フォレンジック

2025.01.15

書籍 NISC編 サイバーセキュリティ関係法令Q&Aハンドブック

こんにちは、丸山満彦です。

商事法務から、「サイバーセキュリティ関係法令Q&Aハンドブック」内閣官房内閣サイバーセキュリティセンター(NISC)編が発刊されましたね。。。

Img_7843

 

これは、NISCの委員会で取りまとめたものを書籍化したものです。

https://security-portal.nisc.go.jp/guidance/law_handbook.html

 

私も作成に関わっていますが、 岡村委員長をはじめ、ワーキンググループの方、事務局がかなりご苦労をされてできたものです。。。

裁判例を含めて関連情報が厚いのが良いところですかね。。。そして、内閣官房謹製。。。

手元に1冊あると参考になることも多いし、PDFと違った良さもあるので、ぜひ1冊。。。

 

●2025.01.10「サイバーセキュリティ関係法令Q&Aハンドブック」内閣官房内閣サイバーセキュリティセンター(NISC)編

商事法務

全国官報販売協同組合

Amazon

e-hon

楽天book

 


まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.26 内閣官房 NISC 関係法令Q&Aハンドブック Ver 2.0

・2020.03.03 NISC 「サイバーセキュリティ関係法令Q&Aハンドブック 」について

 

| | Comments (0)

2024.12.25

金融庁 「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)」に伴う「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」

こんにちは、丸山満彦です。

金融庁が、「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」を日本暗号資産等取引業協会の会長宛に出していますね...

これは、警察庁、NISC、金融庁が合同で発表した、「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)」に伴うものですね...

 

金融庁

・2024.12.24 暗号資産の流出リスクへの対応等に関する再度の自主点検要請について

・[PDF]  暗号資産の流出リスクへの対応等に関する再度の自主点検要請について


令和6年12月24日

一般社団法人 日本暗号資産等取引業協会 会長 殿

金融庁総合政策局長
屋敷 利紀

暗号資産の流出リスクへの対応等に関する再度の自主点検要請について本日、警察庁・内閣サイバーセキュリティセンター・金融庁の連名で、「北朝鮮を背景とするサイバー攻撃グループ TraderTratior によるサイバー攻撃について(注意喚起)」が出されたところですが、当該注意喚起は、本年5月に発生した暗号資産交換業者における暗号資産の不正流出事案に関する具体的なソーシャルエンジニアリングの手法が判明したことを踏まえ、参考となる手口例や緩和策を示しつつ、事業者に適切なセキュリティ対策を講じることを要請する内容となっています。

先般(9 月 26 日)、当庁から、貴協会を通じ、貴協会会員に対して、暗号資産の流出リスクへの対応及びシステムリスク管理態勢に関し、事務ガイドライン第三分冊(金融会社関係16.暗号資産交換業者関係)等に記載している内容が適切に実施されているかに関して自主点検を行うことを要請したところですが、今回の注意喚起の内容を踏まえ、ウォレットに関する管理態勢を含めて、改めて速やかに自主点検を行うことを貴協会会員に対して求めるとともに、その結果を取りまとめてご連絡いただくようにお願いします。

(参考添付)「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について(注意喚起)」

以上


20241224-212228

 

 

命令ではなく、要請です...(^^)

 


で肝心の日米の協力によるアトリビューション...

まずは、日本側(警察庁、金融庁、NISC)の発表

● 警察庁

・2024.12.24 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について


 警察庁は、関東管区警察局サイバー特別捜査部及び警視庁による捜査・分析の結果を総合的に評価し、米国連邦捜査局(FBI)及び米国国防省サイバー犯罪センター(DC3)とともに、令和6年5月に北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」(トレイダートレイター)が、我が国の暗号資産関連事業者「株式会社DMM Bitcoin」から約482億円相当の暗号資産を窃取したことを特定し、合同で文書を公表しました。

 また、今回の公表を受け、NISC及び金融庁と連名で、同グループの手口例及び緩和策に関する文書を公表しました。


 

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について

20241224-213739


(前略)

TraderTraitor は、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)の一部とされており、手法の特徴として、同時に同じ会社の複数の従業員に対して実施される、標的型ソーシャルエンジニアリングが挙げられます。

⚫ 令和6年3月下旬、TraderTraitor は、LinkedIn 上で、リクルーターになりすまし、日本に所在する企業向け暗号資産ウォレットソフトウェア会社「株式会社 Ginco」(以下「Ginco」という。)の従業員に接触しました。同サイバー攻撃グループは、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付しました。被害者は、この Python コードを自身の GitHub ページにコピーし、その後、侵害されました。

⚫ 令和6年5月中旬以降、TraderTraitor は、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムへのアクセスに成功しました。同月下旬、同サイバー攻撃グループは、同アクセスを利用して、DMM 従業員による正規取引のリクエストを改ざんしたものと認められます。その結果、4,502.9BTC(攻撃当時約 482億円相当)が喪失しました。最終的に、窃取された資産は TraderTraitor が管理するウォレットに移動されました。

(後略)



 

・ FBI,DC3 and NPA Identification of North Korean Cyber Actors, tracked as TraderTraitor, Responsible for Theft of $308 Million from Bitocoin.DMM.COM

・[PDF] (仮訳)FBI、DC3 及び警察庁は、Bitcoin.DMM.Comから3億800万ドルを窃取したとして、北朝鮮のサイバーアクターTraderTraitorを特定

20241224-214203

 

 

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について

20241224-214410

 

金融庁...

・2024.12.24 「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)」の公表について

・[PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について(注意喚起)

 

内閣官房(NISC) ...

・2024.12.24 [PDF] 北朝鮮を背景とするサイバー攻撃グループTraderTraitor によるサイバー攻撃について



 

米国側... 

・2024.12.24 FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com

 

 

| | Comments (0)

2024.12.22

英国 意見募集 著作権とAI (2024.12.17)

こんにちは、丸山満彦です。

英国の知的財産事務局、科学・革新技術省、文化・メディア・スポーツ省が「著作権とAI」という文書を公開し、意見募集をしていますね...

著作権者の利益を保護しながら、著作物をAIを利用して活用し、より良い社会をつくるためにはどうすればよいのか?新たな法律が必要か、どの国も頭を使う必要がある分野なのでしょうかね...

 

● Gov.UK

プレス...

・2024.12.17 UK consults on proposals to give creative industries and AI developers clarity over copyright laws

UK consults on proposals to give creative industries and AI developers clarity over copyright laws 英国、クリエイティブ産業とAI開発者に著作権法の明確性をもたらす提案について協議
This consultation seeks views on how the government can ensure the UK’s legal framework for AI and copyright supports the UK creative industries and AI sector together. この協議では、AIと著作権に関する英国の法的枠組みが英国のクリエイティブ産業とAIセクターを共に支援する方法について、政府の見解を求めている。
・new proposals seek to bring legal certainty to creative and AI sectors over how copyright protected materials are used in model training, supporting innovation and boosting the growth of both sectors crucial to our Plan for Change  ・新たな提案は、モデルのトレーニングにおける著作権で保護された素材の利用方法について、クリエイティブ産業とAI産業の両方に法的確実性をもたらすことを目指している。イノベーションを支援し、変革計画にとって重要な両産業の成長を促進する。
・a balanced package of proposals aims to give creators greater control over how their material is used by AI developers, and enhance their ability to be paid for its use ・バランスの取れた提案パッケージは、AI開発者による素材の利用方法をクリエイターがより制御できるようにし、その利用に対して支払われる能力を向上させることを目指している。
・the proposals will also seek greater transparency from AI firms over the data used to train AI models alongside how AI-generated content is labelled ・提案はまた、AIモデルのトレーニングに使用されるデータの透明性をAI企業に高めることを求め、AI生成コンテンツのラベル付け方法についても求める。
・AI developers would have wide access to material to train world-leading models in the UK, and legal certainty would boost AI adoption across the economy ・英国のAI開発者は、世界トップクラスのモデルを訓練するための素材に広くアクセスでき、法的確実性は経済全体におけるAIの採用を後押しする
The UK has today launched a consultation on plans to give certainty to the creative industries and AI developers on how copyright material can be used to train AI models. Supporting the UK Government’s Plan for Change, the move will help drive growth across both sectors by ensuring protection and payment for rights holders and supporting AI developers to innovate responsibly.  英国は本日、著作権素材がAIモデルの訓練にどのように使用できるかについて、クリエイティブ産業とAI開発者に確実性を提供するための計画に関する協議を開始した。英国政府の変革計画を支援するこの動きは、権利保有者の防御と支払い保証を確保し、AI開発者が責任を持って革新できるよう支援することで、両セクターの成長を促進する。
Both sectors are central to the Government’s Industrial Strategy, and these proposals aim to forge a new path forward which will allow both to flourish and drive growth. Key areas of the consultation include boosting trust and transparency between the sectors, so right holders have a better understanding of how AI developers are using their material and how it has been obtained.  両セクターは政府の産業戦略の中心であり、これらの提案は両セクターが繁栄し、成長を促進する新たな道筋を築くことを目的としている。協議の主な分野には、両セクター間の信頼と透明性を高めることが含まれ、これにより権利保有者はAI開発者が自身の素材をどのように使用しているか、またその素材がどのように入手されたかについてより深く理解することができる。
The consultation also explores how creators can license and be remunerated for the use of their material, and how wide access to high-quality data for AI developers can be strengthened to enable innovation across the UK AI sector. また、この協議では、クリエイターが自身の素材の使用に対してライセンスを付与し、報酬を得る方法、および英国のAIセクター全体にわたるイノベーションを可能にするために、AI開発者による高品質なデータへのアクセスをどのように強化できるかについても検討されている。
These proposals will help unlock the full potential of the AI sector and creative industries to drive innovation, investment, and prosperity across the country, driving forward the UK government’s mission to deliver the highest sustained growth in the G7 under its Plan for Change.  これらの提案は、AIセクターとクリエイティブ産業の潜在能力を最大限に引き出し、イノベーション、投資、そして英国全体の繁栄を促進するのに役立つ。これにより、英国政府の使命である「変革のための計画」の下、G7諸国の中で最も持続的な成長を実現するという目標の達成が前進する。
Currently, uncertainty about how copyright law applies to AI is holding back both sectors from reaching their full potential. It can make it difficult for creators to control or seek payment for the use of their work, and creates legal risks for AI firms, stifling AI investment, innovation, and adoption. After previous attempts to agree a voluntary AI copyright code of practice proved unsuccessful, this government is determined to take proactive steps with our creative and AI sectors to deliver a workable solution. 現在、著作権法がAIにどのように適用されるかについての不確実性が、両分野が潜在能力を最大限に発揮するのを妨げている。これにより、クリエイターが自身の作品の利用を管理したり、その対価を求めることが難しくなる可能性があり、AI企業にとっては法的リスクが生じ、AIへの投資、イノベーション、導入が阻害される。AIに関する自主的な著作権規範の合意に向けたこれまでの試みが失敗に終わった後、現政府は、クリエイティブ産業およびAI分野において、実行可能な解決策を実現するための積極的な措置を講じる決意である。
To address this, the consultation proposes introducing an exception to copyright law for AI training for commercial purposes while allowing rights holders to reserve their rights, so they can control the use of their content. Together with transparency requirements, this would give them more certainty and control over how their content is used and support them to strike licensing deals. This would also give AI developers greater certainty about what material they can and cannot use and ensure wide access to material in the UK. これに対応するため、この協議では、権利保有者が権利を留保することを認めつつ、商業目的のAIトレーニングに著作権法の例外規定を導入することを提案している。これにより、透明性の要件とともに、権利保有者は、自らのコンテンツの使用をより確実に管理できるようになり、ライセンス契約の締結を支援することになる。また、これにより、AI開発者は、使用できる素材とできない素材についてより確かな見通しを得ることができ、英国の素材への幅広いアクセスを確保できる。
Before these measures could come into effect, further work with both sectors would be needed to ensure any standards and requirements for rights reservation and transparency are effective, accessible, and widely adopted. This would allow for smooth application by AI developers and right holders alike, ensuring rights holders of all sizes can reserve their rights and that any future regime delivers our objectives. These measures would be fundamental to the effectiveness of any exception, and we would not introduce an exception without them.   これらの措置が施行される前に、権利の留保と透明性に関する標準と要件が効果的で、アクセス可能で、広く採用されることを確実にするために、両業界とのさらなる作業が必要となる。これにより、AI開発者と権利保有者の双方にとって円滑な申請が可能となり、あらゆる規模の権利保有者が権利を留保でき、将来の体制が我々の目的を達成できることが確実になる。これらの措置は、あらゆる例外措置の有効性の根幹をなすものであり、それらなしに例外を導入することはない。 
The consultation also proposes new requirements for AI model developers to be more transparent about their model training datasets and how they are obtained. For example, AI developers could be required to provide more information about what content they have used to train their models. This would enable rights holders to understand when and how their content has been used in training AI.   また、この協議では、AIモデル開発者が、モデルのトレーニングデータセットとその入手方法について、より透明性を高めるための新たな要件を提案している。例えば、AI開発者は、モデルのトレーニングに使用したコンテンツに関するより詳細な情報を提供することが求められる可能性がある。これにより、権利保有者は、AIのトレーニングに自社のコンテンツがいつ、どのように使用されたかを把握できるようになる。 
Secretary of State for Science, Innovation and Technology, Peter Kyle, said:    科学・イノベーション・技術担当大臣のピーター・カイル氏は次のように述べた。
The UK has an incredibly rich and diverse cultural sector and a ground breaking tech sector which is pushing the boundaries of AI. It’s clear that our current AI and copyright framework does not support either our creative industries or our AI sectors to compete on the global stage.  英国には非常に豊かで多様な文化部門があり、AIの限界を押し広げる画期的な技術部門もある。 現在のAIと著作権の枠組みでは、クリエイティブ産業もAI部門もグローバルな舞台で競争していくことをサポートできないことは明らかだ。
That is why we are setting out a balanced package of proposals to address uncertainty about how copyright law applies to AI so we can drive continued growth in the AI sector and creative industries, which will help deliver on our mission of the highest sustained growth in the G7 as part of our Plan for Change.   だからこそ、AIに著作権法がどのように適用されるかについての不確実性に対処するためのバランスの取れた提案パッケージを提示している。これにより、AI分野とクリエイティブ産業の継続的な成長を促進し、変革のための計画の一環としてG7で最高の持続的成長を実現するという我々の使命を果たすことができる。
This is all about partnership: balancing strong protections for creators while removing barriers to AI innovation; and working together across government and industry sectors to deliver this.  これはすべてパートナーシップに関するものである。すなわち、クリエイターを強力に防御しながらAIのイノベーションの障壁を取り除くこと、そしてこれを実現するために政府と産業分野を越えて協力することである。
Secretary of State for Culture, Media and Sport, Lisa Nandy, said:    文化・メディア・スポーツ省のリサ・ナンディ大臣は次のように述べた。
This government firmly believes that our musicians, writers, artists and other creatives should have the ability to know and control how their content is used by AI firms and be able to seek licensing deals and fair payment. Achieving this, and ensuring legal certainty, will help our creative and AI sectors grow and innovate together in partnership. 「この政府は、音楽家、作家、アーティスト、その他のクリエイターが、AI企業によるコンテンツの利用状況を把握し、管理する能力を持ち、ライセンス契約や公正な報酬を求めることができるべきだと強く信じている。これを実現し、法的確実性を確保することは、パートナーシップのもとでクリエイティブ産業とAI産業が共に成長し、革新していくことを支援する。
We stand steadfast behind our world-class creative and media industries which add so much to our cultural and economic life. We will work with them and the AI sector to develop this clearer copyright system for the digital age and ensure that any system is workable and easy-to-use for businesses of all sizes. 我々は、我々の文化的生活や経済生活に多大な貢献をしている世界トップクラスのクリエイティブ産業およびメディア産業を断固として支援する。我々は、デジタル時代に向けたより明確な著作権システムを開発するために、クリエイティブ産業およびメディア産業とAI産業と協力し、あらゆる規模の企業にとって、いかなるシステムも実用可能で使いやすいものとなるよう努める。
Licensing is essential as a means for creators to secure appropriate payment for their work, and these proposals lay the groundwork for rights holders to strike licensing deals with AI developers when rights have been reserved. For example, a photographer who uploads their work onto their internet blog could reserve their rights, with confidence that their wishes will be respected and generative AI developers will not use their images unless a licence has been agreed. This would support the creative and media industries’ control, and their ability to generate revenue from the use of their material and provide AI developers with certainty about the material they can legally access.  ライセンスは、クリエイターが自身の作品に対して適切な報酬を確保するための手段として不可欠であり、これらの提案は、権利が留保されている場合に権利保有者がAI開発者とライセンス契約を結ぶための基盤を築くものである。例えば、自身の作品を自身のインターネットブログにアップロードする写真家は、自身の希望が尊重され、ライセンス契約が締結されない限り生成的AI開発者が自身の画像を使用しないことを確信して、自身の権利を留保することができる。これにより、クリエイティブおよびメディア業界の管理がサポートされ、彼らの素材の使用から収益を得る能力が強化されるとともに、AI開発者に対して、合法的にアクセスできる素材について確実な情報を提供できるようになる。
This combined approach is designed to strengthen trust between the two sectors, which are increasingly interlinked, clearing the way for developers to confidently build and deploy the next generation of AI applications in the UK, in a way that ensures human creators and rights holders have a shared stake in AI’s transformative potential. この複合的なアプローチは、相互に結びつきを強めている2つの業界間の信頼を強化することを目的としている。これにより、英国において開発者が次世代のAIアプリケーションを自信を持って構築し展開することが可能となり、人間であるクリエイターや権利保有者がAIの変革的潜在力から利益を得られる道が開かれる。
The government welcomes licensing deals that have already been agreed, including by major firms in the music and news publishing sectors. But it is clear that many more creatives and right holders have not been able to do so under the current copyright regime. The creative industries, and businesses of all sizes, need more help to control their content and strike licensing deals. The government is determined to make it easier for them to do this. 政府は、音楽やニュース出版業界の大手企業を含む、すでに合意されたライセンス契約を歓迎している。しかし、現在の著作権体制では、多くのクリエイターや権利保有者がこれを行うことができていないことは明らかである。クリエイティブ産業やあらゆる規模の企業は、コンテンツを管理し、ライセンス契約を結ぶために、より多くの支援を必要としている。政府は、彼らがこれをより容易に行えるようにすることを決意している。
The consultation also recognises issues related to the protection of personality rights in the context of digital replicas, such as deepfake imitations of individuals, and will seek views on whether the current legal frameworks are sufficiently robust to tackle the issue.    また、この協議では、ディープフェイクによる個人模倣など、デジタル複製における人格権の防御に関する問題も認識しており、この問題に対処する上で、現在の法的枠組みが十分に強固であるかどうかについて意見を求める予定である。 
As AI continues to develop at a rapid pace, the UK’s response must evolve alongside it. The government welcomes all stakeholder views on these proposals and is committed to making progress by collaborating with creators, rights holders, and AI developers to co-design the right copyright and AI framework for the UK, which will allow both sectors to thrive.     AIが急速に発展を続ける中、英国の対応もそれと歩調を合わせて進化していかなければならない。政府は、これらの提案に関するあらゆる利害関係者の意見を歓迎し、クリエイター、権利者、AI開発者と協力し、両分野がともに繁栄できるような英国にふさわしい著作権とAIの枠組みを共同で設計することで、前進していくことを約束している。
Notes to editors:  編集後記:
the consultation will run for 10 weeks, closing on 25 February, 2025 この協議は10週間行われ、2025年2月25日に終了する。

 

意見募集...

Copyright and Artificial Intelligence

Copyright and Artificial Intelligence 著作権と人工知能
Summary 要約
This consultation seeks views on how the government can ensure the UK’s legal framework for AI and copyright supports the UK creative industries and AI sector together. 本協議では、英国のAIと著作権に関する法的枠組みが英国のクリエイティブ産業とAIセクターを共に支援する方法について、政府の見解を求めている。
This consultation closes at 本協議の締め切りは
11:59pm on 25 February 2025 2025年2月25日午後11時59分
Consultation description 協議内容
Two major strengths of the UK economy are its creative industries and AI sector. Both are essential to drive economic growth and deliver the government’s Plan for Change. 英国経済の2つの大きな強みは、クリエイティブ産業とAIセクターである。両者は経済成長を促進し、政府の変革計画を実現するために不可欠である。
The government is determined to build on the strengths of the UK AI sector, and will set out an ambitious roadmap leveraging AI to grow the economy and improve public services through the AI Opportunities Action Plan. 政府は英国のAIセクターの強みを活かすことを決意しており、AIを活用して経済成長を促進し、公共サービスを改善するための野心的なロードマップを「AIの機会に関する行動計画」を通じて策定する。
The government also recognises the continued economic and cultural contributions of our world-leading creative industries.     また、政府は世界をリードする英国のクリエイティブ産業が経済および文化に継続的に貢献していることを認識している。
Copyright is a key pillar of our creative economy. It exists to help creators control the use of their works and allows them to seek payment for it. However, the widespread use of copyright material for training AI models has presented new challenges for the UK’s copyright framework, and many rights holders have found it difficult to exercise their rights in this context. It is important that copyright continues to support the UK’s world-leading creative industries and creates the conditions for AI innovation that allows them to share in the benefits of these new technologies. 著作権は、英国のクリエイティブ経済の重要な柱である。著作権は、クリエイターが自身の作品の利用を管理し、その対価を求めることを可能にするために存在する。しかし、AIモデルのトレーニングにおける著作物の広範な使用は、英国の著作権の枠組みに新たな課題を突きつけ、多くの権利保有者はこの状況下で権利を行使することが困難であると感じている。著作権が英国の世界をリードするクリエイティブ産業を継続的に支援し、これらの新技術の恩恵を共有できるAIイノベーションの条件を作り出すことが重要である。
This consultation seeks views on proposals to deliver against the government’s objectives for this area, which are: 本協議では、この分野における政府の目標を達成するための提案に対する意見を求めている。その目標とは、
・boosting trust and transparency between sectors, by ensuring AI developers provide right holders with greater clarity about how they use their material. ・AI開発者が権利保有者に対して、素材の使用方法についてより明確な情報を提供することを保証することで、各セクター間の信頼と透明性を高める。
・enhancing right holders’ control over whether or not their works are used to train AI models, and their ability to be paid for its use where they so wish. ・権利保有者が、自身の作品がAIモデルのトレーニングに使用されるかどうかを管理し、希望する場合はその使用に対して報酬を受け取れるようにする。
・ensuring AI developers have access to high-quality material to train leading AI models in the UK and support innovation across the UK AI sector. ・英国でAIモデルのトレーニングに使用される高品質な素材にAI開発者がアクセスできるようにし、英国のAIセクター全体のイノベーションを支援する。
Additionally, the consultation addresses other emerging issues, including copyright protection for computer-generated works, and the issue of digital replicas. さらに、この協議では、コンピュータ生成著作物の著作権防御やデジタル複製の問題など、その他の新たな課題についても取り上げている。
As AI evolves rapidly, the UK’s response must adapt. The consultation is an opportunity for anyone with an interest in these issues to share their views and provide evidence regarding the economic impact of these proposals. During the consultation, we will also run wider engagement activity to help ensure that the full range of views is heard. AIの進化は急速であるため、英国の対応もそれに適応していかなければならない。この協議は、これらの問題に関心のある人々が意見を共有し、これらの提案の経済的影響に関する証拠を提供できる機会である。協議期間中、幅広い意見が確実に反映されるよう、より広範な関与活動も実施する。
This consultation will run for 10 weeks. It commences on 17 December 2024 and will close on 25 February 2025. この協議は10週間実施される。2024年12月17日に開始し、2025年2月25日に終了する。

 

・[PDF][HTMLCopyright and Artificial Intelligence

20241222-01239

 

目次...

Copyright and Artificial Intelligence 著作権と人工知能
A. Overview A. 概要
A.1 Executive summary A.1 エグゼクティブサマリー
A.2 How to engage with this consultation A.2 本協議への参加方法
A.3  Data protection and confidentiality A.3 データ保護と機密保持
B. Copyright and Artificial Intelligence B. 著作権および人工知能
B.1  Background B.1 背景
B.2  AI training and copyright B.2 AIの訓練と著作権
B.3  Our objectives B.3 目的
B.4 Policy options B.4 政策選択肢
C. Our proposed approach C. 提案するアプローチ
C.1  Exception with rights reservation C.1 権利留保付きの例外
C.2 Technical standards C.2 技術標準
C.3  Contracts and licensing C.3 契約とライセンス
C.4  Transparency C.4 透明性
C.5  Wider clarification of copyright law C.5 著作権法のより広範な明確化
C.6  Encouraging research and innovation C.6 研究とイノベーションの奨励
D.  AI outputs D. AIの出力
D.1 Computer-generated works: protection for the outputs of generative AI  D.1 コンピュータ生成著作物:生成的AIの出力の保護
D.2 Policy options D.2 政策オプション
D.3 Computer-generated works interaction with designs D.3 コンピュータ生成著作物とデザインの相互作用
D.4 Infringement and liability relating to AI-generated content D.4 AI生成コンテンツに関する侵害と責任
D.5 AI output labelling D.5 AI 出力のラベル付け
D.6 Digital replicas and other issues          D.6 デジタルレプリカおよびその他の問題
D.7 Other emerging issues D.7 その他の新たな問題

 

エグゼクティブサマリー...

A.1 Executive summary A.1 エグゼクティブサマリー
1. As part of our national mission to grow the economy, the government is committed to supporting the growth of the creative industries and AI sectors while recognising the value of human-centred creativity. 1. 経済成長という国家的な使命の一環として、政府は人間中心の創造性の価値を認識しながら、クリエイティブ産業およびAIセクターの成長を支援することに尽力している。
2. The government is putting both the creative industries and the AI sector at the heart of our Industrial Strategy, to benefit people in every corner of the country with high-quality jobs and drive accelerated growth. 2. 政府は、クリエイティブ産業およびAIセクターを産業戦略の中心に据え、高品質な雇用を全国津々浦々の人々に提供し、加速的な成長を推進していく。
3. The creative industries drive our economy, including TV and film, advertising, the performing arts, music, publishing, and video games. They contribute £124.8 billion GVA to our economy annually, they employ many thousands of people, they help define our national identity and they fly the flag for our values across the globe. They are intrinsic to our success as a nation and the intellectual property they create is essential to our economic strength. 3. テレビや映画、広告、舞台芸術、音楽、出版、ビデオゲームなどを含むクリエイティブ産業は、英国経済を牽引している。クリエイティブ産業は、英国経済に年間1,248億ポンドのGVA(国内総生産額)をもたらし、何千人もの雇用を創出し、英国のアイデンティティを定義し、英国の価値観を世界中に広めている。クリエイティブ産業は、英国の成功に不可欠であり、その知的財産は英国の経済力にとって不可欠である。
4. The UK is also well placed to seize the transformative opportunities presented by AI. According to the International Monetary Fund World Economic Outlook, this could in time unlock productivity gains of up to 1.5 percentage points annually. The government is committed to building an AI sector that can scale and win globally, ensuring that global AI companies want to call the UK home and boosting the responsible adoption of AI across all parts of the economy. We have commissioned Matt Clifford to deliver an AI Opportunities Action Plan to set out an ambitious roadmap to drive AI innovation and adoption across our public and private sectors. We have also committed to legislating to place requirements on those developing the most powerful AI models of tomorrow – these proposals will reduce regulatory uncertainty for AI developers, strengthen public trust and boost business confidence. 4. 英国は、AIがもたらす変革の機会を捉えるのに適した立場にある。国際通貨基金(IMF)の世界経済見通しによると、AIは将来的に年間最大1.5パーセントポイントの生産性向上をもたらす可能性がある。政府は、世界規模で拡大し、成功を収めることができるAI分野の構築に尽力しており、世界的なAI企業が英国を本拠地としたいと思うようにし、経済のあらゆる分野におけるAIの責任ある導入を促進している。私たちは、公共部門と民間部門全体でAIの革新と導入を推進するための野心的なロードマップを定める「AIの機会に関する行動計画」の策定をマット・クリフォードに依頼した。また、将来最も強力なAIモデルを開発する者に対して要件を課すための立法化にも取り組んでいる。これらの提案は、AI開発者にとっての規制上の不確実性を軽減し、国民の信頼を強化し、企業の自信を後押しするものである。
5. The fast pace of development of AI technology over recent years has led to a debate in the UK and across the world. This is about how the existing copyright framework should be applied to the activities that underpin the training of large AI models. The copyright framework provides right holders with economic and moral rights which mean they can control how their works are used. This means that copying works to train AI models requires a licence from the relevant right holders unless an exception applies. 5. 近年、AI技術の開発が急速に進んでいることを受け、英国および世界中で議論が巻き起こっている。これは、大規模なAIモデルのトレーニングを支える活動に、既存の著作権の枠組みをどのように適用すべきかという問題である。著作権の枠組みは、著作権者に経済的および道徳的な権利を与え、著作物の利用方法を管理できるようにするものである。つまり、例外が適用されない限り、AIモデルのトレーニングに著作物をコピーするには、関連する著作権者からライセンスを取得する必要がある。
6. As things stand, this framework does not meet the needs of UK’s creative industries or AI sectors. Creative and media organisations are concerned that their works are used to train AI without their permission, and they are unable to secure remuneration through licensing agreements. They have also highlighted a lack of transparency from AI developers about what content is or has been used and how it is acquired, which can make it difficult to enforce their copyright. Likewise, AI firms have raised concerns that the lack of clarity over how they can legally access training data creates legal risks, stunts AI innovation in the UK and holds back AI adoption. 6. 現状では、この枠組みは英国のクリエイティブ産業やAIセクターのニーズを満たしていない。クリエイティブおよびメディア関連の組織は、自身の作品が許可なくAIのトレーニングに使用されることを懸念しており、ライセンス契約を通じて報酬を確保できないでいる。また、AI開発者側が、どのようなコンテンツが使用されているか、または使用されていたか、またその入手方法について透明性を欠いていることも指摘されており、これにより著作権の行使が困難になる可能性がある。同様に、AI企業側も、トレーニング・データに合法的にアクセスする方法が明確でないことが法的リスクを生み出し、英国におけるAIのイノベーションを妨げ、AIの導入を遅らせるという懸念を表明している。
7. The lack of clarity about the current regime means that leading AI developers do not train their models in the UK, and instead train in jurisdictions with clearer or more permissive rules. Since copyright law applies in the jurisdiction where copying takes place, this means that AI developers are not obliged to respect rights under UK law. This harms our UK AI sector too, as investment from the major AI developers is limited and UK-based SMEs who cannot train overseas are disadvantaged. 7. 現行の体制が明確でないため、AI開発のトップ企業は英国でモデルのトレーニングを行わず、より明確な、あるいはより寛容な規則を持つ管轄区域でトレーニングを行っている。 著作権法はコピーが行われた管轄区域で適用されるため、AI開発者は英国法に基づく権利を尊重する義務を負わないことになる。 これは英国のAI部門にも悪影響を及ぼす。大手AI開発者からの投資は限定的であり、海外でトレーニングを行うことができない英国の中小企業は不利な立場に置かれるからだ。
8. We cannot allow this to continue. We need to act now to help accelerate growth in our creative industries and in our AI sectors - both of which are essential parts of the government’s Industrial Strategy. This consultation seeks views on how we can achieve this by working in partnership with both sectors, and proposes an approach that aims to: 8. この状態を放置することはできない。 クリエイティブ産業とAIセクターの成長を加速させるために、今こそ行動を起こす必要がある。 両者は政府の産業戦略の重要な一部である。 この協議では、両セクターと連携してこれを達成する方法についての意見を求め、以下の目的を達成するためのアプローチを提案する。
・enhance right holders’ control of their material and their ability to be remunerated for its use ・権利保有者が自身の素材を管理し、その使用に対して報酬を得る能力を強化する
・support wide access to high-quality material to drive development of leading AI models in the UK ・英国における最先端のAIモデルの開発を促進するため、高品質な素材への幅広いアクセスを支援する
・secure greater transparency from AI developers to build trust with creators, creative industries, and consumers ・クリエイター、クリエイティブ産業、消費者との信頼関係を構築するため、AI開発者からより高い透明性を確保する
9. The government believes that the best way to achieve these objectives is through a package of interventions that can balance the needs of the two sectors. That is why we are consulting on measures that would require increased transparency from AI developers. This includes the content they use to train their models, how they acquire it, and any content generated by their models. And it is why we are consulting on the introduction of an exception to copyright law for “text and data mining”. This improves access to content by AI developers, allowing right holders to reserve their rights and thereby prevent their content being used for AI training. Progressed together, we believe these measures could meet our objectives above. These measures could come into operation when effective, proportionate, and accessible technological solutions were in place. This ensures the solutions are practicable and possible for right holders and AI developers of all sizes. 9. 政府は、これらの目標を達成する最善の方法は、2つの業界のニーズのバランスを取ることができる一連の介入策であると考えている。これが、AI開発者からの透明性の向上を求める措置について協議している理由である。これには、AI開発者がモデルの訓練に使用するコンテンツ、その入手方法、およびモデルによって生成されたコンテンツが含まれる。また、著作権法に「テキストおよびデータマイニング」の例外を導入することについても協議している。これにより、AI開発者によるコンテンツへのアクセスが改善され、権利保有者は権利を留保し、コンテンツがAIの訓練に使用されるのを防ぐことができる。これらの措置を同時に進めることで、上記の目的を達成できると考える。これらの措置は、効果的で、妥当で、利用可能な技術的ソリューションが整った時点で運用開始となる可能性がある。これにより、あらゆる規模の権利者およびAI開発者にとって、ソリューションが実際的で可能であることが保証される。
10. Although we recognise that much more detailed work will still need to be done, these are the broad parameters of our approach. The package is designed to enhance the ability of right holders to protect their material and seek remuneration for its use through increased licensing. It also aims to motivate AI developers to train leading models in the UK in full compliance with UK law. Delivering this will be challenging and will require practical technical solutions as well as a clear legal framework. It will require us to work closely with our international partners to progress towards an interoperable AI and copyright framework. We seek the constructive engagement of all stakeholders in this consultation process, in particular on the following issues. 10. さらに詳細な作業が必要であることは認識しているが、これらは我々のアプローチの概略である。このパッケージは、権利者が自身の著作物を保護し、ライセンスの増加を通じてその使用に対する報酬を求める能力を強化することを目的としている。また、英国の法律に完全に準拠した形で、英国で最先端のモデルを訓練するAI開発者の意欲を高めることも目的としている。これを実現することは困難であり、明確な法的枠組みだけでなく、実際的な技術的ソリューションも必要となる。相互運用可能なAIと著作権の枠組みに向けて前進するためには、国際的なパートナーと緊密に協力する必要がある。本協議プロセスにおけるすべての利害関係者の建設的な関与を求めたい。特に、以下の問題についてである。
Transparency 透明性
11. The success of any new approach to copyright and AI will depend on stronger trust between AI developers and right holders. The government believes that transparency will be key to this and seeks views on what level of transparency about the use of works to train models is required and how this can best be achieved fairly and proportionately. 11. 著作権とAIに対する新たなアプローチの成功は、AI開発者と権利保有者間のより強固な信頼関係に依存する。政府は、透明性が鍵となると考え、モデルの訓練に著作物が使用されることに関するどの程度の透明性が求められるか、また、これを公正かつ妥当に達成するにはどうすればよいかについての意見を求めている。
Technical standards 技術的基準
12. Some useful tools that enable right holders to reserve their rights already exist, but more work is required to ensure these meet the needs of right holders and AI developers of all sizes. These tools have significant technical limitations and are insufficiently standardised and adopted. The government is therefore seeking views on whether and how it can support work to improve these tools and drive their adoption. 12. 権利者が権利を留保することを可能にするいくつかの有用なツールはすでに存在しているが、これらのツールがすべての規模の権利者およびAI開発者のニーズを満たすことを確実にするには、さらなる作業が必要である。これらのツールには重大な技術的限界があり、標準化および採用が不十分である。そのため政府は、これらのツールを改善し、その採用を推進するための作業を支援できるかどうか、また支援できる場合、どのように支援できるかについて意見を求めている。
Contracts and Licensing 契約およびライセンス
13. In a regime that empowers right holders to reserve their rights, licensing will be important to secure right holder remuneration and provide AI developers with access to high-quality training material at scale. We seek views on whether and how the government should support licensing, including collective licensing, and consider the needs of individual creators as part of this. 13. 権利保有者が権利を留保することを可能にする体制においては、権利保有者の報酬を確保し、AI開発者に質の高いトレーニング教材へのアクセスを大規模に提供するために、ライセンシングが重要となる。政府がライセンシング(集合的ライセンシングを含む)を支援すべきかどうか、またその方法について意見を求めるとともに、この一環として個々のクリエイターのニーズを考慮する。
Labelling ラベリング
14. The government believes that clear labelling of AI outputs would be beneficial to right holders and the public, but acknowledges the technical challenges involved. The government welcomes views on how to achieve this outcome, including how we can support the development of emerging tools and standards. 14. 政府は、AIの出力に明確なラベルを貼ることは権利者と一般市民にとって有益であると考えているが、技術的な課題があることも認めている。政府は、この成果を達成する方法についての意見を歓迎しており、その中には、新興のツールや標準の開発をどのように支援できるかということも含まれる。
Computer generated works コンピュータ生成著作物
15. There are additional issues regarding the ownership of AI systems’ outputs. The UK currently provides copyright protection for purely computer-generated works, but it is not clear that this protection is widely used, or that it functions properly within the broader copyright framework. The government seeks views on potential reform to protections for computer-generated works. 15. AIシステムの出力の所有権に関する追加的な問題がある。英国は現在、純粋にコンピュータ生成された著作物に対して著作権保護を提供しているが、この保護が広く利用されているか、またはより広範な著作権の枠組みの中で適切に機能しているかは明らかではない。政府は、コンピュータ生成著作物の保護に対する潜在的な改革に関する意見を求めている。
Digital Replicas デジタルレプリカ
16. The volume and quality of digital replicas generated by AI systems (sometimes called deepfakes) is increasing. This consultation seeks to gather evidence on the challenges posed by digital replicas. This responds to concerns around the emergence of deepfakes and AI-generated content that may replicate a person’s voice, image, or personal likeness. It asks whether the current legal framework is sufficient to provide individuals with control over use of their likeness and whether further intervention is required. 16. AIシステム(ディープフェイクと呼ばれることもある)によって生成されるデジタルレプリカの量と質は増加している。本協議は、デジタルレプリカによってもたらされる課題に関する証拠の収集を目的としている。これは、人の声、画像、肖像を複製する可能性があるディープフェイクやAI生成コンテンツの出現に関する懸念に対応するものである。本協議では、肖像の利用を個人が管理できるようにする上で、現行の法的枠組みが十分であるか、さらなる介入が必要であるかを問うている。
Emerging issues 新たな問題
17. Rapid developments in AI’s capabilities will continue to raise new policy and legal questions. The consultation seeks views on emerging issues related to the intellectual property framework for AI. For instance the clarity of UK law for AI systems that generate content on Internet Search or other processes that draw on datasets at inference. We are also interested to understand how increasing use of synthetic data to train AI models may affect the ecosystem. 17. AIの能力の急速な発展は、新たな政策および法的問題を引き続き提起するだろう。本協議では、AIに関する知的財産の枠組みに関連する新たな問題についての意見を求めている。例えば、インターネット検索やその他の推論でデータセットを利用するプロセスでコンテンツを生成するAIシステムに関する英国法の明確性などである。また、AIモデルの訓練に合成データの利用が増えることで生態系にどのような影響が及ぶかについても理解したいと考えている。
Next steps 今後のステップ
18. The government is committed to working with all stakeholders to work through these issues together, proceeding carefully, but with a degree of urgency. These are complex issues, as underlined by the experience in other jurisdictions, and legislation is ultimately likely to be needed. We will use responses to shape how we implement our proposed approach to allow the creative industries and AI sectors to continue to grow together in partnership. DSIT and DCMS Ministers will continue to prioritise taking forward these proposals as the government further develops its approach to AI regulation. 18. 政府は、すべての利害関係者と協力し、慎重に、しかしある程度の緊急性をもって、これらの問題を共に解決していくことを約束する。これらの問題は、他の管轄区域での経験が示すように、複雑な問題であり、最終的には立法が必要になる可能性が高い。我々は、クリエイティブ産業とAIセクターが引き続きパートナーシップを組んで共に成長できるよう、提案したアプローチの実施方法を、回答を参考にしながら形作っていく。DSITおよびDCMS大臣は、政府がAI規制へのアプローチをさらに発展させる中で、これらの提案を推進することを引き続き優先する。

 

質問...

Copyright and Artificial Intelligence 著作権と人工知能
A. Overview A. 概要
A.1 Executive summary A.1 エグゼクティブサマリー
A.2 How to engage with this consultation A.2 本協議への参加方法
A.3 Data protection and confidentiality A.3 データ保護と機密保持
B. Copyright and Artificial Intelligence B. 著作権および人工知能
B.1 Background B.1 背景
B.2 AI training and copyright B.2 AIの訓練と著作権
B.3 Our objectives B.3 目的
B.4 Policy options B.4 政策選択肢
Option 0: Do nothing: Copyright and related laws remain as they are. 選択肢0:何もしない:著作権および関連法は現状のまま。
Option 1: Strengthen copyright requiring licensing in all cases 選択肢1:すべてのケースでライセンスを必要とする著作権を強化する
Option 2: A broad data mining exception 選択肢2:広範なデータマイニング例外
Option 3: A data mining exception which allows right holders to reserve their rights, underpinned by supporting measures on transparency 選択肢3:透明性に関する支援措置を伴う、権利保有者が権利を留保することを認めるデータマイニングの例外
Question 1. Do you agree that option 3 is most likely to meet the objectives set out above? 質問1. 上記の目的を最も達成できる可能性が高いのは選択肢3であることに同意するか。
Question 2. Which option do you prefer and why? 質問2. どの選択肢を希望するか、その理由は何か。
C. Our proposed approach C. 提案するアプローチ
C.1 Exception with rights reservation C.1 権利留保付きの例外
Question 3. Do you support the introduction of an exception along the lines outlined above? 質問3. 上記の概要に沿った例外規定の導入を支持するか。
Question 4. If so, what aspects do you consider to be the most important? If not, what other approach do you propose and how would that achieve the intended balance of objectives? 質問4. そうであれば、最も重要と考える側面は何か。そうでない場合、どのような他のアプローチを提案し、どのようにして目的のバランスを達成するか。
Question 5. What influence, positive or negative, would the introduction of an exception along these lines have on you or your organisation? Please provide quantitative information where possible. 質問5. 上記の概要に沿った例外規定の導入は、あなたまたはあなたの組織にどのような影響を与えるか(プラスまたはマイナス)。可能な場合は定量的な情報を提供すること。
Question 6. What action should a developer take when a reservation has been applied to a copy of a work? 質問6. 著作物のコピーに権利留保が適用された場合、開発者はどのような措置を取るべきか?
Question 7. What should be the legal consequences if a reservation is ignored? 質問7. 権利留保が無視された場合、どのような法的影響があるべきか?
Question 8. Do you agree that rights should be reserved in machine-readable formats? Where possible, please indicate what you anticipate the cost of introducing and/or complying with a rights reservation in machine-readable format would be. 質問8. 権利は機械可読フォーマットで留保されるべきであることに同意するか? 可能であれば、機械可読フォーマットでの権利留保の導入および/または遵守にかかる費用を予想して示していただきたい。
C.2 Technical standards C.2 技術標準
Question 9. Is there a need for greater standardisation of rights reservation protocols? 質問9. 権利留保プロトコルのさらなる標準化の必要性はあるか?
Question 10. How can compliance with standards be encouraged? 質問10. 標準への準拠をどのようにして促すことができるか?
Question 11. Should the government have a role in ensuring this and, if so, what should that be? 質問11. 政府がこの確保に役割を持つべきか、持つべきだとすればどのような役割を持つべきか?
C.3 Contracts and licensing C.3 契約とライセンス
Question 12. Does current practice relating to the licensing of copyright works for AI training meet the needs of creators and performers? 質問12. 現在のAIトレーニングのための著作権作品のライセンスに関する慣行は、著作者および実演家のニーズを満たしているか?
Question 13. Where possible, please indicate the revenue/cost that you or your organisation receives/pays per year for this licensing under current practice. 質問13. 可能であれば、現在の慣行の下でこのライセンスに関して、あなたまたはあなたの組織が受け取る/支払う年間収益/費用を提示していただきたい。
Question 14. Should measures be introduced to support good licensing practice? 質問14. 適切なライセンス慣行を支援する措置を導入すべきか?
Question 15. Should the government have a role in encouraging collective licensing and/or data aggregation services? If so, what role should it play? 質問15. 政府は集合的ライセンスおよび/またはデータ集約サービスの奨励に役割を果たすべきか。果たすべき場合、どのような役割を果たすべきか。
Question 16. Are you aware of any individuals or bodies with specific licensing needs that should be taken into account? 質問16. 考慮すべき特定のライセンスニーズを持つ個人または団体についてご存知ですか?
C.4 Transparency C.4 透明性
Question 17. Do you agree that AI developers should disclose the sources of their training material? 質問17. AI開発者がその学習素材のソースを開示すべきであることに同意するか?
Question 18. If so, what level of granularity is sufficient and necessary for AI firms when providing transparency over the inputs to generative models? 質問18. 同意する場合、生成モデルへの入力に関する透明性を提供する際、AI企業にとってどの程度の粒度で十分かつ必要か?
Question 19. What transparency should be required in relation to web crawlers? 質問19. ウェブクローラーに関してどのような透明性が求められるべきか?
Question 20.What is a proportionate approach to ensuring appropriate transparency? 質問20. 適切な透明性を確保するための適切なアプローチとはどのようなものか?
Question 21. Where possible, please indicate what you anticipate the costs of introducing transparency measures on AI developers would be. 質問21. 可能であれば、AI開発者に対する透明性措置の導入に要する費用について、予想される金額を示していただきたい。
Question 22. How can compliance with transparency requirements be encouraged, and does this require regulatory underpinning? 質問22. 透明性要件の順守を促すにはどうすればよいか、また、そのためには規制による裏付けが必要か。
Question 23. What are your views on the EU’s approach to transparency? 質問23. EUの透明性に対するアプローチについて、どう考えるか。
C.5 Wider clarification of copyright law C.5 著作権法のより広範な明確化
Question 24. What steps can the government take to encourage AI developers to train their models in the UK and in accordance with UK law to ensure that the rights of right holders are respected? 質問 24. 権利者の権利が尊重されることを確保するために、AI開発者が英国で、かつ英国法に従ってモデルを訓練することを奨励するために、政府がどのような措置を講じることができるか。
Question 25. To what extent does the copyright status of AI models trained outside the UK require clarification to ensure fairness for AI developers and right holders? 質問 25. AI開発者および権利者の公平性を確保するために、英国外で訓練されたAIモデルの著作権の状態をどの程度明確にする必要があるか。
Question 26. Does the temporary copies exception require clarification in relation to AI training? 質問26. 一時的コピーの例外は、AIのトレーニングとの関連で明確化する必要があるか?
Question 27. If so, how could this be done in a way that does not undermine the intended purpose of this exception? 質問27. もしそうであれば、この例外の意図された目的を損なわないように、どのように行うことができるか?
C.6 Encouraging research and innovation C.6 研究とイノベーションの奨励
Question 28. Does the existing data mining exception for non-commercial research remain fit for purpose? 質問28. 非営利研究のための現行のデータマイニング例外は、目的に適ったままであるか?
Question 29. Should copyright rules relating to AI consider factors such as the purpose of an AI model, or the size of an AI firm? 質問29. AIに関する著作権規則は、AIモデルの目的やAI企業の規模などの要素を考慮すべきか?
D. AI outputs D. AIの出力
D.1 Computer-generated works: protection for the outputs of generative AI D.1 コンピュータ生成著作物:生成的AIの出力の保護
D.2 Policy options D.2 政策選択肢
Question 30. Are you in favour of maintaining current protection for computer-generated works? If yes, please explain whether and how you currently rely on this provision. 質問30. コンピュータ生成著作物に対する現行の保護を維持することに賛成するか。賛成の場合、現行の規定をどの程度、またどのように利用しているか説明されたい。
Question 31. Do you have views on how the provision should be interpreted? 質問31. この規定の解釈について意見はあるか。
Question 32. Would computer-generated works legislation benefit from greater legal clarity, for example to clarify the originality requirement? If so, how should it be clarified? 質問32. コンピュータ生成著作物に関する法律は、例えば独創性の要件を明確化するなど、より明確な法律規定によって恩恵を受けるだろうか? もしそうであれば、どのように明確化すべきだろうか?
Question 33. Should other changes be made to the scope of computer-generated protection? 質問33. コンピュータ生成著作物の保護範囲について、その他の変更を加えるべきだろうか?
Question 34. Would reforming the computer-generated works provision have an impact on you or your organisation? If so, how? Please provide quantitative information where possible. 質問34. コンピュータ生成著作物に関する規定を改正することは、あなたまたはあなたの組織に影響を与えるだろうか? もしそうであれば、どのように影響するだろうか? 可能な場合は定量的な情報を提供していただきたい。
Question 35. Are you in favour of removing copyright protection for computer-generated works without a human author? 質問35. 人間による著作者の関与のないコンピュータ生成著作物について、著作権保護を撤廃することに賛成か?
Question 36. What would be the economic impact of doing this? Please provide quantitative information where possible. 質問36. そうした場合の経済的影響は何か? 可能な限り定量的な情報を提供すること。
Question 37. Would the removal of the current CGW provision affect you or your organisation? Please provide quantitative information where possible. 質問37. 現行のCGW規定の撤廃は、あなたまたはあなたの組織に影響するか? 可能な限り定量的な情報を提供すること。
D.3 Computer-generated works interaction with designs D.3 コンピュータ生成著作物とデザインの相互作用
D.4 Infringement and liability relating to AI-generated content D.4 AI生成コンテンツに関する侵害と責任
Question 38. Does the current approach to liability in AI-generated outputs allow effective enforcement of copyright? 質問38. AIが生成した出力に対する現在の法的責任のアプローチは、著作権の効果的な執行を可能にしているか?
Question 39. What steps should AI providers take to avoid copyright infringing outputs? 質問39. AIプロバイダーは、著作権侵害の出力を回避するためにどのような措置を講じるべきか?
D.5 AI output labelling D.5 AI 出力のラベル付け
Question 40. Do you agree that generative AI outputs should be labelled as AI generated? If so, what is a proportionate approach, and is regulation required? 質問40. 生成的AIの出力はAI生成物としてラベル付けされるべきであることに同意するか? 同意する場合、どのような対応が妥当か、また規制は必要か?
Question 41. How can government support development of emerging tools and standards, reflecting the technical challenges associated with labelling tools? 質問41. 政府は、ラベル付けツールに関連する技術的課題を反映し、新興のツールや標準の開発をどのように支援できるか?
Question 42. What are your views on the EU’s approach to AI output labelling? 質問42. EUのAI出力のラベル付けに対するアプローチについてどう考えるか?
D.6 Digital replicas and other issues D.6 デジタルレプリカおよびその他の問題
Question 43. To what extent would the approach(es) outlined in the first part of this consultation, in relation to transparency and text and data mining, provide individuals with sufficient control over the use of their image and voice in AI outputs? 質問43. この協議の第1部で概説されたアプローチ(複数可)は、透明性およびテキスト・データマイニングに関して、AIの出力における個人の画像および音声の使用について、個人に十分な管理権を与えるものとなるか?
Question 44. Could you share your experience or evidence of AI and digital replicas to date? 質問44. これまでのAIおよびデジタルレプリカに関する経験または証拠を共有できるか?
D.7 Other emerging issues D.7 その他の新たな問題
Question 45. Is the legal framework that applies to AI products that interact with copyright works at the point of inference clear? If it is not, what could the government do to make it clearer? 質問45. 著作権で保護された作品と相互に作用するAI製品に適用される法的枠組みは明確か?明確でない場合、政府はそれを明確にするために何ができるか?
Question 46. What are the implications of the use of synthetic data to train AI models and how could this develop over time, and how should the government respond? 質問 46. AIモデルの訓練に合成データを使用することの意味するところは何か、また、これが将来的にどのように発展する可能性があるか、政府はどのように対応すべきか。
Question 47. What other developments are driving emerging questions for the UK’s copyright framework, and how should the government respond to them? 質問 47. 英国の著作権制度に新たな問題を引き起こしているその他の動向にはどのようなものがあるか、政府はそれらにどのように対応すべきか。

 

Continue reading "英国 意見募集 著作権とAI (2024.12.17)"

| | Comments (0)

2024.11.20

世界経済フォーラム (WEF) サイバー犯罪ネットワークを破壊する: 協働の枠組み

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が、「サイバー犯罪ネットワークを破壊する: 協働の枠組み」を公表していますね...

サイバー犯罪はグローバルに行われる場合が多いので、それぞれの国家の捜査機関間の連携が重要になると思います。

それを促進するためには、どのようなインセンティブが必要かなど、考えることがよいのではと思います。

 

World Economic Forum

・2024.11.11 Disrupting Cybercrime Networks: A Collaboration Framework

Disrupting Cybercrime Networks: A Collaboration Framework サイバー犯罪ネットワークを破壊する: 協働の枠組み
Collaborations between industry experts and the public sector are disrupting cybercrime. This white paper, developed by the World Economic Forum’s Partnership against Cybercrime, explores how to build on the success of existing partnerships to accelerate the disruption of cybercriminal activities. It looks at leading operational collaborations against cybercrime worldwide, identifying the common traits of effective partnerships and the hurdles they encounter. 業界の専門家と公共セクターの協働がサイバー犯罪を破壊している。世界経済フォーラムの「サイバー犯罪に対抗するパートナーシップ」によって作成されたこの白書は、サイバー犯罪活動の破壊を加速させるために、既存のパートナーシップの成功をどのように構築するかを探求している。本書では、サイバー犯罪に対抗するために世界各地で行われている主導的な業務協力について考察し、効果的なパートナーシップに共通する特徴と、それらが直面するハードルを明らかにしている。
Collaborations between industry experts and the public sector are disrupting cybercrime. This white paper, developed by the World Economic Forum’s Partnership against Cybercrime, explores how to build on the success of existing partnerships to accelerate the disruption of cybercriminal activities. It looks at leading operational collaborations against cybercrime worldwide, identifying the common traits of effective partnerships and the hurdles they encounter. 産業界の専門家と公共部門との協働は、サイバー犯罪を破壊している。世界経済フォーラムの「サイバー犯罪に対抗するパートナーシップ」によって作成された本白書は、既存のパートナーシップの成功に基づき、サイバー犯罪活動の破壊を加速させる方法を探るものである。本書は、サイバー犯罪に対抗する世界各地の主要な業務提携に注目し、効果的なパートナーシップに共通する特徴と、それらが遭遇するハードルを特定している。
Outlining the “why” and “how” of operational collaborations, this paper highlights three main pillars of collaboration: incentives for organizations to collaborate, elements of a good governance structure, and resources required to set up, maintain and accelerate partnerships. This framework is the starting point for new anti-cybercrime operational collaborations that can strengthen the defences of the stakeholders involved and increase the costs for cybercriminals. 本稿では、業務協働の「理由」と「方法」を概説し、協働の3つの主要な柱、すなわち、組織が提携するインセンティブ、優れたガバナンス構造の要素、提携を立ち上げ、維持し、加速させるために必要なリソースを強調している。このフレームワークは、関係者の防御を強化し、サイバー犯罪者のコストを増加させることができる、新たなサイバー犯罪対策の運用協力の出発点となる。

 

 

・[PDF]

20241120-03454

 

 目次...

Executive summary エグゼクティブサマリー
1 Collaborating to disrupt cybercrime 1 サイバー犯罪を阻止するための協力
2 A roadmap for collaboration 2 協力のためのロードマップ
2.1 Incentives 2.1 インセンティブ
2.2 Organizational structures and governance 2.2 組織構造とガバナンス
2.3 Resources 2.3 リソース
Conclusion おわりに
Appendix: Methodology 附属書 方法論
Contributors 貢献者
Endnotes 巻末資料

 

エグゼクティブサマリー...

Executive summary エグゼクティブ・サマリー
Collaborations between industry experts and the public sector are disrupting cybercriminals. Here’s how this can be scaled up and accelerated. 業界の専門家と公共部門との協働は、サイバー犯罪者を混乱に陥れている。これをどのように拡大し、加速させることができるかを紹介する。
The internet allows criminals to operate seamlessly across borders, accessing a marketplace of victims anywhere, anytime and at scale. Cybercrime has expanded for the same reasons that drove the mega growth of legal online businesses. インターネットは、犯罪者が国境を越えてシームレスに活動し、いつでもどこでも大規模に被害者の市場にアクセスすることを可能にしている。サイバー犯罪が拡大したのは、合法的なオンライン・ビジネスが急成長したのと同じ理由からである。
At the same time, criminals copy what they see in the legal markets. Think about the advent of subscription model “software-as-a-service” offerings that give businesses access to user-friendly products ranging from video calls to project management and customer service tools. Equally, criminals have their own “cybercrime-as-a-service”1 business model where experienced cybercriminals sell accessible tools and knowledge to help others carry out cybercrimes. This brings more criminals into the cybercrime market by lowering the cost and level of skill needed to be an effective online fraudster and deliver ransomware attacks that can bankrupt businesses2 and destroy livelihoods. 同時に、犯罪者は合法的な市場を模倣している。ビデオ通話からプロジェクト管理、顧客サービス・ツールに至るまで、使いやすい製品をビジネスに提供するサブスクリプション・モデルの「SaaS(Software-as-a-Service)」の登場を考えてみよう。同様に、犯罪者たちは、経験豊富なサイバー犯罪者たちが、アクセス可能なツールや知識を販売し、他の犯罪者たちのサイバー犯罪を手助けするという、独自の「サイバー犯罪をサービス化する」1ビジネスモデルを持っている。これにより、効果的なオンライン詐欺師となり、企業を倒産させ2、生活を破壊する可能性のあるランサムウェア攻撃を提供するために必要なコストと技術レベルを下げることで、より多くの犯罪者がサイバー犯罪市場に参入している。
The Global Anti-Scam Alliance estimated that 25.5% of the world’s population were impacted by cyber-enabled fraud in 2023.3 The profits this generates for criminals have a wider impact than the immediate victims. In 2023, the United Nations reported that at least 220,000 people had been trafficked in South-East Asia, some from as far away as Africa and Latin America, and forced to run online scams.4  Global Anti-Scam Allianceは、2023年には世界人口の25.5%がサイバー詐欺の被害を受けると推定している3。国連は2023年、少なくとも22万人が東南アジアで人身売買され、中にはアフリカやラテンアメリカから来た人もいると報告している4
The convergence of cybercrime and violent organized crime has also led to a cultural shift, with the new entrants to the cybercrime market less concerned about causing physical harm at scale. For example, in June 2024, a ransomware attack on a blood-test provider prompted the United Kingdom’s National Health Service to make an urgent call for blood donations5 and rearrange more than 800 planned operations after they lost the service’s ability to match patients’ blood.6 サイバー犯罪と暴力的組織犯罪の融合は、文化的な変化ももたらしている。サイバー犯罪市場への新規参入者は、大規模な物理的危害を与えることにあまり関心がない。例えば、2024年6月、血液検査プロバイダに対するランサムウェア攻撃により、イギリスの国民保健サービス(National Health Service)は献血の緊急呼びかけを行い5、患者の血液を照合する機能を失ったため、予定されていた800件以上の手術を変更した6
New ground being broken in the fight against cybercriminals サイバー犯罪者との闘いにおける新境地
Often, responses to cybercrime have been fragmented. Existing knowledge of cybercriminal activity, while often deep, has been split across different companies and public agencies. But there are an increasing number of examples where these limitations are overcome. In 2024, law enforcement in Thailand and the Philippines successfully rescued hundreds of people from forced labour in cyberscam farms and worked with the private sector to recover criminal profits. In West Africa and Latin America, operations supported by INTERPOL have led to coordinated arrests.7 In Europe and North America, collaborations between industry and law enforcement8 have led to unprecedented success in the disruption of cybercriminals’ technical infrastructure,9 creating new levels of risk for cybercrime service providers and the criminals who use them.  多くの場合、サイバー犯罪への対応は断片的であった。サイバー犯罪の活動に関する既存の知識は、深いものであることが多いが、さまざまな企業や公的機関に分散していた。しかし、こうした限界を克服する例も増えている。2024年、タイとフィリピンの法執行機関は、サイバー詐欺農場での強制労働から数百人を救い出し、民間部門と協力して犯罪利益を回収することに成功した。西アフリカとラテンアメリカでは、国際刑事警察機構(INTERPOL)が支援する活動によって、組織的な逮捕が行われている7。ヨーロッパと北米では、産業界と法執行機関8の協働によって、サイバー犯罪者の技術インフラの破壊に前例のない成功がもたらされ9、サイバー犯罪サービス・プロバイダとそれを利用する犯罪者に新たなレベルのリスクをもたらしている。
The expanding list of successful disruptions is heartening and the result of several years of hard work and good-faith partnerships between industry and the public sector. The aim is to have a systematic disruptive impact on cybercrime and the path towards it is clear. It is also clear that industry partnerships, as well as collaborations between industry and the public sector, will be a driving force in making the internet a hostile environment for cybercriminals. 破壊工作の成功事例が拡大していることは喜ばしいことであり、産業界と公共部門の数年にわたる努力と誠意あるパートナーシップの成果である。目的はサイバー犯罪に組織的な破壊的影響を与えることであり、そのための道筋は明確である。また、サイバー犯罪者にとってインターネットを敵対的な環境にするためには、産業界のパートナーシップや産業界と公共部門の協力が原動力となることも明らかである。
Operational collaboration framework 運用協力の枠組み
This white paper, developed by the World Economic Forum’s Partnership against Cybercrime community, asks how to build on the success of the anti-cybercrime partnerships that already exist. It identifies some of the leading operational collaborations to counter cybercriminal networks and infrastructure and draws on the expertise of the Partnership against Cybercrime community to identify common characteristics of successful partnerships and the challenges they face. It then provides recommendations for setting up, maintaining and accelerating the success of anti-cybercrime partnerships. This is the starting point for a framework for anti-cybercrime operational collaborations. 世界経済フォーラムの「サイバー犯罪に対抗するパートナーシップ」コミュニティによって作成されたこの白書は、すでに存在するサイバー犯罪対策パートナーシップの成功をどのように構築するかを問うものである。この白書は、サイバー犯罪のネットワークやインフラに対抗するための主要な作戦上の協働関係をいくつか特定し、サイバー犯罪に対抗するパートナーシップ・コミュニティの専門知識を活用して、成功したパートナーシップに共通する特徴や直面する課題を明らかにしている。そして、サイバー犯罪対策パートナーシップを構築し、維持し、成功を加速させるための推奨事項を提示している。これは、サイバー犯罪対策における業務協働の枠組みの出発点となるものである。

 

 

1. Collaborating to disrupt cybercrime 1. 協働してサイバー犯罪を阻止する
Understanding the “why” and “how” of operational collaboration. 作戦協働の「理由」と「方法」を理解する。
Successful operational collaborations to counter cybercrime incentivize participants’ alignment around a shared mission and over time. These partnerships have organizational processes and governance adapted to the requirements of their activities, and show an ability to reassess and restructure how they collaborate as needs change. Importantly, these collaborations understand how to link technology and skilled cybercrime professionals with legal and policy experts. サイバー犯罪に対抗するための作戦協働が成功している場合、参加者は共通の使命のもと、長期にわたって連携することになる。このようなパートナーシップは、活動の要件に適合した組織プロセスとガバナンスを有しており、ニーズの変化に応じて協働の方法を見直し、再構築する能力を示している。重要なことは、こうした輸入事業者は、テクノロジーや熟練したサイバー犯罪の専門家と、法律や政策の専門家をどのように結びつけるかを理解していることである。
FIGURE 1 Operational collaboration: Three main pillars 図1 業務上の連携: 3つの柱
20241120-64234
Incentives for collaboration 協働のインセンティブ
Successful operational collaborations to counter cybercrime demonstrate: サイバー犯罪に対抗するための業務協働が成功している場合、以下のことが実証される:
– A clear mission: This provides participants with an ongoing justification for joining and remaining part of the collaboration. ・明確な使命: これにより参加者は、協働に参加し、協働の一員であり続けることを継続的に正当化できる。
– Impact: Frequent feedback to individuals, participating organizations and external stakeholders shows how their input to a collaboration has created impact. ・インパクト: 個人、参加組織、外部の利害関係者に頻繁にフィードバックすることで協働へのインプットがどのようなインパクトをもたらしたかを示す。
– Peer-to-peer learning: Successful operational collaborations are sites of ongoing learning for the experts engaged in operations. They also provide skills, information and assessments that help participating organizations to improve their internal cybersecurity capacity. Formal training programmes also support the creation of communities of trust that help maintain the collaboration over time. ・ピアツーピアの学習: 成功した業務提携は、業務に携わる専門家にとって継続的な学習の場となる。また、参加組織が内部のサイバーセキュリティ能力を改善するのに役立つスキル、情報、アセスメントも提供される。また、正式な研修プログラムは、長期にわたって協働体制を維持するのに役立つ信頼関係のコミュニティの形成を支援する。
– Public recognition: Support can be used to show that an organization is using its capabilities to support society by reducing criminal harms. This reputational support provides an additional business incentive to engage. ・社会的認知: 支援は、犯罪被害を減らすことで社会を支援するために組織がその能力を活用していることを示すために利用できる。このような風評上の支援は、業務に関与するさらなるビジネス・イン センティブとなる。
– Cyber-resilience as a value creator: Information obtained from a collaboration can be used to improve cyber defences and postattack recovery. ・価値創造としてのサイバーレジリエンス: 協働から得られた情報は、サイバー防御や攻撃後の復旧の改善に利用することができる。
Organization and governance 組織とガバナンス
– Flexible governance frameworks: The governance structure of the collaboration is designed to support stringent control over sensitive areas such as data management and use, through legal contracts, where necessary. At the same time, there is flexibility in how experts from sometimes vastly different types of organizations interact and proceed with an operation. Operational interaction is often governed by standard operating procedures and codes of conduct that are developed by the expert community itself. ・柔軟なガバナンスの枠組み: 協働のガバナンス構造は、必要に応じて法的な契約を通じて、データの管理や使用など機密性の高い分野に対する厳格な管理をサポートするように設計されている。同時に、時には大きく異なるタイプの組織から集まった専門家が、どのように相互作用し、作戦を進めるかについても柔軟性がある。活動の相互作用は、専門家集団自身が策定した標準作業手順や行動規範によってガバナンスされることが多い。
– Membership capability assessments: Participants in a collaboration are sought based on the capabilities they bring. Participants understand what they are obliged to provide to the collaboration in order to retain membership. The collaboration has ways of measuring engagement and the value provided by each member. ・参加者の能力アセスメント: 協働の参加者は、彼らがもたらす能力に基づいて求められる。参加者は、メンバーシップを維持するために協 力に何を提供する義務があるかを理解している。協働は、エンゲージメントと各メンバーが提供する価値を測定する方法を有する。
Resources and expertise リソースと専門知識
– Technology and people are interlinked: The success of technology and IT platforms is dependent on having the technical, legal and operational expertise to use them. ・テクノロジーと人材は相互に関連している: テクノロジーとITプラットフォームの成功は、それらを使用するための技術的、法的、運用的専門知識の有無にかかっている。
– Taxonomies and data normalization: There is strength in the diversity of skills created by a cross-industry or public-private partnership but there can also be confusion. Taxonomies create a common language that facilitates clear communication across participants. By aligning on definitions of cybercriminal activity, taxonomies enable faster identification and categorization of threats, which in turn supports an effective operational response. ・タクソノミとデータの正規化 異業種連携や官民連携によって生み出されるスキルの多様性には強みがあるが、混乱も起こりうる。分類法は、参加者間の明確なコミュニケーションを促進する共通言語を生み出す。サイバー犯罪活動の定義を一致させることで、タクソノミは脅威の迅速な特定と分類を可能にし、ひいては効果的な運用対応を支援する。
– Data management and information security: Ensuring that information is securely stored, properly classified and easily retrievable is critical to taking a collaboration out of its startup phase and ensuring that it can grow. ・データ管理と情報セキュリティ: 情報が安全に保管され、適切に分類され、容易に検索できるようにすることは、協働を立ち上げ段階から成長させるために不可欠である。
"By aligning on definitions of cybercriminal activity, taxonomies enable faster identification and categorization of threats, which supports an effective operational response. 「サイバー犯罪活動の定義を一致させることで、タクソノミは脅威の迅速な特定と分類を可能にし、効果的な業務対応を支援する。
2. A roadmap for collaboration 2. 協働のためのロードマップ
Strengthening defenses and increasing the costs for cybercriminals. 防御を強化し、サイバー犯罪者のコストを増加させる。
2.1 Incentives 2.1 インセンティブ
Cybercriminal groups have evolved into highly lucrative transnational enterprises linked by complicated networks of commercial relationships and supply chains. This allows cybercriminals to operate at scale but also creates opportunities to make cybercrime less attractive through disruption and arrest, significantly altering the risk-reward calculus for perpetrators. Operational collaborations increase the difficulty, costs and risk associated with executing cybercriminal activities. サイバー犯罪グループは、複雑な商取引関係やサプライチェーンのネットワークで結ばれた、非常に有利な国境を 越えたエンタープライズへと発展している。これにより、サイバー犯罪者は大規模に活動できるようになったが、同時に、混乱や逮捕を通じてサイバー犯罪の魅力を低下させる機会も生まれ、加害者のリスクとリターンの計算が大きく変化している。業務提携は、サイバー犯罪の実行に伴う難易度、コスト、リスクを高める。
Cross-sector partnerships allow for the pooling of resources, leading to enhanced capabilities that individual organizations might not achieve on their own. セクターを超えたパートナーシップは、リソースをプールすることを可能にし、個々の組織が単独では達成できないような能力の強化につながる。
All the organizations participating in this research were motivated to disrupt cybercrime. A shared motivation was to protect their organizational assets and their wider group of stakeholders, whether this be companies, customers or citizens. この調査に参加した組織はすべて、サイバー犯罪を阻止したいという動機を持っていた。共通の動機は、組織の資産と、企業、顧客、市民など、より広範なステークホルダーを保護することであった。
Workshops and expert interviews suggest that these motivations can be broken down into connected incentives that bring organizations together and help maintain a collaboration over time: ワークショップや専門家へのインタビューから、こうした動機は、組織をひとつにまとめ、長期にわたって協働関係を維持するのに役立つ、関連性のあるインセンティブに分解できることが示唆された:
– Feedback on impact. ・インパクトに関するフィードバック
– Public recognition. ・社会的認知。
– Business and regulatory support. ・ビジネスや規制による支援
– Cyber resilience as a value creator for the participating organization. ・サイバーレジリエンスは、参加組織にとって価値を生み出すものである。
"While building cyber resilience is important, purely defensive measures will never be enough on their own. We must also impose costs on cybercriminals to make their efforts less profitable. However, imposing such costs requires a broad spectrum of capabilities resident in different parts of society, including the public, private and nonprofit sectors. As a result, operational collaboration is not a “nice to have” or a “good to do”; it is the core process needed to reduce the impact of cybercrime on our societies 「サイバーレジリエンスを構築することは重要であるが、純粋な防御策だけでは決して十分ではない。また、サイバー犯罪者にコストを課し、彼らの努力が利益を生まないようにしなければならない。しかし、そのようなコストを課すには、公共、民間、非営利セクターなど、社会のさまざまな部分に常駐する幅広い能力が必要である。サイバー犯罪が社会に与える影響を軽減するために必要な中核的プロセスなのである。
Michael Daniel, President; Chief Executive Officer, Cyber Threat Alliance マイケル・ダニエル(サイバー脅威アライアンス会長兼最高経営責任者
Feedback loops and public recognition フィードバックループと社会的認知
Tangible impact 具体的なインパクト
Anti-cybercrime collaborations that succeed over time ensure participants can see the tangible impact of their contributions. Feedback loops that keep participants informed of the results of shared intelligence, joint operations or collective strategies are essential. Feedback processes validate the efforts of individual members and encourage continuous participation by highlighting the direct correlation between input and outcome. 長期にわたって成功するサイバー犯罪対策の協働は、参加者が自分たちの貢献の具体的な効果を実感できるようにする。共有されたインテリジェンス、共同作戦、集団戦略の結果を参加者に知らせるフィードバック・ループは不可欠である。フィードバック・プロセスは、個々のメンバーの努力を妥当性確認し、インプットと結果の直接的な相関関係を強調することで、継続的な参加を促す。
For example, when an organization shares threat intelligence that leads to the prevention of a major cyberattack, this success should be communicated back to the contributor, demonstrating the value of their participation. Sharing reports that show the overall impact of the collaboration, for example a reduction in cybercrime incidents, can motivate continued and enhanced engagement. 例えば、ある組織が脅威インテリジェンスを共有し、それが大規模なサイバー攻撃の防止につながった場合、この成功は貢献者にフィードバックされ、彼らの参加の価値を示すべきである。サイバー犯罪インシデントの減少など、協働の全体的な影響を示すレポートを共有することで、継続的な関与と強化の動機付けとすることができる。
Recognition of participant input 参加者の意見を評価する
These feedback mechanisms also serve as a learning tool, allowing organizations to refine their contributions based on what has been most effective in previous collaborations. This iterative process helps in building a more robust and resilient cybersecurity posture across the network. このようなフィードバックの仕組みは学習ツールとしても機能し、組織は過去の協働で最も効果的であったことに基づいて貢献を洗練させることができる。この反復プロセスは、ネットワーク全体でより堅牢でレジリエンスに優れたサイバーセキュリティ体制を構築するのに役立つ。
Public recognition is also a powerful incentive for organizations to engage in operational collaborations against cybercrime. Collaborations require time and resources and organizations need a way to validate their participation internally to their own executives as well as externally to their clients and stakeholders. In a world where reputation and brand trust are critical assets, being acknowledged for contributing to the global fight against cybercrime can enhance an organization’s standing in the market. また、社会的な認知は、組織がサイバー犯罪に対する作戦協働に取り組む強力なインセンティブにもなる。協業には時間とリソースが必要であり、組織は、社内の幹部だけでなく、社外の顧客や利害関係者に対しても、協業への参加を妥当性確認する方法を必要としている。評判とブランドの信頼が重要な資産である世界では、サイバー犯罪との世界的な戦いに貢献し ていることが認められれば、市場における組織の地位を高めることができる。
Cyber resilience as a value creator 価値創造としてのサイバーレジリエンス
Participating in operational collaborations strengthens an organization’s security by providing access to a broader set of intelligence, enabling better threat detection and trend identification. Insights gained from joint efforts can be used to immediately improve internal security measures, creating a continuous improvement loop that bolsters both the organization and the collaboration network. 業務提携に参加することで、より広範なインテリジェンスにアクセスできるようになり、より優れた脅威の検知と傾向の特定が可能になるため、組織のセキュリティが強化される。協働作業から得られた知見は、社内のセキュリティ対策の改善に即座に活用することができ、組織と協働・ネットワークの双方を強化する継続的な改善ループを生み出す。
Training opportunities トレーニングの機会
Operational collaborations provide a unique platform for continuous learning and expertise building. Collaborations often involve a diverse group of participants, each bringing different skills and perspectives to the table. This diversity is a rich resource for knowledge exchange and individual participants appreciate the opportunities for peerto-peer learning that help build a community and an ecosystem of trust among expert participants. 業務提携は、継続的な学習と専門知識構築のためのユニークなプラットフォームを提供する。協働の参加者は多様であることが多く、それぞれが異なるスキルや視点を持ち寄っている。この多様性は知識交換のための豊富なリソースであり、個々の参加者は、専門家参加者間のコミュニティと信頼のエコシステムの構築に役立つピアツーピア学習の機会を高く評価する。
BOX 1. Data Security Council of India (DSCI) Centre for Cybercrime Investigation Training & Research (CCITR) BOX 1. インドデータセキュリティ評議会(DSCI)サイバー犯罪調査トレーニング&リサーチセンター (CCITR)
Founded in 2005, the NASSCOM-DSCI Cyber Labs Initiative10 initially relied on expertise and tools from the private sector to train police in Mumbai and the wider Maharashtra state. Over time, the programme spread to several regions of India, including Bengaluru, Kolkata, Hyderabad, Haryana and Chennai, creating a network of police trained to an equally high standard. 2005年に設立されたNASSCOM-DSCIサイバー・ラボ・イニシアティブ10 は、当初、民間セクターの専門知識とツールを活用し、ムンバイとマハラシュトラ州全域の警察を訓練した。やがてこのプログラムは、ベンガルール、コルカタ、ハイデラバード、ハリヤナ、チェンナイなど、インドのいくつかの地域に広がり、同様に標準的な訓練を受けた警察のネットワークが構築された。
CCITR gradually increased its focus on training using free and open-source forensic tools while continuing to maintain advisory connections to private-sector partners, who supported access to and training in new technology. The focus on open-source tools ensured a baseline capability across all police officers trained at Cyber Labs, regardless of their particular constraints of budget or access to technology. CCITRは、フリーでオープンソースのフォレンジック・ツールを使った訓練に徐々に重点を置くようになったが、その一方で、新技術へのアクセスや訓練を支援する民間パートナーとの顧問的なつながりは維持し続けた。オープンソースのツールに重点を置くことで、予算や技術へのアクセスといった特定の制約に関係なく、サイバー・ラボで訓練を受けたすべての警察官の基本的な能力が確保された。
The Cyber Labs initiative was expanded in 2019 by establishing the Centre for Cybercrime Investigation Training & Research (CCITR) at the Criminal Investigation Department in Bengaluru, Karnataka, with DSCI as the implementation and knowledge partner and the non-profit Infosys Foundation as the funding partner. サイバーラボのイニシアチブは2019年、カルナタカ州ベンガルールの犯罪捜査局にサイバー犯罪捜査訓練調査センター(CCITR)を設立し、DSCIが実施と知識のパートナー、非営利のインフォシス財団が資金提供のパートナーとなって拡大された。
CCITR has created a trusted network of highly-skilled police officers spread across India with shared standard operating procedures for handling electronic evidence developed through CCITR’s Cybercrime Investigation Manual. This supports cross-regional collaboration in the most populous country on earth. The maintenance of connections to the private sector aids the expansion of CCITR’s training into new areas, such as drone forensics and Internet of Things (IoT) forensics. It also helps maintain informal connections between law enforcement and private-sector experts, which help both sides better understand each other’s capabilities and constraints. CCITRは、CCITRの「サイバー犯罪捜査マニュアル」を通じて開発された電子証拠の取り扱いに関する標準操作手順を共有することで、インド全土に広がる高度な技能を持つ警察官の信頼できるネットワークを構築した。これは、地球上で最も人口の多い国であるインドにおいて、地域を越えた協働体制を支えている。民間部門とのつながりの保守は、ドローン鑑識やモノのインターネット(IoT)鑑識といった新しい分野へのCCITRの訓練の拡大を助ける。また、法執行機関と民間の専門家との非公式なつながりの維持にも役立っており、両者が互いの能力や制約をよりよく理解するのに役立っている。
CCITR is now a collaboration between the Criminal Investigations Department of Karnataka state, the Data Security Council of India and Infosys Foundation. The basis of its growth is the stability provided by its hosting at the Criminal Investigations Department of Karnataka state and the accountability created by a governance structure that includes oversight from its host organization, funding partner, law enforcement partners, private-sector participants and regional government. CCITRは現在、カルナータカ州犯罪捜査局、インドデータセキュリティ評議会、インフォシス財団の協働で運営されている。CCITRの成長の基盤は、カルナータカ州犯罪捜査局でのホスティングによる安定性と、ホスト組織、資金提供パートナー、法執行パートナー、民間参加者、地域政府からの監視を含むガバナンス構造による説明責任である。
Business and regulatory support ビジネスと規制の支援
"Operational collaboration is an essential tool to both prevent and disrupt cybercrime and drive ecosystem resilience. Unfortunately, it remains drastically underutilized. 「業務協働は、サイバー犯罪を防止・阻止し、エコシステムのレジリエンスを推進するために不可欠なツールである。しかし、残念ながら、まだ十分に活用されていない。
Megan Stifel, Chief Strategy Officer, Institute for Security and Technology メーガン・スティフェル、セキュリティ・テクノロジー機構最高戦略責任者
Research from 2022 by the World Economic Forum Partnership against Cybercrime demonstrates a high level of support for collaborative cyber information sharing from specialist government agencies such as the European Union Agency for Cybersecurity (ENISA) and the Cyber Security Agency of Singapore. Agencies such as the United States Cybersecurity and Infrastructure Security Agency (CISA) lead the way in supporting publicprivate cyberthreat sharing and collaborations for analysis such as the Joint Cyber Defense Collaborative (JCDC).11 サイバー犯罪に対抗する世界経済フォーラム・パートナーシップによる2022年の調査では、欧州連合サイバーセキュリティ機関(ENISA)やシンガポールのサイバーセキュリティ庁などの専門政府機関が、サイバー情報の共同共有を高いレベルで支持していることが示されている。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)などの分析機関は、官民のサイバー脅威の共有や共同サイバー防衛共同体(JCDC)のような分析のための協働作業の支援において先導的な役割を果たしている11。
"The common factor among organizations whose legal team took a constructive approach for data sharing was that business leaders viewed cybersecurity as strategically important. 「法務チームがデータ共有に対して建設的なアプローチを取っている組織に共通しているのは、ビジネスリーダーがサイバーセキュリティを戦略的に重要であると捉えていることであった。
Legal teams’ risk appetite remains a challenge 法務チームのリスク許容度には課題が残る
Despite the clear support shown for cybersecurity and anti-cybercrime collaborations by key government agencies, workshops and interviews undertaken for this paper indicate that corporate legal teams will regularly take a defensive posture with regard to crossindustry and public-private information sharing. This is because of the possible implications of breaching regulations overseen by non-cyber agencies, such as privacy regulators, which can include hefty fines and reputational damage. 主要政府機関によるサイバーセキュリティとサイバー犯罪対策の連携に対する明確な支持にもかかわら ず、本稿のために実施されたワークショップやインタビューによると、企業の法務チームは、業界横断的な官民の情報 共有に関して、常日頃から防御的な姿勢をとっている。これは、プライバシー規制当局のようなサイバー関連以外の機関が監督する規制に違反した場合、多額の罰金や風評被害などの影響が出る可能性があるためである。
It is possible that additional regulatory statements of support for operational collaboration could ease this challenge. However, research for this paper found variation in how corporate legal teams approach information sharing, with some organizations finding more flexibility than others even when in the same sector. The common factor among organizations whose legal team took a constructive approach was that business leaders viewed cybersecurity as strategically important to business continuity and set aside resources for the legal team to actively support cross-sector partnerships and collaborations. 業務上の協働をサポートするという規制当局の声明が追加されれば、この課題が緩和される可能性はある。しかし、本稿のための調査では、企業の法務チームの情報共有への取り組み方にばらつきがあることがわかった。法務チームが建設的なアプローチをとっている組織に共通しているのは、ビジネスリーダーがサイバーセキュリティを事業継続にとって戦略的に重要であると考え、法務チームがセクターを超えたパートナーシップや協働を積極的に支援するためのリソースを確保していることであった。
The workshops and interviews undertaken for this paper indicate that where business leaders make it clear that supporting an anti-cybercrime or cybersecurity collaboration adds value to the business, and provide legal teams with the time and resources to explore this, corporate legal teams are more likely to adopt a constructive and problem-solving approach that identifies routes for collaboration. 本稿のために実施したワークショップやインタビューから、ビジネスリーダーがサイバー 犯罪対策やサイバーセキュリティの協業を支援することがビジネスに付加価値をもたらすことを明 確にし、それを検討するための時間とリソースを法務チームに提供している場合、企業の法務チー ムは協業のルートを特定する建設的で問題解決的なアプローチを採用する可能性が高いことがわかる。
2.2 Organizational structures and governance 2.2 組織構造とガバナンス
Balancing formal and informal approaches to collaboration 協働のための公式アプローチと非公式アプローチのバランス
The governance structure of the collaboration is designed to support both stringent control over sensitive areas such as data management and use, and flexibility in how experts from sometimes vastly different types of organizations interact. This paper found that successful collaborations incorporate strict governance of data and risk, a sharp focus on measuring impact, and also considerable flexibility on how exactly experts interact with each other. 協働のガバナンス構造は、データ管理やデータ利用といったデリケートな領域に対する厳格な管理と、時には大きく異なるタイプの組織の専門家がどのように相互作用するかという柔軟性の両方をサポートするように設計されている。本稿では、成功する協働には、データとリスクに関する厳格なガバナンス、インパクトの測定に焦点を絞ること、そして専門家同士の相互作用のあり方についてかなりの柔軟性が組み込まれていることを明らかにした。
BOX 2 Cyber Threat Alliance BOX 2 サイバー脅威アライアンス
The Cyber Threat Alliance (CTA) started in 2014 as an informal collaboration between leading cybersecurity companies, including Fortinet, McAfee, Palo Alto Networks and Symantec, to improve the fight against cybercrime through cooperation. In 2017, it relaunched as an independent legal entity with a wider membership. サイバー脅威アライアンス(CTA)は2014年、フォーティネット、マカフィー、パロアルトネットワークス、シマンテックなどサイバーセキュリティの大手企業が、協働を通じてサイバー犯罪との戦いを改善するための非公式な協働として始まった。2017年には、より幅広いメンバーを擁する独立した事業体として再出発した。
CTA members share timely and actionable information about cyberthreats, allowing them to enhance their products, better protect customers and more effectively disrupt cyberattacks. The organization also has an Early Sharing programme, in which members share finished research and analysis with each other before it is released to the public, receiving three to five of these early shares each week. CTAのメンバーは、サイバー脅威に関するタイムリーで実用的な情報を共有することで、自社製品の強化、顧客の保護強化、サイバー攻撃のより効果的な阻止を可能にしている。この組織には早期共有プログラムもあり、一般に公開される前に、完成した調査や分析をメンバー同士で共有し、毎週3~5件の早期共有を受けることができる。
CTA uses a platform that allows members to upload and access data about cyberthreats in a standardized format. This system organizes information around key patterns and techniques used by attackers, making it easier for members to understand and act on. An algorithm scores each submission, rewarding members for sharing valuable and timely intelligence. This scoring creates a healthy sense of competition, further motivating members to improve the quality of their shared intelligence. With over 12 million data points exchanged monthly, this collaboration ensures CTA members have timely information, collectively strengthening global cybersecurity CTAは、メンバーがサイバー脅威に関するデータを標準フォーマットでアップロードし、アクセスできるプラットフォームを使用している。このシステムは、攻撃者が使用する主要なパターンやテクニックを中心に情報を整理し、メンバーが理解しやすく、行動しやすくする。提出された情報はアルゴリズムによって採点され、貴重でタイムリーな情報を共有したメンバーには報酬が与えられる。この採点によって健全な競争意識が生まれ、共有するインテリジェンスの質を向上させようというメンバーのモチベーションがさらに高まる。毎月1、200万件以上のデータが交換され、この協働により、CTAメンバーはタイムリーな情報を入手し、グローバルなサイバーセキュリティを強化することができる。
Core activities should be predictable but allow space for innovation
中核となる活動は予測可能なものでなければならないが、革新のためのスペースは確保すべきである
Several of the long-standing collaborations this paper studied had a core activity for which participants could plan and apply staff and resources predictably over the long term. These also had the capability to put up ad hoc groups where operations were focused on responding to a particular target or needed to move into an additional sector. These ad hoc operations were often supported by a clear mission and a commitment by participants to pursue this mission in a specified timeline.
本稿が調査した長期的な協力関係のなかには、参加者が長期的に予測可能な人員と資源を計画し、投入できるような中核となる活動がいくつかあった。また、特定のターゲットへの対応に重点を置いたり、新たな分野に進出する必要がある場合には、アドホック・グループを立ち上げる能力もあった。こうしたアドホックな活動は、多くの場合、明確な使命と、この使命を特定の時間軸で追求するという参加者のコミットメントによって支えられていた。
The variation in activities was supported by clear standard operating procedures and rules that governed data management and participant behaviour, such as codes of conduct, that were consistent across all types of activity. This consistent and repeatable structure allows ad hoc groups to be set up quickly as they can follow familiar rules and procedures.
活動のバリエーションは、データ管理や参加者の行動をガバナンスする、行動規範のような明確な標準操作手順やルールによって支えられていた。このような一貫性と再現性のある構造により、アドホック・グループは、慣れ親しんだルールや手順に従うことができるため、迅速に立ち上げることができる。
"For effective operational collaboration, appropriate governance structures are necessary to strike a balance between the costs and benefits for affected stakeholders. INTERPOL’s Cybercrime Directorate is accountable to member countries and we strive to fight cybercrime with open, inclusive and diverse partnerships for a safer world. 「効果的な業務協働のためには、影響を受ける利害関係者のコストと利益のバランスを取るために、適切なガバナンス構造が必要である。国際刑事警察機構(INTERPOL)のサイバー犯罪局(Cybercrime Directorate)は、加盟国に対して説明責任を負っており、より安全な世界のために、オープンで包括的かつ多様なパートナーシップでサイバー犯罪と闘うよう努めている。
Neal Jetton, Cybercrime Director, INTERPOL ニール・ジェットン、INTERPOLサイバー犯罪局長
Governance is as much art as science ガバナンスは科学であると同時に芸術である
The art of supporting formal and informal governance structures requires that a collaboration’s leadership and management be sensitive to participating organizations’ risk appetites and each participant’s ability to adapt how they work to the needs of the collaboration. While some parts of governance will be rigid, others will need to have space into which the collaboration can grow. Building a community and shared work culture requires time and incremental development, so that the participants have sufficient trust in each other that they can work effectively. 公式・非公式のガバナンス構造をサポートする技術には、協働のリーダーシップとマネジメントが、参加組織のリスク選好度や、各参加者が協働のニーズに合わせて仕事をする能力に敏感であることが必要である。ガバナンスには厳格な部分もあれば、協働が成長できるスペースが必要な部分もある。コミュニティと共有のワークカルチャーを構築するには、時間をかけて少しずつ発展させ、参加者が互いに十分な信頼関係を築き、効果的に仕事ができるようにする必要がある。
BOX 3 Operation “Trust No One” BOX 3 「トラスト・ノー・ワン」作戦
Operation “Trust No One” demonstrates how proactive collaborations between private companies and law enforcement can effectively combat transnational cyber threats. 「トラスト・ノー・ワン」作戦は、民間企業と法執行機関との積極的な連携が、国境を越えたサイバー脅威といかに効果的に闘うことができるかを実証している。
The Royal Thai Police (RTP) dismantled a major online crime group responsible for high-value scams that targeted Thailand residents. The RTP action was supported by intelligence from the US Department of Homeland Security and private-sector partners such as the cryptocurrency exchange, Binance. This operation uncovered a sophisticated transnational cybercrime syndicate involved in hybrid scams where victims were lured into fake investments via social media platforms. Perpetrators posed as trustworthy individuals, engaging victims in long-term deception before persuading them to invest in fraudulent schemes. タイ王立警察(RTP)は、タイの住民を標的にした高額詐欺の主要なオンライン犯罪グループを解体した。RTPの行動は、米国国土安全保障省からの情報や、暗号通貨取引所バイナンスなどの民間パートナーによって支援された。この作戦は、被害者がソーシャル・メディア・プラットフォームを通じて偽の投資に誘い込まれるハイブリッド詐欺に関与する、洗練された多国籍サイバー犯罪シンジケートを摘発した。犯人は信頼できる人物を装い、被害者を長期にわたってだまし、詐欺的なスキームに投資するよう説得した。
The operation unfolded in several phases, including multiple raids that led to the arrest of key suspects and the seizure of significant assets. Between May and September 2023, the authorities searched over 70 locations, seizing luxury vehicles, property documents, cash and other high-value items worth billions of Thai baht. These assets were all linked to the fraudulent activities. この作戦は、主要な容疑者の逮捕と多額の資産の押収につながった複数の家宅捜索を含む、いくつかの段階を経て展開された。2023年5月から9月にかけて、認可当局は70ヵ所以上を捜索し、数十億タイバーツに相当する高級車、不動産書類、現金、その他の高額商品を押収した。これらの資産はすべて詐欺行為に関連していた。
The operation also highlighted a balance between formal and informal collaboration methods, fostering cross-border cooperation among agencies. Victims of cybercrime were empowered to report incidents across multiple jurisdictions. The operation traced financial flows through digital wallets, transferring assets to centralized exchanges such as Binance and Huobi, with a total scam value of nearly $126 million. この作戦はまた、形式手法と非公式手法のバランスを強調し、機関間の国境を越えた協働を促進した。サイバー犯罪の被害者は、複数の司法管轄区にまたがるインシデントを報告する権限を与えられた。この作戦では、デジタルウォレットを通じた資金の流れを追跡し、バイナンスやHuobiといった中央集権的な取引所に資産を移転させ、詐欺の総額は約1億2600万ドルに上った。
This data was crucial in tracking the movement of digital assets linked to fraudulent activities and facilitated eventual arrests. このデータは、詐欺行為に関連するデジタル資産の動きを追跡する上で極めて重要であり、最終的な逮捕を促進した。
"Building and maintaining trust among partners is fundamental to the success of the collaboration. 「パートナー間の信頼関係の構築と維持は、協業を成功させるための基本である。
The governance fork ガバナンスの分岐点
A dual-tiered governance model can prove helpful, where strict governance is applied to data management while allowing for a more adaptable approach in other operational areas. データ管理には厳格なガバナンスを適用する一方で、他の業務分野ではより適応性の高いアプローチを認めるという、二重構造のガバナンスモデルが有用であることがわかる。
This bifurcated approach ensures that sensitive data is protected in accordance with the highest standards of security and compliance, including adherence to relevant legal frameworks such as the European Union’s General Data Protection Regulation (GDPR), while other components of the collaboration – such as resource allocation, project management and innovation initiatives – benefit from a governance model that encourages agility and responsiveness. この二層構造のアプローチにより、機密データが最高水準のセキュリティとコンプライアンス(欧州連合の一般データ保護規則(GDPR)などの関連する法的枠組みの遵守を含む)に従って保護される一方で、リソースの割り当て、プロジェクト管理、イノベーション・イニシアティブなど、協働の他の構成要素は、俊敏性と対応性を促進するガバナンス・モデルの恩恵を受けることができる。
Strict data governance 厳格なデータガバナンス
Data governance protocols include detailed procedures for data sharing, storage and access. These protocols should be documented and regularly updated to reflect changes in technology and regulatory environments. Access to data is controlled through a system of role-based permissions, ensuring that only authorized individuals have access to sensitive information. Audit trails are at the core of monitoring data access and usage, providing a mechanism for accountability and transparency. データガバナンス・プロトコルには、データの共有、保管、アクセスに関する詳細な手順が含まれる。これらのプロトコルは文書化され、テクノロジーや規制環境の変化を反映して定期的に更新されるべきである。データへのアクセスは役割ベースの権限システムを通じて管理され、認可された個人だけが機密情報にアクセスできるようにする。監査証跡は、データへのアクセスと利用を監視する中核であり、説明責任と透明性のためのメカニズムを提供する。
Flexible governance of collaboration between people 人と人との協働の柔軟なガバナンス
In contrast, other aspects of the collaboration, such as strategic decision-making, resource deployment and partner engagement, can be managed under a lighter governance structure. This approach allows for faster decision-making and the ability to adapt to emerging threats or opportunities without the burden of excessive bureaucracy. However, even within this lighter framework, it is important to establish baseline protocols to ensure consistency and alignment across the collaboration. Consistency in collaboration practices, from onboarding new partners to executing joint operations, reinforces trust and ensures that all partners feel valued and engaged. 一方、戦略的意思決定、リソース展開、パートナーとのエンゲージメントなど、協働の他の側面は、より軽いガバナンス構造の下で管理することができる。このアプローチにより、過度な官僚主義の負担なしに、迅速な意思決定と新たな脅威や機会への適応が可能になる。しかし、このような軽い枠組みであっても、協働全体の一貫性と整合性を確保するためには、基本的なプロトコルを確立することが重要である。新たなパートナーの加入から共同活動の実施に至るまで、協働の実践に一貫性を持たせることで、信頼が強化され、すべてのパートナーが評価され、関与していると感じられるようになる。
Consider how actions impact trust between community members 行動がコミュニティメンバー間の信頼にどのような影響を与えるかを検討する。
Building and maintaining trust among partners is fundamental to the success of the collaboration. Trust can be established through consistent adherence to agreed-upon processes, transparent decision-making and the equitable sharing of responsibilities and benefits. Regular and flexible interactions, both formal and informal, help build relationships and foster a sense of shared purpose, while also allowing for adjustments that adapt to different organizational cultures. パートナー間の信頼関係の構築と維持は、協働の成功の基本である。信頼は、合意されたプロセスの一貫した遵守、透明性のある意思決定、責任と利益の公平な分配を通じて確立することができる。公式・非公式を問わず、定期的かつ柔軟な交流は、関係構築と目的意識の共有に役立つと同時に、異なる組織文化に適応した調整を可能にする。
BOX 4 The art of formal and informal structures BOX 4 フォーマルとインフォーマルな構造の巧みさ
For each collaboration, the sensitivity of the underlying data it uses influences the speed of set-up and the rigidity of its data management requirements. それぞれの協働において、その基礎となるデータの機密性は、セットアップのスピードとデータ管理要件の厳格さに影響する。
The Cybercrime Atlas サイバー犯罪アトラス
The Cybercrime Atlas is an initiative launched in 2023 and hosted at the World Economic Forum Centre for Cybersecurity. Participants collaborate to build a shared understanding of cybercriminal networks using opensource intelligence. This information is then used to support community members to create friction across cybercriminal activities and to support action by public-sector agencies. サイバー犯罪アトラスは2023年に発足したイニシアティブで、世界経済フォーラム・サイバーセキュリティセンターが主催している。参加者は、オープンソースのインテリジェンスを使用して、サイバー犯罪ネットワークに関する共通の理解を構築するために協働する。この情報は、コミュニティメンバーがサイバー犯罪活動に摩擦を生じさせたり、公的機関による行動を支援するために使用される。
The starting point for the information is that it is open-source and shareable. Information only becomes sensitive as assessments of criminal activity are built around it. 情報の出発点は、オープンソースで共有可能であることである。情報は、犯罪活動のアセスメントが構築されることによって初めて機密になる。
Because the underlying information is not sensitive, the Cybercrime Atlas was in a position to start research while relying on already accepted standards for information classification, such as the Traffic Light Protocol. This allowed the Cybercrime Atlas to build rules around the needs and activities of the community as it developed. A strong emphasis was put on security of information from the outset but the reliance on open-source intelligence (OSINT) allowed the community to avoid time-consuming deliberations over the legality of sharing information generated by the collaboration between participants. This allowed for speedy set-up and the development of standard operating procedures by the Cybercrime Atlas expert community itself. サイバー犯罪アトラスは、基礎となる情報に機密性がないため、トラフィック・ライト・プロトコルのような、すでに受け入れられている情報分類の標準に依拠しながら調査を開始できる立場にあった。このため、サイバー犯罪アトラスは、コミュニティのニーズや活動に合わせてルールを構築することができた。当初から情報のセキュリティが重視されたが、オープンソース・インテリジェンス(OSINT)に依存することで、参加者間の協働作業によって生成された情報を共有することの合法性をめぐる時間のかかる審議を避けることができた。このため、サイバー犯罪アトラスの専門家コミュニティ自身による迅速な立ち上げと標準作業手順の開発が可能になった。
The Cyber Threat Alliance (CTA) サイバー脅威アライアンス(CTA)
Unlike many threat-sharing organizations, CTA membership requires participating companies to share data directly related to their core business. This situation differs significantly from asking a financial institution or hospital to share cyberthreat intelligence and it generated concerns ranging from anti-trust to competitive advantage to intellectual property. 多くの脅威共有組織とは異なり、CTAの会員になるには、参加企業が本業に直接関連するデータを共有する必要がある。この状況は、金融機関や病院にサイバー脅威情報の共有を求めるのとは大きく異なり、独占禁止法から競争上の優位性、知的財産に至るまで、さまざまな懸念が生じた。
Due to these factors, the rules, guidelines and data management procedures had to be clear, robust and in place before it began operation. The formalization, testing and legal review of these rules took place over a two-year period from 2015 to early 2017. This focus on business rules has enabled CTA to maintain trust, support growth at scale and achieve its mission, but it also shows that data-sharing collaborations can encounter time-consuming and expensive barriers to formation. こうした要因から、運用を開始する前に、ルール、ガイドライン、データ管理手順を明確で強固なものにする必要があった。これらのルールの正式化、テスト、法的審査は、2015年から2017年初頭までの2年間にわたって行われた。このようにビジネス・ルールに重点を置くことで、CTAは信頼を維持し、規模拡大をサポートし、その使命を達成することができたが、データ共有の協働体制が形成されるまでに時間と費用のかかる障壁に遭遇する可能性があることも示している。
Processes and standard operating procedures プロセスと標準作業手順
Operational collaborations aimed at combating cybercrime are rooted in a foundation of clear, purpose-driven processes. サイバー犯罪との闘いを目的とした業務提携は、明確な目的主導のプロセスの基盤に根ざしている。
Mission statement ミッション・ステートメント
A well-articulated mission, developed collaboratively by all stakeholders, serves as the guiding principle for activities and is periodically reviewed within the collaboration’s governance framework to adapt to changing cyberthreats. The collaboration’s duration should be clearly defined from the start, with options for extension or termination based on performance, goal achievement or contextual changes. Clear criteria and transparency in decision-making help maintain focus and efficiency throughout the collaboration. すべての利害関係者が協働して策定した明確なミッションは、活動の指針として機能し、変化するサイ バー脅威に適応するために、連携のガバナンスの枠組みの中で定期的に見直される。協働の期間は当初から明確に定義されるべきであり、実績、目標の達成度、または状況の変化に基づき、延長または終了の選択肢を設ける。意思決定における明確な規準と透明性は、協働期間を通じて焦点と効率を維持するのに役立つ。
Membership capability assessments: No free-riders メンバーシップの能力アセスメント: フリーライダーを作らない
Effective collaboration depends on the quality and commitment of participants, which is ensured through capability assessments conducted before onboarding new partners. These assessments evaluate prospective partners’ interests, and technical, operational and strategic capabilities to ensure alignment with the collaboration’s mission and objectives. Clear criteria, such as cybersecurity expertise or access to unique resources, help avoid free-riders and ensure meaningful contributions. 効果的な協働関係は、参加者の資質とコミットメントに左右されるが、これは、新たなパートナーを迎える前に実施される能力アセスメントを通じて確保される。このアセスメントでは、パートナー候補の関心、技術的、運用的、戦略的能力を評価し、協働の使命と目的との整合性を確認する。サイバーセキュリティの専門知識や独自のリソースへのアクセスなどの明確な規準は、フリーライダーを回避し、有意義な貢献を確保するのに役立つ。
Protective measures that facilitate collaboration 連携を促進する防御策
A significant barrier to collaboration in cybersecurity is the fear of reputational damage or commercial loss, particularly if a shared operation goes awry or sensitive information gets misused. Clear protocols and legal agreements that govern behaviour and support participants’ trust in each other help mitigate this risk. サイバーセキュリティにおける協働の大きな障壁は、特に、共有オペレーションがうまくいかなかったり、機密情報が悪用されたりした場合の風評被害や商業的損失への恐れである。行動をガバナンスし、参加者の相互信頼をサポートする明確なプロトコルと法的合意は、このリスクを軽減するのに役立つ。
BOX 5 LabHost: Arrests, disruption and brand destruction BOX 5 ラボホスト 逮捕、混乱、ブランド破壊
In April 2024, police in the United Kingdom (UK) took down the online criminal service provider LabHost13 and arrested key actors in the criminal service as well as their clients. This was supported by coordinated arrests by law enforcement in 19 countries.14 2024年4月、イギリス(UK)の警察はオンライン犯罪サービス・プロバイダであるLabHost13を閉鎖し、犯罪サービスの主要関係者とその顧客を逮捕した。これは、19カ国の法執行機関による協調的な逮捕によって支えられている14。
Private-sector expertise creates leads 民間の専門知識が手がかりを生む
The origin of the disruption was a private-sector collaboration, the Cyber Defence Alliance (CDA). This is a group of cybercrime investigators funded by UK financial services whose aim is to provide insights that disrupt cyberthreat networks and enhance cybersecurity. この妨害行為の発端となったのは、サイバー・ディフェンス・アライアンス(CDA)という民間の協働体制だった。これは、英国の金融サービスから資金提供を受けているサイバー犯罪捜査官のグループで、サイバー脅威ネットワークを破壊し、サイバーセキュリティを強化するための知見を提供することを目的としている。
Law enforcement builds a case and takes action 法執行機関が立件し、行動を起こす
The CDA shared leads with UK law enforcement who, with support from Europol, were able to share the information with partners in North America and Europe, gather intelligence on criminal activities and then use it to take down cybercrime services and make coordinated arrests. CDAは、欧州刑事警察機構(Europol)の支援を受けながら、英国の法執行機関と手がかりを共有し、北米や欧州のパートナーと情報を共有し、犯罪活動に関する情報を収集した。
Brand disruption creates more than reputational risk ブランド崩壊は風評リスク以上のものを生む
After the arrests and the take-down of technical infrastructure were made public, cybercriminals using LabHost were sent short personalized “LabHost Wrapped” videos. This gave a summary of the evidence gathered by law enforcement against the individual criminal. This was coupled with other strategic communication campaigns on platforms where the cybercrime-as-a-service providers ran their communications with users, such as Telegram. 逮捕と技術インフラのテイクダウンが公表された後、LabHostを利用するサイバー犯罪者には、パーソナライズされた短い「LabHost Wrapped」ビデオが送られた。これは、個々の犯罪者に対して法執行機関が収集した証拠の概要を示すものであった。これは、Telegramのような、サイバー犯罪をサービス化するプロバイダがユーザーとのコミュニケーションを行うプラットフォーム上での他の戦略的コミュニケーションキャンペーンと相まって行われた。
Focusing on brand destruction builds a sense of distrust and uncertainty among criminals. This heightens the sense of risk criminals should feel.16 It also highlights the value of strategic communications expertise in helping to design an effective anti-cybercrime operation, by understanding the cybercriminal environment and the tactics cybercriminals use. ブランド破壊に焦点を当てることで、犯罪者の間に不信感と不確実性が生まれる。また、サイバー犯罪を取り巻く環境やサイバー犯罪者が使用する手口を理解することで、効果的な対サイバー犯罪作戦の設計を支援する戦略的コミュニケーションの専門知識の価値を浮き彫りにしている。
Impact インパクト
The LabHost operation had such high impact because it made full use of capabilities across the affected organizations. Private-sector expertise was pooled, enhanced and shared via the CDA. Law enforcement were able to use this at scale thanks to facilitation through an international organization, in this case, Europol. Moreover, this information was used to damage LabHost’s branding, severely affecting the group’s reputation and modus operandi. LabHostの作戦は、影響を受けた組織全体の能力をフルに活用したため、高い影響力を持った。民間の専門知識がCDAを通じてプールされ、強化され、共有された。法執行機関は、国際組織(この場合は欧州刑事警察機構)を通じた円滑な手続きのおかげで、これを大規模に利用することができた。さらに、この情報はラボホストのブランドを傷つけるために利用され、グループの評判と手口に深刻な影響を与えた。
Organizations such as Europol and INTERPOL sit at the centre of networks of collaborations between nation-states and between the private and public sectors. This allows them to spot opportunities to support operational innovation and act as important points of coordination and capacity building when tackling cross-border cybercrime networks. 欧州刑事警察機構(Europol)や国際刑事警察機構(INTERPOL)のような組織は、国家間や官民間の協働ネットワークの中心に位置している。そのため、国境を越えたサイバー犯罪ネットワークに取り組む際に、業務改革を支援する機会を見つけ、調整と能力構築の重要なポイントとして機能することができる。
2.3 Resources 2.3 リソース
Effective operational collaboration in the fight against cybercrime requires a well-coordinated deployment of resources. The complexity and global nature of cybercrime demand an array of tools, legal frameworks, human expertise and technological capabilities that must work together to ensure a cohesive response. サイバー犯罪との闘いにおける効果的な作戦協働には、十分に調整された資源の展開が必要である。サイバー犯罪の複雑さとグローバルな性質は、一連のツール、法的枠組み、人的専門知識、技術的能力を必要とし、これらは結束した対応を確保するために連携しなければならない。
A unified response to cyberthreats is dependent on the standardization of threat definitions. Cybercrime taxonomies create a common language that facilitates clear communication across different organizations and sectors. By aligning on definitions of specific cybercrimes, taxonomies enable faster identification and categorization of threats. サイバー脅威に対する統一的な対応は、脅威定義の標準化にかかっている。サイバー犯罪の分類法は、異なる組織や部門間で明確なコミュニケーションを促進する共通言語を生み出す。特定のサイバー犯罪の定義を統一することで、タクソノミは脅威の迅速な特定と分類を可能にする。
Standardized taxonomies also simplify incident reporting, allowing organizations to accurately classify and communicate the nature of cyber incidents. 標準化された分類法はインシデント報告も簡素化し、組織はサイバーインシデントの性質を正確に分類して伝えることができる。
Data normalization is an extension of this standardization, ensuring that data from various sources is harmonized into comparable formats. As cyberthreat information is typically generated by a variety of sensors, systems and platforms, it arrives in different formats, often incompatible with one another. Through the process of data normalization, these disparate data streams are converted into a unified structure, which is essential for effective aggregation, analysis and dissemination across stakeholders. データの標準化はこの標準化の延長線上にあり、さまざまなソースからのデータを比較可能な形式に整合させる。サイバー脅威情報は通常、様々なセンサー、システム、プラットフォームによって生成されるため、異なるフォーマットで提供され、多くの場合、互いに互換性がない。データ正規化のプロセスを通じて、これらの異種のデータストリームは統一された構造に変換され、関係者間での効果的な集計、分析、普及に不可欠となる。
FIGURE 2 Taxonomies and data normalization 図2 分類法とデータの正規化
20241120-125400

"Despite their inherently deceptive activities – breaking into systems, stealing data and encrypting vital information – ransomware groups must convince their victims of their trustworthiness. This trust encompasses not just the promise not to release the stolen data but also the assurance that payment will result in the decryption of the affected systems. A key way for ransomware groups to gain this trust is through branding and reputation. Indeed, each time they interact with a victim, they are negotiating not just for that particular ransom but also for their reputation. If they fail to uphold their end of the bargain, they risk damaging their reputation, which deters future potential victims from trusting and engaging with them. 「システムに侵入し、データを盗み、重要な情報を暗号化するという本質的に欺瞞的な活動にもかかわらず、ランサムウェアグループは被害者に自分たちの信頼性を確信させなければならない。この信頼には、盗まれたデータを公開しないという約束だけでなく、支払いをすれば被害を受けたシステムの復号化が行われるという保証も含まれる。ランサムウェアグループがこの信頼を得るための重要な方法は、ブランディングと評判である。実際、被害者とやり取りするたびに、彼らは特定の身代金だけでなく、彼らの評判についても交渉している。もし交渉の約束を守れなければ、評判を損なうリスクがあり、将来の潜在的な被害者が彼らを信頼し、関わろうとしなくなる。
Max Smeets, Co-Director, European Cyber Conflict Research Incubator マックス・スミーツ、欧州サイバー紛争調査インキュベーター共同ディレクター
Data management and information security データ管理と情報セキュリティ
Information security protocols safeguard shared intelligence against unauthorized access, breaches and data corruption. Data encryption, user authentication and secure communication channels are necessary to maintain the integrity of sensitive data. Without these protections, the collaborative sharing of cyberthreat intelligence could expose organizations to additional vulnerabilities, undermining the goals of such initiatives. 情報セキュリティ・プロトコルは、不正アクセス、違反、データ破損から共有インテリジェンスを保護する。データの暗号化、ユーザー認証、安全なコミュニケーション・チャンネルは、機密データの完全性を維持するために必要である。これらの防御がなければ、サイバー脅威インテリジェンスの共同共有は、組織をさらなる脆弱性にさらす可能性があり、そのようなイニシアチブの目標を損なうことになる。
Additionally, the exponential growth of cyberthreat data has placed significant demands on data storage and processing infrastructures. Collaboration requires the capacity to store vast amounts of structured and unstructured data while maintaining the ability to process and analyse this data at scale. As data streams are continuously generated and shared across the collaborative ecosystems, the infrastructure supporting data storage and processing must ensure that insights can be derived quickly and efficiently. さらに、サイバー脅威データの急激な増加により、データストレージと処理インフラに大きな需要が生じている。協働には、膨大な量の構造化・非構造化データを保存する能力が必要であり、同時にこのデータを大規模に処理・分析する能力も維持しなければならない。データストリームは継続的に生成され、協働のエコシステム全体で共有されるため、データストレージと処理をサポートするインフラは、洞察を迅速かつ効率的に導き出せるようにしなければならない。
High-performance computing environments allow for the rapid execution of complex algorithms, enabling organizations to respond to threats in real time, before the data becomes obsolete. Moreover, data storage solutions must adhere to rigorous security standards to prevent unauthorized access or breaches, further ensuring the integrity of the collaborative effort. ハイパフォーマンス・コンピューティング環境は、複雑なアルゴリズムの迅速な実行を可能にし、組織がデータが陳腐化する前に、リアルタイムで脅威に対応することを可能にする。さらに、データ・ストレージ・ソリューションは、不正アクセスや侵害を防ぐための厳格なセキュリティ標準を遵守し、協働作業の完全性をさらに確保しなければならない。
Data feeds データフィード
Data feeds play a crucial role in cybersecurity collaboration by providing continuous, automated streams of actionable intelligence to organizations’ security systems, enabling timely detection, analysis and response to threats. These feeds include various types of data, such as threat indicators, vulnerabilities and malware signatures, sourced from multiple platforms. By integrating data feeds into threat intelligence platforms (TIPs) and security information and event management (SIEM) systems, organizations can shift from a reactive to a proactive cybersecurity approach, automating the ingestion and analysis of large volumes of data. This real-time data flow is crucial for several reasons: データ・フィードは、組織のセキュリティ・システムに実用的なインテリジェンスの継続的な自動ストリームを提供し、脅威のタイムリーな検知、分析、対応を可能にすることで、サイバーセキュリティ連携において重要な役割を果たす。これらのフィードには、複数のプラットフォームから入手した脅威インジケータ、脆弱性、マルウェア・シグネチャなど、さまざまな種類のデータが含まれる。脅威インテリジェンス・プラットフォーム(TIP)やセキュリティ情報・イベント管理(SIEM)システムにデータフィードを統合することで、企業は大量のデータの取り込みと分析を自動化し、サイバーセキュリティのアプローチをリアクティブからプロアクティブに移行することができる。このリアルタイムのデータフローは、いくつかの理由から極めて重要である:
– Speed and automation: Automated data feeds reduce the time it takes to detect and respond to threats by constantly updating security systems with the latest information. ・スピードと自動化: スピードと自動化:自動化されたデータ・フィードは、常に最新の情報でセキュリティ・システムを更新することにより、脅威の検知と対応にかかる時間を短縮する。
– Cross-sector sharing: Data feeds are a core element of collaborative efforts across industries. Public-private partnerships often rely on shared data feeds to provide early warnings about specific threats. ・セクターを超えた共有: データフィードは、業界を超えた協働的な取り組みの中核となる要素である。官民パートナーシップでは、特定の脅威に関する早期警告を提供するために、共有データフィードを利用することが多い。
– Contextualizing threats: Data feeds not only supply raw data, but often come enriched with contextual information. This context allows organizations to prioritize their responses based on the relevance of the threat and the reliability of the data. ・脅威の文脈化: データフィードは生データを提供するだけでなく、多くの場合、コンテクスト情報を付加して提供される。このコンテキストによって、組織は脅威の関連性とデータの信頼性に基づいて対応の優先順位を決めることができる。
Mapping the threat ecosystem and tactics 脅威のエコシステムと戦術をマッピングする
The work of operational collaboration is supported by an ability to identify threat actors and understand their motivations, methods and the infrastructure they use. Threat maps, built through the aggregation of intelligence from multiple sources, provide valuable insights into the operational behaviours of cybercriminal groups. 作戦協働の作業は、脅威行為者を特定し、その動機、手法、使用するインフラを理解する能力によって支えられている。複数のソースからのインテリジェンスを集約して構築された脅威マップは、サイバー犯罪グループの作戦行動に関する貴重な洞察を提供する。
These maps help organizations understand how specific tactics are deployed, which in turn enables more targeted defences and the identification of the disruption opportunities that are a vital part of protecting organizations and society against cyberthreats. これらのマップは、組織が特定の戦術がどのように展開されているかを理解するのに役立ち、ひいては、より的を絞った防御や、サイバー脅威から組織や社会を守るために不可欠な破壊の機会を特定することを可能にする。
BOX 6 LockBit: Anatomy of a cross-border cybercrime provider BOX 6 ロックビット:国境を越えたサイバー犯罪プロバイダの解剖
In February 2024, an international task force of lawenforcement agencies from 10 countries, dubbed Operation Cronos, disrupted the operations of the world’s then most prolific ransomware group, LockBit. 2024年2月、「オペレーション・クロノス」と名付けられた10カ国の法執行機関による国際タスクフォースが、当時世界で最も多発したランサムウェア・グループ、ロックビットの活動を妨害した。
This was led by the UK National Crime Agency with crossborder coordination through Europol and Eurojust. In what Europol describes as a “significant breakthrough in the fight against cybercrime”, LockBit’s technical infrastructure and its public-facing leak site on the dark web was seized, including 34 servers across multiple countries and the freezing of over 200 cryptocurrency accounts. Over 14,000 accounts belonging to affiliates were also seized and taken down thanks to the cooperation of private partners. The arrest of key individuals and the seizure of their dark web platform was a crucial step in diminishing the group’s ability to execute large-scale ransomware attacks, which had caused billions of euros in damage globally これは、欧州刑事警察機構(Europol)と欧州司法機構(Eurojust)を通じた国境を越えた調整で、英国国家犯罪局が主導した。欧州刑事警察機構が「サイバー犯罪との闘いにおける重要な突破口」と表現するように、ロックビットの技術インフラとダークウェブ上の公開リークサイトは、複数の国にまたがる34のサーバーと200を超える暗号通貨口座の凍結を含め、押収された。また、民間パートナーの協働により、関連会社に属する14、000以上のアカウントも押収され、ダウンした。主要人物の逮捕とダークウェブ・プラットフォームの押収は、世界中で数十億ユーロの損害を引き起こしていた大規模なランサムウェア攻撃を実行するグループの能力を低下させる重要な一歩となった。
How did LockBit operate? ロックビットはどのように活動していたのか?
A ransomware attack is one where cybercriminals hack into your device, use malicious software (malware) to encrypt and steal information, preventing you from accessing it, and then threaten to leak that data unless you pay a ransom. ランサムウェア攻撃とは、サイバー犯罪者があなたのデバイスに侵入し、悪意のあるソフトウェア(マルウェア)を使って情報を暗号化して盗み、アクセスできないようにした上で、身代金を支払わない限りそのデータを流出させると脅迫するものだ。
LockBit offered ransomware services to its global network of hackers or “affiliates”, giving them the malware and platform to carry out these attacks and collect ransoms from thousands of victims globally, including global highprofile organizations. LockBitは、ハッカーや「関連会社」のグローバルネットワークにランサムウェアサービスを提供し、これらの攻撃を実行するためのマルウェアとプラットフォームを提供し、世界的に有名な組織を含む世界中の何千人もの被害者から身代金を徴収していた。
What lesson does it hold? どのような教訓があるのだろうか?
Operation Cronos highlights the growing success of international cooperation in law enforcement. This is supported by organizations like the European Cybercrime Centre (EC3) at Europol which, on top of its role in informationsharing between police forces, acts as a facilitator of multiple networks of expertise, bringing experts from law enforcement together in a trusted environment. This supports the sharing of advanced technical skills, legal expertise and operational knowledge across borders. クロノス作戦は、法執行における国際協働の成功が拡大していることを浮き彫りにしている。欧州刑事警察機構の欧州サイバー犯罪センター(EC3)のような組織は、警察間の情報共有という役割に加えて、複数の専門家ネットワークのファシリテーターとして機能し、法執行機関の専門家を信頼できる環境に集めている。これにより、国境を越えた高度な技術力、法的専門知識、業務知識の共有がサポートされる。
In this groundbreaking effort, law enforcement agencies from 10 countries worked together to “hack the hackers”,20 seize their tools and recover over 1,000 decryption keys, which have helped victims regain access to their data. With these decryption keys collected by the UK, Europol proactively prepared country-specific packages to support victims, which were distributed to 33 countries. この画期的な取り組みでは、10カ国の法執行機関が協働して「ハッカーをハッキング」20 し、彼らのツールを押収し、1,000を超える復号鍵を回収した。欧州刑事警察機構は、英国が収集したこれらの復号鍵をもとに、被害者を支援するための国別パッケージを積極的に準備し、33カ国に配布した。
20241120-130640
Participating countries: Finland, New Zealand, Poland, Ukraine 参加国 フィンランド、ニュージーランド、ポーランド、ウクライナ
Core countries: Australia, Canada, France, Germany, Japan, Netherlands, United Kingdom, United States, Sweden, Switzerland 中核国 オーストラリア、カナダ、フランス、ドイツ、日本、オランダ、英国、米国、スウェーデン、スイス
Open-source intelligence (OSINT) オープンソースインテリジェンス(OSINT)
OSINT offers a dynamic resource for operational collaboration. It refers to the collection and analysis of publicly available information from sources such as social media, news reports and online forums. It provides a complementary dimension to traditional intelligence sources and is often available in real time. The integration of OSINT into collaborative frameworks expands the range of available data, supporting early threat detection, situational awareness and more timely responses. OSINTは作戦協働のためのダイナミックなリソースを提供する。ソーシャルメディア、報道、オンライン・フォーラムなどの情報源から、一般に入手可能な情報を収集・分析することを指す。OSINTは従来の情報源を補完する側面を提供し、多くの場合リアルタイムで入手可能である。OSINTを共同フレームワークに統合することで、利用可能なデータの範囲が広がり、早期の脅威検知、状況認識、よりタイムリーな対応が可能になる。
One of the key advantages of OSINT lies in its accessibility. Unlike proprietary or classified intelligence, OSINT can be shared widely across organizations, enhancing transparency and crosssector collaboration. Furthermore, its use is bound by fewer legal restrictions, thus facilitating its incorporation into multistakeholder operations. With the right analytical tools, OSINT can be integrated into existing data streams, enriching the overall intelligence picture. OSINTの重要な利点の一つはそのアクセスのしやすさにある。独自の情報や機密情報とは異なり、OSINTは組織間で広く共有することができ、透明性とセクターを超えた協働体制を強化することができる。さらに、その利用には法的制約が少ないため、マルチステークホルダーによる作戦への組み込みが容易になる。適切な分析ツールを用いれば、OSINTを既存のデータストリームに統合し、インテリジェンス全体を充実させることができる。
Legal protocols 法的プロトコル
Collaborations benefit from frameworks, contracts and other legal tools that support data sharing and rules of engagement. These protocols provide the legal foundation for cross-border cooperation, enabling diverse stakeholders – public institutions, private enterprises, law enforcement agencies and civil society – to engage in the timely exchange of intelligence. Legal protocols formalize relationships between entities, clarifying roles and responsibilities while ensuring compliance with international privacy standards. 協働は、データ共有と交戦規則をサポートするフレームワーク、契約、その他の法的ツールから恩恵を受ける。これらのプロトコルは国境を越えた協働の法的基盤を提供し、公的機関、民間企業、法執行機関、市民社会など多様な利害関係者がタイムリーな情報交換に関与することを可能にする。法的議定書は事業体間の関係を公式化し、役割と責任を明確にすると同時に、国際プライバシー標準の遵守を保証する。
BOX 7 INTERPOL’s Global Cybercrime Expert Group and Project Gateway BOX 7 インターポールの世界サイバー犯罪専門家グループとプロジェクト・ゲートウェイ
INTERPOL’s interactions with the private sector are governed by a combination of cooperation agreements in the framework of Project Gateway for cybercrime data sharing, organizational rules on the processing of data, and principles of interaction established by INTERPOL’s Constitution.21 国際刑事警察機構(INTERPOL)の民間部門との交流は、サイバー犯罪データ共有のためのプロ ジェクト・ゲートウェイの枠組みにおける協働協定、データ処理に関する組織規則、およびINTERPOLの定 款によって確立された交流の原則の組み合わせによってガバナンスされている21。
Police actions such as Operation Synergia in 2023 benefitted from these partnerships. Operation Synergia22 was launched in response to the clear growth, escalation and professionalization of transnational cybercrime and the need for coordinated action against new cyberthreats. 2023年の「シナジア作戦」のような警察活動は、こうしたパートナーシップの恩恵を受けている。シナジア作戦22 は、国境を越えたサイバー犯罪の明らかな増加、深刻化、専門化と、新たなサイバー脅威に対する協調行動の必要性に対応して開始された。
The operation involved 60 law enforcement agencies from more than 50 INTERPOL member countries, with officers conducting searches and seizures of servers and electronic devices. Gateway Partners from the private sector provided analysis and intelligence support throughout the operation. この作戦には、50以上のインターポール加盟国から60の法執行機関が参加し、警察官がサーバーや電子機器の捜索と押収を行った。民間セクターのゲートウェイ・パートナーは、作戦を通じて分析と情報支援を提供した。
Operations like this require building trusted partnerships with the private sector and maintaining engagement over time. The limits set by INTERPOL’s governance of privatesector partnerships create the time, space and ground rules to support a variety of collaborations. This ranges from the INTERPOL Global Cybercrime Expert Group23 that supports development of law enforcement strategies and best practices, to operational collaborations built on the Project Gateway model. このような活動には、民間部門との信頼できるパートナーシップを構築し、長期にわたって関与を維持することが必要である。INTERPOLの民間セクター・パートナーシップのガバナンスによって設定された限界は、さまざまな協働をサポートするための時間、空間、基本ルールを生み出す。これは、法執行戦略とベストプラクティスの開発を支援するINTERPOLグローバル・サイバー犯罪専門家グループ23から、プロジェクト・ゲートウェイ・モデルに基づいて構築された運用上の協働まで多岐にわたる。
By combining strict governance of data sharing with flexibility on the character of each collaboration, INTERPOL has developed long-term relationships with key private-sector partners while retaining the ability to bring in ad hoc expertise when needed. データ共有の厳格なガバナンスと各協働の性格に関する柔軟性を組み合わせることで、INTERPOLは主要な民間セクター・パートナーとの長期的な関係を構築する一方、必要に応じてアドホックな専門知識を導入する能力を維持している。
Operation Synergia Global Operation Against Malicious Infrastructure of Phishing, Banking Malware, and Ransomware フィッシング、バンキング・マルウェア、ランサムウェアの悪質なインフラに対する「シナジア作戦」グローバル作戦
20241120-133302
"In today’s rapidly evolving digital landscape, an operational collaboration framework is imperative to effectively combat cybercrime. Fostering seamless coordination between public- and private-sector entities by leveraging their collective expertise, resources and capabilities, and promoting information sharing to pre-emptively address threats will help us all respond to incidents with heightened agility and precision. 「急速に進化する今日のデジタル環境において、サイバー犯罪と効果的に闘うためには、作戦協働の枠組みが不可欠である。専門知識、リソース、能力を総動員して官民事業体間のシームレスな連携を促進し、脅威に先手を打って対処するための情報共有を促進することで、インシデントに俊敏かつ的確に対応することができる。
Alexandra Gerst, Senior Corporate Counsel, Microsoft Digital Crimes Unit, Microsoft マイクロソフト デジタル犯罪ユニット シニア・コーポレート・カウンセル Alexandra Gerst氏
These frameworks support the exchange of actionable intelligence without compromising the confidentiality or integrity of sensitive data. Alignment on legal requirements mitigates challenges related to jurisdictional issues, ensuring that intelligence and resources can be mobilized swiftly and securely across borders. これらのフレームワークは、機密データの機密性や完全性を損なうことなく、実用的なインテリジェンスの交換をサポートする。法的要件の整合により、管轄権に関する問題が軽減され、国境を越えて迅速かつ安全にインテリジェンスとリソースを動員できるようになる。
To streamline legal and operational relationships within the collaboration, model non-disclosure agreements (NDAs) and memoranda of understanding (MoUs) provide standardized and tailored regulations to address the unique needs of working within a public-private partnership. Model NDAs focus on protecting sensitive information and intellectual property while facilitating the necessary sharing of data among partners. They outline the obligations of each party regarding confidentiality, data handling and legal resources in case of breaches. 協働関係における法律上および業務上の関係を合理化するために、モデルNDA(秘密保持契約)および覚書(MoU)は、官民パートナーシップにおける独自のニーズに対応するために標準化され、カスタマイズされた規制を提供する。モデルNDAは、パートナー間で必要なデータの共有を促進しながら、機密情報や知的財産を保護することに重点を置いている。機密保持、データの取り扱い、違反した場合の法的資源に関する各当事者の義務を概説している。
Model MoUs, on the other hand, establish the roles, responsibilities and expectations of each partner within the collaboration. The use of standardized MoUs and NDAs helps reduce the time and complexity involved in formalizing partnerships, allowing the collaboration to focus more on operational activities 一方、モデルMoUは、共同調査における各パートナーの役割、責任、期待を定めるものである。標準化されたMoUとNDAの使用は、パートナーシップの正式な締結に伴う時間と複雑さを軽減し、協働がより運営活動に集中できるようにするのに役立つ。
Human expertise and skill development 人的専門知識とスキル開発
Human expertise and the continuous development of skills are critical resources in combating cybercrime. Cybersecurity threats evolve rapidly, requiring that personnel remain up-to-date with the latest tactics, techniques and procedures used by cybercriminals. Effective operational collaboration depends on highly skilled professionals across a range of disciplines. Capacity building through shared training programmes and joint exercises ensures that all participating entities maintain the necessary skill sets to address emerging cyberthreats. Collaboration fosters a knowledge-sharing environment in which best practices, lessons learned and advanced strategies can be disseminated throughout the community, ultimately enhancing the overall capabilities of the collective defence. 人的な専門知識と継続的なスキルの向上は、サイバー犯罪に対抗する上で不可欠なリソースである。サイバーセキュリティの脅威は急速に進化するため、担当者はサイバー犯罪者が使用する最新の戦術、技術、手順を常に把握しておく必要がある。効果的な作戦協働は、さまざまな分野にまたがる高度に熟練した専門家にかかっている。共有訓練プログラムや合同演習を通じた能力構築は、参加するすべての事業体が新たなサイバー脅威に対処するために必要なスキルセットを維持することを確実にする。協働は、ベストプラクティス、学んだ教訓、先進的な戦略をコミュニティ全体に広めることができる知識共有環境を育み、最終的に集団防衛の全体的な能力を高める。
"Collaboration fosters a knowledge-sharing environment in which best practices, lessons learned and advanced strategies can be disseminated throughout the community 「協働は、ベストプラクティス、学んだ教訓、先進的な戦略をコミュニティ全体に広めることができる知識共有環境を醸成する。
BOX 8 National Cyber-Forensics and Training Alliance (NCFTA) BOX 8 全米サイバー科学捜査訓練連合(NCFTA)
In the US, the National Cyber-Forensics and Training Alliance (NCFTA) has emerged as a leading model for operational collaboration in the fight against cybercrime, uniting the private industry, academia and law enforcement to disrupt global cyberthreats. Established over two decades ago, the NCFTA has built a trusted environment where over 200 partners collaborate to exchange real-time intelligence, mitigate risks and take actionable steps to dismantle cybercriminal infrastructure. With a dedicated team of more than 60 experts, NCFTA fosters a community-driven approach that enables effective, rapid information-sharing and validation, empowering its members to manage cyber risks and support law-enforcement efforts worldwide. 米国では、National Cyber-Forensics and Training Alliance (NCFTA)が、世界的なサイバー脅威を破壊するために、民間企業、学界、法執行機関を統合し、サイバー犯罪との戦いにおける作戦協働の主要なモデルとして出現した。20年以上前に設立されたNCFTAは、200を超えるパートナーが協働してリアルタイムのインテリジェンスを交換し、リスクを軽減し、サイバー犯罪のインフラを破壊するための実行可能な措置を講じる信頼できる環境を構築してきた。NCFTAは、60人以上の専門家からなる専門チームを擁し、効果的で迅速な情報共有と妥当性確認を可能にするコミュニティ主導のアプローチを育み、メンバーがサイバーリスクをマネジメントし、世界中の法執行活動を支援する力を与えている。
A core component of NCFTA’s success is its focus on community-building through specialized training programmes. By creating an ecosystem of trust, NCFTA delivers impactful training that enhances the cybersecurity capabilities of its partners. These programmes not only provide the technical knowledge required to combat cybercrime but also foster long-term, personal collaborations between stakeholders. This approach strengthens the ability to manage cyber risks and also creates a resilient network capable of proactively addressing and mitigating cybercrime on a global scale. NCFTAの成功の核となる要素は、専門的な訓練プログラムを通じてコミュニティ形成に重点を置いていることである。信頼のエコシステムを構築することで、NCFTAはパートナーのサイバーセキュリティ能力を高めるインパクトのあるトレーニングを提供している。これらのプログラムは、サイバー犯罪に対抗するために必要な技術的知識を提供するだけでなく、関係者間の長期的かつ個人的な協働関係を育む。このアプローチは、サイバーリスクをマネジメントする能力を強化するとともに、世界規模でサイバー犯罪に積極的に対処し、低減できるレジリエンス・ネットワークを構築する。
Conclusion 結論
The recommendations in this white paper lead to a framework for building and sustaining operational partnerships that systematically disrupt cybercrime. The recommendations focus on flexibility in governance, the importance of building a sense of trust and community to facilitate the sharing of expertise, and the value of maintaining feedback mechanisms that ensure participants see the tangible impact of their contributions and can explain this impact to their own stakeholders. 本ホワイトペーパーの提言は、サイバー犯罪を組織的に阻止する運用パートナーシップを構築し、維持するための枠組みを導くものである。提言では、ガバナンスの柔軟性、専門知識の共有を促進するための信頼感とコミュニティーの構築の重要性、参加者が自らの貢献の具体的な影響を確認し、その影響を自らのステークホルダーに説明できるようにするフィードバック・メカニズムの維持の価値に焦点を当てている。
By strengthening collaboration, stakeholders improve their own defences while also increasing the costs for cybercriminals to enter the cybercrime market. Effective operational collaborations between the private and public sectors raise the personal cost of cybercrime through disruption to technical infrastructure and can increase the personal risk to cybercriminals of being arrested. When effective, these collaborations impose real costs on cybercriminals, diminishing their ability to cause harm. 連携を強化することで、利害関係者は自らの防衛力を改善すると同時に、サイバー犯罪者がサイバー犯罪市場に参入するためのコストを増加させることができる。民間部門と公的部門間の効果的な作戦協働は、技術インフラの混乱を通じてサイバー犯罪の個人的コストを引き上げ、サイバー犯罪者が逮捕される個人的リスクを高めることができる。効果的であれば、こうした連携はサイバー犯罪者に実質的なコストを課し、被害をもたらす能力を低下させる。
Looking ahead, it is clear that continued success hinges on further developing these partnerships, integrating new technologies and fostering a culture of trust and knowledge sharing. Operational collaborations are not merely a “nice to have” but are essential to mitigating the growing cyberthreats facing societies globally. The progress made thus far is a testament to the power of collective action, and with sustained commitment, it is possible to create a more secure and resilient digital future. 今後を考えると、継続的な成功は、こうしたパートナーシップをさらに発展させ、新しいテクノロジーを統合し、信頼と知識の共有の文化を醸成することにかかっていることは明らかである。業務協働は、単に「あればいい」ものではなく、世界社会が直面するサイバー脅威の増大を低減するために不可欠なものである。これまでの進展は、集団行動の力を証明するものであり、持続的なコミットメントがあれば、より安全でレジリエンスあるデジタルの未来を創造することは可能である。

 

| | Comments (0)

2024.11.13

米国 CISA 中小規模の組織のインフラストラクチャのセキュリティを支援するログ一元管理ツールであるロギング・メイド・イージー(LME) 2.0を公表 (2024.11.08)

こんにちは、丸山満彦です。

ログ収集、管理を通じて、脅威を早期に発見し、対応に繋げることはサイバー攻撃による被害を低減するために重要ですが、多数のデバイスからの多くのログを収集し、管理し、脅威の発見に繋げることは、中小規模の組織にとっては(コスト面も含めて)簡単なことではありません。

そこで、米国のCISAは、Logging Made Easy (LME) を用意していたのですが、そのバージョンアップ版がGitHubに公表されていますね...

LMEは、英国のNCSCが開発し、CISAが引き継ぎ保守開発しているものです...(NCSCではACDのツールの一つという位置付けですね...)

 

重要インフラを守るためのサプライチェーンのサイバー防御が重要となっていますが、その際に課題に上がるのが、中小規模の組織のサイバー対策をどのように強化していくかという話です。もちろん、クラウドサービスの利用によるのも一つの解決の方向ではあるのですが、それだけではできない部分もあるだろうということもあって、この制度を進めているのだろうと思います。

これは日本でも参考になるかもですね...(CISAと交渉して、メニューとFAQとかを日本語に翻訳するだけでもよいかもですよね...)

 

CISA

Logging Made Easy

 

・LME ファクトシートと FAQ


・・[PDF] Fact Sheet 

・・[PDF] FAQ

 

LMEのダウンロードは、

● GitHub

/LME

 

環境イメージ...

1_20241112235201

インストール手順も丁寧に記載されています。。。

 

で、ログの分析は、今年8月にFive Eyes +αで発表したベントロギングと脅威検知のベストプラクティスを参考にして...という感じですかね...

 

日本の組織でも利用しているところあると思いますが、感想を聞きたいですね...

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.25 Five Eyes +α イベントロギングと脅威検知のベストプラクティス

・2023.10.31 米国 CISA 「Logging Made Easy」の新リリースを発表

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

 

| | Comments (0)

2024.11.08

オランダ データ保護局 意見募集 職場や教育における感情認識のための特定のAIシステムの禁止 (2024.10.31)

こんにちは、丸山満彦です。

オランダのデータ保護局が「職場や教育機関における感情認識のための特定のAIシステムの禁止」に関する意見募集をしていますね...

AI法の適用を見据えて、徐々にこのようなガイドが整備されていくのでしょうかね...

AI法第5条で禁止されるAIが8つ定義されています...

A:特定の操作型AIシステム(サブリミナル技術の利用等)
B:特定の搾取的AIシステム(個人や集団の弱みに漬け込む利用等)
C:ソーシャル・スコアを用いて作動する特定のAIシステム
D:個人による犯罪の可能性を予測する特定のAIシステム
E:顔画像の非標的スクレイピング
F:職場や教育における感情認識のための特定のAIシステム
G:生体認証による人物分類のための特定のAIシステム
H:法執行目的の公共の場における遠隔リアルタイム生体認証のための特定のAIシステム

このうち、

A:特定の操作型AIシステム(サブリミナル技術の利用等)
B:特定の搾取的AIシステム(個人や集団の弱みに漬け込む利用等)

についてのガイド案がすでに公開されていますが、

今回は、

F:職場や教育における感情認識のための特定のAIシステム

です。

 

● Autoriteit Persoonsgegevens

・2024.10.31 Call for input on prohibition on AI systems for emotion recognition in the areas of workplace or education institutions

・[PDF

20241108-00955

 

 

AI systems for emotion recognition in the areas of workplace or education institutions  職場や教育機構における感情認識のためのAIシステム
Prohibition in EU Regulation 2024/1689 (AI Act)  EU規則2024/1689(AI法)における禁止事項
Summary 概要
The European AI Act (2024/1689) has been in force since 1 August 2024 and regulates the use of artificial intelligence (AI) in the European Union (EU). The AI Act has a risk-based approach. As a result, certain AI systems posing an unacceptable risk are prohibited from 2 February 2025. 欧州AI法(2024/1689)は2024年8月1日から施行されており、欧州連合(EU)における人工知能(AI)の利用を規制している。AI法はリスクベースのアプローチを採用している。その結果、許容できないリスクをもたらす特定のAIシステムは2025年2月2日から禁止される。
It is up to the supervisors of the AI Act to explain how the prohibitions will be interpreted for the purpose of supervision. In order to prepare for this in the Netherlands, the Autoriteit Persoonsgegevens (AP) asks interested parties (citizens, governments, businesses and other organisations) and their representatives for needs, information and insights. We can use all input to consider the necessary further clarification of the prohibited AI systems. AI法の監督当局は、この禁止事項が監督上どのように解釈されるかを説明しなければならない。オランダでこれに備えるため、Autoriteit Persoonsgegevens(AP)は関係者(市民、政府、企業、その他の組織)やその代表者にニーズ、情報、洞察を求めている。私たちは、禁止されているAIシステムの必要なさらなる明確化を検討するために、すべての意見を利用することができる。
On 27 September 2024, the AP published the first call for input on the first two prohibitions of the AI Act. In this second call for input, we address the sixth prohibition: AI systems for emotion recognition in the areas of workplace or education institutions (prohibition F). Later on, we will ask for input on other prohibitions. This document outlines specific criteria for these prohibited AI systems while requesting (additional) input through a set of questions. Contributions can be submitted until 17 December 2024. 2024年9月27日、APはAI法の最初の2つの禁止事項に関する最初の意見募集を発表した。今回の2回目の意見募集では、第6の禁止事項を取り上げる: 職場や教育機構における感情認識のためのAIシステム(禁止事項F)である。後日、他の禁止事項についても意見を求める予定である。この文書では、これらの禁止されるAIシステムの具体的な規準の概要を示すとともに、一連の質問を通じて(追加の)意見を求める。意見は2024年12月17日まで提出できる。
The AP makes this call for input based on its role as a coordinating supervisor of algorithms and AI. For the purpose of this new task, the Department for the Coordination of Algorithmic Oversight (DCA) was established within the AP. This call for input also aligns with the preparatory work being done in support of future supervision of AI systems prohibited under the AI Act. The Dutch government is currently working on the formal designation of national supervisory authorities for the AI Act. APは、アルゴリズムとAIの調整監督者としての役割に基づき、この意見募集を行う。この新しい任務のために、AP内にアルゴリズム監督調整部(DCA)が設立された。この意見募集は、AI法で禁止されているAIシステムの将来の監督を支援するために行われている準備作業とも一致している。オランダ政府は現在、AI法の国内監督当局の正式認可に向けて作業を進めている。
I. Background I. 背景
1. The European AI Act (2024/1689) has been in force since 1 August 2024. This Regulation sets out rules for the provision and use of artificial intelligence (AI) in the EU. The premise of the AI Act is that while there are numerous beneficial applications of AI, the technology also entails risks that have to be managed. The legislation follows a risk-based approach. More restrictive rules will apply to those AI systems that pose a greater risk. Some systems entail such an unacceptable risk that their placing on the market or use is completely prohibited. This is, for example, the case with AI systems that are used for emotion recognition in the areas of workplace or education institutions. The prohibitions are set out in Article 5 of the AI Act. 1. 欧州AI法(2024/1689)は2024年8月1日より施行されている。この規則は、EUにおける人工知能(AI)の提供と利用に関する規則を定めたものである。AI法の前提は、AIには多くの有益な用途がある一方で、管理すべきリスクも伴うということである。この法律は、リスクベースのアプローチに従っている。より大きなリスクをもたらすAIシステムには、より厳しい規則が適用される。なかには、上市や使用が完全に禁止されるほどの許容できないリスクを伴うシステムもある。例えば、職場や教育機構の分野で感情認識に使用されるAIシステムがそうである。禁止事項はAI法第5条に定められている。
2. This call for input provides a preliminary basis for further clarification of the prohibitions in the AI Act. To get there, this call for input aims to gather generic information and insights on, among other things, the functioning of AI technologies and the application possibilities that are relevant to the clarification of the prohibitions. 2. この意見募集は、AI法の禁止事項をさらに明確にするための予備的根拠を提供するものである。そのために、この意見募集は、特に禁止事項の明確化に関連するAI技術の機能や応用の可能性に関する一般的な情報や見識を収集することを目的としている。
Prohibited AI applications as from February 2025 2025年2月から禁止されるAIアプリケーション
3. The prohibitions in the AI Act will become applicable soon. As from 2 February 2025, the prohibited AI systems listed in Article 5 may no longer be put on the European market or used. As from 2 August 2025, market surveillance authorities should be designated for prohibited AI systems, and sanctions may be imposed for violations of the prohibitions. Before this time, violation of one of the prohibitions could already lead to civil liability. 3. AI法の禁止事項が間もなく適用される。2025年2月2日以降、第5条に記載された禁止されたAIシステムは、もはや欧州市場に投入されたり、使用されたりすることはできない。2025年8月2日以降、禁止されたAIシステムについては市場監視当局が認可される必要があり、禁止事項に違反した場合には制裁が課される可能性がある。それ以前は、禁止事項のいずれかに違反した場合、すでに民事責任を問われる可能性がある。
Supervision in the Netherlands on compliance with the prohibitions オランダにおける禁止事項の遵守に関する監督
4. The Dutch government is currently working on legislation designating which supervisory authority will be responsible for overseeing compliance with the prohibitions. In the Netherlands, the AP (through its Department for the Coordination of Algorithmic Oversight) and the Dutch Authority Digital Infrastructure (RDI) provide advice on the supervisory framework for the purpose of the AI Act. They do so in cooperation and coordination with other supervisors. In a second interim advice, published in May 2024, the Dutch supervisors proposed to make the AP primarily responsible for the supervision of prohibited AI. Following these recommendations, the AP will closely cooperate with other relevant supervisors for the supervision of prohibited AI systems. 4. オランダ政府は現在、禁止事項の遵守を監督する責任を負う監督当局を指定する法制化に取り組んでいる。オランダでは、AP(アルゴリズム監督調整局を通じて)とオランダ認可デジタル・インフラ(RDI)がAI法の目的のために監督枠組みに関する助言を提供している。これらは、他の監督当局との協力・協調の下で行われている。2024年5月に公表された2回目の中間助言において、オランダの監督当局は、禁止されたAIの監督をAPが主に担当することを提案した。これらの勧告に従い、APは禁止されたAIシステムの監督について他の関連監督当局と緊密に協力する。



5. Because the prohibitions in this call concern AI systems that also fall under other Union laws, this call has been coordinated within the AI and Algorithm Group of the Dutch Cooperation Platform of Digital Supervisory authorities. This is in the spirit of the requirement in Article 70(8) of the AI Act to consult relevant national competent authorities responsible for other Union law that covers AI systems. 5. この要請における禁止事項は、他の連邦法にも該当するAIシステムに関するものであるため、この要請は、デジタル監督当局のオランダ協力プラットフォームのAI・アルゴリズムグループ内で調整されている。これは、AI法第70条8項が要求する、AIシステムを対象とする他の連邦法を担当する関連国の管轄当局と協議するという精神に則ったものである。
II. About this call for input II. この意見募集について
Purpose: why do we ask for input 目的:なぜ意見を求めるのか
6. It is up to the supervisors of the AI Act to explain how the prohibitions will be interpreted for the purpose of supervision. In preparation for this, the AP is asking for information and insights from stakeholders (citizens, governments, companies and other organisations) and their representatives. All responses can be used for further explanation of the prohibited AI. Within the AP, the Department for the Coordination of Algorithmic Oversight is charged with this task. 6. AI法の監督当局が、監督目的で禁止事項がどのように解釈されるかを説明する次第である。その準備のため、APは利害関係者(市民、政府、企業、その他の組織)およびその代表者からの情報と洞察を求めている。すべての回答は、禁止されているAIのさらなる説明に利用することができる。AP内では、アルゴリズム監督調整部がこの任務を担っている。
7. This call for input discusses the prohibition outlined in Article 5, paragraph 1 subparagraph f of the AI Act. In addition to this call for input, the AP already published a first call on 27 September 2024 on two other prohibitions, namely the prohibition on manipulative and deceptive AI systems and the prohibition on exploitative AI systems. 7. この意見募集では、AI法第5条第1項f号に概説される禁止事項について議論する。この意見募集に加え、APはすでに2024年9月27日に、他の2つの禁止事項、すなわち、操作的で欺瞞的なAIシステムの禁止と搾取的なAIシステムの禁止に関する最初の意見募集を発表している。
8. The legislative text and the recitals serve as the foundations for this call for input. Given the scope and possible impact of this prohibition, a call for input is issued for this prohibition. Please refer to the annex to this document for an overview of all prohibitions in subparagraphs (a) to (g) of Article 5, paragraph 1 of the AI Act. 8. 立法文書とリサイタルは、この意見募集の基礎となるものである。この禁止事項の範囲と起こりうる影響を考慮し、この禁止事項に関する意見募集を行う。AI法第5条第1項第(a)号から第(g)号までのすべての禁止事項の概要については、本書の附属書を参照のこと。
9. This call for input highlights specific aspects of this prohibition. The focus is on those specific criteria that determine whether or not an AI system is within the scope of this prohibition. Each criterion is briefly explained based on the legislator’s recitals of the AI Act. In some cases, we provide an interpretation of our own. This is explicitly mentioned. We then pose several questions, the answers to which will contribute to a better understanding of the prohibition. 9. 本意見募集は、この禁止事項の特定の側面に焦点を当てたものである。AIシステムが本禁止の範囲に含まれるか否かを判断する具体的な規準に焦点を当てる。各基準は、AI法の立法者の説明に基づいて簡潔に説明されている。場合によっては、独自の解釈を提供することもある。これについては明確に言及する。その後、いくつかの質問を投げかけ、その回答は禁止事項のより良い理解に資するものである。
Process: this is how you send your input to us プロセス:これは、あなたが私たちに意見を送る方法である
10. You decide which questions you answer. You can also provide us with other relevant input in addition to the questions asked. Please send your input by email to dca@autoriteitpersoonsgegevens.nl by 17 December 2024. Please mention the topic “Call for input DCA-2024-02 AI systems for emotion recognition in the areas of workplace or education institutions”, and your name and/or your organisation in your email. If desirable, you can provide us with your contact details so that we can reach you when we have further questions. When we have received your input, we will send a confirmation by email. 10. どの質問に答えるかはあなたが決める。また、質問以外にも関連する意見をプロバイダに提供することができる。2024年12月17日までに、dca@autoriteitpersoonsgegevens.nl。その際、「Call for input DCA-2024-02 AI systems for emotion recognition in areas of workplace or education institutions」(職場や教育機関における感情認識のためのAIシステム)というトピックと、あなたの氏名または所属する組織を明記してください。また、ご希望であれば、ご連絡先をご記入いただければ、ご質問の際にご連絡を差し上げることができる。入力が確認されたら、Eメールにて確認のご連絡を差し上げる。
Follow-up: what do we do with your input? フォローアップ:あなたの意見をどうするか?
11. After the closure of this call for input, the AP will publish a summary and appreciation of the input on AI systems for emotion recognition in the areas of workplace or education institutions. In this summary, we will refer in generic terms to the input received (e.g., “several sectoral representative organisations have indicated’, “a developer of AI systems points out that”, “organisations advocating for fundamental rights note that”). If preferred and indicated by you, we may explicitly name your organisation or group. Through our summarised and evaluative response, we can also share the acquired insights with other (European) AI supervisory authorities. For instance, the summary and appreciation of the contribution may be utilised in the drafting of guidelines on the prohibitions. At a European level, the AI Office - part of the European Commission- can collaborate with the market surveillance authorities to develop such guidelines. 11. 本意見募集の終了後、APは、職場や教育機構の分野における感情認識AIシステムに関する意見の要約と評価を公表する。この要約では、寄せられた意見について一般的な用語で言及する(例えば、「いくつかの分野の代表者組織からの指摘」、「AIシステムの開発者からの指摘」、「基本的権利を擁護する組織からの指摘」など)。ご希望があれば、またご指摘があれば、あなたの組織や団体名を明示することもある。また、要約・評価した回答を通じて、得られた知見を他の(欧州の)AI監督当局と共有することもできる。例えば、禁止事項に関するガイドラインのドラフトを作成する際に、寄稿の要約と評価を活用することができる。欧州レベルでは、欧州委員会の一部であるAI事務局は、市場監視当局と協力して、そのようなガイドラインを作成することができる。
12. We will only use your input for our task to obtain information and insights about the prohibitions in the AI Act. We will delete your personal data after publication of our summary and evaluation of the input, unless you have given permission for further use. For more information about how we process personal data, please see: The AP and privacy. 12. 当社は、AI法の禁止事項に関する情報や見識を得るという当社の任務のためにのみ、あなたの意見を使用する。ご意見の要約と評価を公表した後、それ以上の使用についてご本人の許可がない限り、個人データを削除する。当社がどのように個人データを処理するかについての詳細は、以下を参照のこと: APとプライバシー。
More calls for input インプットのさらなる募集
13. Following this call, there will be more calls for input on other parts of the AI Act, including other prohibitions. The AP has previously called for input for manipulative, misleading and exploitative AI systems. In the short term, the AP wants to publish a call for input on prohibition C: AI systems for social scoring. 13. 今回の呼びかけに続き、他の禁止事項を含むAI法の他の部分についても意見募集を行う予定である。APはこれまでにも、操作的、誤解を招く、搾取的なAIシステムについての意見を求めてきた。短期的には、APは禁止事項C「ソーシャル・スコアリングのためのAIシステム」に関する意見募集を公表したいと考えている。
III. Definition of the prohibition on AI systems for emotion recognition in the areas of workplace or education institutions III. 職場や教育機構における感情認識AIシステム禁止の定義
General scope of prohibited AI systems 禁止されるAIシステムの一般的範囲
14. The AI Act (and its prohibitions) apply to ‘AI systems’. Thus, in order to determine whether the Regulation applies, an important question is whether the product falls within the definition of an AI system: 14. AI法(およびその禁止事項)は「AIシステム」に適用される。したがって、本規則が適用されるかどうかを判断するためには、その製品がAIシステムの定義に該当するかどうかが重要な問題となる:
“A machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments.” 「様々なレベルの自律性で動作するように設計され、展開後に適応性を示す可能性があり、明示的または暗黙的な目的のために、物理的または仮想的環境に影響を与えることができる予測、コンテンツ、推奨、決定などの出力を生成する方法を、受け取った入力から推測する機械ベースのシステム」。
15. The prohibitions are addressed to providers (e.g. developers), deployers, importers, distributors and other operators. These operators shall not place on the market, put into service or use the prohibited AI systems. Therefore, it is important for the above operators to ensure that they do not place on the market or use a prohibited AI system. To do so, they will have to verify whether the AI system in question falls under the prohibitions in Article 5. 15. この禁止事項は、プロバイダ(開発者など)、展開事業者、輸入事業者、頒布事業者、その他の事業者を対象としている。これらの事業者は、禁止されているAIシステムを上市、サービス開始、使用してはならない。したがって、上記の事業者は、禁止されているAIシステムを上市したり、使用したりしないようにすることが重要である。そのためには、当該AIシステムが第5条の禁止事項に該当するか否かを確認する必要がある。
Content of the prohibition 禁止事項の内容
16. This call for input focuses on the prohibition set out in subparagraph (f) of Article 5, paragraph 1. The AI Act prohibits AI systems used to infer emotions from a natural person in the areas of workplace or education institutions based on biometric data (hereinafter: emotion recognition systems). In the remainder of this call for input, we will refer to this prohibition as ‘prohibition F’. The Regulation defines this prohibition as follows: 16. 今回の意見募集では、第5条第1項(f)号の禁止事項に焦点を当てる。AI法は、職場や教育機関などの分野において、生体データに基づいて自然人の感情を推測するAIシステム(以下、感情認識システム)を禁止している。本意見募集では、この禁止事項を「禁止事項F」と呼ぶ。規則では、この禁止事項を以下のように定義している:
Article 5, paragraph 1, subparagraph f (‘prohibition F’): 第5条第1項f号(「禁止F」):
“The placing on the market, the putting into service for this specific purpose, or the use of AI systems to infer emotions of a natural person in the areas of workplace and education institutions, except where the use of the AI system is intended to be put in place or into the market for medical or safety reasons;” 「職場および教育機構の分野における自然人の感情を推測するためのAIシステムの上市、この特定目的のための使用、または使用は、医療上または安全上の理由からAIシステムの使用が意図され、または上市される場合を除く」
17. The AI Act contains a definition of the concept of an ‘emotion recognition system’, which includes not only the inference but also the identification of emotions and intentions. It is therefore assumed that the prohibition involves both the inference and the identification of emotions and intentions based on biometric data. The AI Act defines an ‘emotion recognition system’ as follows: 17。AI法には、「感情認識システム」という概念の定義があり、そこには、推論だけでなく、感情や意思の識別も含まれている。したがって、生体データに基づく感情や意思の推論と識別の両方が禁止に含まれると考えられる。AI法は「感情認識システム」を以下のように定義している:
“An AI system intended to identify or infer the emotions or intentions of natural persons based on their biometric data.” 「生体データに基づいて、自然人の感情または意図を識別または推論することを目的とするAIシステム」。
18. It is important to note that AI systems for emotion recognition that are not put into use in the areas of workplace or educational institutions qualify as ‘high risk’. If AI systems intended to be used for emotion recognition qualify as high-risk under Annex III, paragraph 1, subparagraph c, the requirements applicable to these systems will have to be complied with. In addition, users of a system for emotion recognition are subject to specific transparency obligations. These are defined in Article 50(3) of the AI Act. 18. 注意すべきは、職場や教育機関の分野で使用されない感情認識のためのAIシステムは、「ハイリスク」と認定されることである。感情認識に使用されることを意図したAIシステムが附属書III第1項cのハイリスクに該当する場合、これらのシステムに適用される要件に従わなければならない。さらに、感情認識システムの利用者は、特定の透明性義務を負う。これらはAI法第50条第3項に定義されている。
19. Finally, the AI Act is without prejudice to the GDPR. Obligations of providers and deployers of AI systems in their role as controllers or processors stemming from Union or national law on the protection of personal data continue to apply in the design, development or use of AI systems. 19. 最後に、AI法はGDPRを妨げるものではない。AIシステムのプロバイダおよび展開者は、個人データ保護に関する連邦法または国内法に由来する管理者または処理者としての役割を果たす義務が、AIシステムの設計、開発、使用において引き続き適用される。
IV. Criteria and questions regarding the prohibition IV. 禁止に関する規準と質問
20. In order to structure this call for input, separate criteria of the prohibition have been set out in more detail in the next section. These criteria are highlighted because they are important conditions for determining whether or not AI systems are covered by prohibition F. A brief explanation is provided for each criterion, based on the explanation provided by the legislator in the explanatory recitals to the AI Act. In some cases, explanations are based on the AP's own interpretation; this is clearly indicated. This is followed by some accompanying questions that you can use when giving your input. 20. この意見募集を構成するために、禁止事項の個別の規準が次のセクションで詳細に示されている。これらの規準は、AIシステムが禁止事項Fの対象となるか否かを判断するための重要な条件であるため、強調されている。各規準については、AI法の説明の中で立法者が提供した説明に基づき、簡単な説明がなされている。場合によっては、AP独自の解釈に基づく説明もあるが、これは明確に示されている。続いて、意見を述べる際に利用できる付随的な質問をいくつか示す。
Criterion 1: inference and identification of emotions and intentions 規準1:感情や意図の推論と特定
21. The prohibition applies where emotions or intentions of natural persons are inferred. It follows from the definition of an ‘emotion recognition system’ that, in addition to inference, it includes the identification of emotions and intentions. The AP therefore assumes that both the inference and the identification of emotions and intentions are covered by the prohibition. 21. 禁止事項は、自然人の感情や意図が推測される場合に適用される。感情認識システム」の定義から、推論に加え、感情や意図の特定も含まれる。したがってAPは、感情や意図の推論と識別の両方が禁止事項の対象であるとする。
Questions related to criterion 1 規準1に関する質問
1. Can you describe AI systems used to infer or identify emotions or intentions? 1. 感情や意図を推論または特定するために使用されるAIシステムについて説明できるか。
2. Is it clear to you when a system is aiming to infer or identify emotions or intentions? If not, what part asks for more clarity? Can you elaborate on this? 2. システムが感情や意図を推論したり識別したりすることを目的としている場合、それがどのような場合であるかは明らかか。そうでない場合、どの部分がより明確であることを求めているか?詳しく説明してくれる?
Criterion 2: emotions or intentions 規準2:感情または意図
22. The prohibition applies to the emotions or intentions of natural persons. The recitals describe emotions or intentions such as happiness, sadness, anger, surprise, disgust, embarrassment, excitement, shame, contempt, satisfaction and amusement. The prohibition does not include the detection of readily apparent expressions, gestures or movements, unless they are used to identify or infer emotions. These expressions can be basic facial expressions, such as a frown or smile. Such expressions can also be gestures such as the movement of hands, arms or head, or characteristics of a person's voice, such as a raised voice or whispering tone. 22. 禁止は自然人の感情または意図に適用される。朗読では、喜び、悲しみ、怒り、驚き、嫌悪、恥ずかしさ、興奮、恥、軽蔑、満足、娯楽などの感情や意図が述べられている。この禁止には、感情を識別または推論するために使用されるのでない限り、容易に見て取れる表情、身振り、動作の検知は含まれない。これらの表情は、しかめっ面や微笑みといった基本的な顔の表情でありうる。このような表情は、手、腕、頭の動きのようなジェスチャーや、高めの声やささやき声のような人の声の特徴であることもある。
23. The prohibition shall not apply to physical states such as pain or fatigue. This could include systems used to detect the state of fatigue of professional pilots or professional drivers in order to prevent accidents. AI systems that detect such states are outside the scope of the prohibition. 23. この禁止は、痛みや疲労といった身体的状態には適用されない。これには、事故を防ぐためにプロのパイロットやプロのドライバーの疲労状態を検知するためのシステムも含まれる。このような状態を検知するAIシステムは、禁止の範囲外である。
Questions related to criterion 2 規準2に関する質問
3. Can you give examples of other types of emotions or intentions that can be inferred or identified with the use of AI systems? 3. AIシステムの使用によって推測または識別できる他の種類の感情または意図の例を挙げることができるか。
4. Can you describe situations in which AI systems can be used to infer or identify physical states? In that case, are emotions or intentions also inferred or identified? Is the difference between emotions and intentions on the one hand and physical states on the other hand sufficiently clear to you? 4. AIシステムを使用して物理的状態を推測または特定できる状況を説明できるか。その場合、感情や意図も推論されたり識別されたりするのか?一方の感情や意図と他方の物理的状態の違いは、あなたにとって十分に明確か?
5. Can you describe AI systems used to detect readily apparent expressions, gestures or movements? Do you know of situations where the detection of expressions, gestures or movements can be used to identify or infer emotions or intentions? 5. すぐにわかる表情、ジェスチャー、動きを検知するために使われるAIシステムについて説明できるか?表情、ジェスチャー、動きの検知が、感情や意図の識別や推論に利用できる状況を知っているか?
6. Is it clear to you when an AI system infers or identifies emotions or intentions or other states? What questions or need for clarification do you have in the context of this prohibition? 6. AIシステムが感情や意図、あるいはその他の状態を推論したり識別したりするのは、どのような場合か明確か。この禁止事項に関して、どのような疑問や明確化の必要性があるか。
Criterion 3: on the basis of biometric data 規準3:生体データに基づいて
24. The prohibition applies to AI systems that use human biometric data to identify or infer emotions. Biometric data is defined in the AI Act “as personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, such as facial images or dactyloscopic data”. However, as stated in the recitals, the concept of biometric data in the AI Act must be interpreted “in the light of” the concept of biometric data in the GDPR. Importantly, biometric data as defined in the AI Act (among others) enables the recognition of emotions of natural persons. 24. この禁止は、人間の生体データを使用して感情を識別または推論するAIシステムに適用される。生体データは、AI法では「顔画像やダクティロスコピックデータなど、自然人の身体的、生理的、行動的特徴に関連する特定の技術仕様から生じる個人データ」と定義されている。しかし、説明文にあるように、AI法における生体データの概念は、GDPRにおける生体データの概念に「照らして」解釈されなければならない。重要なことは、AI法に定義されている生体データ(とりわけ)は、自然人の感情の認識を可能にするということである。
Questions related to criterion 3 規準3に関連する質問
7. What kind of biometric data can be used in these AI systems intended to infer or detect emotions? 7.感情を推測または検出することを意図したこれらのAIシステムでは、どのような生体データを使用できるのか?
8. In your opinion, how does biometric data form the basis for inferring or identifying emotions in practice? Can you indicate how this process works and illustrate this with (imaginary) examples? 8. 生体データは、実際にどのように感情を推測または識別するための基礎となるのか。このプロセスがどのように機能するかを示し、(想像上の)例で説明できるか。
Criterion 4: the areas of workplace or education institutions 規準4:職場または教育機構の領域
25. Prohibition F states that an AI system for emotion recognition must infer emotions of natural persons in the areas of workplace and education institutions. An AI system for emotion recognition in situations related to the workplace and education is also covered by this prohibition. Here, too, there are the same unfair power relations and AI systems for emotion recognition can, taking into account the far-reaching nature of these types of systems, lead to detrimental or unfavourable treatment of certain people or whole groups thereof. It can be assumed that the application of emotion recognition in, for example, home working environments, or in online or distance learning, therefore also falls within the scope of the prohibition. This also applies to the application of emotion recognition for recruitment and selection or application for education. 25. 禁止事項Fでは、感情認識AIシステムは、職場や教育機関の領域において、自然人の感情を推論しなければならないとされている。職場や教育に関連する場面での感情認識AIシステムも、この禁止事項の対象となる。ここでも、同じように不公正な力関係が存在し、感情認識のためのAIシステムは、この種のシステムの広範な性質を考慮すると、特定の人々やその集団全体に不利益や不利な取り扱いをもたらす可能性がある。したがって、たとえば在宅勤務環境やオンライン学習、遠隔学習における感情認識の適用も、禁止事項の範囲に含まれると考えられる。これは、採用選考や教育への応募のための感情認識の適用にも適用される。
Questions related to criterion 4 規準4に関連する質問
9. Can you describe AI systems used for emotion recognition in, or related to, areas of workplace? 9. 職場の領域で、または職場に関連する領域で、感情認識に使用される AI システムを説明できるか。
10. Can you describe AI systems used for emotion recognition in, or related to, education institutions? 10. 教育機関において、または教育機関に関連して、感情認識に用いられるAIシステムについて説明できるか。
11. What questions or need for clarification do you still have in the context of this prohibition regarding criterion 4? 11. 本禁止事項のうち、基準4に関して、まだ不明な点や明確化すべき点があるか。
Scope of the prohibition 禁止事項の範囲
26. Finally, it is important to emphasise the scope of prohibition F. The prohibition should not apply to the placing on the market, putting into service or use of AI systems intended to be used for medical or safety reasons. The recitals of the AI Act stress that these are AI systems used strictly for medical or safety reasons. For example, a system intended for therapeutical use. 26. 最後に、禁止事項Fの範囲について強調しておきたい。この禁止事項は、医療または安全のために使用されることを意図したAIシステムの上市、使用開始、使用には適用されるべきではない。AI法のリサイタルは、医療または安全上の理由で厳密に使用されるAIシステムであることを強調している。例えば、治療目的のシステムなどである。
Questions related to criterion 5 規準5に関連する質問
12. Can you describe an AI system for emotion recognition deployed in the areas of workplace or in education institutions for medical reasons? 12. 医療上の理由から、職場や教育機構で展開される感情認識AIシステムについて説明できるか。
13. How can AI systems for emotion recognition be deployed in the areas of workplace or in education institutions for safety reasons? Can you think of any examples? 13. 職場や教育機関において、安全面を考慮した感情認識AIシステムはどのように展開できるか。また、そのような事例を思いつくか。
14. What further questions or clarifications do you have about the scope of this prohibition? 14. この禁止事項の範囲について、さらに質問や説明があれば教えてほしい。
27. In conclusion, it is stressed that this document does not cover all aspects of the prohibition. Therefore, interested parties are expressly invited to provide relevant input, also outside the questions asked, for further clarification of prohibition F. 27. 結論として、この文書は禁止事項のすべての側面を網羅しているわけではないことを強調する。したがって、利害関係者は、禁止事項Fのさらなる明確化のため、質問以外の関連する意見を提供するよう明示的に要請される。
Concluding questions 締めくくりの質問
15. Apart from the questions posed, is there any relevant input that you would like to provide for the further clarification of prohibition F? 15. 提示された質問以外に、禁止事項Fの更なる明確化のために提供したい関連するインプットはあるか?
16. Do you think it is desirable that we explicitly mention your organisation or group in our public response and appreciation to this call for input, e.g. so that we can discuss examples and considerations that you provide? 16. この意見募集に対する私たちの公的な回答および謝辞の中で、あなたの組織または団体について明示的に言及することが望ましいと思われるか。
Annex: overview of prohibitions from Article 5, paragraph 1 of the AI Act 2024/1689 附属書:AI法2024/1689第5条第1項による禁止事項の概要
Prohibition A: Certain manipulative AI systems 禁止事項A: ある種の操作的なAIシステム
AI systems that deploy subliminal techniques beyond a person’s consciousness or purposefully manipulative or deceptive techniques, with the objective, or the effect of materially distorting the behaviour of a person or a group of persons by appreciably impairing their ability to make an informed decision, thereby causing them to take a decision that they would not have otherwise taken in a manner that causes or is reasonably likely to cause that person, another person or group of persons significant harm. 人の意識を超えたサブリミナル的な技法、または意図的に操作的もしくは欺瞞的な技法を展開するAIシステムであって、その目的または効果が、十分な情報に基づいた意思決定を行う能力を著しく損なうことによって、人または人の集団の行動を実質的に歪め、それによって、その人、他の人または人の集団に重大な危害をもたらす、またはもたらす可能性が合理的に高い方法で、他の方法では行わなかったであろう意思決定を行わせるもの。
Prohibition B: Certain exploitative AI systems 禁止事項B:特定の搾取的AIシステム
AI systems that exploit any of the vulnerabilities of a natural person or a specific group of persons due to their age, disability or a specific social or economic situation, with the objective, or the effect, of materially distorting the behaviour of that person or a person belonging to that group in a manner that causes or is reasonably likely to cause that person or another person significant harm. 自然人または特定の集団の年齢、障害または特定の社会的もしくは経済的状況に起因する脆弱性を悪用するAIシステムであって、その人またはその集団に属する人の行動を、その人またはその集団に属する人に重大な危害をもたらすか、またはもたらす可能性が合理的に高い方法で、実質的に歪めることを目的とし、またはその効果を有するもの。
Prohibition C: Certain AI systems for social scoring 禁止事項C:社会的スコアリングのための特定のAIシステム
AI systems for the evaluation or classification of natural persons or groups of persons over a certain period of time based on their social behaviour or known, inferred or predicted personal or personality characteristics, with the social score leading to either or both of the following: 自然人または集団の社会的行動または既知、推論もしくは予測される個人的もしくは人格的特性に基づいて、一定期間にわたって評価または分類するためのAIシステムであって、社会的スコアが以下のいずれかまたは両方につながるもの:
• detrimental or unfavourable treatment of certain natural persons or groups of persons in social contexts that are unrelated to the contexts in which the data was originally generated or collected; •  データが元々生成または収集された文脈とは無関係な社会的文脈において、特定の自然人または集団が不利益または不利な扱いを受けること;
• detrimental or unfavourable treatment of certain natural persons or groups of persons that is unjustified or disproportionate to their social behaviour or its gravity. •  社会的行動またはその重大性に不当または不釣り合いな,特定の自然人または集団に対する不利益または不利な取り扱い。
Prohibition D: Certain AI systems for predictive policing 禁止事項D:予測的取り締まりのための特定のAIシステム
AI systems for making risk assessments of natural persons in order to assess or predict the risk of a natural person committing a criminal offence, based solely on the profiling of a natural person or on assessing their personality traits and characteristics; this prohibition shall not apply to AI systems used to support the human assessment of the involvement of a person in a criminal activity, which is already based on objective and verifiable facts directly linked to a criminal activity. 自然人が犯罪を犯すリスクを評価または予測するために、自然人のプロファイリングまたは人格的特徴および特性の評価のみに基づいて、自然人のリスクアセスメントを行うためのAIシステム。この禁止は、犯罪活動に直接関連する客観的かつ検証可能な事実に既に基づいている、犯罪活動への人の関与に関する人間の評価を支援するために使用されるAIシステムには適用されない。
Prohibition E: Untargeted scraping of facial images 禁止事項E.顔画像の非対象スクレイピング
AI systems that create or expand facial recognition databases through the untargeted scraping of facial images from the internet or CCTV footage. インターネットやCCTV映像から顔画像を非対象にスクレイピングすることにより、顔認識データベースを作成または拡張するAIシステム。
Prohibition F: Certain AI systems for emotion recognition in the workplace or in education 禁止事項F:職場や教育機関における感情認識のための特定のAIシステム
AI systems that infer emotions of a natural person in the areas of workplace and education institutions, except where the use of the AI system is intended to be put in place or into the market for medical or safety reasons. 職場や教育機構の分野における自然人の感情を推論するAIシステム。ただし、医療上または安全上の理由からAIシステムの導入または市場投入が意図されている場合を除く。
Prohibition G: Certain AI systems for biometric categorisation of persons 禁止事項G:人物の生体データ分類のための特定のAIシステム
AI systems for biometric categorisation that categorise individually natural persons based on their biometric data to deduce or infer their race, political opinions, trade union membership, religious or philosophical beliefs, sex life or sexual orientation; this prohibition does not cover any labelling or filtering of lawfully acquired biometric datasets, such as images, based on biometric data or categorising of biometric data in the area of law enforcement. 人種、政治的意見、労働組合員、宗教的または哲学的信条、性生活または性的指向を推測または推論するために、生体データに基づいて個々の自然人を分類する生体データ分類のためのAIシステム。この禁止は、合法的に取得された生体データセット(画像など)を生体データに基づいてラベリングまたはフィルタリングしたり、法執行の分野で生体データを分類したりすることは対象としない。
Prohibition H: Certain AI systems for real-time remote biometric identification in publicly accessible spaces for purpose of law enforcement 禁止事項H:法執行を目的とした、一般にアクセス可能な空間におけるリアルタイムの遠隔バイオメトリッ ク識別のための特定のAIシステム
AI-systems used for of ‘real-time’ remote biometric identification systems in publicly accessible spaces for the purpose of law enforcement, unless and in so far as such use is strictly necessary for one of the following objectives: 法執行を目的とした、一般にアクセス可能な空間における「リアルタイムの」遠隔バイオメトリッ ク識別システムのために使用されるAIシステムは、そのような使用が以下のいずれかの目的の ために厳密に必要である場合を除く:
• the targeted search for specific victims of abduction, trafficking in human beings or sexual exploitation of human beings, as well as the search for missing persons; • 誘拐,人身売買,性的搾取の特定の被害者,および行方不明者の捜索。
• the prevention of a specific, substantial and imminent threat to the life or physical safety of natural persons or a genuine and present or genuine and foreseeable threat of a terrorist attack; • 自然人の生命または身体の安全に対する特定の、実質的かつ差し迫った脅威、または真正かつ現在の、または真正かつ予見可能なテロ攻撃の脅威の防止;
• the localisation or identification of a person suspected of having committed a criminal offence, for the purpose of conducting a criminal investigation or prosecution or executing a criminal penalty for offences referred to in Annex II and punishable in the Member State concerned by a custodial sentence or a detention order for a maximum period of at least four years. • 附属書IIに規定され,かつ,当該加盟国において少なくとも4年の拘禁刑または拘禁令によって処罰される犯罪について,犯罪捜査または訴追を行い,または刑事罰を執行する目的で,犯罪を犯したと疑われる者を特定または識別すること。
Point (h) of the first subparagraph is without prejudice to Article 9 of Regulation (EU) 2016/679 for the processing of biometric data for purposes other than law enforcement. 第1号の(h)点は、法執行以外の目的での生体データの処理に関する規則(EU)2016/679の第9条を損なうものではない。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.30 オランダ 会計検査院 政府はAIのリスクアセスメントをほとんど実施していない...

・2024.10.18 オランダ AI利用ガイド (2024.10.16)

・2024.09.29 オランダ データ保護局 意見募集 「操作的欺瞞的、搾取的なAIシステム」

・2024.09.05 オランダ データ保護局 顔認識のための違法なデータ収集でClearviewに3,050万ユーロ(48.5億円)

・2024.08.28 オランダ データ保護局 ドライバーデータの米国への転送を理由にUberに2億9000万ユーロ(467億円)の罰金

・2024.08.12 オランダ データ保護局が注意喚起:AIチャットボットの使用はデータ漏洩につながる可能性がある

・2024.08.11 オランダ AI影響アセスメント (2023.03.02)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

 

 

| | Comments (0)

2024.11.05

カナダ 国家サイバー脅威アセスメント 2025-2026 (2024.10.30)


こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンターが国家サイバー脅威アセスメント 2025-2026を公表していますね...

主な分析結果は米国と同じような認識ですね...Five Eyesですからね...

  1. 国家敵対勢力がサイバー作戦を利用して社会の混乱と分断を起こそうとしている...
  2. 中国の攻撃は広範で高度であり、大きな脅威となっている...
  3. ロシアのサイバープログラムは、カナダと同盟国と対決し、不安定にさせようとしている...
  4. イランは、エスカレーションリスクを管理しながら、圧力をかけてきている...
  5. サイバー犯罪サービスのビジネスモデルは、サイバー犯罪の回復・継続に寄与している...
  6. ランサムウェアは、重要インフラが気にすべき最大の脅威である...

 

Canadian Centre for CYber Security; CCCS

・2024.10.30 National Cyber Threat Assessment 2025-2026

National Cyber Threat Assessment 2025-2026 国家サイバー脅威アセスメント 2025-2026
Minister's foreword 大臣まえがき
Cyber threats to Canada are becoming more complex and sophisticated, threatening our national security and economic prosperity. As a nation with a significant global presence, Canada is a valuable target for cybercriminals looking to make a profit and state adversaries aiming to disrupt the systems we rely on. カナダに対するサイバー脅威はますます複雑化、巧妙化し、国家安全保障と経済的繁栄を脅かしている。世界的に重要な地位を占める国として、カナダは、利益を得ようとするサイバー犯罪者や、われわれが依存するシステムの破壊を狙う国家敵対者にとって、貴重な標的である。
In the last two years, we have witnessed a sharp increase in both the number and severity of cyber incidents, many of which target our essential services. Actors outside our borders have also attempted to influence public opinion and intimidate our population, including in the Canadian diaspora, through coordinated cyber campaigns. 過去2年間で、私たちはサイバーインシデントの件数と深刻さの両方が急激に増加しているのを目撃しており、その多くは私たちの重要なサービスを標的にしている。国境外の行為者はまた、協調的なサイバーキャンペーンを通じて、世論に影響を与え、カナダのディアスポラを含む私たちの国民を威嚇しようとしている。
The Canadian Centre for Cyber Security’s National Cyber Threat  Assessment 2025-2026 is an instrumental tool in our comprehension of cyber threats to Canada. The threat assessment draws on public reporting and classified intelligence to paint an overall picture of the current threat landscape, while also forecasting future trends. By offering reliable and timely information, the report empowers Canadian organizations and individuals to prepare for and defend against current and emerging threats. カナダ・サイバーセキュリティセンターの国家サイバー脅威アセスメント2025-2026は、カナダに対するサイバー脅威を理解する上で重要なツールである。この脅威アセスメントは、公開報告と機密情報に基づき、現在の脅威状況の全体像を描くと同時に、将来の傾向を予測している。信頼性の高いタイムリーな情報を提供することで、この報告書はカナダの組織や個人が現在および新たな脅威に備え、防御する力を与える。
Deepening our understanding of cyber threats enables us to enhance our readiness and, as threats evolve, the Cyber Centre will continue to look for new ways to combat them. Its team is at the forefront of enhancing our cyber security to protect Canadians. Our government is supporting their invaluable work and Budget 2024 allocates $917.4 million to enhance intelligence and cyber operations programs to respond to evolving national security threats. サイバー脅威に対する理解を深めることで、準備態勢を強化することができ、脅威が進化するにつれて、サイバーセンターはそれに対抗する新しい方法を模索し続ける。サイバーセンターのチームは、カナダ国民を守るためにサイバーセキュリティを強化する最前線にいる。政府は彼らの貴重な活動を支援しており、2024年度予算では、進化する国家安全保障上の脅威に対応するため、インテリジェンスとサイバー・オペレーション・プログラムの強化に9億1,740万ドルを割り当てている。
The insights provided in this threat assessment are critical as we work to strengthen Canada’s security in an increasingly digital world. この脅威アセスメントでプロバイダが提供する洞察は、デジタル化が進む世界でカナダの安全保障強化に取り組む上で極めて重要である。
The Honourable Bill Blair ビル・ブレア国防相
Minister of National Defence 国防大臣
Message from the Head of the Cyber Centre サイバーセンター長からのメッセージ
It’s hard to believe it’s already been two years since our last report. At first glance, it seems that the cyber threat environment hasn’t changed much. Cybercrime remains a persistent threat, ransomware  attacks continue to target our critical infrastructure, and state-sponsored cyber threat activity is still affecting Canadians. 前回の報告からすでに2年が経過したとは信じがたい。一見すると、サイバー脅威の環境はあまり変わっていないように思える。サイバー犯罪は依然として根強い脅威であり、ランサムウェア攻撃は重要なインフラを狙い続け、国家によるサイバー脅威活動は依然としてカナダ人に影響を与えている。
What has changed, however, is that state adversaries are getting bolder and more aggressive. Cybercriminals driven by profit are increasingly benefiting from new illicit business models to access malicious tools and are using artificial intelligence  to enhance their capabilities. Non-state actors are seizing on major global conflicts and political controversies to carry out disruptive activities. しかし変わったのは、国家の敵がより大胆に、より攻撃的になっていることだ。利益を追求するサイバー犯罪者は、悪意のあるツールにアクセスするための新たな不正なビジネスモデルからますます利益を得るようになっており、人工知能を使用して能力を強化している。非国家主体は、世界的な紛争や政治的論争に乗じて破壊的な活動を行おうとしている。
These new developments and other trends are outlined in detail in this edition of the National Cyber Threat Assessment. This year’s report goes further than previous editions, offering more tangible examples of cyber threat activity in Canada and around the world, as well as providing some of our own statistics on cyber incidents. このような新たな動きやその他の傾向については、今回の「国家サイバー脅威アセスメント」で詳しく概説している。今年の報告書では、カナダおよび世界におけるサイバー脅威活動の具体的な事例を紹介し、サイバーインシデントに関する独自の統計も提供するなど、前回よりもさらに踏み込んだ内容となっている。
While our assessments describe trends that should concern anyone who reads about them, you can rest assured that the Cyber Centre remains focused on tackling these threats. Working in close collaboration with the private sector, industry, government and critical infrastructure, we’re helping to protect the systems that are vital to our daily lives. 私たちのアセスメントは、それを読む誰もが懸念すべき傾向を記述しているが、サイバーセンターはこれらの脅威への取り組みに引き続き注力しているので安心してほしい。民間企業、産業界、ガバナンス、重要インフラとの緊密な協力のもと、私たちの日常生活に欠かせないシステムの保護に貢献している。
Whether you’re a first-time reader or an avid consumer, an individual Canadian or a member of a small, medium or large organization, I’m confident that you will find the information in this report insightful. I hope that it also encourages you to reflect on what you can do to contribute to our collective resilience. After all, we all have a role to play in building a safer, more secure Canada. 本レポートを初めて読まれる方にも、熱心な消費者の方にも、カナダ人個人にも、中小・大組織のメンバーにも、本レポートの情報はきっと有益なものであると確信している。また、私たちの集団的レジリエンスに貢献するために自分に何ができるかを考えるきっかけになれば幸いである。結局のところ、私たちは皆、より安全でセキュアなカナダを築くために果たすべき役割を担っているのである。
Sincerely, 敬具
Rajiv Gupta Rajiv Gupta
Head, Canadian Centre for Cyber Security カナダ・サイバーセキュリティセンター長
Executive summary エグゼクティブ・サマリー
Canada is confronting an expanding and complex cyber threat landscape with a growing cast of malicious and unpredictable state and non-state cyber threat actors, from cybercriminals to hacktivists, that are targeting our critical infrastructure and endangering our national security. These cyber threat actors are evolving their tradecraft, adopting new technologies, and collaborating in an attempt to improve and amplify their malicious activities. カナダは、サイバー犯罪者からハクティビストに至るまで、悪意のある予測不可能な国家や非国家のサイバー脅威行為者が増え続け、重要インフラを標的とし、国家安全保障を危険にさらす、拡大し複雑化するサイバー脅威の状況に直面している。これらのサイバー脅威行為者は、その手口を進化させ、新しい技術を採用し、悪質な活動を改善・増幅させようと協力している。
Canada’s state adversaries are becoming more aggressive in cyberspace. State-sponsored cyber operations against Canada and our allies almost certainly extend beyond espionage. State-sponsored cyber threat actors are almost certainly attempting to cause disruptive effects, such as denying service, deleting or leaking data, and manipulating industrial control systems, to support military objectives and/or information campaigns. We assess that our adversaries very likely consider civilian critical infrastructure to be a legitimate target for cyber sabotage in the event of a military conflict. カナダの国家的敵対者はサイバー空間においてより攻撃的になっている。国家が支援するカナダと同盟国に対するサイバー作戦は、スパイ活動の域をほぼ確実に超えている。国家が支援するサイバー脅威行為者は、軍事目的および/または情報キャンペーンを支援するために、サービスの拒否、データの削除または漏えい、産業制御システムの操作などの破壊的効果をほぼ確実に引き起こそうとしている。我々の敵対者は、軍事衝突が発生した場合、民間の重要インフラがサイバー破壊工作の正当な標的であると考えている可能性が非常に高いとアセスメントしている。
At the same time, cybercrime remains a persistent, widespread, and disruptive threat to individuals, organizations, and all levels of government across Canada that is sustained by a thriving and resilient global cybercrime ecosystem. We assess that the financial motivations underpinning cybercrime will almost certainly drive the cybercrime ecosystem to continuously evolve and diversify as cybercriminals attempt to evade authorities. 同時に、サイバー犯罪は依然としてカナダ全土の個人、組織、あらゆるレベルの政府に対する持続的、広範かつ破壊的な脅威であり、それは繁栄し回復力のある世界的なサイバー犯罪エコシステムによって支えられている。サイバー犯罪を支える金銭的動機は、サイバー犯罪者が当局の目をかいくぐろうとする中で、サイバー犯罪のエコシステムを継続的に進化させ、多様化させる原動力となることはほぼ間違いないと認可する。
Key judgements 主な判断
・Canada’s state adversaries are using cyber operations to disrupt and divide. State-sponsored cyber threat actors are almost certainly combining disruptive computer network attacks with online information campaigns to intimidate and shape public opinion. State-sponsored cyber threat actors are very likely targeting critical infrastructure networks in Canada and allied countries to pre-position for possible future disruptive or destructive cyber operations. ・カナダの国家敵対勢力は、混乱と分断のためにサイバー作戦を利用している。国家が支援するサイバー脅威行為者は、ほぼ間違いなく、破壊的なコンピュータ・ネットワーク攻撃とオンライン情報キャンペーンを組み合わせて、世論を威嚇し形成している。国家が支援するサイバー脅威行為者は、将来起こりうる破壊的または破壊的なサイバー作戦に備え、カナダと同盟国の重要インフラ・ネットワークを標的にしている可能性が非常に高い。
・The People’s Republic of China’s (PRC) expansive and aggressive cyber program presents the most sophisticated and active state cyber threat to Canada today. The PRC conducts cyber operations against Canadian interests to serve high-level political and commercial objectives, including espionage, intellectual property (IP) theft, malign influence, and transnational repression. Among our adversaries, the PRC cyber program’s scale, tradecraft, and ambitions in cyberspace are second to none. ・中華人民共和国(PRC)の拡大的かつ積極的なサイバー・プログラムは、今日カナダにとって最も洗練された活発な国家サイバー脅威である。中華人民共和国は、スパイ活動、知的財産(IP)の窃盗、悪意ある影響力、国境を越えた弾圧など、高度な政治的・商業的目的のために、カナダの利益に対してサイバー作戦を展開している。われわれの敵対国の中でも、サイバー空間における中国のサイバー計画の規模、技術、野心は他に引けを取らない。
・Russia’s cyber program furthers Moscow’s ambitions to confront and destabilize Canada and our allies. Canada is very likely a valuable espionage target for Russian state-sponsored cyber threat actors, including through supply chain compromises, given Canada’s membership in the North Atlantic Treaty Organization, support for Ukraine against Russian aggression, and presence in the Arctic. Pro-Russia non-state actors, some of which we assess likely have links to the Russian government, are targeting Canada in an attempt to influence our foreign policy. ・ロシアのサイバー・プログラムは、カナダとその同盟国と対立し、不安定化させるというモスクワの野望を助長している。カナダは北大西洋条約機構(NATO)に加盟し、ロシアの侵略に対抗するためにウクライナを支援し、北極圏に存在することから、サプライチェーンの侵害を含め、ロシアの国家が支援するサイバー脅威行為者にとって、カナダは貴重なスパイ活動の標的である可能性が非常に高い。親ロシアの非国家主体(その一部はロシア政府とつながりがある可能性が高いとアセスメントしている)は、カナダの外交政策に影響を与えようとして、カナダを標的にしている。
・Iran uses its cyber program to coerce, harass, and repress its opponents, while managing escalation risks. Iran’s increasing willingness to conduct disruptive cyber attacks beyond the Middle East and its persistent efforts to track and monitor regime opponents through cyberspace present a growing cyber security challenge for Canada and our allies. ・イランはエスカレーションのリスクをマネジメントしながら、サイバー・プログラムを使って敵対勢力を威圧し、嫌がらせをし、抑圧している。イランは中東以外にも破壊的なサイバー攻撃を行う意思を強めており、サイバー空間を通じて体制反対派を追跡・監視する努力を続けているため、カナダと同盟国にとってサイバーセキュリティ上の課題が増大している。
・The Cybercrime-as-a-Service (CaaS) business model is almost certainly contributing to the continued resilience of cybercrime in Canada and around the world. The CaaS ecosystem is underpinned by flourishing online marketplaces where specialized cyber threat actors sell stolen and leaked data and ready-to-use malicious tools to other cybercriminals. This has almost certainly enabled a growing number of actors with a range of capabilities and expertise to carry out cybercrime attacks and evade law enforcement detection. ・CaaS(Cybercrime-as-a-Service)ビジネスモデルは、カナダと世界のサイバー犯罪の継続的なレジリエンスにほぼ確実に寄与している。CaaSのエコシステムは、専門のサイバー脅威行為者が盗んだり漏えいしたデータやすぐに使える悪意のあるツールを他のサイバー犯罪者に販売するオンラインマーケットプレイスの隆盛によって支えられている。これによって、さまざまな能力と専門知識を持つ行為者がサイバー犯罪攻撃を実行し、法執行機関の検知を逃れることができるようになったことはほぼ間違いない。
・Ransomware is the top cybercrime threat facing Canada’s critical infrastructure. Ransomware directly disrupts critical infrastructure entities’ ability to deliver critical services, which can put the physical and emotional wellbeing of victims in jeopardy. In the next two years, ransomware actors will almost certainly escalate their extortion tactics and refine their capabilities to increase pressure on victims to pay ransoms and evade law enforcement detection. ・ランサムウェアは、カナダの重要インフラが直面するサイバー犯罪の脅威のトップである。ランサムウェアは、重要インフラ事業体の重要なサービス提供能力を直接妨害し、被害者の肉体的・精神的な幸福を危険にさらす可能性がある。今後2年間で、ランサムウェアの実行者は、身代金を支払うよう被害者に圧力をかけ、法執行機関の検知を逃れるために、恐喝の手口をエスカレートさせ、その能力に磨きをかけることはほぼ間違いないだろう。

 

目次...

About the Cyber Centre サイバーセンターについて
Minister's foreword 大臣による序文
Message from the Head of the Cyber Centre サイバーセンター長からのメッセージ
Executive summary エグゼクティブサマリー
About this threat assessment この脅威評価について
Introduction はじめに
Cyber threat from state adversaries 国家の敵対者によるサイバー脅威
Cybercrime threats サイバー犯罪の脅威
Trends shaping Canada’s cyber threat landscape カナダのサイバー脅威の状況を形成する傾向
Conclusion 結論
Endnotes 脚注

 

・[PDF

20241104-221523

 

 

| | Comments (0)

米国 ODNI FBI CISA ロシアによる選挙介入工作に関する共同声明

こんにちは、丸山満彦です。

大統領選挙も目前...トランプ、ハリスとの争いは両者拮抗し、どちらになるんだろう...という感じですが、故に、外国勢力による干渉は気になりますよね...

国家情報長官室(ODNI)、連邦捜査局(FBI)、サイバーセキュリティ・インフラ保護庁(CISA)は、ロシアの選挙への干渉について声明をだしていますね...(^^)

● ODNI

・2024.11.01 Joint ODNI, FBI, and CISA Statement on Russian Election Influence Efforts

Joint ODNI, FBI, and CISA Statement on Russian Election Influence Efforts ロシアによる選挙介入工作に関する ODNI、FBI、CISA の共同声明
WASHINGTON, D.C. - Today, the Office of the Director of National Intelligence (ODNI), the Federal Bureau of Investigation (FBI), and the Cybersecurity and Infrastructure Security Agency (CISA) released the following statement: ワシントンD.C. - 本日、国家情報長官室(ODNI)、連邦捜査局(FBI)、サイバーセキュリティ・インフラ保護庁(CISA)は以下の声明を発表した。
“The IC assesses that Russian influence actors manufactured a recent video that falsely depicted individuals claiming to be from Haiti and voting illegally in multiple counties in Georgia. This judgment is based on information available to the IC and prior activities of other Russian influence actors, including videos and other disinformation activities. The Georgia Secretary of State has already refuted the video’s claims as false. 「情報コミュニティ(IC)は、ロシアの工作員が、ジョージア州の複数の郡でハイチ出身を名乗り不正に投票していると虚偽の内容を述べている個人を描写した最近の動画を制作したと評価している。この判断は、ICが入手した情報および他のロシアの影響工作活動家による過去の活動(動画やその他の偽情報活動を含む)に基づいている。ジョージア州務長官はすでに、この動画の主張を虚偽であると反論している。
Russian influence actors also manufactured a video falsely accusing an individual associated with the Democratic presidential ticket of taking a bribe from a U.S. entertainer. ロシアの影響工作活動家は、米国人エンターテイナーから賄賂を受け取ったとして、民主党の大統領候補と関連のある人物を偽って非難する動画も作成している。
This Russian activity is part of Moscow’s broader effort to raise unfounded questions about the integrity of the US election and stoke divisions among Americans, as detailed in prior ODNI election updates. In the lead up to election day and in the weeks and months after, the IC expects Russia to create and release additional media content that seeks to undermine trust in the integrity of the election and divide Americans.” このロシアの活動は、米国の選挙の信頼性について根拠のない疑問を提起し、米国内の分裂を煽るという、モスクワのより広範な取り組みの一環である。これは、ODNIの選挙に関するこれまでの最新情報で詳しく説明されている。ICは、選挙当日とその数週間後、数か月後にかけて、ロシアが選挙の信頼性を損ない、米国内の分裂を煽ることを目的とした新たなメディアコンテンツを作成し、公開するものと予想している。

 

1_20241104223601

| | Comments (0)

2024.10.17

EDPB Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン Ver2.0 (2024.10.16)

こんにちは、丸山満彦です。

EDPBが2023.11.14に公表した、ガイドライ、Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive (ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023)の更新版...

 

European Data Protection Board; EDPB

・2024.10.16 Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

・[PDF] Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive - Version 2.0

20241017-15739

 

Executive summary  エグゼクティブサマリー
In these Guidelines, the EDPB addresses the applicability of Article 5(3) of the ePrivacy Directive to different technical solutions. These Guidelines expand upon the Opinion 9/2014 of the Article 29 Working Party on the application of ePrivacy Directive to device fingerprinting and aim to provide a clear understanding of the technical operations covered by Article 5(3) of the ePrivacy Directive.  本ガイドラインにおいて、EDPBは、eプライバシー指令第5条(3)項の異なる技術的ソリューションへの適用可能性について取り上げている。本ガイドラインは、eプライバシー指令のデバイス・フィンガープリンティングへの適用に関する第29条作業部会の意見9/2014をさらに発展させ、eプライバシー指令第5条(3)項の対象となる技術的オペレーションについて明確な理解を提供することを目的としている。
The emergence of new tracking methods to both replace existing tracking tools (for example, cookies, due to discontinued support for third-party cookies by some browser vendors) and create new business models has become a critical data protection concern. While the applicability of Article 5(3) of the ePrivacy Directive is well established and implemented for some tracking technologies such as cookies, there is a need to address ambiguities related to the application of the said provision to emerging tracking tools.  新しいトラッキング手法の出現は、既存のトラッキングツール(例えば、一部のブラウザベンダーによるサードパーティクッキーのサポート中止により、クッキー)を置き換えるだけでなく、新たなビジネスモデルを生み出すものでもあり、データ保護の観点から重大な懸念事項となっている。eプライバシー指令第5条(3)項の適用可能性は、クッキーなどの一部のトラッキング技術については十分に確立され、実施されているが、新たなトラッキングツールへの同規定の適用に関する曖昧さに対処する必要がある。
The Guidelines identify three key elements for the applicability of Article 5(3) of the ePrivacy Directive (section 2.1), namely ‘information’, ‘terminal equipment of a subscriber or user’ and ‘gaining access and ‘storage of information and stored information’. The Guidelines further provide a detailed analysis of each element (section 2.2-2.6).  本ガイドラインでは、eプライバシー指令第5条(3)の適用可能性に関する3つの主要要素を識別している(セクション2.1)。すなわち、「情報」、「加入者またはユーザーの端末機器」、および「アクセス取得と情報の保存および保存された情報」である。本ガイドラインではさらに、各要素の詳細な分析を提供している(セクション2.2~2.6)。
In section 3, that analysis is applied to a non-exhaustive list of use cases representing common techniques, namely:  第3項では、その分析を一般的な技術を代表する非網羅的なユースケースのリストに適用している。すなわち、
-  URL and pixel tracking  - URLおよびピクセルトラッキング 
-  Local processing  - ローカル処理 
-  Tracking based on IP only  - IPのみに基づくトラッキング 
-  Intermittent and mediated Internet of Things (IoT) reporting  - 断続的および仲介されたモノのインターネット(IoT)の報告 
 - Unique Identifier - 固有識別子
Table of contents  目次 
1 Introduction 1 序文
2 Analysis 2 分析
2.1 Key elements for the applicability of Article 5(3) ePD 2.1 第5条(3)ePDの適用可能性に関する主な要素
2.2 Notion of ‘information’ - Criterion A 2.2 「情報」の概念 - 基準 A
2.3 Notion of ‘terminal equipment of a subscriber or user’ – Criterion B.1 2.3 「加入者またはユーザーの端末設備」の概念 - 基準 B.1
2.4 Notion of ‘public communications network’ – Criterion B.2 2.4 「公衆通信ネットワーク」の概念 - 基準 B.2
2.5 Notion of ‘gaining access’ – Criterion C.1 2.5 「アクセス」の概念 - 基準 C.1
2.6 Notions of storage of information’ and ‘stored information’ – Criterion C.2 2.6 「情報の保存」および「保存された情報」の概念 - 基準 C.2
3 Use cases 3 ユースケース
3.1 URL and pixel tracking 3.1 URLおよびピクセルトラッキング
3.2 Local processing 3.2 ローカル処理
3.3 Tracking based on IP only 3.3 IPのみに基づくトラッキング
3.4 Intermittent and mediated IoT reporting 3.4 断続的および仲介されたIoTレポート
3.5 Unique Identifier 3.5 固有識別子
The European Data Protection Board  欧州データ保護委員会 
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter, ‘GDPR’),  個⼈データの処理に関する⾃然⼈の保護及び当該データの⾃由な移動に関する 2016 年 4 ⽉ 27 ⽇付欧州議会及び理事会規則(EU)2016/679、並びに指令 95/46/ECの廃⽌(以下「GDPR」という、)の第 70 条(1)(e)を考慮し、
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018[1],  欧州経済領域(EEA)協定、特に2018年7月6日付のEEA合同委員会決定第154/2018号により改正された附属書XIおよび議定書37に留意し、 
Having regard to Article 15(3) of the Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector, as amended by Directive 2009/136/EC (hereinafter, ‘ePrivacy Directive’ or ‘ePD’),  電子通信分野におけるパーソナルデータの処理およびプライバシーの保護に関する2002年7月12日付欧州議会および理事会の指令2002/58/EC(以下「eプライバシー指令」または「ePD」)の第15条(3)項を考慮し、 
Having regard to Article 12 and Article 22 of its Rules of Procedure,  その規則第12条および第22条を考慮し、
HAS ADOPTED THE FOLLOWING GUIDELINES:  以下のガイドラインを採択した。
------ ------
1 INTRODUCTION  1 序文 
1. According to Article 5(3) ePD, ‘the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user’ is only allowed on the basis of consent or necessity for specific purposes set out in that Article. As reminded in Recital 24 of the ePD[2], the goal of that provision is to protect the users’ terminal equipment, as they are part of the private sphere of the users. It results from the wording of the Article, that Article 5(3) ePD does not exclusively apply to cookies, but also to ‘similar technologies’. However, there is currently no comprehensive list of the technical operations covered by Article 5(3) ePD.  1. ePD第5条(3)項によると、「加入者または利用者の端末機器における情報の保存、またはすでに保存されている情報へのアクセス」は、同条に定める特定の目的のための同意または必要性に基づいてのみ許可される。ePDの注釈24[2]で指摘されているように、この規定の目的は、ユーザーの端末機器を防御することであり、それはユーザーの私的領域の一部である。この条項の文言から、第5条(3)項のePDはクッキーのみに適用されるのではなく、「類似技術」にも適用される。しかし、現時点では、第5条(3)項のePDが対象とする技術的作業の包括的なリストは存在しない。
2. Article 29 Working Party (hereinafter, ‘WP29’) Opinion 9/2014 on the application of ePrivacy Directive to device fingerprinting (hereinafter, ‘WP29 Opinion 9/2014’) has already clarified that fingerprinting falls within the technical scope of Article 5(3) ePD[3], but due to the new advances in technologies further guidance is needed with respect to the tracking techniques currently observed. The technical landscape has been evolving during the last decade, with the increasing use of identifiers embedded in operating systems, as well as the creation of new tools allowing the storage of information in terminal equipment.  2. デバイス・フィンガープリンティングへのeプライバシー指令の適用に関する第29条作業部会(以下、「WP29」)意見書9/2014(以下、「WP29意見書9/2014」)は、フィンガープリンティングが第5条(3)ePDの技術的範囲に該当することをすでに明確にしているが[3]、技術の新たな進歩により、現在確認されているトラッキング技術に関してさらなるガイダンスが必要となっている。技術的状況は、この10年間で進化しており、オペレーティングシステムに組み込まれた識別子の使用が増えているほか、端末機器に情報を保存できる新しいツールも開発されている。
3. The ambiguities regarding the scope of application of Article 5(3) ePD have created incentives to implement alternative solutions for tracking internet users and lead to a tendency to circumvent the legal obligations provided by Article 5(3) ePD. All such situations raise concerns and require a supplementary analysis in order to complement the previous guidance from the EDPB.  3. 第5条(3)ePDの適用範囲に関する曖昧さにより、インターネットユーザーを追跡するための代替ソリューションを導入するインセンティブが生じ、第5条(3)ePDで規定された法的義務を回避する傾向につながっている。このような状況はすべて懸念材料であり、EDPBによるこれまでのガイダンスを補完するために追加的な分析が必要である。
4. The aim of these Guidelines is to conduct a technical analysis on the scope of application of Article 5(3) ePD, namely to clarify what is technically covered by the phrase ‘to store information or to gain access to information stored in the terminal equipment of a subscriber or user’. These Guidelines do not address the circumstances under which a processing operation may fall within the exemptions from the consent requirement provided for by the ePD[4], as these circumstances should be analysed on a case-by-case basis accounting for the relevant member state transposition(s), and guidance issued by national Competent Authorities.  4. 本ガイドラインの目的は、第5条(3)項ePDの適用範囲について技術的な分析を行うこと、すなわち、「加入者または利用者の端末機器に保存された情報にアクセスすること、または当該情報にアクセスできるようにすること」という表現が技術的に何をカバーするのかを明確にすることである。本ガイドラインでは、ePDで規定された同意要件の免除に該当する可能性がある処理操作の状況については取り扱わない。これらの状況は、関連する加盟国の国内法化や各国の管轄当局が発行するガイダンスを考慮した上で、個別に分析すべきである。
5. A non-exhaustive list of specific use-cases will be analysed in the final part of these Guidelines.  5. 特定の使用事例の網羅的ではないリストは、本ガイドラインの最終部分で分析される。
2 ANALYSIS  2 分析
2.1 Key elements for the applicability of Article 5(3) ePD  2.1 第5条(3)項ePDの適用可能性に関する主な要素
6. Article 5(3) ePD applies if: 6.  第5条(3)ePDは以下の場合に適用される: 
a. CRITERION A: the operations carried out relate to ‘information’. It should be noted that the term used is not ’personal data’, but ‘information’.  a. 判断基準 A:実施される業務は「情報」に関連する。ここで使用される用語は「個人データ」ではなく「情報」であることに留意すべきである。
b. CRITERION B: the operations carried out involve a ‘terminal equipment’ of a subscriber or user (B.1), which imply the need to assess the notion of a ‘public communications network’ (B.2).  b. 判断基準 B:実施される業務には、加入者またはユーザーの「端末設備」(B.1)が関与し、これは「公衆通信ネットワーク」(B.2)の概念をアセスメントする必要性を意味する。
c. CRITERION C the operations carried out indeed constitute ‘storage’ (C.1) or a ‘gaining of access’ (C.2). Those two notions can be studied independently, as reminded in WP29 Opinion 9/2014: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party’[5].  c. 判断基準 C:実施される業務は、実際には「保存」(C.1)または「アクセス」(C.2)を構成する。WP29 意見書 9/2014 において言及されているように、この2つの概念は個別に検討することができる。「保存またはアクセス」という表現は、保存とアクセスが同一のコミュニケーション内で発生する必要はなく、同一の当事者によって実行される必要もないことを示している[5]。
For the sake of readability, the entity gaining access to information stored in the user’s terminal equipment will be hereafter referred to as an ‘accessing entity’.  以下では、読みやすさを考慮して、ユーザーの端末機器に保存された情報にアクセスする事業体を「アクセス事業体」と呼ぶ。
2.2 Notion of ‘information’ - Criterion A  2.2 「情報」の概念 - 判断基準 A 
7. As expressed in CRITERION A, this section details what is covered by the notion of ‘information’. The choice of the term ‘information’, encompassing a broader category than the mere notion of personal data, is related to the scope of the ePrivacy Directive.  7. 判断基準 Aで述べたように、このセクションでは「情報」という概念が何を対象とするかを詳細に説明する。「情報」という用語の選択は、単なる個人データの概念よりも幅広いカテゴリーを包含するものであり、eプライバシー指令の適用範囲に関連している。
8. The goal of Article 5(3) ePD is to protect the private sphere of the users, as stated in its Recital 24: ‘Terminal equipment of users of electronic communications networks and any information stored on such equipment are part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms’. It is also protected by Article 7 of the EU Charter of Fundamental Rights.  8. ePD第5条(3)項の目的は、その序文24項に述べられているように、「電子通信ネットワークのユーザーの端末機器およびその機器に保存されているあらゆる情報は、欧州人権および基本的自由の保護のための条約に基づき保護を必要とするユーザーの私的領域の一部である」というユーザーの私的領域を防御することである。また、EU基本権憲章第7条によっても保護されている。
9. In fact, scenarios that do intrude into this private sphere even without involving any personal data are explicitly covered by the wording of Article 5(3) and Recital 24 ePD, for example the storage of viruses on the user’s terminal equipment. This shows that the definition of the term ‘information’ should not be limited to the property of being related to an identified or identifiable natural person.  9. 実際、個人データが関与していなくても、この私的領域に侵入するシナリオは、例えばユーザーの端末機器にウイルスが保存されている場合など、第5条(3)項およびePDの第24項の文言によって明確にカバーされている。これは、「情報」という用語の定義が、特定された、または特定可能な自然人に関連する財産に限定されるべきではないことを示している。
10. This has been confirmed by the Court of Justice of the EU: ‘That protection applies to any information stored in such terminal equipment, regardless of whether or not it is personal data, and is intended, in particular, as is clear from that recital, to protect users from the risk that hidden identifiers and other similar devices enter those users’ terminal equipment without their knowledge’[6].  10. このことは、EU司法裁判所によっても確認されている。「その保護は、個人データであるか否かに関わらず、そのような端末機器に保存されているあらゆる情報に適用される。特に、その前文から明らかなように、隠された識別子やその他の類似の装置がユーザーの端末機器にユーザーの知らないうちに侵入するリスクからユーザーを防御することを目的としている」[6]。
11. The questions on whether the origin of this information and the reasons why it is stored in the terminal equipment should be considered when assessing the applicability of Article 5(3) ePD have been previously clarified. For example, in the WP29 Opinion 9/2014: ‘It is not correct to interpret this as meaning that the third-party does not require consent to access this information simply because he did not store it. The consent requirement also applies when a read-only value is accessed (e.g. requesting the MAC address of a network interface via the OS API)’ [7].  11. この情報の発信元や、それが端末機器に保存されている理由が、ePD第5条(3)項の適用可能性をアセスメントする際に考慮されるべきかどうかという問題については、以前に明確にされている。例えば、WP29意見書9/2014では、 「この情報を保存していないという理由だけで、サードパーティがこの情報へのアクセスに同意を必要としないと解釈するのは正しくない。読み取り専用値にアクセスする場合(例えば、OS API 経由でネットワークインターフェースの MAC アドレスを要求する場合)にも、同意要件が適用される」[7]。
12. In conclusion, the notion of information includes both non-personal data and personal data, regardless of how this data was stored and by whom, i.e. whether by an external entity (also including other entities than the one having access), by the user, by a manufacturer, or any other scenario.  12. 結論として、情報の概念には、このデータが誰によってどのように保存されたかに関わらず、すなわち、外部事業体(アクセス権を有する事業体以外の事業体も含む)、利用者、製造事業者、またはその他のシナリオによるものかに関わらず、非個人データおよび個人データの両方が含まれる。
2.3 Notion of ‘terminal equipment of a subscriber or user’ – Criterion B.1  2.3 「加入者または利用者の端末設備」の概念 - 判断基準 B.1 
13. This section builds on the definition used in Directive 2008/63/EC and as referenced in Article 2 Directive (EU) 2018/1972, where ‘terminal equipment’ is defined as: ‘equipment directly or indirectly connected to the interface of a public telecommunications network to send, process or receive information; in either case (direct or indirect), the connection may be made by wire, optical fibre or electromagnetically; a connection is indirect if equipment is placed between the terminal equipment and the interface of the network’[8].  13. このセクションでは、指令 2008/63/EC で使用され、指令 (EU) 2018/1972 第 2 条で参照されている定義を基にしており、ここで「端末機器」は次のように定義されている。「情報を送信、処理、または受信するために、公衆電気通信ネットワークのインターフェースに直接または間接的に接続される機器。いずれの場合も(直接または間接)、接続は有線、光ファイバー、または電磁気的に行うことができる。機器が端末機器とネットワークのインターフェースの間に配置されている場合、接続は間接的である[8]
14. Recital 24 ePD provides a clear understanding of the role of the terminal equipment for the protection offered by Article 5(3) ePD. The ePD protects users’ privacy not only in relation to the confidentiality of their information but also by safeguarding the integrity of the user’s terminal equipment. This understanding will guide the interpretation of the notion of the terminal equipment throughout these Guidelines.  14. 序文24 ePDは、第5条(3)項ePDが提供する保護における端末機器の役割について明確な理解を提供している。ePDは、利用者の情報の機密性に関連するだけでなく、利用者の端末機器の完全性を保護することによっても、利用者のプライバシーを防御する。この理解は、本ガイドライン全体を通じて端末機器の概念の解釈の指針となる。
15. Article 3 ePD states that for the ePD to apply the processing of personal data has to be carried out in connection with the provision of publicly available electronic communications services in public communications networks. This entails that a device should be usable in connection with such service and that, in order to be qualified as a terminal equipment, it should be connected or connectable[9] to the interface of a public communications network. The EDPB notes that the amendments made in 2009[10] in the text of Article 5(3) ePD extended the protection of terminal equipment by deleting the reference to the ‘use of electronic communications network’ as a means to store information or to gain access to information stored in the terminal equipment. Therefore, as long as a device has a network interface that makes it eligible for connection (even if such connection is not in place), Article 5(3) ePD applies to every entity that would store and gain access to information already stored in the terminal equipment whatever the means of access to the terminal equipment is, and whether connected or disconnected from a network  15. 第3条 ePDでは、ePDを適用するには、公衆通信網における公衆利用可能な電子通信サービスの提供に関連してパーソナルデータの処理を行わなければならないと規定している。 これは、端末がそのようなサービスに関連して使用可能であるべきであり、端末機器として適格であるためには、公衆通信網のインターフェースに接続されているか、接続可能であるべきであることを意味する[9]。欧州議会・理事会は、2009年に第5条(3)ePDの条文に[10]加えられた改正により、端末機器に情報を保存したり、端末機器に保存された情報にアクセスしたりする手段としての「電子通信ネットワークの利用」に関する言及が削除され、端末機器の防御が拡大されたことを指摘している。したがって、接続の対象となるネットワーク・インターフェースを有する機器(たとえ接続されていない場合でも)については、第5条(3) ePDが適用され、端末機器にすでに保存されている情報へのアクセスや保存を行うすべての事業体に対して、端末機器へのアクセス手段や、ネットワークへの接続・切断の有無に関わらず、適用される 
16. Equipment that are part of the public electronic communications network itself would not be considered terminal equipment under Article 5(3) ePD[11].  16. 公衆電子通信網の一部である機器は、第5条3項ePDの端末機器とはみなされない[11]。
17. A terminal equipment may be comprised of any number of individual pieces of hardware, which together form the terminal equipment. This may or may not take the form of a physically enclosed device hosting all the display, processing, storage and peripheral hardware (for example, smartphones, laptops, network-attached storage device, connected cars or connected TVs, smart glasses).  17. 端末機器は、一体となって端末機器を構成する個々のハードウェアの任意の数で構成することができる。これは、すべての表示、処理、保存、周辺ハードウェアをホストする物理的に囲まれたデバイスの形態を取る場合も取らない場合もある(例えば、スマートフォン、ラップトップ、ネットワーク接続ストレージデバイス、コネクテッドカーまたはコネクテッドTV、スマートグラス)。
18. The ePD acknowledges that the protection of the confidentiality of the information stored on a user’s terminal equipment and integrity of the user’s terminal equipment is not limited to the protection of the private sphere of natural persons but also concerns the right to respect for their correspondence or the legitimate interests of legal persons[12]. As such, a terminal equipment that allows for this correspondence and the legitimate interests of the legal persons to be carried out is protected under Article 5(3) ePD.   18. ePDは、ユーザーの端末機器に保存された情報の機密性およびユーザーの端末機器の完全性の防御が、自然人の私的領域の防御に限定されるものではなく、通信の秘密または法人[12]の正当な利益の尊重の権利にも関わるものであることを認めている。したがって、この通信および法人の正当な利益を可能にする端末機器は、ePD第5条3項により防御される。 
19. The user or subscriber may own or rent or otherwise be provided with the terminal equipment. Multiple users or subscribers may share the same terminal equipment.  19. ユーザーまたは加入者は、端末機器を所有、レンタル、またはその他の方法でプロバイダから提供を受けることができる。複数のユーザーまたは加入者が同一の端末機器を共有することも可能である。
20. This protection is guaranteed by the ePD to the terminal equipment associated to the user or subscriber, and it is not dependant on whether the user set up the means of access (for example if they initiated the electronic communication) or even on whether the user is aware of the said means of access).  20. この防御は、ePDにより、ユーザーまたは契約者に結び付けられた端末設備に対して保証されるものであり、ユーザーがアクセス手段を設定したかどうか(例えば、電子通信を開始したかどうか)、あるいはユーザーが当該アクセス手段を認識しているかどうかにかかわらず適用される。
2.4 Notion of ‘public communications network’ – Criterion B.2  2.4 「公衆通信網」の概念 - 判断基準B.2 
21. As the situation regulated by the ePD is the one related to ‘the provision of publicly available electronic communications services in public communications networks in the Community’[13], and the definition of a terminal equipment specifically mentions the notion of a ‘public communications network’, it is crucial to clarify this notion to identify the context in which Article 5(3) ePD applies.  21. ePDが規定する状況は、「欧州共同体における公衆通信網における公衆利用可能な電子通信サービスの提供」に関するものである[13]。また、端末機器の定義には「公衆通信網」という概念が明確に示されているため、第5条(3)項のePDが適用される状況を識別するには、この概念を明確にすることが不可欠である。
22. The notion of electronic communications network is not defined within the ePD itself. That concept was referred to originally in Directive 2002/21/EC (the Framework Directive) on a common regulatory framework for electronic communications networks and services[14], subsequently replaced by Article 2(1) of Directive 2018/1972 (the European Electronic Communications Code). It now reads:  22. 電子通信ネットワークの概念は、ePD自体では定義されていない。この概念は、当初は電子通信ネットワークおよびサービスに関する共通規制枠組みに関する指令2002/21/EC(枠組み指令)で言及されていたが[14]、その後、指令2018/1972(欧州電子通信コード)の第2条(1)に置き換えられた。現在の条文は以下の通りである。
”electronic communications network” means transmission systems, whether or not based on a permanent infrastructure or centralised administration capacity, and, where applicable, switching or routing equipment and other resources, including network elements which are not active, which permit the conveyance of signals by wire, radio, optical or other electromagnetic means, including satellite networks, fixed (circuit- and packet-switched, including internet) and mobile networks, electricity cable systems, to the extent that they are used for the purpose of transmitting signals, networks used for radio and television broadcasting, and cable television networks, irrespective of the type of information conveyed.[15]  「電子通信ネットワーク」とは、恒久的なインフラまたは集中管理機能に基づくかどうかに関わらず、伝送システムを意味し、該当する場合は、交換またはルーティング機器、および、衛星ネットワーク、固定(回線交換およびパケット交換、インターネットを含む)および移動体通信ネットワーク、電力ケーブルシステムなど、有線、無線、光、またはその他の電磁的手段による信号伝送を可能にする、非アクティブなネットワーク要素を含むその他のリソースを意味する 信号伝送の目的で使用される範囲において、有線ネットワーク、固定(回線交換およびパケット交換、インターネットを含む)および移動ネットワーク、電力ケーブルシステム、ラジオおよびテレビ放送に使用されるネットワーク、ケーブルテレビネットワーク(伝達される情報の種類に関係なく)が含まれる。[15] 
23. This definition is neutral with respect to the transmission technologies. An electronic communications network, according to this definition, is any network system that allows transmission of electronic signals between its nodes, regardless of the equipment and protocols used.  23. この定義は、伝送技術に関しては中立である。この定義によれば、電子通信網とは、使用される機器やプロトコルに関わらず、ノード間の電子信号の伝送を可能にするあらゆるネットワークシステムである。
24. The notion of electronic communications network under Directive 2018/1972 does not depend on the public or private nature of the infrastructure, nor on the way the network is deployed or managed (‘whether or not based on a permanent infrastructure or centralised administration capacity’[16].) As a result, the definition of electronic communications network, under Article 2 of Directive 2018/1972, is broad enough to cover any type of infrastructure. It includes networks managed or not by an operator, networks co-managed by a group of operators, or even ad-hoc networks in which a terminal equipment may dynamically join or leave a mesh of other terminal equipment using short range transmission protocols.  24. 指令 2018/1972 の電子通信網の概念は、インフラの公衆性または私設性、あるいはネットワークの展開または管理方法(「恒久的なインフラまたは集中管理能力に基づくかどうか」[16])に依存しない。その結果、指令2018/1972第2条に基づく電子通信ネットワークの定義は、あらゆる種類のインフラをカバーするのに十分なほど広範である。この定義には、事業者によって管理されているか否かに関わらず、事業者グループによって共同管理されているネットワーク、あるいは、近距離伝送プロトコルを使用して他の端末機器のネットワークに動的に参加または離脱する端末機器が存在する臨時のネットワークも含まれる。
25. This definition of network does not give any limitation with regards to the number of terminal equipment present in the network at any time. Some networking schemes rely on nodes relaying information in an ad-hoc manner to nodes presently connected[17] and can at some point in time have as little as two peers communicating. Such cases would be within the general scope of the ePD directive, as long as the network protocol allows for further inclusion of peers.  25. このネットワークの定義は、ネットワークに存在する端末装置の数について、いかなる制限も設けていない。一部のネットワーク構成では、現在接続されているノードに情報をアドホックに中継するノードに依存しており[17]、ある時点では、わずか2つのピアがコミュニケーションを行う場合もある。このようなケースは、ネットワークプロトコルがピアの追加を許可している限り、ePD指令の一般的な範囲内である。
26. The public availability of the communication network is necessary for the device to be considered a terminal equipment and in consequence for the applicability of Article 5(3) ePD. It should be noted that the fact that the network is made available to a limited subset of the public (for example, subscribers, whether paying or not, subject to eligibility conditions) does not make such a network private[18].  26. コミュニケーションネットワークが一般に利用可能であることは、端末機器と見なされるために必要であり、結果としてePD第5条(3)の適用可能性にも必要である。ネットワークが一般の一部のサブセット(例えば、支払い有無に関わらず、適格条件を満たす加入者)にのみ利用可能であるという事実が、そのネットワークをプライベートなものにするわけではないことに留意すべきである[18]。
2.5 Notion of ‘gaining access’ – Criterion C.1  2.5 「アクセス」の概念 - 判断基準 C.1 
27. To correctly frame the notion of ‘gaining access’, it is important to consider the scope of the ePD, stated in its Article 1: ‘to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy, with respect to the processing of personal data in the electronic communication sector and to ensure the free movement of such data and of electronic communication equipment and services in the Community’.  27. 「アクセス」の概念を正しく理解するには、ePDの適用範囲を考慮することが重要である。ePDは、その第1条で次のように規定している。「電子通信分野におけるパーソナルデータの処理に関して、基本的な権利および自由、特にプライバシーの権利を同等のレベルで保護し、欧州共同体におけるデータおよび電子通信機器・サービスの自由な移動を確保する」。
28. In a nutshell, the ePD is a privacy preserving legal instrument aiming to protect the confidentiality of communications and the integrity of devices. In Recital 24 ePD, it is clarified that, in the case of natural persons, the user’s terminal equipment is part of their private sphere and that accessing information stored on it without their knowledge may seriously intrude upon their privacy.  28. 簡単に言えば、ePDは、コミュニケーションの機密性とデバイスの完全性を保護することを目的としたプライバシー保護の法的手段である。ePDの序文24では、自然人(自然人とは、個人を意味する)の場合、ユーザーの端末機器は個人の領域の一部であり、ユーザーの認識なしにその機器に保存された情報にアクセスすることは、プライバシーを著しく侵害する可能性があることが明確にされている。
29. Legal persons are also safeguarded by the ePD[19]. In consequence, the notion of ‘gaining access’ under Article 5(3) ePD, has to be interpreted in a way that safeguards those rights against violation by third parties.  29. 法人もePDによって保護されている[19]。したがって、ePD第5条(3)項の「アクセス」の概念は、サードパーティによる侵害からこれらの権利を保護する形で解釈されなければならない。
30. Storing information or gaining access can be independent operations, and performed by independent entities. Storing of information and access to information already stored do not need to be both present for Article 5(3) ePD to apply.  30. 情報の保存またはアクセスは、それぞれ独立した操作であり、独立した事業体によって実行される可能性がある。情報の保存と、すでに保存されている情報へのアクセスは、第5条(3)ePDの適用にあたり、両方が存在する必要はない。
31. As noted in the WP29 Opinion 9/2014: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party. Information that is stored by one party (including information stored by the user or device manufacturer) which is later accessed by another party is therefore within the scope of Art. 5(3)’[20]. Consequently, there are no restrictions placed on the origin of information on the terminal equipment for the notion of access to apply.  31. 2014年9月WP29意見書9に記載されているように、「保存またはアクセス」という文言は、保存とアクセスが同じコミュニケーション内で発生する必要はなく、同じ当事者によって実行される必要もないことを示している。ある当事者(ユーザーまたは機器製造事業者によって保存された情報を含む)によって保存され、その後別の当事者によってアクセスされる情報は、したがって第5条(3)項の適用範囲内にある[20]。したがって、アクセスという概念を適用するにあたり、端末機器上の情報の発信元に制限は課されない。
32. Whenever an entity takes steps towards gaining access to information stored in the terminal equipment, Article 5(3) ePD would apply. Usually this entails the accessing entity to proactively send specific instructions to the terminal equipment in order to receive back the targeted information. For example, this is the case for cookies, where the accessing entity instructs the terminal equipment to proactively send information on each subsequent Hypertext Transfer Protocol (‘HTTP’) call.  32. 事業体が端末機器に保存された情報へのアクセスを試みる場合、第5条(3)項ePDが適用される。通常、アクセスを行う事業体は、対象となる情報を受け取るために、端末機器に特定の指示を積極的に送信する必要がある。例えば、クッキーの場合、アクセスを行う事業体が端末機器に、その後の各ハイパーテキスト転送プロトコル(「HTTP」)呼び出しに関する情報を積極的に送信するよう指示する。
33. That is equally the case when the accessing entity distributes software on the terminal equipment of the user that is stored and will then proactively call an Application Programming Interface (‘API’) endpoint over the network. Additional examples would include JavaScript code, where the accessing entity instructs the browser of the user to send asynchronous requests with the targeted information. Such access clearly falls within the scope of Article 5(3) ePD, as the accessing entity explicitly instructs the terminal equipment to send the information.  33. アクセス事業体が、ユーザーの端末機器にソフトウェアを配布し、それを保存して、その後、ネットワーク上でアプリケーション・プログラミング・インターフェース(「API」)のエンドポイントを能動的に呼び出す場合も同様である。その他の例としては、アクセス事業体がユーザーのブラウザに指示して、対象情報を含む非同期リクエストを送信するJavaScriptコードがある。このようなアクセスは、アクセスを行う事業体が端末機器に明示的に指示して情報を送信させるものであるため、ePD第5条(3)項の適用範囲に明確に該当する。
34. In some cases, the entity instructing the terminal equipment to send back the targeted data and the entity receiving information might not be the same. This may result from the provision and/or use of a common mechanism between the two entities. Instructing the device to send already stored information (for example, through the use of a protocol, or an SDK[21] that imply the proactive sending of information by the terminal equipment) makes an intrusion into the terminal equipment possible, therefore such an access triggers the applicability of Article 5(3).) ePD. As noted in WP29 Opinion 09/2014, this can be the case when a website instructs the terminal equipment to send information to third-party advertising services through the inclusion of a tracking pixel[22]. This use-case is further developed in section 3.1.   34. 場合によっては、対象データを送り返すよう端末機器に指示する事業体と情報を受信する事業体が同一ではない場合がある。これは、両事業体が共通の仕組みを提供および/または使用していることが原因である可能性がある。端末機器にすでに保存されている情報を送信するよう端末機器に指示すること(例えば、プロトコルや、端末機器による積極的な情報送信を暗示するSDK[21]の使用による)は、端末機器への侵入を可能にするため、このようなアクセスは第5条(3)項の適用性を引き起こす。)ePD。WP29意見書09/2014で指摘されているように、ウェブサイトがトラッキングピクセルを組み込むことで端末機器にサードパーティの広告サービスに情報を送信するよう指示する場合、これが該当する可能性がある[22]。このユースケースについては、セクション3.1でさらに詳しく説明する。 
2.6 Notions of storage of information’ and ‘stored information’ – Criterion C.2  2.6 情報の保存および保存された情報に関する概念 - 判断基準 C.2
35. Storage of information in the sense of Article 5(3) ePD refers to placing information on a physical electronic storage medium that is part of a user or subscriber’s terminal equipment[23].  35. 第 5 条(3)の意味における情報の保存とは、ユーザーまたは契約者の端末機器の一部である物理的な電子保存媒体に情報を置くことを指す[23]。
36. Typically, information is not stored in the terminal equipment of a user or subscriber through direct access to the memory of the device by another party, but rather by instructing software on the terminal equipment to generate specific information. Storage taking place through such instructions is considered to be initiated directly by the other party. This includes making use of established protocols such as browser cookie storage as well as customized software, regardless of who created or installed the protocols or software on the terminal equipment.  36. 一般的に、他の当事者がユーザーまたは加入者の端末機器のメモリに直接アクセスして情報を保存するのではなく、端末機器上のソフトウェアに特定の情報を生成するよう指示することで情報が保存される。このような指示によって行われる保存は、他の当事者によって直接開始されたものと見なされる。これには、ブラウザのクッキー保存などの確立されたプロトコルやカスタマイズされたソフトウェアの利用が含まれるが、端末機器にプロトコルやソフトウェアを作成またはインストールした者が誰であるかは問わない。
37. The ePD does not place any upper or lower limit on the length of time that information must persist on a storage medium to be counted as stored, nor is there an upper or lower limit on the amount of information to be stored.  37. ePDは、保存されたとみなされるために情報が記憶媒体上に保持されなければならない時間について、上限または下限を定めていない。また、保存されるべき情報量についても上限または下限を定めていない。
38. Similarly, the notion of storage does not depend on the type of medium on which the information is stored. Typical examples would include hard disc drives (‘HDD’), solid state drives (‘SSD’), electrically-erasable programmable read-only memory (‘EEPROM’) and random-access memory (‘RAM’), but less typical scenarios involving a medium such as magnetic tape or central processing unit (‘CPU’) cache are not excluded from the scope of application. The storage medium may be connected internally (e.g. through a SATA connection), externally (e.g. through a USB connection)  38. 同様に、保存という概念は、情報が保存される媒体の種類に依存しない。 典型的な例としては、ハードディスクドライブ(「HDD」)、ソリッドステートドライブ(「SSD」)、電気的消去・プログラム可能読取り専用メモリ(「EEPROM」)、およびランダムアクセスメモリ(「RAM」)が含まれるが、磁気テープや中央処理装置(「CPU」)キャッシュなどの媒体を含む、あまり一般的ではないシナリオも適用範囲から除外されるものではない。記憶媒体は、内部(例えばSATA接続)または外部(例えばUSB接続)で接続することができる。
39. ‘Stored information’ refers to information already existing on the terminal equipment, regardless of the source or nature of this information. This includes any result from information storage in the sense of Article 5(3) ePD as described above (either by the same party that would later gain access or by another third party). It furthermore includes results of information storage processes beyond the scope of Article 5(3),) ePD, such as: storage on the terminal equipment by the user or subscriber themselves, or by a hardware manufacturer (such as the MAC addresses of network interface controllers), sensors integrated into the terminal equipment or processes and programs executed on the terminal equipment, which may or may not produce information that is dependent on or derived from stored information.  39. 「保存された情報」とは、情報の出所や性質に関わらず、すでに端末機器上に存在する情報を指す。これには、前述の第5条(3)項ePDの規定に基づく情報保存の結果(後にアクセスする当事者自身によるものか、または別のサードパーティによるものかに関わらず)が含まれる。さらに、第5条(3)項ePDの範囲を超える情報保存処理の結果も含まれる。例えば、ユーザーまたは契約者自身による端末機器への保存、またはハードウェア製造事業者による保存(ネットワーク・インターフェース・コントローラのMACアドレスなど)、端末機器に組み込まれたセンサー、または端末機器上で実行されるプロセスやプログラムなどである。これらは、保存された情報に依存する、または保存された情報から派生する情報を生成する場合もあれば、生成しない場合もある。
3 USE CASES  3 利用例 
40. As pointed out in the introduction of these guidelines[24], they do not analyse the application of the exemptions to the obligation to collect consent provided by Article 5(3) ePD. The EDPB reminds that for all of the cases where there is a storage of information or a gaining of access to information already stored, it would have to be assessed if a consent is needed or whether an exemption under Article 5(3) ePD could apply. The reader should therefore consider the exemptions in their use case, in conjunction with this technical analysis.  40. これらのガイドラインの序文で指摘されているように[24]、第5条(3)項ePDで規定されている同意取得義務に対する適用除外の適用については分析されていない。EDPBは、情報の保存またはすでに保存されている情報へのアクセスがあるすべてのケースについて、同意が必要かどうか、または第5条(3)項ePDに基づく適用除外が適用できるかどうかをアセスメントする必要があることを改めて指摘する。したがって、読者は、この技術分析と併せて、自らのユースケースにおける適用除外を考慮すべきである。
41. Without prejudice of the specific context in which those technical categories can be used which are necessary to qualify whether Article 5(3) ePD is applicable, it is possible to identify, in a non-exhaustive manner, broad categories of identifiers and information that are widely used and can be subject to the applicability of Article 5(3) ePD.  41. 第5条(3)項ePDの適用可能性を判断するために必要な技術カテゴリーが使用される特定の状況を損なうことなく、広く使用され、第5条(3)項ePDの適用可能性の対象となり得る識別子および情報の幅広いカテゴリーを網羅的ではない方法で識別することが可能である。
42. Network communication usually relies on a layered model that necessitates the use of identifiers to allow for a proper establishment and carrying out of the communication. The communication of those identifiers to remote actors is instructed through software following agreed upon communication protocols. As outlined above, the fact that the receiving entity might not be the entity instructing the sending of information does not preclude the application of Article 5(3) ePD. This might concern routing identifiers such as the MAC or IP address of the terminal equipment, but also session identifiers (SSRC, Websocket identifier), or authentication tokens.  42. ネットワーク通信は通常、適切なコミュニケーションの確立と遂行を可能にするために識別子の使用を必要とする階層モデルに依存している。 遠隔のアクターへのこれらの識別子の通信は、合意された通信プロトコルに従ってソフトウェアを通じて指示される。上述の通り、情報の送信を指示する事業体と受信事業体が異なる場合でも、ePD第5条(3)項の適用を妨げるものではない。これは、端末装置のMACアドレスやIPアドレスなどのルーティング識別子、セッション識別子(SSRC、WebSocket識別子)、または認証トークンに関するものである可能性がある。
43. In the same manner, the application protocol can include several mechanisms to provide context data (such as HTTP header including ‘accept’ field or user agent), caching mechanism (such as ETag[25]) or other functionalities (cookies being one of them, or HSTS[26]). Once again, relying on those mechanisms to collect information (for example in the context of fingerprinting[27] or the tracking of resource identifiers) can lead to the application of Article 5(3) ePD.  43. 同様に、アプリケーションプロトコルは、コンテキストデータ(「accept」フィールドやユーザーエージェントを含むHTTPヘッダーなど)を提供する複数のメカニズム、キャッシュメカニズム(ETag[25]など)、またはその他の機能(クッキーやHSTS[26]など)を含めることができる。繰り返しになるが、これらのメカニズムに依存して情報を収集する(例えばフィンガープリンティング[27]やリソース識別子の追跡など)と、ePD第5条(3)項の適用につながる可能性がある。
44. On the other hand, there are some contexts in which local applications installed in the terminal equipment uses some information strictly inside the terminal, as it might be the case for smartphone system APIs (access to camera, microphone, GPS sensor, accelerator chip, radio chip, local file access, contact list, identifiers access, etc.). This might also be the case for web browsers that process information stored or generated information inside the device (such as cookies, local storage, WebSQL, or even information provided by the users themselves). The use of such information by an application would not constitute a ‘gaining of access to information already stored’ in the meaning of Article 5(3) ePD as long as the information does not leave the device, but when this information or any derivation of this information is accessed, Article 5(3) ePD would apply.  44. 一方、端末機器にインストールされたローカルアプリケーションが、スマートフォンのシステムAPI(カメラ、マイク、GPSセンサー、加速度チップ、無線チップ、ローカルファイルアクセス、連絡先リスト、識別子へのアクセスなど)の場合のように、端末内部の情報を厳密に使用する状況もある。また、デバイス内に保存された情報やデバイス内で生成された情報(クッキー、ローカルストレージ、WebSQL、あるいはユーザー自身が提供した情報など)を処理するウェブブラウザにも当てはまる可能性がある。アプリケーションによるこのような情報の利用は、その情報が端末から送信されない限り、ePD第5条(3)項の「すでに保存されている情報へのアクセス」には該当しないが、この情報またはこの情報の派生物にアクセスされた場合は、ePD第5条(3)項が適用される。
45. Finally, in some cases malicious software elements are distributed by actors, for example crypto mining software or more generally malware, exploiting the processing abilities of the terminal equipment for the benefit of the distributing actor. The distribution of said malicious software in user’s terminal equipment would constitute a ‘storage’ in the meaning of Article 5(3) ePD. In addition, should the software establish a network connection to send information at a later stage, it would constitute a ‘gaining of access’ in the meaning of Article 5(3) ePD  45. 最後に、場合によっては、悪意のあるソフトウェア要素が、例えば暗号マイニングソフトウェアやより一般的なマルウェアなど、端末機器の処理能力を悪用して、配布者の利益のために配布されることがある。ユーザーの端末機器における当該悪意のあるソフトウェアの配布は、ePD第5条(3)項の「保存」に該当する。さらに、当該ソフトウェアが後日情報を送信するためにネットワーク接続を確立する場合には、ePD第5条(3)項にいう「アクセス権の取得」に該当する。
46. For a subset of these categories that present a specific interest, either because of their widespread usage or because a specific study is warranted with regards to the circumstances of their use, a specific analysis is provided below.  46. これらのカテゴリーのうち、その広範な使用状況から、またはその使用状況に関して特定の調査が必要であることから、特に興味深いと思われるカテゴリーについては、以下に具体的な分析を行う。
3.1 URL and pixel tracking  3.1 URLおよびピクセルトラッキング 
47. A tracking pixel is a hyperlink to a resource, usually an image file, embedded into a piece of content like a website or an email. This pixel usually fulfils no purpose related to the requested content itself; its sole purpose is to automatically establish a communication by the client to the host of the pixel, which would otherwise not have occurred. This is however not systematic and tracking pixels can also be created by adding additional information to hyperlink loading images that are relevant to the content displayed to the user. Establishment of the communication transmits various information to the host of the pixel, depending on the specific use case.  47. トラッキングピクセルとは、通常は画像ファイルであるリソースへのハイパーリンクを、ウェブサイトや電子メールなどのコンテンツの一部に埋め込むことである。このピクセルは通常、要求されたコンテンツ自体に関連する目的を果たすことはなく、唯一の目的は、クライアントからピクセルのホストへの自動的なコミュニケーションを確立することであり、そうしなければコミュニケーションは発生しない。ただし、これは必ずしもシステム化されているわけではなく、ユーザーに表示されるコンテンツに関連するハイパーリンク読み込み画像に追加情報を加えることによってトラッキングピクセルを作成することも可能である。コミュニケーションが確立されると、特定の使用事例に応じて、さまざまな情報がピクセルのホストに送信される。
48. In the case of an email, the sender may include a tracking pixel to detect when the receiver reads the email. Tracking pixels on websites may link to an entity collecting many such requests and thus being able to track users’ behaviour. Such tracking pixels may also contain additional identifiers, metadata or content as part of the link. These data points may be added by the owner of the website, possibly related to the user’s activity on that website so that analytical usage reports can be generated. They may also be dynamically generated through client-side applicative logic supplied by the entity.  48. 電子メールの場合、送信者は受信者が電子メールを読んだことを検知するためのトラッキングピクセルを含めることができる。ウェブサイト上のトラッキングピクセルは、多くのそのようなリクエストを収集し、それによってユーザーの行動を追跡できる事業体とリンクしている可能性がある。そのようなトラッキングピクセルは、リンクの一部として、追加の識別子、メタデータ、またはコンテンツを含む可能性もある。これらのデータポイントは、分析利用レポートを生成できるように、ウェブサイトの所有者が追加したものであり、そのウェブサイト上でのユーザーの活動に関連している可能性がある。また、それらは事業体が提供するクライアント側の応用ロジックを通じて動的に生成される可能性もある。
49. Tracking links can function in the same way, but the identifier is appended to the website address. When the Uniform Resource Locator (‘URL’) is visited by the user, the targeted website loads the requested resource but also collects an identifier which is not relevant in terms of resource identification. They are very commonly used by eCommerce websites to identify the origin of their inbound source of traffic. For example, such websites can provide tracked links to partners to use on their domain so that the e-commerce website knows which of their partners is responsible for a sale and pay a commission, a practice known as affiliate marketing.  49. トラッキングリンクも同様に機能するが、識別子はウェブサイトアドレスに追加される。ユーザーが統一資源位置指定子(Uniform Resource Locator、以下「URL」)を訪問すると、対象のウェブサイトは要求されたリソースを読み込むが、リソース識別の観点では関連性のない識別子も収集する。これらは、Eコマースウェブサイトが流入元のトラフィックの発生源を識別するために非常に一般的に使用されている。例えば、そのようなウェブサイトは、パートナーのドメインで使用するための追跡リンクを提供することができ、それによって、eコマースウェブサイトは、どのパートナーが販売に貢献したかを把握し、コミッションを支払うことができる。これは、アフィリエイトマーケティングとして知られている。
50. Both tracking links and tracking pixels can be distributed through a wide variety of channels, for example through emails, websites, or even, in the case of tracking links, through any kind of text messaging systems. That distribution to the user’s terminal equipment does constitute storage, at the very least through the caching mechanism of the client-side software. As such, Article 5(3) ePD is applicable, even if this storage is not permanent.  50. トラッキングリンクおよびトラッキングピクセルは、電子メール、ウェブサイト、さらにはトラッキングリンクの場合にはあらゆる種類のテキストメッセージシステムを通じてなど、多種多様なチャンネルを通じて配信することができる。ユーザーの端末機器への配信は、少なくともクライアントサイドソフトウェアのキャッシュメカニズムを通じて、保存に該当する。そのため、この保存が恒久的でない場合でも、ePD第5条(3)項が適用される。
51. The addition of tracking information to URLs or images (pixels) sent to the user constitutes an instruction to the terminal equipment to send back the targeted information (the specified identifier). In the case of dynamically constructed tracking pixels, it is the distribution of the applicative logic (usually a JavaScript code) that constitutes the instruction. As a consequence, it can be considered that the collection of identifiers provided through such tracking mechanisms constitutes a ‘gaining of access’ in the meaning of Article 5(3) ePD, thus it applies to that step as well.  51. ユーザーに送信されるURLまたは画像(ピクセル)に追跡情報を追加することは、対象情報(特定の識別子)を送り返すよう端末機器に指示することに相当する。動的に構築された追跡ピクセルの場合、指示に相当するのは応用論理(通常はJavaScriptコード)の配布である。したがって、このようなトラッキングメカニズムを通じて提供される識別子の収集は、ePD第5条(3)項の「アクセス権の取得」に該当すると考えられ、したがって、このステップにも適用される。
3.2 Local processing  3.2 ローカル処理 
52. Some technologies rely on local processing instructed by software distributed on users’ terminal equipment, where the information produced by the local processing is then made available to selected actors through client-side API. This may for example be the case for an API provided by the web browser, where locally generated results may be accessed remotely.  52. いくつかの技術は、ユーザーの端末機器に配布されたソフトウェアが指示するローカル処理に依存しており、ローカル処理によって生成された情報は、クライアントサイドAPIを通じて、選択された関係者に提供される。これは、例えば、ローカルで生成された結果がリモートでアクセスされる可能性があるウェブブラウザが提供するAPIの場合に該当する可能性がある。 
53. If at any point and for example in the client-side code, the processed information is made available to a third-party, for example sent back over the network to a server, such an operation (instructed by the entity producing the client-side code distributed on the user terminal equipment) would constitute a ‘gaining of access to information already stored’. The fact that this information is being produced locally does not preclude the application of Article 5(3) ePD.  53. いかなる時点においても、例えばクライアント側コードにおいて、処理された情報がサードパーティに利用可能となった場合、例えばネットワークを通じてサーバーに送り返された場合、そのような操作(ユーザー端末機器に配布されたクライアント側コードを生成する事業体によって指示された)は、「すでに保存されている情報へのアクセス」に該当する。この情報がローカルで生成されているという事実は、ePD第5条(3)項の適用を妨げるものではない。
3.3 Tracking based on IP only  3.3 IPのみに基づく追跡
54. Some providers are developing solutions that only rely on the collection of one component, namely the IP address, in order to track the navigation[28] of the user, in some case across multiple domains. In that context Article 5(3) ePD could apply even though the instruction to make the IP available has been made by a different entity than the receiving one.  54. プロバイダの中には、ユーザーのナビゲーション(場合によっては複数のドメインにわたる)を追跡するために、IPアドレスという1つのコンポーネントの収集のみに依存するソリューションを開発しているところもある[28]。その場合、IPアドレスを入手するよう指示した事業体が、情報を受け取る事業体とは異なる場合でも、ePD第5条(3)項が適用される可能性がある。
55. However, gaining access to IP addresses would only trigger the application of Article 5(3) ePD in cases where this information originates from the terminal equipment of a subscriber or user. While it is not systematically the case (for example when CGNAT[29] is activated), the static outbound IPv4 originating from a user’s router would fall within that case, as well as IPV6 addresses since they are partly defined by the host. Unless the entity can ensure that the IP address does not originate from the terminal equipment of a user or subscriber, it has to take all the steps pursuant to the Article 5(3) ePD.  55. しかし、IPアドレスへのアクセスは、この情報が加入者またはユーザーの端末装置から発信された場合のみ、第5条(3)項ePDの適用を誘発する。これは必ずしも常に起こるわけではないが(CGNAT[29]が有効になっている場合など)、ユーザーのルーターから発信される静的アウトバウンドIPv4アドレスは、そのケースに該当する。また、IPv6アドレスはホストによって部分的に定義されるため、このケースに該当する。事業体が、IPアドレスがユーザーまたは加入者の端末設備から発信されていないことを確実にできない限り、ePD第5条(3)に従ってすべての措置を講じなければならない。
56. While the present guidelines do not analyse the application of the exemptions to the obligation to collect consent provided by Article 5(3) ePD, it is important to once again recall that the applicability of this article does not systematically mean that consent needs to be collected. The EDPB thus reminds that in each case it would have to be assessed if a consent is needed or whether an exemption under Article 5(3) ePD could apply[30].  56. 本ガイドラインでは、ePD第5条(3)項で規定された同意の収集義務に対する適用除外の適用について分析していないが、この条項の適用可能性が必ずしも同意の収集を意味するわけではないことを改めて想起することが重要である。したがって、EDPBは、各事例において、同意が必要かどうか、またはePD第5条(3)項に基づく適用除外が適用できるかどうかをアセスメントする必要があることを改めて指摘する[30]。
3.4 Intermittent and mediated IoT reporting  3.4 断続的かつ仲介されたIoTの報告
57. IoT (Internet of Things) devices produce information continuously over time, for example through sensors embedded in the device, which may or may not be locally pre-processed. In many cases, information is made available to a remote server, but the modalities of that collection can vary.  57. IoT(モノのインターネット)デバイスは、例えばデバイスに組み込まれたセンサーを通じて、長期間にわたって継続的に情報を生成する。この場合、ローカルで事前処理が行われる場合も行われない場合もある。多くの場合、情報はリモートサーバーに提供されるが、その収集方法は様々である。
58. Some IoT devices have a direct connection to a public communication network with a cellular SIM card. Other may have an indirect connection to a public communication network, for example through the use of WIFI or the relay of information to another device through a point-to-point connection (for example, through Bluetooth). The other device can for example be a smartphone or a dedicated gateway which may or may not pre-process the information before sending it to the server.  58. いくつかのIoTデバイスは、セルラーSIMカードを使用して、直接的に公衆通信ネットワークに接続する。他のIoTデバイスは、例えばWIFIを使用したり、他のデバイスに情報をポイント・ツー・ポイント接続(例えばBluetooth経由)で中継したりするなど、間接的に公衆通信ネットワークに接続する。他のデバイスは、例えばスマートフォンや専用ゲートウェイであり、サーバーに情報を送信する前に、情報を事前処理する場合もあれば、事前処理しない場合もある。
59. IoT devices might be instructed by the manufacturer to always stream the collected information, yet still locally cache the information first, for example until a connection is available.  59. IoTデバイスは、製造事業者から収集した情報を常にストリーミングするように指示される場合があるが、接続が利用可能になるまで、例えば、情報を最初にローカルにキャッシュするように指示される場合もある。
60. In any case the IoT device, where it is connected (directly or indirectly) to a public communications network, would itself be considered a terminal equipment. The fact that the information is streamed or cached for intermittent reporting does not change the nature of that information. In both situations Article 5(3) ePD would apply as there is, through the instruction of code on the IoT device to send the dynamically stored data to the remote server, a ‘gaining of access’.  60. いずれの場合も、IoTデバイスが(直接または間接的に)公衆通信ネットワークに接続されている場合、そのIoTデバイス自体が端末設備とみなされる。情報が断続的な報告のためにストリーミングまたはキャッシュされるという事実は、その情報の性質を変えるものではない。いずれの場合も、IoTデバイス上のコードの指示により動的に保存されたデータを遠隔サーバーに送信する「アクセス権の取得」があるため、第5条(3)のePDが適用される。
3.5 Unique Identifier  3.5 固有識別子
61. A common tool used by companies is the notion of ’unique identifiers‘ or ’persistent identifiers‘. Such identifiers can be derived from persistent personal data (name and surname, email, phone number, etc.), that is hashed on the user’s device, collected and shared amongst several controllers to uniquely identify a person over different datasets (usage data collected through the use of website or application, customer relation management (CRM) data related to online or offline purchase or subscription, etc.). On websites, the persistent personal data is generally obtained in the context of authentication or the subscription to newsletters.  61. 企業が使用する一般的なツールは、「固有識別子」または「永続的識別子」という概念である。このような識別子は、永続的な個人データ(氏名、メールアドレス、電話番号など)から派生させることができる。つまり、ユーザーのデバイス上でハッシュ化され、複数の管理者間で収集および共有され、異なるデータセット(ウェブサイトやアプリケーションの使用を通じて収集された利用データ、オンラインまたはオフラインでの購入または購読に関連する顧客関係管理(CRM)データなど)を通じて個人を一意に識別する。ウェブサイト上では、永続的な個人データは一般的に、認証またはニュースレターの購読の文脈で取得される。
62. As outlined before, the fact that information is being entered by the user would not preclude the application of Article 5(3) ePD with regards to storage, as this information is stored temporarily on the terminal equipment before being collected.  62. 前述の通り、情報がユーザーによって入力されているという事実によって、収集される前に一時的に端末機器に保存されるため、保存に関する第5条(3)ePDの適用が妨げられることはない。
63. In the context of ‘unique identifier’ collection on websites or mobile applications, the entity collecting is instructing the browser (through the distribution of client-side code) to send that information. As such a ’gaining of access’ is taking place and Article 5(3) ePD applies.  63. ウェブサイトまたはモバイルアプリケーションにおける「固有識別子」の収集という文脈において、収集を行う事業体は、ブラウザに(クライアントサイドコードの配布を通じて)その情報を送信するよう指示している。したがって「アクセス権の取得」が行われ、ePD第5条(3)項が適用される。 

 

 

[1] References to ‘Member States’ made throughout this document should be understood as references to ‘EEA Member States’.  [1] 本文書全体を通じて言及される「加盟国」は、「欧州経済領域(EEA)加盟国」を指すものと理解すべきである。 
[2] ‘Terminal equipment of users of electronic communications networks and any information stored on such equipment are part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms. So-called spyware, web bugs, hidden identifiers and other similar devices can enter the user's terminal without their knowledge in order to gain access to information, to store hidden information or to trace the activities of the user and may seriously intrude upon the privacy of these users. The use of such devices should be allowed only for legitimate purposes, with the knowledge of the users concerned.’  [2] 「電気通信ネットワークのユーザーの端末機器および当該機器に保存されたあらゆる情報は、欧州人権条約および基本自由の保護に関する条約に基づき防御を必要とするユーザーの私的領域の一部である。いわゆるスパイウェア、ウェブバグ、隠された識別子、およびその他の類似した装置は、情報を入手したり、隠された情報を保存したり、ユーザーの活動を追跡したりするために、ユーザーの端末にユーザーの認識なしに侵入することがあり、ユーザーのプライバシーに深刻な侵害をもたらす可能性がある。このような装置の使用は、関係するユーザーの認識を得た上で、合法的な目的にのみ許可されるべきである。
[3] WP29 Opinion 9/2014, p. 11. [3] WP29 意見書 9/2014、11ページ。
[4] As stated in Article 5(3) ePD: ‘This shall not prevent any technical storage or access for the sole purpose of carrying out the transmission of a communication over an electronic communications network, or as strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service.’  [4] ePD 第5条(3)項に次のように記載されている。「これは、電子通信ネットワークを介したコミュニケーションの伝達を唯一の目的とした技術的な保存またはアクセス、または加入者またはユーザーから明示的に要求された情報社会サービスを提供するプロバイダにとって厳密に必要なアクセスを妨げるものではない。」 
[5] WP29 Opinion 9/2014, p. 8. [5] WP29意見書9/2014、8ページ。
[6] Judgement of the Court of Justice of 1 October 2019, Planet 49, Case C‑673/17, ECLI:EU:C:2019:801, paragraph 70.  [6] 2019年10月1日付欧州司法裁判所の判決、Planet 49、Case C‑673/17、ECLI:EU:C:2019:801、第70項。
[7] WP29 Opinion 9/2014, p. 8.  [7] WP29意見書9/2014、8ページ。
[8] Commission Directive 2008/63/EC of 20 June 2008 on competition in the markets in telecommunications terminal equipment (Codified version), Article 1(1).  [8] 電気通信端末機器の市場における競争に関する2008年6月20日付欧州委員会指令2008/63/EC(法典化版)、第1条(1)。
[9] That is, having the technical capabilities to be connected to the network even if that connection is not currently in place.  [9] すなわち、現在接続されていない場合でも、ネットワークに接続できる技術的能力を有すること。
[10] Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009 amending Directive 2002/22/EC on universal service and users’ rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws (Text with EEA relevance), OJ L 337, 18.12.2009, Article 2(5) and Recital 65.  [10] 2009年11月25日付欧州議会および理事会の指令2009/136/EC(電子通信ネットワークおよびサービスに関するユニバーサルサービスおよびユーザーの権利に関する指令2002/22/ECの改正)、電子通信分野におけるパーソナルデータの処理および 電子通信分野における個人データの処理およびプライバシー防御に関する指令 2002/58/EC、および消費者保護法の施行を担当する各国当局間の協力に関する規則(EC)No 2006/2004(EEA 関連条項)、OJ L 337、2009年12月18日、第2条(5)および第65項。
[11] To identify the limits of the network in different contexts, refer to the BEREC Guidelines on Common Approaches to the Identification of the Network Termination Point in different Network Topologies (BoR (20) 46)  [11] さまざまな状況におけるネットワークの限界を識別するには、さまざまなネットワークトポロジーにおけるネットワーク終端点の識別に関する共通アプローチに関するBERECガイドライン(BoR (20) 46)を参照のこと。
[12] Indeed, as reminded in Art. 2(13) of Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code, the user can be a natural or a legal person.  [12] 実際、欧州議会および2018年12月11日付理事会の欧州電子通信コードを制定する指令(EU)2018/1972の第2条(13)項で言及されているように、ユーザーは自然人または法人である可能性がある。
[13] Article 3 ePD.  [13] 第3条ePD。
[14] Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive)  [14] 2002年3月7日付欧州議会および理事会の電子通信ネットワークおよびサービスに関する共通規制枠組みに関する指令(枠組み指令)2002/21/EC 
[15] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1).  [15] 2018年12月11日付欧州議会および理事会指令(EU)2018/1972 欧州電子通信コード(改正)の制定、EEA関連条文、第2条(1)。
[16] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1).  [16] 欧州議会および2018年12月11日付理事会の欧州電子通信コード(改正)を定める指令(EU)2018/1972、EEA関連条項、第2条(1)。
[17] For example, in the context of delay-tolerant networking scheme that implement ‘store and forward techniques’ such as the Briar open source project.  [17] 例えば、Briarオープンソースプロジェクトのような「ストア・アンド・フォワード技術」を実装する遅延耐性ネットワーキングスキームの文脈において。
[18] For further analysis on the identification of public communication networks, refer to the BEREC Guidelines on the Implementation of the Open Internet Regulation (BoR (20) 112)  [18] 公衆通信ネットワークの識別に関するさらなる分析については、オープンインターネット規則(BoR (20) 112)の実施に関するBERECガイドラインを参照のこと。
[19] Recital 26 ePD, see paragraph 17 above.  [19] 26項ePD、上記第17項を参照。
[20] WP29 Opinion 9/2014, p. 8.  [20] WP29意見書9/2014、8ページ。
[21] An SDK (“software development kit”) is a bundle of software development tools made available to facilitate the creation of application software.  [21] SDK(「ソフトウェア開発キット」)とは、アプリケーションソフトウェアの作成を容易にするために利用可能なソフトウェア開発ツールの集合である。
[22] WP29 Opinion 9/2014, p. 9.  [22] WP29意見書9/2014、9ページ。
[23] As defined in section 2.3 of these Guidelines.  [23] 本ガイドラインのセクション2.3で定義されている。
[24] See paragraph 4 above. [24] 上記第4項を参照。
[25] The HTTP ETag is an identifier that allows to do conditional request based on the validity of the cached client data.  [25] HTTP ETagは、キャッシュされたクライアントデータの妥当性確認に基づく条件付きリクエストを可能にする識別子である。
[26] HTTP Strict Transport Security (HSTS) allow servers to specify which resources should always be requested using HTTPS connections.  [26] HTTP Strict Transport Security (HSTS) は、サーバーがどのリソースを常にHTTPS接続でリクエストすべきかを指定することを可能にする。
[27] As noted in the introduction, please see Opinion 9/2014 of the Article 29 Working Party on the application of ePrivacy Directive to device fingerprinting  [27] 序文で述べたように、eプライバシー指令のデバイス・フィンガープリンティングへの適用に関する第29条作業部会の2014年9月意見を参照のこと。
[28] This is additional to and independent of the use and function of an IP address for the establishment and conveyance or transmission of underlying technical communications, or the fact that it may or may not be personal data (in respect of ePrivacy analysis, it is “information”)  [28] これは、基礎となる技術的コミュニケーションの確立および伝達または送信のためのIPアドレスの使用および機能、またはそれが個人データであるか否か(eプライバシー分析に関しては「情報」)とは別個のものである。
[29] Carrier-grade NAT or CGNAT is used by Internet service providers to maximise the use of limited IP address space. It groups a number of subscribers under the same public IP address.  [29] キャリアグレードNATまたはCGNATは、インターネットサービスプロバイダが限られたIPアドレス空間を最大限に活用するために使用する。これは、多数の加入者を同一のパブリックIPアドレスの下にグループ化する。
[30] WP29 Opinion 9/2014 provides for some example when consent might not be needed.  [30] 2014年9月WP29意見書9では、同意が不要となる場合の例がいくつか示されている。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.18 EDPB 意見募集 Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン(案)(2023.11.16)

Continue reading "EDPB Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン Ver2.0 (2024.10.16)"

| | Comments (0)

2024.09.30

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2024.09.26 第841号コラム:「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

「親分でまとまる集団」と「ルールでまとまる集団」というのは、実は、中根千枝先生の縦社会と横社会の話です。これをベースにIDFにちょっとした提案をしています。

5_20240911214501

 

さて、私の提案はどうですかね...

 

蛇足;自民党の総裁選がありましたね...自民党以外は選挙に参加できないので、まぁ、眺めているしかないのですけど...

さて、政党というのは、そもそもある政策の方向性(ある意味ルール)のもとに集まるものという気がします。英国の国民党と労働党、米国の民主党と共和党、、、日本の政党はどういう集まりか?というのを考える上でも参考になるかもです。どうして、日本では二大政党のような構造ができないのか???

 


 

私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
31 841 2024.09.26 親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案
30 806 2024.01.25 気候風土と社会
29 780 2023.07.31 国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?
28 754 2023.01.31 「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない
27 731 2022.08.22 サイバー空間の安全に向けて: All for one, One for all
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.30 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「親分でまとまる集団とルールでまとまる集団とIDFに対するちょっとした提案」

・2024.01.30 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「気候風土と社会」

・2023.08.01 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?」

・2023.01.31 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

・2022.01.31 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバーセキュリティは空気のように社会全体に拡がる」

・2021.08.17 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「ティラノサウルスとスズメ」

・2021.02.03 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「データを科学的に分析する」

・2020.08.19 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

・2020.06.11 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦

 

| | Comments (0)

より以前の記事一覧