年末に意見募集が行われた医療情報システムの安全管理に関するガイドライン 第6.0版の骨子(案)の意見募集結果をうけて、医療情報システムの安全管理に関するガイドライン 第6.0版(案)等について意見募集がおこなわれるようですね。。。

本編は、「概説編」、「経営管理編」、「企画管理編」、「システム運用編」の4つになるようですね。。。読者ごとに分けたいといことなのでしょうが、こういう分け方をしてしまうと、ガイドラインが組織のあり方を規定してしまうようなところもでてくるような気もしていて、わかりやすさとのバランスで難しいなぁと感じていたりします。。。

20230324-63349

出典:参考資料1-3 医療情報システムの安全管理に関するガイドライン 第 6.0 版 概説編(案)

原稿の第5.2版からの大きな変更になりそうで、「第5.2 版→第6.0 版 項目移行対応表(案)」が作成されているのは、よいですね。。。

余談ですが、面白なぁとおもったのは、診療所や個人薬局のような(個人事業者なり)のところ向けの「小規模医療機関等向けガイダンス」(案)でして、名称が「[特集] 小規模医療機関等向けガイダンス 」(案)となっていて、[特集] というのが珍しいなぁと思いました。。。

次の「[特集] 医療機関等におけるサイバーセキュリティ」(案)も [特集] なのですが、こちらはサイバー攻撃に適用した特集ともよめるので、まぁありかなぁと思ったりはします。。。

 

また、医療法に基づく立入検査についても議論がされているようで、、、

20230324-65221

出典:【資料2-2】 医療機関の立入検査の概要

厚生労働省や保健所の職員も忙しくなりそうです。。。立ち入り検査を実行的なものにするためには、検査をする人についてもサイバーセキュリティについての一定の知識が必要となりますから、その教育もまた重要となるでしょうね。。。でないと、お互いに事務作業を増やすだけという(企画した人は満足でしょうが、)意味のないことになってしまいますからね。。。このあたりは、職員研修、増員を含むリソースの見直しもセットでしないといけないでしょうね。。。

 

● 厚生労働省 - 政策について - 審議会・研究会等 - 医政局が実施する検討会等 - 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ 

・2023.03.23 第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料について

 

 

20230324-70011

20230324-70020

20230324-70454

20230324-70034

20230324-70040

20230324-70050

20230324-70056

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.23 厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16)

・2022.04.04 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

・2021.10.08 厚生労働省 意見募集 医療機器のサイバーセキュリティ導入に関する手引書

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

 

 

| | Comments (0)

OECD 先進のプライバシー強化技術 - 現在の規制・政策アプローチ (2023.03.08)

こんにちは、丸山満彦です。

PETsが話題になってから久しいですが、、、実際の導入はどのような感じなんでしょうかね。。。

 

● OECD Library - Papers - OECD Digital Economy Papers

・2023.03.08 Emerging privacy-enhancing technologies Current regulatory and policy approaches

Emerging privacy-enhancing technologies 先進のプライバシー強化技術
Current regulatory and policy approaches 現在の規制・政策アプローチ
This report examines privacy-enhancing technologies (PETs), which are digital solutions that allow information to be collected, processed, analysed, and shared while protecting data confidentiality and privacy. The report reviews recent technological advancements and evaluates the effectiveness of different types of PETs, as well as the challenges and opportunities they present. It also outlines current regulatory and policy approaches to PETs to help privacy enforcement authorities and policy makers better understand how they can be used to enhance privacy and data protection, and to improve overall data governance. 本報告書では、プライバシー強化技術(PETs)について検討する。PETsとは、データの機密性とプライバシーを保護しながら、情報の収集、処理、分析、共有を可能にするデジタルソリューションのことである。本報告書では、最近の技術的進歩をレビューし、さまざまなタイプのPETsの有効性と、それらがもたらす課題と機会を評価する。また、プライバシー保護当局や政策立案者が、プライバシーとデータ保護を強化し、データガバナンス全体を改善するためにPETをどのように利用できるかをより理解できるように、PETに対する現在の規制および政策アプローチの概要を説明している。

 

・[PDF] Emerging privacy-enhancing technologies Current regulatory and policy approaches

20230323-162506

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
Overview  概要 
Privacy-enhancing technologies (PETs) are a collection of digital technologies and approaches that permit collection, processing, analysis and sharing of information while protecting the confidentiality of personal data. In particular, PETs enable a relatively high level of utility from data, while minimising the need for data collection and processing. PETs are not new but latest advances in connectivity and computation capacity have led to a fundamental shift in how data can be processed and shared. While still in their infancy, these developments hold immense potential to move society closer to the continuing process and practice of privacy by design, and thereby to foster trust in data sharing and re-use.   プライバシーバシー強化技術(PETs)とは、個人情報の機密性を保護しながら、情報の収集、処理、分析、共有を可能にするデジタル技術やアプローチの集合体である。特に、PETは、データの収集と処理の必要性を最小限に抑えながら、データから比較的高いレベルの有用性を引き出すことを可能にする。PETは新しいものではないが、接続性と計算能力の最新の進歩により、データの処理と共有の方法が根本的に変化している。まだ発展途上ではあるが、これらの開発は、プライバシー・バイ・デザインの継続的なプロセスと実践に社会を近づけ、それによってデータの共有と再利用における信頼を醸成する計り知れない可能性を秘めている。 
A growing number of policy makers and privacy enforcement authorities (PEAs) are considering how to incorporate PETs in their domestic privacy and data protection frameworks. However, the highly technical and fast evolving nature of these technologies often presents a barrier to implementation by organisations and to their consideration in policy and legal frameworks applicable to data.   国内のプライバシーおよびデータ保護の枠組みにPETをどのように組み込むかを検討している政策立案者やプライバシー実施当局(PEA)の数は増えている。しかし、これらの技術は高度に技術的であり、急速に進化しているため、組織による導入や、データに適用される政策や法的枠組みにおける検討の障壁となることが多い。 
This report, informed by a questionnaire to OECD members and partner economies on their regulatory and policy approaches to PETs, aims to help policy makers and regulators, most notably PEAs, better consider PETs for privacy protection, and data governance more broadly. To that end, it takes stock of technological developments related to PETs; assesses the maturity of various types of PETs and the opportunities and challenges of their use; and presents current regulatory and policy approaches to PETs.   本報告書は、OECD 加盟国およびパートナーエコノミーに対し、PET に対する規制・政策アプ ローチに関するアンケートを実施し、政策立案者および規制当局、特に PEA が、プライバシー保護 およびより広範なデータガバナンスのために PET をよりよく検討するのに役立つことを目的としている。この目的のため、PETsに関連する技術開発を把握し、様々な種類のPETsの成熟度とその使用の機会と課題を評価し、PETsに対する現在の規制と政策アプローチを提示する。 
Key technologies, their maturity, opportunities and challenges   主要技術、成熟度、機会、課題  
PETs can be divided into four categories: data obfuscation, encrypted data processing, federated and distributed analytics and data accountability tools  PETは、データ難読化、暗号化データ処理、連携・分散分析、データ説明責任ツールの4つのカテゴリーに分けられる 
•       Data obfuscation tools include zero-knowledge proofs (ZKP), differential privacy, synthetic data, and anonymisation and pseudonymisation tools. These tools increase privacy protections by altering the data, by adding “noise” or by removing identifying details. Obfuscating data enables privacy-preserving machine learning and allows information verification (e.g., age verification) without requiring sensitive data disclosure. Data obfuscation tools can leak information if not implemented carefully however. Anonymised data for instance can be re-identified with the help of data analytics and complementary data sets.   ・データ難読化ツールには、ゼロ知識証明(ZKP)、差分プライバシー、合成データ、匿名化・仮名化ツールなどがある。これらのツールは、データを変更したり、「ノイズ」を追加したり、識別情報を削除したりすることで、プライバシー保護を強化する。データを難読化することで、プライバシーを保護した機械学習が可能になり、機密データの開示を必要とせずに情報の検証(年齢確認など)ができるようになる。しかし、データ難読化ツールは、注意深く実装されなければ、情報を漏洩する可能性がある。例えば、匿名化されたデータは、データ分析および補完的なデータセットの助けを借りて再識別することができる。 
•       Encrypted data processing tools include homomorphic encryption, multi-party computation including private set intersection, as well as trusted execution environments. Encrypted data processing PETs allow data to remain encrypted while in use (in-use encryption) and thus avoiding the need to decrypt the data before processing. For example, encrypted data processing tools were widely deployed in Covid tracing applications. These tools have limitations however. For instance, their computation costs tend to be high although tools are emerging that address this limitation.    ・暗号化されたデータ処理ツールには、同型暗号化、プライベートセットの交差を含むマルチパーティ計算、信頼できる実行環境などがある。暗号化データ処理PETは、使用中にデータを暗号化したままにしておくことができ(使用中暗号化)、処理前にデータを復号化する必要を回避することができる。例えば、暗号化データ処理ツールは、Covidトレースアプリケーションに広く導入されている。しかし、これらのツールには限界がある。例えば、計算コストが高くなる傾向があるが、この制限に対処するツールも登場している。
•       Federated and distributed analytics allows executing analytical tasks upon data that are not visible or accessible to those executing the tasks. In federated learning, fo example, a technique gaining increased attention, data are pre-processed at the data source. In this way, only the summary statistics/results are transferred to those executing the tasks. Federated learning models are deployed at scale, for instance, in predictive text applications on mobile operating systems to avoid sending sensitive keystroke data back to the data controller. Federated and distributed analytics requires reliable connectivity to operate however.   ・連携分析や分散型分析では、実行者からは見えない、あるいはアクセスできないデータに対して分析タスクを実行することができる。例えば、注目されている連携学習では、データはデータソースで前処理される。これにより、タスクの実行者には、要約された統計や結果のみが転送される。例えば、モバイルOSの予測テキストアプリケーションでは、機密性の高いキーストローク・データをデータ管理者に送り返さないようにするため、統合学習モデルが大規模に展開される。しかし、統合・分散アナリティクスを運用するには、信頼できる接続性が必要である。
•       Data accountability tools include accountable systems, threshold secret sharing, and personal data stores. These tools do not primarily aim to protect the confidentiality of personal data at a technical level and are therefore often not considered as PETs in the strict sense. However, these tools seek to enhance privacy and data protection by enabling data subjects’ control over their own data, and to set and enforce rules for when data can be accessed. Most tools are in their early stages of development, have narrow sets of use cases and lack stand-alone applications.   ・データの説明責任ツールには、説明可能なシステム、閾値の秘密共有、個人データストアなどがある。これらのツールは、技術的なレベルで個人データの機密性を保護することを主目的としていないため、厳密な意味でのPETとはみなされないことが多い。しかし、これらのツールは、データ管理者が自分のデータを管理し、データにアクセスする際のルールを設定・実施できるようにすることで、プライバシーとデータ保護を強化することを目的としている。ほとんどのツールは開発の初期段階にあり、使用事例が狭く、独立したアプリケーションもない。
The high potential of PETs to protect the confidentiality of (personal and non-personal) data is recognised, and with this its potential to help raise the level of privacy and data protection and promote the rights of individuals. However, apart from a still limited number of solid and convincing data processing use cases, there is also agreement that the level of maturity of PETs is still unequal.  個人及び非個人)データの機密性を保護するためのPETの高い可能性は認識されており、これによって、プライバシー及びデータ保護のレベルを高め、個人の権利を促進するのに役立つ可能性がある。しかし、確実で説得力のあるデータ処理のユースケースの数がまだ限られていることを除けば、PETの成熟度はまだ不平等であるとの意見もある。
The role of PETs for implementing the OECD Privacy Guidelines’ Basic Principles  OECDプライバシーガイドラインの「基本原則」を実施するためのPETsの役割 
PETs offer new functionalities that  can assist with the implementation of the basic privacy principles of the OECD Privacy Guidelines on collection limitation, use limitation and security safeguards. To some extent, PETs can also support the individual participation and accountability principles.   PETは、OECDプライバシーガイドラインの収集制限、使用制限、セキュリティ保護に関する基本的なプライバシー原則の実施を支援することができる新しい機能性を提供する。また、PETは、ある程度、個人の参加と説明責任の原則を支援することができる。 
However, PETs can also challenge the implementation of certain basic privacy principles. For example, data controllers using encrypted data processing tools may lose the ability to “see” data feeding into their models. This can contradict the need for personal data to be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, to be accurate, complete and kept updated (“data quality principle”).   しかし、PET は、特定の基本的プライバシー原則の実施に異議を唱えることもできる。例えば、暗号化されたデータ処理ツールを使用するデータ管理者は、自分のモデルに入力されるデータを「見る」能力を失う可能性がある。これは、個人データが使用目的に関連し、その目的に必要な範囲で、正確で、完全で、更新されているという必要性(「データの質の原則」)と矛盾する可能性がある。 
PET should not be regarded as “silver bullet” solutions. They cannot substitute legal frameworks but operate within them, so that their applications will need to be combined with legally binding and enforceable obligations to protect privacy and data protection rights.  PET は、「銀の弾丸」のような解決策と見なすべきではない。PET は法的枠組みを代替するものではなく、法的枠組みの中で運用されるものであるため、 その適用には、プライバシーとデータ保護の権利を保護するための法的拘束力と強制力のある義務 を組み合わせる必要がある。
Regulatory and policy approaches to PETs  PETに対する規制・政策的アプローチ 
PETs are often addressed explicitly and/or implicitly in countries’ privacy and data protection laws and regulations through: legal requirements for privacy and data protection by design and by default; requirements for de-identification, digital security and accountability; and/or regulatory mandates to PEAs to further promote adoption of PETs.   PETsは、多くの場合、各国のプライバシーおよびデータ保護に関する法律や規制の中で、 設計上およびデフォルトでのプライバシーおよびデータ保護の法的要件、非識別化、デジタルセ キュリティ、および説明責任の要件、ならびにPETsの採用をさらに促進するためのPEAへの 規制上の義務付けを通じて、明示的または暗黙的に取り上げられている。 
These measures are often complemented by guidance issued by governments or PEAs that help clarify the measures. However, regulators tend not to adopt definitive positions on the merits of certain PETs to meet specific legal requirements, for example on cross-border data transfers, which underscores the difficulty in definitively validating specific PET solutions in a rapidly evolving landscape.   これらの措置は、政府または PEA が発行するガイダンスによって補完され、措置の明確化を支援するこ とが多い。しかし、規制当局は、例えば国境を越えたデータ転送など、特定の法的要件を満たすための特定のPETの利点について決定的な立場をとらない傾向があり、急速に進化する状況の中で特定のPETソリューションを決定的に検証することの難しさを浮き彫りにしている。 
In addition, countries have adopted a wide variety of policy initiatives to promote innovation in and with PETs. They do this through research and technology development, adoption of secure data processing platforms, certification of trusted PETs, innovation contests, regulatory and other sandboxes and deployment of digital identity solutions.   さらに、各国は、PETのイノベーションを促進するために、様々な政策イニシアチブを採用している。研究および技術開発、安全なデータ処理プラットフォームの採用、信頼できる PET の認証、イノベーションコンテスト、規制およびその他のサンドボックス、デジタル ID ソリューションの展開を通じて、このような取り組みを行っている。 

 

 

Table 1. Overview of major types of PETs, their opportunities and challenges
Types of PETs Key technologies Current and potential applications* Challenges and limitations
Data obfuscation tools Anonymisation / Pseudonymisation Secure storage Ensuring that information does not leak (risk of re-identification)
Amplified bias in particular for synthetic data
Insufficient skills and competences
Synthetic data Privacy-preserving machine learning
Differential privacy Expanding research opportunities
Zero-knowledge proofs Verifying information without requiring disclosure (e.g. age verification) Applications are still in their early stages
Encrypted data processing tools Homomorphic encryption Computing on encrypted data within the same organisation
Computing on private data that is too sensitive to disclose Contact tracing / discovery
Data cleaning challenges
Ensuring that information does not leak
Higher computation costs
Multi-party computation(including orivate set intersection)
Trusted execution environments Computing using models that need to remain private Higher computation costs
Digital security challenges
Federated and distributed analytics Federated learning Privacy-preserving machine learning Reliable connectivity needed
Information on data models need to be made available to data processor
Distributed analytics
Data accountability tools Accountable systems Setting and enforcing rules regarding when data can be accessedImmutable tracking of data access by data controllers Narrow use cases and lack stand-alone applications
Configuration complexity
Privacy and data protection compliance risks where distributed ledger technologies are used
Digital security challenges
Not considered as PETs in the strict sense

 

 

1. 主なPETの種類とその機会、課題の概要
PETの種類 キーテクノロジー 現在のアプリケーションと潜在的なアプリケーション*。 課題と限界
データ難読化ツール 匿名化・仮名化 セキュアなストレージ ・情報が漏れないようにする(再識別のリスク)
・特に合成データではバイアスが増幅される。
・スキルやコンピテンシーが不足している
合成データ プライバシー保護に配慮した機械学習
差分プライバシー 研究機会の拡大
ゼロ知識証明 開示を必要としない情報の確認(年齢確認など) ・アプリケーションはまだ初期段階にある
暗号化されたデータ処理ツール 同型暗号化 同一組織内の暗号化されたデータで計算する
公開できないほど機密性の高い個人データのコンピューティング コンタクトトレース/ディスカバリー
・データクリーニングの課題・情報漏えいのないようにする・計算コストが高い 
マルチパーティコンピューティング(オリベイトセット交点含む)
信頼できる実行環境 非公開のモデルを使用したコンピューティング ・計算コストが高い・デジタルセキュリティの課題
連携・分散型分析 連携学習 プライバシー保護に配慮した機械学習 ・信頼性の高いコネクティビティが必要・データ処理者がデータモデルに関する情報を入手できるようにする必要がある。
分散型分析
データアカウンタビリティツール アカウンタブルシステム データへのアクセスに関するルールの設定と実施
データ管理者によるデータアクセスの不変的なトラッキング
・ユースケースが狭くスタンドアロンなアプリケーションがない
・構成が複雑
・分散型台帳技術を使用する場合のプライバシーおよびデータ保護コンプライアンスリスク
・デジタルセキュリティの課題
・厳密な意味でのPETとはみなさない
閾値秘密分散  
個人情報保管/個人情報管理システム データ主体に自己のデータに対するコントロールを提供すること

 

 目次...

Table of contents  目次 
Foreword まえがき
Executive summary エグゼクティブサマリー
1 Introduction 1 序文
1.1. The emergence of privacy-enhancing technologies 1.1. プライバシー強化技術の登場
1.2. Goals of the report 1.2. 報告書の目標
1.3. Evolving paradigms 1.3. 進化するパラダイム
1.4. Moving towards privacy and data protection by design 1.4. デザインによるプライバシーとデータ保護への移行
2 Current definitions and categorisations of PETs 2 PETの現在の定義とカテゴリー分け
2.1. Towards a common understanding of privacy-enhancing technologies 2.1. プライバシー強化技術の共通理解に向けて
2.2. Existing definitions and their evolution 2.2. 既存の定義とその変遷
2.3. Existing categorisations 2.3. 既存のカテゴリー分け
2.4. Proposed working definition and taxonomy 2.4. 作業定義と分類法の提案
3 Major types of PETs, their maturity, opportunities and challenges 3 PETの主な種類とその成熟度、機会と課題
3.1 Categories of privacy-enhancing technologies (PETs) 3.1 プライバシー強化技術(PETs)のカテゴリー
3.2. Data obfuscation tools 3.2. データ難読化ツール
3.3. Encrypted data processing tools 3.3. 暗号化されたデータ処理ツール
3.4. Federated and distributed analytics 3.4. 連携・分散型分析
3.5. Data accountability tools 3.5. データ説明責任ツール
4 Regulatory and policy approaches to PETs 4 PETに対する規制・政策的アプローチ
4.1. Legislation and guidance on the use of PETs 4.1. PETの使用に関する法規制とガイダンス
4.2. Measures to foster innovation in and with PETs 4.2. PETにおける、またPETを用いたイノベーションを促進するための施策
5 Conclusions 5 結論
References 参考文献

 

 

| | Comments (0)

より以前の記事一覧