個人情報保護 / プライバシー

2022.01.19

英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省が、就労権、賃借権、犯罪歴確認のためのデジタルID認証についてのガイダンス文書を公表していますね。。。

U.K. Government

・2022.01.17 Digital identity certification for right to work, right to rent and criminal record checks

・2022.01.17 Guidance Digital identity certification for right to work, right to rent and criminal record checks

 

Contents 目次
1.Introduction 1. はじめに
2.What does this mean for employers and landlords? 2. 雇用主や家主にとってどのような意味がありますか?
3.What do providers become certified against? 3. プロバイダは何に対して認証を受けるのですか?
4.How do providers become certified? 4. プロバイダはどのようにして認証を受けるのですか?
5.Who are the certification bodies? 5. 認証機関は誰ですか?
6.List of certified providers 6. 認証プロバイダのリスト
7.Frequently asked questions 7. よくある質問
8.Contact details 8. 連絡先

 

1. Introduction 1. はじめに
On 27 December 2021, the government announced its intention to enable employers and landlords to use certified digital identity service providers to carry out identity checks on their behalf for many who are not in scope to use the Home Office online services, including British and Irish citizens. The relevant changes to legislation will take effect from 6 April 2022. 2021年12月27日、政府は、英国人やアイルランド人など、内務省のオンラインサービスを利用する範囲に入っていない多くの人を対象に、雇用主や家主が認証されたデジタルIDサービスプロバイダを利用して、身元確認を代行できるようにする意向を発表しました。関連する法律の変更は、2022年4月6日から施行されます。
This development will align with the Disclosure and Barring Service’s (DBS) proposal to enable digital identity checking within their criminal record checking process, through the introduction of its Identity Trust Scheme. この動きは、無犯罪証明サービス(DBS)がID信頼スキームの導入により、犯罪歴の確認プロセスにおいてデジタルID確認を可能にするという提案に沿うものである。
This guidance sets how providers can become certified to complete digital identity checks for the Right to Work, Right to Rent, and DBS schemes respectively, in line with the Department for Digital, Culture, Media and Sport’s (DCMS) UK Digital Identity and Attributes Trust Framework (the trust framework). 本ガイダンスは、デジタル・文化・メディア・スポーツ省(DCMS)の「UK Digital Identity and Attributes Trust Framework」(信頼フレームワーク)に沿って、プロバイダが「就労権」、「賃借権」、「DBS スキーム」でそれぞれデジタル ID 確認を行うための認証を受ける方法を定めています。
The trust framework is a set of rules providers agree to follow to make secure, trustworthy identity checks. The initial ‘alpha’ version of the trust framework was published in February 2021, with an updated version of the trust framework published in August 2021 following feedback from the public, industry, and civil society. A consultation on underpinning the trust framework in legislation ran from July to September 2021. 信頼フレームワークは、安全で信頼できる本人確認を行うために、プロバイダーが従うことに同意する一連のルールです。2021年2月に信頼フレームワークの最初の「アルファ」版が発表され、国民、業界、市民社会からのフィードバックを受けて、2021年8月に信頼フレームワークの更新版が発表されました。2021年7月から9月にかけて、信頼フレームワームを法律で裏打ちするためのコンサルテーションが行われました。
The Right to Work, Right to Rent, and DBS initiatives form part of DCMS’s trust framework’s testing process, and learnings will help to further refine its development. 「就労権」、「賃借権」、「DBS」の取り組みは、DCMSの信頼フレームワークのテストプロセスの一部を構成しており、学習結果は開発をさらに洗練させるのに役立ちます。
2. What does this mean for employers and landlords? 2. 雇用主や家主にとってどのような意味がありますか?
Employers and landlords will be able to use certified Identification Document Validation Technology (IDVT) service providers to carry out digital eligibility checks on behalf of British and Irish citizens who hold a valid passport. The relevant changes to legislation will take effect from 6 April 2022. 雇用主や家主は、有効なパスポートを保有する英国およびアイルランド国民に代わり、認定IDVT(Identification Document Validation Technology)サービスプロバイダを利用してデジタル資格を確認することができるようになります。関連する法改正は、2022年4月6日から施行されます。
For employers and landlords, the introduction of digital identity checking into the Schemes will mean they can assure prospective employee and tenants’ identities and eligibility, using consistent and more secure methods, reducing risk and allowing them to recruit and rent in a safer way. 雇用主や家主にとっては、デジタルID確認が制度に導入されることで、一貫性のあるより安全な方法で、従業員や入居希望者の身元や適格性を保証することができ、リスクを軽減し、より安全な方法で採用や賃貸を行うことができます。
Enabling the use of IDVT for Right to Work, Right to Rent and DBS checks will help to support long-term post pandemic working practices, accelerate the recruitment and onboarding process, improve employee mobility and enhance the security and integrity of the checks. 就労権、賃借権、DBS確認にIDVTを使用できるようにすることで、パンデミック後の長期的な労働慣行を支援し、採用・入社プロセスを迅速化し、従業員の流動性を高め、確認のセキュリティと整合性を高めることができます。
3. What do providers become certified against? 3. プロバイダは何に対して認証を受けるのですか?
To become certified against the schemes, providers must meet the criteria in the current version of the trust framework. Depending on the scheme(s) they want to join, they must also meet the requirements for the Right to Work & Right to Rent schemes and/or DBS scheme. These guidance documents have been published as a draft, and the Right to Work and Right to Rent Scheme guidance products will be finalised when the legislative changes take effect in April 2022. In the interim period, the guidance will be used during the certification process and should be followed by those providers being certified. 各スキームの認証を受けるためには、プロバイダは、現行の信頼フレームワークの規準を満たす必要があります。また、加入を希望するスキームに応じて、就労権・賃借権スキームやDBSスキームの要件も満たす必要があります。これらのガイダンス文書はドラフトとして公開されており、就労権・賃借権スキームのガイダンス文書は、2022年4月に法改正が発効した時点で最終的に決定されます。この間、ガイダンスは認証プロセスで使用され、認証を受けるプロバイダはこれに従わなければなりません。
The trust framework is currently in its alpha phase. When the beta version of the trust framework is published in Spring/Summer 2022, providers that have not already been certified will need to become certified against the beta version of the trust framework to participate in the Schemes. Providers certified against the alpha trust framework will be expected to move to the beta version at the time of their annual surveillance audit. 信頼フレームワークは、現在、アルファ版の段階にあります。信頼フレームワークのベータ版が2022年春夏に公開されると、まだ認証を受けていないプロバイダは、スキームに参加するために、信頼フレームワークのベータ版に対して認証を受ける必要があります。アルファ版信頼フレームワークで認証されたプロバイダは、年次サーベイランス監査の際にベータ版に移行することが期待されます。
consultation on proposed digital identity legislative measures ran from July to September 2021. Under the proposals, the government intends to legislate to put in place formalised governance arrangements for the trust framework and under these arrangements the trust framework will move to the live phase. The process for certification may change under these arrangements, with providers needing to meet any new requirements. 2021年7月から9月にかけて、デジタルIDに関する立法措置の提案についての協議が行われましました。この提案では、政府は信頼フレームワークの正式なガバナンス体制を整えるための法制化を意図しており、これらの体制の下で信頼フレームワークは本番段階に移行する。このような取り決めの下では、認証のプロセスが変更される可能性があり、プロバイダは新たな要件を満たす必要があります。
4. How do providers become certified? 4. プロバイダはどのようにして認証を受けるのですか?
A step-by-step process for how providers become certified against the trust framework and Right to Work, Right to Rent and DBS Schemes is as follows: プロバイダが信頼フレームワーク、就労権、賃借権、DBSスキームに対して認証を受けるためのプロセスは以下の通りです。
Providers who wish to become certified must firstly decide whether they want to be certified against a) the Right to Work and Right to Rent Schemes only, b) the DBS Scheme only, or c) both. 認証を受けようとするプロバイダは、まず、a)就労権・賃借権制度のみ、b)DBS制度のみ、c)両方、のいずれに対して認証を受けたいかを決定する必要があります。
Providers must engage with one of the selected certification bodies (see below) and agree a contractual relationship for completing the assessment process. プロバイダは、選択した認証機関の1つ(下記参照)と契約を結び、審査プロセスを完了するための契約関係に合意する必要があります。
Providers are assessed by a combination of desk reviews and on-site audits depending on the scope to be assessed. Although having taken part in the alpha testing of trust framework is not a requirement, those who did participate will be able to use their alpha self-assessments as supporting evidence as part of this process. プロバイダは、審査対象の範囲に応じて、デスクレビューとオンサイト監査を組み合わせた審査を受けます。信頼フレームワークのアルファテストに参加していることは必須条件ではありませんが、参加している場合は、アルファテストの自己評価をこのプロセスの裏付け証拠として使用することができます。
After the audits have taken place, certification bodies will advise DCMS and the provider undergoing certification of their recommendation in regard to certification. 監査が行われた後、認証機関はDCMSおよび認証を受けるプロバイダに、認証に関する推奨事項を通知します。
DCMS will review the outcome of the assessment process and, if all requirements have been met, the provider’s name, contact details, and information regarding their certification will be published on this webpage. Employers, landlords and other relevant providers interested in procuring digital identity services will be able to see which providers have been approved. DCMSは審査プロセスの結果を確認し、すべての要件が満たされている場合には、プロバイダの名前、連絡先、認証に関する情報をこのウェブページに掲載します。デジタル・アイデンティティ・サービスの調達に関心のある雇用主、家主、その他の関連プロバイダは、どのプロバイダが承認されたかを確認することができる。
Certification is a time-limited process and providers will need to undertake an annual surveillance audit and biennial recertification to remain on the list of certified providers for these Schemes. 認定は期限付きのプロセスであり、プロバイダはこれらのスキームの認定プロバイダのリストに留ま るために、年 1 回のサーベイランス監査および 2 年に 1 回の再認定を受ける必要がある。
5. Who are the certification bodies? 5. 認証機関は誰ですか?
To be a certification body for this initiative, organisations must submit an expression of interest via the UK Accreditation Service (UKAS) website. Once certification bodies have been selected, this page will be updated. Organisations interested in becoming certified should engage directly with the selected certification bodies once a list is available. このイニシアティブの認証機関になるためには、組織はUK Accreditation Service(UKAS)のウェブサイトから関心表明を提出する必要があります。認証機関が選定されたら、このページを更新します。認証取得に関心のある組織は、リストができ次第、選定された認証機関に直接連絡してください。
6. List of certified providers 6. 認証プロバイダのリスト
A list of certified providers will appear here once certifications have taken place. There are currently no providers certified. Employers, landlords and other relevant organisations interested in procuring a certified provider should engage directly with those providers once a list is available. Employers and landlords which want to carry out digital checks using their own processes will need to become certified themselves. 認証プロバイダのリストは、認証が行われた後にこのページに表示されます。現在、認証プロバイダはありません。認証プロバイダの調達に関心のある雇用主、家主、その他の関連組織は、リストが入手でき次第、それらのプロバイダに直接お問い合わせください。独自のプロセスでデジタル確認を行うことを希望する雇用主や家主は、自ら認証を受ける必要があります。
7. Frequently asked questions 7. よくある質問
How long does certification take? 認証にはどのくらいの時間がかかりますか?
The length of the assessment process will be agreed between the provider wanting to become certified and their selected certification body. We estimate that it will take 4-8 weeks to complete this process. 審査プロセスの期間は、認証を希望するプロバイダと選択した認証機関との間で合意されます。このプロセスを完了するには、4~8週間かかると考えています。
How much does it cost to become certified? 認証を受けるにはどのくらいの費用がかかりますか?
The costs of the assessment are agreed between the provider and their selected certification body. Once certification is achieved, there is no cost to being placed on the list of the government’s certified providers. (Please note this may change in the future.) 審査にかかる費用は、プロバイダと選択した認証機関との間で合意されます。認証を取得すると、政府の認証プロバイダのリストに掲載されますが、費用はかかりません。(ただし、これは将来的に変更される可能性があります。)
How long does certification last? 認証の有効期間はどのくらいですか?
Certification lasts for up to two years, after which providers must become re-certified against the most current version of the trust framework and relevant Scheme guidance to remain on the list of certified providers. Surveillance audits must be undertaken annually, as part of maintaining certification, and will also facilitate a move to the most current version of the trust framework and scheme guidance available. 認証の有効期間は最長で2年間です。その後、認証事業者のリストに残るためには、最新版の信頼フレームワークと関連するスキームガイダンスに基づいて再認証を受ける必要があります。認証を維持するためには、毎年サーベイランス監査を受ける必要があります。これにより、最新版の信頼フレームワークとスキームガイダンスへの移行が促進されます。
Can the identity checks be reused? ID 確認は再利用できるのか。
Whether and where identity checks can be re-used in other contexts is dependent on the requirements of the use case and organisations involved. The reuse of checks may be possible where this is compliant with relevant legislation and rules within the trust framework. ID 確認を他の文脈で再利用できるかどうか、またどこで再利用するかは、使用ケースの要件と関係する組織によります。確認の再利用は、関連する法律および信託フレームワーク内の規則に準拠している場合に可能です。

 

Fig1_20220118215501

 

 


 

関連

● U.K. Governance

・2021.12.27 Digital identity document validation technology (IDVT)

・2021.07.19 Digital identity and attributes consultation

・2021.08.02 UK digital identity & attributes trust framework: updated version

DBSについて

Disclosure & Barring Service

日本でも導入したらどうかという話もありますね。。。

● UKAS

Expressions of interest

・2022.01.17 Expression of Interest – UK Digital Identity and Attributes Trust Framework

 

 

| | Comments (0)

中国 海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

こんにちは、丸山満彦です。

2021年12月28日にネットワークセキュリティ審査弁法が改定発行され、2022年2月15日に施行すると発表されています。改正のポイントとして「100万人以上のユーザーの個人情報を保有しているオンラインプラットフォーム事業者が海外で株式公開する場合、ネットワークセキュリティ審査室にネットワークセキュリティクリアランスを提出しなければならない。」(第7条)がありますね。。。

これらの条文も含めて安全保障上の意図について専門家の解釈とした説明が公表されていました。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.07 专家解读|实施赴国外上市网络安全审查,保障国家安全 専門家による解説|国家安全保障を守るための海外上場に向けたネットワークセキュリティ審査の実施について

 

专家解读|实施赴国外上市网络安全审查,保障国家安全 専門家による解説|国家安全保障を守るための海外上場に向けたネットワークセキュリティ審査の実施について
新年伊始,修订后的《网络安全审查办法》正式颁布,并于2月15日起实施。此次对《网络安全审查办法》的修订,继续秉承了关口前移、防患于未然的网络安全审查制度设计初心,是落实“网络安全为人民”,贯彻《数据安全法》《个人信息保护法》的具体举措。 新年早々、改正された「サイバーセキュリティ審査弁法」が正式に公布され、2月15日から施行されました。 今回の「ネットワークセキュリティ審査弁法」の改訂は、ゲートをより前に配置し、問題を未然に防ぐというネットワークセキュリティ審査システムの当初の設計を引き続き堅持するものであり、「国民のためのネットワークセキュリティ」および「データセキュリティ法」「個人情報保護法」を実施するための具体的な対策でもあります。
我国是互联网应用大国,各类互联网平台众多。既有为社会提供金融支付、通信交流等基础性服务的互联网平台;也有专注于视听、求职、打车、货运、购物等的领域性互联网平台。这些平台或掌握了海量的公民个人数据,或在一个领域内掌握具有垄断性的用户信息。互联网平台掌握的数据一旦发生泄漏,将会严重危害公民的个人信息安全,给不法分子实施诈骗、非法营销等活动提供便利;一旦被滥用,将能分析出个人的家庭状况、癖好、心理、宗教信仰等敏感个人信息,给公民隐私权带来威胁。甚至对一些特定领域的个人信息进行有针对性的分析,能够得出我国社会经济运行的敏感信息,一旦泄漏将会影响国家安全。 中国はインターネットの普及率が高く、さまざまな種類のインターネット・プラットフォームがあります。 金融決済やコミュニケーションなどの基本的なサービスを提供するインターネット・プラットフォームもあれば、オーディオ・ビジュアル、就職活動、タクシー、荷物運送、ショッピングなどの分野に特化したインターネット・プラットフォームもあります。 これらのプラットフォームは、膨大な量の市民の個人情報を保有しているか、ある分野のユーザーの情報を独占しています。 インターネットプラットフォームが保有するデータが流出すると、市民の個人情報の安全性が著しく損なわれ、悪意のある者による詐欺や違法なマーケティングなどの行為が行われやすくなります。また、悪用されると、個人の家族構成、フェチ、心理、宗教観などの微妙な個人情報を分析することが可能になり、市民のプライバシーが脅かされることになります。 ある特定の分野に絞って個人情報を分析したとしても、社会や経済の運営に関わる機密情報が得られる可能性があり、それが流出すれば国家の安全保障に影響を与えることになります。
上市,对于互联网平台具有特殊意义。国内互联网平台大多以上市,特别是赴国外上市作为发展的主要目标。但如果一个互联网平台不遵守国家有关网络安全要求,不落实重要数据和个人信息保护责任义务,滥用数据,上市后在金融力量的加持下无序扩张,网络安全风险和威胁将成倍扩大。同时,一些国家出于保护本国投资者的目的,通过法律要求在其国内上市的企业披露业务经营数据。这个理由一旦被滥用,索要数据的边界将不受限制,给我国国家安全带来威胁。 リスティングは、インターネットプラットフォームにとって特別な意味を持ちます。 国内のインターネットプラットフォームの多くは、特に海外を開発の主な目標として挙げています。 しかし、インターネットプラットフォームが、サイバーセキュリティに関する国の要求を遵守せず、重要なデータや個人情報を保護する責任と義務を履行せず、データを誤用し、上場後に財力の支援を受けて無秩序に拡大した場合、サイバーセキュリティのリスクと脅威は指数関数的に拡大することになります。 一方で、投資家保護を目的に、自国に上場している企業に事業運営データの開示を義務付ける法律を制定している国もあります。 この理由が悪用されると、要求されたデータの境界は無制限になり、国家安全保障に脅威を与えることになります。
此次《网络安全审查办法》的修订,提出“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的要求,目的是对计划赴国外上市互联网平台进行充分的国家安全层面上的风险评估,一旦发现平台有违反国家网络安全、数据安全要求,存在国家安全层面上的风险时,将禁止赴国外上市。这么做将有效化解互联网平台因赴国外上市而带来的国家安全风险。同时,也有效促进各大互联网平台遵守国家网络安全、数据安全等各方面要求,提高全社会对网络安全、数据安全的重视程度。 ネットワークセキュリティ審査弁法の改正の目的は、海外での上場を計画しているインターネットプラットフォームに対して、国家安全保障上のリスク評価を全面的に行い、100万人以上のユーザーの個人情報を持つインターネット・プラットフォームの運営者に対して、海外での上場時にネットワークセキュリティ審査室への提出を義務付けることにあります。 プラットフォームが国のサイバーセキュリティおよびデータセキュリティ要件に違反し、国家安全保障上のリスクがあると判断された場合、そのプラットフォームは海外での上場が禁止されます。 これにより、海外でのインターネット・プラットフォームの上場に伴う国家安全保障上のリスクが効果的に軽減されます。 同時に、主要なインターネットプラットフォームが各国のネットワークセキュリティおよびデータセキュリティ要件に準拠することを効果的に促進し、社会全体におけるネットワークセキュリティおよびデータセキュリティの重要性を高めることにもなります。
(作者:唐旺,中国网络安全审查技术与认证中心高级工程师) (筆者:中国ネットワークセキュリティ検閲技術・認証センター シニアエンジニア Tang Wang)

 

1_20210612030101


 

● まるちゃんの情報セキュリティきまぐれ日記

ネットワークセキュリティ審査弁法についての過去の記事。。

・2022.01.05中国 ネットワークセキュリティ審査弁法

 

改正前のバージョンの話

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.21 中国のサイバーセキュリティ法(CCSL)関係

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 


・2022.01.17 中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

・2022.01.06 中国 意見募集 金融商品オンラインマーケティング管理弁法(案)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.28 中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

・2021.11.21 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.29 中国中央銀行がクラウドコンピューティングテクノロジーに関する3つの金融業界標準を発表しましたね。。。

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

・2020.07.06 中国のデータセキュリティ法案

 

かなり遡りますが、、、

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

| | Comments (0)

2022.01.18

ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

こんにちは、丸山満彦です。

ウクライナ政府のページで、ロシアからと考えられるサイバー攻撃の影響はほぼ回復したと公表されていますね。。。

gov.ua

・2022.01.17 Держспецзв'язку: Майже всі сайти, які постраждали від кібератаки, вже працюють

Держспецзв'язку: Майже всі сайти, які постраждали від кібератаки, вже працюють ウクライナ特別通信局:サイバー攻撃の影響を受けたウェブサイトのほぼすべてがすでに稼働している
Станом на 14:00 сьогодні відновили роботу майже всі сайти, які постраждали від кібератаки на державні інформаційні ресурси в ніч на п'ятницю, 14 січня. Розслідування та робота над відновленням решти ресурсів триває. 1月14日(金)夜に国家情報資源へのサイバー攻撃を受けたウェブサイトは、本日午後2時現在、ほぼすべてのサイトが運営を再開しています。現在、調査と復旧作業を行っています。
Версія щодо використання програми-вайпера, що знищує дані, перевіряється. Для цього Держспецзв'язку взаємодіє з компанією Майкрософт у рамках укладеної влітку угоди про співробітництво Government Security Program. データを削除するバイパープログラムを使用しているバージョンについては検証中です。このために、通信省は先日の政府のセキュリティプログラムの協力に関する合意に基づき、マイクロソフトと協力しています。
Водночас вже зараз можна стверджувати про значно вищу складність атаки, ніж модифікація стартової сторінки веб-сайтів. Низку зовнішніх інформаційних ресурсів було знищено зловмисниками в ручному режимі. Стислі терміни реалізації атаки свідчать про координацію дій хакерів та їхню чисельність. この時点ですでに、この攻撃はウェブサイトのホームページを変更するよりもはるかに高度なものであると言えます。重要性が低いの外部情報資源が、攻撃者によって手動でダウンさせられました。攻撃の条件は、ハッカーたちの行動の連携とその数を示しています。
Зараз відпрацьовується версія щодо комбінації трьох векторів атаки: supply chain attack та експлуатація вразливостей OctoberCMS та Log4j. Також, починаючи з п'ятниці, фіксуються DDOS-атаки на низку постраждалих органів державної влади. Робоча група залучила міжнародних експертів з метою достовірного встановлення джерела походження атаки. 現在、サプライチェーン攻撃とOctoberCMSやLog4jの機能の悪用という3つの攻撃ベクターを組み合わせたバージョンが開発されています。また、金曜日からは、重要性が低いの政府機関に対するDDOS攻撃が行われました。ワーキンググループは、国際的な専門家に依頼して、攻撃の起点を検証しました。
Як повідомлялося раніше у ніч із 13 на 14 січня було здійснено хакерську атаку на низку урядових сайтів, зокрема МЗС, МОН тощо. У рамках розслідування атаки Держспецзв'язку з'ясувала, як хакери зламали сайти держустанов. Окрім цього, урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA надала рекомендації для уникнення поширення кібератаки на сайти державних органів. 既に公表している通り、1月13日夜から14日にかけて、厚生省や文部科学省などの政府系ウェブサイトに対してハッカーによる攻撃が行われました。今回の攻撃に関する調査の一環として、国家安全保障局は、ハッカーがどのようにして当局のウェブサイトを破ったかを調査しました。さらに、ウクライナのComputer Emergency Response Team CERT-UAは、政府系ウェブサイトへのサイバー攻撃の拡散を防ぐための提言を発表しました。

 

ウクライナのナショナル CERTである、CERT-UAのウェブページに記載されている、推奨される対策。。。

CERT-UA

・2021.01.14 Кібератака на сайти державних органів(政府系ウェブサイトへの攻撃)


 

gov.ua

・2022.01.17 Держспецзв’язку: Атака на Prozorro Infobox не вплинула на роботу системи закупівель Prozorro

 

Держспецзв’язку: Атака на Prozorro Infobox не вплинула на роботу системи закупівель Prozorro ウクライナ特別通信局:Prozorro Infoboxへの攻撃は、Prozorro調達システムの運用に影響を与えませんでした。
Сьогодні о 8 ранку на сторінці форуму Prozorro Infobox з’явилося повідомлення, аналогічне тим, що були використані під час кібератаки на інші державні сайти 14 січня. Наразі сторінка вимкнена, а фахівці проводять розслідування та працюють над оперативним відновленням роботи форуму. 本日午前8時、Prozorro Infoboxのフォーラムページに、1月14日に他国等のウェブサイトがサイバー攻撃を受けた際に使用されたものと同様の通知が表示されました。現在、このページは削除されており、スタッフが調査を行い、フォーラムの機能を早急に復旧させています。
Форум Prozorro Infobox є окремою системою, яка не пов'язана із системою закупівель Prozorro. За наявною інформацією ані інформаційний ресурс Prozorro Infobox, ані сам портал Prozorro не постраждали. Система публічних закупівель працює у штатному режимі. Prozorro Infoboxのフォーラムは調達Prozorroのシステムとは別のシステムであり、関係ありません。入手可能な情報によると、Prozorro Infoboxの情報リソースやProzorroポータル自体は影響を受けていません。公共調達システムは通常通りに運営されています。
Закликаємо у разі підозри чи виявлення ознак атаки невідкладно звертатися до Державної служби спеціального зв'язку та захисту інформації України. Фахівці урядової команди реагування на комп'ютерні надзвичайні події CERT-UA у режимі 24/7 оперативно реагують на повідомлення та допомагають зупинити атаки. Наші фахівці аналізують логфайли для того, щоб зрозуміти весь ланцюжок реалізації атаки, збирають цифрові докази, а також допомагають якомога швидше відновити роботу веб-ресурсів. 攻撃の疑いや兆候がある場合は、ウクライナ特別通信情報保護局に連絡することを推奨します。Orderly Computer Emergency Response Team(CERT-UA)のメンバーが24時間365日、通知に対応し、攻撃を阻止するための支援を行います。当社の技術者は、ログファイルを分析して攻撃の全タイムラインを把握し、デジタル証拠を収集するとともに、ウェブリソースを可能な限り迅速に復元するための支援を行います。

 

・2022.01.16 Мінцифри: Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців

Мінцифри: Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців 情報省:ロシアは重要情報インフラの断片化やウクライナ人のデータの「流出」に関するフェイクによって当局への信頼を低下させたいと考えています
Держспецзв'язку разом із СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади. ウクライナ国家保安局は、ウクライナ保安局とサイバーポリスとともに、国家機関のウェブサイトに対するサイバー攻撃の調査を続けています。
Станом на зараз можна сказати, що всі докази вказують на те, що за кібератакою стоїть Росія. Москва продовжує вести гібридну війну та активно нарощує сили в інформаційному та кіберпросторах. 現時点では、サイバー攻撃の背後にロシアが存在することを示す証拠がすべて揃っています。モスクワはハイブリッド戦争を続けており、サイバー空間や情報空間においても積極的に力をつけています。
Найчастіше кібервійська Росії працюють проти США та України, намагаючись за допомогою технологій похитнути політичну ситуацію. Остання кібератака — один із проявів гібридної війни Росії проти України, яка триває з 2014 року. より多くの場合、サイバーロシアは米国とウクライナに対して働きかけ、テクノロジーを使って政治状況をハイジャックしようとしています。今回のサイバー攻撃は、2014年から続いているロシアのウクライナに対するハイブリッド戦争の現れのひとつです。
Її ціль — не тільки залякати суспільство. А дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору та підірвавши довіру до влади з боку українців. Цього вони можуть досягти, вкинувши в інфопростір фейки про вразливість критичної інформаційної інфраструктури та про «злив» персональних даних українців. 重大な目的は、人々をなだめることだけではありません。それは、国家部門の仕事を混乱させ、当局に対するウクライナ人の信頼を損ねることで、ウクライナの状況を不安定にすることです。重要な情報インフラが破壊されたとか、ウクライナ人の個人情報が流出したとかいうフェイクニュースをインターネット上で流すことで、それを実現することができるのです。
Зазначимо, що Дія не зберігає персональні дані українців. Усі вони розміщені у відповідних реєстрах, які надійно захищені. Застосунок є тільки «мостом» між інформацією з держреєстрів та користувачем. なお、Diaはウクライナ人の個人データを保存していません。それらはすべて、適切な登録簿に掲載され、安全に保護されています。アプリケーションは、レジスターからの情報とユーザーの間の「架け橋」に過ぎません。
Наприклад, уся медична інформація, зокрема дані для генерування СOVID-сертифікатів, розміщена в Електронній системі охорони здоров'я. Дані про РНОКПП зберігаються в реєстрі Державної податкової служби. А демографічні дані — у Єдиному державному демографічному реєстрі. І так далі. 例えば、すべての医療情報、特にCOVID証明書を作成するためのデータは、Electronic Health Information Systemで公開されています。DNACPPのデータは、国税庁のレジストリに保存されています。人口統計データはUnified State Demographic Registerに保存されます。などと言っています。
Тому закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити нібито персональні дані є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року. だからこそ、ウクライナ人にはパニックに陥らないようにお願いします。すべての個人データは、レジスターの安全な保護下にあります。また、新しいパーソナルデータを購入する機会についての発表は詐欺です。シャライは、2019年以前に空になった多くのソースからコンパイルされた古いデータを販売しています。
Поле бою за безпеку та саме існування нашої держави лежить у декількох площинах — військовій, дипломатичній, історичній, а тепер ще й у цифровій. Тому українські кіберспеціалісти мають об'єднатися, щоб протистояти загрозі та нейтралізувати противника. 安全保障や国家の存立に関わる戦場は、軍事、外交、歴史、そして今はデジタルという複数の分野にまたがっています。だからこそ、ウクライナのサイバー専門家たちは、脅威に対抗し、敵を無力化するために団結しなければならないのです。

 

・2022.01.14 З'явилися перші результати розслідування нападу хакерів на сайти держустанов

З'явилися перші результати розслідування нападу хакерів на сайти держустанов 政府系サイトへのハッカー攻撃に関する調査結果の第一報を発表
Держспецзв'язку разом з СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади, що сталася вночі з 13 на 14 січня. Загалом атакували понад 70 держресурсів, 10 з яких зазнали несанкціонованого втручання. Контент сайтів при цьому змінено не було та витоку персональних даних не відбулося. Наші фахівці разом з командами міністерств і відомств уже відновили роботу більшості сайтів. ウクライナ国家安全保障局は、ウクライナ保安局およびサイバー警察とともに、1月13日から14日にかけて夜通し行われた国家機関のウェブサイトに対するサイバー攻撃の調査を続けています。合計70以上の政府機関のリソースが攻撃を受け、そのうち10が不正侵入を受けました。サイトの内容に変更はなく、個人情報の流出もありませんでした。私たちのスタッフは、大臣や各省庁のチームとともに、すでにほとんどのサイトを復旧させています。
Також за ініціативи СБУ було відключено важливих державних ресурсів, зокрема і портал Дія. Це було необхідно для локалізації проблеми та щоб не допустити поширення атаки. Мобільний застосунок Дія працював та працює в штатному режимі. また、ウクライナ保安局の主導により、Diaポータルなどの重要な国家資源が切断されました。これは、問題を局所化し、攻撃が広がらないようにするために必要なことでした。Diaのモバイルアプリケーションは通常通り動作していました。
Важливою задачею було встановити метод реалізації атаки, зібрати цифрові докази та якомога швидше відновити роботу веб-ресурсів. Протягом дня у медіа з'являлися повідомлення про використання хакерами конкретної вразливості системи керування контентом. Це було лише однією з версій, що опрацьовувалась фахівцями. 重要な課題は、攻撃を実行する方法を特定し、デジタル証拠を収集し、Webリソースの動作を早急に復旧させることでした。その日のうちに、ハッカーが特定のコンテンツ管理システムを使用していることがメディアに通知されました。これは、専門家によって悪用されたバージョンの一つに過ぎませんでした。
Зараз ми можемо з великою ймовірністю стверджувати, що відбулася так звана supply chain attack. Тобто атака через ланцюжок поставок. Зловмисники зламали інфраструктуру комерційної компанії, що мала доступ з правами адміністрування до веб-ресурсів, які постраждали внаслідок атаки. 今では、いわゆるサプライチェーン攻撃が行われたと自信を持って言えるようになりました。サプライチェーンを利用した攻撃です。攻撃者は、攻撃の影響を受けたウェブリソースに管理者権限でアクセスしていた営利企業のインフラを破壊しました。
Упродовж вихідних фахівці продовжать розслідування, щоб встановити його замовників і відповідальних за кібератаку. 週末、捜査当局は、サイバー攻撃の犯人と責任者を特定するために調査を続けています。

 

Fig_20220118153501

 

| | Comments (0)

2022.01.17

中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

こんにちは、丸山満彦です。

中国の中国 電気通信端末産業協会 (TAF) が「スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」等、9つの文書を公表していますね。。。

电信终端产业协会 (TAF)(電気通信端末産業協会)

2022.01.14 《智能终端侧业务风险防控安全指南》等9项团体标准报批公示 スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」など9つのグループ標準が承認申請されました。

 

1、《智能终端侧业务风险防控安全指南 1. スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド
2、《智能可穿戴设备安全  医疗健康可穿戴设备安全技术要求与测试方法 2. スマート・ウェアラブル・デバイスの安全性 ヘルスケア・ウェアラブル・デバイスの安全性に関する技術的要求事項と試験方法
3、《移动终端应用软件列表权限实施指南 3. 携帯端末アプリケーションソフトウェア一覧の許可に関する実装ガイド
4、《移动应用分发平台:APP开发者信用评价体系 4. 携帯アプリケーション配信プラットフォーム:APP開発者のための信用評価システム
5、《移动应用分发平台信用评价细则 5. 携帯アプリケーション配信プラットフォームの信用評価細則
6、《移动智能终端应用软件调用行为记录能力要求  第3部分:API接口 6. スマート携帯端末アプリケーション・ソフトウェアの呼び出し動作記録機能に関する要求事項 Part3: API インターフェース
7、《APP收集使用个人信息最小必要评估规范  第3部分:图片信息 7. APPが収集・利用する個人情報の必要最小限の評価に関する仕様書 Part3:画像情報
8、《APP收集使用个人信息最小必要评估规范  第9部分:短信信息 8. APPによる個人情報の収集と使用に関する必要最小限の評価仕様 Part9:SMS情報
9、《物联网终端可信上链技术要求 9. IoT端末の信頼できるアップリンクのための技術要件

 

代表して(^^) 《智能终端侧业务风险防控安全指南》スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイドの目次。。。
 
20220117-61225

 

前言 前文
1 范围 1 適用範囲
2 规范性引用文件 2 引用文献
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 业务风险防控安全框架 5 オペレーショナル・リスクの予防・管理 セキュリティ・フレームワーク
6 业务风险防控模型输入和策略 6 オペレーショナル・リスクの予防・管理モデルの入力と戦略
6.1 概述 6.1 概要
6.2 系统风控模型输入 6.2 システムリスクコントロールモデルの入力
6.3 应用风控模型输入 6.3 アプリケーションリスクコントロールモデルの入力
6.4 身份风控模型输入 6.4 IDリスクコントロールモデルの入力
6.5 业务风险防控策略 6.5 ビジネスリスクの予防・管理戦略
7 业务风险定级 7 オペレーショナル・リスクの分類
7.1 业务风险定级原则和方法 7.1 ビジネスリスク分類の原則と方法
7.2 通用风险评估方法示例 7.2 一般的なリスク評価手法の例
8 业务风险防控安全要求 8 ビジネスリスクの予防と管理 セキュリティ要件
附录 A(资料性)业务风险防控接口 附属書A (情報) オペレーショナルリスクの予防・管理のインターフェース

| | Comments (0)

2022.01.15

英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

こんにちは、丸山満彦です。

英国会計検査院のブログに「サイバーセキュリティ:パンデミックは何を変えたか?」という投稿がありますね。。。

英国の会計検査院 (National Audit Office) には、サイバーセキュリティ担当のディレクターがいるようですね。。。まぁ、重要な分野ですからね。。。

 

National Audit Office: NAO - NAO blog

・2022.01.14 Cyber security: has the pandemic changed anything?

Cyber security: has the pandemic changed anything? サイバーセキュリティ:パンデミックは何を変えたか?
Posted on January 14, 2022 by Tom McDonald 投稿日: 2022年1月14日 投稿者: Tom McDonald
The start of a new year brings the opportunity to look back and reflect on the challenges we faced in dealing with COVID-19 during the last year. One of the many impacts of the pandemic we did not foresee was moving many aspects of our social and economic life online to try and keep them going through lockdowns. This came with considerable advantages, keeping many businesses, social networks and relationships going. But it also came with a significant downside, as we all became more vulnerable to the risks associated with operating online. In addition to the major attacks like WannaCry and SolarWinds, which have affected organisations in the UK and overseas, it is now increasingly likely that each of us has either personally suffered from some kind of online crime or know someone else who has. 新しい年の始まりは、昨年のCOVID-19への対応で直面した課題を振り返り、反省する機会となります。パンデミックの影響で予想できなかったことは、社会的・経済的な生活の多くの側面をオンラインに移行し、ロックダウンの間もそれらを維持しようとしたことでした。これは、多くのビジネス、ソーシャルネットワーク、人間関係を維持できるという大きなメリットがありました。その一方で、オンラインでの活動に伴うリスクに対して私たちがより脆弱になるという、大きなマイナス面もありました。WannaCryやSolarWindsなどの大規模な攻撃が英国や海外の組織に影響を与えていることに加えて、私たち一人一人が何らかのオンライン犯罪の被害に遭っているか、そのような人を知っている可能性がますます高くなっています。
In its latest Annual Report, government’s National Cyber Security Centre (NCSC) is clear about the nature of the risks we have faced during the pandemic, noting the startling finding that “From household goods to vaccine appointments, there have been few avenues criminals have not tried to exploit”. And the move to living more of our lives online has resulted in some shifts in criminal activity. 政府の国家サイバーセキュリティセンター(NCSC)は、最新の年次報告書の中で、パンデミックの間に我々が直面したリスクの性質について明確に述べており、「家財道具からワクチンの予約に至るまで、犯罪者が利用しようとしなかった手段はほとんどなかった」という驚くべき発見をしています。また、生活の多くをオンラインで過ごすようになったことで、犯罪行為にも変化が生じています。
The major trend identified by the NCSC is the growth in criminal groups using ransomware to extort organisations of all kinds. The NCSC describes ransomware as the most immediate cyber security threat to UK businesses: this obviously makes it a threat to the resilience and performance of the economy. But it is also a risk to both central and local government and the wide range of services which they support. So, whether we are taxpayers or service users, we should be concerned at this increased use of ransomware being added to the existing list of cyber threats. NCSCが指摘する大きな傾向は、犯罪グループがランサムウェアを使ってあらゆる種類の組織を脅迫するケースが増えていることです。NCSCは、ランサムウェアを英国企業にとって最も差し迫ったサイバーセキュリティの脅威であるとしています。しかし、ランサムウェアは、中央政府、地方政府、そしてそれらが支える広範なサービスにとってもリスクとなります。納税者であれ、サービス利用者であれ、既存のサイバー脅威のリストにランサムウェアが追加されたことを懸念すべきです。
Unfortunately, the other threats on that list haven’t gone away. The March 2021 Microsoft Exchange Servers incident, in which a sophisticated attacker used zero-day vulnerabilities to compromise at least 30,000 separate organisations, highlighted the dangers posed by supply chain attacks. And there are plenty of examples in the news of other incidents, both malicious and accidental, which have put data, operations and organisational resilience at risk in both private and public sectors. 残念ながら、このリストにある他の脅威はなくなっていません。2021年3月に発生したMicrosoft Exchange Serverの事件では、巧妙な攻撃者がゼロデイ脆弱性を利用して少なくとも3万の個別組織を危険にさらし、サプライチェーン攻撃がもたらす危険性を浮き彫りにしました。その他にも、悪意のあるもの、偶発的なものを問わず、官民を問わず、データ、業務、組織の回復力を危険にさらした事件の例は、ニュースで数多く取り上げられています。
In its new National Cyber Strategy, government has set out some of the things it wants to do to make the UK more resilient to cyber-attack. Like its predecessors, the Strategy is painted on a broad canvas, setting out high-level objectives: it says that the UK should strengthen its grasp of technologies that are critical to cyber security and that it should limit its reliance on individual suppliers or technologies which are developed under regimes that do not share its values. These objectives are aimed at the structural factors behind cyber security. And in the meantime, government is developing its Active Cyber Defence programme – which seeks to reduce the risk of high-volume cyber-attacks ever reaching UK citizens – and pressing ahead with other work on skills, resilience and partnerships across different industries and sectors. 政府は、新しい「国家サイバー戦略」の中で、英国のサイバー攻撃に対する耐性を高めるために、どのようなことをしたいかを示しています。これまでの戦略と同様に、この戦略は大きなキャンバスに描かれており、高レベルの目標を設定しています。すなわち、英国はサイバーセキュリティに不可欠な技術の把握を強化し、価値観を共有しない体制下で開発された個々のサプライヤーや技術への依存を制限すべきであるとしています。これらの目標は、サイバーセキュリティの背後にある構造的な要因を狙ったものです。一方、政府は、大量のサイバー攻撃が英国市民に到達するリスクを低減することを目的とした「アクティブ・サイバー・ディフェンス」プログラムを展開しているほか、スキル、レジリエンス、さまざまな業界・セクター間のパートナーシップに関するその他の作業を進めています。
So, it seems clear that, despite the efforts of public and private sectors, the pandemic has exacerbated some of the threats we face online. But one thing that most experts agree on is that our best defence is getting the basics right. Many of the attacks which we have seen during the pandemic could have been avoided if individuals and organisations had followed recognised good practice. This includes actions like implementing formal information security regimes, avoiding unsupported software and adopting good password practices. We have specific guidance to help Audit Committees think about these sorts of issues in our updated Cyber and Information Security Good Practice Guide. このように、官民一体となった取り組みにもかかわらず、パンデミックによって、私たちがオンラインで直面している脅威のいくつかが悪化していることは明らかなようです。しかし、ほとんどの専門家が同意しているのは、最善の防御策は基本を正しく理解することだということです。今回のパンデミックで発生した攻撃の多くは、個人や組織が認識されているグッドプラクティスに従っていれば回避できたはずです。これには、正式な情報セキュリティレジームの導入、サポートされていないソフトウェアの回避、適切なパスワードの使用などが含まれます。私たちは、監査委員会がこのような問題について考える際に役立つ具体的なガイダンスを、最新の「サイバーおよび情報セキュリティに関するグッド・プラクティス・ガイド」に掲載しています。
So, if you are still thinking about your New Year’s resolutions, how about refreshing your cyber security practices? That may help you avoid becoming the next victim of a cyber-attack. もし、まだ新年の抱負を考えているのであれば、サイバー・セキュリティ対策を見直してみてはいかがでしょうか。そうすれば、次のサイバー攻撃の犠牲者にならずに済むかもしれません。

 

Nao-logo-2

 

 

 


参考

文中のリンクに関係する部分

まるちゃんの情報セキュリティきまぐれ日記

・2021.12.17 英国 国家サイバー戦略

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

 

その他。。。

・2021.09.24 英国 国家AI戦略

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.03.27 英国 国家サイバーセキュリティセンター (NCSC) の新しいCEOが今後のサイバーリスクについて説明し、自己満足にならないように警告

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書

 

 

| | Comments (0)

総務省 意見募集 電気通信事業ガバナンス検討会 報告書(案)

こんにちは、丸山満彦です。

総務省が電気通信事業ガバナンス検討会報告書(案)について意見募集をしていますね。。。

総務省

・2022.01.14 電気通信事業ガバナンス検討会 報告書(案)に対する意見募集


1 概要


 総務省では、「電気通信事業ガバナンス検討会」を開催し、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、令和3年5月から検討を行ってきました。
 今般、本検討会において、報告書(案)が取りまとめられましたので、令和4年1月15日(土)から同年2月4日(金)までの間、本案に対する意見募集を行います。

・[PDF] 別紙1「電気通信事業ガバナンス検討会 報告書(案)」

20220114-233059

 

目次

はじめに

第1章 電気通信事業を取り巻く環境の変化
1.1
電気通信サービスの現状
 1.1.1
電気通信サービス市場の概要
 1.1.2 電気通信サービスの重要度の向上

1.2
電気通信サービスを提供する電気通信事業者の多様化
1.3
電気通信サービスを提供するネットワークの多様化

第2章 電気通信事業におけるガバナンスの現状と課題
2.1
電気通信サービスに対するリスクの高まり
 2.1.1
サイバー攻撃の複雑化・巧妙化によるリスク
 2.1.2 サプライチェーンや外国の法的環境による影響等のリスク
 2.1.3 電気通信サービスに係る情報の漏えい等のリスク
 2.1.4 電気通信サービスの停止等のリスク
 2.1.5 情報の外部送信や収集に関連したリスク
 2.1.6 利用者による不安
 2.1.7 今後の方向性

2.2
電気通信事業におけるガバナンスの現状
 2.2.1
国内の電気通信事業におけるガバナンスの現状
  2.2.1.1 電気通信事業の公共性及び電気通信事業法における規律の対象
  2.2.1.3 通信の秘密の漏えいに関する制度の現状
  2.2.1.4 電気通信事業者における自主的な取組の現状
  2.2.1.5 総合的なサイバーセキュリティ対策
  2.2.1.6 政府情報システムのためのセキュリティ評価制度
 2.2.2 ガバナンスに関する国際標準・諸外国の制度等
  2.2.2.1 情報セキュリティに関する国際標準・規格等
  2.2.2.2 ガバナンスに関する諸外国の制度

2.3
利用者が安心できる電気通信サービスの円滑な提供に向けた課題
 2.3.1
情報の漏えい・不適正な取扱い等や電気通信サービスの停止のリスクへの対応
 2.3.2 電気通信事業におけるリスク対策の必要性
 2.3.3 課題と検討の方向性

第3章 電気通信事業ガバナンスの在り方と実施すべき措置
3.1
電気通信事業におけるガバナンス強化に係る基本的な考え方
 3.1.1
電気通信事業における多様な保護法益の確保
 3.1.2 電気通信事業の円滑・適切な運営の確保
 3.1.3 電気通信事業ガバナンスの在り方の検討

3.2
実施すべき措置
 3.2.1
電気通信事業に係る情報の漏えい・不適正な取扱い等に対するリスク対策
  3.2.1.1
適正な取扱いを行うべき情報
  3.2.1.2 利用者情報の適正な取扱いの促進
  3.2.1.3 利用者に関する情報の外部送信の際に講じるべき措置

 3.2.2
通信ネットワークの多様化等を踏まえた電気通信サービスの停止に対するリスク対策
  3.2.2.1
設備の多様化に対応した規律の見直し
  3.2.2.2 事業者間連携によるサイバー攻撃対策
  3.2.2.3 重大事故等のおそれのある事態の報告制度
  3.2.2.4 災害時における考慮事項

 3.2.3
利用者への情報提供
  3.2.3.1
利用者への情報提供の現状
  3.2.3.2 情報の適正な取扱い等に係る利用者への情報提供の強化に向けて

第4章 今後の検討課題

おわりに


 

 

参考

電気通信ガバナンス検討会

 ・2021.04.27 「電気通信事業ガバナンス検討会」の開催


総務省は、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保に向けて、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について検討するため、「電気通信事業ガバナンス検討会」を開催します。
1 目的


 「デジタル社会」の実現のためには、その中枢基盤として、サイバー空間とフィジカル空間を繋ぐ神経網である通信サービス・ネットワークが安心・安全で信頼され、継続的・安定的かつ確実・円滑に提供されることが不可欠です。
 しかし、最近、通信サービス・ネットワークを司る電気通信事業者において、利用者の個人情報や通信の秘密の漏えい事案が発生するとともに、海外の委託先等を通じ、これらのデータにアクセス可能な状態にあることに関するリスク等が顕在化しています。さらに、電気通信事業者に対するサイバー攻撃により、通信サービスの提供の停止に至る事案や通信設備に関するデータが外部に漏えいしたおそれのある事案が発生するなど、サイバー攻撃のリスク等も深刻化しています。
 以上を踏まえ、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、検討を行います。
2 検討事項

(1)電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方
(2)上記を踏まえた、政策的な対応の在り方
(3)その他

| | Comments (0)

2022.01.14

世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

こんにちは、丸山満彦です。

世界経済フォーラムが毎年出している、グローバルリスクリポートですが、2022年版が公表されていますね。。。

環境系のリスクが上位に上がってきているように感じました。。。

 

World Economic Forum

・2022.01.11 Global Risks 2022: The 'disorderly' net-zero transition is here and it’s time to embrace it

Global Risks

Global Risks Report

・2022.01.11 Global Risks Report 2022

・[PDF

20220114-64730

 

日本のウェブページ

・2022.01.11 グローバルリスク報告書2022年版: 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

 

短期、中期、長期のリスク

0-2 years 主要な短期的なグローバルリスク(0-2年)
Extreme weather 異常気象
Livelihood crises 生活破綻(生活苦)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Social cohesion erosion 社会的結束の侵食
Infectious diseases 感染症の広がり
Mental health deterioration メンタルヘルスの悪化
Cybersecurity failure サイバーセキュリティ対策の失敗
Debt crisis 債務危機
Digital inequality デジタル格差
Asset bubble burst 資産バブルの崩壊
   
2-5 years 主要な中期的なグローバルリスク(2-5年)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Social cohesion erosion 社会的結束の侵食
Livelihood crises 生活破綻(生活苦)
Debt crises 債務危機
Human environmental damage 人為的な環境災害
Geoeconomic confrontations 地政学的対立
Cybersecurity failure サイバーセキュリティ対策の失敗
Biodiversity loss 生物多様性の喪失
Asset bubble burst 資産バブルの崩壊
   
5-10 years 主要な長期的なグローバルリスク(5-10年)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Biodiversity loss 生物多様性の喪失
Natural resource crises 天然資源危機
Human environmental damage 人為的な環境災害
Social cohesion erosion 社会的結束の侵食
Involuntary mitigation 非自発的移住
Adverse tech advances テクノロジー進歩による悪影響
Geoeconomic confrontations 地政学的対立
Geopolitical resource contestation 地政学的資源戦争

 

深刻度に着目すると...

Identify the most severe risks on a global scale over the next 10 years 深刻度から見たグローバルリスク 今後10年
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Biodiversity loss 生物多様性の喪失
Social cohesion erosion 社会的結束の侵食
Livelihood crises 生活破綻(生活苦)
Infectious diseases 感染症の広がり
Human environmental damage 人為的な環境災害
Natural resource crises 天然資源危機
Debt crisis 債務危機
Geoeconomic confrontations 地政学的対立
過去分
PDFは第1回から揃いますね。。。

17 2022 2022.01.11 Web PDF Press
16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15  Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  
 
 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.28 世界経済フォーラム (WEF) サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか?

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.02 世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

・2021.07.01 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク

・2021.05.21 世界経済フォーラム&ユニセフ・ジェネレーションAIによるスマートトイ賞が22日に発表へ

・2021.05.18 世界経済フォーラム (WEF) 石油・ガス産業におけるサイバーレジリエンス:取締役と執行役のためのプレイブック

・2021.04.25 世界経済フォーラム (WEF) データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準

・2021.04.08 世界経済フォーラム Global Technology Governance Summit

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.17 World Economic Forum ビジネス環境を巡る地域リスクレポート2020 (サイバー攻撃も上位に入っています。。。)

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

 

 

 

 

Continue reading "世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機 "

| | Comments (0)

2022.01.13

米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

こんにちは、丸山満彦です。

米国のGAOの予備的調査の結果、各省庁のFISMA要件の実施にはばらつきがあると報告書を公表していますね。。。

● U.S. Government Accountability Office

・2022.01.11 Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent

・[PDF] Hilights

・[PDF] Full Report

20220113-45928

 

Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent サイバーセキュリティ:予備的調査の結果、各省庁のFISMA要件の実施はばらつきがある
Fast Facts 速報
A 2014 law requires federal agencies to have information security programs. We testified about how agencies have implemented their programs: 2014年の法律により、連邦政府機関は情報セキュリティプログラムを持つことが義務付けられています。私たちは、各省庁がどのようにプログラムを実施したかについて証言しました。
・While agencies have reported some progress, 17 of 23 civilian agencies did not fully meet their cybersecurity targets ・各省庁は一定の進展を報告しているものの、23省庁のうち17省庁はサイバーセキュリティの目標を完全には達成していませんでした。
・Inspectors General reported ineffective programs at 16 of 23 civilian agencies ・23省庁うち16省庁の監察官が、プログラムが効果的でないと報告しました。
・Our recent reports also identified major weaknesses in government-wide and agency-specific cybersecurity initiatives ・最近の報告書では、政府全体および各省庁固有のサイバーセキュリティの取り組みに大きな弱点があることも指摘されています。
・Agency officials have identified obstacles to reporting and made suggestions for improvement ・各省庁の担当者は、報告の障害となっているものを特定し、改善のための提案を行いました。
Federal information security has been a topic on our High Risk List since 1997. 連邦政府の情報セキュリティは、1997年以来、連邦政府のハイリスクリストに掲載されているテーマです。
Highlights ハイライト
What GAO Found GAOの調査結果
Based on GAO's preliminary results, in fiscal year 2020, the effectiveness of federal agencies' implementation of requirements set by the Federal Information Security Modernization Act of 2014 (FISMA) varied. For example, more agencies reported meeting goals related to capabilities for the detection and prevention of cybersecurity incidents, as well as those related to access management for users. However, inspectors general (IG) identified uneven implementation of cyber security policies and practices. For fiscal year 2020 reporting, IGs determined that seven of the 23 civilian Chief Financial Officers Act of 1990 (CFO) agencies had effective agency-wide information security programs. The results from the IG reports for fiscal year 2017 to fiscal year 2020 were similar with a slight increase in effective programs for 2020. GAOの予備的調査の結果によると、2020年会計年度において、2014年連邦情報セキュリティ近代化法(FISMA)で設定された要件の連邦政府機関による実施の効果にはばらつきがありました。例えば、より多くの省庁が、サイバーセキュリティインシデントの検知と防止のための能力や、ユーザーのアクセス管理に関連する目標を達成したと報告しました。しかし、監察官(IG)は、サイバーセキュリティポリシーと実践の実施にばらつきがあることを指摘しました。2020会計年度の報告では、IGは、1990年の最高財務責任者法(CFO)に基づく23省庁のうち、7つ省庁が効果的な機関全体の情報セキュリティプログラムを持っていると判断しました。2017年度から2020年度までのIG報告書の結果では、2020年に向けて効果的なプログラムがわずかに増加しています。
Number of 23 Civilian Chief Financial Officers Act of 1990 Agencies with Effective and Not Effective Agency-Wide Information Security Programs, as Reported by Inspectors General for Fiscal Years 2017-2020 2017~2020年度に監察官が報告した、省庁全体の情報セキュリティプログラムが有効および有効でない23の1990年最高財務責任者法対象省庁の数

20220112-180556
GAO has also routinely reported on agencies' inconsistent implementation of federal cybersecurity policies and practices. Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings; about 900 were not yet fully implemented as of November 2021. More recent GAO reviews have identified weaknesses regarding access controls, configuration management, and the protection of data shared with external entities. GAO has made numerous recommendations to address these. GAOは、各省庁が連邦政府のサイバーセキュリティ政策や実務を一貫性なく実施していることについても定期的に報告してきました。2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各省庁に行ってきましたが、2021年11月時点で約900件がまだ完全に実施されていません。最近のGAOのレビューでは、アクセス制御、構成管理、外部と共有するデータの保護に関する弱点が指摘されています。GAOはこれらに対処するため、数多くの提言を行っています。
Based on interviews with agency officials, such as chief information security officers, GAO's preliminary results show that officials at 14 CFO Act agencies stated that FISMA enabled their agencies to improve information security program effectiveness to a great extent. Officials at the remaining 10 CFO Act agencies said that FISMA had improved their programs to a moderate extent. The officials also identified impediments to implementing FISMA, such as a lack of resources. Agency officials suggested ways to improve the FISMA reporting process, such as by updating FISMA metrics to increase their effectiveness, improving the IG evaluation and rating process, and increasing the use of automation in report data collection. 最高情報セキュリティ責任者などの省庁関係者へのインタビューに基づいたGAOの予備的調査の結果によると、CFO法適用省庁14の関係者は、FISMAによって省庁の情報セキュリティプログラムの有効性がかなり改善されたと述べています。残りの10のCFO法対象省庁の担当者は、FISMAによってプログラムが中程度に改善されたと述べています。また、担当者は、リソースの不足など、FISMA を実施する上での障害を指摘しています。各省庁の担当者は、FISMA の報告プロセスを改善する方法を提案しました。例えば、FISMA の評価基準を更新してその有効性を高めたり、IGの評価・格付けプロセスを改善したり、報告書のデータ収集における自動化の利用を増やしたりしました。
Why GAO Did This Study GAOがこの調査を行った理由
Federal systems are highly complex and dynamic, technologically diverse, and often geographically dispersed. Without proper safeguards, computer systems are increasingly vulnerable to attack. As such, since 1997, GAO has designated information security as a government-wide high-risk area. 連邦政府のシステムは、非常に複雑で動的であり、技術的にも多様で、地理的にも分散していることが多いです。適切なセーフガードがなければ、コンピュータ・システムはますます攻撃されやすくなります。そのため、1997年以降、GAOは情報セキュリティを政府全体の高リスク分野に指定しています。
FISMA was enacted to provide federal agencies with a comprehensive framework for ensuring the effectiveness of information security controls. FISMA requires federal agencies to develop, document, and implement an information security program to protect the information and systems that support the operations and assets. It also includes a provision for GAO to periodically report on agencies' implementation of the act. FISMAは、情報セキュリティ管理の有効性を確保するための包括的なフレームワークを連邦政府機関に提供するために制定されました。FISMAは、連邦政府機関に対し、業務や資産を支える情報やシステムを保護するための情報セキュリティプログラムを策定し、文書化し、実施することを求めている。また、GAOが各省庁の同法の実施状況を定期的に報告する規定も含まれています。
This testimony discusses GAO's preliminary results from its draft report in which the objectives were to (1) describe the reported effectiveness of federal agencies' implementation of cybersecurity policies and practices and (2) evaluate the extent to which relevant officials at federal agencies consider FISMA to be effective at improving the security of agency information systems. この証言は、GAOの報告書ドラフトの予備的な結果について述べたもので、その目的は、(1)連邦政府機関のサイバーセキュリティポリシーとプラクティスの実施について報告された有効性を説明すること、(2)連邦政府機関の関係者が、FISMAが機関の情報システムのセキュリティを向上させるのに有効であると考えている程度を評価することでした。
To do so, GAO reviewed the 23 civilian CFO Act agencies' FISMA reports, agency-reported performance data, past GAO reports, and OMB documentation and guidance. GAO also interviewed agency officials from the 24 CFO Act agencies (i.e., the 23 civilian CFO Act agencies and the Department of Defense). そのためにGAOは、CFO法対象23省庁のFISMAレポート、省庁が報告したパフォーマンスデータ、過去のGAOレポート、OMBの文書とガイダンスをレビューしました。またGAOは、CFO法対象省庁24(CFO法対象省庁23社と国防総省)の省庁担当者にインタビューを行いました。

 

 


FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

 


| | Comments (0)

2022.01.12

デジタル庁 教育データ利活用ロードマップ

こんにちは、丸山満彦です。

デジタル庁が、教育データ利活用ロードマップを公表していますね。。。

まずは、教育現場から紙を無くしましょう。。。というところから始まる感じですかね。。。

 

デジタル庁

・2022.01.07 教育データ利活用ロードマップを策定しました

文書がなく、パワーポイントだけですね。。。

・[PDF] 教育データ利活用ロードマップ(令和4年1月7日デジタル庁、総務省、文部科学省、経済産業省)

20220112-52650

 

ロードマップのポイント① (総論)

・教育のデジタル化のミッションを「誰もが、いつでもどこからでも、誰とでも、自分らしく学べる社会」と掲げ、

・そのためのデータの①スコープ(範囲)②品質③組み合わせ、の充実・拡大という「3つの軸」を設定。

20220112-54552

 

ロードマップのポイント② (各論)

・「ルール」「利活用環境」「連携基盤(ツール)」「データ標準」「インフラ」といったそれぞれの構造に関連する論点や、必要な措置
について整理。

  • 教育データの全体像
  • 調査等のオンライン化・教育データの標準化
  • 教育分野のプラットフォームの在り方
  • 学校・自治体等のデータ利活用環境の整備
  • 教育データ利活用のルール・ポリシー
  • 生涯にわたる学びの環境整備
  • データ連携による支援が必要なこどもへの支援の実現
  • 各自治体において、教育・保育・福祉・医療等のデータを必要に応じて
  • デジタル社会を見据えた教育

20220112-54615

 

ロードマップのポイント③(短期・中期・長期での目指す姿)

・短期(~2022頃)

 ・教育現場を対象にした調査や手続が原則オンライン化
 ・事務等の原則デジタル化など、校務のデジタル化を進め、学校の負担を軽減
 ・インフラ面での阻害要因(例:ネットワーク環境)の解消
 ・教育データの基本項目(例:法令や調査で全国で共通的に取得されている主体情報)が標準化

・中期(~2025頃)

 ・学習者が端末を日常的に使うようになり、教育データ利活用のためのログ収集が可能
 ・内容・活動情報が一定粒度で標準化され、学校・自治体間でのデータ連携が実現
 ・学校・家庭・民間教育間でのそれぞれの学習状況を踏まえた支援が一部実現

・長期(~2030頃)

 ・学習者がPDSを活用して生涯にわたり自らのデータを蓄積・活用できるように
 ・内容・活動情報の更に深い粒度での標準化が実現
 ・支援を必要とするこどもへのプッシュ型の支援が実現
 ・真に「個別最適な学び」と「協働的な学び」が実現

20220112-54634

 

目次

1.教育のデジタル化のミッションビジョン
2.教育データ利活用の現状と目指すべき姿(as isto be
3.教育データの蓄積と流通の将来イメージ
4.教育データの全体像
5.調査等のオンライン化教育データの標準化
6.教育分野のプラットフォームの在り方
7.学校自治体等のデータ利活用環境の整備
8.教育データ利活用のルールポリシー
9.生涯にわたる学びの環境整備
10.データ連携による支援が必要なこどもへの支援の実現
11.デジタル社会を見据えた教育
12.実現に向けた工程表
13.今後の進め方


 

・[PDF] 国民からの意見募集結果・有識者との意見交換について

自治体、教育委員会、大学教授だけでなく、ボストンコンサルティング、グーグル、マイクロソフト等にも意見を聞いているのが興味深いですね。。。

海外の学校の人にも話を聞いたらよかったのに、、、と思ったりはしました。。。

20220112-55559

 

参考

 

● 文部科学省

教育データの利活用に関する有識者会議

 

 

| | Comments (0)

2022.01.09

フランス CNIL Googleに1億5000万ユーロ、Facebookに6000万ユーロの制裁金(ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できないので...)

こんにちは、丸山満彦です。

フランスのCNILが「ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できない」という理由で、Googleに1億5000万ユーロ(約200億円)、Face Bookに6000万ユーロ(80億円弱)の制裁金を課していますね。。。


CNIL

・2022.01.06 Cookies: GOOGLE fined 150 million euros

・2022.01.06 Cookies: FACEBOOK IRELAND LIMITED fined 60 million euros

 

それはそうと、、、

Metaはプライバシーセンターのウェブページを2022.01.07にオープンしていますね。。。

Meta

・2022.01.07 Introducing Privacy Center

ちなみにプライバシーについては、

https://www.facebook.com/privacy/explanation

Cookieについては、、、

https://www.facebook.com/policy/cookies/

Alphabet

 

特に適時開示とか見つからないですね。。。

 

 


 

Cookies: GOOGLE fined 150 million euros Cookie:GOOGLEに1億5000万ユーロの制裁金
On December 31,2021, the CNIL fined GOOGLE a total of 150 million euros (90 million euros for GOOGLE LLC and 60 million euros for GOOGLE IRELAND LIMITED) because users of google.fr and youtube.com can't refuse or accept cookies as easily. 2021年12月31日、CNILは、google.frやyoutube.comのユーザーがCookieを簡単に拒否したり受け入れたりできないことを理由に、GOOGLEに総額1億5000万ユーロ(GOOGLE LLCに9000万ユーロ、GOOGLE IRELAND LIMITEDに6000万ユーロ)の制裁金を科しました。
Failure to comply with the French Data Protection Act フランス・データ保護法違反
The CNIL has received many complaints about the way cookies can be refused on the websites google.fr and youtube.com. In June 2021, the CNIL carried out an online investigation on these websites and found that, while they offer a button allowing immediate acceptance of cookies, the sites do not implement an equivalent solution (button or other) enabling the user to refuse the deposit of cookies equally easily. Several clicks are required to refuse all cookies, against a single one to accept them. CNILは、google.frとyoutube.comのウェブサイトでCookieを拒否する方法について多くの苦情を受けました。2021年6月、CNILはこれらのウェブサイトをオンラインで調査した結果、これらのサイトでは、Cookieを直ちに受け入れるボタンを提供しているものの、ユーザーが同じように簡単にCookieの受け入れを拒否できる同等のソリューション(ボタン等)を実装していないことがわかりました。すべてのCookieを拒否するには数回のクリックが必要ですが、Cookieを受け入れるには1回のクリックで済みます。
The restricted committee, the CNIL body in charge of issuing sanctions, judged that making the refusal mechanism more complex actually discourages users from refusing cookies and encourages them to opt for the ease of the "I accept" button. 制裁を担当するCNILの機関である制限委員会は、拒否の仕組みをより複雑にすることは、実際にはユーザーがCookieを拒否することを躊躇させ、「受け入れる」ボタンの容易さを選択することを促すと判断しました。
The restricted committee considered that this process affects the freedom of consent of Internet users and constitutes an infringement of Article 82 of the French Data Protection Act, since it is not as easy to refuse cookies as to accept them. 制限委員会は、Cookieを拒否することは受け入れることほど容易ではないことから、このプロセスはインターネットユーザーの同意の自由に影響を与え、フランスのデータ保護法第82条の侵害を構成すると考えました。
The sanctions 制裁措置
The CNIL's restricted committee fined GOOGLE LLC 90 million euros and GOOGLE IRELAND LIMITED 60 million euros, both of which were made public. CNILの制限委員会は、GOOGLE LLCに9,000万ユーロ、GOOGLE IRELAND LIMITEDに6,000万ユーロの制裁金を科し、その金額を公表しました。
It justified these amounts in particular by the number of people affected and the considerable profits that the companies make from advertising revenues indirectly generated from the data collected by cookies. 制限委員会は、特に影響を受けた人々の数と、Cookieによって収集されたデータから間接的に得られる広告収入から両社が得ている利益を鑑みて、これらの金額を正当なものと考えています。
The restricted committee also noted that the CNIL services had already, in February 2021, drawn the attention of the GOOGLE companies to this infringement. It also recalled that the CNIL had communicated on numerous occasions that it should be as easy to refuse cookies as to accept them. また、制限委員会は、CNILのサービスが2021年2月にすでにこの侵害についてグーグル社に注意を促していたことを指摘しました。また、CNILは、Cookieを受け入れるのと同様に、Cookieを拒否するのも簡単であるべきだと何度も伝えていたことも思い出しました。
In addition to the administrative fines, the restricted committee also issued an injunction with periodic penalty payments requiring that the companies provide Internet users located in France, within three months of the notification of the decision, with a means of refusing cookies that is as simple as the existing means of accepting them, in order to guarantee their freedom of consent. Otherwise, the companies may pay a penalty of 100,000 euros per day of delay. 行政処分に加えて、制限委員会は、両社がフランスに所在するインターネットユーザーに対し、同意の自由を保証するために、決定の通知から3ヶ月以内に、既存の受け入れ手段と同等の簡単な方法でクッキーを拒否する手段を提供することを義務付ける定期的な違約金支払いを伴う差止命令を出しました。従わなければ、両社は遅延1日につき10万ユーロの違約金を支払わなければならないでしょう。
Jurisdiction of the CNIL CNILの管轄権
The CNIL is materially competent to verify and sanction operations related to cookies deposited by companies on the terminals of Internet users located in France. The cooperation mechanism provided for by the GDPR (the "one-stop-shop" procedure) is not intended to apply in these procedures insofar as operations related to the use of cookies fall within the scope of the " ePrivacy " directive, transposed in Article 82 of the French Data Protection Act.  CNILは、両社がフランス国内のインターネットユーザーの端末に保存したクッキーに関連する業務を検証し、制裁する実質的な権限を有しています。クッキーの使用に関連する業務が、フランスのデータ保護法第82条に移された「ePrivacy」指令の範囲内である限り、GDPRで規定されている協力メカニズム(「ワンストップショップ」手続き)は、これらの手続きには適用されないことになっています。
The restricted committee considered that the CNIL is also territorially competent pursuant to Article 3 of the French Data Protection Act because the use of cookies is carried out within the "framework of the activities" of GOOGLE FRANCE, which constitutes the "establishment" of GOOGLE LLC and GOOGLE IRELAND LIMITED on French territory. また、制限付き委員会は、クッキーの使用が、GOOGLE LLCとGOOGLE IRELAND LIMITEDのフランス領土での「設立」を構成するGOOGLE FRANCEの「活動の枠組み」内で行われているため、CNILはフランスデータ保護法第3条に基づいて領土的に管轄権を有すると考えました。
It also considered that they are jointly responsible since they both determine the purposes and means of using cookies. また、Cookieを使用する目的と手段を決定するのは両者であるため、共同で責任を負うものと考えられます。
Note: GOOGLE LLC, based in California, develops the search engine Google Search and YouTube. GOOGLE IRELAND LIMITED, with its head office located in Ireland, presents itself as the European head office of the Google group. The company GOOGLE FRANCE is the establishment in France of the company GOOGLE LLC. 注)GOOGLE LLCは、カリフォルニア州に本社を置き、検索エンジン「Google Search」や「YouTube」を開発しています。GOOGLE IRELAND LIMITEDは、アイルランドに本社を置き、Googleグループの欧州本社として活動しています。GOOGLE FRANCEは、GOOGLE LLCがフランスに設立した会社です。
Texte reference 参考資料
The decision (in French - English version to be published soon) 判決文(フランス語-英語版は近日中に公開予定)
> Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED - Légifrance  > Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED - Légifrance 
Texte reference 参考資料
Read more 続きを読む
> The steps of the CNIL's law enforcement process  > CNILの法執行プロセスのステップ 
> The sanctions procedure  > 制裁手続き 
> Cookies: the CNIL fines GOOGLE a total of 150 million euros and FACEBOOK 60 million euros for non-compliance with French legislation  > Cookie:CNILは、フランスの法律を遵守していないとして、GOOGLEに総額1億5000万ユーロ、FACEBOOKに6000万ユーロの制裁金を科します。
> [FR] Cookies : la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros  Cookie:CNILがGOOGLEに1億5000万ユーロの制裁金

 

 

 

Cookies: FACEBOOK IRELAND LIMITED fined 60 million euros Cookies:FACEBOOK IRELAND LIMITEDに6,000万ユーロの制裁金
On December 31, 2021, the restricted committee of the CNIL fined the company FACEBOOK IRELAND LIMITED 60 million euros because the users of the social network facebook.com residing in France can't refuse cookies as easily as to accept them. 2021年12月31日、CNILの制限委員会は、フランスに居住するソーシャルネットワークfacebook.comのユーザがCookieを受け入れることを簡単に拒否できないことを理由に、FACEBOOK IRELAND LIMITED社に6,000万ユーロの制裁金を科しました。
Failure to comply with the French Data Protection Act フランス・データ保護法違反
The CNIL has received many complaints reporting the way they can refuse cookies on the website facebook.com. CNILは、facebook.comのウェブサイトでCookieを拒否する方法について多くの苦情を受けています。
In April 2021, the CNIL conducted an online investigation on this website and found that, while it offers a button to immediately accept cookies, it does not offer an equivalent solution (button or other) enabling the user to refuse the deposit of cookies as easily. Several clicks are required to refuse all cookies, as opposed to a single one to accept them. The CNIL also noted that the button allowing the user to refuse cookies is located at the bottom of the second window and is entitled "Accept cookies". 2021年4月、CNILがこのウェブサイトについてオンライン調査を行ったところ、Cookieを直ちに受け入れるボタンを提供しているものの、ユーザーがCookieの受け入れを拒否できる同等のソリューション(ボタン等)を提供していないことがわかりました。すべてのCookieを拒否するためには数回のクリックが必要ですが、Cookieを受け入れるためには1回のクリックで済みます。また、CNILは、ユーザーがCookieを拒否できるボタンが2つ目のウィンドウの下部にあり、タイトルが「Accept cookies」であることも指摘しています。
The restricted committee, the CNIL body responsible for issuing sanctions, noted that making the refusal mechanism more complex actually discourages users from refusing cookies and encourages them to opt for the ease of the consent button for cookies in the first window. It considered that such a process affects the freedom of consent of Internet users. 制裁を担当するCNILの機関である制限委員会は、拒否の仕組みをより複雑にすることは、実際にはユーザーがCookieを拒否することを躊躇させ、最初のウィンドウにあるCookieへの同意ボタンの容易さを選択することを促すと指摘しました。このようなプロセスは、インターネットユーザーの同意の自由に影響すると考えました。
The restricted committee also considered that the information given by the company is not clear since, in order to refuse the deposit of cookies, Internet users must click on a button entitled "Accept cookies", displayed in the second window. It considered that such a title necessarily generates confusion and that the user may have the feeling that it is not possible to refuse the deposit of cookies and that they have no way to manage it. また、制限委員会は、Cookieの預託を拒否するためには、インターネット・ユーザーは、2番目のウィンドウに表示された「Cookieを受け入れる」というタイトルのボタンをクリックしなければならないため、会社が提供する情報は明確ではないと考えました。このようなタイトルは必然的に混乱を招き、ユーザーは、Cookieの保存を拒否することはできず、管理する方法がないという印象を持つ可能性があると考えました。
The restricted committee judged that the methods of collecting consent proposed to users, as well as the lack of clarity of information provided to them, constitute violations of Article 82 of the French Data Protection Act. 制限委員会は、ユーザーに提案された同意の収集方法と、ユーザーに提供された情報が明確でないことが、フランスのデータ保護法第82条の違反にあたると判断しました。
The sanctions 制裁措置
The restricted committee fined FACEBOOK IRELAND LIMITED 60 million euros and made it public. 制限委員会は、FACEBOOK IRELAND LIMITEDに6,000万ユーロの制裁金を科し、その金額を公表しました。
It justified this amount by the scope of the processing, the number of data subjects concerned and the considerable profits the company makes from advertising revenues indirectly generated from the data collected by the cookies. 制限委員会は、処理の範囲、関係するデータ対象者の数、およびCookieによって収集されたデータから間接的に得られる広告収入から同社が得ている利益を鑑みて、この金額を正当なものと考えています。
In addition to the administrative fine, the restricted committee also issued an injunction with periodic penalty payment requiring that the company provides Internet users located in France, within three months of the notification of the decision, with a means of refusing cookies that is as simple as the existing means of accepting them, in order to guarantee the freedom of their consent. Otherwise, the company may pay a penalty of 100,000 euros per day of delay. 行政処分に加えて、制限委員会は、同社がフランスに所在するインターネットユーザーに対し、同意の自由を保証するために、決定の通知から3ヶ月以内に、既存の受け入れ手段と同等の簡単な方法でクッキーを拒否する手段を提供することを義務付ける定期的な違約金支払いを伴う差止命令を出しました。従わなければ、同社は遅延1日につき10万ユーロの違約金を支払わなければならないでしょう。
Jurisdiction of the CNIL CNILの管轄権
The CNIL is materially competent to verify and sanction operations related to cookies deposited by the company on the terminals of Internet users located in France. The cooperation mechanism provided for by the GDPR (the "one-stop shop" procedure) is not intended to apply in these procedures insofar as the operations related to the use of cookies fall within the scope of the "ePrivacy" directive, transposed in article 82 of the French Data Protection Act.  CNILは、同社がフランス国内のインターネットユーザーの端末に保存したクッキーに関連する業務を検証し、制裁する実質的な権限を有しています。クッキーの使用に関連する業務が、フランスのデータ保護法第82条に移された「ePrivacy」指令の範囲内である限り、GDPRで規定されている協力メカニズム(「ワンストップショップ」手続き)は、これらの手続きには適用されないことになっています。
The restricted committee considered that the CNIL is also territorially competent pursuant to Article 3 of the French Data Protection Act because the use of cookies is carried out within the "framework of the activities" of the company FACEBOOK FRANCE, which constitutes the "establishment" of the Facebook group on French territory. また、制限委員会は、クッキーの使用が、Facebookグループのフランス領土での「設立」を構成するFACEBOOK FRANCEの「活動の枠組み」内で行われているため、CNILはフランスデータ保護法第3条に基づいて領土的に管轄権を有すると考えました。
Note: The company FACEBOOK IRELAND LIMITED, whose head office is in Ireland, presents itself as the data controller of the Facebook service in the European region. The company FACEBOOK FRANCE is the establishment in France of the Facebook group. 注:アイルランドに本社を置くFACEBOOK IRELAND LIMITED社は、ヨーロッパ地域におけるFacebookサービスのデータ管理者であることを表明しています。FACEBOOK FRANCE社は、フランスにおけるFacebookグループの設立者です。
Texte reference 参考資料
The decision (in French - English version to be published soon) 判決文(フランス語-英語版は近日中に公開予定)
> Délibération de la formation restreinte n°SAN-2021-024 du 31décembre 2021 concernant la société FACEBOOK IRELAND LIMITED - Légifrance  > FACEBOOK IRELAND LIMITEDという会社に関する2021年12月31日付のDélibération de la formation restreinte n°SAN-2021-024 - Légifrance 
Texte reference 参考資料
Read more 続きを読む
> The steps of the CNIL's law enforcement process  > CNILの法執行プロセスのステップ 
> The sanctions procedure  > 制裁の手順 
> [FR] Cookies : sanction de 60 millions d’euros à l’encontre de FACEBOOK IRELAND LIMITED  > [FR] Cookie : FACEBOOK IRELAND LIMITEDへの6,000万ユーロの制裁金 

 

 

Cnil_logolarge

| | Comments (0)

より以前の記事一覧