個人情報保護 / プライバシー

2025.06.16

欧州 EDPB GDPR第48条(EU法によって認められない移転又は開示)についてのガイドライン バージョン2.0 (2025.06.04)

こんにちは、丸山満彦です。

GDPR第48条(EU 法によって認められない移転又は開示)についてのガイドラインが採択されましたね...

AI とデータ保護に関する 専門家支援プール(SPE)研修資料も公開されているようです...

また、GDPR に基づく記録保持義務の簡素化に関する提案草案について、欧州委員会が EDPB と EDPS に共同意見の提出を要請したことについて議論したようですね...

 

EDPB

・2025.06.05 EDPB、第三国当局へのデータ転送に関するガイドラインの最終版、および AI とデータ保護に関する SPE 研修資料を公開

EDPB publishes final version of guidelines on data transfers to third country authorities and SPE training material on AI and data protection EDPB、第三国当局へのデータ転送に関するガイドラインの最終版、および AI とデータ保護に関する SPE 研修資料を公開
Brussels, 05 June - During its latest plenary, the European Data Protection Board (EDPB) adopted the final version of its guidelines on Art.48 GDPR about data transfers to third country authorities, after public consultation. In addition, the Board presented two new Support Pool of Experts (SPE) projects providing training material on artificial intelligence and data protection. Finally, the Board discussed the European Commission’s request for a joint EDPB-EDPS opinion on the draft proposal on the simplification of record-keeping obligation under the GDPR 6 月 5 日、ブリュッセル - 欧州データ保護会議 (EDPB) は、最新の総会において、公開協議を経て、第三国当局へのデータ転送に関する GDPR 第 48 条に関するガイドラインの最終版を採択した。さらに、人工知能とデータ保護に関する研修資料を提供する 2 つの新しい専門家支援プール(SPE)プロジェクトも発表した。最後に、EDPB は、GDPR に基づく記録保持義務の簡素化に関する提案草案について、欧州委員会が EDPB と EDPS に共同意見の提出を要請したことについて議論した。
Data transfers to third country authorities  第三国当局へのデータ転送
Following public consultation, the EDPB has adopted the final version of the guidelines on data transfers to third country authorities. In its guidelines, the EDPB zooms in on Art. 48 GDPR and clarifies how organisations can best assess under which conditions they can lawfully respond to requests for a transfer of personal data from third country authorities (i.e. authorities from non-European countries). 公開協議を経て、EDPB は、第三国当局へのデータ転送に関するガイドラインの最終版を採択した。このガイドラインでは、GDPR 第 48 条に焦点を当て、組織が、第三国当局(すなわち、欧州以外の国の当局)からの個人データの転送要求に合法的に対応できる条件をどのように評価するのが最善かを明確にしている。
The EDPB explains that judgements or decisions from third country authorities cannot automatically be recognised or enforced in Europe. As a general rule, an international agreement may provide for both a legal basis and a ground for transfer. In case there is no international agreement, or if the agreement does not provide for an appropriate legal basis or safeguards, other legal bases or other grounds for transfer could be considered, in exceptional circumstances and on a case by case basis. EDPB は、第三国の当局による判断や決定は、欧州では自動的に承認または執行されるものではないと説明している。原則として、国際協定は、転送の法的根拠と理由の両方を規定することができる。国際協定がない場合、または協定が適切な法的根拠や保護措置を規定していない場合、例外的な状況において、ケースバイケースで、他の法的根拠または転送の理由を検討することができる。
The modifications introduced in the updated guidelines do not change their orientation, but they aim to provide further clarifications on different aspects that were brought up in the consultation. For example, the updated guidelines address the situation where the recipient of a request is a processor. In addition, they provide additional details regarding the situation where a mother company in a third country receives a request from that third country authority and then requests the personal data from its subsidiary in Europe.  更新されたガイドラインで導入された変更は、その方向性を変更するものではありませんが、協議で指摘されたさまざまな側面について、さらに明確化を図ることを目的としています。例えば、更新されたガイドラインでは、要求の取得者が処理者である場合について取り上げています。さらに、第三国の親会社が、その第三国の当局から要求を受け、欧州の子会社に個人データの提供を要求する場合について、詳細を追加しています。
Upskilling and reskilling on AI and data protection AI およびデータ保護に関するスキルアップと再教育
During its June’s plenary, the EDPB also presented two new Support Pool of Experts (SPE) projects*: Law & Compliance in AI Security and Data Protection and Fundamentals of Secure AI Systems with Personal Data. The two projects, which have been launched at the request of the Hellenic Data Protection Authority (HDPA), provide training material on AI and data protection. 6 月の総会で、EDPB は 2 つの新しい専門家サポートプール (SPE) プロジェクト*、すなわち「AI セキュリティおよびデータ保護に関する法律とコンプライアンス」と「個人データを含むセキュアな AI システムの基礎」も発表した。ギリシャデータ保護機関 (HDPA) の要請を受けて開始されたこの 2 つのプロジェクトは、AI およびデータ保護に関する研修資料を提供する。
The report “Law & Compliance in AI Security & Data Protection” is addressed to professionals with a legal focus like data protection officers (DPO) or privacy professionals. 報告書「AI セキュリティとデータ保護における法律とコンプライアンス」は、データ保護責任者(DPO)やプライバシーの専門家など、法律に重点を置く専門家を対象としている。
The second report, “Fundamentals of Secure AI Systems with Personal Data”, is oriented toward professionals with a technical focus like cybersecurity professionals, developers or deployers of high-risk AI systems. 2 つ目の報告書「個人データを含むセキュアな AI システムの基礎」は、サイバーセキュリティの専門家、開発者、高リスク AI システムの展開者など、技術に重点を置く専門家を対象としている。
The main aim of these projects is to address the critical shortage of skills on AI and data protection, which is seen as a key obstacle to the use of privacy-friendly AI. The training material will help equip professionals with essential competences in AI and data protection to create a more favourable environment for the enforcement of data protection legislation. これらのプロジェクトの主な目的は、プライバシーに配慮した AI の利用の重大な障害となっている AI およびデータ保護に関するスキルの深刻な不足に対処することだ。この研修資料は、専門家が AI およびデータ保護に関する基本的な能力を身につけ、データ保護法の施行のためのより好ましい環境を構築するのに役立つ。
The Board decided to publish both documents as PDF files. Taking into account the very fast evolution of AI, the EDPB also decided to launch a new innovative initiative as a one-year pilot project consisting of a modifiable community version of the reports. The EDPB will start working with the authors of both reports to import them in its Git repository** to allow, in a near future, any external contributor, with an account on this platform and under the condition of the Creative Commons Attribution-ShareAlike license, to propose changes or add comments to the documents. 委員会は、両文書をPDFファイルとして公開することを決定した。AIの急速な進化を踏まえ、EDPBは、報告書の変更可能なコミュニティ版を含む1年間のパイロットプロジェクトとして、新たな革新的なイニシアチブを立ち上げることも決定した。EDPB は、両報告書の作成者と協力し、これらの報告書を Git リポジトリ** に導入する作業を開始する。これにより、近い将来、このプラットフォームにアカウントを持ち、クリエイティブ・コモンズ・アトリビューション・シェアアライク・ライセンスに同意した外部貢献者は、文書に変更を提案したり、コメントを追加したりすることができるようになる。
Simplification of record-keeping obligation under the GDPR *** GDPR に基づく記録保持義務の簡素化 ***
Finally, the Board discussed the European Commission's request for a joint opinion by the EDPB and the European Data Protection Supervisor (EDPS) on its proposal to simplify the record-keeping obligations of small and medium-sized enterprises (SMEs), small mid-caps (SMCs) and organisations with fewer than 750 employees, amounting to a targeted amendment of Art. 30(5) GDPR. The EDPB and EDPS will issue their joint opinion on this matter within eight weeks.  最後に、委員会は、中小企業(SME)、小規模中堅企業(SMC)、および従業員 750 人未満の組織に対する記録保持義務を簡素化するための欧州委員会による提案について、EDPB および欧州データ保護監察機関(EDPS)による共同意見の提出を求める欧州委員会の要請について議論した。この提案は、GDPR 第 30 条(5)の改正を目的としたものである。EDPB および EDPS は、この件に関する共同意見書を 8 週間以内に発表する予定だ。
Note to editors: 編集後記
* The Support Pool of Experts (SPE) is an initiative included in the EDPB strategy 2024-2027 to help Data Protection Authorities (DPAs) increase their capacity to enforce by developing common tools and giving them access to a wide pool of experts.   * 専門家支援プール(SPE)は、データ保護機関(DPA)が共通ツールを開発し、幅広い専門家プールへのアクセスを提供することで、執行能力の強化を支援するための EDPB 戦略 2024-2027 に含まれる取り組みだ。
As part of the SPE programme, the EDPB may commission experts to provide reports and tools on specific topics. The views expressed in the deliverables are those of their authors and they do not necessarily reflect the official position of the EDPB. SPE プログラムの一環として、EDPB は、特定のトピックに関する報告書やツールの提供を専門家に委託することができる。成果物に記載された見解は、その著者の見解であり、EDPB の公式見解を必ずしも反映するものではない。
** The reports will be available in the following months on the repository page. ** 報告書は、今後数ヶ月以内にリポジトリページで公開される予定だ。
****On 8 May 2025, the EDPB and the EDPS adopted a letter, addressed to the European Commission, to share preliminary views on the Commission’s proposal on the simplification of record-keeping obligation under the GDPR. ***2025年5月8日、EDPBとEDPSは、欧州委員会宛ての書簡を採択し、GDPRに基づく記録保持義務の簡素化に関する欧州委員会の提案に関する予備的な見解を共有した。

 

・[PDF

20250615-172742

・[DOCX][PDF] 仮訳

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
Article 48 GDPR provides that: “Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter”.  GDPR第48条は次のように規定している:「個人データの移転または開示を管理者または処理者に要求する裁判所または法廷の判決および第三国の行政当局の決定は、本章に基づくその他の移転理由を害することなく、要求元の第三国とEUまたは加盟国との間で有効な相互法的支援条約などの国際協定に基づく場合にのみ、いかなる方法においても承認または執行可能である。 
The purpose of these guidelines is to clarify the rationale and objective of this article, including its interaction with the other provisions of Chapter V of the GDPR, and to provide practical recommendations for controllers and processors in the EU that may receive requests from third country authorities to disclose or transfer personal data.   本ガイドラインの目的は、GDPR第5章の他の規定との相互関係を含め、本条項の根拠と目的を明確にし、第三国当局から個人データの開示または移転の要請を受ける可能性のあるEU内の管理者および処理者に対し、実践的な勧告を提供することである。  
The main objective of the provision is to clarify that judgments or decisions from third country authorities cannot automatically and directly be recognised or enforced in an EU Member State, thus underlining the legal sovereignty vis-a-vis third country law. As a general rule, recognition and enforceability of foreign judgements and decisions is ensured by applicable international agreements.  この規定の主な目的は、第三国当局の判決や決定がEU加盟国において自動的かつ直接的に承認または執行されることはないことを明確にすることであり、これにより第三国法に対する法的主権が強調される。原則として、外国の判決や決定の承認と執行可能性は、適用される国際協定によって確保される。 
Regardless of whether an applicable international agreement exists, if a controller or processor in the EU receives and answers a request from a third country authority for personal data, such data flow is a transfer under the GDPR and must comply with Article 6 and the provisions of Chapter V.   適用される国際協定が存在するか否かにかかわらず、EU内の管理者または処理者が第三国の当局から個人データの要請を受け、それに回答する場合、そのようなデータの流れはGDPRに基づく移転であり、第6条および第5章の規定を遵守しなければならない。  
An international agreement may provide for both a legal basis (under Article 6(1)(c) or 6(1)(e)) and a ground for transfer (under Article 46(2)(a)).   国際協定は、法的根拠(第6条1項(c)又は第6条1項(e)に基づく)と移転の根拠(第46条2項(a)に基づく)の両方を規定することができる。  
In the absence of an international agreement, or if the agreement does not provide for a legal basis under Article 6(1)(c) or 6(1)(e), other legal bases could be considered. Similarly, if there is no international agreement or the agreement does not provide for appropriate safeguards under Article 46(2)(a), other grounds for transfer could apply, including the derogations in Article 49.  国際協定がない場合、又は協定が第6条(1)(c)若しくは第6条(1)(e)に基づく法的根拠を規定していない場合には、他の法的根拠を検討することができる。同様に、国際協定がない場合、または協定が第46条(2)(a)に基づく適切なセーフガードを規定していない場合、第49条の適用除外を含め、他の移転理由が適用される可能性がある。   

 

目次...

1. INTRODUCTION 1. はじめに
2. WHAT IS THE SCOPE OF THESE GUIDELINES? 2. このガイドラインの適用範囲はどこまでか?
3. WHAT IS THE OBJECTIVE OF ARTICLE 48? 3. 第48条の目的は何か?
4. IN WHICH SITUATIONS IS ARTICLE 48 APPLICABLE? 4. 第48条はどのような場合に適用されるのか?
5. UNDER WHICH CONDITIONS CAN CONTROLLERS AND PROCESSORS RESPOND TO REQUESTS FROM THIRD COUNTRY AUTHORITIES? 5. 管理者と処理者は、どのような条件下で第三国当局からの要請に応じることができるのか?
5.1. Compliance with Article 6 GDPR 5.1. GDPR第6条への対応
5.2. Compliance with Chapter V GDPR 5.2. GDPR第5章への対応
Annex – Practical steps 附属書 - 実践的なステップ

 


個人情報保護委員会

・[PDF] 一般データ保護規則(GDPR)の条文

移転の一般原則...第44条

Article 44 General principle for transfers 第44 条 移転に関する一般原則
Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined. 現に取扱われている又は第三国又は国際機関への移転の後に取扱いを意図した個人データ移転は、その第三国又は国際機関か別の第三国又は国際機関への個人データの転送に関するものを含め、本規則の他の条項に従い、本章に定める要件が管理者及び処理者によって遵守される場合においてのみ、行われる。本章の全ての条項は、本規則によって保証される自然人保護のレベルが低下しないことを確保するために適用される。

 

第48条

Article 48 Transfers or disclosures not authorised by Union law 第48 条 EU 法によって認められない移転又は開示
Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter. 管理者又は処理者に対して個人データの移転又は開示を命ずる第三国の裁判所若しくは法廷の判決及び公的機関の決定は、本章による移転のための別の法的根拠を妨げることなく、いかなる態様によるにせよ、司法共助条約のような要請元である第三国と EU 又は加盟国との間で有効な国際合意に基づく場合においてのみ、認められるか又は執行力を有することができる。

 

ちなみに、日欧間、日英間については、同等性の認定をうけていますので、日欧の間のデータ移転については、EU国内での移転と同様におこなえることになっていますよね...

日EU間・日英間のデータ越境移転について

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.07 欧州 EDPB 第三国当局へのデータ移転に関するGDPR第48条に関するガイドラインを発表し、新しい欧州データ保護シールを承認

 

| | Comments (0)

2025.06.10

米国 NIST SP 800-18 Rev.2(初公開ドラフト) システムのセキュリティ、プライバシー、サイバーセキュリティ・サプライチェーン・リスクマネジメント計画の策定 (2025.06.04)

こんにちは、丸山満彦です。

1998年12月に初版が発行され、2006年2月に改訂されたNISTのSP800-18 Rev.1 連邦情報システムのためのセキュリティ計画策定ガイドの改訂版案が公表されていますね...

NISTのリスクマネジメント・フレームワーク (RMF) の理解が前提となっていますね...

ということもあって、現在の版が情報システムのセキュリティであったのが、改定案では、プライバシーとサイバーセキュリティ・サプライチェーン・リスクマネジメントも対象に含まれることになっていますね...

現在の版は、IPAから[PDF]日本語仮訳版が公表されているので、参考にするとよいと思います...

ちなみにNIST RMFに関連するNISTのプロジェクトは次のとおり...

 

NIST - ITL

・2025.06.04 NIST SP 800-18 Rev. 2 (Initial Public Draft) Developing Security, Privacy, and Cybersecurity Supply Chain Risk Management Plans for Systems

 

NIST SP 800-18 Rev. 2 (Initial Public Draft) Developing Security, Privacy, and Cybersecurity Supply Chain Risk Management Plans for Systems NIST SP 800-18 Rev.2(初公開ドラフト) システムのセキュリティ、プライバシー、サイバーセキュリティ サプライチェーンリスクマネジメント計画の策定
Announcement 発表
The system security plan, system privacy plan, and cybersecurity supply chain risk management plan–collectively referred to as system plans– consolidate information about the assets and individuals being protected within an authorization boundary and its interconnected systems. System plans serve as a centralized point of reference for information about the system and tracking risk management decisions to include data being created, collected, disseminated, used, stored, and disposed; individuals responsible for system risk management efforts; details about the environment of operation, system components, and data flows internally and externally; and controls in planned and in place to manage risk. システムセキュリティプラン、システムプライバシプラン、サイバーセキュリティ・サプライチェーン・リスクマネジメントプランは、総称してシステムプランと呼ばれ、認可バウンダリとその相互接続システム内で保護される資産と個人に関する情報を統合する。システム計画は、作成、収集、普及、使用、保存、廃棄されるデータ、システムリスクマネジメントの取り組みの責任者、運用環境、システム構成要素、内部および外部へのデータの流れに関する詳細、リスクマネジメントのために計画され実施されている管理策など、システムに関する情報およびリスクマネジメントの意思決定を追跡するための一元的な参照ポイントとして機能する。
NIST Special Publication 800-18r2 focuses on the development of system plans that address system-level security, privacy, and CSCRM requirements that may derive from enterprise, organization, and mission/business process requirements. NIST 特別刊行物 800-18r2 は、エンタープライズ、組織、及びミッション/ビジネスプロセスの要件に由来するシステムレベルのセキュリティ、プライバシー、及び CSCRM の要件に対応するシステム計画の策定に焦点を当てている。
The major changes for this revision include: この改訂の主な変更点は以下のとおりである:
・Expanded guidance to address the development of system plans within the context of the NIST Risk Management Framework, the NIST Privacy Framework, and NIST SP 800-161r1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. ・NIST リスクマネジメントフレームワーク、NIST プライバシーフレームワーク、及び NIST SP 800-161r1「システム及び組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践」の文脈におけるシステム計画の策定に対処するためのガイダンスの拡充。
・Insights into the development of a consolidated system plan that encompasses security, privacy, and cybersecurity supply chain risk management plan elements. ・セキュリティ、プライバシー、及びサイバーセキュリティのサプライチェーンリスクマネジメント計画の要素を包含する統合システム計画の策定についての洞察。
・Updated descriptions of system plan elements, with considerations for security, privacy, and cybersecurity supply chain risk management requirements. ・セキュリティ、プライバシー及びサイバーセキュリティサプライチェーンリスクマネジメント要件に配慮したシステム計画要素の説明を更新した。
・Considerations for automating the development and maintenance of system plans using information management tools, such as governance, risk, and compliance (GRC) applications. ・ガバナンス・リスク・コンプライアンス(GRC)アプリケーションなどの情報マネジメントツールを用いたシステム計画の策定及び保守の自動化に関する考察。
Supplemental materials include system plan example outlines; updated roles and responsibilities associated with system plan development. 補足資料には、システム計画例の概要、システム計画策定に関連する役割と責任の更新などが含まれる。
The public comment period is open through July 30, 2025. We encourage you to use this comment template and email it to [mail]
.
パブリックコメント期間は2025年7月30日までである。このコメントテンプレートを使用し、[mail]
まで電子メールで送付されることを推奨する。
Abstract 要旨
The system security plan, system privacy plan, and cybersecurity supply chain risk management plan are collectively referred to as system plans. They describe the purpose of the system, the operational status of the controls selected and allocated for meeting risk management requirements, and the responsibilities and expected behavior of all individuals who manage, support, and access the system. This publication identifies essential elements of system plans from security, privacy, and cybersecurity supply chain risk management perspectives to promote consistent information collection across the organization, regardless of the system’s mission or business function. システムセキュリティプラン、システムプライバシープラン、サイバーセキュリティサプライチェーンリスクマネジメントプランを総称してシステムプランと呼ぶ。これらは、システムの目的、リスクマネジメント要件を満たすために選択され、割り当てられた管理 の運用状況、システムを管理、サポート、アクセスするすべての個人の責任と期待される行動を記述する。本書では、セキュリティ、プライバシー、サイバーセキュリティのサプライチェーンリスクマネジメントの観点から、システム計画に不可欠な要素を特定し、システムのミッションや業務機能に関係なく、組織全体で一貫した情報収集を促進する。
   
Supplemental Content  補足コンテンツ 
The following materials are available on the publication details page to supplement the guidance provided in this publication:  本書で提供されるガイダンスを補足するために、出版物の詳細ページで以下の資料を入手できる: 
・System Security Plan outline example  ・システム・セキュリティ計画の概要例 
・System Privacy Plan outline example  ・システム・プライバシー計画の概要例 
・Cybersecurity Supply Chain Risk Management System Plan outline example  ・サイバーセキュリティ サプライチェーンリスクマネジメントシステム計画の概要例 
・System Plan Roles and Responsibilities  ・システム計画の役割と対応計画 
Audience  想定読者
This publication is intended to serve a diverse audience, including:  本書は、以下を含む多様な読者を対象としている: 
・Individuals with information security, privacy, and risk management program oversight responsibilities (e.g., authorizing officials, senior agency information security officers, senior agency officials for privacy)  ・情報セキュリティ、プライバシー及びリスクマネジメントプログラムの監督責任を有する個人 (例えば、認可担当者、上級機関の情報セキュリティ担当者、プライバシー担当の上級機関職員) ・システム開発責任を有する個人 
・Individuals with system development responsibilities (e.g., mission or business owners, program managers, systems engineers, systems security engineers, systems privacy engineers, software developers, systems integrators, acquisition or procurement officials)  ・システム開発に責任を有する個人(例えば、ミッション又はビジネスオーナー、プログラ ムマネージャー、システムエンジニア、システムセキュリティエンジニア、システムプライバシエンジニア、ソフトウ ェア開発者、システムインテグレーター、取得又は調達担当者) 
・Individuals with system security and privacy implementation and operations responsibilities (e.g., mission or business owners, system owners, information owners or stewards, system administrators, system security officers, system privacy officers)  ・システムセキュリティ及びプライバシーの実装と運用を担当する個人 (例えば、ミッション又はビジネスオーナー、システムオーナー、情報オーナ ー又はスチュワード、システム管理者、システムセキュリティオフィサー、シ ステムプライバシーオフィサー) 
・Individuals with cybersecurity supply chain risk management-related responsibilities (e.g., C-SCRM program managers)  ・サイバーセキュリティサプライチェーンリスクマネジメントに関連する責任を有する個人(例: C-SCRM プログラムマネージャ) 
・Individuals with acquisition and procurement-related responsibilities (e.g., acquisition officials, contracting officers)  ・取得及び調達に関連する責任を有する個人(例:取得担当者、契約担当者) 
・Individuals with logistical or disposition-related responsibilities (e.g., program managers, system integrators, property managers)  ・後方支援または処分に関連する責任を有する個人 (例:プログラムマネージャー、システム インテグレーター、資産管理者) 
・Individuals with control assessment and monitoring responsibilities (e.g., auditors, Inspectors General, system evaluators, control assessors, independent verifiers and validators, analysts)  ・管理評価及び監視に責任を持つ個人(例:監査人、監察官、システム評価者、管理評価者、独立検証者及び妥当性確認者、分析者) 
・Commercial entities and industry partners that produce component products and systems, create security and privacy technologies, or provide services or capabilities that support information security or privacy  ・コンポーネント製品やシステムを製造し、セキュリティ技術やプライバシー技術を開発し、 情報セキュリティやプライバシーを支援するサービスや機能を提供する営利事業体や業界 パートナー 
The material presented in this publication assumes that the audience has a basic understanding of the NIST Risk Management Framework (RMF).  本書に記載されている内容は、読者がNISTリスクマネジメントフレームワーク(RMF)の基本的な理解を持っていることを前提としている。
Note to Reviewers  査読者への注記 
NIST welcomes feedback on the quality of the draft revision of this publication, including the technical accuracy of the material presented, the ease of navigating and understanding the material, and the impacts of the added, modified, and removed content.  NISTは、提示された資料の技術的な正確さ、資料のナビゲーションや理解のしやすさ、追加・修正・削除された内容の影響など、本書の改訂ドラフトの品質に関するフィードバックを歓迎する。
This updated guidance for the development of system plans is intended to support:  システム計画策定のためのこの最新ガイダンスは、以下を支援することを意図している: 
・The development and maintenance of system plans following the NIST RMF  ・NIST RMFに従ったシステム計画の策定と保守を支援する。
・Privacy risk management as reflected in the NIST Privacy Framework, the inclusion of privacy risk management in SP 800-37, and the updated controls in SP 800-53 to more fully support privacy objectives  ・NIST Privacy Framework に反映されたプライバシーリスクマネジメント、SP 800-37 に含まれたプライバシーリスクマネジメント、及びプライバシー目標をより完全にサポートするための SP 800-53 の更新されたコントロール 
・The increased attention to cybersecurity-related supply chain risks reflected in SP 800161 and the supply chain risk management (SR) controls in SP 800-53  ・SP 800161 及び SP 800-53 のサプライチェーンリスクマネジメント(SR)統制に反映され た、サイバーセキュリティ関連のサプライチェーンリスクへの関心の高まり。
・The use of automation to capture, process, and report information in the system plans to facilitate risk management activities and decisions NIST is particularly interested in feedback on the following:  ・リスクマネジメント活動と意思決定を促進するためのシステム計画における情報の取得、処理、報告への自動化の利用 NIST は、特に以下の点に関するフィードバックに関心がある: 
・How do these guidelines align with your existing organizational practices for documenting or reporting security, privacy, and cybersecurity supply chain risk management efforts at the system level?  ・本ガイドラインは、システムレベルでのセキュリティ、プライバシー及びサイバーセキュリティのサプライチェーンリスクマネジメントの取り組みを文書化又は報告するための既存の組織的慣行とどのように整合するか。
・How do you expect the guidelines and supplemental materials to influence your future practices and processes?  ・本ガイドライン及び補足資料が、貴社の今後の実務やプロセスにどのような影響を与えることを期待するか。
・What additional system plan elements would improve the usability of the information captured for the system plans?  ・システム計画のために取得した情報の使いやすさを改善するために、どのようなシステム計画 要素を追加するか。
・What additional considerations are there for automating the capture of system information using enterprise security tools that would improve organizational risk management efforts and risk decision-making?  ・エンタープライズセキュリティツールを使ってシステム情報の取り込みを自動化することに よって、組織のリスクマネジメントの取り組みとリスクの意思決定を改善するために、 どのような追加的な考慮事項があるか。
Comments can be submitted using the comment template posted on the publication details page and sent to [mail]
with the subject “SP 800-18r2 ipd comments.” 
コメントは、出版物の詳細ページに掲載されているコメントテンプレートを使用し、件名を 「SP 800-18r2 ipd comments 」として、[mail]
宛に提出することができる。

 

・[PDF] NIST.SP.800-18r2.ipd

20250609-60943

 

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序論
1.1. Relationship to Other NIST Guidelines 1.1. 他の NIST ガイドラインとの関係
1.2. Document Organization 1.2. 文書の構成
2. Overview  2. 概要 
2.1. System Security Plan 2.1. システム・セキュリティ計画
2.2. System Privacy Plan 2.2. システム・プライバシー計画
2.3. Cybersecurity Supply Chain Risk Management Plan 2.3. サイバーセキュリティ・サプライチェーン・リスクマネジメント計画
2.4. Consolidated System Plans 2.4. 統合システム計画
3. Elements of System Plans 3. システム計画の要素
3.1. System Name and Identifier 3.1. システムの名称と識別名
3.2. System Plan Reviews and Change Records 3.2. システム計画のレビューと変更記録
3.3. Role Identification and Responsible Personnel 3.3. 役割の特定と責任者
3.4. System Operational Status 3.4. システムの運用状況
3.5. System Description 3.5. システムの説明
3.6. System Information Types and System Categorization 3.6. システム情報の種類とシステムの分類
3.7. Authorization Boundary and System Environment 3.7. 認可境界とシステム環境
3.8. Control Implementation Details 3.8. コントロールの実装の詳細
3.9. Information Exchanges 3.9. 情報交換
3.10. Laws, Regulations, and Policies Affecting the System 3.10. システムに影響を及ぼす法律、規制、政策
3.11. Digital Identity Acceptance Statement 3.11. デジタル ID アクセプタンス・ステートメント
3.12. Referenced Artifacts  3.12. 参照される成果物 
3.13. Acronym List and Glossary 3.13. 略語リストおよび用語集
4. System Plan Development and Maintenance 4. システム計画の策定と保守
4.1. Prepare 4.1. 準備
4.2. Categorize 4.2. 分類
4.3. Select 4.3. 選択
4.4. Implement 4.4. 実施
4.5. Assess 4.5. アセスメント
4.6. Authorize 4.6. 認可
4.7. Monitor 4.7. モニター
4.8. Automation Support 4.8. 自動化サポート
References 参考文献
Appendix A. RMF Task Outputs Related to System Plan Elements 附属書A. システム計画要素に関連するRMFタスクのアウトプット
Appendix B. List of Abbreviations and Acronyms 附属書B. 略語と頭字語のリスト
Appendix C. Glossary 附属書C. 用語集
Appendix D. Change Log 附属書D. 変更履歴
List of Tables 表一覧
Table 1. RMF task outputs related to system plan elements 表1. システム計画要素に関連するRMFタスクのアウトプット
List of Figures 図一覧
Fig. 1. Relationship between security and privacy risks  図1. セキュリティリスクとプライバシーリスクの関係 
Fig. 2. NIST Risk Management Framework Steps 図2. NISTリスクマネジメントフレームワークのステップ

 

 

Executive Summary  エグゼクティブサマリー 
System plans collectively refer to the system security plan, system privacy plan, and cybersecurity supply chain risk management (C-SCRM) plan that describe the design and implementation of security, privacy, and cybersecurity supply chain protections throughout the system life cycle. System plans include information about the data being created, collected, disseminated, used, stored, and disposed; identify individuals who are responsible for system risk management efforts; describe the environment of operation, system components, and data flows within the environment; and account for system risks associated with information exchanges involving systems outside the authorization boundary. The structure and format of system plans are prepared according to organizational needs and the information described in this publication.  システム計画とは、システムのライフサイクル全体を通して、セキュリティ、プライバシー、サイバーセキュリティサプライチェーンマネジメント(C-SCRM)防御の設計と実施を記述するシステムセキュリティプラン、システムプライバシープラン、サイバーセキュリティサプライチェーンマネジメント(C-SCRM)プランを総称したものである。システム計画には、作成、収集、普及、使用、保存及び廃棄されるデータに関する情報を含み、システムリスク マネジメントの取り組みに責任を負う個人を特定し、運用環境、システム構成要素及び環境内のデータフロー を記述し、認可境界外のシステムを含む情報交換に関連するシステムリスクを考慮する。システム計画の構成及び書式は、組織のニーズ及び本書に記載された情報に従って作成される。
NIST Special Publication (SP) 800-18r2 (Revision 2) addresses the development and maintenance of system plans in support of risk management activities, such as tasks in the NIST Risk Management Framework (RMF) steps in [SP800-37]. This revision:  NIST特別刊行物(SP)800-18r2(改訂2)は、[SP800-37]のNISTリスクマネジメントフレームワーク(RMF)のステップにおけるタスクなど、リスクマネジメント活動を支援するシステム計画の策定と保守に対応している。本改訂は、以下の内容を含んでいる: 
・ Provides content considerations for elements in system plans;  ・システム計画における要素の内容に関する考察を提供する; 
・ Discusses the use of automation to develop and maintain system plans over the system life cycle, including sharing and protecting system plan information; and  ・システム計画情報の共有と防御を含め、システムライフサイクルを通じたシステム計画の策定と維持のための自動化の利用について説明する。
・ Provides supplemental materials, including system plan outline examples and updated roles and responsibilities associated with system plans that may factor into system plan development.  ・システム計画の概要例や、システム計画策定に関連する役割と責任の更新などの補足資料を提供する。
Federal agencies are required to develop and maintain system plans for managing risks, including implementation details for the controls allocated to address the requirements. Nonfederal organizations may voluntarily apply these guidelines to develop and maintain system plans consistent with their risk management strategies.  連邦政府機関は、要件に対応するために割り当てられた管理の実施詳細を含む、リスクマネジメントのためのシステム計画を策定し、維持することが求められる。連邦政府以外の組織は、リスクマネジメント戦略に合致したシステム計画を策定・維持するために、自主的に本ガイドラインを適用することができる。
1. Introduction  1. 序論 
All systems that process, store, and transmit information within an organization need safeguards that adhere to an organization-wide risk management strategy to address security, privacy, and cybersecurity supply chain risks. System plans collectively refer to the system security plan, system privacy plan, and cybersecurity supply chain risk management (C-SCRM) plan, which describe the assets and individuals being protected within an authorization boundary and the system risks associated with information exchanges that involve systems outside of the authorization boundary.  組織内で情報を処理、保管、伝送するすべてのシステムには、セキュリティ、プライバシー、及びサイバーセキュリティのサプライチェーンリスクに対処するために、組織全体のリスクマネジメント戦略に準拠したセーフガードが必要である。システム計画は、システムセキュリティプラン、システムプライバシープラン、及びサイバーセキュリティサプライチェーンマネジメント(C-SCRM)プランを総称したものであり、認可バウンダリ内で保護される資産及び個人、並びに認可バウンダリ外のシステムを含む情報交換に関連するシステムリスクを記述する。
・ The system security plan describes the system security requirements, including the controls selected to protect the confidentiality, integrity, and availability of the system and its information.  ・システムセキュリティプランは、システム及びその情報の機密性、完全性及び可用性を保護するために選択された管理を含む、システムセキュリティ要件を記述する。
・ The system privacy plan describes the system privacy risk management requirements, including the controls selected to address predictability, manageability, and disassociability.[1]  ・システムプライバシー計画は、予測可能性、管理可能性、及び解離可能性に対処するために選択された管理を含む、システムプライバシーリスクマネジメントの要求事項を記述する[1]。
・ The C-SCRM plan describes the system’s C-SCRM requirements, including the controls to manage, implement, and monitor the supply chain and develop and sustain the system across mission and business functions.  ・C-SCRM計画は、サプライチェーンを管理し、実施し、監視し、ミッション及びビジネス機能にわたってシステムを開発し、維持するための統制を含む、システムのC-SCRM要件を記述する。
The NIST Risk Management Framework (RMF) [SP800-37] provides a flexible methodology for organizations and systems to manage security, privacy, and supply chain risks. The expected outputs of RMF tasks (see Appendix A) inform the system plan elements that describe the system’s purpose; environment of operation; information that is stored, processed, and transmitted; data flows within the environment and with interconnected systems; control implementation details; and the roles and responsibilities of individuals associated with the system. Automation and information management tools can facilitate the collection,  presentation, and update of system plan information.2  NISTリスクマネジメントフレームワーク(RMF) [SP800-37]は、組織及びシステムがセキュリティ、 プライバシー及びサプライチェーンリスクを管理するための 柔軟な方法論を提供するものである。RMFタスクの期待されるアウトプット(附属書Aを参照)は、システムの目的、運用環境、保存、処理、及び伝送される情報、環境内及び相互接続されたシステムとのデータフロー、統制の実施の詳細、並びにシステムに関連する個人の役割及び責任を記述するシステム計画要素に情報を与える。自動化と情報管理ツールは、システム計画情報の収集、提示、更新を容易にすることができる2
This publication focuses on the development of system plans that address system-level security, privacy, and C-SCRM requirements that are derived from enterprise, organization, and mission/business process requirements. These guidelines can also be extended to:  本書は、エンタープライズ、組織、及びミッション/ビジネ スプロセスの要求事項に由来する、システムレベルのセキュリ ティ、プライバシー、及びC-SCRMの要求事項に対応するシ ステム計画の作成に焦点を当てている。これらのガイドラインはまた、以下のように拡張することができる: 
・ Common control providers that provide implementation details for controls available to be inherited by other systems;  ・他のシステムに継承可能な制御の実装の詳細を提供する共通制御プロバイダ; 
・ Requirements identified in [SP800-171] and [SP800-172] for the development of system security plans for nonfederal organizations protecting Controlled Unclassified Information (CUI); and 
・管理対象非機密情報(CUI)を保護する連邦政府以外の組織のシステム・セキュリティ計画の策定に関する[SP800-171]及び[SP800-172]で識別される要件。
・ Organizations developing system plans for service offerings from cloud service providers, including software as a service (SaaS), infrastructure as a service (IaaS), and platform as a service (PaaS).  ・SaaS、IaaS、PaaSなど、クラウドサービスプロバイダが提供するサービスのシステム計画を策定する組織。
System plans are required for federal systems in accordance with Office of Management and Budget (OMB) Circular A-130 [OMBA-130] and the provisions of the Federal Information Security Modernization Act (FISMA) of 2014 [FISMA].[2] Nonfederal organizations — including private and small businesses, academic institutions, and state, local, and tribal governments — may also utilize these guidelines to support their risk management programs.  システム計画は、行政管理予算局(OMB)通達A-130[OMBA-130]および2014年連邦情報セキュリティ近代化法(FISMA)[FISMA]の規定に従って、連邦政府のシステムに対して要求される[2]。民間企業、中小企業、学術機構、州政府、地方政府、部族政府を含む連邦政府以外の組織も、リスク管理プログラムを支援するために本ガイドラインを利用することができる。
1.1. Relationship to Other NIST Guidelines  1.1. 他のNISTガイドラインとの関係 
This publication is designed to support the NIST portfolio of risk management initiatives and publications[3] that address security, privacy, and supply chain risk management concepts and methodologies, including:  本書は、セキュリティ、プライバシー、及びサプライチェーンリスクマネジメントの概念と方法論を扱った NIST のリスクマネジメントのイニシアティブ及び出版物[3]のポートフォリオを支援するように設計されている: 
・ SP 800-37, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy [SP800-37]  ・SP 800-37「情報システム及び組織のためのリスクマネジメント枠組み」: セキュリティとプライバシーのためのシステムライフサイクルアプローチ[SP800-37]。
・ SP 800-53, Security and Privacy Controls for Information Systems and Organizations [SP800-53]  ・SP 800-53、情報システム及び組織のためのセキュリティ及びプライバシー管理 [SP800-53] 
・ SP 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations [SP800-53A]  ・SP 800-53A、情報システム及び組織におけるセキュリティ及びプライバシーコントロールのアセスメント [SP800-53A] 
・ SP 800-53B, Control Baselines for Information Systems and Organizations [SP800-53B]  ・SP 800-53B、情報システム及び組織のコントロール・ベースライン[SP800-53B]。
・ SP 800-161, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations [SP800-161]  ・SP 800-161、システム及び組織のためのサイバーセキュリティサプライチェーンリスクマネジメントの実践[SP800-161]。
・ SP 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations [SP800-171]  ・SP 800-171、連邦政府以外のシステム及び組織における管理対象非機密情報の防御 [SP800-171] [SP800-172 
・ SP 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information [SP800-172]  ・SP 800-172、管理対象非機密情報を保護するための拡張セキュリティ要件 [SP800-172] [SP800-172 
・ NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management [NISTPF]   ・NIST プライバシー枠組み: エンタープライズリスクマネジメントを通じてプライバシーを改善するためのツール[NISTPF]。 
・ The NIST Cybersecurity Framework (CSF) [NISTCSF]   ・NIST サイバーセキュリティ枠組み(CSF)[NISTCSF]。 
1.2. Document Organization  1.2. 文書の構成 
The publication is organized into the following sections:  本書は以下のセクションで構成されている: 
・ Section 2 describes system security, system privacy, and C-SCRM plans.  ・セクション2は、システムセキュリティ、 システムプライバシー及びC-SCRM計画について記述 している。
・ Section 3 identifies elements that may be included in system security, privacy, and C-SCRM plans.  ・セクション3は、システムセキュリティ、プライバシー及び C-SCRM計画に含まれ得る要素を特定する。
・ Section 4 describes how system plans are developed and maintained in relation to the RMF and with the support of automation.  ・セクション4は、RMFに関連し、自動化の支援を受けて、システ ム計画がどのように策定され、維持されるかを記述する。
・ The References section lists the source materials cited in this publication.  ・参考文献のセクションは、本書で引用した出典を列挙している。
The following appendices provide additional information and resources that support the development of system plans:  以下の附属書は、システム計画の策定を支援する追加的な情報とリソースを提供する: 
・ Appendix A summarizes the RMF task outputs included in system plans.  ・附属書Aは、システム計画に含まれるRMFタスクアウトプットをまとめたものである。
・ Appendix B lists the abbreviations and acronyms used in this publication.  ・附属書Bは、本書で使用されている略語と頭字語の一覧である。
・ Appendix C provides a glossary of the terms used in this publication.  ・附属書Cは、本書で使用されている用語の解説である。
・ Appendix D provides a publication change log. ・附属書Dは、本書の変更履歴を示す。
2. Overview  2. 概要 
System plans are based on the organization’s risk management strategy and NIST guidelines (e.g., [SP800-37], [SP800-53], [SP800-161]). They:  システム計画は、組織のリスクマネジメント戦略及びNISTガイドライン([SP800-37]、[SP800-53]、[SP800-161]など)に基づいている。それらは以下のとおりである: 
・ Define the authorization boundary of the system;  ・システムの認可境界を定義する; 
・ Support the organization’s security, privacy, and C-SCRM objectives;  ・組織のセキュリティ、プライバシー、C-SCRM の目的をサポートする; 
・ Define capabilities to defend the organization against threats and threat actors;  ・脅威及び脅威アクターから組織を防御する能力を定義する; 
・ Identify individuals who are responsible for managing and supporting the system;  ・システムの管理及びサポートに責任を持つ個人を識別する; 
・ Help organizational personnel understand how to manage risks to an acceptable level throughout the system life cycle and respond to changing risks in a timely manner;  ・組織の要員が、システムのライフサイクルを通じてリスクを許容可能なレベルまで管理し、変化するリスクに適時に対応する方法を理解するのを支援する; 
・ Consider requirements for information technology, operational technology, and emerging technologies that may be informed by system artifacts, such as risk assessments, business impact analyses (BIAs), and information exchange agreements;  ・リスクアセスメント、ビジネス影響度分析(BIA)、情報交換契約などのシステム成果物 から得られる情報技術、運用技術、及び新たな技術に関する要件を分析する; 
・ Provide sufficient evidence to support risk-based decisions regarding the ongoing operation or use of the system; and  ・システムの継続的な運用または使用に関するリスクベースの決定を裏付ける十分な証拠を提供する。
・ Require methodical reviews and periodic updates to maintain information about the system’s mission, technologies, components, personnel, and implemented controls.  ・システムの使命、技術、構成要素、要員、及び実施された管理に関する情報を維持するために、体系的なレビュー及び定期的な更新を要求する。
The information contained in system plans can be captured as documents or using different Governance, Risk and Compliance (GRC) tools. This section addresses the objectives and purposes of the system security plan, system privacy plan, and C-SCRM plan.  システム計画に含まれる情報は、文書として、またはさまざまなガバナンス・リスク・コンプライアンス(GRC)ツールを使用して取得することができる。本節では、システムセキュリティ計画、システ ムプライバシー計画、C-SCRM 計画の目的と目 的について述べる。
2.1. System Security Plan  2.1. システムセキュリティ計画 
The system security plan identifies the system’s security requirements and the protections that are planned or in place to meet those requirements. The security plan:   システムセキュリティ計画は、システムのセキュリ ティ要件と、それらの要件を満たすために計画され た、あるいは実施されている防御を特定する。セキュリティ計画 
・ Enables organizational leadership and system management personnel to manage security risks and make effective risk management decisions throughout the system life cycle;  ・組織の指導者及びシステムマネジメントの職員が、システムのライフサイクルを通じてセキュリティリスクを管理し、効果的なリスクマネジメントの意思決定を行うことができるようにする; 
・ Describes implemented or planned controls that address the system’s security requirements;  ・システムのセキュリティ要件に対応する、実装済みまたは計画済みの管理策を記述する; 
・ Identifies the individuals responsible for maintaining the security protections for information and information systems;  ・情報及び情報システムのセキュリティ保 護を維持する責任を負う個人を 識別する 
・ Consolidates details about the system, including its purpose, authorization boundary, [FIPS199] security categorization, operational status, and environment of operations; and   ・システムの目的、認可境界、[FIPS199]セキュリティ分類、運用状況、運用環境など、システムに関する詳細がまとめられている。 
・ Demonstrates how security objectives (i.e., confidentiality, integrity, and availability) are achieved by following security engineering approaches to building resilient and trustworthy systems.  ・レジリエンスと信頼性のあるシステムを構築するためのセキュリティ工学的アプローチに従って、セキュリティ目的(すなわち、機密性、完全性、可用性)がどのように達成されるかを実証する。
2.2. System Privacy Plan  2.2. システムプライバシー計画 
The system privacy plan identifies controls that are allocated and implemented to address privacy risks related to both cybersecurity events and data processing. The privacy plan:   システム・プライバシー計画は、サイバーセキュリティ事象とデータ・処理の両方に関連するプライバシ ー・リスクに対処するために割り当てられ、実施される管理者を特定する。プライバシー計画は以下のとおりである: 
• Aligns the system’s privacy objectives with the organization’s mission, risk tolerance,  ・システムのプライバシー目標を、組織のミッション、リスク許容度、プライバシー目標と整合させる、 
and privacy goals;  プライバシー目標に整合させる; 
• Defines system requirements with respect to the privacy engineering objectives of predictability, manageability, and disassociability and the Fair Information Practice Principles (FIPPs)[4]; and 
・予測可能性、管理可能性、および分離可能性というプライバシー工学の目的と、公正情報慣行原則(FIPPs)[4]に関してシステム要件を定義する;

• Describes planned and implemented controls to address privacy requirements and data processing activities that may compromise privacy (i.e., problematic data actions[5]).  ・プライバシー要件及びプライバシーを侵害する可能性のあるデータ・プロセッシング活動(すなわち、問題のあるデータ・アクション[5])に対処するために計画され実施された管理者を記述する。
Privacy requirements may be informed by legal and regulatory obligations as well as privacy activities and artifacts, such as Privacy Impact Assessments (PIAs), Privacy Risk Assessments (PRAs),[6] System of Records Notices (SORNs), Memorandums of Understanding (MOUs), or other types of contracts or agreements. This includes identifying and cataloging key inputs, such as data actions, contextual factors that describe the circumstances surrounding data processing, privacy capabilities, and privacy engineering and security objectives based on organizational mission needs, risk tolerance, and privacy goals. The tasks in the RMF Prepare step identify sources of system privacy requirements.  プライバシー要件は、プライバシー影響アセスメント(PIA)、プライバシーリスクアセスメ ント(PRA)[6]、記録システム通知(SORN)、覚書(MOU)、または他のタイプの契約や合意など、プライバ シーの活動や成果物だけでなく、法律や規制上の義務によって知らされることがある。これには、組織のミッション・ニーズ、リスク許容度、プライバシー目標に基づき、データ・アクション、データ処理を取り巻く状況を説明する文脈的要因、プライバシー能力、プライバシー・エンジニアリングおよびセキュリティ目標などの主要なインプットを特定し、カタログ化することが含まれる。RMF準備ステップのタスクは、システムのプライバシー要件の情報源を特定する。
2.2.1. Relationship Between the System Security Plan and System Privacy Plan  2.2.1. システム・セキュリティ計画とシステム・プライバシー計画の関係 
Organizational security and privacy programs have complementary objectives and overlappingrisks with regard to confidentiality, integrity, and availability, as shown in Fig. 1.  組織のセキュリティ計画とプライバシー計画には、図 1 に示すように、機密性、完全性、可用性に関して相補的な目的と重複するリスクがある。
20250609-61054
Fig. 1. Relationship between security and privacy risks  図1. セキュリティリスクとプライバシーリスクの関係 
Both unauthorized data access and authorized disclosures that are made without sufficient disassociability can introduce privacy issues, physical harms, or economic losses. Systems must comply with laws governing data subject rights (i.e., the right to access, correct, or delete information[7]). The system privacy plan describes how the organization manages the risks of over-collection, unauthorized profiling, or the misuse of data about individuals.  無許可のデータ・アクセスも、十分な分離可能性を持たずに行われた認可された開示も、プライバシーの問題、物理的損害、経済的損失をもたらす可能性がある。システムは、データ対象者の権利(すなわち、情報へのアクセス、訂正、削除の権利[7])を規定する法律を遵守しなければならない。システム・プライバシー計画は、組織が個人に関するデータの過剰収集、不正なプロファイリング、または悪用のリスクをどのようにマネジメントするかを記述する。
Control implementation details differ between system privacy, security, and C-SCRM plans (see Sec. 3.8). While security-related controls can support system privacy outcomes, privacy risks require additional privacy-focused controls. Some controls may also introduce privacy risks that require additional management, such as controls related to monitoring for insider threats. Incorporating these privacy-focused controls into the system helps ensure that privacy is considered holistically alongside security concerns.  統制の実施の詳細は、システムプライバシー計画、セ キュリティ計画、C-SCRM計画で異なる(3.8節参照)。セキュリティに関連する統制はシステムのプライバ シーの成果を支援することができるが、プライバ シーのリスクは、プライバシーに焦点を絞った 追加的な統制を必要とする。統制の中には、内部脅威の監視に関連する統制のように、追加的な マネジメントを必要とするプライバシーリスクをもたらすものもある。このようなプライバシーに焦点を当てた管理策をシステ ムに組み込むことは、プライバシーがセキュリティ上の懸念事項とともに総合的に考慮されることを 確実にするのに役立つ。
2.3. Cybersecurity Supply Chain Risk Management Plan  2.3. サイバーセキュリティサプライチェーンリスクマネジメント計画 
A C-SCRM strategy[8] addresses cybersecurity risks at the organization level throughout the supply chain, including commercial-of-the-shelf (COTS) products, turn-key solutions, and support services. A C-SCRM plan then incorporates those organization-level priorities, policies, and risk tolerances to address system-level risks and interdependencies with controls that enhance trust and protection. The C-SCRM plan:  C-SCRM 戦略[8]は、市販の(COTS)製品、ターンキーソリューション、サポートサービスなど、サプライ チェーン全体を通じて組織レベルでサイバーセキュリティリスクに対処するものである。次に、C-SCRM 計画は、そのような組織レベルの優先事項、方針、リスク許容度を組み込んで、信頼と保護を強化する管理策によってシステムレベルのリスクと相互依存性に対処する。C-SCRM計画 
・ Identifies policy implementations, requirements, constraints, and implications that are specific to the cybersecurity supply chain at the system level;  ・システムレベルのサイバーセキュリティサプライチェーンに特有なポリシーの実装、要件、制約、意味を識別する; 
・ Describes the system’s approach to managing supply chain risks that are associated with the research, development, design, manufacturing, acquisition, delivery, integration, operations, maintenance, and disposal of its components or services;  ・コンポーネント又はサービスの研究、開発、設計、製造、取得、引渡し、統合、運用、保守及び廃棄に関連するサプライチェーンリスクを管理するためのシステムのアプローチを記述する; 
・ Describes the system in the context of the organizational supply chain risk tolerance, including acceptable supply chain risk response strategies or controls, a process for the continuous evaluation and monitoring of supply chain risks, approaches for implementing and communicating the plan, and a description of and justification for the supply chain risk mitigation measures that are taken; and  ・許容可能なサプライチェーンリスク対応戦略又は管理策、サプライチェーンリスクの継続的な評価及びモニ タリングのためのプロセス、計画の実施及びコミュニケーションのためのアプローチ、並びに、実施され るサプライチェーンリスク緩和措置の説明及びその正当性を含む、組織のサプライチェーンリスク許容度の観点か らのシステムの記述。
・ Includes supplier and/or component inventories that specify the associated criticality to the system, key individuals who fill supply chain-relevant roles, security control implementation information that is specific to supply chain considerations, system diagrams, and interdependencies with other systems.  ・システムに対する重要性、サプライチェーンに関連する役割を果たす主要な個人、サプライチェーンの考慮事項に特化したセキュリティ管理実施情報、システム図、他のシステムとの相互依存関係を明記した供給業者及び/又は部品のインベントリを含む。
Different types of systems may have specific considerations that can be addressed in the C-SCRM plan, such as the system architecture, security categorization [SP800-60v2], or type of technology used within the system. All security controls from [SP800-53] with supply chain risk management applicability are listed in [SP800-161], Appendix A, which also features an enhanced overlay of control enhancements that are specific to supply chains as well as implementation guidance.  システムの種類が異なれば、システムアーキテ クチャ、セキュリティ分類 [SP800-60v2]、又はシステム内で使用される技術 の種類のように、C-SCRM 計画で扱うことができる特定の考慮事項が あるかもしれない。サプライチェーンリスクマネジメントに適用可能な[SP800-53]のすべてのセキュリティ管理は、[SP800-161]の附属書Aに記載されており、この附属書Aは、実施ガイダンスと同様に、サプライチェーンに特有の管理強化のオーバーレイも特徴としている。
2.4. Consolidated System Plans  2.4. 統合システム計画 
Organizations determine whether to consolidate the system security, system privacy, or C-SCRM plans, as described in RMF [SP800-37] Task S-4, Documentation of Planned Control Implementations, and [SP800-161]. For a consolidated plan:  組織は、RMF[SP800-37]の課題S-4「計画されたコントロールの実施の文書化」及び[SP800-161]に記載されているとおり、システムセキュリティ、システムプライバシー又はC-SCRMの計画を統合するかどうかを決定する。統合計画の場合: 
・ Common elements in the security, privacy, and C-SCRM plans (e.g., System Name and Identifier, System Operational Status, System Description, Authorization Boundary and System Environment) provide consistent information about the system’s mission, purpose, and environment of operation.  ・セキュリティ、プライバシー及び C-SCRM 計画の共通要素(例えば、システム名と識別 子、システムの運用状況、システムの説明、認可の 境界及びシステム環境)は、システムのミッション、 目的及び運用環境に関する一貫した情報を提供する。
・ Roles and responsibilities are defined to support the ongoing collaboration between individuals who are responsible for meeting system security, privacy, and C-SCRM requirements.  ・システムのセキュリティ、プライバシー及びC-SCRM の要求事項を満たす責任を有する個人間の継続的な連携を支援するために、役割と責任が定義される。
・ Each control that is allocated, tailored, and implemented or planned for implementation has details that clearly address system requirements.  ・割り当てられ、調整され、実施され、又は実施されることが計画されている各管理には、システム要件に明確に対応する詳細がある。
Automation using information management tools (see Sec. 4.8) can support the collection and compilation of distinct security, privacy, and C-SCRM control implementation details; common system plan elements; and roles and responsibilities.  情報管理ツール(4.8節参照)を用いた自動化は、明確なセキュリ ティ、プライバシー及びC-SCRMの各コントロールの実施の詳細、 共通のシステム計画要素及び役割と責任の収集と取りまとめを 支援することができる。
   
[1] The NIST Privacy Framework [NIST PF] explains the privacy engineering objectives of predictability, manageability, and disassociability. 2 The NIST Open Security Controls Assessment Language [OSCAL] is designed to standardize the representation, implementation, and assessment of controls using machine-readable data formats (e.g., XML, JSON, YAML). These OSCAL representations can be used in conjunction with the other OSCAL schemas to represent structured and machine-readable system plan information, control assessment plans, and assessment results, which facilitate the continuous assessment and monitoring of system controls. Initially designed for security assessment, OSCAL has been proven suitable for the machine-readable representation of other control types (e.g., privacy, supply chain, accessibility, safety) and to support their continuous assessment and monitoring.  [1] NISTプライバシー枠組み [NIST PF]は、予測可能性、管理可能性、及び 解離可能性というプライバシー工学の目的を説明 している。2 NIST Open Security Controls Assessment Language [OSCAL]は、機械可読データ形式(XML、JSON、YAMLなど)を使用して、統制の表現、実装、および評価を標準化するように設計されている。これらの OSCAL 表現は、他の OSCAL スキーマと組み合わせて使用することで、構造化され機械可読 なシステム計画情報、統制アセスメント計画、アセスメント結果を表すことができ、システム統制の継 続的なアセスメントと監視を容易にする。OSCALは、当初セキュリティアセスメント用に設計されたが、他の種類の統制(プライバシー、サプライチェーン、アクセシビリティ、安全性など)を機械可読で表現し、それらの継続的なアセスメントとモニタリングを支援するのに適していることが証明されている。
[2] [FISMA] includes privacy protections in the definition for confidentiality. as indicated in [44 USC3552].  [2] [FISMA]は、[44 USC3552]に示されるように、機密性の定義にプライバシー防御を含む。
[3] The full range of NIST cybersecurity-related publications can be found in the Information Technology Laboratory (ITL) Computer Security Resource Center [CSRC]. Additional resources are available through the NIST Cybersecurity and Privacy Reference Tool [CPRT].  [3] NIST のサイバーセキュリティ関連出版物の全範囲は、情報技術研究所(ITL)のコンピュータ・セキュリティ・リソース・センター(CSRC)に掲載されている。その他のリソースは、NIST Cybersecurity and Privacy Reference Tool [CPRT]から入手できる。
[4] The FIPPs have been adopted in various forms in law and policy within the U.S. Government and by international organizations, such as the Organization for Economic Cooperation and Development (OECD) and the European Union. [OMB A-130] identifies and explains the FIPPs for U.S. federal agencies.  [4] FIPP は、米国政府内の法律や政策において、また経済協力開発機構(OECD)や欧州連合 (EU)などの国際機関において、様々な形で採用されている。[OMB A-130]は、米国連邦機関のためのFIPPを識別し、説明している。
[5] Per the NIST Privacy Framework [NIST PF], a problematic data action (PDA) may cause an adverse effect for individuals.  [5] NISTプライバシー枠組み[NIST PF]によれば、問題のあるデータ・アクション(PDA)は個人に悪影響を及ぼす可能性がある。
[6] The NIST Privacy Risk Assessment Methodology [PRAM] helps organizations analyze, assess, and prioritize privacy risks to identify appropriate responses and solutions.  [NIST Privacy Risk Assessment Methodology [PRAM]は、組織がプライバシーリスクを分析、評価、優先順位付けし、適切な対応と解決策を特定するのに役立つ。
[7] Many laws, regulations, and guidance focus on a defined scope of information that is covered by privacy protections, such as [OMB A-130] and PII. However, data processing may potentially introduce privacy risks if data does not meet a narrow privacy definition (e.g., some data that is not PII can be combined with other information during processing to become PII).  [7] 多くの法律、規制、およびガイダンスは、[OMB A-130]やPIIのようなプライバシー保護の対象となる情報の定義された範囲に焦点を当てている。しかし、データが狭いプライバシー定義に合致しない場合(例えば、PII でないデータが処理中に他の情報と組み合わされて PII になることがある)、データ処理がプライバシー・リスクをもたらす可能性がある。
[8] The cybersecurity supply chain refers to the linked set of resources and processes between and among multiple levels of the organizational hierarchy. In general practice, C SCRM is at the nexus of SCRM and information security, so C SCRM and SCRM refer to the same concept for the purposes of this publication. Other organizations may use different definitions of C SCRM and SCRM which are outside the scope of this publication. This publication does not address many of the non-cybersecurity aspects of SCRM.  [8] サイバーセキュリティのサプライチェーンとは、組織階層の複数のレベル間及びレベル間のリソー スとプロセスの連携した集合を指す。一般的な実務では、C SCRM は SCRM と情報セキュリティの結節点にあるため、本書では C SCRM と SCRM は同じ概念を指す。他の組織では、C SCRMとSCRMの定義が異なる場合があるが、それは本書の範囲外である。本書は、SCRMのサイバーセキュリティ以外の側面の多くには触れていない。

 

 

| | Comments (0)

2025.06.06

内閣官房 サイバー安全保障関連の国民向けリーフレット「みんなで備えよう 新・サイバー防衛、はじまる」

こんにちは、丸山満彦です。

内閣官房が、サイバー安全保障関連の国民向けリーフレット「みんなで備えよう 新・サイバー防衛、はじまる」を公表していますね...

サイバー安全保障は、国民の財産、生命をまもるために、重要な活動の一つだと思います。なので、適切かつ効果的な運用を期待しています...

特に独立機関の委員の背景、事務局体制というのが重要となるのでしょうね...

 

さて、このリーフレットでは、新しいサイバー防衛を1枚で説明しています...

20250606-153549

20250606-161146

  

内閣官房

サイバー安全保障に関する取組 (能動的サイバー防御の実現に向けた検討など)

 

広報資料等

・[PDF] リーフレット「みんなで備えよう 新・サイバー防衛、はじまる」

20250606-153346

 

法律の説明

・[PDF] サイバー対処能力強化法及び同整備法について

20250606-160724

 

 

 

自由民主党

・2025.05.29 サイバー対処能力強化法成立政府が解説リーフレットを制作


わが国のサイバー対処能力を強化するための関連法が今国会で成立しました。
政府では同法の成立を受け、能動的サイバー防御の取り組み内容を広く周知するためのリーフレット(写真、表紙)を制作しました。「みんなで備えよう。新・サイバー防御、はじまる。」と題し、サイバー防御の必要性や、サイバー攻撃の脅威について解説しています。


 

立法府としては、

・内閣官房が、安全保障への取り組みについて、実効性のある実行部隊の体制の整備と運用の実施についてきっちりと監視していく

・第三者委員会が、憲法、法律に違反しない運用がおこなわれていることをきっちりと監視していく

・立法府としても責任をもって上記2点ができているのかを国会の場を通じて国民に明らかにしていく

という3点を強調したらもっとよいのに...と思いました(^^)

 

| | Comments (0)

2025.05.29

個人情報保護委員会 個人情報等の適正な取扱いに関係する政策の基本原則に沿った政策立案のためのガイダンス(案)  (2025.05.28)

こんにちは、丸山満彦です。

個人情報保護委員会の委員長が2025年5月22日の国会において手塚先生に決まりましたね...早速、個人情報保護委員会の委員長のウェブページが更新されていますね...

私が関係する団体でも手塚先生が代表や理事をされていた団体が複数あるので、代表や理事の退任手続き等でいろいろと影響がありました...

手塚先生は以前も民間(日立製作所)出身で、その後東工大、慶應大学の教授を歴任され、その間にも個人情報保護委員をされていたので、一人産官学連携?ですね...

初代の堀部先生が法律系、(2代目)3代目の嶋田さん、丹野さんが消費者系、前任の藤原先生が法律系であったので、初めての情報技術系の委員長ということですね... Identity や Trust に関係する分野に関心が高い方で、慶應大学では、手塚先生の研究室は村井先生の研究室とも近い関係でしたね...

さて、本題ですが...

第323回の個人情報保護委員会が開催され、個人情報等の適正な取扱いに関係する政策の基本原則に沿った政策立案のためのガイダンス(案)が議論されたようですね...

これからの政策立案、政策の実行の段階での重要な考え方になるのでしょうね...個人情報保護委員会を作るというときの議論で、行政の監督が非常に重要なので、八条委員会(いわゆる審議会)ではなく、三条委員会(いわゆる行政委員会)にしないといけないという話をしました。

これから安全保障の議論が高まってきますから、行政機関における個人情報の取り扱いというのは、非常に重要となってきます。行政機関が信頼されなければ、必要な安全保障の政策も進めづらくなることが想定されます。国民に信頼される行政機関となるためにも、このガイダンスとそれを遵守した行政事務の実施というのが非常に重要となってくるのでしょうね...

 

個人情報保護委員会

・2025.05.28 第323回個人情報保護委員会

・・[PDF] 資料2 個人情報等の適正な取扱いに関係する政策の基本原則に沿った政策立案のためのガイダンス(案)

20250529-50932

 

目次...

はじめに

民間規律と公的規律の考え方の違い

基本原則の解説
1.個人情報等の取扱いの必要性・相当性
2.個人情報等の取扱いに関する適法性
3.個人情報等の利用目的との関連性・利用の適正性
4.個人情報等の取扱いに関する外延の明確性
5.個人情報等の取扱いの安全性
6.個人情報等に係る本人関与の実効性
7.個人情報等の取扱いに関する透明性と信頼性

【参考】基本原則との整合性を踏まえた検討の進め方(例)


 

民間規律と公的規律の考え方の違い...

民間規律(法第4章 個人情報取扱事業者等の義務等)の考え方 公的規律(法第5章 行政機関等の義務等)の考え方
  個人情報の取扱いに伴う個人の権利利益の保護の必要性は、個人情報を取り扱う主体が行政機関等か個人情報取扱事業者かで異なるものではないが、その取扱いについて、行政機関等と国民との間においては、行政に対する国民の信頼を一層確保することが求められており、また、法律による行政の下に国民一般の利益との調整が重要であるのに対し、私人間においては、企業活動における営業の自由等との調整が問題となるものであること等から、その取扱いについての具体的な規律内容は異なっている。
⑴ 個人データに着目した規律 ⑴ 保有個人情報に着目した規律
「個人情報データベース等」による個人データの取扱いの危険性に着目し、それを事業の用に供している個人情報取扱事業者に対し、その適正な取扱いを担保するための義務等を規律している。 行政機関等の保有する個人情報は、公的信用を背景に収集されるものや取得プロセスにおける義務性・権力性が高いもの、秘匿性が高いものが多いといった特質があり、散在情報を含む「保有個人情報」をその規律の対象としている。
⑵ 個人情報取扱事業者による適正な取扱い ⑵ 行政機関等による適正な取扱い
個人情報取扱事業者自身のガバナンスにより法律に定める義務が適切に履行され、当該個人情報取扱事業者から本人への通知・公表・同意取得等により本人による適切な関与・監視を受けつつ、適正な取扱いの実現を期待するという当事者間での自主的な規律を重視する構造となっている。 行政機関等自身のガバナンスにより法律に定める義務の適切な履行が期待される点については個人情報取扱事業者と同様である。他方、上記のような保有個人情報の特質を踏まえると、行政機関等は本人による関与・監視を受けにくいと考えられ、また、仮にその取扱いについて本人同意を必須とすると行政目的を達成する上で支障が生じる場合があることから、その規律は、本人同意に必ずしも依拠することとなっておらず、法律による行政の下、法令に定める所掌事務又は業務の遂行に必要かどうかを重視した構造となっている。
したがって、行政機関等は、個人情報の保有に当たっては、法令の定める所掌事務又は業務を遂行するため必要な場合に限り、かつその利用目的をできる限り特定しなければならない(法第61第第1項)とされている。そして、保有個人情報は、そのようにして特定した利用目的のために利用又は提供することが原則とされ(法第69第第1項)、例外として、一定の場合には利用目的以外の目的のために利用又は提供することができることとされている(同第第2項)。本人同意は、利用目的のために利用又は提供する場合には要件とされておらず、例外として認められる事由の1つとして位置付けられている(同項第1号)。なお、その他の例外要件についても、取扱主体たる行政機関等が、個別具体の事情に基づき、「相当の理由」や「特別の理由」を整理すること等により、本人同意の有無に関わらず利用又は提供が可能である(同項第2号~第4号)。
他方で、公的規律においては、行政機関等は、情報の提供が行われた後も、提供先での情報の利用・管理について一定の責任を負うこととなっており(法第70第)、提供元である行政機関等の関与によっても適正な取扱いの確保が図られている。
民間規律と公的規律の具体的な違い  
(1) 利用目的規律  
民間規律 公的規律
個人情報を取り扱うに当たって利用目的を特定することとされているのみである 個人情報の保有やその利用目的の特定が法令の定める所掌事務又は業務を遂行するため必要な範囲に限られている
第 17 第(利用目的の特定) 第 61 第(個人情報の保有の制限等)
個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。 行政機関等は、個人情報を保有するに当たっては、法令(第例を含む。第 66 第第2項第3号及び第4号、第 69 第第2項第2号及び第3号並びに第4節において同じ。)の定める所掌事務又は業務を遂行するため必要な場合に限り、かつ、その利用目的をできる限り特定しなければならない。
2 (略)  
第 18 第(利用目的による制限)  
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前第の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 2 行政機関等は、前項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を保有してはならない。
2・3 (略) 3 (略)
(2) 提供規律  
民間規律 公的規律
本人同意を取得した上での第三者提供が原則 上記の範囲で特定した利用目的のための利用又は提供が原則
第 27 第(第三者提供の制限) 第 69 第(利用及び提供の制限)
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 一~七 (略) 行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。
2~6 (略) 2~4 (略)

 


 

原則抜き出し...

1.個人情報等の取扱いの必要性・相当性

  • 個人情報等の取扱いに関係する政策の企画立案・実施に当たっては、政策目的を明確にした上で、政策目的の実現のために個人情報等の取扱いが必要か否かを検討した上で取り組むことが重要である。
  • その上で、個人情報等の取扱いが必要となる場合は、政策目的に照らし、個人情報等の取扱いが必要最小限の範囲内で相当であるか否かを検討した上で取り組むことが重要である。特に、要配慮個人情報等の機微性の高い情報の取扱いが必要となる場合は、より慎重に取り組むことが重要である。

2.個人情報等の取扱いに関する適法性

  • 上記1の政策目的を実現するため、個人情報等の取扱いに関し、各主体を広く対象とし、共通する必要最小限のルールを定める一般法たる個人情報保護法による規律で対応可能であるか否か、十分であるか否かを検討した上で取り組むことが重要である。
  • その上で、個人情報等の取扱いに関し、政策分野に特有の事情(取り扱う個人情報等の性質及び利用方法等。以下同じ。)に照らして、個人情報保護法上の規律に抵触し当該規律による対応で不可能である場合又は当該規律による対応で可能であるものの不十分である場合には、新規立法含め他の法令等による根拠(適法性)に基づき取り組むことが重要である。
  • なお、既存の法令等を根拠とする場合については、当該法令等の制定当時における経緯等の背景、目的及び規定等を踏まえ、個人情報等の取扱いが当該法令等の想定している範囲内であるか否かを検討した上で取り組むことが重要である。
  • いずれにしても、基本法たる個人情報保護法に照らし、政策の企画立案・実施に当たり、取り扱われる個人情報等に係る本人のプライバシーを含む権利利益の保護が確保されることが重要である。

3.個人情報等の利用目的との関連性・利用の適正性

  • 個人情報等の利用目的は、個人情報等の取扱いに関する規律の要となるものであり、できる限り特定することが必要である。
  • 個人情報等の取扱いに関係する政策の企画立案・実施に当たっては、政策目的の実現のために取扱いが必要となる個人情報等について、利用目的が政策目的と関連するものであるか否かを検討した上で取り組むことが重要である。
  • また、取り扱われる個人情報等について、違法又は不当な行為の助長又は誘発のおそれがある方法により利用されないよう、政策を企画立案・実施することが必要である。

4.個人情報等の取扱いに関する外延の明確性

  • 一般法たる個人情報保護法による規律の適用範囲を確定し、個人情報等の取扱いが本人の権利利益に与えるリスクに応じた必要かつ適切な安全管理措置を講ずるためには、取り扱われる個人情報等、個人情報等を取り扱う主体や場所等に関する外延を特定し、同法に規定する用語及びその定義に則り、これを明確化することが重要である。
  • また、以上に当たっては、政策分野に特有の事情に照らして、新規立法含め他の法令等による規律の適用が必要であるか否かを検討しつつ取り組むことが重要である。

5.個人情報等の取扱いの安全性

  • 上記4を踏まえ、個人情報等が漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、各主体の事業、事務又は業務の規模及び性質、個人情報等の取扱状況(取り扱う個人情報等の性質及び量を含む。)、個人情報等を記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な安全管理措置を検討した上で取り組むことが重要である。
  • また、以上に当たっては、政策分野に特有の事情に照らして、漏えい等の報告等に関する事業所管大臣等に対する個人情報保護委員会から権限の委任や、新規立法含め他の法令等に基づく措置が必要であるか否かを検討しつつ取り組むことが重要である。

6.個人情報等に係る本人関与の実効性

  • 上記取組の実効性を高めつつ、個人情報等のデータに関するリテラシーを向上するため、個人情報等に係る本人が自らの意思に基づいてコントロールするという意識を涵養するという観点から、個人に寄り添った取組が重要である。
  • また、以上に当たっては、政策分野に特有の事情に照らして、新規立法含め他の法令等による対応が必要であるか否かを検討しつつ取り組むことが重要である。

7.個人情報等の取扱いに関する透明性と信頼性

  • 個人情報等の取扱いに当たっては、事後における対処療法的な対応ではなく、プライバシーを含む個人の権利利益の保護を事業等の設計段階で組み込み、事後の改修等費用の増嵩や信用毀損等の事態を事前に予防する観点から、全体を通じて計画的にプライバシー保護の取組を実施する「プライバシー・バイ・デザイン(Privacy by Design)」の考え方が重要である。
  • 個人情報等の取扱いの透明性と信頼性を確保する観点から、個人情報等に係る本人の権利利益に対するリスク、本人や社会等にとって期待される利益等を明確にし、本人を含むマルチステークホルダーに対する説明責任を果たすため、プライバシー・バイ・デザインの考え方を踏まえたデータガバナンスの体制を構築することが重要である。
  • また、以上に当たっては、政策分野に特有の事情に照らして、認定個人情報保護団体制度の活用や、新規立法含め他の法令等による体制が必要であるか否かを検討した上で取り組むことが重要である。

 

 

| | Comments (0)

2025.05.28

デジタル庁 DS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン (2025.05.27)

こんにちは、丸山満彦です。

デジタル庁が、「DS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」を公表していますね...これは、


概要:生成AIの利活用促進とリスク管理を表裏一体で進めるため、政府における生成AIのガバナンス、各府省庁における調達・利活用時のルールを定めるガイドライン。


ということです...

標準ガイドライン(Normative)、政府情報システムの整備及び管理に関するルールとして順守する内容を定めたドキュメントという位置付けですね...

独立行政法人、地方自治体だけでなく、民間企業にとっても参考になる部分もあるかもですね...

対策については基本的には、総務省と経済産業省が定めた「AI事業者ガイドライン」を活用してくださいという感じですね...

なので、このガイドラインでは、政府におけるガバナンス、管理的な部分が中心となっている感じですかね...

EUのAI法ほど段階は刻んでいませんが、リスク評価をし、リスクに応じた対応をすることになっています。具体的には、高リスク判定シートを用いて高リスクの可能性がある生成AIシステムについては、企画者が、当該プロジェクト目的、リスク軽減策や運用時を含めた品質確保策等を、各省庁の「AI統括責任者(CAIO)」がデジタル庁の「先進的AI利活用アドバイザリーボード」に報告する際に連携して対応を行うことになるようですね...

 

デジタル庁デジタル社会推進標準ガイドライン

DS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン

本文 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン  Provisional Translation of “The Guideline for Japanese Governments’ Procurements and Utilizations of Generative AI for the sake of Evolution and Innovation of Public Administration
概要 行政の進化と革新のための AI政府調達・利活用ガイドラインの概要 Provisional Translation of the abstract of the Guideline

 

概要...

20250528-50912

20250528-51057

 

本文...

20250528-52005

 

目次...

1 はじめに
1.1
 背景
1.2
 本ガイドラインの位置付け
1.3
 用語

2 本ガイドラインの目的及び適用対象
2.1
 本ガイドラインの目的
2.2
 対象範囲
 2.2.1
 本ガイドラインが対象とする情報システム
 2.2.2 本ガイドラインが対象とする生成AI
 2.2.3 本ガイドラインの対象者
 2.2.4 本ガイドラインの適用開始時期等について

3 政府における生成AIの利活用方針
3.1
 政府における生成AIの利活用方針
3.2
 高リスクな生成AI利活用の考え方

4 AIの利活用促進とAIガバナンスの強化及び推進のための体制構築
4.1
 政府全体のAIの利活用促進とAIガバナンスのための体制構築
 4.1.1
 先進的AI利活用アドバイザリーボードの開催・AI相談窓口の運用等
 4.1.2 デジタル庁の統括監理におけるチェック

4.2
 各府省庁におけるAIガバナンス体制の整備
 4.2.1
 各府省庁におけるAI統括責任者(CAIO)の設置
 4.2.2 先進的AI利活用アドバイザリーボードへの報告

5 生成AIによる便益とリスクを理解した利活用推進
5.1
 生成AIの便益
5.2
 生成AIによるリスク

6 政府における生成AIの調達・利活用に係るルール
6.1
 政府における生成AIの調達・利活用に係る対応事項の全体像
 6.1.1
 各種法令・ガイドライン等を踏まえた対応事項
 6.1.2 本ガイドラインに基づく対応事項

6.2
 政府における生成AIシステムのAI統括責任者(CAIO)の対応事項
 6.2.1
 各府省庁内向けルールの整備
 6.2.2 各府省庁内におけるAIガバナンスの確保

6.3
 政府における生成AIシステムの企画者の対応事項
 6.3.1
 生成AIシステムの企画時の対応事項
 6.3.2 生成AIシステムの調達時の対応事項
 6.3.3 生成AIシステムの構築・リリース前の準備時の対応事項

6.4
 政府における生成AIシステムの開発者の対応事項
6.5
 政府における生成AIシステムの提供者の対応事項
6.6
 政府における生成AIシステムの利用者の対応事項
6.7
 生成AIシステム特有のリスクケースへの対応

7 今後の進め方

別紙1 高リスク判定シート

別紙2 生成AIシステム利活用ルールひな形.

別紙3 調達チェックシート(生成AIシステム用)

別紙4 契約チェックシート(生成AIシステム用)


 

高リスクAI判定...

1_20250528061801

 

 


 

◼️参考

AI事業者ガイドライン

経済産業省 - AI事業者ガイドライン

 

 

IPAAIセーフティ・インスティテュート

データ品質マネジメントガイドブック

・・2025.03.31 [PDF] Data Quality Management Guidebook

・・2025.03.31 [PDF] データ品質マネジメントガイドブック 日本語訳サマリ

 

AIセーフティに関するレッドチーミング手法ガイド(第1.10版)

・・[PDF] AIセーフティに関するレッドチーミング手法ガイド(第1.10版)

・・[PDF] AIセーフティに関するレッドチーミング手法ガイド(第1.10版) 概要説明資料

・・[PDF] AIセーフティに関するレッドチーミング手法ガイド(第1.10版) 別紙(詳細解説書)

・・[PDF] AIセーフティに関するレッドチーミング手法ガイド(第1.10版) 別添1(リスクシナリオと攻撃シナリオの作成及び攻撃シナリオの実施結果)

・・[PDF] AIセーフティに関するレッドチーミング手法ガイド(第1.10版) 別添2(レッドチーミング実施結果報告書)

・・[PDF] AIセーフティに関するレッドチーミング手法ガイド(第1.10版) 別添3(最終報告書)

 

著作権と生成AI

● 文化庁 

・2024.07.31 AIと著作権に関するチェックリスト&ガイダンス

 

・文化庁文化審議会著作権分科会法制度小委員会「AIと著作権に関する考え方について」

ポイント

・2024.04 「PDF] AIと著作権に関する考え方のポイント

概要版

・2024.04 [PDF] 文化審議会 著作権分科会 法制度小委員会 「AIと著作権に関する考え方について」 【概要】

本体
・2024.03.15 [PDF] AI と著作権に関する考え方について

 

内閣府知的財産戦略推進事務局

・2024.05 [PDF] 「AI時代の知的財産権検討会中間とりまとめ」

 

個人情報保護

個人情報保護委員会

・2023.06.02 生成AIサービスの利用に関する注意喚起等について

・・[PDF] 【別添1】生成AIサービスの利用に関する注意喚起等

・・[PDF] 【別添2】OpenAIに対する注意喚起の概要

 

| | Comments (0)

2025.05.23

第29回サイバー犯罪に関する白浜シンポジウム 「アイデンティティを問い直す:匿名、なりすまし、ペルソナ、そして人ならざるもの」

こんにちは、丸山満彦です。

昨日から、「サイバー犯罪に関する白浜シンポジウム」が開催されています。今年で29回目です。今年のテーマは、「アイデンティティを問い直す:匿名、なりすまし、ペルソナ、そして人ならざるもの」です。

1_20250523060401

 

 

サイバー犯罪に関する白浜シンポジウム

 第29回 アイデンティティを問い直す:匿名、なりすまし、ペルソナ、そして人ならざるもの


≪趣旨≫

個人情報保護法の全面施行から20年を経て、プライバシーに関する意識が高まりました。この間にも個人情報の漏洩や窃取は横行しましたが、多くの人は個人情報を他者に渡すことに慎重になり、自衛のために個人を特定しうる情報を提供せずに匿名や仮名でネット活動を活発に行うようになりました。SNSの隆盛はその象徴であるといえます。

このようにペルソナ(ネット上の人格)と自然人(リアルな人格)との結びつきは曖昧になり、そのことが犯罪を誘発する事態にもなっています。ネットの匿名性をいかしたなりすましや誹謗中傷は大きな社会問題になっています。

犯罪者の側もこの匿名性を積極的に生かすようになっており、匿名・流動型犯罪グループ(トクリュウ)が暗躍する素地を作っているといえます。犯罪捜査の上ではネットの匿名性は大きな障害です。

これに加えて最近は生成AIの発達により、実在しない人の画像や動画がネットに溢れるようになりました。ついにはAIによって模倣された人格がネット上に現出し、実在しない被害者・被疑者が生じる可能性によって犯罪捜査がかく乱される事態も生じ始めています。

今回の白浜シンポジウムでは、「ネット上のアイデンティティ」の変化がもたらす諸問題を扱います。匿名性問題、ネット上での個人認証や本人確認の問題、人のように振る舞うAIなどの現状を整理し、近い将来に起きうる犯罪についても議論します。皆様のご参加をお待ちしています。




講演者と講演テーマは、

岡村久道氏 大阪弁護士会 この1年のサイバー関連立法・ネット選挙運動を振り返る
林達也氏 株式会社パロンゴ デジタルアイデンティティの時代:その意味とセキュリティとの複雑な関係
黒沢健至氏 警察庁
科学警察研究所
画像生成AI~その仕組みと特徴・フェイク画像と見破ることは可能か~
種田英明氏 警察庁
サイバー警察局サイバー捜査課
サイバー空間における脅威情勢と警察の取組
七條麻衣子氏 株式会社ラック  若年層のネット活用の現状とトラブル、社会における見守り
山下健一氏 さくらインターネット株式会社 照会に回答・差押えに応接する民間事業者の実務設計
猪俣敦夫氏 大阪大学 2025年IDからアイデンティティへの旅―大学での取り組みを経てー
武尾伸隆氏 経済産業省
商務情報政策局サイバーセキュリティ課
経済産業省におけるサイバーセキュリティ政策の検討と今後の方向性について

 

です。

過去のテーマは...

2025 第29回 アイデンティティを問い直す:匿名、なりすまし、ペルソナ、そして人ならざるもの
2024 第28回 激変する環境、複雑化するサイバー犯罪にどう立ち向かうのか?
2023 第27回 足りない人材、 追いつかない育成、次の一手は?
2022 第26回 顕在化する国境なきサイバー犯罪に立ち向かうために
~ ランサムウェアの脅威を考える ~
2021 第25回 今こそ考えるサイバー空間の「信頼」
~クラウドセキュリティとゼロトラストネットワーク~
2020 第24回 AIはサイバーセキュリティの夢を見るか?
2019 第23回 メガイベントのセキュリティ対策
~デジタル時代のイベントに対して、我々は何をすべきか~
2018 第22回 『若者とサイバー犯罪:被害者・加害者・傍観者』
2017 第21回 先見の明 IoT&AI犯罪の被害者をどう救うのか?
2016 第20回 サイバー犯罪 温故知新
2015 第19回 IT内部犯行をどう防ぐか
2014 第18回 サイバー犯罪の抑止とダメージコントロール
2013 第17回 追跡困難な新しいネット犯罪にどう立ち向かうか
2012 第16回 サイバー攻撃にどう備えるか
2011 第15回 クラウド時代のセキュリティ対策
2010 第14回 有害サイトから、子ども(我が身)を守ろう
2009 第13回 ウイルスとマルウェアの脅威 ~あなたの生活が狙われている~
2008 第12回 国民総ネット化時代の情報安全教育
2007 第11回 多様化するサイバー犯罪とその対策
2006 第10回 これまでの10年、これからの10年
2005 第09回 顔の見えないネット社会 ~匿名性を考える~
2004 第08回 ユビキタス時代の個人情報保護
2003 第07回 e-japanを考える
2002 第06回 電子政府への期待と懸念
2001 第05回 サイバー社会の防衛のための国際協力
2000 第04回 サイバー社会の防衛
1999 第03回 ネットワーク時代のコンピュータ 犯罪
1998 第02回  
1997 第01回  

 

第12回より前のデータがないです。

実は、第4回から第12回までは、NPO情報セキュリティ研究所 (RIIS) のリンクが貼っていたのですが、リンクが切れているんですよね...どこかにあるはず...

第1回と第2回はテーマがわかりません...当時は白浜ではなく、滋賀でやっていたような気がするんですよね...

2001年の第04回の時は確か私がISACA大阪支部の会長で、ISACAのネットワークを使って、クリーブランド病院のCIOを招聘しました...とても穏やかな方だった記憶があります...

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.27 サイバー犯罪に関する白浜シンポジウム 第27回 - 足りない人材、 追いつかない育成、次の一手は?

・2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

 

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.07.14 日本のインターネットはどうなんのよ。。。

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.06 「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について

・2008.06.06 学校の先生は教育できるだけの知識があるのだろうか?@白浜

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

・2004.12.17 MSのセキュリティレスポンスチームが高校の授業

 

 

 

 


| | Comments (0)

2025.05.21

米国 MIT AIリスク・レポジトリー Ver.3(2025.03.26)

こんにちは、丸山満彦です。

長いAIの冬の時代を少しは知っているので(どちらかというと懐疑的な立場だったのですが)、AIの普及には驚きと感慨があります... AIをより社会に普及させるためには、AIの普及が社会にもたらすリスクを識別し、そのリスクへの対策も同時に考えておく必要がありますね...

それを規制というのかもしれませんが、名称はどうであれ、AI普及が社会にもたらすリスクの識別と対策はAIが社会に普及していくために必要条件ですよね...

問題は、規制をするかどうかではなく、

AIの普及が社会にもたらす

・適切にリスクを識別するためにはどのようにすればよいのか?

・識別したリスクが社会に与える影響をどのように評価するのか?

・リスクを低減する対策にはどのようなものがあるのか?

・その対策の社会的な効果と社会的コストをどのように評価するのか?

・そしてその対策を適切に社会に実装するためにはどのようにすればよいのか?

・得られた結果から必要な改善に繋げていくためにはどのようにすればよいのか?

ということなのかもしれません。

これは、1回きりの話ではないですよね。滅多におこらないことについて人間は適切な評価をすることはできないですし、技術進歩等により社会環境がかわると影響や対策の効果・コストも変わってきますので...

サイバーセキュリティあるいは情報セキュリティも最初は同じような議論が繰り返されたと思います。変化が激しいので、社会的なコンセンサスをとるのが難しいからです。

社会的なコンセンサスがとれるようになるには、社会として、成功、失敗の経験を重ねていく必要があるのかもしれません。つまり、ある程度の時間はかかる。

なので、黎明期というのは、その不安定な状況でビジネスをするということで、機会とリスクが大きい。だから楽しい時代だと言えますね。

そういう意味では、社会的なコンセンサスになりそうな着地点と時間を、より正確に早く評価できた人、組織、国が、成功するのかもしれませんね...

 

マサチューセッツ工科大学(Massachusetts Institute of Technology)は、AIリスクのレポジトリーを開発し、公開していますね... 3月にVer3に更新したようです...

1600を超えるAIリスクをその原因とリスク領域別に分類した包括的なデータベースです。。。人間が網羅的に深く理解することは難しいかもしれません...

しかし、この構造を理解して、目的に適合して利用すれば非常に有益なものだと思います...(ビデオで丁寧に説明してくれます。)

MIT AI Risk Repository

 

・[slide] View the Domain Taxonomy 

AIリスクのドメイン・タクソノミー

1 Discrimination & Toxicity 1 差別と有害性
1.1 Unfair discrimination and misrepresentation 1.1 不当な差別と不当表示
1.2 Exposure to toxic content 1.2 有害物へのエクスポージャー
1.3 Unequal performance across groups 1.3 グループ間の不平等なパフォーマンス
2 Privacy & Security 2 プライバシーとセキュリティ
2.1 Compromise of privacy by obtaining, leaking or correctly inferring sensitive information 2.1 機密情報の入手、漏洩、または正確な推論によるプライバシーの侵害
2.2 AI system security vulnerabilities and attacks 2.2 AIシステムのセキュリティ脆弱性と攻撃
3 Misinformation 3 誤情報
3.1 False or misleading information 3.1 誤った情報、誤解を招く情報
3.2 Pollution of information ecosystem and loss of consensus reality 3.2 情報エコシステムの汚染とコンセンサスリアリティの喪失
4 Malicious actors & Misuse 4 悪意のある行為者と悪用
4.1 Disinformation, surveillance, and influence at scale 4.1 規模に応じた偽情報、監視、影響力
4.2 Cyberattacks, weapon development or use, and mass harm 4.2 サイバー攻撃、武器の開発・使用、集団的被害
4.3 Fraud, scams, and targeted manipulation 4.3 詐欺、詐欺、標的型操作
5 Human-Computer Interaction 5 人間とコンピュータの相互作用
5.1 Overreliance and unsafe use 5.1 過度の信頼と安全でない使用
5.2 Loss of human agency and autonomy 5.2 人間の主体性と自律性の喪失
6 Socioeconomic & Environmental Harms 6 社会経済的・環境的弊害
6.1 Power centralization and unfair distribution of benefits 6.1 権力の集中化と利益の不公平な配分
6.2 Increased inequality and decline in employment quality 6.2 不平等の拡大と雇用の質の低下
6.3 Economic and cultural devaluation of human effort 6.3 経済的・文化的な人間の努力の切り下げ
6.4 Competitive dynamics 6.4 競争力学
6.5 Governance failure 6.5 ガバナンスの失敗
6.6 Environmental harm 6.6 環境への悪影響
7 AI system safety, failures, and limitations 7 AIシステムの安全性、失敗、限界
7.1 AI pursuing its own goals in conflict with human goals or values 7.1 人間の目標や価値観と相反する独自の目標を追求するAI
7.2 AI possessing dangerous capabilities 7.2 危険な能力を持つAI
7.3 Lack of capability or robustness 7.3 能力または堅牢性の欠如
7.4 Lack of transparency or interpretability 7.4 透明性または解釈可能性の欠如
7.5 AI welfare and rights 7.5 AIの福祉と権利
7.6 Multi-agent risks  7.6 マルチエージェントのリスク 

 

コピーして使えます...

 

・[sheets] Database (copy)

目次...

Contents 目次
A guide to the tabs in this sheet. このシートのタブのガイド
Causal Taxonomy of AI Risks v0.1 AIリスクの原因分類法 v0.1
The Causal Taxonomy of AI Risks, adapted from Yampolskiy (2016), classifies risks by its causal factors (1) entity (human, AI), (2) intentionality (intentional, unintentional), and (3) timing (pre-deployment, post-deployment). Yampolskiy(2016)から引用したAIリスクの原因分類法は、リスクをその原因要因(1)事業体(人間、AI)、(2)意図性(意図的、非意図的)、(3)タイミング(展開前、展開後)によって分類している。
Domain Taxonomy of AI Risks v0.1 AIリスクのドメイン分類法 v0.1
The Domain Taxonomy of AI Risks adapted from Weidinger (2022) classifies risks into 7 AI risk domains: (1) Discrimination & Toxicity, (2) Privacy & Security, (3) Misinformation, (4) Malicious Actors & Misuse, (5) Human-Computer Interaction, (6) Socioeconomic & Environmental, and (7) AI System Safety, Failures, & Limitations. These are further divided into 24 subdomains. Weidinger(2022)を参考にしたAIリスクのドメイン分類法は、リスクを7つのAIリスクドメインに分類している:(1)差別と有害性、(2)プライバシー・セキュリティ、(3)誤情報、(4)悪意ある行為者・悪用、(5)人間とコンピュータの相互作用、(6)社会経済・環境、(7)AIシステムの安全性・故障・限界。これらはさらに24のサブドメインに分かれている。
AI Risk Database AIリスクデータベース
Our living database of risks. リスクに関する更新しているデータベース。
AI Risk Database explainer AIリスクデータベースの説明書
An explainer for our database of 1612 risks extracted from 65 frameworks, categorised with the two taxonomies discussed above. You can also watch a video. 65の枠組みから抽出された1612のリスクを、前述の2つの分類法で分類したデータベースの解説。ビデオを見ることもできる。
Causal Taxonomy statistics 因果分類統計
See how risks are classified by the Causal Taxonomy 因果分類法によってリスクがどのように分類されるかを見る。
Domain Taxonomy statistics ドメイン分類法の統計
See how risks and paper are classified by the Domain Taxonomy ドメイン分類法によるリスクと論文の分類を見る
Causal x Domain Taxonomy comparison 因果分類とドメイン分類の比較
See how risks are categorised across both taxonomies 両分類法におけるリスクの分類を見る
Included resources 含まれるリソース
A list of all documents included in the database データベースに含まれる全文書のリスト
Resources being considered 検討中のリソース
A list of all documents in consideration for future inclusion 今後の収録を検討中の全文書のリスト
Change Log 変更履歴
A record of updates made to the AI Risk Repository. AIリスク・リポジトリの更新記録。

 

ビデオ...

・[Youtube]

20250521-63441

 

 

・[PDF]

20250521-62434

 

 

 

 

 

| | Comments (0)

2025.05.19

フランス CNIL より良いプライバシー保護のためのモバイルアプリケーションについての勧告(2025.05.13)

こんにちは、丸山満彦です。

CNILが”Recommendation on mobile applications”を公表していますね...

・2025.05.13 Mobile applications: CNIL publishes its recommendations for better privacy protection

 

Mobile applications: CNIL publishes its recommendations for better privacy protection モバイルアプリケーション CNIL、より良いプライバシー保護のための勧告を発表
Following a public consultation, the CNIL has published the final version of its recommendations to help professionals design mobile applications that respect privacy. Starting from 2025 onwards, it will ensure that these recommendations are taken into account through enforcement actions. 公開協議の結果、CNILはプライバシーを尊重したモバイルアプリケーションを設計する専門家を支援するための勧告の最終版を公表した。2025年以降、CNILは強制措置を通じてこれらの勧告が考慮されるようにする。
French citizens increasingly use mobile applications in their daily life, whether to communicate, play, find their way around, shop, meet new people, monitor their health... In 2023, for example, they downloaded 30 applications on average and used their cell phones for an average of 3 hours 30 minutes a day (source: data.ai). フランス国民は、コミュニケーション、遊び、道案内、買い物、新しい人との出会い、健康管理など、日常生活でモバイルアプリケーションを利用する機会が増えている。例えば、2023年には、平均30個のアプリケーションをダウンロードし、1日平均3時間30分携帯電話を使用している(出典:data.ai)。
However, the mobile environment poses greater risks to data confidentiality and security than the web. しかし、モバイル環境はウェブよりもデータの機密性とセキュリティに大きなリスクをもたらす。
Mobile applications have access to more varied and sometimes more sensitive data, such as real-time location, photographs and health data. Moreover, the permissions required from users to access functions and data on their device are often quite extensive (microphone, contact list, etc.). Finally, many stakeholders are involved in the operation of a single application, and are therefore likely to collect or share personal data. モバイル・アプリケーションは、リアルタイムの位置情報、写真、健康データなど、より多様で、時にはよりセンシティブなデータにアクセスできる。さらに、ユーザーがデバイス上の機能やデータにアクセスするために必要なアクセス許可は、かなり広範囲に及ぶことが多い(マイク、連絡先リストなど)。最後に、1つのアプリケーションの運用には多くの関係者が関与するため、個人データを収集または共有する可能性が高い。
In its recommendations, the CNIL reiterates the principles laid down by law and offers advice to help professionals design privacy-friendly applications. CNILは勧告の中で、法律で定められた原則を繰り返し、専門家がプライバシーに配慮したアプリケーションを設計するのに役立つアドバイスを提供している。
Recommendations for better GDPR compliance GDPRコンプライアンス向上のための提言
Resources for all mobile application stakeholders すべてのモバイルアプリケーション関係者のためのリソース
The CNIL recommendations are aimed at all those involved in developing and making available mobile applications, to ensure enhanced protection of personal data at every stage: CNILの勧告は、モバイルアプリケーションの開発および提供に携わるすべての関係者を対象としており、あらゆる段階で個人データの保護を強化することを目的としている:
・Mobile application publishers, who make mobile applications available to users. ・モバイルアプリケーションをユーザーに提供するモバイルアプリケーション発行者。
・Mobile application developers, who write the computer codes that make up a mobile application. ・モバイルアプリケーション開発者:モバイルアプリケーションを構成するコンピュータコードを記述する。
・Software development kit (SDK) providers, who develop "ready-to-use" functionalities that can be directly integrated by developers into mobile applications (audience measurement, advertising targeting, etc.). ・ソフトウェア開発キット(SDK)プロバイダ:開発者がモバイルアプリケーションに直接統合できる「すぐに使える」機能(オーディエンス測定、広告ターゲティングなど)を開発する。
・Operating system providers, who provide the operating systems (e.g. iOS or Android) on which mobile applications will run. ・オペレーティングシステムプロバイダー:モバイルアプリケーションが動作するオペレーティングシステム(iOSやAndroidなど)を提供する。
・Application store providers, who offer platforms for downloading new applications. ・アプリケーションストア・プロバイダは、新しいアプリケーションをダウンロードするためのプラットフォームを提供する。
The objectives of the recommendations 勧告の目的
1. Clarifying and framing the role of each stakeholder 1. 各ステークホルダーの役割を明確にし、枠組みを作る。
The recommendations specify the division of responsibilities between stakeholders in the mobile ecosystem, and clarify their respective obligations to provide legal certainty. They also provide practical advice on how to manage their collaboration. 勧告は、モバイルエコシステムにおける利害関係者間の責任分担を明確にし、それぞれの義務を明確にして法的確実性を提供する。また、各ステークホルダーの協力関係を管理する方法について、実践的なアドバイスを提供する。
2. Improving user information on the use of their data 2. データ利用に関するユーザー情報の改善
The recommendations are aimed at improving user information on the use of their data. This information should always be clear, accessible and presented at the right time in the application. 勧告は、データの利用に関するユーザー情報の改善を目的としている。この情報は常に明確で、アクセスしやすく、アプリケーションの適切なタイミングで提示されるべきである。
They offer advice and best practices to stakeholders, in particular to ensure that users understand whether the permissions requested are really necessary for the application to function. 特に、要求された許可がアプリケーションの機能にとって本当に必要なものであるかどうかをユーザーが理解できるようにするために、関係者に助言とベストプラクティスを提供する。
3. Ensuring that consent is informed and not forced 3. 同意がインフォームド・コンセントであり、強制されたものでないことを保証する。
The recommendations reiterate that applications must obtain consent to process data that is not necessary for their operation, e.g. for targeted advertising purpose.
勧告は、アプリケーションが、例えばターゲット広告の目的のために、その運用に必要でないデータを処理する同意を得なければならないことを繰り返し述べている。
They specify the conditions under which consent must be sought, and in particular that it must not be forced. Users must be able to refuse consent, or to withdraw their consent if they change their mind, as simply as they are asked to give it. Finally, the recommendations indicate how the collection of consent can be articulated with the system of technical permissions. 特に、同意を強制してはならない。利用者は、同意を求められたときと同様に、同意を拒否したり、気が変わったら同意を撤回したりできなければならない。最後に、勧告は、同意の収集と技術的許可のシステムをどのように関連づけることができるかを示している。
Read the recommendation 勧告を読む
This document is a courtesy translation. Only the French version is legally binding. この文書は表向きの翻訳である。法的拘束力を持つのはフランス語版のみである。
A follow-up of the consultation with stakeholders 利害関係者との協議のフォローアップ
Rich contributions from a variety of stakeholders 様々な利害関係者からの豊富な貢献
Following the example of its work on cookies, the CNIL held consultations with various stakeholders representing the mobile application ecosystem, to gain a better understanding of all the issues at stake in this complex sector. The CNIL's work was also informed by a reflection on the economic issues associated with data collection in the mobile world.  The CNIL published a summary of the contributions received on its website (in French). CNILは、Cookieに関する作業の例に倣い、モバイルアプリケーションのエコシステムを代表する様々な利害関係者と協議を行い、この複雑な分野で問題となっているすべての問題について理解を深めた。CNILの作業は、モバイルの世界におけるデータ収集に関連する経済的な問題についての考察からも情報を得ていた。CNILはウェブサイトに寄せられた意見の概要を掲載した(フランス語)。
The draft recommendations resulting from this work was then submitted for public consultation in July 2023, to gather the opinions of all stakeholders, whether from the associative sector, the general public or professional circles. この作業から得られた勧告のドラフトは2023年7月に公開協議に付され、団体部門、一般市民、専門家を問わず、すべての利害関係者の意見を収集した。
The CNIL received contributions from various stakeholders in the mobile application ecosystem. CNILは、モバイルアプリケーションのエコシステムにおける様々な利害関係者から寄稿を受けた。
► Read the summary of contributions to the public consultation (in French) 公開協議への意見の概要を読む(フランス語)
The opinion of the French Competition Authority, a first concrete expression of the ADLC-CNIL joint declaration ADLC-CNIL共同宣言の最初の具体的な表現であるフランス競争当局の見解
For the first time, this work led the CNIL to formally refer the matter to the French Competition Authority (Autorité de la concurrence or ADLC in French), in view of the growing interaction between personal data protection and competition law. The ADLC delivered its opinion on December 4, 2023. 個人データ保護と競争法との相互作用の高まりを踏まえ、CNILはこの作業により初めて、この問題をフランス競争当局(Autorité de la concurrence、仏語ではADLC)に正式に付託した。ADLCは2023年12月4日に意見書を提出した。
The referral to the ADLC, which follows on from the joint declaration signed by the two authorities in December 2023, is the first concrete expression of the commitments made by the two institutions. They thus reaffirm their shared desire to develop and exploit the synergies in the framework of their missions as regulators, for a responsible and equitable digital industry. ADLCへの付託は、2023年12月に両当局が署名した共同宣言に続くものであり、両当局のコミットメントの最初の具体的表現である。このように両者は、責任ある公正なデジタル産業のために、規制当局としての使命の枠組みにおいてシナジーを発展させ、活用するという共通の願いを再確認している。
► Read the joint document on close cooperation between the CNIL and the Autorité de la concurrence on mobile applications (in French) モバイルアプリケーションに関するCNILとAutorité de la concurrenceの緊密な協力に関する共同文書(フランス語)を読む。
New clarifications from the CNIL CNILによる新たな説明
The contributions received during the public consultation and the opinion of the ADLC have broaden and consolidated the recommendations, published in their final version. パブリックコンサルテーションで寄せられた意見とADLCの意見により、最終版として公表された勧告はより広範になり、統合された。
The CNIL has clarified its recommendations on several points, both in form and substance:  CNILは、形式的にも実質的にも、いくつかの点について勧告を明確化した: 
・In particular, the CNIL has made a clearer distinction between what is mandatory – and applies to everyone – and what is a recommendation or best practice, in order to provide greater legal certainty. 特に、CNILは、法的な確実性を高めるため、すべての人に適用される義務的なものと、勧告やベストプラクティスとの区別を明確にした。
It also explained the interactions between the recommendations and the consideration of competition issues. It points out that the recommendation must be applied in compliance with competition law and the Digital Market Act (DMA). また、勧告と競争問題の検討との相互作用についても説明している。勧告は競争法とデジタル市場法(DMA)を遵守して適用されなければならないと指摘している。
・Finally, the CNIL has refocused its recommendations on permissions systems, targeting so-called "technical" permissions, designed by OS suppliers, which enable the user to give or block access to certain information (contact book, geolocation, microphone, camera, etc.), regardless of the purposes for which they might be used (advertising, statistics, technical, etc.). 最後に、CNILは、OSサプライヤーが設計した、いわゆる「技術的」アクセス許可を対象とするアクセス許可システムに関する勧告に焦点を絞っている。これは、利用目的(広告、統計、技術など)にかかわらず、ユーザーが特定の情報(連絡帳、ジオロケーション、マイク、カメラなど)へのアクセスを許可またはブロックできるようにするものである。
Next steps 次のステップ
Over the coming months, the CNIL will be providing support to the industry, notably through webinars. The aim is to help them make the most of the rules and guarantees set out in the recommendation, and implement the necessary measures to ensure that they are effectively complied with. 今後数ヶ月間、CNILは特にウェビナーを通じて、業界へのサポートを提供する予定である。その目的は、勧告に規定された規則や保証を最大限に活用し、それらが効果的に遵守されるよう必要な措置を講じることを支援することである。
From early spring 2025, the CNIL will deploy a specific investigation campaign on mobile applications to ensure compliance with the applicable rules. In the meantime, the CNIL will continue to deal with any complaints it receives, carry out any investigation it deems necessary and, if necessary, adopt any corrective measures required to effectively protect the privacy of mobile application users. 2025年初春から、CNILはモバイルアプリケーションに関する特定の調査キャンペーンを展開し、適用される規則の遵守を確保する。その間、CNILは引き続き、受けた苦情に対応し、必要と思われる調査を実施し、必要であれば、モバイルアプリケーション利用者のプライバシーを効果的に保護するために必要な是正措置を採用する。
This investigation campaign will complement the investigations already carried out by the CNIL, notably as part of its 2023 investigation priorities, on applications that track users for various purposes (advertising, statistics, etc.) in the absence of user consent. この調査キャンペーンは、CNILがすでに実施している調査を補完するものであり、特に2023年調査優先事項の一環として、ユーザーの同意がないにもかかわらず、様々な目的(広告、統計など)でユーザーを追跡するアプリケーションについて実施される。
Read more さらに読む
Mobile applications: CNIL publishes its recommendations for better privacy protection (in French) モバイルアプリケーション CNIL、より良いプライバシー保護のための勧告を発表(フランス語)
Mobile applications: your privacy must be better protected (in French) モバイルアプリケーション:あなたのプライバシーはよりよく保護されなければならない(フランス語)
Reference text 参考テキスト
Délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles (in French) - Légifrance モバイルアプリケーションに関する勧告の採択に関する2024年7月18日付法令第2024-061号(フランス語) - フランス

 

原文

・[PDF] Recommandation relative aux applications mobiles


20250519-61814

 

英語仮訳

・[PDF] Recommendation on mobile applications

20250519-61035

 

目次...

Table of contents 目次
1.  Introduction 1. 序論
2.  Scope of the recommendation 2. 勧告の範囲
2.1.  Who is this recommendation addressed to? 2.1. 本勧告は誰に向けたものか?
2.2.  What is meant by "mobile application"? 2.2. モバイルアプリケーション」とは何か?
2.3.  Who are the stakeholders in the mobile applications sector? 2.3. モバイルアプリケーション分野の利害関係者は誰か?
3.  Is the application subject to the rules on the protection of personal data? 3. アプリケーションは個人データ保護に関する規則の対象者か?
3.1.  Application of the ePrivacy Directive 3.1. eプライバシー指令の適用
3.2.  Application of the GDPR 3.2. GDPRの適用
3.3.  Processing covered by the domestic exemption 3.3. 国内適用除外の対象となる処理
4.  What are the roles of each stakeholder in the use of the application? 4. アプリケーションの使用における各関係者の役割は何か?
4.1.  Why is it important to determine the role of every stakeholder within the meaning of the GDPR? 4.1. GDPRの意味における各関係者の役割を決定することがなぜ重要なのか?
4.2.  Determine the qualifications of each stakeholder 4.2. 各利害関係者の資格を決定する
5.  Publisher-specific recommendations 5. 提供社固有の勧告
5.1.  Design its application 5.1. アプリケーションを設計する
5.2.  Mapping partners 5.2. パートナーのマッピング
5.3.  Managing consent and people's rights 5.3. 同意と人々の権利を管理する
5.4.  Maintain compliance throughout the lifecycle of the application 5.4. アプリケーションのライフサイクルを通じてコンプライアンスを維持する
5.5.  Permissions and data protection by design 5.5. 設計による防御とデータ保護
5.6.  Checklist 5.6. チェックリスト
6.  Developer-specific recommendations 6. 開発者固有の勧告
6.1.  Formalise your relationship with the publisher 6.1. 提供社との関係を正式にする
6.2.  Assume its advisory role towards the publisher 6.2. 提供社に対する助言的役割を引き受ける
6.3.  Making good use of SDKs 6.3. SDKをうまく活用する
6.4.  Ensure the security of the application 6.4. アプリケーションのセキュリティを確保する
6.5.  Checklist 6.5. チェックリスト
7.  Software Development Kit (SDK) Provider Specific Recommendations 7. ソフトウェア開発キット(SDK)プロバイダ固有の勧告
7.1.  Designing your service 7.1. サービスの設計
7.2.  Documenting the right information 7.2. 正しい情報を文書化する
7.3.  Managing consent and people's rights 7.3. 同意と人々の権利を管理する
7.4.  Participate in maintaining compliance of the application over time 7.4. 長期にわたるアプリケーションのコンプライアンス維持に参加する
7.5.  Checklist 7.5. チェックリスト
8.  Operating System (OS) Provider Specific Recommendations 8. オペレーティングシステム(OS)プロバイダ固有の勧告
8.1.  Ensure the compliance of the processing of personal data implemented 8.1. 実施されるパーソナルデータの処理のコンプライアンスを確保する。
8.2.  Ensuring that partners are properly informed 8.2. パートナーへの適切な情報提供を徹底する
8.3.  Provide tools to enable respect for users' rights and consent 8.3. 利用者の権利と同意の尊重を可能にするツールを提供すること
8.4.  Provide a secure platform 8.4. 安全なプラットフォームを提供する。
8.5.  Checklist 8.5. チェックリスト
9.  Application Store Provider Specific Recommendations 9. アプリケーションストア・プロバイダ固有の勧告
9.1.  Analyze applications submitted by publishers 9.1. パブリッシャーから提出されたアプリケーションを分析する
9.2. Implement transparent application review processes that incorporate verification of basic data protection rules 9.2. 基本的なデータ保護ルールの検証を組み込んだ、透明性のあるアプリケーション審査プロセスを導入する。
9.3.  Inform users and provide them with reporting tools 9.3. ユーザーに情報を提供し、報告ツールを提供する。
9.4.  Checklist 9.4. チェックリスト
10.  Glossary 10. 用語集

 

 

 

 

 

| | Comments (0)

2025.05.11

カリフォルニア州 プライバシー保護法案の修正案についての意見募集 (2025.05.08)

こんにちは、丸山満彦です。

カリフォルニア州の消費者プライバシー保護法の改正案が2024.11.22にだされ、意見募集されたのですが、その結果を受けて再びの改正案が公表されていますね...

サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する規制に関する改正案ですね...

 

California Privacy Protection Agency

・2025.05.08 Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies

 

Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies CCPA の更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する規制案
On November 8, 2024, the California Privacy Protection Agency (Agency) Board voted to commence formal rulemaking on the following regulatory subjects: CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies. Specifically, the proposed regulations seek to (1) update existing CCPA regulations; (2) implement requirements for certain businesses to conduct risk assessments and complete annual cybersecurity audits; (3) implement consumers' rights to access and opt–out of businesses' use of ADMT; and (4) clarify when insurance companies must comply with the CCPA. 2024年11月8日、カリフォルニア州プライバシー保護庁(以下「庁」)理事会は、CCPA の更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する以下の規制事項について、正式な規則制定を開始することを決議した。具体的には、この規制案は (1) 既存の CCPA 規制の更新、(2) 特定の事業者にリスクアセスメントの実施と年次サイバーセキュリティ監査の完了を義務付ける要件の導入、(3) 消費者が事業者の ADMT の利用にアクセスし、それをオプトアウトする権利の導入、および (4) 保険会社が CCPA を遵守しなければならない場合について明確化することを目的としている。
Notice Register Publication Date: November 22, 2024 通知登録日:2024年11月22日
Status of the Proposal: On May 9, 2025, the Agency noticed modifications to the text of the proposed regulations. The Public Comment Period for the proposed changes is open from May 9, 2025 – June 2, 2025. The comment period closes on June 2, 2025, at 5:00 p.m. Pacific Time. 提案の現状:2025年5月9日、当局は提案された規制の文言の変更を通知した。提案された変更に関するパブリックコメント期間は、2025年5月9日から2025年6月2日まで。コメント期間は、2025年6月2日午後5時(太平洋時間)に終了する。
Public comments may be submitted to the Agency electronically at [mail]
, or by mail at the address included in the Notice of Modifications to Text of Proposed Regulations and Additional Documents Relied Upon. Please include “Public Comment on CCPA Updates, Cyber, Risk, ADMT, and Insurance Regulations” in the subject line of your comment.
パブリックコメントは、[mail]
から電子的に、または「規制案の文面変更および追加資料に関する通知」に記載された住所宛てに郵送で提出することができる。コメントの件名には、「CCPA の更新、サイバー、リスク、ADMT、および保険に関する規制に関するパブリックコメント」と記載してください。
Please note that all information provided in oral and written comments is subject to public disclosure. 口頭および書面によるコメントで提供された情報は、すべて公開されることにご留意ください。
Rulemaking Documents 規則制定文書
May 9, 2025 – Public Notice of Modifications to Proposed Regulations 2025年5月9日 – 提案規則の改定に関する公的通知 
Notice of Modifications to Text of Proposed Regulations and Additional Materials Relied Upon ・提案規則の本文の改定および依拠する追加資料に関する通知
Modified Text of Proposed Regulations ・提案規則の改定本文
20250511-65758
January 13, 2025 – Public Notice of Extension of Comment Period 2025年1月13日 – コメント期間の延長に関する公的通知 
・Notice of Extension of Public Comment Period and Additional Hearing Date ・コメント期間の延長および追加公聴会の日程に関する通知 
November 22, 2024 – Public Notice of Rulemaking and Related Documents 2024年11月22日 – 規則制定および関連文書に関する公的通知
Notice of Extension of Public Comment Period and Additional Hearing Date ・意見提出期間の延長および追加公聴会の日程に関する公告
Notice of Proposed Rulemaking ・規則制定案の公告
Text of Proposed Regulation ・規則案の本文
Initial Statement of Reasons ・最初の理由説明
Initial Statement of Reasons Appendix A: Standardized Regulatory Impact Assessment ・最初の理由説明 附属書 A:標準化された規制影響評価
Economic and Fiscal Impact Statement (STD 399) ・経済および財政への影響に関する声明(STD 399
Public Comments パブリックコメント
Comments received during the November 22, 2024 – February 19, 2025 Comment Period are linked below. 2024 年 11 月 22 日から 2025 年 2 月 19 日までの意見提出期間に寄せられたコメントは、以下のリンクからご覧いただけます。
書面によるコメント
口頭によるコメント
Preliminary Rulemaking Activities 予備的な規則制定活動
The California Privacy Protection Agency solicited preliminary written comments from the public via an Invitation for Preliminary Comments on Proposed Rulemaking on the following topics: Cybersecurity Audits, Risk Assessments, and Automated Decisionmaking from February 10, 2023 through March 27, 2023. That period has now closed, and the public comments are available via the links below. カリフォルニア州プライバシー保護局は、2023年2月10日から2023年3月27日まで、サイバーセキュリティ監査、リスクアセスメント、および自動意思決定に関する規則制定案に関する予備的意見募集を通じて、予備的な書面による意見を一般から募集した。この期間は終了しており、パブリックコメントは、以下のリンクからご覧いただけます。
Preliminary Public Comments 予備的なパブリックコメント
予備的な公開コメント期間中に受け付けたコメント
予備的な公開コメント期間終了後に受け付けたコメント
Transcripts 議事録
Public Hearing – January 14, 2025 公開聴聞会 – 2025年1月14日
Public Hearing – February 19, 2025 公開聴聞会 – 2025年2月19日
Webcasts ウェブキャスト
Public Hearing – January 14, 2025 公開聴聞会 – 2025年1月14日
Public Hearing – February 19, 2025 公開聴聞会 – 2025年2月19日
Further Information 詳細情報
Information regarding the rulemaking process will be posted to [web]. If you would like to receive notifications regarding rulemaking activities, please subscribe to the “Rulemaking Proceedings” email list at [web]. Please note that comments are public records and will be published on the Agency's website. 規則制定手続きに関する情報は、[web] に掲載されます。規則制定活動に関する通知を受け取りたい場合は、[web]. で「Rulemaking Proceedings」メールリストに登録してください。コメントは公文書であり、機関のウェブサイトに公開されることにご注意ください。

 

 

 

修正案の削除部分を削除した内容...

Continue reading "カリフォルニア州 プライバシー保護法案の修正案についての意見募集 (2025.05.08)"

| | Comments (0)

2025.05.08

英国 NCSC 英国政府はパスキーに移行

こんにちは、丸山満彦です。

NCSCが英国政府は今年の後半にデジタルサービス全体にパスキーを導入する予定であると発表していますね...また、NCSCがFIDOアライアンス[wikipedia]に参加するようです...

セキュリティの強化とともにコスト削減も考えていますね...

 

NCSC

1_20250121060101

・2025.05.07 UK pioneering global move away from passwords

UK pioneering global move away from passwords 英国、パスワードからの脱却を世界先駆けて推進
Government to roll out passkey technology across digital services as an alternative to SMS-based verification. 政府は、SMS ベースの認証に代わるものとして、デジタルサービス全体にパスキー技術を導入する。
・Government set to roll out passkey technology across digital services later this year. ・政府は、今年後半にデジタルサービス全体にパスキー技術を導入する予定。
・SMS-based verification to be replaced by more secure, cost-effective solution. ・SMS ベースの認証は、より安全でコスト効率の高いソリューションに置き換えられる。
・NCSC joins FIDO Alliance to shape international passkey standards. ・NCSC は、国際的なパスキーの標準策定のために FIDO アライアンスに参加。
The UK government is set to roll out passkey technology for its digital services later this year as an alternative to the current SMS-based verification system, offering a more secure and cost-effective solution that could save several million pounds annually. 英国政府は、現在の SMS ベースの検証システムの代替手段として、今年後半にデジタルサービスにパスキー技術を導入する予定だ。これにより、より安全でコスト効率の高いソリューションが実現し、年間数百万ポンドのコスト削減が見込まれる。
Announced on the first day of the government’s flagship cyber security event, CYBERUK, the move to implement passkey technology for the government’s GOV.UK services marks a major step forward in strengthening the nation’s digital security. 政府のサイバーセキュリティに関する主要イベント「CYBERUK」の初日に発表された、政府の GOV.UK サービスにパスキー技術を導入する動きは、英国のデジタルセキュリティ強化における大きな前進となる。
Passkeys are unique digital keys that are today tied to specific devices, such as a phone or a laptop, that help users log in safely without needing an additional text message or other code. When a user logs in to a website or app, their device uses this digital key to prove the user’s identity without needing to send a code to a secondary device or to receive user input. パスキーは、スマートフォンやノートパソコンなどの特定のデバイスに紐付けられた一意のデジタルキーで、ユーザーが追加のテキストメッセージやコードを入力せずに安全にログインできるようにする。ユーザーがウェブサイトやアプリにログインする際、デバイスはこのデジタルキーを使用してユーザーの身分を証明し、二次デバイスにコードを送信したり、ユーザー入力を受け取ったりする必要がない。
This method is more secure because the key remains stored on the device and cannot be easily intercepted or stolen, making them phishing-resistant by design. As a result, even if someone attempts to steal a password or intercept a code, they would be unable to gain access without the physical device that contains the passkey. この方法は、鍵がデバイスに保存されたままになるため、容易に傍受や盗難のリスクがなく、設計上フィッシング攻撃に耐性がある。その結果、パスワードを盗んだりコードを傍受したりしても、パスキーを含む物理的なデバイスがなければアクセスできない。
The NCSC considers passkey adoption as vital for transforming cyber resilience at a national scale, and the UK is already leading internationally with the NHS becoming one of the first government organisations in the world to offer passkeys to users. NCSC は、パスキーの採用は国家規模のサイバーレジリエンスの変革に不可欠であると考えており、英国はすでに国際的に先駆的な取り組みを進めており、NHS はパスキーをユーザーに提供する世界初の政府機関のひとつとなっている。
In addition to enhanced security and cost savings, passkeys offer users a faster login experience, saving approximately one minute per login when compared to entering a username, password, and SMS code. セキュリティの強化とコスト削減に加え、パスキーはユーザーにログインの高速化をもたらし、ユーザー名、パスワード、SMS コードを入力する場合に比べ、1 回のログインあたり約 1 分の時間を節約できる。
AI and Digital Government Minister Feryal Clark said: AI およびデジタル政府担当大臣のフェリアル・クラーク氏は、次のように述べている。
“The rollout of passkeys across GOV.UK services marks another major step forward in strengthening the UK’s digital defences while improving the user experience for millions. 「GOV.UK サービス全体にパスキーを導入することは、英国のデジタル防御を強化すると同時に、何百万人ものユーザーのユーザーエクスペリエンスを向上させる、もう一つの大きな前進だ。
“Replacing older methods like SMS verification with modern, secure passkeys will make it quicker and easier for people to access essential services — without needing to remember complex passwords or wait for text messages. SMS による検証などの旧式の方法を、現代的で安全なパスキーに置き換えることで、複雑なパスワードを覚えたり、テキストメッセージを待ったりすることなく、人々はより迅速かつ簡単に重要なサービスにアクセスできるようになる。
“This shift will not only save users valuable time when interacting with government online, but it will reduce fraud and phishing risks that damage our economic growth.” この移行により、ユーザーはオンラインで政府とやり取りする際に貴重な時間を節約できるだけでなく、経済成長を損なう詐欺やフィッシングのリスクも軽減される」。
NCSC Chief Technical Officer Ollie Whitehouse said: NCSC の最高技術責任者、オリー・ホワイトハウス氏は次のように述べている。
“The NCSC has a stated objective for the UK to move beyond passwords in favour of passkeys, as they are secure against common cyber threats such as phishing and credential stuffing.  「NCSC は、フィッシングやクレデンシャルスタッフィングなどの一般的なサイバー脅威に対して安全であるパスキーを、パスワードに代わるものとして英国で普及させることを目標としている。
“By adopting passkey technology, government is not only leading by example by strengthening the security of its services but also making it easier and faster for citizens to access them.  パスキー技術を採用することで、政府はサービスのセキュリティを強化するだけでなく、市民がサービスにアクセスしやすくなり、アクセス時間も短縮されるという、模範的な取り組みを先導することになる。
“We strongly advise all organisations to implement passkeys wherever possible to enhance security, provide users with faster, frictionless logins and to save significant costs on SMS authentication.” すべての組織は、セキュリティを強化し、ユーザーに迅速でスムーズなログインを提供し、SMS 認証にかかる大幅なコストを削減するために、可能な限りパスキーを導入することを強く推奨する。
The NCSC has also today announced that it has joined the FIDO Alliance, the global body shaping the future of password-free authentication. This step will allow the UK to play an active role in the evolution of passkey standards. NCSC は本日、パスワード不要の認証の未来を形作るグローバル団体である FIDO アライアンスに参加したことを発表した。この措置により、英国はパスキーの標準化の進化において積極的な役割を果たすことができる。」
Executive Director and CEO of the FIDO Alliance Andrew Shikiar said: FIDO アライアンスのエグゼクティブディレクター兼 CEO であるアンドリュー・シキアル氏は、次のように述べている。
“The UK Government’s adoption of passkeys across its digital services reflects a profound decision that stands to protect UK citizens’ while providing the government with greater security and operational efficiency.  By prioritising modern, phishing-resistant authentication, the UK is setting a strong example for both the public and private sectors in the UK and beyond. 「英国政府がデジタルサービス全体にパスキーを採用したことは、英国国民を保護すると同時に、政府にセキュリティと業務効率の向上をもたらすという、深い決断を反映したものだ。フィッシングに強い最新の認証を優先することで、英国は英国およびその他の国の公共部門と民間部門の両方に強力な手本を示している。
“We’re also very pleased that the NCSC has joined the FIDO Alliance, which allows agencies across the UK government to collaborate with other thought leaders in the Alliance to advance the development and deployment of foundational technologies that will strengthen our collective cyber resilience.”  また、NCSC が FIDO アライアンスに参加したことを大変嬉しく思う。これにより、英国政府の機関は、アライアンスの他のオピニオンリーダーと協力し、私たちのサイバーレジリエンスを強化する基盤技術の開発と展開を推進することができる」と述べた。
As described in a recent blog, the NCSC views passkeys as the future of online authentication, and is working with vendors and organisations to make passkeys widely available as an option for users.  最近のブログでも述べたように、NCSC はパスキーをオンライン認証の未来と捉え、パスキーをユーザーに広く利用可能なオプションとして提供するために、ベンダーや組織と協力している。

 

 


 

上でいわれているブログ記事については、こちら...

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.21 英国 NCSC ブログ パスキー:完璧ではないが、改善されつつある (2025.01.15)

 

| | Comments (0)

より以前の記事一覧