脆弱性

2025.01.21

中国 CNCERT 米国が企業秘密を盗むために中国の大手テクノロジー企業や機関にサイバー攻撃を行った事案についての報告書 (2025.01.17)

こんにちは、丸山満彦です。

中国のCNCERTが、米国が企業秘密を盗むために中国の大手テクノロジー企業や機関にサイバー攻撃を行った事案を2件公表していますね...

一つは、2024年8月から先端材料設計研究部門が、おそらく米国諜報機関に電子文書セキュリティ管理システムの脆弱性を利用して、ソフトウェア更新管理サーバーに侵入し、更新サービスを通じて270台以上にトロイの木馬を配信し、機密情報、知財を盗んだということのようです。

もう一つは、2023年5月から、スマートウェンルギーとデジタル情報の大手ハイテク企業が、おそらく米国諜報機関により、海外の複数の踏み台を利用してマイクロソフト・エクスチェンジの脆弱性を利用し、メールサーバに侵入し、バックドアを埋め込んで電子メールデータを搾取していたようです。その上、メールサーバを踏み台にして、30台以上の端末から機密情報を盗んだようです。

本当かどうかはわかりませんが、被害をうけたことと同じような攻撃をしていますよね。。。そして、マイクロソフト製品の脆弱性を利用して攻撃。。。

 

国家计算机网络应急技术处理协调中心 (CNCERT/CC)

1_20250121053601

・2024.12.18 CNCERT发现处置两起美对我大型科技企业机构网络攻击事件

CNCERT发现处置两起美对我大型科技企业机构网络攻击事件 CNCERTは、米国による中国大手テクノロジー企業の機関ネットワークに対するサイバー攻撃2件を発見し、対処した
国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。 国家インターネット緊急対応センターは、米国の大手テクノロジー企業2社が、当社機関の企業秘密を盗むために攻撃を行っていることを発見し、対応した。
2024年8月起,我国某先进材料设计研究单位遭疑似美国情报机构网络攻击。经分析,攻击者利用我境内某电子文档安全管理系统漏洞,入侵该公司部署的软件升级管理服务器,通过软件升级服务向该公司的270余台主机投递控制木马,窃取该公司大量商业秘密信息和知识产权。 2024年8月より、中国の高度材料設計研究部門が、米国の諜報機関と疑われる組織による攻撃を受けた。分析の結果、攻撃者は中国の電子文書セキュリティ管理システムの脆弱性を悪用し、当社が配備したソフトウェアアップグレード管理サーバーに侵入した。攻撃者はソフトウェアアップグレードサービスを利用して、当社の270以上のホストに制御用トロイの木馬を送り込み、当社の大量の企業秘密情報および知的財産を盗んだ。
2023年5月起,我国某智慧能源和数字信息大型高科技企业遭疑似美国情报机构网络攻击。经分析,攻击者使用多个境外跳板,利用微软Exchange漏洞,入侵控制该公司邮件服务器并植入后门程序,持续窃取邮件数据。同时,攻击者又以该邮件服务器为跳板,攻击控制该公司及其下属企业30余台设备,窃取该公司大量商业秘密信息。 2023年5月より、スマートエネルギーとデジタル情報に特化した中国のある大手ハイテク企業が、米国情報機関によるものと見られるサイバー攻撃の標的となった。分析の結果、攻撃者は複数の海外中継サーバーを使用してMicrosoft Exchangeの脆弱性を悪用し、同社のメールサーバーに侵入し、バックドアプログラムを仕掛けて電子メールデータを継続的に盗み出していたことが判明した。同時に、攻撃者はメールサーバーを足がかりとして、同社および子会社の30以上のデバイスを攻撃・制御し、同社の大量の企業秘密情報を盗み出していた。

 

報告書

・2025.01.17 美网络攻击我国某先进材料设计研究院事件调查报告

美网络攻击我国某先进材料设计研究院事件调查报告 米国による中国先進材料設計・研究機関へのサイバー攻撃事件に関する調査報告
2024年12月18日,国家互联网应急中心 CNCERT发布公告 ([web]
),发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某先进材料设计研究院的网络攻击详情,为全球相关国家,单位有效发现和防范美网络攻击行为提供借鉴。
2024年12月18日、中国国家コンピュータネットワーク緊急対応技術チーム/調整センター(CNCERT)は、発表([web] )によると、中国政府による米国大手テクノロジー企業へのサイバー攻撃2件が処理されたことが判明した。本報告では、中国先進材料設計研究院に対するサイバー攻撃の詳細を公表し、世界各国の関連国および関連部門が米国のサイバー攻撃を効果的に検知・防止するための参考情報を提供する。
一、网络攻击流程 I. サイバー攻撃のプロセス
(一)利用漏洞进行攻击入侵 (1) 脆弱性を利用した攻撃
2024年8月19日,攻击者利用该单位电子文件系统注入漏洞入侵该系统,并窃取了该系统管理员账号/密码信息。2024年8月21日,攻击者利用窃取的管理员账号/密码登录被攻击系统的管理后台。 2024年8月19日、攻撃者は当該機関の電子文書システムの脆弱性を利用してシステムに侵入し、システムの管理者アカウント/パスワード情報を盗んだ。2024年8月21日、攻撃者は盗んだ管理者アカウント/パスワードを利用して、攻撃対象システムの管理バックグラウンドにログインした。
(二)软件升级管理服务器被植入后门和木马程序 (2) ソフトウェアアップグレード管理サーバーにバックドアとトロイの木馬が仕掛けられた
2024年8月21日12时,攻击者在该电子文件系统中部署了后门程序和接收被窃数据的定制化木马程序。为逃避检测,这些恶意程序仅存在于内存中,不在硬盘上存储。木马程序用于接收从涉事单位被控个人计算机上窃取的敏感文件,访问路径为/sxx/xxxx?nag=syn_user_policy。后门程序用于将窃取的敏感文件聚合后传输到镜外,访问路径是/xxx/xxxStats. 2024年8月21日12時、攻撃者は電子文書システムに盗難データを受信するバックドアプログラムとカスタマイズされたトロイの木馬プログラムを展開した。 検知を回避するため、これらの悪意のあるプログラムはメモリ内にのみ存在し、ハードディスクには保存されていない。 トロイの木馬は、関係部門の被疑者のパソコンから盗まれた機密ファイルを受信するために使用され、アクセスパスは/sxx/xxxx?nag=syn_user_policyであった。バックドアは、盗まれた機密ファイルをミラーの外に集約して送信するために使用され、アクセスパスは/xxx/xxxStatsであった。
(三)大范图个人主机电脑被植入木马 (3)トロイの木馬は、大ファンのパソコンに埋め込まれた
2024年11月6日、2024年11月8日和2024年11月16日,攻击者利用电子文档服务器的某软件升级功能将特种木马程序植入到该单位276 台主机中。木马程序的主要功能一是扫描被植入主机的敏感文件进行窃取。二是窃取受攻击者的登录账密等其他个人信息。木马程序即用即删。
2024年11月6日、11月8日、11月16日、攻撃者は電子文書サーバーのソフトウェアアップグレード機能を利用して、単位内の276台のホストコンピューターに特殊なトロイの木馬プログラムを植え付けた。トロイの木馬プログラムの主な機能は、植え付けられたホストコンピューター上の機密ファイルをスキャンして盗むことである。もう一つは、攻撃対象者のログインアカウントやパスワードなどのその他の個人情報を盗むことである。トロイの木馬プログラムは使用後すぐに削除される。
二、窃取大量商业秘密信息 II. 企業秘密を大量に窃取
(一)全盘扫描受害单位主机 (1) 被害者のホストをフルスキャン
攻击者多次用中国境内 IP 跳板登录到软件升级管理服务器,并利用该服务器入侵受害单位内网主机,并对该单位内网主机硬盘反复进行全盘扫描,发现潜在攻击目标,掌握该单位工作内容。 攻撃者は、中国国内のIPジャンプ台を繰り返し利用してソフトウェアアップグレード管理サーバーにログインし、このサーバーを利用して被害者の内部ネットワークホストに侵入し、被害者の内部ネットワークホストのハードディスクを繰り返しフルスキャンし、潜在的な攻撃対象を発見し、当該部門の業務内容を把握した。
(二)日的明确地针对性窃取 (2) 特定の日に明確に窃取
2024年11月6日至11月16日,攻击者利用3个不同的跳板 IP 三次入侵该软件升级管理服务器,向个人主机植入木马,这些木马已内置与受害单位工作内容高度相关的特定关键词,搜索到包含特定关键词的文件后即将相应文件窃取并传输至境外。这三次窃密活动使用的关键词均不相同,显示出攻击者每次攻击前均作了精心准备,具有很强的针对性。三次窃密行为共窃取重要商业信息、知识产权文件共4.98GB。 2024年11月6日から11月16日にかけて、攻撃者は3つの異なるジャンプオフポイントIPを使用してソフトウェアアップグレード管理サーバーを3回攻撃し、個人用ホストにトロイの木馬を埋め込んだ。これらのトロイの木馬には、すでに被害者部門の業務内容と極めて関連性の高い特定のキーワードが組み込まれていた。特定のキーワードを含むファイルを検索した後、対応するファイルが盗まれ、海外に送信された。 これら3回の盗難で使用されたキーワードはすべて異なっており、攻撃者は各攻撃の前に周到な準備を行い、標的を絞っていたことがわかる。3回の機密盗難により、合計4.98GBの重要な商業情報および知的財産文書が盗まれた。
三、攻击行为特点 III.攻撃の特徴
(一)攻击时间 (1)攻撃時間
分析发现,此次攻击时间主要栗中在北京时间 22时至次日8时,相对于美国东部时间为白天时间10时至20时,攻击时间主要分布在美国时间的星期一至星期五,在美国主要节假日未出现攻击行为。 分析によると、攻撃時間は主に北京時間22:00から翌日8:00の間であり、これは米国東部時間では10:00から20:00までの昼間である。攻撃時間は主に米国時間の月曜日から金曜日までであり、米国の大型連休には攻撃は発生していない。
(二)攻毒資源 (2) 攻撃リソース
攻击者使用的5个跳板IP 完全不童复,位于德国和罗马尼亚等地,反映出其高度的反溯源意识和丰富的攻击资源储各。 攻撃者が使用した5つのジャンプオフIPは完全に異なり、ドイツ、ルーマニアなどにあることから、追跡防止に対する高い意識と豊富な攻撃リソースの蓄積がうかがえる。
(三)攻击式器 (3) 攻撃ツール
一是善于利用开源或通用工具伪装避溯源,此次在涉事单位服务器中发现的后门程序为开源通用后门工具。攻击者为了避免被溯源,大量使用开源或通用攻击工具。 第一に、オープンソースや汎用ツールを駆使して、偽装や追跡回避を得意としている。今回事件に関与した部門のサーバーに発見されたバックドアプログラムは、オープンソースの汎用バックドアツールである。攻撃者は、追跡を避けるために、大量のオープンソースや汎用攻撃ツールを使用している。
二是重要后门和木马程序仅在内存中运行,不在硬盘中存储,大大提升了其攻击行为被我分析发现的难度。 第二に、重要なバックドアやトロイの木馬プログラムはメモリ上でしか実行されず、ハードディスクには保存されないため、攻撃の分析や発見の難易度が大幅に高まる。
(四)攻击手法 (4) 攻撃方法
攻击者攻击该单位电子文件系统服务器后,篡改了该系统的客户端分发程序,通过软件客户端升级功能,向276台个人主机投递木马程序,快速、精准攻击重要用户,大肆进行信息搜集和窃取。以上攻击手法充分显示出该攻击组织的强大攻击能力。 攻撃者は、当該単位の電子ファイルシステムサーバーを攻撃した後、当該システムのクライアント配布プログラムを改ざんし、ソフトウェアクライアントのアップグレード機能を利用して、276台の個人用ホストにトロイの木馬を送り込み、重要なユーザーを迅速かつ正確に攻撃し、大規模な情報収集と窃取を行った。以上の攻撃方法は、攻撃組織の強力な攻撃能力を十分に示している。
四、部分跳板IP列表 IV. 踏み台IPアドレス(一部)一覧

20250121-54033

 

 

・2025.01.17 美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告

美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告 米国サイバー攻撃 中国のスマートエネルギーおよびデジタル情報分野における大手ハイテク企業への攻撃に関する調査報告書
2024年12月18日,国家互联网应急中心 CNCERT发布公告 ([web] ),发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某智慧能源和数字信息大型高科技企业的网络攻击详情,为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。 2024年12月18日、中国国家コンピュータネットワーク緊急対応技術チーム/調整センター(CNCERT)は、発表([web] )によると、中国による米国大手テクノロジー企業へのサイバー攻撃2件が処理されたことが判明した。この報告書では、スマートエネルギーおよびデジタル情報分野における中国大手ハイテク企業へのサイバー攻撃の詳細を公表し、世界各国の関連国および関連部門が米国のサイバー攻撃を効果的に検知・防止するための参考情報を提供する。
一、网络攻击流程 I. サイバー攻撃のプロセス
(一)利用邮件服务器漏洞进行入侵 (1) メールサーバーの脆弱性を利用し、侵入した
公司郎件服券使用微Exchange 件統。攻市者利用2个微软 Exchange 洞选行攻击,首先利用某任意用户伪造漏洞针对特定账户进行攻击,然后利用某反序列化漏洞再次进行攻击,达到执行任意代码的目标。 当該企業の文書管理システムはMicrosoft Exchangeを使用している。攻撃者は2つのMicrosoft Exchangeの脆弱性を利用して攻撃を行った。まず、ある任意のユーザー偽装の脆弱性を利用して特定のアカウントを攻撃し、その後、あるアンチシリアライゼーションの脆弱性を利用して再度攻撃を行い、任意のコードを実行するという目的を達成した。
(二)在邮件服务器植入高度隐蔽的内存木马 (2) 高度に隠蔽されたメモリ型トロイの木馬がメールサーバーに埋め込まれた
为避免被发现,攻击者在邮件服务器中植入了2个攻击武器,仅在内存中运行,不在硬盘存储。其利用了虚拟化技术,虛拟的访问路径为fowa/auth/xxx/xx.aspx 和 lowalauth/xxx/yy.aspx,攻武器主要功能包括敏感宿息窃取、命令执行以及内网穿透等。内网穿透程序通过混淆来逃避安全软件检测,将攻击者流量转发给其他目标设备,达到攻击内网其他设备的目的。

検知を回避するために、攻撃者はメールサーバーに2つの攻撃用武器を仕込んだ。これらはメモリ上でのみ実行され、ハードディスクには保存されない。 仮想化技術を使用しており、仮想アクセスパスはfowa/auth/xxx/xx.aspxおよびlowalauth/xxx/yy.aspxである。攻撃用武器の主な機能には、機密データ盗難、コマンド実行、イントラネット侵入などがある。イントラネット侵入プログラムは、難読化によりセキュリティソフトウェアによる検出を回避し、攻撃者のトラフィックを他の標的デバイスに転送し、イントラネット上の他のデバイスを攻撃する。
(三)对内网30余台重要设备发起攻击 (3) 内部ネットワーク上の30以上の重要デバイスに対する攻撃
攻击者以邮件服务器为跳板,利用内网扫描和渗透手段,在内网中建立隐蔽的加密传输隧道,通过 SSH.SMB等方式登录控制该公司的30余台重要设备并窃取数据。包括个人计算机、服务器和网络设备等;被控服务器包括,邮件服务器、办公系统服务器、代码管理服务器、测试服务器、开发管理服务器和文件管理服务器等。为实现持久控制,攻击者在相关服务器以及网络管理员计算机中植入了能够建立 websocket+SSH 隧適的攻击窃密武器,实现了对攻击者指的隠蔽義友和数取。避免被岌現,咳攻法 密程序装成微信相程序 WeChatxxxxxxxx.exe. 攻法者坯在受害服多器中植入了2个利用PIPE 管道迸行程同通信的模決化恶意程序,实现了通信管道的搭建。 攻撃者はメールサーバーを足がかりとし、内部ネットワークのスキャンと侵入方法を使用して内部ネットワーク上に隠された暗号化通信トンネルを確立し、SSH.SMBなどの方法で30以上の重要デバイスにログインしてデータを窃取した。 これには、パソコン、サーバー、ネットワーク機器などが含まれる。攻撃を受けた疑いのあるサーバーには、メールサーバー、オフィスシステムサーバー、コード管理サーバー、テストサーバー、開発管理サーバー、ファイル管理サーバーなどが含まれる。持続的な制御を実現するために、攻撃者は、関連サーバーおよびネットワーク管理者のコンピュータにウェブソケット+SSHトンネルを確立できる攻撃およびスパイ用の武器を仕込み、攻撃者の意図する隠蔽とデータ収集を実現した。 発見を回避するために、攻撃者は悪意のあるプログラムを「WeChatxxxxxxxx.exe」というWeChatアプレットに偽装した。その後、攻撃者は、PIPEプロトコルを使用して被害者のサーバーで同時通信用のパイプを確立する2つのモジュール型悪意のあるプログラムを仕込み、通信チャネルを確立した。
二、窃取大量商业秘密信息 II. 企業秘密情報の大量窃取
(一)窃取大量敏感邮件数据 (1) 機密性の高い大量のメールデータの窃取
攻击者利用邮件服务器管理员账号执行了邮件导出操作,窃密目标主要是该公司高层管理人员以及童要部门人员。攻击者执行导出命令时设置了导出邮件的时间区间,有些账号邮件全部导出,邮件很多的账号按指定时间区间导出,以减少窃密数据传输量,降低被发现风险。 攻撃者は、メールサーバの管理者アカウントを利用して、同社の経営層や主要部門の担当者を対象に、メールのエクスポート操作を行った。エクスポートコマンドを実行する際、攻撃者はメールのエクスポート時間間隔を設定した。一部のアカウントはすべてエクスポートされ、メール件数の多いアカウントは、送信データ量と発覚リスクを低減するために、時間間隔に従ってエクスポートされた。
(二)窃取核心网络设备账号及配置信息 (2) 基幹ネットワーク機器のアカウントおよび設定情報の窃取
攻击者通过攻击控制该公司3名网络管理员计算机,频繁窃取该公司核心网络设备账号及配暨信息。例如,2023年5月2日、攻法者以手徳国的代理服器(95.179.XX.XX)为跳板,入了该公司邮件服务累后,以邮件服务器为跳板,攻击了该公司网络管理员计算机,并窃取了“网络核心设备配置表”、“核心网络设备配置备份及巡检”、“网络拓扑”、“机房交换机(核心+汇聚〕”、“运营商IP 地址统计”、“关于采购互联网控制网关的请示”等敏悠文件。 攻撃者は、同社のネットワーク管理者の3台のコンピュータを攻撃することで、同社のコアネットワーク機器のアカウントと設定情報を頻繁に盗んでいた。例えば、2023年5月2日、攻撃者はドイツのプロキシサーバー(95.179.XX.XX)を踏み台にして同社のメールサービスに侵入し、その後、メールサーバーを踏み台にして同社のネットワーク管理者のコンピュータを攻撃し コンピュータに侵入し、「ネットワークコア機器構成表」、「コアネットワーク機器構成バックアップ・点検」、「ネットワークトポロジー」、「コンピュータ室スイッチ(コア+アグリゲーション)」、「キャリアIPアドレス統計」、「インターネットコントロールゲートウェイ購入依頼書」などの機密ファイルを盗んだ。
(三)窃取项目管理文件 (3) プロジェクト管理文書の窃取
攻击者通过对该公司的代码服务累、开发服务器等进行攻法,頻繁窃取公司相袋項目数担。例如。2023年7月26日、攻市者以的代理服器(65.21.XX.XX)为跳板,攻击控制该公司的邮件服务器后,又以此为跳板,频繁访问在该公司代码服务累中已植入的后门攻击武器,窃取数据达1.03GiB。为避免被发现,该后门程序伪装成开源项目“禅道”中的文件 “lip4XXXXXXXX.php”。 攻撃者は、頻繁に会社のコードサービスプラットフォームと開発サーバーを攻撃して、会社のプロジェクトデータを窃取していた。例えば、2023年7月26日、攻撃者はプロキシサーバー(65.21.XX.XX)を踏み台として、会社のメールサーバーを攻撃し、その後、踏み台として頻繁にアクセスしていた 会社のコードサービスに仕込まれたバックドア攻撃兵器に頻繁にアクセスし、1.03 GiBに達するデータを盗んだ。 バックドアプログラムは、検知を回避するために、オープンソースプロジェクト「ZenTao」の「lip4XXXXXXXX.php」というファイルを装っていた。
(四)清除攻击痕迹并进行反取证分析 (4) 攻撃の痕跡を消去し、フォレンジック対抗分析を行う
为避免被发现,攻击者每次攻击后,都会清除计算机日志中攻击痕班,并删除攻击窗密过程中产生的临时打包文件。攻击者还会查看系统审计日志、历史命令记录,SSH相关配置等,意图分析机器祓取证情况,对抗网络安全检测。 検知を回避するために、攻撃者は攻撃のたびに、コンピュータログから攻撃の痕跡を消去し、攻撃ウィンドウ中に生成された一時的なパッケージングファイルを削除していた。 また、攻撃者はシステム監査ログ、過去の命令記録、SSH関連の設定などを確認し、マシンを分析して証拠を捜し、ネットワークセキュリティの検出を回避しようとした。
三、攻击行为特点 III. 攻撃の特徴
(一)攻击时间 (1) 攻撃時間
分析发现,此次攻击活动主要条中在北京时间22时至次日8时,相对于美国东部时间为白天10时至20时,攻击时间主要分布在美国时间的星期一至星期五,在美国主要节假日未出现攻击行为。 分析によると、攻撃活動は主に北京時間22:00から翌日8:00までの間に集中しており、これは東部時間では10:00から20:00までの日中である。攻撃時間は主に米国時間の月曜日から金曜日にかけて分布しており、米国の主要な祝日には攻撃は検出されていない。
(二)攻击资源 (2) 攻撃リソース
2023年5月至2023年10月,攻击者发起了30余次网络攻击,攻击者使用的境外跳板 IP 基本不重复,反映出其高度的反溯源意识和丰富的攻击资源储备。 2023年5月から10月にかけて、攻撃者は30回以上のサイバー攻撃を仕掛けた。攻撃者の海外ジャンププラットフォームのIPは基本的に繰り返し使用されておらず、追跡防止に対する高い意識と豊富な攻撃リソースの蓄えを反映している。
(三)攻击武器 (3) 攻撃武器
攻击者植入的2个用于PIPE 管道进程通信的模化恶意程序位于 “c:liwindowslisystem32W” 下,使用了.net 框架,编译时间均被抹除,大小为数十KB,以TLS 加密为主。邮件服务器内存中植入的攻击武器主耍功能包括敏感信总窃取、命令执行以及内网穿透等。在相关服务器以及网络管理员计算机中植入的攻击窃密武器,使用https 协议,可以建立websocket+SSH 隧道,会回连攻击者控制的某域名。 攻撃者がPIPEパイプラインプロセス通信に埋め込んだ2つのモジュール型悪意あるプログラムは、「c:liwindowslisystem32W」に位置し、.netフレームワークを使用し、コンパイル時間は消去されている。サイズは数十KBで、主にTLS暗号化を使用している。 メールサーバーのメモリに埋め込まれた攻撃用武器の主な機能には、機密文書窃取、コマンド実行、イントラネット侵入などがある。関連サーバーおよびネットワーク管理者のコンピュータに埋め込まれた攻撃・スパイ用武器は、httpsプロトコルを使用し、websocket+SSHトンネルを確立し、攻撃者が管理するドメイン名に接続する。
四、部分跳板 IP列表 IV. 踏み台IPアドレス(一部)一覧

20250121-53926

 

ちなみに国。。。

荷兰 オランダ
罗马尼亚 ルーマニア
德国 ドイツ
芬兰 フィンランド
墨西哥 メキシコ

 

ドイツが多いですね...

 

 


こちらも参考に...

 

WeChat(テンセント)

微信公众平台(WeChat公式アカウント)

・2025.01.18 CNCERT:美网络攻击我国某智慧能源和数字信息大型高科技企业事件调查报告

(中国のインテリジェント・エネルギーおよびデジタル情報の大規模ハイテク企業に対する米国のサイバー攻撃に関する調査報告)

 

・2025.01.18 CNCERT:美网络攻击我国某先进材料设计研究院事件调查报告

(中国の先端材料設計研究所に対する米国のサイバー攻撃に関する調査報告)

 

・2025.01.18 AI大模型对CNCERT有关美国对我机构实施网络攻击两份调查报告的分析与评价

(米国のサイバー攻撃に関するCNCERTの2つの調査報告書に対するAIビッグモデルの分析と評価)

 

 

| | Comments (0)

2025.01.16

Five Eyes + ドイツ、オランダ、EU セキュア・バイ・デマンド: OT所有者・運用者がデジタル製品を選択する際の優先事項(2025.01.13)

こんにちは、丸山満彦です。

Five Eyes、ドイツ、オランダ、EUが共同で、OT所有者・運用者がデジタル製品を選択する際の優先事項についての文書を公表していますね...

文書がレターサイズで作成されていることから、米国が中心となって作成したのでしょうかね...

でウェブにはIC3から公表されているから、FBIが中心? 要約では、CISA and partnersなのでCISAか、、、

U.S. National Security Agency (NSA) 米国国家安全保障局(NSA)
U.S. Federal Bureau of Investigation (FBI)  米国連邦捜査局(FBI)
U.S. Environmental Protection Agency (EPA)  米国環境保護庁(EPA)
U.S. Transportation Security Administration (TSA)  米国運輸保安局(TSA)
Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)  オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASD-ACSC)
Canadian Centre for Cyber Security (CCCS)  カナダサイバーセキュリティセンター(CCCS) 
Directorate General for Communications Networks, Content and Technology (DG CONNECT), European Commission 欧州委員会 コミュニケーションネットワーク、コンテンツおよび技術総局(DG CONNECT)
Germany’s Federal Office for Information Security (BSI)  ドイツ連邦情報セキュリティ局(BSI)
Netherlands’ National Cyber Security Centre (NCSC-NL)  オランダ国家サイバーセキュリティセンター(NCSC-NL)
New Zealand’s National Cyber Security Centre (NCSC-NZ)  ニュージーランド国立サイバーセキュリティセンター(NCSC-NZ) 
United Kingdom’s National Cyber Security Centre (NCSC-UK)
英国国家サイバーセキュリティセンター(NCSC-UK)

 

 

U.S. IC3

・2025.01.13 [PDF

 

20250116-64605

 

目次...

Summary 要約
Table of Contents 目次
Introduction 序文
Considerations for OT Product Selection OT 製品選択の考慮事項
Configuration Management 構成管理
Logging in the Baseline Product 基本製品へのログ記録
Open Standards オープン標準
Ownership 所有権
Protection of Data データ保護
Secure by Default セキュア・バイ・デフォルト
Secure Communications セキュア通信
Secure Controls セキュア制御
Strong Authentication 強力な認証
Threat Modeling 脅威モデリング
Vulnerability Management 脆弱性管理
Upgrade and Patch Tooling アップグレードとパッチのツール
Resources リソース
Contact Information 連絡先情報
Disclaimer 免責事項
Acknowledgements 謝辞

 

 

 

| | Comments (0)

2024.12.28

米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ:住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

こんにちは、丸山満彦です。

NISTがIR 8498 スマートインバーターのサイバーセキュリティ:住宅および小規模商業用ソーラーエネルギーシステムのためのガイドラインを公表していますね...

トランプ大統領になり、太陽光発電の政策に変化はあるのでしょうが...

ゼロになるわけでもないでしょうし...

 

NIST - ITL

・2024.12.20 NIST IR 8498 Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems

 

NIST IR 8498 Cybersecurity for Smart Inverters: Guidelines for Residential and Light Commercial Solar Energy Systems NIST IR 8498 スマートインバーターのサイバーセキュリティ:住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン
Abstract 要約
This report provides practical cybersecurity guidance for small-scale solar inverter implementations that are typically used in homes and small businesses. These guidelines are informed by a review of known smart-inverter vulnerabilities documented in the National Vulnerability Database (NVD), a review of information about known smart-inverter cyber-attacks, and testing of five example smart inverters. The report also provides recommendations to smart-inverter manufacturers on the cybersecurity capabilities needed in their products to implement the seven guidelines. These recommendations build on the Internet of Things (IoT) cybersecurity capability baselines defined in NIST IR 8259A and IR 8259B by providing smart-inverter-specific information for some of the baseline cybersecurity capabilities. 本報告書は、一般家庭や小規模事業所で使用される小規模な太陽光発電インバータの実装に関する実用的なサイバーセキュリティの指針を提供する。これらのガイドラインは、米国脆弱性データベース(NVD)に記録されている既知のスマートインバータの脆弱性に関する情報のレビュー、既知のスマートインバータのサイバー攻撃に関する情報のレビュー、および5つのスマートインバータの例のテストに基づいて作成されている。また、本報告書は、7つのガイドラインを実装するために製品に必要とされるサイバーセキュリティ機能について、スマートインバータの製造事業者への推奨事項も提供している。これらの推奨事項は、NIST IR 8259AおよびIR 8259Bで定義されたIoTサイバーセキュリティ能力のベースラインを基に、ベースラインのサイバーセキュリティ能力の一部にスマートインバータ固有の情報を提供することで構築されている。

 

 

・[PDF]

20241225-10925

・[DOCX][PDF]仮訳

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Audience 1.1. 想定読者
1.2. Report Organization 1.2. 報告組織
2. Cybersecurity Guidelines for Owners and Installers 2. 所有者と設置者のためのサイバーセキュリティ・ガイドライン
2.1. Guideline #1: Change Default Passwords and Credentials 2.1. ガイドラインその1:デフォルトのパスワードと認証情報を変更する
2.2. Guideline #2: Use Role-Based Access Control (RBAC) 2.2. ガイドライン2:役割ベースのアクセス管理(RBAC)の使用
2.3. Guideline #3: Configure the Recording of Events in a Log 2.3. ガイドライン#3:ログにイベントを記録する設定
2.4. Guideline #4: Update Software Regularly 2.4. ガイドライン4:ソフトウェアの定期的なアップデート
2.5. Guideline #5: Back Up System Information  2.5. ガイドライン5:システム情報のバックアップ
2.6. Guideline #6: Disable Unused Features 2.6. ガイドラインその6:未使用の機能を無効にする
2.7. Guideline #7: Protect Communications Connections  2.7. ガイドライン7:通信の保護
3. Cybersecurity Recommendations for Smart-Inverter Manufacturers 3. スマートインバータ製造事業者に対するサイバーセキュリティの提言
3.1. Recommended Baseline Cybersecurity Capabilities 3.1. 推奨されるベースライン・サイバーセキュリティ能力
4. Conclusion 4. 結論
References 参考文献
Appendix A. Additional Resources 附属書 A. その他のリソース
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書 B. 記号、略語、頭字語のリスト
Appendix C. Residential and Light Commercial Solar Energy System Setup Cybersecurity Checklist 附属書 C. 住宅用および軽商用太陽エネルギーシステム設置サイバーセキュリティチェックリスト
Appendix D. Smart-Inverter Testing 附属書D. スマート・インバータの試験
D.1. Testing Results for Guideline #1: Change Default Passwords and Credentials D.1.ガイドライン#1: デフォルトパスワードと認証情報の変更に関するテスト結果
D.2. Testing Results for Guideline #2: Use Role-Based Access Control D.2.ガイドライン#2:役割ベースのアクセス管理の使用」のテスト結果
D.3. Testing Results for Guideline #3: Configure the Recording of Events in a Log D.3.ガイドライン#3: ログにイベントを記録する設定」のテスト結果
D.4. Testing Results for Guideline #4: Update Software Regularly D.4.ガイドライン#4: ソフトウェアの定期的なアップデート」のテスト結果
D.5. Testing Results for Guideline #5: Back Up System Information D.5.ガイドライン#5:システム情報のバックアップのテスト結果
D.6. Testing Results for Guideline #6: Disable Unused Features D.6.ガイドライン#6: 未使用の機能を無効にする」のテスト結果
D.7. Testing Results for Guideline #7: Protect Communications Connections D.7.ガイドライン#7: 通信の保護」のテスト結果
Appendix E. Mapping to General Cybersecurity Guidance  附属書 E. 一般的なサイバーセキュリティガイダンスへのマッピング
E.1. General Cybersecurity Guidance That Informs the Guidelines E.1.ガイドラインに影響を与える一般的なサイバーセキュリティガイダンス
E.1.1. NIST Cybersecurity Framework E.1.1.NIST サイバーセキュリティ枠組み
E.1.2. Center for Internet Security Critical Security Controls (CSC) Version 8 E.1.2. インターネットセキュリティセンター クリティカルセキュリティコントロール(CSC)バージョン8
E.1.3. NIST SP 800-53r5 E.1.3.NIST SP 800-53r5
E.1.4. NIST SP 800-213A E.1.4.NIST SP 800-213A
E.1.5. MITRE ATT&CK Framework E.1.5.MITRE ATT&CK フレームワーク
E.1.6. ISA/IEC 62443-2-1 E.1.6.ISA/IEEC 62443-2-1
E.2. Guidelines Relationship to General Cybersecurity Guidance  E.2.ガイドラインと一般的なサイバーセキュリティガイダンスとの関係
Appendix F. Smart Inverter Vulnerability Survey 附属書F. スマートインバータの脆弱性調査

 

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
This report provides practical cybersecurity guidance for the smart inverters used in small-scale residential and light-commercial solar energy systems connected to the electric distribution network and not directly owned or operated by a utility. Smart inverters manage the flow of energy to and from homes or small businesses and the electrical grid. By sensing conditions on the grid and communicating with the electric utility, these devices contribute to power availability, safety, and grid stability.  本報告書は、配電網に接続され、電力会社が直接所有または運営していない小規模な住宅用および軽商用太陽光発電システムで使用されるスマートインバータのための実践的なサイバーセキュリティガイダンスを提供する。スマート・インバータは、家庭や小規模事業所と電力網との間のエネルギーの流れを管理する。送電網の状況を感知し、電力会社とコミュニケーションすることで、これらのデバイスは電力の可用性、安全性、送電網の安定性に貢献する。 
Smart inverters often use the internet to connect with cloud-based management capabilities. This connectivity exposes smart inverters to cyber threats and increases the need for effective device cybersecurity that ensures continued safe and reliable operation.  スマートインバータは多くの場合、インターネットを使用してクラウドベースの管理機能と接続する。この接続性により、スマート・インバータはサイバー脅威にさらされ、安全で信頼性の高い運用を継続するための効果的なデバイス・サイバーセキュリティの必要性が高まる。 
Section 2 of this report provides seven cybersecurity guidelines for homeowners, solar energy system installers, and solar energy system maintainers. These cybersecurity guidelines describe actions that can help ensure that a residential or small business solar energy system is installed, configured, and operated safely and securely.  本報告書のセクション2では、住宅所有者、太陽エネルギーシステム設置者、太陽エネルギーシステム保守業者向けに、7つのサイバーセキュリティガイドラインを提供している。これらのサイバーセキュリティ・ガイドラインは、住宅用または小規模事業用の太陽エネルギー・システムが安全かつ確実に設置、設定、運用されるようにするための行動を記述している。 
Section 3 of this report provides ten cybersecurity capability recommendations for smartinverter manufacturers. These cybersecurity capabilities are derived from the Internet of Things cybersecurity capability core baselines presented in NIST Interagency Report (IR) 8259A and 8259B and enable implementation of the Sec. 2 guidelines.  本報告書のセクション3では、スマートインバータの製造事業者向けに10のサイバーセキュリティ能力を推奨する。これらのサイバーセキュリティ能力は、NIST Interagency Report(IR)8259Aおよび8259Bに示されたIoTサイバーセキュリティ能力コア・ベースラインから導き出されたものであり、セクション2ガイドラインの実施を可能にするものである。 
A collection of appendices provides information that supports the development and use of these guidelines and recommendations.  附属書には、これらのガイドラインと推奨事項の作成と使用をサポートする情報が掲載されている。 
Appendix A provides a bibliography of publications that were consulted in developing the guidelines and recommendations.  附属書 Aは、ガイドラインと勧告を作成する際に参照した出版物の書誌を提供する。 
Appendix B provides a list of abbreviations and acronyms.  附属書 Bは、略語と頭字語のリストである。 
Appendix C provides a sample Provisioning Checklist that system installers can tailor and use in verifying that they have completed the actions defined in the Sec. 2 guidelines.  附属書 C は、システム設置者がセクション2のガイドラインで定義された措置を完了したことを検証する際に、独自に作成し使用することができるプロビジョニング・チェックリストのサンプルを提供する。 
Appendix D records the results of testing five installed smart inverters to determine their ability to implement the Sec. 2 guidelines.  附属書 Dは、設置された5台のスマートインバータをテストし、セクション2ガイドラインを実施する能力を判断した結果を記録している。 
Appendix E maps the Sec. 2 guidelines to six general cybersecurity guidance sources.  附属書 E は、セクション2のガイドラインを 6 つの一般的なサイバーセキュリティガイダンスソースにマッピングしている。 
Appendix F presents information about known smart-inverter cybersecurity vulnerabilities documented in the National Vulnerability Database (NVD).  附属書 Fは、国家脆弱性データベース(NVD)に記録された既知のスマートインバータのサイバーセキュリティ脆弱性に関する情報を示す。 

 

 

 


 

1_20241228023801

2.住宅用または軽商用ソーラー・エネルギー・システムにおけるスマート・インバータの役割

 

 

1_20241228023901

10.スマートインバータの機能要素

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.05.19 米国 NIST IR 8498(初公開ドラフト) スマートインバータのサイバーセキュリティ: 住宅用および商用簡易太陽光発電システムのガイドライン (2024.05.10)

 

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

 

| | Comments (0)

2024.12.22

英国 意見募集 著作権とAI (2024.12.17)

こんにちは、丸山満彦です。

英国の知的財産事務局、科学・革新技術省、文化・メディア・スポーツ省が「著作権とAI」という文書を公開し、意見募集をしていますね...

著作権者の利益を保護しながら、著作物をAIを利用して活用し、より良い社会をつくるためにはどうすればよいのか?新たな法律が必要か、どの国も頭を使う必要がある分野なのでしょうかね...

 

● Gov.UK

プレス...

・2024.12.17 UK consults on proposals to give creative industries and AI developers clarity over copyright laws

UK consults on proposals to give creative industries and AI developers clarity over copyright laws 英国、クリエイティブ産業とAI開発者に著作権法の明確性をもたらす提案について協議
This consultation seeks views on how the government can ensure the UK’s legal framework for AI and copyright supports the UK creative industries and AI sector together. この協議では、AIと著作権に関する英国の法的枠組みが英国のクリエイティブ産業とAIセクターを共に支援する方法について、政府の見解を求めている。
・new proposals seek to bring legal certainty to creative and AI sectors over how copyright protected materials are used in model training, supporting innovation and boosting the growth of both sectors crucial to our Plan for Change  ・新たな提案は、モデルのトレーニングにおける著作権で保護された素材の利用方法について、クリエイティブ産業とAI産業の両方に法的確実性をもたらすことを目指している。イノベーションを支援し、変革計画にとって重要な両産業の成長を促進する。
・a balanced package of proposals aims to give creators greater control over how their material is used by AI developers, and enhance their ability to be paid for its use ・バランスの取れた提案パッケージは、AI開発者による素材の利用方法をクリエイターがより制御できるようにし、その利用に対して支払われる能力を向上させることを目指している。
・the proposals will also seek greater transparency from AI firms over the data used to train AI models alongside how AI-generated content is labelled ・提案はまた、AIモデルのトレーニングに使用されるデータの透明性をAI企業に高めることを求め、AI生成コンテンツのラベル付け方法についても求める。
・AI developers would have wide access to material to train world-leading models in the UK, and legal certainty would boost AI adoption across the economy ・英国のAI開発者は、世界トップクラスのモデルを訓練するための素材に広くアクセスでき、法的確実性は経済全体におけるAIの採用を後押しする
The UK has today launched a consultation on plans to give certainty to the creative industries and AI developers on how copyright material can be used to train AI models. Supporting the UK Government’s Plan for Change, the move will help drive growth across both sectors by ensuring protection and payment for rights holders and supporting AI developers to innovate responsibly.  英国は本日、著作権素材がAIモデルの訓練にどのように使用できるかについて、クリエイティブ産業とAI開発者に確実性を提供するための計画に関する協議を開始した。英国政府の変革計画を支援するこの動きは、権利保有者の防御と支払い保証を確保し、AI開発者が責任を持って革新できるよう支援することで、両セクターの成長を促進する。
Both sectors are central to the Government’s Industrial Strategy, and these proposals aim to forge a new path forward which will allow both to flourish and drive growth. Key areas of the consultation include boosting trust and transparency between the sectors, so right holders have a better understanding of how AI developers are using their material and how it has been obtained.  両セクターは政府の産業戦略の中心であり、これらの提案は両セクターが繁栄し、成長を促進する新たな道筋を築くことを目的としている。協議の主な分野には、両セクター間の信頼と透明性を高めることが含まれ、これにより権利保有者はAI開発者が自身の素材をどのように使用しているか、またその素材がどのように入手されたかについてより深く理解することができる。
The consultation also explores how creators can license and be remunerated for the use of their material, and how wide access to high-quality data for AI developers can be strengthened to enable innovation across the UK AI sector. また、この協議では、クリエイターが自身の素材の使用に対してライセンスを付与し、報酬を得る方法、および英国のAIセクター全体にわたるイノベーションを可能にするために、AI開発者による高品質なデータへのアクセスをどのように強化できるかについても検討されている。
These proposals will help unlock the full potential of the AI sector and creative industries to drive innovation, investment, and prosperity across the country, driving forward the UK government’s mission to deliver the highest sustained growth in the G7 under its Plan for Change.  これらの提案は、AIセクターとクリエイティブ産業の潜在能力を最大限に引き出し、イノベーション、投資、そして英国全体の繁栄を促進するのに役立つ。これにより、英国政府の使命である「変革のための計画」の下、G7諸国の中で最も持続的な成長を実現するという目標の達成が前進する。
Currently, uncertainty about how copyright law applies to AI is holding back both sectors from reaching their full potential. It can make it difficult for creators to control or seek payment for the use of their work, and creates legal risks for AI firms, stifling AI investment, innovation, and adoption. After previous attempts to agree a voluntary AI copyright code of practice proved unsuccessful, this government is determined to take proactive steps with our creative and AI sectors to deliver a workable solution. 現在、著作権法がAIにどのように適用されるかについての不確実性が、両分野が潜在能力を最大限に発揮するのを妨げている。これにより、クリエイターが自身の作品の利用を管理したり、その対価を求めることが難しくなる可能性があり、AI企業にとっては法的リスクが生じ、AIへの投資、イノベーション、導入が阻害される。AIに関する自主的な著作権規範の合意に向けたこれまでの試みが失敗に終わった後、現政府は、クリエイティブ産業およびAI分野において、実行可能な解決策を実現するための積極的な措置を講じる決意である。
To address this, the consultation proposes introducing an exception to copyright law for AI training for commercial purposes while allowing rights holders to reserve their rights, so they can control the use of their content. Together with transparency requirements, this would give them more certainty and control over how their content is used and support them to strike licensing deals. This would also give AI developers greater certainty about what material they can and cannot use and ensure wide access to material in the UK. これに対応するため、この協議では、権利保有者が権利を留保することを認めつつ、商業目的のAIトレーニングに著作権法の例外規定を導入することを提案している。これにより、透明性の要件とともに、権利保有者は、自らのコンテンツの使用をより確実に管理できるようになり、ライセンス契約の締結を支援することになる。また、これにより、AI開発者は、使用できる素材とできない素材についてより確かな見通しを得ることができ、英国の素材への幅広いアクセスを確保できる。
Before these measures could come into effect, further work with both sectors would be needed to ensure any standards and requirements for rights reservation and transparency are effective, accessible, and widely adopted. This would allow for smooth application by AI developers and right holders alike, ensuring rights holders of all sizes can reserve their rights and that any future regime delivers our objectives. These measures would be fundamental to the effectiveness of any exception, and we would not introduce an exception without them.   これらの措置が施行される前に、権利の留保と透明性に関する標準と要件が効果的で、アクセス可能で、広く採用されることを確実にするために、両業界とのさらなる作業が必要となる。これにより、AI開発者と権利保有者の双方にとって円滑な申請が可能となり、あらゆる規模の権利保有者が権利を留保でき、将来の体制が我々の目的を達成できることが確実になる。これらの措置は、あらゆる例外措置の有効性の根幹をなすものであり、それらなしに例外を導入することはない。 
The consultation also proposes new requirements for AI model developers to be more transparent about their model training datasets and how they are obtained. For example, AI developers could be required to provide more information about what content they have used to train their models. This would enable rights holders to understand when and how their content has been used in training AI.   また、この協議では、AIモデル開発者が、モデルのトレーニングデータセットとその入手方法について、より透明性を高めるための新たな要件を提案している。例えば、AI開発者は、モデルのトレーニングに使用したコンテンツに関するより詳細な情報を提供することが求められる可能性がある。これにより、権利保有者は、AIのトレーニングに自社のコンテンツがいつ、どのように使用されたかを把握できるようになる。 
Secretary of State for Science, Innovation and Technology, Peter Kyle, said:    科学・イノベーション・技術担当大臣のピーター・カイル氏は次のように述べた。
The UK has an incredibly rich and diverse cultural sector and a ground breaking tech sector which is pushing the boundaries of AI. It’s clear that our current AI and copyright framework does not support either our creative industries or our AI sectors to compete on the global stage.  英国には非常に豊かで多様な文化部門があり、AIの限界を押し広げる画期的な技術部門もある。 現在のAIと著作権の枠組みでは、クリエイティブ産業もAI部門もグローバルな舞台で競争していくことをサポートできないことは明らかだ。
That is why we are setting out a balanced package of proposals to address uncertainty about how copyright law applies to AI so we can drive continued growth in the AI sector and creative industries, which will help deliver on our mission of the highest sustained growth in the G7 as part of our Plan for Change.   だからこそ、AIに著作権法がどのように適用されるかについての不確実性に対処するためのバランスの取れた提案パッケージを提示している。これにより、AI分野とクリエイティブ産業の継続的な成長を促進し、変革のための計画の一環としてG7で最高の持続的成長を実現するという我々の使命を果たすことができる。
This is all about partnership: balancing strong protections for creators while removing barriers to AI innovation; and working together across government and industry sectors to deliver this.  これはすべてパートナーシップに関するものである。すなわち、クリエイターを強力に防御しながらAIのイノベーションの障壁を取り除くこと、そしてこれを実現するために政府と産業分野を越えて協力することである。
Secretary of State for Culture, Media and Sport, Lisa Nandy, said:    文化・メディア・スポーツ省のリサ・ナンディ大臣は次のように述べた。
This government firmly believes that our musicians, writers, artists and other creatives should have the ability to know and control how their content is used by AI firms and be able to seek licensing deals and fair payment. Achieving this, and ensuring legal certainty, will help our creative and AI sectors grow and innovate together in partnership. 「この政府は、音楽家、作家、アーティスト、その他のクリエイターが、AI企業によるコンテンツの利用状況を把握し、管理する能力を持ち、ライセンス契約や公正な報酬を求めることができるべきだと強く信じている。これを実現し、法的確実性を確保することは、パートナーシップのもとでクリエイティブ産業とAI産業が共に成長し、革新していくことを支援する。
We stand steadfast behind our world-class creative and media industries which add so much to our cultural and economic life. We will work with them and the AI sector to develop this clearer copyright system for the digital age and ensure that any system is workable and easy-to-use for businesses of all sizes. 我々は、我々の文化的生活や経済生活に多大な貢献をしている世界トップクラスのクリエイティブ産業およびメディア産業を断固として支援する。我々は、デジタル時代に向けたより明確な著作権システムを開発するために、クリエイティブ産業およびメディア産業とAI産業と協力し、あらゆる規模の企業にとって、いかなるシステムも実用可能で使いやすいものとなるよう努める。
Licensing is essential as a means for creators to secure appropriate payment for their work, and these proposals lay the groundwork for rights holders to strike licensing deals with AI developers when rights have been reserved. For example, a photographer who uploads their work onto their internet blog could reserve their rights, with confidence that their wishes will be respected and generative AI developers will not use their images unless a licence has been agreed. This would support the creative and media industries’ control, and their ability to generate revenue from the use of their material and provide AI developers with certainty about the material they can legally access.  ライセンスは、クリエイターが自身の作品に対して適切な報酬を確保するための手段として不可欠であり、これらの提案は、権利が留保されている場合に権利保有者がAI開発者とライセンス契約を結ぶための基盤を築くものである。例えば、自身の作品を自身のインターネットブログにアップロードする写真家は、自身の希望が尊重され、ライセンス契約が締結されない限り生成的AI開発者が自身の画像を使用しないことを確信して、自身の権利を留保することができる。これにより、クリエイティブおよびメディア業界の管理がサポートされ、彼らの素材の使用から収益を得る能力が強化されるとともに、AI開発者に対して、合法的にアクセスできる素材について確実な情報を提供できるようになる。
This combined approach is designed to strengthen trust between the two sectors, which are increasingly interlinked, clearing the way for developers to confidently build and deploy the next generation of AI applications in the UK, in a way that ensures human creators and rights holders have a shared stake in AI’s transformative potential. この複合的なアプローチは、相互に結びつきを強めている2つの業界間の信頼を強化することを目的としている。これにより、英国において開発者が次世代のAIアプリケーションを自信を持って構築し展開することが可能となり、人間であるクリエイターや権利保有者がAIの変革的潜在力から利益を得られる道が開かれる。
The government welcomes licensing deals that have already been agreed, including by major firms in the music and news publishing sectors. But it is clear that many more creatives and right holders have not been able to do so under the current copyright regime. The creative industries, and businesses of all sizes, need more help to control their content and strike licensing deals. The government is determined to make it easier for them to do this. 政府は、音楽やニュース出版業界の大手企業を含む、すでに合意されたライセンス契約を歓迎している。しかし、現在の著作権体制では、多くのクリエイターや権利保有者がこれを行うことができていないことは明らかである。クリエイティブ産業やあらゆる規模の企業は、コンテンツを管理し、ライセンス契約を結ぶために、より多くの支援を必要としている。政府は、彼らがこれをより容易に行えるようにすることを決意している。
The consultation also recognises issues related to the protection of personality rights in the context of digital replicas, such as deepfake imitations of individuals, and will seek views on whether the current legal frameworks are sufficiently robust to tackle the issue.    また、この協議では、ディープフェイクによる個人模倣など、デジタル複製における人格権の防御に関する問題も認識しており、この問題に対処する上で、現在の法的枠組みが十分に強固であるかどうかについて意見を求める予定である。 
As AI continues to develop at a rapid pace, the UK’s response must evolve alongside it. The government welcomes all stakeholder views on these proposals and is committed to making progress by collaborating with creators, rights holders, and AI developers to co-design the right copyright and AI framework for the UK, which will allow both sectors to thrive.     AIが急速に発展を続ける中、英国の対応もそれと歩調を合わせて進化していかなければならない。政府は、これらの提案に関するあらゆる利害関係者の意見を歓迎し、クリエイター、権利者、AI開発者と協力し、両分野がともに繁栄できるような英国にふさわしい著作権とAIの枠組みを共同で設計することで、前進していくことを約束している。
Notes to editors:  編集後記:
the consultation will run for 10 weeks, closing on 25 February, 2025 この協議は10週間行われ、2025年2月25日に終了する。

 

意見募集...

Copyright and Artificial Intelligence

Copyright and Artificial Intelligence 著作権と人工知能
Summary 要約
This consultation seeks views on how the government can ensure the UK’s legal framework for AI and copyright supports the UK creative industries and AI sector together. 本協議では、英国のAIと著作権に関する法的枠組みが英国のクリエイティブ産業とAIセクターを共に支援する方法について、政府の見解を求めている。
This consultation closes at 本協議の締め切りは
11:59pm on 25 February 2025 2025年2月25日午後11時59分
Consultation description 協議内容
Two major strengths of the UK economy are its creative industries and AI sector. Both are essential to drive economic growth and deliver the government’s Plan for Change. 英国経済の2つの大きな強みは、クリエイティブ産業とAIセクターである。両者は経済成長を促進し、政府の変革計画を実現するために不可欠である。
The government is determined to build on the strengths of the UK AI sector, and will set out an ambitious roadmap leveraging AI to grow the economy and improve public services through the AI Opportunities Action Plan. 政府は英国のAIセクターの強みを活かすことを決意しており、AIを活用して経済成長を促進し、公共サービスを改善するための野心的なロードマップを「AIの機会に関する行動計画」を通じて策定する。
The government also recognises the continued economic and cultural contributions of our world-leading creative industries.     また、政府は世界をリードする英国のクリエイティブ産業が経済および文化に継続的に貢献していることを認識している。
Copyright is a key pillar of our creative economy. It exists to help creators control the use of their works and allows them to seek payment for it. However, the widespread use of copyright material for training AI models has presented new challenges for the UK’s copyright framework, and many rights holders have found it difficult to exercise their rights in this context. It is important that copyright continues to support the UK’s world-leading creative industries and creates the conditions for AI innovation that allows them to share in the benefits of these new technologies. 著作権は、英国のクリエイティブ経済の重要な柱である。著作権は、クリエイターが自身の作品の利用を管理し、その対価を求めることを可能にするために存在する。しかし、AIモデルのトレーニングにおける著作物の広範な使用は、英国の著作権の枠組みに新たな課題を突きつけ、多くの権利保有者はこの状況下で権利を行使することが困難であると感じている。著作権が英国の世界をリードするクリエイティブ産業を継続的に支援し、これらの新技術の恩恵を共有できるAIイノベーションの条件を作り出すことが重要である。
This consultation seeks views on proposals to deliver against the government’s objectives for this area, which are: 本協議では、この分野における政府の目標を達成するための提案に対する意見を求めている。その目標とは、
・boosting trust and transparency between sectors, by ensuring AI developers provide right holders with greater clarity about how they use their material. ・AI開発者が権利保有者に対して、素材の使用方法についてより明確な情報を提供することを保証することで、各セクター間の信頼と透明性を高める。
・enhancing right holders’ control over whether or not their works are used to train AI models, and their ability to be paid for its use where they so wish. ・権利保有者が、自身の作品がAIモデルのトレーニングに使用されるかどうかを管理し、希望する場合はその使用に対して報酬を受け取れるようにする。
・ensuring AI developers have access to high-quality material to train leading AI models in the UK and support innovation across the UK AI sector. ・英国でAIモデルのトレーニングに使用される高品質な素材にAI開発者がアクセスできるようにし、英国のAIセクター全体のイノベーションを支援する。
Additionally, the consultation addresses other emerging issues, including copyright protection for computer-generated works, and the issue of digital replicas. さらに、この協議では、コンピュータ生成著作物の著作権防御やデジタル複製の問題など、その他の新たな課題についても取り上げている。
As AI evolves rapidly, the UK’s response must adapt. The consultation is an opportunity for anyone with an interest in these issues to share their views and provide evidence regarding the economic impact of these proposals. During the consultation, we will also run wider engagement activity to help ensure that the full range of views is heard. AIの進化は急速であるため、英国の対応もそれに適応していかなければならない。この協議は、これらの問題に関心のある人々が意見を共有し、これらの提案の経済的影響に関する証拠を提供できる機会である。協議期間中、幅広い意見が確実に反映されるよう、より広範な関与活動も実施する。
This consultation will run for 10 weeks. It commences on 17 December 2024 and will close on 25 February 2025. この協議は10週間実施される。2024年12月17日に開始し、2025年2月25日に終了する。

 

・[PDF][HTMLCopyright and Artificial Intelligence

20241222-01239

 

目次...

Copyright and Artificial Intelligence 著作権と人工知能
A. Overview A. 概要
A.1 Executive summary A.1 エグゼクティブサマリー
A.2 How to engage with this consultation A.2 本協議への参加方法
A.3  Data protection and confidentiality A.3 データ保護と機密保持
B. Copyright and Artificial Intelligence B. 著作権および人工知能
B.1  Background B.1 背景
B.2  AI training and copyright B.2 AIの訓練と著作権
B.3  Our objectives B.3 目的
B.4 Policy options B.4 政策選択肢
C. Our proposed approach C. 提案するアプローチ
C.1  Exception with rights reservation C.1 権利留保付きの例外
C.2 Technical standards C.2 技術標準
C.3  Contracts and licensing C.3 契約とライセンス
C.4  Transparency C.4 透明性
C.5  Wider clarification of copyright law C.5 著作権法のより広範な明確化
C.6  Encouraging research and innovation C.6 研究とイノベーションの奨励
D.  AI outputs D. AIの出力
D.1 Computer-generated works: protection for the outputs of generative AI  D.1 コンピュータ生成著作物:生成的AIの出力の保護
D.2 Policy options D.2 政策オプション
D.3 Computer-generated works interaction with designs D.3 コンピュータ生成著作物とデザインの相互作用
D.4 Infringement and liability relating to AI-generated content D.4 AI生成コンテンツに関する侵害と責任
D.5 AI output labelling D.5 AI 出力のラベル付け
D.6 Digital replicas and other issues          D.6 デジタルレプリカおよびその他の問題
D.7 Other emerging issues D.7 その他の新たな問題

 

エグゼクティブサマリー...

A.1 Executive summary A.1 エグゼクティブサマリー
1. As part of our national mission to grow the economy, the government is committed to supporting the growth of the creative industries and AI sectors while recognising the value of human-centred creativity. 1. 経済成長という国家的な使命の一環として、政府は人間中心の創造性の価値を認識しながら、クリエイティブ産業およびAIセクターの成長を支援することに尽力している。
2. The government is putting both the creative industries and the AI sector at the heart of our Industrial Strategy, to benefit people in every corner of the country with high-quality jobs and drive accelerated growth. 2. 政府は、クリエイティブ産業およびAIセクターを産業戦略の中心に据え、高品質な雇用を全国津々浦々の人々に提供し、加速的な成長を推進していく。
3. The creative industries drive our economy, including TV and film, advertising, the performing arts, music, publishing, and video games. They contribute £124.8 billion GVA to our economy annually, they employ many thousands of people, they help define our national identity and they fly the flag for our values across the globe. They are intrinsic to our success as a nation and the intellectual property they create is essential to our economic strength. 3. テレビや映画、広告、舞台芸術、音楽、出版、ビデオゲームなどを含むクリエイティブ産業は、英国経済を牽引している。クリエイティブ産業は、英国経済に年間1,248億ポンドのGVA(国内総生産額)をもたらし、何千人もの雇用を創出し、英国のアイデンティティを定義し、英国の価値観を世界中に広めている。クリエイティブ産業は、英国の成功に不可欠であり、その知的財産は英国の経済力にとって不可欠である。
4. The UK is also well placed to seize the transformative opportunities presented by AI. According to the International Monetary Fund World Economic Outlook, this could in time unlock productivity gains of up to 1.5 percentage points annually. The government is committed to building an AI sector that can scale and win globally, ensuring that global AI companies want to call the UK home and boosting the responsible adoption of AI across all parts of the economy. We have commissioned Matt Clifford to deliver an AI Opportunities Action Plan to set out an ambitious roadmap to drive AI innovation and adoption across our public and private sectors. We have also committed to legislating to place requirements on those developing the most powerful AI models of tomorrow – these proposals will reduce regulatory uncertainty for AI developers, strengthen public trust and boost business confidence. 4. 英国は、AIがもたらす変革の機会を捉えるのに適した立場にある。国際通貨基金(IMF)の世界経済見通しによると、AIは将来的に年間最大1.5パーセントポイントの生産性向上をもたらす可能性がある。政府は、世界規模で拡大し、成功を収めることができるAI分野の構築に尽力しており、世界的なAI企業が英国を本拠地としたいと思うようにし、経済のあらゆる分野におけるAIの責任ある導入を促進している。私たちは、公共部門と民間部門全体でAIの革新と導入を推進するための野心的なロードマップを定める「AIの機会に関する行動計画」の策定をマット・クリフォードに依頼した。また、将来最も強力なAIモデルを開発する者に対して要件を課すための立法化にも取り組んでいる。これらの提案は、AI開発者にとっての規制上の不確実性を軽減し、国民の信頼を強化し、企業の自信を後押しするものである。
5. The fast pace of development of AI technology over recent years has led to a debate in the UK and across the world. This is about how the existing copyright framework should be applied to the activities that underpin the training of large AI models. The copyright framework provides right holders with economic and moral rights which mean they can control how their works are used. This means that copying works to train AI models requires a licence from the relevant right holders unless an exception applies. 5. 近年、AI技術の開発が急速に進んでいることを受け、英国および世界中で議論が巻き起こっている。これは、大規模なAIモデルのトレーニングを支える活動に、既存の著作権の枠組みをどのように適用すべきかという問題である。著作権の枠組みは、著作権者に経済的および道徳的な権利を与え、著作物の利用方法を管理できるようにするものである。つまり、例外が適用されない限り、AIモデルのトレーニングに著作物をコピーするには、関連する著作権者からライセンスを取得する必要がある。
6. As things stand, this framework does not meet the needs of UK’s creative industries or AI sectors. Creative and media organisations are concerned that their works are used to train AI without their permission, and they are unable to secure remuneration through licensing agreements. They have also highlighted a lack of transparency from AI developers about what content is or has been used and how it is acquired, which can make it difficult to enforce their copyright. Likewise, AI firms have raised concerns that the lack of clarity over how they can legally access training data creates legal risks, stunts AI innovation in the UK and holds back AI adoption. 6. 現状では、この枠組みは英国のクリエイティブ産業やAIセクターのニーズを満たしていない。クリエイティブおよびメディア関連の組織は、自身の作品が許可なくAIのトレーニングに使用されることを懸念しており、ライセンス契約を通じて報酬を確保できないでいる。また、AI開発者側が、どのようなコンテンツが使用されているか、または使用されていたか、またその入手方法について透明性を欠いていることも指摘されており、これにより著作権の行使が困難になる可能性がある。同様に、AI企業側も、トレーニング・データに合法的にアクセスする方法が明確でないことが法的リスクを生み出し、英国におけるAIのイノベーションを妨げ、AIの導入を遅らせるという懸念を表明している。
7. The lack of clarity about the current regime means that leading AI developers do not train their models in the UK, and instead train in jurisdictions with clearer or more permissive rules. Since copyright law applies in the jurisdiction where copying takes place, this means that AI developers are not obliged to respect rights under UK law. This harms our UK AI sector too, as investment from the major AI developers is limited and UK-based SMEs who cannot train overseas are disadvantaged. 7. 現行の体制が明確でないため、AI開発のトップ企業は英国でモデルのトレーニングを行わず、より明確な、あるいはより寛容な規則を持つ管轄区域でトレーニングを行っている。 著作権法はコピーが行われた管轄区域で適用されるため、AI開発者は英国法に基づく権利を尊重する義務を負わないことになる。 これは英国のAI部門にも悪影響を及ぼす。大手AI開発者からの投資は限定的であり、海外でトレーニングを行うことができない英国の中小企業は不利な立場に置かれるからだ。
8. We cannot allow this to continue. We need to act now to help accelerate growth in our creative industries and in our AI sectors - both of which are essential parts of the government’s Industrial Strategy. This consultation seeks views on how we can achieve this by working in partnership with both sectors, and proposes an approach that aims to: 8. この状態を放置することはできない。 クリエイティブ産業とAIセクターの成長を加速させるために、今こそ行動を起こす必要がある。 両者は政府の産業戦略の重要な一部である。 この協議では、両セクターと連携してこれを達成する方法についての意見を求め、以下の目的を達成するためのアプローチを提案する。
・enhance right holders’ control of their material and their ability to be remunerated for its use ・権利保有者が自身の素材を管理し、その使用に対して報酬を得る能力を強化する
・support wide access to high-quality material to drive development of leading AI models in the UK ・英国における最先端のAIモデルの開発を促進するため、高品質な素材への幅広いアクセスを支援する
・secure greater transparency from AI developers to build trust with creators, creative industries, and consumers ・クリエイター、クリエイティブ産業、消費者との信頼関係を構築するため、AI開発者からより高い透明性を確保する
9. The government believes that the best way to achieve these objectives is through a package of interventions that can balance the needs of the two sectors. That is why we are consulting on measures that would require increased transparency from AI developers. This includes the content they use to train their models, how they acquire it, and any content generated by their models. And it is why we are consulting on the introduction of an exception to copyright law for “text and data mining”. This improves access to content by AI developers, allowing right holders to reserve their rights and thereby prevent their content being used for AI training. Progressed together, we believe these measures could meet our objectives above. These measures could come into operation when effective, proportionate, and accessible technological solutions were in place. This ensures the solutions are practicable and possible for right holders and AI developers of all sizes. 9. 政府は、これらの目標を達成する最善の方法は、2つの業界のニーズのバランスを取ることができる一連の介入策であると考えている。これが、AI開発者からの透明性の向上を求める措置について協議している理由である。これには、AI開発者がモデルの訓練に使用するコンテンツ、その入手方法、およびモデルによって生成されたコンテンツが含まれる。また、著作権法に「テキストおよびデータマイニング」の例外を導入することについても協議している。これにより、AI開発者によるコンテンツへのアクセスが改善され、権利保有者は権利を留保し、コンテンツがAIの訓練に使用されるのを防ぐことができる。これらの措置を同時に進めることで、上記の目的を達成できると考える。これらの措置は、効果的で、妥当で、利用可能な技術的ソリューションが整った時点で運用開始となる可能性がある。これにより、あらゆる規模の権利者およびAI開発者にとって、ソリューションが実際的で可能であることが保証される。
10. Although we recognise that much more detailed work will still need to be done, these are the broad parameters of our approach. The package is designed to enhance the ability of right holders to protect their material and seek remuneration for its use through increased licensing. It also aims to motivate AI developers to train leading models in the UK in full compliance with UK law. Delivering this will be challenging and will require practical technical solutions as well as a clear legal framework. It will require us to work closely with our international partners to progress towards an interoperable AI and copyright framework. We seek the constructive engagement of all stakeholders in this consultation process, in particular on the following issues. 10. さらに詳細な作業が必要であることは認識しているが、これらは我々のアプローチの概略である。このパッケージは、権利者が自身の著作物を保護し、ライセンスの増加を通じてその使用に対する報酬を求める能力を強化することを目的としている。また、英国の法律に完全に準拠した形で、英国で最先端のモデルを訓練するAI開発者の意欲を高めることも目的としている。これを実現することは困難であり、明確な法的枠組みだけでなく、実際的な技術的ソリューションも必要となる。相互運用可能なAIと著作権の枠組みに向けて前進するためには、国際的なパートナーと緊密に協力する必要がある。本協議プロセスにおけるすべての利害関係者の建設的な関与を求めたい。特に、以下の問題についてである。
Transparency 透明性
11. The success of any new approach to copyright and AI will depend on stronger trust between AI developers and right holders. The government believes that transparency will be key to this and seeks views on what level of transparency about the use of works to train models is required and how this can best be achieved fairly and proportionately. 11. 著作権とAIに対する新たなアプローチの成功は、AI開発者と権利保有者間のより強固な信頼関係に依存する。政府は、透明性が鍵となると考え、モデルの訓練に著作物が使用されることに関するどの程度の透明性が求められるか、また、これを公正かつ妥当に達成するにはどうすればよいかについての意見を求めている。
Technical standards 技術的基準
12. Some useful tools that enable right holders to reserve their rights already exist, but more work is required to ensure these meet the needs of right holders and AI developers of all sizes. These tools have significant technical limitations and are insufficiently standardised and adopted. The government is therefore seeking views on whether and how it can support work to improve these tools and drive their adoption. 12. 権利者が権利を留保することを可能にするいくつかの有用なツールはすでに存在しているが、これらのツールがすべての規模の権利者およびAI開発者のニーズを満たすことを確実にするには、さらなる作業が必要である。これらのツールには重大な技術的限界があり、標準化および採用が不十分である。そのため政府は、これらのツールを改善し、その採用を推進するための作業を支援できるかどうか、また支援できる場合、どのように支援できるかについて意見を求めている。
Contracts and Licensing 契約およびライセンス
13. In a regime that empowers right holders to reserve their rights, licensing will be important to secure right holder remuneration and provide AI developers with access to high-quality training material at scale. We seek views on whether and how the government should support licensing, including collective licensing, and consider the needs of individual creators as part of this. 13. 権利保有者が権利を留保することを可能にする体制においては、権利保有者の報酬を確保し、AI開発者に質の高いトレーニング教材へのアクセスを大規模に提供するために、ライセンシングが重要となる。政府がライセンシング(集合的ライセンシングを含む)を支援すべきかどうか、またその方法について意見を求めるとともに、この一環として個々のクリエイターのニーズを考慮する。
Labelling ラベリング
14. The government believes that clear labelling of AI outputs would be beneficial to right holders and the public, but acknowledges the technical challenges involved. The government welcomes views on how to achieve this outcome, including how we can support the development of emerging tools and standards. 14. 政府は、AIの出力に明確なラベルを貼ることは権利者と一般市民にとって有益であると考えているが、技術的な課題があることも認めている。政府は、この成果を達成する方法についての意見を歓迎しており、その中には、新興のツールや標準の開発をどのように支援できるかということも含まれる。
Computer generated works コンピュータ生成著作物
15. There are additional issues regarding the ownership of AI systems’ outputs. The UK currently provides copyright protection for purely computer-generated works, but it is not clear that this protection is widely used, or that it functions properly within the broader copyright framework. The government seeks views on potential reform to protections for computer-generated works. 15. AIシステムの出力の所有権に関する追加的な問題がある。英国は現在、純粋にコンピュータ生成された著作物に対して著作権保護を提供しているが、この保護が広く利用されているか、またはより広範な著作権の枠組みの中で適切に機能しているかは明らかではない。政府は、コンピュータ生成著作物の保護に対する潜在的な改革に関する意見を求めている。
Digital Replicas デジタルレプリカ
16. The volume and quality of digital replicas generated by AI systems (sometimes called deepfakes) is increasing. This consultation seeks to gather evidence on the challenges posed by digital replicas. This responds to concerns around the emergence of deepfakes and AI-generated content that may replicate a person’s voice, image, or personal likeness. It asks whether the current legal framework is sufficient to provide individuals with control over use of their likeness and whether further intervention is required. 16. AIシステム(ディープフェイクと呼ばれることもある)によって生成されるデジタルレプリカの量と質は増加している。本協議は、デジタルレプリカによってもたらされる課題に関する証拠の収集を目的としている。これは、人の声、画像、肖像を複製する可能性があるディープフェイクやAI生成コンテンツの出現に関する懸念に対応するものである。本協議では、肖像の利用を個人が管理できるようにする上で、現行の法的枠組みが十分であるか、さらなる介入が必要であるかを問うている。
Emerging issues 新たな問題
17. Rapid developments in AI’s capabilities will continue to raise new policy and legal questions. The consultation seeks views on emerging issues related to the intellectual property framework for AI. For instance the clarity of UK law for AI systems that generate content on Internet Search or other processes that draw on datasets at inference. We are also interested to understand how increasing use of synthetic data to train AI models may affect the ecosystem. 17. AIの能力の急速な発展は、新たな政策および法的問題を引き続き提起するだろう。本協議では、AIに関する知的財産の枠組みに関連する新たな問題についての意見を求めている。例えば、インターネット検索やその他の推論でデータセットを利用するプロセスでコンテンツを生成するAIシステムに関する英国法の明確性などである。また、AIモデルの訓練に合成データの利用が増えることで生態系にどのような影響が及ぶかについても理解したいと考えている。
Next steps 今後のステップ
18. The government is committed to working with all stakeholders to work through these issues together, proceeding carefully, but with a degree of urgency. These are complex issues, as underlined by the experience in other jurisdictions, and legislation is ultimately likely to be needed. We will use responses to shape how we implement our proposed approach to allow the creative industries and AI sectors to continue to grow together in partnership. DSIT and DCMS Ministers will continue to prioritise taking forward these proposals as the government further develops its approach to AI regulation. 18. 政府は、すべての利害関係者と協力し、慎重に、しかしある程度の緊急性をもって、これらの問題を共に解決していくことを約束する。これらの問題は、他の管轄区域での経験が示すように、複雑な問題であり、最終的には立法が必要になる可能性が高い。我々は、クリエイティブ産業とAIセクターが引き続きパートナーシップを組んで共に成長できるよう、提案したアプローチの実施方法を、回答を参考にしながら形作っていく。DSITおよびDCMS大臣は、政府がAI規制へのアプローチをさらに発展させる中で、これらの提案を推進することを引き続き優先する。

 

質問...

Copyright and Artificial Intelligence 著作権と人工知能
A. Overview A. 概要
A.1 Executive summary A.1 エグゼクティブサマリー
A.2 How to engage with this consultation A.2 本協議への参加方法
A.3 Data protection and confidentiality A.3 データ保護と機密保持
B. Copyright and Artificial Intelligence B. 著作権および人工知能
B.1 Background B.1 背景
B.2 AI training and copyright B.2 AIの訓練と著作権
B.3 Our objectives B.3 目的
B.4 Policy options B.4 政策選択肢
Option 0: Do nothing: Copyright and related laws remain as they are. 選択肢0:何もしない:著作権および関連法は現状のまま。
Option 1: Strengthen copyright requiring licensing in all cases 選択肢1:すべてのケースでライセンスを必要とする著作権を強化する
Option 2: A broad data mining exception 選択肢2:広範なデータマイニング例外
Option 3: A data mining exception which allows right holders to reserve their rights, underpinned by supporting measures on transparency 選択肢3:透明性に関する支援措置を伴う、権利保有者が権利を留保することを認めるデータマイニングの例外
Question 1. Do you agree that option 3 is most likely to meet the objectives set out above? 質問1. 上記の目的を最も達成できる可能性が高いのは選択肢3であることに同意するか。
Question 2. Which option do you prefer and why? 質問2. どの選択肢を希望するか、その理由は何か。
C. Our proposed approach C. 提案するアプローチ
C.1 Exception with rights reservation C.1 権利留保付きの例外
Question 3. Do you support the introduction of an exception along the lines outlined above? 質問3. 上記の概要に沿った例外規定の導入を支持するか。
Question 4. If so, what aspects do you consider to be the most important? If not, what other approach do you propose and how would that achieve the intended balance of objectives? 質問4. そうであれば、最も重要と考える側面は何か。そうでない場合、どのような他のアプローチを提案し、どのようにして目的のバランスを達成するか。
Question 5. What influence, positive or negative, would the introduction of an exception along these lines have on you or your organisation? Please provide quantitative information where possible. 質問5. 上記の概要に沿った例外規定の導入は、あなたまたはあなたの組織にどのような影響を与えるか(プラスまたはマイナス)。可能な場合は定量的な情報を提供すること。
Question 6. What action should a developer take when a reservation has been applied to a copy of a work? 質問6. 著作物のコピーに権利留保が適用された場合、開発者はどのような措置を取るべきか?
Question 7. What should be the legal consequences if a reservation is ignored? 質問7. 権利留保が無視された場合、どのような法的影響があるべきか?
Question 8. Do you agree that rights should be reserved in machine-readable formats? Where possible, please indicate what you anticipate the cost of introducing and/or complying with a rights reservation in machine-readable format would be. 質問8. 権利は機械可読フォーマットで留保されるべきであることに同意するか? 可能であれば、機械可読フォーマットでの権利留保の導入および/または遵守にかかる費用を予想して示していただきたい。
C.2 Technical standards C.2 技術標準
Question 9. Is there a need for greater standardisation of rights reservation protocols? 質問9. 権利留保プロトコルのさらなる標準化の必要性はあるか?
Question 10. How can compliance with standards be encouraged? 質問10. 標準への準拠をどのようにして促すことができるか?
Question 11. Should the government have a role in ensuring this and, if so, what should that be? 質問11. 政府がこの確保に役割を持つべきか、持つべきだとすればどのような役割を持つべきか?
C.3 Contracts and licensing C.3 契約とライセンス
Question 12. Does current practice relating to the licensing of copyright works for AI training meet the needs of creators and performers? 質問12. 現在のAIトレーニングのための著作権作品のライセンスに関する慣行は、著作者および実演家のニーズを満たしているか?
Question 13. Where possible, please indicate the revenue/cost that you or your organisation receives/pays per year for this licensing under current practice. 質問13. 可能であれば、現在の慣行の下でこのライセンスに関して、あなたまたはあなたの組織が受け取る/支払う年間収益/費用を提示していただきたい。
Question 14. Should measures be introduced to support good licensing practice? 質問14. 適切なライセンス慣行を支援する措置を導入すべきか?
Question 15. Should the government have a role in encouraging collective licensing and/or data aggregation services? If so, what role should it play? 質問15. 政府は集合的ライセンスおよび/またはデータ集約サービスの奨励に役割を果たすべきか。果たすべき場合、どのような役割を果たすべきか。
Question 16. Are you aware of any individuals or bodies with specific licensing needs that should be taken into account? 質問16. 考慮すべき特定のライセンスニーズを持つ個人または団体についてご存知ですか?
C.4 Transparency C.4 透明性
Question 17. Do you agree that AI developers should disclose the sources of their training material? 質問17. AI開発者がその学習素材のソースを開示すべきであることに同意するか?
Question 18. If so, what level of granularity is sufficient and necessary for AI firms when providing transparency over the inputs to generative models? 質問18. 同意する場合、生成モデルへの入力に関する透明性を提供する際、AI企業にとってどの程度の粒度で十分かつ必要か?
Question 19. What transparency should be required in relation to web crawlers? 質問19. ウェブクローラーに関してどのような透明性が求められるべきか?
Question 20.What is a proportionate approach to ensuring appropriate transparency? 質問20. 適切な透明性を確保するための適切なアプローチとはどのようなものか?
Question 21. Where possible, please indicate what you anticipate the costs of introducing transparency measures on AI developers would be. 質問21. 可能であれば、AI開発者に対する透明性措置の導入に要する費用について、予想される金額を示していただきたい。
Question 22. How can compliance with transparency requirements be encouraged, and does this require regulatory underpinning? 質問22. 透明性要件の順守を促すにはどうすればよいか、また、そのためには規制による裏付けが必要か。
Question 23. What are your views on the EU’s approach to transparency? 質問23. EUの透明性に対するアプローチについて、どう考えるか。
C.5 Wider clarification of copyright law C.5 著作権法のより広範な明確化
Question 24. What steps can the government take to encourage AI developers to train their models in the UK and in accordance with UK law to ensure that the rights of right holders are respected? 質問 24. 権利者の権利が尊重されることを確保するために、AI開発者が英国で、かつ英国法に従ってモデルを訓練することを奨励するために、政府がどのような措置を講じることができるか。
Question 25. To what extent does the copyright status of AI models trained outside the UK require clarification to ensure fairness for AI developers and right holders? 質問 25. AI開発者および権利者の公平性を確保するために、英国外で訓練されたAIモデルの著作権の状態をどの程度明確にする必要があるか。
Question 26. Does the temporary copies exception require clarification in relation to AI training? 質問26. 一時的コピーの例外は、AIのトレーニングとの関連で明確化する必要があるか?
Question 27. If so, how could this be done in a way that does not undermine the intended purpose of this exception? 質問27. もしそうであれば、この例外の意図された目的を損なわないように、どのように行うことができるか?
C.6 Encouraging research and innovation C.6 研究とイノベーションの奨励
Question 28. Does the existing data mining exception for non-commercial research remain fit for purpose? 質問28. 非営利研究のための現行のデータマイニング例外は、目的に適ったままであるか?
Question 29. Should copyright rules relating to AI consider factors such as the purpose of an AI model, or the size of an AI firm? 質問29. AIに関する著作権規則は、AIモデルの目的やAI企業の規模などの要素を考慮すべきか?
D. AI outputs D. AIの出力
D.1 Computer-generated works: protection for the outputs of generative AI D.1 コンピュータ生成著作物:生成的AIの出力の保護
D.2 Policy options D.2 政策選択肢
Question 30. Are you in favour of maintaining current protection for computer-generated works? If yes, please explain whether and how you currently rely on this provision. 質問30. コンピュータ生成著作物に対する現行の保護を維持することに賛成するか。賛成の場合、現行の規定をどの程度、またどのように利用しているか説明されたい。
Question 31. Do you have views on how the provision should be interpreted? 質問31. この規定の解釈について意見はあるか。
Question 32. Would computer-generated works legislation benefit from greater legal clarity, for example to clarify the originality requirement? If so, how should it be clarified? 質問32. コンピュータ生成著作物に関する法律は、例えば独創性の要件を明確化するなど、より明確な法律規定によって恩恵を受けるだろうか? もしそうであれば、どのように明確化すべきだろうか?
Question 33. Should other changes be made to the scope of computer-generated protection? 質問33. コンピュータ生成著作物の保護範囲について、その他の変更を加えるべきだろうか?
Question 34. Would reforming the computer-generated works provision have an impact on you or your organisation? If so, how? Please provide quantitative information where possible. 質問34. コンピュータ生成著作物に関する規定を改正することは、あなたまたはあなたの組織に影響を与えるだろうか? もしそうであれば、どのように影響するだろうか? 可能な場合は定量的な情報を提供していただきたい。
Question 35. Are you in favour of removing copyright protection for computer-generated works without a human author? 質問35. 人間による著作者の関与のないコンピュータ生成著作物について、著作権保護を撤廃することに賛成か?
Question 36. What would be the economic impact of doing this? Please provide quantitative information where possible. 質問36. そうした場合の経済的影響は何か? 可能な限り定量的な情報を提供すること。
Question 37. Would the removal of the current CGW provision affect you or your organisation? Please provide quantitative information where possible. 質問37. 現行のCGW規定の撤廃は、あなたまたはあなたの組織に影響するか? 可能な限り定量的な情報を提供すること。
D.3 Computer-generated works interaction with designs D.3 コンピュータ生成著作物とデザインの相互作用
D.4 Infringement and liability relating to AI-generated content D.4 AI生成コンテンツに関する侵害と責任
Question 38. Does the current approach to liability in AI-generated outputs allow effective enforcement of copyright? 質問38. AIが生成した出力に対する現在の法的責任のアプローチは、著作権の効果的な執行を可能にしているか?
Question 39. What steps should AI providers take to avoid copyright infringing outputs? 質問39. AIプロバイダーは、著作権侵害の出力を回避するためにどのような措置を講じるべきか?
D.5 AI output labelling D.5 AI 出力のラベル付け
Question 40. Do you agree that generative AI outputs should be labelled as AI generated? If so, what is a proportionate approach, and is regulation required? 質問40. 生成的AIの出力はAI生成物としてラベル付けされるべきであることに同意するか? 同意する場合、どのような対応が妥当か、また規制は必要か?
Question 41. How can government support development of emerging tools and standards, reflecting the technical challenges associated with labelling tools? 質問41. 政府は、ラベル付けツールに関連する技術的課題を反映し、新興のツールや標準の開発をどのように支援できるか?
Question 42. What are your views on the EU’s approach to AI output labelling? 質問42. EUのAI出力のラベル付けに対するアプローチについてどう考えるか?
D.6 Digital replicas and other issues D.6 デジタルレプリカおよびその他の問題
Question 43. To what extent would the approach(es) outlined in the first part of this consultation, in relation to transparency and text and data mining, provide individuals with sufficient control over the use of their image and voice in AI outputs? 質問43. この協議の第1部で概説されたアプローチ(複数可)は、透明性およびテキスト・データマイニングに関して、AIの出力における個人の画像および音声の使用について、個人に十分な管理権を与えるものとなるか?
Question 44. Could you share your experience or evidence of AI and digital replicas to date? 質問44. これまでのAIおよびデジタルレプリカに関する経験または証拠を共有できるか?
D.7 Other emerging issues D.7 その他の新たな問題
Question 45. Is the legal framework that applies to AI products that interact with copyright works at the point of inference clear? If it is not, what could the government do to make it clearer? 質問45. 著作権で保護された作品と相互に作用するAI製品に適用される法的枠組みは明確か?明確でない場合、政府はそれを明確にするために何ができるか?
Question 46. What are the implications of the use of synthetic data to train AI models and how could this develop over time, and how should the government respond? 質問 46. AIモデルの訓練に合成データを使用することの意味するところは何か、また、これが将来的にどのように発展する可能性があるか、政府はどのように対応すべきか。
Question 47. What other developments are driving emerging questions for the UK’s copyright framework, and how should the government respond to them? 質問 47. 英国の著作権制度に新たな問題を引き起こしているその他の動向にはどのようなものがあるか、政府はそれらにどのように対応すべきか。

 

Continue reading "英国 意見募集 著作権とAI (2024.12.17)"

| | Comments (0)

2024.12.05

Google Cybersecurity Forecast 2025 (2024.11.14)

こんにちは、丸山満彦です。

Googleが、2025年のサイバーセキュリティに関する予測を簡潔にまとめた報告書を公表していますね...

いくつかのトピックスはありますが

  • 攻撃者がAIを利用することにより、攻撃がより巧妙かつ大量に行われるようになる
  • 情報操作のためのコンテンツもより説得力のあるものが大量に使われるようになる
  • ロシア、中国、イラン、北朝鮮はそれぞれの国の引き続きスパイ活動、サイバー犯罪、情報工作を続ける
  • ランサムウェアはさらに高度かつ広範囲に利用されるようになる
  • 情報窃盗を目的としたマルウェアは引き続き主要な脅威である
  • サイバー攻撃ツールやサービスへのアクセスが容易となり多くの犯罪者が使うようになる
  • 暗号通貨等は引き続きターゲットとなる
  • 国家による組織的な脆弱性収集等が行われ、脆弱性を悪用するまでの時間は短くなる
  • 耐量子暗号への移行の備えも忘れずに
  • クラウドのセキュリティ設定でミスがないように

といったところでしょうか?

わりとコンパクトで短いので、原文を読むのもそれほど苦にならないように思います。

 

Google

・2024.11.14 Emerging Threats: Cybersecurity Forecast 2025

 

ダウンロードは

・2024.11.14 Cybersecurity Forecast 2025 Report

 

20241205-90557

 

 

 

 

 

| | Comments (0)

2024.11.26

CSA 脆弱性データに対する懸念 (2024.11.11)

こんにちは、丸山満彦です。

脆弱性管理についての、現在の課題について整理したものという感じですかね...

CVEの採番、管理も大規模になるとなかなか大変...

IoTとかでてくると、さらに大変...

 

Cloud Security Alliance

・2024.11.11 Top Concerns With Vulnerability Data

Top Concerns With Vulnerability Data 脆弱性データに対する懸念のトップ
The top vulnerability management frameworks used today include the Common Vulnerabilities and Exposures (CVE) program and the Common Vulnerability Scoring System (CVSS). The CVE program assigns an identifier to every discovered security vulnerability, standardizing the vulnerability documentation process. CVSS introduces a way to prioritize vulnerabilities by giving each CVE a CVSS score. 今日使われている脆弱性管理のフレームワークには、Common Vulnerabilities and Exposures(CVE)プログラムとCommon Vulnerability Scoring System(CVSS)がある。CVEプログラムは、発見されたすべてのセキュリティ脆弱性に識別子を割り当て、脆弱性の文書化プロセスを標準化する。CVSSは、各CVEにCVSSスコアを与えることで、脆弱性に優先順位をつける方法を導入している。
Despite their widespread use, CVE and CVSS remain stagnant in comparison to the growing threat landscape and scope of cybersecurity. Security teams have increasingly large, diverse, and complex technology stacks to secure. CVE and CVSS are simply not sufficient for managing the threat intelligence of multiple modern systems on a rolling basis. CVEとCVSSは、広く使用されているにもかかわらず、サイバーセキュリティの脅威の状況や範囲が拡大していることに比べると、依然として停滞している。セキュリティ・チームは、ますます大きく、多様で、複雑なテクノロジー・スタックを保護しなければならなくなっている。CVEとCVSSは、複数の最新システムの脅威インテリジェンスを継続的に管理するには不十分である。
This publication highlights the critical shortcomings of current vulnerability management programs, such as outdated information, limited context, and inefficient scoring. It also explores potential solutions that could improve the tracking, scoring, and prioritization of vulnerabilities. Readers will come to appreciate the top concerns related to vulnerability data. By the end of the document, they will also see how to fix these issues in the future. 本書は、古い情報、限られたコンテキスト、非効率的なスコアリングなど、現在の脆弱性管理プログラムの重大な欠点を浮き彫りにしている。また、脆弱性の追跡、スコアリング、優先順位付けを改善するための潜在的な解決策を探っている。読者は、脆弱性データに関連する最大の懸念事項を理解するようになるだろう。また、本書の終わりには、これらの問題を将来どのように解決すべきかがわかるだろう。
Key Takeaways: 主な要点
・The current challenges with vulnerability data ・脆弱性データに関する現在の課題
・Why CVE and CVSS are outdated and cannot keep up with the rapidly growing cybersecurity scene ・なぜCVEとCVSSは時代遅れであり、急速に成長するサイバーセキュリティシーンに対応できないのか。
・Why the National Vulnerability Database (NVD) cannot scale at the necessary rate ・国家脆弱性データベース(NVD)が必要な速度で拡張できない理由
・The fragmentation of vulnerability data ・脆弱性データの断片化
・Real-life examples of the issues with vulnerability data and their repercussions ・脆弱性データの問題点とその影響の実例
・Alternative frameworks to CVSS, including EPSS, SSVC, and VPR ・EPSS、SSVC、VPRを含むCVSSに代わる枠組み
・Threat modeling frameworks to follow, including STRIDE, LINDDUN, PASTA, VAST, TRIKE, and DREAD ・STRIDE、LINDDUN、PASTA、VAST、TRIKE、DREADなど、追随すべき脅威モデリングの枠組み
・How AI and machine learning could help address the growing volume of vulnerabilities ・AIと機械学習は、増加する脆弱性にどのように対処するのに役立つか?

 

20241125-224118

 

目次...

Acknowledgments 謝辞
Table of Contents 目次
Introduction 序文
Role of Vulnerability Data 脆弱性データの役割
Current State of Vulnerability Data 脆弱性データの現状
Identifying the Current Challenges 現在の課題の識別
CVE CVE
・Data Quality and Fidelity ・データの質と忠実性
・Perverse Incentives to not Create CVEs ・CVEを作成しないことへの逆インセンティブ
・Finding Relevant Vulnerability Data ・関連する脆弱性データを見つける
・Notifying Project Maintainers ・プロジェクト・メンテナへの通知
・Lack of Interoperability ・相互運用性の欠如
・Resolving Disputes ・紛争の解決
・Complexity of Reporting Vulnerabilities ・脆弱性報告の複雑さ
・Increasing Number of CVEs Every Year ・年々増加するCVE数
CVSS CVSS
Disadvantages of CVSS CVSSの欠点
Inability to Prioritize Risk リスクの優先順位付けができない
・Static Scoring System ・静的なスコアリング・システム
User Stories ユーザーストーリー
cURL cURL
Custom Solutions カスタムソリューション
Alternatives to CVSS CVSSの代替
EPSS EPSS
SSVC SSVC
VPR VPR
Threat Modeling Frameworks 脅威モデリングの枠組み
What Is Threat Modeling? 脅威モデリングとは何か?
STRIDE STRIDE
LINDDUN LINDDUN
PASTA パスタ
VAST バスト
TRIKE トライク
DREAD ドリード
Future Directions and Emerging Trends 今後の方向性と新たなトレンド
Big Data Problems and Scale Issues ビッグデータ問題と規模の問題
The Role of Artificial Intelligence and Machine Learning 人工知能と機械学習の役割
Conclusion 結論
References 参考文献

 

 

CVSSの代替案 比較

CVSS Alternatives Comparison CVSSの代替案 比較
EPSS EPSS
EPSS’s main focus is predicting the likelihood of vulnerability exploitation using logistic regression over 12 months. In contrast SSVC uses more qualitative decision-making, not relying on statistical predictions. Finally, VPR uses technical impact and real-time threat intelligence while making decisions which differs from EPSS's emphasis on probability of exploit prediction, highlighting its more predictive approach. EPSSの主な焦点は、12ヶ月間のロジスティック回帰を用いた脆弱性悪用の可能性の予測である。対照的に、SSVC は統計的予測に頼らず、より定性的な意思決定を行う。最後に、VPR は技術的影響とリアルタイムの脅威インテリジェンスを使用しながら意思決定を行うが、これは EPSS の悪用の可能性予測に重点を置くのとは異なり、より予測的なアプローチを強調するものである。
SSVC SSVC
SSVC utilizes decision tree models that use qualitative data to help guide holders with vulnerability management. It differs from something like EPSS which provides one predictive score and also the fact that it utilizes qualitative inputs and adapts to feedback. Furthermore, when compared to VPR which focuses on technical impact and threat intelligence, SSVC prioritizes stakeholder-specific needs. SSVC は、脆弱性管理でホルダーを導くために定性的データを使用する決定木モデルを利用する。EPSSのように1つの予測スコアをプロバイダとして提供するものとは異なり、また、定性的な入力を利用し、フィードバックに適応するという点でも異なる。さらに、技術的影響と脅威インテリジェンスに重点を置くVPRと比較すると、SSVCはステークホルダー固有のニーズに優先順位をつける。
VPR VPR
VPR combines the technical impact that a vulnerability has in conjunction with real-time threat intelligence meaning that it is continuously updating. In comparison to EPSS, which predicts exploitation likelihood with a more static but predictive score, VPR is a more dynamic approach that employs threat data over time. Finally, unlike SSVC, which emphasizes qualitative decision-making specifically for stakeholders, VPR integrates quantitative threat data for risk prioritization. VPRは、脆弱性が持つ技術的影響と、継続的に更新されることを意味するリアルタイムの脅威インテリジェンスを組み合わせたものである。より静的だが予測的なスコアで悪用の可能性を予測する EPSS と比較すると、VPR はより動的なアプローチであり、時間の経過とともに脅威データを採用する。最後に、利害関係者に特化した定性的な意思決定を重視するSSVCとは異なり、VPRはリスクの優先順位付けのために定量的な脅威データを統合する。

 

 

脅威モデル比較...

Threat modeling frameworks Comparison 脅威モデリングの枠組み
STRIDE STRIDE
STRIDE offers a variety of benefits compared to other frameworks like LINDDUN, PASTA, VAST, and TRIKE. For example, STRIDE focuses primarily on common security threats and provides a high-level overview of the threat landscape due to its broad categories, unlike other frameworks that might concentrate on specific types of vulnerabilities. STRIDE は、LINDDUN、PASTA、VAST、TRIKE のような他の枠組みと比べて様々な利点を提供する。例えば、STRIDE は主に一般的なセキュリティ脅威に焦点を当て、特定のタイプの脆弱性に集中する可能性がある他の枠組みとは異なり、その幅広いカテゴリーにより、脅威ランドスケープのハイレベルな概観を提供する。
LINDDUN LINDDUN
LINDDUN’s extensive catalog of privacy threat types, threat trees, and mapping tables, guide the analyst in identifying and addressing privacy issues. In contrast, other methods like STRIDE and PASTA primarily address security concerns, with STRIDE focusing on security threats and PASTA emphasizing security aspects. LINDDUNのプライバシー脅威の種類、脅威ツリー、マッピングテーブルの広範なカタログは、プライバシー問題を特定し、対処する際にアナリストを導く。これとは対照的に、STRIDEやPASTAのような他の手法は、主にセキュリティの懸念を扱っており、STRIDEはセキュリティの脅威に、PASTAはセキュリティの側面に重点を置いている。
PASTA PASTA
Compared to other frameworks like STRIDE, which focuses on specific threat categories, and VAST, which emphasizes scalability and integration for more large-scale enterprises, PASTA offers a more holistic and business-oriented approach as shown by its business-centric process. Its ability to simulate real-world attacks and involve both technical and business stakeholders ensures that security measures are aligned with the objectives of the business that utilizes it. 特定の脅威カテゴリーに焦点を当てるSTRIDEや、より大規模なエンタープライズ向けのスケーラビリティと統合を重視するVASTのような他の枠組みと比べて、PASTAは、そのビジネス中心のプロセスが示すように、より全体的でビジネス指向のアプローチを提供する。実世界の攻撃をシミュレートし、技術・ビジネス双方の利害関係者を関与させることで、セキュリティ対策がそれを利用するビジネスの目的に沿ったものとなることを保証する。
VAST VAST
Compared to other frameworks like LINDDUN, STRIDE, and PASTA, VAST is unique in its scalability and automation, making it suitable for large enterprises. It automates much of the threat modeling process, reducing time and effort, and integrates seamlessly with existing development and security processes. VAST is particularly useful for securing web applications, auditing IT systems, and developing secure software, ensuring that security is integrated into the software development lifecycle from the beginning. Therefore by focusing on scalability, automation, and integration, VAST provides an approach to threat modeling that is very valuable for large corporations. LINDDUN、STRIDE、PASTAのような他の枠組みと比べて、VASTはスケーラビリティと自動化においてユニークであり、大規模エンタープライズに適している。脅威モデリングプロセスの大部分を自動化し、時間と労力を削減し、既存の開発プロセスやセキュリティプロセスとシームレスに統合する。VASTは、ウェブアプリケーションのセキュリティ確保、ITシステムの監査、セキュアなソフトウェアの開発に特に有効であり、ソフトウェア開発ライフサイクルの最初からセキュリティが統合されていることを保証する。そのため、拡張性、自動化、統合に重点を置くことで、VASTは大企業にとって非常に価値のある脅威モデリングへのアプローチを提供している。
TRIKE TRIKE
Compared to other frameworks like LINDDUN, STRIDE, and PASTA, TRIKE is unique in its risk-based approach, focusing on the highest risks first and automating much of LINDDUN、STRIDE、PASTAのような他の枠組みと比べて、TRIKEはリスクベースのアプローチに特徴がある。
the threat generation processes. TRIKE is also suitable for various use cases, such as the security of web and 脅威生成的プロセスを自動化する。TRIKEはまた、ウェブやITベースのシステムのセキュリティや、ITシステムのセキュリティの支援など、さまざまなユースケースに適している。
IT-based systems, and aiding in the development of secure software. Finally, TRIKE ensures that countermeasures are appropriate for the identified threats, making it a valuable tool for security professionals. ITベースのシステムのセキュリティ、安全なソフトウェアの開発支援など、さまざまなユースケースにも適している。最後に、TRIKEは、特定された脅威に対する対策が適切であることを保証し、セキュリティ専門家にとって価値あるツールとなっている。
DREAD DREAD
Compared to other frameworks like LINDDUN or PASTA, DREAD offers a unique perspective on threat modeling by focusing on quantifying and prioritizing security threats through qualitative based approaches. While additional frameworks like STRIDE categorize threats into specific types and VAST emphasizes scalability and automation for large enterprise, DREAD is a more simple and focused approach to threat modeling. This makes DREAD particularly useful for organizations who may not be as knowledgeable about the world of cybersecurity nor as big scale as large corporations but are still looking for an effective framework to address vulnerabilities. LINDDUNやPASTAのような他の枠組みと比べて、DREADは、定性的なアプローチを通じてセキュリティ脅威を定量化し、優先順位をつけることに焦点を当てることで、脅威モデリングに独自の視点を提供している。STRIDEのような他の枠組みが脅威を特定のタイプに分類し、VASTが大規模エンタープライズ向けの拡張性と自動化に重点を置いているのに対して、DREADは脅威モデリングに対してよりシンプルで焦点を絞ったアプローチである。このため、DREADは、サイバーセキュリティの世界についてそれほど詳しくなく、大企業ほど大規模ではないものの、脆弱性に対処するための効果的な枠組みを探している組織にとって特に有用である。

 

 

| | Comments (0)

2024.11.24

欧州 改正製造物責任指令、官報に掲載 (2024.11.18)

こんにちは、丸山満彦です。

欧州の製造物責任指令が官報に掲載されていますね...AI時代を踏まえて、AIやサイバーセキュリティについての言及もありますよね...

まぁ、AIを搭載し学習しつづける製品や、未知の脆弱性の存在が否定できない製品が想定されるので、製造事業者というのは、単純にほいほいと製品を上市できないですよね...

------

(32) 相互に接続された製品の普及を反映するため、製品の安全性のアセスメントでは、例えばスマートホームシステムのように、他の製品が当該製品に及ぼす合理的に予見可能な影響を考慮すべきである。また、上市後または使用開始後に新しい機能を学習または獲得する能力が製品の安全性に及ぼす影響も、製品のソフトウェアと基礎となるアルゴリズムが製品の危険な挙動を防止するように設計されているという正当な期待を反映するために考慮されるべきである。その結果、予期せぬ挙動を起こす可能性のある製品を設計した製造事業者は、危害をもたらす挙動に対して引き続き責任を負うべきである。デジタル時代において、上市後も多くの製品が製造事業者の管理下にあるという事実を反映するため、製品の安全性のアセスメントでは、製品が製造事業者の管理下から離れた瞬間も考慮されるべきである。また、製品が安全関連のサイバーセキュリティ要件を満たしていない場合など、サイバーセキュリティの脆弱性を理由に欠陥があると認定されることもある。

(40) 製品は、アップグレードを含むソフトウェアの変更によって修正を行うことができるように設計することができるため、ソフトウェアの更新またはアップグレードによって行われる修正には、他の方法で行われる修正に適用されるのと同じ原則が適用されるべきである。ソフトウェアの更新やアップグレードによって、あるいはAIシステムの継続的な学習によって、実質的な改変が行われた場合、その改変が実際に行われた時点で、実質的に改変された製品が市場で入手可能になった、あるいは使用開始されたとみなされるべきである。

(48) 国内裁判所は、被告が情報を開示したにもかかわらず、特に事案の技術的または科学的な複雑さのために、請求人が欠陥性もしくは因果関係、またはその両方を証明することが過度に困難である場合には、製品の欠陥性または損害と欠陥性の因果関係、またはその両方を推定すべきである。そのような場合は、事案のすべての状況を考慮して、それを行うべきである。このような場合、国内法で要求されるような通常の標準的な立証基準を課すことは、しばしば高度の蓋然性を要求することになり、補償を受ける権利の実効性を損なうことになる。したがって、製造事業者は専門的知識を有し、負傷者よりも十分な知識を有していることを考慮し、また、立証責任の逆転を回避しつつリスクの公平な配分を維持するために、請求者が欠陥の立証に困難を伴う場合は、製品に欠陥があった可能性が高いことのみを、請求者が因果関係の立証に困難を伴う場合は、製品の欠陥が損害の原因である可能性が高いことのみを立証することを要求すべきである。技術的または科学的な複雑性は、様々な要素を考慮して、各国の裁判所がケースバイケースで判断すべきである。それらの要素には、革新的な医療機器のような製品の複雑な性質、機械学習のような使用される技術の複雑な性質、請求人が分析すべき情報やデータの複雑な性質、医薬品や食品と健康状態の発症との関連や、立証するためには請求人がAIシステムの内部構造を説明する必要があるような関連など、因果関係の複雑な性質が含まれるべきである。過度の困難性のアセスメントも、各国の裁判所がケースバイケースで行うべきである。請求者は過度の困難を証明するための論拠を提供すべきであるが、そのような困難の証明は要求されるべきではない。例えば、AIシステムに関する請求において、裁判所が過度の困難性が存在すると判断するためには、請求人はAIシステムの具体的な特性や、その特性が因果関係の立証をどのように困難にしているのかを説明する必要はないはずである。被告は、過度の困難性の存在を含め、請求のすべての要素について争う可能性を有するべきである。

(50) 上市または使用開始の瞬間は、通常、製品が製造事業者の管理を離れた瞬間であり、頒布事業者にとっては、製品を市場で入手可能にした瞬間である。したがって、製造事業者は、損害の原因となった欠陥が、製品を上市または使用開始した時点では存在しなかったか、または欠陥がその時点以降に存在するようになった可能性が高いことを証明する場合、責任を免除されるべきである。しかし、デジタル技術により、製造事業者は製品を上市または使用開始した時点を超えて管理することができるため、アップデートやアップグレード、機械学習アルゴリズムなど、製造事業者の管理下にあるソフトウェアや関連サービスの結果として、その時点以降に発生した欠陥については、製造事業者は引き続き責任を負うべきである。このようなソフトウエアや関連サービスは、製造事業者が供給している場合、または製造事業者が許可している場合、あるいはサードパーティが供給することを同意している場合には、製造事業者の管理下にあるとみなされるべきである。例えば、スマートテレビがビデオアプリケーションを含むと表示されているにもかかわらず、ユーザーがテレビ購入後にサードパーティーのウェブサイトからアプリケーションをダウンロードする必要がある場合、テレビの製造者は、ビデオアプリケーションの製造者とともに、ビデオアプリケーションの欠陥によって生じた損害について、たとえその欠陥がテレビが上市された後に生じたとしても、引き続き責任を負うべきである。

(51) 製品の欠陥が、サイバーセキュリティの脆弱性に対処し、製品の安全性を維持するために必要なソフトウ ェアの更新やアップグレードの欠如に起因する場合、経済的事業者が、製品を上市または使用開始した後 に欠陥が生じたことを証明することによって責任を回避する可能性は制限されるべきである。そのような脆弱性は、本指令の意味における損害を引き起こすような形で製品に影響を及ぼす可能性がある。欧州議会及び理事会規則(EU)2017/745(16)などに基づき、製品のライフサイクル全体を通じて製品の安全性を確保するための製造者のEU法上の責任を考慮すると、製造者は、製品の欠陥が、進化するサイバーセキュリティリスクに対応して製品の脆弱性に対処するために必要なソフトウェアセキュリティアップデートまたはアップグレードを供給しなかったことに起因する場合、その欠陥製品に起因する損害に対する責任を免除されるべきではない。このような責任は、当該ソフトウェアの供給やインストールが製造事業者の管理の及ばない場合、例えば製品の所有者が製品の安全レベルを確保または維持する目的で供給されたアップデートやアップグレードをインストールしない場合などには適用されるべきではない。本指令は、製品のアップデート又はアップグレードを提供する義務を課すものではない。

(55) 第三者が製品のサイバーセキュリティの脆弱性を悪用するなど、潜在的な責任を負う経済的事業者以外の者の作為・不作為が、製品の欠陥に加えて、被った損害の原因に寄与する状況が生じ得る。消費者保護の観点から、例えば脆弱性によって製品に欠陥があり、一般消費者が期待するよりも製品の安全性が低い場合、第三者によるそのような作為または不作為の結果として、経済的事業者の責任を減免すべきではない。ただし、損害を受けた者自身が過失により損害の原因に寄与した場合、例えば、損害を軽減または回避できたであろう経済的事業者が提供した更新プログラムやアップグレードを、損害を受けた者が過失によりインストールしなかった場合などには、経済的事業者の責任を減免することが可能であるべきである。

-----

条文の目次...

CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter and objective 第1条 主題および目的
Article 2 Scope 第2条 適用範囲
Article 3 Level of harmonisation 第3条 調和のレベル
Article 4 Definitions 第4条 定義
CHAPTER II SPECIFIC PROVISIONS ON LIABILITY FOR DEFECTIVE PRODUCTS 第2章 欠陥製品に対する責任に関する具体的規定
Article 5 Right to compensation 第5条 補償を受ける権利
Article 6 Damage 第6条 損害
Article 7 Defectiveness 第7条 瑕疵担保責任
Article 8 Economic operators liable for defective products 第8条 欠陥製品に対する経済的事業者の責任
Article 9 Disclosure of evidence 第9条 証拠の開示
Article 10 Burden of proof 第10条 立証責任
Article 11 Exemption from liability 第11条 責任の免除
CHAPTER III GENERAL PROVISIONS ON LIABILITY 第3章 責任に関する一般規定
Article 12 Liability of multiple economic operators 第12条 複数の経済的事業者の責任
Article 13 Reduction of liability 第13条 責任の軽減
Article 14 Right of recourse 第14条 求償権
Article 15 Exclusion or limitation of liability 第15条 責任の排除または制限
Article 16 Limitation period 第16条 制限期間
Article 17 Expiry period 第17条 無効期間
CHAPTER IV FINAL PROVISIONS 第4章 最終規定
Article 18 Derogation from development risk defence 第18条 開発リスク防御からの免除
Article 19 Transparency 第19条 透明性
Article 20 Evaluation 第20条 評価
Article 21 Repeal and transitional provision 第21条 撤廃および経過措置
Article 22 Transposition 第22条 移植
Article 23 Entry into force 第23条 施行
Article 24 Addressees 第24条 宛先

 

 

EUR-Lex

・2024.11.18 Directive (EU) 2024/2853 of the European Parliament and of the Council of 23 October 2024 on liability for defective products and repealing Council Directive 85/374/EEC (Text with EEA relevance)

 

2024/2853 18.11.2024 2024/2853 18.11.2024
DIRECTIVE (EU) 2024/2853 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL 2024年10月23日付欧州議会および欧州理事会指令(EU)2024/2853
of 23 October 2024 2024年10月23日
on liability for defective products and repealing Council Directive 85/374/EEC 欠陥製品責任に関する欧州議会および理事会指令85/374/EECを廃止する。
(Text with EEA relevance) (EEA関連文書)
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, 欧州議会および欧州連合理事会は
Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof, 欧州連合の機能に関する条約、特にその第114条に留意する、
Having regard to the proposal from the European Commission, 欧州委員会の提案を考慮する、
After transmission of the draft legislative act to the national parliaments, 立法草案が各国議会に送付された後、欧州委員会の意見を考慮する、
Having regard to the opinion of the European Economic and Social Committee (1), 欧州経済社会委員会(1)の意見を考慮する、
Acting in accordance with the ordinary legislative procedure (2), 通常の立法手続きに従って行動する(2)、
Whereas: 以下の通りである:
(1) In order to improve the proper functioning of the internal market, it is necessary to ensure that competition is not distorted and that the movement of goods is not obstructed. Council Directive 85/374/EEC (3) lays down common rules on liability for defective products with the aim of removing divergences between the legal systems of Member States that may distort competition and affect the movement of goods within the internal market. Greater harmonisation of the common rules on liability for defective products laid down in that Directive would further contribute to the achievement of those objectives, while entailing an increased degree of protection of consumers’ and other natural persons’ health or property. (1)域内市場の適切な機能を改善するためには、競争が歪められず、物品の移動が妨げられないようにすることが必要である。理事会指令85/374/EEC(3)は、競争を歪め、域内市場内の商品の移動に影響を及ぼす可能性のある加盟国の法制度間の乖離を取り除くことを目的として、欠陥製品の責任に関する共通規則を定めている。同指令に規定された欠陥製品責任に関する共通規則の調和が進めば、消費者やその他の自然人の健康や財産の保護の程度が高まる一方で、これらの目的の達成にさらに貢献することになる。
(2) Liability without fault on the part of economic operators remains the sole means of adequately addressing the problem of fair apportionment of risk inherent in modern technological production. (2) 経済的事業者の側に過失のない責任は、現代の技術生産に内在するリスクの公正な配分の問題に適切に対処する唯一の手段であり続ける。
(3) Directive 85/374/EEC has been an effective and important instrument, but it would need to be revised in light of developments related to new technologies, including artificial intelligence (AI), new circular economy business models and new global supply chains, which have led to inconsistencies and legal uncertainty, in particular as regards the meaning of the term ‘product’. Experience gained from applying that Directive has also shown that injured persons face difficulties obtaining compensation due to restrictions on making compensation claims and due to challenges in gathering evidence to prove liability, especially in light of increasing technical and scientific complexity. That includes compensation claims in respect of damage related to new technologies. The revision of that Directive would therefore encourage the roll-out and uptake of such new technologies, including AI, while ensuring that claimants enjoy the same level of protection irrespective of the technology involved and that all businesses benefit from more legal certainty and a level playing field. (3) 指令85/374/EECは効果的で重要な輸入事業者であったが、人工知能(AI)、新しい通達経済ビジネスモデル、新しいグローバルサプライチェーンなど、新技術に関連する発展、特に「製品」という用語の意味に関して矛盾や法的不確実性をもたらしていることに鑑み、改正する必要がある。また、同指令の適用から得られた経験から、特に技術的・科学的な複雑さが増す中、損害賠償請求の制限や、賠償責任を証明する証拠の収集が困難なため、損害を被った人が賠償金を得ることが困難であることが明らかになっている。これには新技術に関する損害賠償請求も含まれる。従って、同指令の改正は、AI を含むそうした新技術の普及と導入を奨励すると同時に、請求者が関係する技術に関係なく同レベルの保護を享受し、すべての企業がより法的確実性と公平な競争条件から恩恵を受けることを保証するものである。
(4) A revision of Directive 85/374/EEC would be needed in order to ensure coherence and consistency with product safety and market surveillance legislation at Union and national level. In addition, there is a need to clarify basic notions and concepts to ensure coherence and legal certainty and a level playing field in the internal market, and to reflect the recent case law of the Court of Justice of the European Union. (4) 欧州連合レベルおよび各国レベルの製品安全および市場監視法制との一貫性と整合性を確保するためには、指令85/374/EECの改正が必要である。加えて、域内市場における一貫性と法的確実性、公平な競争条件を確保し、欧州連合司法裁判所の最近の判例を反映させるために、基本的な概念や概念を明確にする必要がある。
(5) Considering the extensive nature of the amendments that would be required in order for Directive 85/374/EEC to remain effective and in order to ensure clarity and legal certainty, that Directive should be repealed and replaced with this Directive. (5) 指令85/374/EECが有効であり続けるために必要となる改正の広範な性質を考慮し、明確性と法的確実性を確保するために、当該指令は廃止され、本指令に置き換えられるべきである。
(6) In order to ensure that the Union’s product liability regime is comprehensive, no-fault liability for defective products should apply to all movables, including software, including when they are integrated into other movables or installed in immovables. (6) 組合の製造物責任体制が包括的であることを保証するため、欠陥製品に対する無過失責任は、ソフトウェアを含むすべての動産に適用されるべきである。
(7) Liability for defective products should not apply to damage arising from nuclear accidents, in so far as liability for such damage is covered by international conventions ratified by Member States. (7) 原子力事故に起因する損害については、加盟国が批准した国際条約によってその賠償責任がカバーされている限り、欠陥製品に対する賠償責任を適用すべきではない。
(8) In order to create a genuine internal market with a high and uniform level of protection of consumers and other natural persons, and to reflect the case law of the Court of Justice of the European Union, Member States should not, in respect of matters within the scope of this Directive, maintain or introduce provisions that are more stringent or less stringent than those laid down in this Directive. (8) 消費者及びその他の自然人を高水準かつ統一的に保護する真の域内市場を創設するため、及び欧州連合司法裁判所の判例を反映させるため、加盟国は、本指令の範囲内の事項に関して、本指令に規定されているものより厳しい、または緩やかな規定を維持または導入すべきではない。
(9) Under the national law of Member States, an injured person could have a claim for damages on the basis of contractual liability or on grounds of non-contractual liability that does not involve the manufacturer’s liability for the defectiveness of a product as established in this Directive. This concerns for example liability based on a warranty or on fault or strict liability of operators for damage caused by the properties of an organism resulting from genetic engineering. Such national law provisions, which serve to attain, inter alia, the objective of effective protection of consumers and other natural persons, should remain unaffected by this Directive. (9) 加盟国の国内法に基づき、損害を被った者は、契約責任に基づく損害賠償請求、または本指令に定める製品の欠陥に対する製造事業者の責任を伴わない非契約責任を理由とする損害賠償請求を行うことができる。これは例えば、遺伝子組換えによって生じた生物の特性によって生じた損害に対する保証責任や過失責任に基づく責任、あるいは事業者の厳格責任に関わるものである。このような国内法の規定は、特に消費者及びその他の自然人を効果的に保護するという目的を達成するために役立つものであり、本指令の影響を受けないままであるべきである。
(10) In certain Member States, injured persons are entitled to make claims for damage caused by pharmaceutical products under a special national liability system, with the result that effective protection of natural persons in the pharmaceutical sector is already achieved. The right to make such claims should remain unaffected by this Directive. Furthermore, amendments to such special liability systems should not be precluded as long as they do not undermine the effectiveness of the system of liability provided for in this Directive or its objectives. (10) 一部の加盟国では、傷害を受けた者は、特別な国家賠償責任制度に基づき、医薬品に起因する損害の賠償を請求する権利を有しており、その結果、医薬品分野における自然人の効果的な保護がすでに達成されている。このような請求を行う権利は、本指令の影響を受けるべきではない。さらに、このような特別な賠償責任制度の改正は、本指令に規定された賠償責任制度の有効性やその目的を損なわない限り、妨げられるべきでない。
(11) Compensation schemes outside the context of liability regimes, such as national health systems, social security schemes or insurance schemes, fall outside the scope of this Directive and should therefore not be precluded. For example, some Member States have schemes in place to provide compensation in respect of pharmaceutical products that cause harm without being defective. (11) 国民保健制度、社会保障制度、保険制度など、賠償責任制度の枠外にある補償制度は、本指令の適用範囲外であるため、排除すべきではない。例えば、一部の加盟国は、欠陥がなくても害をもたらす医薬品に関して補償を提供する制度を設けている。
(12) Decision No 768/2008/EC of the European Parliament and of the Council (4) lays down common principles and reference provisions intended to apply in all sectoral product legislation. In order to ensure consistency with that Decision, certain provisions of this Directive, in particular the definitions, should be aligned therewith. (12) 欧州議会および理事会の決定第768/2008/EC号(4)は、すべての分野の製品法規に適用することを意図した共通原則と参照規定を定めている。同決定との整合性を確保するため、本指令の一部の規定、特に定義を同決定に合わせる必要がある。
(13) Products in the digital age can be tangible or intangible. Software, such as operating systems, firmware, computer programs, applications or AI systems, is increasingly common on the market and plays an increasingly important role for product safety. Software is capable of being placed on the market as a standalone product or can subsequently be integrated into other products as a component, and it is capable of causing damage through its execution. In the interest of legal certainty, it should be clarified in this Directive that software is a product for the purposes of applying no-fault liability, irrespective of the mode of its supply or usage, and therefore irrespective of whether the software is stored on a device, accessed through a communication network or cloud technologies, or supplied through a software-as-a-service model. Information is not, however, to be considered a product, and product liability rules should therefore not apply to the content of digital files, such as media files or e-books or the mere source code of software. A developer or producer of software, including AI system providers within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (5), should be treated as a manufacturer. (13) デジタル時代の製品には有形無形のものがある。オペレーティングシステム、ファームウェア、コン ピュータプログラム、アプリケーション、AI システムなどのソフトウェアは、市場でますます一般的になり、製品安全にとってますます重要な役割を果たすようになっている。ソフトウェアは単体で上市されることもあれば、コンポーネントとして他の製品に組み込まれることもあり、その実行によって損害を与える可能性がある。法的確実性の観点から、無過失責任を適用する目的では、ソフトウェアはその供給形態や使用形態に関係なく、したがってソフトウェアがデバイスに保存されているか、通信ネットワークやクラウド技術を通じてアクセスされているか、Software-as-a-Serviceモデルを通じて供給されているかに関係なく、製品であることが本指令で明確にされるべきである。しかし、情報は製品とはみなされず、製造物責任の規定は、メディアファイルや電子書籍などのデジタルファイルのコンテンツや、ソフトウェアの単なるソースコードには適用されない。欧州議会および理事会規則(EU)2024/1689(5)の意味におけるAIシステムプロバイダを含むソフトウェアの開発者または生産者は、製造事業者として扱われるべきである。
(14) Free and open-source software, whereby the source code is openly shared and users can freely access, use, modify and redistribute the software or modified versions thereof, can contribute to research and innovation on the market. Such software is subject to licences that allow anyone the freedom to run, copy, distribute, study, change and improve the software. In order not to hamper innovation or research, this Directive should not apply to free and open-source software developed or supplied outside the course of a commercial activity, since products so developed or supplied are by definition not placed on the market. Developing or contributing to such software should not be understood as making it available on the market. Providing such software on open repositories should not be considered as making it available on the market, unless that occurs in the course of a commercial activity. In principle, the supply of free and open-source software by non-profit organisations should not be considered as taking place in a business-related context, unless such supply occurs in the course of a commercial activity. However, where software is supplied in exchange for a price, or for personal data used other than exclusively for improving the security, compatibility or interoperability of the software, and is therefore supplied in the course of a commercial activity, this Directive should apply. (14) ソースコードがオープンに共有され、ユーザーが自由にソフトウェアやその修正版にアクセスし、使用、修正、再配布できるフリー・オープンソースソフトウェアは、市場における研究やイノベーションに貢献することができる。このようなソフトウェアは、誰でも自由に実行、コピー、配布、研究、変更、改善を行うことができるライセンスの対象となる。技術革新や研究の妨げにならないよう、本指令は、商業活動の範囲外で開発または提供されたフリーソフトウェアやオープンソースソフトウェアには適用すべきではない。このようなソフトウェアの開発または貢献は、市場で入手可能なものと理解すべきではない。そのようなソフトウェアをオープンリポジトリでプロバイダとして提供することは、それが商業活動の過程で発生しない限り、市場で入手可能とみなされるべきではない。原則として、非営利団体によるフリー・オープンソースソフトウェアの供給は、商業活動の過程で行われない限り、ビジネスに関連した文脈で行われるものとはみなされるべきではない。ただし、対価と引き換えにソフトウェアが提供される場合、または専らソフ トウェアのセキュリティ、互換性、相互運用性を改善する目的以外で使用される個人 データと引き換えにソフトウェアが提供される場合、したがって商業活動の一環としてソ フトウェアが提供される場合には、本指令が適用されるべきである。
(15) Where free and open-source software supplied outside the course of a commercial activity is subsequently integrated by a manufacturer as a component into a product in the course of a commercial activity and is thereby placed on the market, it should be possible to hold that manufacturer liable for damage caused by the defectiveness of such software but not the manufacturer of the software because the manufacturer of the software would not have fulfilled the conditions of placing a product or component on the market. (15) 商業活動の過程外で供給されたフリーでオープンソースなソフトウェアが、その後製造事業者 によって商業活動の過程で製品にコンポーネントとして統合され、それによって上市された場 合、当該ソフトウェアの欠陥によって生じた損害については当該製造事業者に責任を負わせ ることが可能であるが、ソフトウェアの製造事業者は製品またはコンポーネントを上市する条件を満たしていないことになるため、責任を負わないものとする。
(16) Whereas digital files as such are not products within the scope of this Directive, digital manufacturing files, which contain the functional information necessary to produce a tangible item by enabling the automated control of machinery or tools, such as drills, lathes, mills and 3D printers, should be considered to be products in order to ensure the protection of natural persons in cases where such files are defective. For example, a defective computer-assisted-design file used to create a 3D-printed good that causes harm should give rise to liability under this Directive, where such a file is developed or supplied in the course of a commercial activity. For the avoidance of doubt, it should be clarified that raw materials, such as gas and water, and electricity are products. (16) デジタルファイルそのものは本指令の範囲内の製品ではないが、ドリル、旋盤、フライス盤、3D プリンタなど、機械や工具の自動制御を可能にして有形物品を製造するために必要な機能情報を含むデジタル製造ファイルは、当該ファイルに欠陥がある場合に自然人の保護を確保するために製品とみなされるべきである。例えば、危害をもたらす 3D プリント製品の作成に使用される欠陥のあるコンピュータ支援設計ファ イルは、当該ファイルが商業活動の過程で開発または提供された場合、本指令に基づく責任を生じ るべきである。疑義を避けるため、ガスや水などの原材料や電気は製品であることを明確にすべきである。
(17) It is becoming increasingly common for digital services to be integrated into, or inter-connected with, a product in such a way that the absence of the service would prevent the product from performing one of its functions. While this Directive should not apply to services as such, it is necessary to extend no-fault liability to such integrated or inter-connected digital services as they determine the safety of the product just as much as physical or digital components. Those related services should be considered components of the product into which they are integrated or with which they are inter-connected where they are within the control of the manufacturer of that product. Examples of related services include the continuous supply of traffic data in a navigation system, a health monitoring service that relies on a physical product’s sensors to track the user’s physical activity or health metrics, a temperature control service that monitors and regulates the temperature of a smart fridge, or a voice-assistant service that allows one or more products to be controlled by using voice commands. Internet access services should not be treated as related services, since they cannot be considered as part of a product within a manufacturer’s control and it would be unreasonable to make manufacturers liable for damage caused by shortcomings in internet access services. Nevertheless, a product that relies on internet access services and fails to maintain safety in the event of a loss of connectivity could be found to be defective under this Directive. (17) デジタルサービスが製品に統合されたり、相互接続されたりして、そのサービスがなければ 製品がその機能の一つを果たせなくなるような状況はますます一般的になってきている。本指令はそのようなサービスには適用されるべきではないが、そのような統合または相互接続されたデジタルサービスは、物理的またはデジタルコンポーネントと同様に製品の安全性を決定するため、無過失責任を拡大する必要がある。これらの関連サービスは、その製品の製造事業者の管理下にある場合、それらが統合されている、あるいは相互に接続されている製品の構成要素とみなされるべきである。関連サービスの例としては、ナビゲーションシステムにおける交通データの継続的な供給、物理的製品のセンサーに依存してユーザーの身体活動や健康指標を追跡する健康モニタリングサービス、スマート冷蔵庫の温度を監視・調整する温度制御サービス、音声コマンドを使用して1つ以上の製品を制御できるようにする音声アシスタントサービスなどがある。インターネット・アクセス・サービスは、製造事業者の管理下にある製品の一部とは見なされず、インターネット・アクセス・サービスの欠陥によって生じた損害について製造事業者に責任を負わせるのは不合理であるため、関連サービスとして扱うべきではない。とはいえ、インターネット接続サービスに依存し、接続性が失われた場合の安全性を維持できない製品は、本指令に基づき欠陥があると認定される可能性がある。
(18) Related services and other components, including software updates and upgrades, should be considered to be within the manufacturer’s control where they are integrated into, or inter-connected with, a product, or supplied, by the manufacturer or where the manufacturer authorises or consents to their integration, inter-connection or supply by a third party, for example where the manufacturer of a smart home appliance consents to the provision by a third party of software updates for the manufacturer’s appliance or where a manufacturer presents a related service or component as part of the product even though it is supplied by a third party. A manufacturer should not be considered to have consented to integration or inter-connection merely by providing for the technical possibility of integration or inter-connection or by recommending certain brands or by not prohibiting potential related services or components. (18) ソフトウェアの更新やアップグレードを含む関連サービスやその他のコンポーネントは、製造事業者によ って製品に統合されるか、製品に相互接続されるか、製品に供給される場合、または製造事業者が 第三者による統合、相互接続、供給を許可または同意する場合、例えば、スマート家電の製造事業者が 第三者による製造事業者の家電製品のソフトウェア更新の提供を同意する場合、または製造事 業者が第三者によって供給されているにもかかわらず製品の一部として関連サービスやコンポー ネントを提示する場合、製造事業者の管理下にあるとみなされるべきである。製造事業者は、単に統合や相互接続の技術的可能性を提供したり、特定のブランドを推奨したり、潜在的な関連サービスやコンポーネントを禁止しないことによって、統合や相互接続に同意したとみなされるべきではない。
(19) Once a product has been placed on the market, it should be considered to remain within the manufacturer’s control where the manufacturer retains the ability to supply software updates or upgrades itself or via a third party. (19) 製品が上市された後、製造事業者がソフトウェアの更新やアップグレードを自ら又はサードパーティを通じ て供給する能力を保持している場合、その製品は製造事業者の管理下にあると考えられる。
(20) In recognition of the growing relevance and value of intangible assets, the destruction or corruption of data, such as digital files deleted from a hard drive, should also be compensated for, including the cost of recovering or restoring those data. The protection of natural persons necessitates compensation being available for material losses resulting not only from death or personal injury, such as funeral or medical expenses or lost income, and from damage to property, but also for destruction or corruption of data. Destruction or corruption of data does not automatically result in a material loss if the victim is able to retrieve the data at no cost, such as where a back-up of the data exists or the data can be downloaded again, or an economic operator restores or recreates temporarily unavailable data, for example in a virtual environment. Destruction or corruption of data is distinct from data leaks or breaches of data protection rules, and, consequently, compensation for infringements of Regulation (EU) 2016/679 (6) or (EU) 2018/1725 (7) of the European Parliament and of the Council or Directive 2002/58/EC (8) or (EU) 2016/680 (9) of the European Parliament and of the Council is not affected by this Directive. (20) 無形資産の重要性と価値が高まっていることを認識し、ハードドライブから削除されたデジタ ルファイルなどのデータの破壊や破損についても、それらのデータの回復や復元にかかる費用 を含めて補償すべきである。自然人の保護には、葬儀費用や医療費、逸失利益などの死亡や個人的傷害、財産の損害だけでなく、データの破壊や破損によって生じた物質的損失についても補償が必要である。例えば、データのバックアップが存在する場合、データを再度ダウンロードできる場合、経済的事業者が仮想環境などで一時的に利用できなくなったデータを復元または再作成する場合などである。データの破壊または破損は、データの漏えいまたはデータ保護規則の違反とは区別され、その結果、欧州議会および理事会の規則(EU)2016/679(6 )または(EU)2018/1725(7 )または欧州議会および理事会の指令2002/58/EC(8 )または(EU)2016/680(9 )の違反に対する補償は、本指令の影響を受けない。
(21) In the interest of legal certainty, this Directive should clarify that personal injury includes medically recognised and medically certified damage to psychological health that affects the victim’s general state of health and could require therapy or medical treatment, taking into account, inter alia, the International Classification of Diseases of the World Health Organization. (21) 法的確実性の観点から、本指令は、人身傷害には、特に世界保健機関(WHO)の国際疾病分類 を考慮して、被害者の一般的な健康状態に影響を及ぼし、治療または医学的処置を必要とする可能性の ある、医学的に認められ、医学的に認定された精神的健康に対する損害が含まれることを 明確にすべきである。
(22) In line with this Directive’s objective of making compensation available only to natural persons, damage to property used exclusively for professional purposes should not be compensated under this Directive. In order to address a potential risk of litigation in an excessive number of cases, the destruction or corruption of data that are used for professional purposes, even if not exclusively so, should not be compensated for under this Directive. (22) 自然人のみが補償を受けられるようにするという本指令の目的に沿って、専ら業務上の目的に使用される財産に対する損害は、本指令に基づき補償されるべきではない。過剰な件数の訴訟リスクの可能性に対処するため、専らでないにせよ、業務目的に使用されるデータの破壊や破損は、本指令の下では補償されるべきではない。
(23) While Member States should provide for full and proper compensation for all material losses resulting from death or personal injury, or from damage to or destruction of property, and destruction or corruption of data, the rules on calculating compensation should be laid down by Member States. Furthermore, compensation for non-material losses resulting from damage covered by this Directive, such as pain and suffering, should be provided in so far as such losses can be compensated for under national law. (23) 加盟国は、死亡や個人傷害、財産の損害や破壊、データの破壊や破損に起因するすべての物的損失について完全かつ適切な補償を提供すべきであるが、補償の計算規則は加盟国が定めるべきである。さらに、本指令の対象となる損害に起因する非物質的損失、例えば痛みや苦しみに対す る補償は、かかる損失が国内法の下で補償され得る限りにおいてプロバイダが提供され るべきである。
(24) Types of damage other than those provided for in this Directive, such as pure economic loss, privacy infringements or discrimination, should not by themselves trigger liability under this Directive. However, this Directive should not affect the right to compensation for any damage, including non-material, under other liability regimes. (24) 純粋な経済的損失、プライバシーの侵害、識別的損害など、本指令に規定されているも の以外の損害の種類は、それ自体で本指令に基づく責任を誘発すべきではない。しかし、本指令は他の責任制度に基づく、非物質的なものを含むあらゆる損害に対する補償の権利に影響を及ぼすべきではない。
(25) In order to protect natural persons, damage to any property owned by a natural person should be compensated for. Since property is increasingly used for both private and professional purposes, it is appropriate to provide for compensation for damage to such mixed-use property. In light of this Directive’s objective of protecting natural persons, property used exclusively for professional purposes should be excluded from its scope. (25) 自然人を保護するため、自然人が所有する財産に対する損害は補償されるべきである。不動産が私的な目的と職業的な目的の両方に使用されることが増えているため、そのような複合用途の不動産に対する損害賠償を規定することは適切である。自然人を保護するという本指令の目的に照らせば、専ら職業目的に使用される財産はその範囲から除外されるべきである。
(26) This Directive should apply to products placed on the market or, where relevant, put into service in the course of a commercial activity, whether in return for payment or free of charge, for example products supplied in the context of a sponsoring campaign or products manufactured for the provision of a service financed by public funds, since that mode of supply nonetheless has an economic or business character. The concept of ‘putting into service’ is relevant for products that are not placed on the market prior to their first use, as can be the case for lifts, machinery or medical devices. (26) 本指令は、当該供給形態が経済的又は事業的性格を有しているにもかかわらず、例えばスポン サーキャンペーンに関連して供給される製品や公的資金によって賄われるサービスの提供のた めに製造される製品など、支払の対価であるか無償であるかを問わず、商業活動の過程で上市され た製品又は関連する場合には使用される製品に適用されるべきである。使用開始」の概念は、リフト、機械、医療機器のように、最初の使用前に上市されない製品に関連する。
(27) In so far as national law so provides, the right to compensation for injured persons should apply both to direct victims, who suffer damage directly caused by a defective product, and to indirect victims, who suffer damage as a result of the direct victim’s damage. (27) 国内法に規定がある限り、負傷者に対する補償の権利は、欠陥製品によって直接損害を被った直接被害者と、直接被害者の損害の結果として損害を被った間接被害者の両方に適用されるべきである。
(28) Taking into account the increased complexity of products, of business models and of supply chains, and considering that the aim of this Directive is to ensure that consumers and other natural persons can easily exercise their right to obtain compensation in the event of damage caused by defective products, it is important that Member States ensure that competent consumer protection authorities or bodies provide all relevant information to affected consumers to enable them to effectively exercise their right to compensation in accordance with this Directive. In doing so, it is appropriate that Member States have regard to existing obligations concerning cooperation between national authorities responsible for enforcing consumer protection law, in particular the obligations under Regulation (EU) 2017/2394 of the European Parliament and of the Council (10). It is important that national consumer protection authorities or bodies regularly exchange any relevant information that they become aware of and closely cooperate with market surveillance authorities. Member States can also encourage the competent consumer protection authorities or bodies to provide information to consumers to enable them better to exercise their right to compensation in accordance with this Directive effectively. (28) 製品、ビジネスモデル、サプライチェーンが複雑化していることを考慮し、また、本指令の目 的が、消費者及びその他の自然人が欠陥製品による損害の場合に補償を受ける権利を容易に行使で きるようにすることであることを考慮すると、加盟国は、影響を受ける消費者が本指令に従っ て補償を受ける権利を効果的に行使できるように、管轄の消費者保護当局または団体がすべ ての関連情報を提供することを確保することが重要である。その際、加盟国は、消費者保護法の施行を担当する各国当局間の協力に関する既存の義務、特に欧州議会及び理事会の規則(EU)2017/2394(10)に基づく義務を考慮することが適切である。各国の消費者保護当局または団体は、把握した関連情報を定期的に交換し、市場監視当局と緊密に協力することが重要である。加盟国はまた、管轄の消費者保護当局または団体に対し、消費者が本指令に従って補償を受ける権利を効果的に行使できるよう、消費者への情報提供を奨励することができる。
(29) This Directive does not affect the various means of seeking redress at national level, whether through court proceedings, non-court solutions, alternative dispute resolution or representative actions under Directive (EU) 2020/1828 of the European Parliament and of the Council (11) or under national collective redress schemes. (29) 本指令は、欧州議会及び理事会指令(EU) 2020/1828(11)に基づく裁判手続、裁判外解決、裁判外紛争解決、代表者訴訟、または国内集団救済制度に基づく国内レベルでの救済を求める様々な手段に影響を及ぼすものではない。
(30) In order to protect the health and property of natural persons, the defectiveness of a product should be determined by reference not to its fitness for use but to the lack of the safety that a person is entitled to expect or that is required under Union or national law. The assessment of defectiveness should involve an objective analysis of the safety that the public at large is entitled to expect and not refer to the safety that any particular person is entitled to expect. The safety that the public at large is entitled to expect should be assessed by taking into account, inter alia, the intended purpose, reasonably foreseeable use, presentation, objective characteristics and properties of the product in question, including its expected lifespan, as well as the specific requirements of the group of users for whom the product is intended. Some products, such as life-sustaining medical devices, entail an especially high risk of causing damage to people and therefore give rise to particularly high safety expectations. In order to take such expectations into account, it should be possible for a court to find that a product is defective without establishing its actual defectiveness, where it belongs to the same production series as a product already proven to be defective. (30) 自然人の健康と財産を保護するため、製品の欠陥性は、その使用に対する適合性ではなく、人が期待する権利がある、または欧州連合法もしくは国内法の下で要求される安全性の欠如を参照して決定されるべきである。欠陥のアセスメントは、一般大衆が期待する安全性の客観的分析を含むべきであり、特定の人が期待する安全性に言及すべきではない。一般大衆が期待する権利を有する安全性は、特に、意図された目的、合理的に予見可能な使用方法、表示、予想される寿命を含む当該製品の客観的特性および特性、ならびに製品が意図される使用者グループの特定の要件を考慮して評価されるべきである。生命を維持する医療機器のような一部の製品は、人に損害を与えるリスクが特に高いため、特に高い安全性への期待が生じる。このような期待を考慮するため、すでに欠陥があると証明された製品と同じ製造シリーズに属する製品については、実際の欠陥性を立証することなく欠陥があると裁判所が認定することが可能であるべきである。
(31) The assessment of defectiveness should take into account the presentation of the product. However, warnings or other information provided with a product cannot be considered sufficient to make an otherwise defective product safe, since defectiveness should be determined by reference to the safety that the public at large is entitled to expect. Therefore, liability under this Directive cannot be avoided simply by listing all conceivable side effects of a product. When determining the defectiveness of a product, reasonably foreseeable use also encompasses misuse that is not unreasonable under the circumstances, such as the foreseeable behaviour of a user of machinery resulting from a lack of concentration or the foreseeable behaviour of certain user groups such as children. (31) 欠陥性のアセスメントは、製品のプレゼンテーションを考慮に入れるべきである。しかし、欠陥性は一般大衆が期待する権利がある安全性を参照して決定されるべきであり、製品とともに提供される警告やその他の情報は、そうでなければ欠陥のある製品を安全にするのに十分であるとは考えられない。従って、本指令に基づく責任は、製品の考えられる副作用をすべて列挙するだけでは回避できない。製品の欠陥性を判断する場合、合理的に予見可能な使用には、集中力の欠如に起因する機械の使用者の予見可能な行動や、子供など特定の使用者グループの予見可能な行動など、状況下で不合理ではない誤用も含まれる。
(32) In order to reflect the increasing prevalence of inter-connected products, the assessment of a product’s safety should take into account the reasonably foreseeable effects of other products on the product in question, for example within a smart home system. The effect on a product’s safety of any ability to learn or acquire new features after it is placed on the market or put into service should also be taken into account to reflect the legitimate expectation that a product’s software and underlying algorithms are designed in such a way as to prevent hazardous product behaviour. Consequently, a manufacturer that designs a product with the ability to develop unexpected behaviour should remain liable for behaviour that causes harm. In order to reflect the fact that in the digital age many products remain within the manufacturer’s control after being placed on the market, the moment in time a product leaves the manufacturer’s control should also be taken into account in the assessment of a product’s safety. A product can also be found to be defective on account of its cybersecurity vulnerability, for example where the product does not fulfil safety-relevant cybersecurity requirements. (32) 相互に接続された製品の普及を反映するため、製品の安全性のアセスメントでは、例えばスマートホームシステムのように、他の製品が当該製品に及ぼす合理的に予見可能な影響を考慮すべきである。また、上市後または使用開始後に新しい機能を学習または獲得する能力が製品の安全性に及ぼす影響も、製品のソフトウェアと基礎となるアルゴリズムが製品の危険な挙動を防止するように設計されているという正当な期待を反映するために考慮されるべきである。その結果、予期せぬ挙動を起こす可能性のある製品を設計した製造事業者は、危害をもたらす挙動に対して引き続き責任を負うべきである。デジタル時代において、上市後も多くの製品が製造事業者の管理下にあるという事実を反映するため、製品の安全性のアセスメントでは、製品が製造事業者の管理下から離れた瞬間も考慮されるべきである。また、製品が安全関連のサイバーセキュリティ要件を満たしていない場合など、サイバーセキュリティの脆弱性を理由に欠陥があると認定されることもある。
(33) In order to reflect the nature of products whose very purpose is to prevent damage, such as a warning mechanism like a smoke alarm, the assessment of the defectiveness of such a product should take into account its failure to fulfil that purpose. (33) 煙感知器のような警告機構など、損害を防止することそのものが目的である製品の性質を反映す るため、そのような製品の欠陥のアセスメントでは、その目的が果たされていないことを考慮す べきである。
(34) In order to reflect the relevance of product safety and market surveillance legislation for determining the level of safety that a person is entitled to expect, it should be clarified that relevant product safety requirements, including safety-relevant cybersecurity requirements, and interventions by competent authorities, such as issuing product recalls, or by economic operators themselves, should be taken into account in the assessment of defectiveness. Such interventions should, however, not in themselves create a presumption of defectiveness. (34) 人が期待する権利のある安全性のレベルを決定するための製品安全及び市場監視に関する法律の関連性を反映させるために、安全関連サイバーセキュリティ要件を含む関連製品安全要件、及び製品リコールの発行などの所轄当局による介入、又は経済的事業者自身による介入を欠陥性のアセスメントに考慮すべきであることを明確にすべきである。ただし、こうした介入は、それ自体が欠陥の推定を生むものであってはならない。
(35) In the interests of consumer choice and in order to encourage innovation, research and easy access to new technologies, the existence or subsequent placing on the market of a better product should not in itself lead to the conclusion that a product is defective. Similarly, the supply of updates or upgrades for a product should not in itself lead to the conclusion that a previous version of the product is defective. (35) 消費者の選択の利益のため、また、技術革新、研究、新技術への容易なアクセスを奨励するため、より優れた製品の存在やその後の上市は、それ自体で製品に欠陥があるという結論を導くべきではない。同様に、製品のアップデートやアップグレードの提供は、それ自体で旧バージョンの製品に欠陥があるという結論を導くべきではない。
(36) The protection of natural persons requires that any manufacturer involved in the production process can be held liable, in so far as a product or a component supplied by that manufacturer is defective. This includes any person who presents themselves as the manufacturer by putting, or authorising a third party to put, their name, trademark or other distinguishing feature on a product, since by doing so that person gives the impression of being involved in the production process or of assuming responsibility for it. Where a manufacturer integrates a defective component from another manufacturer into a product, an injured person should be able to seek compensation for the same damage both from the manufacturer of the product and from the manufacturer of the component. Where a component is integrated into a product outside the control of the manufacturer of that product, an injured person should be able to seek compensation from the component manufacturer where the component itself is a product under this Directive. (36) 自然人の保護では、製造過程に関与する製造事業者は、その製造事業者が供給した製品または部品に欠陥がある限り、責任を問われる可能性がある。これには、製品に自己の名称、商標その他の識別機能を付すこと、または付すことをサードパーティに許可することによって、製造事業者であることを示す者が含まれる。製造事業者が他の製造事業者の欠陥部品を製品に組み込んだ場合、損害を被った者は、製品の製造事業者と部品の製造事業者の両方に対して、同じ損害の賠償を求めることができるはずである。部品が当該製品の製造事業者の管理外で製品に組み込まれた場合、その部品自体が本指令に基づく製品である場合、損害を受けた者は部品の製造事業者に補償を求めることができるはずである。
(37) In order to ensure that injured persons have an enforceable claim for compensation where a manufacturer of a product is established outside the Union, it should be possible to hold the importer of that product and the authorised representative of the manufacturer, appointed in relation to specified tasks under Union legislation, for example under product safety and market surveillance legislation, liable. Market surveillance has shown that supply chains sometimes involve economic operators whose novel form means that they do not fit easily into traditional supply chains under the existing legal framework. Such is the case, in particular, with fulfilment service providers, which perform many of the same functions as importers but which might not always correspond to the traditional definition of importer in Union law. Fulfilment service providers play an increasingly significant role as economic operators, enabling and facilitating access to the Union market for products from third countries. That shift in relevance is already reflected in the product safety and market surveillance framework, in particular Regulations (EU) 2019/1020 (12) and (EU) 2023/988 (13) of the European Parliament and of the Council. Therefore, it should be possible to hold fulfilment service providers liable, but given the subsidiary nature of their role, they should be liable only where no importer or authorised representative is established in the Union. In the interests of channelling liability in an effective manner towards manufacturers, importers, authorised representatives and fulfilment service providers, it should be possible to hold distributors liable only where they fail to promptly identify a relevant economic operator established in the Union. (37) 製品の製造者が域外に設立されている場合、負傷者が強制力のある賠償請求を行えるようにするため、当該製品の輸入事業者及び、例えば製品安全や市場監視に関する法令に基づき、域内法令に基づく特定業務に関して任命された製造者の公認代表者の責任を問えるようにすべきである。市場監視の結果、サプライチェーンには経済的事業者が関与している場合があり、その斬新な形態は、既存の法的枠組みのもとでは伝統的なサプライチェーンに容易になじまないことを意味している。特に、フルフィルメント・サービス・プロバイダーは、輸入事業者と同じ機能の多くを果たすが、EU法における伝統的な輸入者の定義には必ずしも当てはまらない場合がある。フルフィルメント・サービス・プロバイダーは、経済的事業者としてますます重要な役割を果たすようになり、第三国からの製品のEU市場へのアクセスを可能にし、促進している。このような関連性の変化は、製品安全および市場監視の枠組み、特に欧州議会および理事会規則(EU)2019/1020(12)および(EU)2023/988(13)にすでに反映されている。したがって、フルフィルメント・サービス・プロバイダの責任を問うことは可能であるが、その役割の補助的性質を考慮すると、輸入事業者または公認代表者が域内に設立されていない場合にのみ責任を負うべきである。製造事業者、輸入事業者、公認代理人、およびフルフィルメント・サービス・プロバイダーに対して効果的な方法で責任を負わせるという観点から、頒布事業者は、域内に設立された関連経済的事業者を速やかに特定できなかった場合にのみ責任を負うことが可能であるべきである。
(38) Online selling has grown consistently and steadily, creating new business models and new actors in the market, such as online platforms. Regulation (EU) 2022/2065 of the European Parliament and of the Council (14) and Regulation (EU) 2023/988 regulate, inter alia, the responsibility and accountability of online platforms with regard to illegal content, including in relation to the sale of products. When online platforms perform the role of manufacturer, importer, authorised representative, fulfilment service provider or distributor in respect of a defective product, they should be subject to the same liability as such economic operators. Where online platforms play a mere intermediary role in the sale of products between traders and consumers, they are covered by a conditional liability exemption under Regulation (EU) 2022/2065. However, Regulation (EU) 2022/2065 provides that online platforms that allow consumers to conclude distance contracts with traders are not exempt from liability under consumer protection law where they present the product or otherwise enable the specific transaction in question in a way that would lead an average consumer to believe that the product is provided either by the online platform itself or by a trader acting under its authority or control. In keeping with that principle, where online platforms so present the product or otherwise enable the specific transaction, it should be possible to hold them liable in the same way as distributors under this Directive. Therefore, provisions of this Directive relating to distributors should apply analogously to such online platforms. That means that such online platforms should be liable only where they present the product or otherwise enable the specific transaction in a way that would lead an average consumer to believe that the product is provided either by the online platform itself or by a trader acting under its authority or control, and only where the online platform fails to promptly identify a relevant economic operator established in the Union. (38) オンライン販売は一貫して着実に成長しており、オンライン・プラットフォームのような新しいビジネスモデルや新しいアクターを市場に生み出している。欧州議会および理事会規則(EU) 2022/2065(14)および規則(EU) 2023/988は、特に、製品の販売に関連するものを含め、違法なコンテンツに関するオンライン・プラットフォームの責任と説明責任を規制している。オンラインプラットフォームが欠陥製品に関して製造事業者、輸入事業者、公認代表者、履行サービスプロバイダーまたは頒布事業者の役割を果たす場合、そのような経済的事業者と同じ責任を負うべきである。オンラインプラットフォームが取引業者と消費者間の製品販売において単なる仲介的役割を果たす場合、規則(EU) 2022/2065に基づく条件付責任免除の対象となる。しかし、規則(EU) 2022/2065は、消費者が取引者と遠隔契約を締結することを可能にするオンラインプラットフォームが、製品を提示するか、または、その製品がオンラインプラットフォーム自体またはその権限または管理の下で行動する取引者によって提供されると平均的な消費者に信じさせるような方法で問題の特定の取引を可能にする場合、消費者保護法の下で責任を免除されないと規定している。この原則に従い、オンラインプラット フォームがそのように製品を提示するか、さもなければ特定の取引を可能にする場合、本指令に基づ く頒布事業者と同じ方法で責任を問うことができるはずである。したがって、頒布事業者に関する本指令の規定は、当該オンラインプラットフォームに類推適用されるべきである。つまり、当該オンラインプラットフォームは、平均的消費者が当該製品がオンラインプラットフォーム自体又はその認可若しくは管理の下で行動する取引業者によって提供されていると信じるような方法で製品を提示し、又はその他の方法で特定の取引を可能にする場合にのみ、また、当該オンラインプラットフォームが域内に設立された関連経済的事業者を速やかに特定できなかった場合にのみ、責任を負うべきである。
(39) In the transition from a linear to a circular economy, products are designed to be more durable, reusable, repairable and upgradable. The Union is also promoting innovative and sustainable forms of production and consumption that prolong the functionality of products and components, such as remanufacturing, refurbishment and repair, as set out in the communication of the Commission of 11 March 2020 entitled ‘A new Circular Economy Action Plan – For a cleaner and more competitive Europe’. When a product is substantially modified and is thereafter made available on the market or put into service, it is considered to be a new product. Where the modification is made outside the control of the original manufacturer, it should be possible to hold the person that made the substantial modification liable as a manufacturer of the modified product, since under relevant Union law that person is responsible for the product’s compliance with safety requirements. Whether a modification is substantial should be determined on the basis of criteria laid down in relevant Union and national product safety law, including Regulation (EU) 2023/988. Where no such criteria are laid down in respect of the product in question, modifications that change the original intended functions of the product or affect its compliance with applicable safety requirements or change its risk profile should be considered to be substantial modifications. Where a substantial modification is carried out by the original manufacturer, or within its control, and where such a substantial modification makes the product defective, that manufacturer should not be able to avoid liability by arguing that the defectiveness came into being after it placed the product on the market or put it into service. In the interests of a fair apportionment of risk in the circular economy, an economic operator that makes a substantial modification, other than the original manufacturer, should be exempted from liability if that economic operator can prove that the damage is related to a part of the product not affected by the modification. Economic operators that carry out repairs or other operations that do not involve substantial modifications should not be subject to liability under this Directive. (39) 線形経済から循環経済への移行において、製品はより耐久性があり、再利用可能で、修理可能で、アップグレード可能であるように設計されている。欧州連合はまた、2020年3月11日付けの欧州委員会のコミュニケーション「新たな循環経済行動計画-よりクリーンで競争力のある欧州のために」に示されているように、再製造、改修、修理など、製品や部品の機能を長持ちさせる革新的で持続可能な生産と消費の形態を推進している。製品に大幅な改造が施され、その後市場で入手可能になったり、使用されるようになった場合、それは新製品とみなされる。改造が元の製造事業者の管理外で行われた場合、関連するEU法の下では、その製造事業者が製品の安全要求事項への適合に責任を負うため、大幅な改造を行った者を改造製品の製造事業者として責任を問うことができるはずである。実質的な変更かどうかは、規則(EU)2023/988を含む、関連するEUおよび各国の製品安全法に定められた規準に基づいて決定されるべきである。当該製品に関してそのような規準が定められていない場合、製品の当初の意図された機能を変更する、または適用される安全要求事項への適合に影響を与える、またはリスクプロファイルを変更するような改変は、実質的な改変とみなされるべきである。実質的な改造が元の製造事業者によって、またはその管理範囲内で行われ、そのような実質的な改造によって製品に欠陥が生じた場合、その製造事業者は、製品を上市または使用開始した後に欠陥が生じたと主張することによって責任を免れることはできないはずである。通達経済におけるリスクの公平な配分のためには、製造事業者以外の、大幅な改造を行った経済的事業者は、その損害が改造の影響を受けていない製品の一部に関連していることを証明できれば、責任を免れるべきである。実質的な改造を伴わない修理その他の作業を実施する経済的事業者は、本指令に基づく責任を負うべきでない。
(40) Since products can be designed in a manner that allows modifications to be made through changes to software, including upgrades, the same principles should apply to modifications made by way of a software update or upgrade as apply to modifications made in other ways. Where a substantial modification is made through a software update or upgrade, or due to the continuous learning of an AI system, the substantially modified product should be considered to be made available on the market or put into service at the time that modification is actually made. (40) 製品は、アップグレードを含むソフトウェアの変更によって修正を行うことができるように設計することができるため、ソフトウェアの更新またはアップグレードによって行われる修正には、他の方法で行われる修正に適用されるのと同じ原則が適用されるべきである。ソフトウェアの更新やアップグレードによって、あるいはAIシステムの継続的な学習によって、実質的な改変が行われた場合、その改変が実際に行われた時点で、実質的に改変された製品が市場で入手可能になった、あるいは使用開始されたとみなされるべきである。
(41) Where victims fail to obtain compensation because no person is held liable under this Directive or because the liable persons are insolvent or have ceased to exist, Member States can use existing national sectoral compensation schemes or establish new ones under national law to appropriately compensate injured persons who suffered damage caused by defective products. It is for Member States to decide whether such compensation schemes are funded in whole or in part from public or private revenue. (41) 本指令に基づき責任を負う者がいないため、または責任を負う者が支払不能であるか消滅しているため、被害者が補償を得ることができない場合、加盟国は欠陥製品により損害を被った負傷者を適切に補償するため、既存の国内部門別補償制度を利用するか、または国内法に基づき新たな補償制度を設立することができる。このような補償制度の全部または一部を公的資金で賄うか民間資金で賄うかは加盟国が決めることである。
(42) In light of the imposition on economic operators of liability irrespective of fault, and with a view to achieving a fair apportionment of risk, a person that claims compensation for damage caused by a defective product should bear the burden of proving the damage, the defectiveness of a product and the causal link between the two, in accordance with the standard of proof applicable under national law. Persons claiming compensation for damage are, however, often at a significant disadvantage compared to manufacturers in terms of access to, and understanding of, information on how a product was produced and how it operates. That asymmetry of information can undermine the fair apportionment of risk, in particular in cases involving technical or scientific complexity. It is therefore necessary to facilitate claimants’ access to evidence to be used in legal proceedings. Such evidence includes documents that have to be created ex novo by the defendant by compiling or classifying the available evidence. In assessing the request for disclosure of evidence, national courts should ensure that such access is limited to that which is necessary and proportionate, inter alia, to avoid non-specific searches for information that is not relevant to the proceedings and to protect confidential information, such as information falling within the scope of legal professional privilege and trade secrets in accordance with Union and national law, in particular Directive (EU) 2016/943 of the European Parliament and of the Council (15). Taking into consideration the complexity of certain types of evidence, for example evidence relating to digital products, it should be possible for national courts to require such evidence to be presented in an easily accessible and easily understandable manner, subject to certain conditions. (42) 過失にかかわらず経済的事業者に責任を課すことに鑑み、また、リスクの公正な配分を達成する観点から、欠陥製品に起因する損害の賠償を請求する者は、国内法に適用される証明標準に従って、損害、製品の欠陥、および両者の因果関係を証明する責任を負うべきである。しかし、損害賠償を請求する者は、製品がどのように製造され、どのように作動するかという情報へのアクセスやその理解という点で、製造事業者に比べて著しく不利な立場に置かれることが多い。このような情報の非対称性は、特に技術的・科学的な複雑さを伴うケースでは、リスクの公平な配分を損なう可能性がある。したがって、法的手続きに使用する証拠への請求者のアクセスを容易にすることが必要である。このような証拠には、入手可能な証拠をまとめたり分類したりして、被告が独自に作成しなければならない文書も含まれる。証拠開示請求のアセスメントにおいて、各国裁判所は、特に、訴訟手続に関連しない情報の非特定的な検索を回避し、EU法及び国内法、特に欧州議会及び理事会指令(EU)2016/943(15)に従い、法律専門家の秘匿特権及び企業秘密の範囲に属する情報などの秘密情報を保護するために、当該アクセスが必要かつ比例的なものに限定されることを確保すべきである。例えばデジタル製品に関連する証拠など、ある種の証拠の複雑さを考慮し、一定の条件に従って、各国の裁判所が当該証拠を容易にアクセスでき、かつ理解しやすい方法で提示することを要求することは可能であるべきである。
(43) This Directive harmonises rules on disclosure of evidence only in so far as such matters are regulated by it. Matters not regulated by this Directive include rules on disclosure of evidence with regard to: pre-trial procedures; how specific a request for evidence must be; third parties; cases of declaratory actions; and sanctions for non-compliance with the obligation to disclose evidence. (43) 本指令は、当該事項が本指令によって規制される限りにおいてのみ、証拠開示に関する規則を調和させる。本指令で規制されていない事項には、公判前手続き、証拠開示請求の具体的内容、サードパーティ、宣言的訴えの場合、証拠開示義務の不履行に対する制裁などに関する証拠開示規則が含まれる。
(44) In light of the fact that defendants might need access to evidence at the disposal of the claimant in order to counter a claim for compensation under this Directive, defendants should also have the possibility of accessing evidence. Similar to a disclosure request made by the claimant, when assessing the request of the defendant for disclosure of evidence, national courts should ensure that such access is limited to that which is necessary and proportionate, inter alia, to avoid non-specific searches for information that is not relevant to the proceedings and to protect confidential information. (44) 本指令に基づく損害賠償請求に対抗するために、被告が請求者の手元にある証拠へのアクセス を必要とする可能性があるという事実に鑑み、被告も証拠へのアクセスの可能性を有するべきであ る。請求者が行う開示請求と同様に、被告の証拠開示請求をアセスメントする際、各国裁判所は、特に訴訟手続きに関連しない情報の非特定的な検索を回避し、秘密情報を保護するために、当該アクセスが必要かつ比例的なものに限定されることを確保すべきである。
(45) In respect of trade secrets as defined in Directive (EU) 2016/943, national courts should be empowered to take specific measures to ensure the confidentiality of trade secrets during and after the proceedings, while achieving a fair and proportionate balance between the interests of the trade secret holder with regard to secrecy and the interests of the injured person. Such measures should include at least measures to restrict access to documents containing trade secrets or alleged trade secrets and to restrict access to hearings to a limited number of people, or allowing access only to redacted documents or transcripts of hearings. When deciding on such measures, it is appropriate that national courts take into account the need to ensure the right to an effective remedy and to a fair trial, the legitimate interests of the parties and, where appropriate, of third parties, and potential harm for either of the parties to a dispute, and, where appropriate, for third parties, which results from the granting or rejection of such measures. (45) 指令(EU)2016/943 で定義されている営業秘密に関しては、各国裁判所は、秘密保持に関する営業秘密保有者の利益と損害を受けた者の利益との間で公正かつ比例的なバランスを達成しつつ、訴訟中及び訴訟後に営業秘密の秘密保持を確保するための特定の措置を講じる権限を付与されるべきである。このような措置には、少なくとも、営業秘密又は営業秘密とされるものを含む文書へのアクセス を制限する措置、審理へのアクセスを限られた人数に制限する措置、又は冗長化された文書若しくは審 議会の記録へのアクセスのみを許可する措置が含まれるべきである。このような措置を決定する場合、各国の裁判所は、実効的な救済を受ける権利及び公正な裁判を受ける権利を確保する必要性、当事者及び適切な場合には第三者の正当な利益、並びに紛争当事者のいずれか及び適切な場合には第三者にとって、このような措置の付与又は却下によって生じる潜在的な損害を考慮することが適切である。
(46) It is necessary to alleviate the claimant’s burden of proof provided that certain conditions are fulfilled. Rebuttable presumptions of fact are a common mechanism for alleviating a claimant’s evidential difficulties and allowing a court to base the existence of defectiveness or of a causal link on the presence of another fact that has been proven while preserving the rights of the defendant. In order to provide an incentive to comply with the obligation to disclose information, national courts should presume the defectiveness of a product where a defendant fails to comply with such an obligation. Many mandatory safety requirements have been adopted in order to protect consumers and other natural persons from the risk of harm, including under Regulation (EU) 2023/988. In order to reinforce the close relationship between product safety rules and liability rules, non-compliance with such requirements should also result in a presumption of defectiveness. That includes cases in which a product is not equipped with the means to log information about the operation of the product as required under Union or national law. The same should apply in the case of obvious malfunction, such as a glass bottle that explodes in the course of reasonably foreseeable use, since it is unnecessarily burdensome to require a claimant to prove defectiveness when the circumstances are such that its existence is undisputed. Reasonably foreseeable use covers the use for which a product is intended in accordance with the information provided by the manufacturer or economic operator placing it on the market, the ordinary use as determined by the design and construction of the product, and use which can be reasonably foreseen where such use could result from lawful and readily predictable human behaviour. (46) 一定の条件が満たされることを条件に、請求人の立証責任を軽減する必要がある。事実の反証可能な推定は、請求人の立証上の困難を軽減し、裁判所が被告の権利を保持しつつ、立証された別の事実の存在に基づいて瑕疵の存在や因果関係の存在を根拠づけることを可能にする一般的なメカニズムである。情報開示義務を遵守するインセンティブを与えるため、各国の裁判所は、被告がそのような義務を遵守しない場合、製品の欠陥性を推定すべきである。規則(EU)2023/988を含め、消費者やその他の自然人を危害のリスクから保護するために、多くの強制的安全要件が採用されている。製品安全規則と賠償責任規則との密接な関係を強化するため、このような要求事項への不遵守は欠陥の推定にもつながるはずである。これには、EU法または国内法で義務付けられている、製品の動作に関する情報を記録する手段を製品が備えていない場合も含まれる。合理的に予見可能な使用の過程で爆発したガラス瓶のような明らかな故障の場合も同様であるべきである。なぜなら、瑕疵の存在に議論の余地がないような状況であるにもかかわらず、瑕疵の立証を請求者に要求するのは不必要に負担が大きいからである。合理的に予見可能な使用とは、製造事業者または上市する経済的事業者が提供する情報に従って製品が意図される使用、製品の設計および構造によって決定される通常の使用、および、そのような使用が合法的かつ容易に予測可能な人間の行動から生じ得る場合に合理的に予見され得る使用を対象とする。
(47) Where it has been established that a product is defective and the kind of damage that occurred is, based primarily on similar cases, typically caused by the defectiveness in question, the claimant should not be required to prove the causal link and its existence should be presumed. (47) 製品に欠陥があることが立証され、発生した損害の種類が、主に類似の事例に基づいて、当該欠陥に起因する典型的なものである場合、請求人は因果関係を立証する必要はなく、その存在は推定されるべきである。
(48) National courts should presume the defectiveness of a product or the causal link between the damage and the defectiveness, or both, where, notwithstanding the defendant’s disclosure of information, it would be excessively difficult for the claimant, in particular due to the technical or scientific complexity of the case, to prove the defectiveness or the causal link, or both. They should do so taking into account all the circumstances of the case. In such cases, imposing the usual standard of proof as required under national law, which often calls for a high degree of probability, would undermine the effectiveness of the right to compensation. Therefore, given that manufacturers have expert knowledge and are better informed than the injured person, and in order to maintain a fair apportionment of risk while avoiding a reversal of the burden of proof, that claimant should be required to demonstrate, where the claimant’s difficulties relate to proving defectiveness, only that it is likely that the product was defective, or, where the claimant’s difficulties relate to proving the causal link, only that the defectiveness of the product is a likely cause of the damage. Technical or scientific complexity should be determined by national courts on a case-by-case basis, taking into account various factors. Those factors should include the complex nature of the product, such as an innovative medical device; the complex nature of the technology used, such as machine learning; the complex nature of the information and data to be analysed by the claimant; and the complex nature of the causal link, such as a link between a pharmaceutical or food product and the onset of a health condition or a link that, in order to be proven, would require the claimant to explain the inner workings of an AI system. The assessment of excessive difficulties should also be made by national courts on a case-by-case basis. While a claimant should provide arguments to demonstrate excessive difficulties, proof of such difficulties should not be required. For example, in a claim concerning an AI system, the claimant should, for the court to decide that excessive difficulties exist, neither be required to explain the AI system’s specific characteristics nor how those characteristics make it harder to establish the causal link. The defendant should have the possibility of contesting all elements of the claim, including the existence of excessive difficulties. (48) 国内裁判所は、被告が情報を開示したにもかかわらず、特に事案の技術的または科学的な複雑さのために、請求人が欠陥性もしくは因果関係、またはその両方を証明することが過度に困難である場合には、製品の欠陥性または損害と欠陥性の因果関係、またはその両方を推定すべきである。そのような場合は、事案のすべての状況を考慮して、それを行うべきである。このような場合、国内法で要求されるような通常の標準的な立証基準を課すことは、しばしば高度の蓋然性を要求することになり、補償を受ける権利の実効性を損なうことになる。したがって、製造事業者は専門的知識を有し、負傷者よりも十分な知識を有していることを考慮し、また、立証責任の逆転を回避しつつリスクの公平な配分を維持するために、請求者が欠陥の立証に困難を伴う場合は、製品に欠陥があった可能性が高いことのみを、請求者が因果関係の立証に困難を伴う場合は、製品の欠陥が損害の原因である可能性が高いことのみを立証することを要求すべきである。技術的または科学的な複雑性は、様々な要素を考慮して、各国の裁判所がケースバイケースで判断すべきである。それらの要素には、革新的な医療機器のような製品の複雑な性質、機械学習のような使用される技術の複雑な性質、請求人が分析すべき情報やデータの複雑な性質、医薬品や食品と健康状態の発症との関連や、立証するためには請求人がAIシステムの内部構造を説明する必要があるような関連など、因果関係の複雑な性質が含まれるべきである。過度の困難性のアセスメントも、各国の裁判所がケースバイケースで行うべきである。請求者は過度の困難を証明するための論拠を提供すべきであるが、そのような困難の証明は要求されるべきではない。例えば、AIシステムに関する請求において、裁判所が過度の困難性が存在すると判断するためには、請求人はAIシステムの具体的な特性や、その特性が因果関係の立証をどのように困難にしているのかを説明する必要はないはずである。被告は、過度の困難性の存在を含め、請求のすべての要素について争う可能性を有するべきである。
(49) In the interest of a fair apportionment of risk, economic operators should be exempted from liability if they can prove the existence of specific exonerating circumstances. They should not be liable where they can prove that a person other than themselves caused the product to leave the manufacturing process against their will or that compliance with legal requirements was precisely the reason for the product’s defectiveness. (49) リスクの公平な配分の観点から、経済的事業者は、特定の免責事由の存在を証明できる場合には、責任を免除されるべきである。経済事業者は、自分以外の者が意に反して製品を製造工程から離脱させたこと、または法的要件の遵守がまさに製品の欠陥の理由であったことを証明できる場合には、責任を負うべきでない。
(50) The moment of placing on the market or putting into service is normally the moment when a product leaves the control of the manufacturer, while for distributors it is the moment when they make the product available on the market. Manufacturers should therefore be exempted from liability where they prove that it is probable that the defectiveness that caused the damage did not exist when they placed the product on the market or put it into service or that the defectiveness came into being after that moment. However, since digital technologies allow manufacturers to exercise control beyond the moment of placing the product on the market or putting into service, manufacturers should remain liable for defectiveness that comes into being after that moment as a result of software or related services within their control, be it in the form of updates or upgrades or machine-learning algorithms. Such software or related services should be considered to be within the manufacturer’s control where they are supplied by that manufacturer or where that manufacturer authorises them or otherwise consents to their supply by a third party. For example, if a smart television is presented as including a video application, but the user is required to download the application from a third party’s website after the purchase of the television, the television manufacturer should remain liable, alongside the manufacturer of the video application, for damage caused by any defectiveness of the video application, even though the defectiveness came into being only after the television was placed on the market. (50) 上市または使用開始の瞬間は、通常、製品が製造事業者の管理を離れた瞬間であり、頒布事業者にとっては、製品を市場で入手可能にした瞬間である。したがって、製造事業者は、損害の原因となった欠陥が、製品を上市または使用開始した時点では存在しなかったか、または欠陥がその時点以降に存在するようになった可能性が高いことを証明する場合、責任を免除されるべきである。しかし、デジタル技術により、製造事業者は製品を上市または使用開始した時点を超えて管理することができるため、アップデートやアップグレード、機械学習アルゴリズムなど、製造事業者の管理下にあるソフトウェアや関連サービスの結果として、その時点以降に発生した欠陥については、製造事業者は引き続き責任を負うべきである。このようなソフトウエアや関連サービスは、製造事業者が供給している場合、または製造事業者が許可している場合、あるいはサードパーティが供給することを同意している場合には、製造事業者の管理下にあるとみなされるべきである。例えば、スマートテレビがビデオアプリケーションを含むと表示されているにもかかわらず、ユーザーがテレビ購入後にサードパーティーのウェブサイトからアプリケーションをダウンロードする必要がある場合、テレビの製造者は、ビデオアプリケーションの製造者とともに、ビデオアプリケーションの欠陥によって生じた損害について、たとえその欠陥がテレビが上市された後に生じたとしても、引き続き責任を負うべきである。
(51) The possibility for economic operators to avoid liability by proving that the defectiveness came into being after they placed the product on the market or put it into service should be restricted when a product’s defectiveness consists in the lack of software updates or upgrades necessary to address cybersecurity vulnerabilities and maintain the safety of the product. Such vulnerabilities can affect the product in such a way that it causes damage within the meaning of this Directive. In recognition of manufacturers’ responsibilities under Union law for the safety of products throughout their lifecycle, such as under Regulation (EU) 2017/745 of the European Parliament and of the Council (16), manufacturers should also not be exempted from liability for damage caused by their defective products when the defectiveness results from their failure to supply the software security updates or upgrades that are necessary to address those products’ vulnerabilities in response to evolving cybersecurity risks. Such liability should not apply where the supply or installation of such software is beyond the manufacturer’s control, for example where the owner of the product does not install an update or upgrade supplied for the purpose of ensuring or maintaining the level of safety of the product. This Directive does not impose any obligation to provide updates or upgrades for a product. (51) 製品の欠陥が、サイバーセキュリティの脆弱性に対処し、製品の安全性を維持するために必要なソフトウ ェアの更新やアップグレードの欠如に起因する場合、経済的事業者が、製品を上市または使用開始した後 に欠陥が生じたことを証明することによって責任を回避する可能性は制限されるべきである。そのような脆弱性は、本指令の意味における損害を引き起こすような形で製品に影響を及ぼす可能性がある。欧州議会及び理事会規則(EU)2017/745(16)などに基づき、製品のライフサイクル全体を通じて製品の安全性を確保するための製造者のEU法上の責任を考慮すると、製造者は、製品の欠陥が、進化するサイバーセキュリティリスクに対応して製品の脆弱性に対処するために必要なソフトウェアセキュリティアップデートまたはアップグレードを供給しなかったことに起因する場合、その欠陥製品に起因する損害に対する責任を免除されるべきではない。このような責任は、当該ソフトウェアの供給やインストールが製造事業者の管理の及ばない場合、例えば製品の所有者が製品の安全レベルを確保または維持する目的で供給されたアップデートやアップグレードをインストールしない場合などには適用されるべきではない。本指令は、製品のアップデート又はアップグレードを提供する義務を課すものではない。
(52) In the interests of a fair apportionment of risk, economic operators should be exempted from liability if they prove that the state of scientific and technical knowledge, determined with reference to the most advanced level of objective knowledge accessible and not to the actual knowledge of the economic operator in question, during the period in which the product was within the manufacturer’s control, was such that the existence of the defectiveness could not be discovered. (52) リスクの公平な配分の観点から、経済的事業者は、製品が製造事業者の管理下にあった期間中、当該経済的事業者の実際の知識ではなく、アクセス可能な客観的知識の最先端レベルを参照して決定された科学的・技術的知識の状態が、欠陥の存在を発見できないようなものであったことを証明した場合、責任を免除されるべきである。
(53) Situations can arise in which two or more parties are liable for the same damage, in particular where a defective component is integrated into a product that causes damage. In such a case, the injured person should be able to seek compensation both from the manufacturer that integrated the defective component into its product and from the manufacturer of the defective component itself. In order to ensure the protection of natural persons, all parties should be held liable jointly and severally in such situations. (53) 特に、欠陥のある部品が損害を与える製品に組み込まれている場合など、2者以上の当事者が同じ損害について責任を負う状況が生じうる。このような場合、損害を受けた者は、欠陥部品を製品に組み込んだ製造事業者と欠陥部品自体の製造事業者の両方に対して補償を求めることができるはずである。自然人の保護を確実にするため、このような状況では、すべての当事者が連帯して責任を負うべきである。
(54) A high degree of innovation is particularly necessary in the software sector. With a view to supporting the innovative capacity of microenterprises and small enterprises that manufacture software, it should be possible for such enterprises to contractually agree with manufacturers that integrate their software into a product that the latter will not seek recourse from the software manufacturer in the event of a defective software component causing harm. Such contractual agreements, already used in some Member States, should be allowed, since the manufacturer of the product as a whole is in any event liable for any defectiveness in the product, including in components. However, liability towards an injured person should never be limited or excluded by such a contractual agreement. (54) ソフトウェア分野では、高度なイノベーションが特に必要である。ソフトウェアを製造する零細企業や小規模企業の革新的能力を支援する観点から、そのような企業が、自社のソフトウェアを製品に統合する製造事業者との間で、欠陥のあるソフトウェア部品が損害を引き起こした場合に、後者がソフトウェア製造者に損害賠償を求めないことを契約上合意することを可能にすべきである。このような契約上の合意は、加盟国の一部ですでに採用されているが、コンポーネントも含め、製品の欠陥については、いずれにせよ製品全体の製造事業者が責任を負うことになるため、認められるべきである。しかし、負傷者に対する責任は、そのような契約上の合意によって決して制限されたり排除されたりすべきではない。
(55) Situations can arise in which the acts and omissions of a person other than a potentially liable economic operator contribute, in addition to the defectiveness of the product, to the cause of the damage suffered, such as a third party exploiting a cybersecurity vulnerability of a product. In the interests of consumer protection, where a product is defective, for example due to a vulnerability that makes the product less safe than the public at large is entitled to expect, the liability of the economic operator should not be reduced or disallowed as a result of such acts or omissions by a third party. However, it should be possible to reduce or disallow the economic operator’s liability where injured persons themselves have negligently contributed to the cause of the damage, for example where the injured person negligently failed to install updates or upgrades provided by the economic operator that would have mitigated or avoided the damage. (55) 第三者が製品のサイバーセキュリティの脆弱性を悪用するなど、潜在的な責任を負う経済的事業者以外の者の作為・不作為が、製品の欠陥に加えて、被った損害の原因に寄与する状況が生じ得る。消費者保護の観点から、例えば脆弱性によって製品に欠陥があり、一般消費者が期待するよりも製品の安全性が低い場合、第三者によるそのような作為または不作為の結果として、経済的事業者の責任を減免すべきではない。ただし、損害を受けた者自身が過失により損害の原因に寄与した場合、例えば、損害を軽減または回避できたであろう経済的事業者が提供した更新プログラムやアップグレードを、損害を受けた者が過失によりインストールしなかった場合などには、経済的事業者の責任を減免することが可能であるべきである。
(56) The objective of protecting natural persons would be undermined if it were possible to limit or exclude an economic operator’s liability through contractual provisions. Therefore no contractual derogations should be permitted. For the same reason, it should not be possible for provisions of national law to limit or exclude liability, such as by setting financial ceilings on an economic operator’s liability. (56) 契約条項によって経済的事業者の責任を制限または排除することが可能であれば、自然人を保護するという目的は損なわれる。したがって、契約上の免除は許されるべきではない。同じ理由から、経済的事業者の責任に金銭的上限を設けるなどして、国内法の規定が責任を制限または排除することは可能であってはならない。
(57) Given that products age over time and that higher safety standards are developed as the state of science and technology progresses, it would not be reasonable to make manufacturers liable for an unlimited period of time for the defectiveness of their products. Therefore, liability should be subject to a reasonable length of time, namely 10 years from the placing on the market or putting into service of a product (the ‘expiry period’), without prejudice to claims pending in legal proceedings. In order to avoid unreasonably restricting the possibility of compensation for damage caused by a defective product, the expiry period should be extended to 25 years in cases where the symptoms of a personal injury are, according to medical evidence, slow to emerge. (57) 製品は時間の経過とともに古くなり、科学技術の進歩に伴ってより高い安全標準が開発されることを考えれば、製造事業者に製品の欠陥について無制限に責任を負わせることは妥当ではない。したがって、法的手続きに係属中の請求を害することなく、製品の上市または使用開始から10年という合理的な期間(「有効期間」)に責任を負わせるべきである。欠陥のある製品に起因する損害に対する補償の可能性を不当に制限することを避けるため、医学的証拠によれば人身傷害の症状の出現が遅い場合には、有効期間を25年に延長すべきである。
(58) Since substantially modified products are essentially new products, a new expiry period should start to run after a product has been substantially modified and has subsequently been made available on the market or put into service, for example as a result of remanufacturing. Updates or upgrades that do not amount to a substantial modification of the product should not affect the expiry period that applies to the original product. (58) 実質的に変更された製品は本質的に新しい製品であるため、例えば再製造の結果として、製品が実質的に変更され、その後市場で入手可能になった後、または使用されるようになった後に、新たな有効期間が開始されるべきである。製品の実質的な変更に相当しない更新やアップグレードは、元の製品に適用される有効期限に影響を及ぼすべきではない。
(59) The possibility provided for in this Directive whereby an economic operator that proves that the state of scientific and technical knowledge at the time when a product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such as to enable the existence of a defect to be discovered can avoid liability, the so-called ‘development risk defence’, could be deemed in certain Member States to limit unduly the protection of natural persons. It should therefore be possible for a Member State to derogate from that possibility by introducing new measures, or amending existing measures, to extend liability in such situations to specific types of products if it is deemed necessary, proportionate and justified by public interest objectives, such as those set out in the Treaty on the Functioning of the European Union, namely public policy, public security and public health. To ensure transparency and legal certainty for economic operators operating across the Union, the use of such a derogation from the development risk defence should be notified to the Commission, which should then inform the other Member States. In order to facilitate a coherent approach across Member States and consistency with the objectives of this Directive, the Commission should be able to issue non-binding opinions on the proposed measures or amendments. In order to allow time for the issuing of an opinion, a Member State proposing such measures or amendments should hold the proposed measures or amendments in abeyance for six months following their notification to the Commission, unless the Commission issues an opinion earlier. Such an opinion should be issued after close cooperation between the Member State concerned and the Commission, taking into account the views of other Member States, if any. In the interest of legal certainty and to facilitate continuity of arrangements established under Directive 85/374/EEC, it should also be possible for a Member State to maintain existing derogations from the development risk defence in its legal system. (59) 本指令に規定されている、製品が上市または使用開始された時点、または製品が製造事業者の 管理下にあった期間における科学的および技術的知識の状態が、欠陥の存在を発見できるような ものではなかったことを証明する経済的事業者が責任を回避できる可能性、いわゆる「開発リスク の防御」は、特定の加盟国では自然人の保護を不当に制限するものと見なされる可能性がある。したがって、加盟国は、欧州連合の機能に関する条約に規定されているような公益目的、すなわち公共政策、公共の安全および公衆衛生が必要であり、比例的であり、かつ正当化されるとみなされる場合には、そのような状況における責任を特定の種類の製品に拡大するための新たな措置を導入するか、既存の措置を修正することによって、その可能性を緩和することができるようにすべきである。EU域内で活動する経済的事業者の透明性と法的確実性を確保するため、このような開発リスク条項の適用除外の利用は欧州委員会に通知されるべきであり、欧州委員会はそれを他の加盟国に通知すべきである。加盟国間の首尾一貫したアプローチを促進し、本指令の目的との整合性を図るため、欧州委員会は提案された措置または修正について拘束力のない意見を発表できるようにすべきである。意見書を発行するための時間を確保するため、かかる措置または改正を提案する加盟国は、欧州委員会が早期に意見書を発行しない限り、欧州委員会への通知後6ヶ月間は、提案された措置または改正を保留すべきである。このような意見は、関係加盟国と欧州委員会が緊密に協力し、他の加盟国の見解がある場合にはそれを考慮した上で出されるべきである。法的確実性の観点から、また指令85/374/EECに基づき確立された取決めの継続性を促進するため、加盟国は自国の法制度における開発リスク防御の既存の適用除外を維持することも可能でなければならない。
(60) In order to facilitate the harmonised interpretation of this Directive by national courts, Member States should be required to publish final court judgments on product liability under this Directive, meaning those judgments that cannot be, or can no longer be, appealed. In order to limit the administrative burden, Member States should be required only to publish judgments of national courts of appeal or of the highest instance. (60) 各国裁判所による本指令の調和された解釈を促進するため、加盟国は本指令に基づく製造物責任に関 する最終判決(上訴できないか、上訴できなくなった判決を意味する)を公表することが義務付け られるべきである。管理上の負担を制限するため、加盟国は国内控訴裁判所または最高裁判所の判決のみを公表するよう義務付けられ るべきである。
(61) To increase the understanding of how this Directive is applied at national level, for the benefit of, inter alia, the public, legal practitioners, academics and Member States, the Commission should set up and maintain an easily accessible and publicly available database containing the relevant judgments as well as references to relevant judgments delivered by the Court of Justice of the European Union. (61) この指令が国内レベルでどのように適用されているかについての理解を深めるため、特に一般市民、法律家、学者、加盟国のために、欧州委員会は、関連する判決および欧州連合司法裁判所が下した関連判決への参照を含む、容易にアクセス可能で一般に利用可能なデータベースを設置し、維持すべきである。
(62) The Commission should carry out an evaluation of this Directive. Pursuant to paragraph 22 of the Interinstitutional Agreement of 13 April 2016 on Better Law-Making (17), that evaluation should be based on the five criteria of efficiency, effectiveness, relevance, coherence and value added and should provide the basis for impact assessments of possible further measures. In its evaluation report, the Commission should provide the methodology for the calculations used in its evaluation. It is important that the Commission gather all relevant information in a way that avoids overregulation and an administrative burden for Member States and economic operators, using information from all relevant and reliable sources, including Union institutions, bodies, offices and agencies, national competent authorities and internationally recognised bodies and organisations. (62) 欧州委員会は本指令の評価を実施すべきである。より良い法作りに関する2016年4月13日の機関間合意(17)の第22項に従い、その評価は効率性、有効性、関連性、首尾一貫性、付加価値の5つの規準に基づくべきであり、可能な追加措置の影響アセスメントの基礎を提供すべきである。評価報告書において、欧州委員会は評価に使用した計算の方法論を提供すべきである。欧州委員会は、加盟国および経済的事業者にとって過度な規制や事務的負担とならないような方法で、関連するすべての情報を収集することが重要である。その際、欧州連合の機構、機関、事務所、機関、各国の所轄官庁、国際的に認められた機関や組織など、あらゆる関連する信頼できる情報源からの情報を利用する。
(63) For reasons of legal certainty, this Directive does not apply to products placed on the market or put into service before 9 December 2026. It is therefore necessary to provide for transitional arrangements in order to ensure continued liability under Directive 85/374/EEC for damage caused by defective products which have been placed on the market or put into service before that date. (63) 法的確実性の理由から、本指令は 2026 年 12 月 9 日より前に上市または使用開始された製品には適用されない。したがって、その日より前に上市または使用開始された欠陥製品に起因する損害について、指令 85/374/EEC に基づく責任の継続を確保するために、経過措置を定めることが必要である。
(64) Since the objectives of this Directive, namely to ensure the functioning of the internal market, undistorted competition and a high level of protection for natural persons, cannot be sufficiently achieved by the Member States due to the Union-wide nature of the market in goods but can rather, by reason of the harmonising effect of common rules on liability, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality, as set out in that Article, this Directive does not go beyond what is necessary in order to achieve those objectives, (64) 本指令の目的、すなわち、域内市場の機能、歪みのない競争、および自然人に対する高水準の保護を確保することは、商品市場の同盟国全体の性質により加盟国によって十分に達成されるものではなく、責任に関する共通規則の調和効果により、むしろ同盟国レベルでよりよく達成されるため、同盟国は、欧州連合条約第5条に定める補完性の原則に従い、措置を採用することができる。同条に定める比例原則に従い、本指令はこれらの目的を達成するために必要な範囲を超えるものではない、
HAVE ADOPTED THIS DIRECTIVE: は本指令を採択した:
CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter and objective 第1条 主題および目的
This Directive lays down common rules on the liability of economic operators for damage suffered by natural persons and caused by defective products, and on compensation for such damage. 本指令は、自然人が被った、欠陥製品に起因する損害に対する経済的事業者の責任、および当該損害の補償に関する共通の規則を定めるものである。
The objective of this Directive is to contribute to the proper functioning of the internal market while ensuring a high level of protection of consumers and other natural persons. 本指令の目的は、消費者およびその他の自然人の高水準の保護を確保しつつ、域内市場の適切な機能に貢献することである。
Article 2 Scope 第2条 適用範囲
1. This Directive shall apply to products placed on the market or put into service after 9 December 2026. 1. 本指令は、2026 年 12 月 9 日以降に上市または使用開始される製品に適用されるものとする。
2. This Directive does not apply to free and open-source software that is developed or supplied outside the course of a commercial activity. 2. 本指令は、商業活動の範囲外で開発または提供されるフリーソフトウェアおよびオープンソースソフトウェアには適用されない。
3. This Directive does not apply to damage arising from nuclear accidents in so far as liability for such damage is covered by international conventions ratified by Member States. 3. 本指令は、加盟国が批准した国際条約によって当該損害に対する責任がカバーされる限りにおいて、原子力事故から生じる損害には適用されない。
4. This Directive does not affect: 4. 本指令は以下の事項に影響を及ぼさない:
(a) the applicability of Union law on the protection of personal data, in particular Regulation (EU) 2016/679 and Directives 2002/58/EC and (EU) 2016/680; (a) 個人データの保護に関する連邦法、特に規則 (EU) 2016/679 および指令 2002/58/EC および (EU) 2016/680 の適用法;
(b) any right which an injured person has under national rules concerning contractual liability or concerning non-contractual liability on grounds other than the defectiveness of a product as provided for in this Directive, including national rules implementing Union law; (b) 本指令に規定される製品の欠陥以外の理由による契約責任に関する国内規則又は非契約責任に関する国内規則に基づき、損害を被った者が有するあらゆる権利(組合法を実施する国内規則を含む);
(c) any right which an injured person has under any special liability system that existed in national law on 30 July 1985. (c) 1985 年 7 月 30 日に国内法に存在した特別な責任制度に基づき、傷害を受けた者が有する権利。
Article 3 Level of harmonisation 第3条 調和のレベル
Member States shall not maintain or introduce, in their national law, provisions diverging from those laid down in this Directive, including more stringent or less stringent provisions, to achieve a different level of protection for consumers and other natural persons, unless otherwise provided for in this Directive. 加盟国は、本指令に別段の定めがある場合を除き、消費者及びその他の自然人に対する異なる保護レベルを達成するために、より厳格な規定またはより厳格でない規定を含め、本指令に定める規定と異なる規定を国内法に維持または導入してはならない。
Article 4 Definitions 第4条 定義
For the purposes of this Directive, the following definitions apply: 本指令の目的には、以下の定義が適用される:
(1) ‘product’ means all movables, even if integrated into, or inter-connected with, another movable or an immovable; it includes electricity, digital manufacturing files, raw materials and software; (1) 「製品」とは、他の動産または不動物と一体化されている、または相互に接続されている場合であっても、すべての動産を意味し、電気、デジタル製造ファイル、原材料およびソフトウェアを含む;
(2) ‘digital manufacturing file’ means a digital version of, or digital template for, a movable which contains the functional information necessary to produce a tangible item by enabling the automated control of machinery or tools; (2) 「デジタル製造ファイル」とは、機械または工具の自動制御を可能にすることにより有形物品を製造するために必要な機能情報を含む、動産のデジタルバージョンまたはデジタルテンプレートをいう;
(3) ‘related service’ means a digital service that is integrated into, or inter-connected with, a product in such a way that its absence would prevent the product from performing one or more of its functions; (3) 「関連サービス」とは、デジタルサービスのうち、そのサービスがなければ製品の1つまたは複数の機能の実行が妨げられるような形で製品に組み込まれ、または製品に相互に接続されているものをいう;
(4) ‘component’ means any item, whether tangible or intangible, raw material or related service, that is integrated into, or inter-connected with, a product; (4) 「構成部品」とは、有形、無形、原材料、関連サービスの如何を問わず、製品に組み込まれ、 または製品と相互に接続されるあらゆる物品をいう;
(5) ‘manufacturer’s control’ means that: (5) 「製造事業者の管理」とは、以下を意味する:
(a) the manufacturer of a product performs or, with regard to actions of a third party, authorises or consents to: (a)製品の製造事業者が、次のことを行うか、またはサードパーティーの行為に関して、許可または同意する:
(i) the integration, inter-connection or supply of a component, including software updates or upgrades; or (i) コンポーネントの統合、相互接続又は供給(ソフトウェアの更新又はアップグレードを含む。
(ii) the modification of the product, including substantial modifications; (ii) 実質的な変更を含む、製品の変更;
(b) the manufacturer of a product has the ability to supply software updates or upgrades, themselves or via a third party; (b)製品の製造事業者は、自社で、またはサードパーティを通じて、ソフトウェアの更新またはアップグレードを供給する能力を有する;
(6) ‘data’ means data as defined in Article 2, point (1), of Regulation (EU) 2022/868 of the European Parliament and of the Council (18); (6) 「データ」とは、欧州議会及び理事会規則(EU) 2022/868(18)の第2条(1)に定義されるデータをいう;
(7) ‘making available on the market’ means any supply of a product for distribution, consumption or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge; (7) 「市場で入手可能」とは、商業活動の過程において、有償であるか無償であるかを問わず、EU市場での流通、消費又は使用のために製品を供給することをいう;
(8) ‘placing on the market’ means the first making available of a product on the Union market; (8) '上市'とは、EU市場で製品を最初に入手可能にすることをいう;
(9) ‘putting into service’ means the first use of a product in the Union in the course of a commercial activity, whether in return for payment or free of charge, in circumstances in which that product has not been placed on the market prior to its first use; (9) 「使用開始」とは、商業活動の過程において、有償であるか無償であるかを問わず、その製品が最初に使用される前に上市されていない状況において、その製品が連合域内で最初に使用されることをいう;
(10) ‘manufacturer’ means any natural or legal person who: (10) 「製造事業者」とは、自然人または法人をいう:
(a) develops, manufactures or produces a product; (a) 製品を開発、製造または生産する;
(b) has a product designed or manufactured, or who, by putting their name, trademark or other distinguishing features on that product, presents themselves as its manufacturer; or (b) 製品を設計もしくは製造させる者、または当該製品に自己の名称、商標もしくはその他の識別機能を付すことにより、当該製品の製造事業者であることを示す者。
(c) develops, manufactures or produces a product for their own use; (c) 自己使用のために製品を開発、製造または生産する;
(11) ‘authorised representative’ means any natural or legal person established within the Union who has received a written mandate from a manufacturer to act on that manufacturer’s behalf in relation to specified tasks; (11) 「公認代表者」とは,特定業務に関して製造事業者に代わって行動することを製造事業者から書面で委任された,域内に設立された自然人又は法人をいう;
(12) ‘importer’ means any natural or legal person who places a product from a third country on the Union market; (12) 「輸入事業者」とは,第三国からの製品を上市する自然人又は法人をいう;
(13) ‘fulfilment service provider’ means any natural or legal person offering, in the course of a commercial activity, at least two of the following services: warehousing, packaging, addressing and dispatching of a product, without having ownership of that product, excluding postal services as defined in Article 2, point (1), of Directive 97/67/EC of the European Parliament and of the Council (19), parcel delivery services as defined in Article 2, point (2), of Regulation (EU) 2018/644 of the European Parliament and of the Council (20), and any other postal services or freight transport services; (13) 「フルフィルメントサービスプロバイダ」とは,商業活動の過程において,次のサービスのうち少なくとも 2 つを提供する自然人又は法人をいう: 欧州議会及び理事会指令 97/67/EC (19)の第2条第(1)項に定義される郵便サービス、欧州議会及び理事会規則 (EU) 2018/644 (20)の第2条第(2)項に定義される小包配達サービス、及びその他の郵便サービス又は貨物輸送サービスを除く;
(14) ‘distributor’ means any natural or legal person in the supply chain who makes a product available on the market, other than the manufacturer or importer of that product; (14) 「頒布事業者」とは、製品の製造事業者又は輸入事業者以外の、製品を市場で入手可能にするサプライチェーンにおける自然人又は法人をいう;
(15) ‘economic operator’ means a manufacturer of a product or component, a provider of a related service, an authorised representative, an importer, a fulfilment service provider or a distributor; (15) 「経済的事業者」とは、製品または部品の製造事業者、関連サービスのプロバイダ、公認代表者、輸入事業者、フルフィルメント・サービス・プロバイダまたはディストリビュータをいう;
(16) ‘online platform’ means online platform as defined in Article 3, point (i), of Regulation (EU) 2022/2065; (16) 「オンラインプラットフォーム」とは、Regulation (EU) 2022/2065の第3条(i)に定義されるオンラインプラットフォームをいう;
(17) ‘trade secret’ means trade secret as defined in Article 2, point (1), of Directive (EU) 2016/943; (17) 「営業秘密」とは、指令(EU)2016/943の第2条(1)に定義される営業秘密をいう;
(18) ‘substantial modification’ means a modification of a product after it has been placed on the market or put into service: (18) 「実質的変更」とは、上市又は使用開始後の製品の変更をいう:
(a) that is considered substantial under relevant Union or national rules on product safety; or (a)製品安全に関する関連するEU又は国内規則の下で実質的とみなされるもの、又は
(b) where relevant Union or national rules on product safety lay down no threshold on what is to be considered a substantial modification, that: (b)製品安全に関する関連するEU規則又は国内規則が、何を実質的な変更とみなすかについての閾値を定めていない場合、次のものをいう:
(i) changes the product’s original performance, purpose or type, without that change having been foreseen in the manufacturer’s initial risk assessment; and (i) その変更が製造事業者の最初のリスクアセスメントで予見されることなく、製品の当初の性能、目的、または型式を変更すること。
(ii) changes the nature of the hazard, creates a new hazard or increases the level of risk. (ii) ハザードの性質を変更し、新たなハザードを生じさせ、またはリスクのレベルを増加させる。
CHAPTER II SPECIFIC PROVISIONS ON LIABILITY FOR DEFECTIVE PRODUCTS 第2章 欠陥製品に対する責任に関する具体的規定
Article 5 Right to compensation 第5条 補償を受ける権利
1. Member States shall ensure that any natural person who suffers damage caused by a defective product (the ‘injured person’) is entitled to compensation in accordance with this Directive. 1. 加盟国は、欠陥製品によって損害を被った自然人(「損害を被った者」)が本指令に従って補償を受ける権利を有することを保証するものとする。
2. Member States shall ensure that claims for compensation pursuant to paragraph 1 may also be brought by: 2. 加盟国は、第1項に基づく補償請求が以下によっても提起されることを確保するものとする:
(a) a person that succeeded, or was subrogated, to the right of the injured person by virtue of Union or national law or contract; or (a) 組合法もしくは国内法または契約により、損害を受けた者の権利を承継した者、または代位された者。
(b) a person acting on behalf of one or more injured persons by virtue of Union or national law. (b) 組合法又は国内法によって、1人又は複数の被害者を代理する者。
Article 6 Damage 第6条 損害
1. The right to compensation pursuant to Article 5 shall apply in respect of only the following types of damage: 1. 第5条に基づく補償を受ける権利は、次の種類の損害についてのみ適用される:
(a) death or personal injury, including medically recognised damage to psychological health; (a) 死亡又は人身傷害(精神的健康に対する医学的に認められた損害を含む;
(b) damage to, or destruction of, any property, except: (b) 財産に対する損害、または財産の破壊:
(i) the defective product itself; (i) 欠陥製品そのもの;
(ii) a product damaged by a defective component that is integrated into, or inter-connected with, that product by the manufacturer of that product or within that manufacturer’s control; (ii) その製品の製造事業者またはその製造事業者の管理下にある、その製品に組み込まれた、またはその製品と相互に接続された欠陥部品によって損害を受けた製品;
(iii) property used exclusively for professional purposes; (iii) 専ら業務目的に使用される財産;
(c) destruction or corruption of data that are not used for professional purposes. (c) 業務目的に使用されないデータの破壊または破損。
2. The right to compensation pursuant to Article 5 shall cover all material losses resulting from the damage referred to in paragraph 1 of this Article. The right to compensation shall also cover non-material losses resulting from the damage referred to in paragraph 1 of this Article, in so far as they can be compensated for under national law. 2. 第5条に基づく補償を受ける権利は、本条第1項にいう損害に起因するすべての物的損失を対象とする。補償を受ける権利は、国内法に基づき補償され得る限りにおいて、本条第1項にいう損害に起因する非物質的損失も対象とする。
3. This Article does not affect national law relating to compensation for damage under other liability regimes. 3. 本条は、他の責任制度に基づく損害賠償に関する国内法に影響を及ぼさない。
Article 7 Defectiveness 第7条 瑕疵担保責任
1. A product shall be considered defective where it does not provide the safety that a person is entitled to expect or that is required under Union or national law. 1. 製品が、人が期待する権利を有する安全性を提供しない場合、または連合法もしくは国内法の下で要求される安全性を提供しない場合、その製品は欠陥があるとみなされるものとする。
2. In assessing the defectiveness of a product, all circumstances shall be taken into account, including: 2. 製品の欠陥性をアセスメントする際には、以下を含むすべての状況を考慮しなければならない:
(a) the presentation and the characteristics of the product, including its labelling, design, technical features, composition and packaging and the instructions for its assembly, installation, use and maintenance; (a)製品の表示、デザイン、技術的特徴、構成、包装、組み立て、設置、使用、保守に関する説明書など、製品の表示および特性;
(b) reasonably foreseeable use of the product; (b) 合理的に予測可能な製品の使用;
(c) the effect on the product of any ability to continue to learn or acquire new features after it is placed on the market or put into service; (c) 製品が上市または使用開始された後、新しい機能を継続的に学習または習得する能力が製品に及ぼす影響;
(d) the reasonably foreseeable effect on the product of other products that can be expected to be used together with the product, including by means of inter-connection; (d) 相互接続を含め、製品と共に使用されることが予想される他の製品が製品に及ぼす合理的に予見可能な影響;
(e) the moment in time when the product was placed on the market or put into service or, where the manufacturer retains control over the product after that moment, the moment in time when the product left the control of the manufacturer; (e) 製品が上市又は使用開始された時点、又はその時点以降も製造事業者が製品の管理を保持している場合は、製品が製造事業者の管理を離れた時点;
(f) relevant product safety requirements, including safety-relevant cybersecurity requirements; (f) 安全関連サイバーセキュリティ要件を含む、関連する製品安全要件;
(g) any recall of the product or any other relevant intervention relating to product safety by a competent authority or by an economic operator as referred to in Article 8; (g) 所轄認可当局又は第8条にいう経済的事業者による製品のリコール又は製品の安全性に関連するその他の介入;
(h) the specific needs of the group of users for whose use the product is intended; (h) 製品を使用することを意図している使用者グループの特定のニーズ;
(i) in the case of a product whose very purpose is to prevent damage, any failure of the product to fulfil that purpose. (i) 損害を防止することを目的とする製品の場合、製品がその目的を果たせないこと。
3. A product shall not be considered to be defective for the sole reason that a better product, including updates or upgrades for a product, has already been or is subsequently placed on the market or put into service. 3. 製品のアップデートまたはアップグレードを含む、より優れた製品が既に上市されている、またはその後上市もしくは使用開始されたという理由だけでは、製品に欠陥があるとはみなされない。
Article 8 Economic operators liable for defective products 第8条 欠陥製品に対する経済的事業者の責任
1. Member States shall ensure that the following economic operators are liable for damage in accordance with this Directive: 1. 加盟国は、以下の経済的事業者が本指令に従って損害賠償責任を負うことを確保するものとする:
(a) the manufacturer of a defective product; (a) 欠陥製品の製造事業者;
(b) the manufacturer of a defective component, where that component was integrated into, or inter-connected with, a product within the manufacturer’s control and caused that product to be defective, and without prejudice to the liability of the manufacturer referred to in point (a); and (b) 欠陥部品の製造者。当該部品が製造者の管理下にある製品に組み込まれ、または当該製品と相互に接続され、当該製品に欠陥を生じさせた場合、(a)の製造事業者の責任を損なうことなく。
(c) in the case of a manufacturer of a product or a component established outside the Union, and without prejudice to the liability of that manufacturer: (c) EU域外に設立された製品または部品の製造事業者の場合、当該製造事業者の責任を損なうことなく、次のいずれかに該当すること:
(i) the importer of the defective product or component; (i) 欠陥のある製品または部品の輸入事業者;
(ii) the authorised representative of the manufacturer; and (ii) 製造事業者の公認代表者。
(iii) where there is no importer established within the Union or authorised representative, the fulfilment service provider. (iii) 組合内に設立された輸入事業者又は公認代表者がいない場合は、履行サービスプロバイダ。
The liability of the manufacturer referred to in the first subparagraph, point (a), shall also cover any damage caused by a defective component where it was integrated into, or inter-connected with, a product within that manufacturer’s control. 第1号の(a)にいう製造事業者の責任は、欠陥のある部品がその製造事業者の管理下にある製品に組み込まれ、または相互に接続されていた場合に、欠陥のある部品によって生じた損害も対象とする。
2. Any natural or legal person that substantially modifies a product outside the manufacturer’s control and thereafter makes it available on the market or puts it into service shall be considered to be a manufacturer of that product for the purposes of paragraph 1. 2. 製造事業者の管理外の製品に実質的な変更を加え、その後、それを市場で入手可能にし、または使用可能にした自然人または法人は、第1項の適用上、その製品の製造者とみなされる。
3. Member States shall ensure that, where an economic operator from among those referred to in paragraph 1 and established in the Union cannot be identified, each distributor of the defective product is liable where: 3. 加盟国は、第1項にいう経済的事業者のうち組合内に設立された者を特定できない場合、欠陥製品の各頒布事業者が責任を負うことを確保するものとする:
(a) the injured person requests that distributor to identify an economic operator from among those referred to in paragraph 1 and established in the Union, or its own distributor that supplied it with that product; and (a) 損害を被った者が、当該頒布事業者に対し、第1項に規定され、かつ、域内に設立された経済的事業者、または当該製品を供給した自らの頒布事業者を特定するよう要請した場合。
(b) that distributor fails to identify an economic operator or its own distributor, as referred to in point (a), within one month of receiving the request referred to in point (a). (b) 当該頒布事業者が、(a)の要請を受けてから1カ月以内に、(a)の経済的事業者または自社の販売代理店を特定しなかった場合。
4. Paragraph 3 of this Article shall also apply to any provider of an online platform that allows consumers to conclude distance contracts with traders and that is not an economic operator, provided that the conditions set out in Article 6(3) of Regulation (EU) 2022/2065 are fulfilled. 4. 本条第3項は、規則(EU)2022/2065第6条第3項に定める条件を満たすことを条件に、消費者が販売者と遠隔契約を締結できるオンラインプラットフォームのプロバイダであって、経済的事業者でないものにも適用されるものとする。
5. Where victims fail to obtain compensation because none of the persons referred to in paragraphs 1 to 4 can be held liable under this Directive, or because the liable persons are insolvent or have ceased to exist, Member States may use existing national sectoral compensation schemes or establish new ones under national law, preferably not funded by public revenue, to appropriately compensate injured persons who have suffered damage caused by defective products. 5. 第1項から第4項で言及される者のいずれもが本指令に基づき責任を負うことができないため、または責任を負う者が支払不能であるもしくは消滅しているため、被害者が補償を得ることができない場合、加盟国は、欠陥製品によって損害を被った負傷者を適切に補償するために、既存の国内部門別補償制度を利用するか、または国内法に基づき、できれば公的財源を用いない新たな補償制度を設立することができる。
Article 9 Disclosure of evidence 第9条 証拠の開示
1. Member States shall ensure that, at the request of a person who is claiming compensation in proceedings before a national court for damage caused by a defective product (the ‘claimant’) and who has presented facts and evidence sufficient to support the plausibility of the claim for compensation, the defendant is required to disclose relevant evidence that is at the defendant’s disposal, subject to the conditions set out in this Article. 1. 加盟国は、欠陥製品に起因する損害について国内裁判所における手続において補償を請求する者(「請求者」)であって、補償の請求のもっともらしさを裏付けるのに十分な事実および証拠を提示した者の要請があった場合には、被告が、本条に定める条件に従い、被告の手元にある関連証拠を開示することを要求されることを確保する。
2. Member States shall ensure that, at the request of a defendant that has presented facts and evidence sufficient to demonstrate the defendant’s need for evidence for the purposes of countering a claim for compensation, the claimant is required, in accordance with national law, to disclose relevant evidence that is at the claimant’s disposal. 2. 加盟国は、被告が賠償請求に対抗する目的で証拠を必要とすることを示すのに十分な事実および証拠を提示した被告の要請があった場合には、国内法に従って、請求人が自由に入手できる関連証拠を開示するよう要求されることを確保するものとする。
3. Member States shall ensure that the disclosure of evidence pursuant to paragraphs 1 and 2, and in accordance with national law, is limited to what is necessary and proportionate. 3. 加盟国は、第1項および第2項に従い、国内法に従い、証拠の開示が必要かつ比例的なものに限定されることを確保するものとする。
4. Member States shall ensure that, when determining whether the disclosure of evidence requested by a party is necessary and proportionate, national courts consider the legitimate interests of all parties concerned, including third parties, in particular in relation to the protection of confidential information and trade secrets. 4. 加盟国は、当事者によって要求された証拠の開示が必要かつ相当なものであるか否かを判断する際、国内裁判所が、特に秘密情報および企業秘密の保護との関係において、サードパーティを含むすべての関係当事者の正当な利益を考慮することを確保するものとする。
5. Member States shall ensure that, where a defendant is required to disclose information that is a trade secret or an alleged trade secret, national courts are empowered, upon a duly reasoned request of a party or on their own initiative, to take the specific measures necessary to preserve the confidentiality of that information when it is used or referred to in the course of or after the legal proceedings. 5. 加盟国は、被告が営業秘密または営業秘密とされる情報の開示を要求される場合、各国の裁判所が、当事者の正当な理由のある要請に基づいて、または自らのイニシアティブにより、当該情報が訴訟手続の過程またはその後に使用されまたは言及される場合に、当該情報の秘密を保持するために必要な具体的措置をとる権限を有することを確保するものとする。
6. Member States shall ensure that, where a party is required to disclose evidence, national courts are empowered, upon a duly reasoned request of the opposing party or where the national court concerned deems it appropriate and in accordance with national law, to require such evidence to be presented in an easily accessible and easily understandable manner, if such presentation is deemed proportionate by the national court in terms of costs and effort for the required party. 6. 加盟国は、当事者が証拠を開示することを要求される場合、国内裁判所が、相手方当事者の正当な理由のある請求により、または当該国内裁判所が適切であり国内法に従っているとみなす場合には、当該証拠を、容易にアクセス可能で理解しやすい方法で提示することを要求する権限を有することを確保するものとする。
7. This Article does not affect national rules relating to the pre-trial disclosure of evidence, where such rules exist. 7. 本条は、公判前の証拠開示に関する国内規則が存在する場合には、当該国内規則に影響を与えない。
Article 10 Burden of proof 第10条 立証責任
1. Member States shall ensure that a claimant is required to prove the defectiveness of the product, the damage suffered and the causal link between that defectiveness and that damage. 1. 加盟国は、請求者が製品の欠陥、被った損害、および欠陥と損害との間の因果関係を証明することを要求されることを確保するものとする。
2. The defectiveness of the product shall be presumed where any of the following conditions are met: 2. 製品の欠陥は、以下の条件のいずれかが満たされた場合に推定されるものとする:
(a) the defendant fails to disclose relevant evidence pursuant to Article 9(1); (a) 被告が第9条第1項に従って関連証拠を開示しなかった場合;
(b) the claimant demonstrates that the product does not comply with mandatory product safety requirements laid down in Union or national law that are intended to protect against the risk of the damage suffered by the injured person; or (b) 損害を被った者が被った損害のリスクから保護することを意図した、連邦法または国内法に規定された製品安全に関する義務的要件に、製品が準拠していないことを、損害賠償請求者が証明する場合。
(c) the claimant demonstrates that the damage was caused by an obvious malfunction of the product during reasonably foreseeable use or under ordinary circumstances. (c) 損害が、合理的に予見可能な使用中または通常の状況下における製品の明白な誤作動によって生じたことを、請求者が証明する場合。
3. The causal link between the defectiveness of the product and the damage shall be presumed where it has been established that the product is defective and that the damage caused is of a kind typically consistent with the defect in question. 3. 製品の欠陥と損害との因果関係は、製品に欠陥があること、および生じた損害が当該欠陥に典型的に合致する種類のものであることが立証された場合に推定されるものとする。
4. A national court shall presume the defectiveness of the product or the causal link between its defectiveness and the damage, or both, where, despite the disclosure of evidence in accordance with Article 9 and taking into account all the relevant circumstances of the case: 4. 国内裁判所は、第9条に従った証拠の開示にもかかわらず、かつ、事件のすべての関連する状況を考慮に入れた場合、製品の欠陥性又はその欠陥性と損害との間の因果関係、又はその両方を推定する:
(a) the claimant faces excessive difficulties, in particular due to technical or scientific complexity, in proving the defectiveness of the product or the causal link between its defectiveness and the damage, or both; and (a) 請求者が、特に技術的または科学的な複雑さのために、製品の欠陥またはその欠陥と損害との因果関係、あるいはその両方を証明することが過度に困難である場合。
(b) the claimant demonstrates that it is likely that the product is defective or that there is a causal link between the defectiveness of the product and the damage, or both. (b) 請求者が、製品に欠陥がある可能性が高いこと、または製品の欠陥と損害との間に因果関係があること、あるいはその両方を証明すること。
5. The defendant shall have the right to rebut any of the presumptions referred to in paragraphs 2, 3 and 4. 5. 被告は、第2項、第3項および第4項で言及された推定について反論する権利を有する。
Article 11 Exemption from liability 第11条 責任の免除
1. An economic operator as referred to in Article 8 shall not be liable for damage caused by a defective product if that economic operator proves any of the following: 1. 第8条にいう経済的事業者は、欠陥製品によって生じた損害について、その経済的事業者が次のいずれかを証明する場合には、責任を負わない:
(a) in the case of a manufacturer or importer, that it did not place the product on the market or put it into service; (a) 製造事業者または輸入事業者の場合、製品を上市または使用しなかったこと;
(b) in the case of a distributor, that it did not make the product available on the market; (b) 頒布事業者の場合、その製品を市場で入手可能にしなかったこと;
(c) that it is probable that the defectiveness that caused the damage did not exist at the time the product was placed on the market, put into service or, in the case of a distributor, made available on the market, or that that defectiveness came into being after that moment; (c) 製品が上市され、使用され、頒布事業者の場合は市場で入手可能となった時点では、損害の原因となった欠陥が存在しなかったか、またはその欠陥がその時点以降に存在するようになった可能性が高いこと;
(d) that the defectiveness that caused the damage is due to compliance of the product with legal requirements; (d) 損害の原因となった欠陥が、製品の法的要件への適合によるものであること;
(e) that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered; (e) 製品が上市もしくは使用開始された時点、または製品が製造事業者の管理下にあった期間における科学的・技術的知見の客観的状況が、欠陥が発見できるようなものではなかったこと;
(f) in the case of a manufacturer of a defective component, as referred to in Article 8(1), first subparagraph, point (b), that the defectiveness of the product in which that component has been integrated is attributable to the design of that product or to the instructions given by the manufacturer of that product to the manufacturer of that component; (f) 第8条第1項第1号(b)にいう欠陥部品の製造事業者の場合、当該部品が組み込まれた製品の欠陥が、当該製品の設計又は当該製品の製造事業者が当該部品の製造事業者に与えた指示に起因すること;
(g) in the case of a person that modifies a product as referred to in Article 8(2), that the defectiveness that caused the damage is related to a part of the product not affected by the modification. (g) 第8条(2)に規定される製品の改造を行った者の場合、損害の原因となった欠陥が、改造の影響を受けない製品の一部に関連していること。
2. By way of derogation from paragraph 1, point (c), an economic operator shall not be exempted from liability where the defectiveness of a product is due to any of the following, provided that it is within the manufacturer’s control: 2. 第1項(c)の適用除外として、経済的事業者は、製造事業者の管理範囲内であることを条件として、製品の欠陥が以下のいずれかに起因する場合、責任を免除されない:
(a) a related service; (a) 関連サービス;
(b) software, including software updates or upgrades; (b) ソフトウェア(ソフトウェアのアップデートまたはアップグレードを含む;
(c) a lack of software updates or upgrades necessary to maintain safety; (c) 安全性を維持するために必要なソフトウェアの更新またはアップグレードの欠如;
(d) a substantial modification of the product. (d) 製品の大幅な改造。
CHAPTER III GENERAL PROVISIONS ON LIABILITY 第3章 責任に関する一般規定
Article 12 Liability of multiple economic operators 第12条 複数の経済的事業者の責任
1. Without prejudice to national law concerning rights of contribution or recourse, Member States shall ensure that where two or more economic operators are liable for the same damage pursuant to this Directive, they can be held liable jointly and severally. 1. 寄与権または求償権に関する国内法を害することなく、加盟国は、本指令に従って 2 者以上の経済的事業者が同一の損害について責任を負う場合、それらの者が連帯して責任を負うことができるようにするものとする。
2. A manufacturer that integrates software as a component in a product shall not have a right of recourse against the manufacturer of a defective software component that causes damage where: 2. 製品にコンポーネントとしてソフトウェアを統合する製造事業者は、以下の場合、損害の原因となる欠陥のあるソフトウェアコンポーネントの製造事業者に対する求償権を有しないものとする:
(a) the manufacturer of the defective software component was, at the time of the placing on the market of that software component, a microenterprise or a small enterprise, meaning an enterprise that, when assessed together with all of its partner enterprises as defined in Article 3(2) of the Annex to Commission Recommendation 2003/361/EC (21) and linked enterprises as defined in Article 3(3) of that Annex, if any, is a microenterprise as defined in Article 2(3) of that Annex or a small enterprise as defined in Article 2(2) of that Annex; and (a) 欠陥のあるソフトウェア・コンポーネントの製造者が、当該ソフトウェア・コンポーネントを上市した時点で、零細企業または小規模企業(欧州委員会勧告2003/361/EC (21)の附属書第3条(2)に定義されるパートナー企業、および同附属書第3条(3)に定義されるリンク企業がある場合はそのリンク企業のすべてと一緒にアセスメントした場合、同附属書第2条(3)に定義される零細企業または同附属書第2条(2)に定義される小規模企業である企業を意味する)であった場合。
(b) the manufacturer that integrated the defective software component in the product contractually agreed with the manufacturer of the defective software component to waive that right. (b) 製品に欠陥のあるソフトウェア部品を組み込んだ製造事業者が、欠陥のあるソフトウェア部品の製造事業者と、当該権利を放棄することに契約上合意している。
Article 13 Reduction of liability 第13条 責任の軽減
1. Without prejudice to national law concerning rights of contribution or recourse, Member States shall ensure that the liability of an economic operator is not reduced or disallowed where the damage is caused both by the defectiveness of a product and by an act or omission of a third party. 1. 寄与権または求償権に関する国内法を害することなく、加盟国は、損害が製品の欠陥およびサードパーティーの作為または不作為の両方によって生じた場合、経済的事業者の責任が減免されないことを確保するものとする。
2. The liability of an economic operator may be reduced or disallowed where the damage is caused both by the defectiveness of the product and by the fault of the injured person or any person for whom the injured person is responsible. 2. 経済的事業者の責任は、損害が、製品の欠陥と、損害を受けた者又は損害を受けた者が責任を負う者の過失との両方によって生じた場合には、減額又は免除することができる。
Article 14 Right of recourse 第14条 求償権
Where more than one economic operator is liable for the same damage, an economic operator that has compensated the injured person shall be entitled to pursue remedies against other economic operators liable pursuant to Article 8 in accordance with national law. 同一の損害について複数の経済的事業者が責任を負う場合、損害を被った者に賠償した経済的事業者は、国内法に従って、第8条に従って責任を負う他の経済的事業者に対して救済を求める権利を有する。
Article 15 Exclusion or limitation of liability 第15条 責任の排除または制限
Member States shall ensure that the liability of an economic operator pursuant to this Directive is not, in relation to the injured person, limited or excluded by a contractual provision or by national law. 加盟国は、本指令に基づく経済的事業者の責任が、損害を受けた者との関係において、契約上の規定または国内法によって制限または排除されないことを保証するものとする。
Article 16 Limitation period 第16条 制限期間
1. Member States shall ensure that a limitation period of three years applies to the initiation of proceedings to claim compensation for damage falling within the scope of this Directive. The limitation period shall run from the day on which the injured person became aware, or should reasonably have become aware, of all of the following: 1. 加盟国は、本指令の適用範囲に含まれる損害の補償を請求するための手続の開始に 3 年の制限期間が適用されることを保証するものとする。制限期間は、損害を受けた者が以下のすべてを認識した、または合理的に認識すべきであった日から起算するものとする:
(a) the damage; (a) 損害;
(b) the defectiveness; (b) 欠陥;
(c) the identity of the relevant economic operator that can be held liable for that damage under Article 8. (c) 第8条に基づき当該損害について責任を問われうる関連経済的事業者の特定。
2. National law regulating the suspension or interruption of the limitation period referred to in paragraph 1 shall not be affected by this Directive. 2. 第1項で言及される制限期間の停止または中断を規制する国内法は、本指令の影響を受けないものとする。
Article 17 Expiry period 第17条 無効期間
1. Member States shall ensure that an injured person is no longer entitled to compensation pursuant to this Directive upon the expiry of a period of 10 years, unless that injured person has, in the meantime, initiated proceedings against an economic operator that can be held liable pursuant to Article 8. That period shall run from: 1. 加盟国は、損害を被った者が、その間に第8条に従って責任を負うことができる経済的事業者に対して手続を開始した場合を除き、10 年の期間が満了した時点で、本指令に従って補償を受ける権利を喪失することを保証するものとする。当該期間は以下から起算されるものとする:
(a) the date on which the defective product which caused the damage was placed on the market or put into service; or (a) 損害の原因となった欠陥製品が上市または使用された日。
(b) in the case of a substantially modified product, the date on which that product was made available on the market or put into service following its substantial modification. (b) 実質的に変更された製品の場合は、その製品が市場で入手可能となった日、または実質的な変更後に使用可能となった日。
2. By way of exception from paragraph 1, where an injured person has not been able to initiate proceedings within 10 years of the dates referred to in paragraph 1 due to the latency of a personal injury, the injured person shall no longer be entitled to compensation pursuant to this Directive upon the expiry of a period of 25 years, unless that injured person has, in the meantime, initiated proceedings against an economic operator that can be held liable pursuant to Article 8. 2. 第1項の例外として、傷害を受けた者が人身傷害の潜伏期間により第1項で言及される日付から 10 年以内に手続を開始することができなかった場合、当該傷害を受けた者がその間に第8条に従って責任を負うことができる経済的事業者に対して手続を開始していない限り、当該傷害を受けた者は 25 年の期間が経過した時点で本指令に従って補償を受ける権利を失うものとする。
CHAPTER IV FINAL PROVISIONS 第4章 最終規定
Article 18 Derogation from development risk defence 第18条 開発リスク防御からの免除
1. Member States may, by way of derogation from Article 11(1), point (e), maintain in their legal systems existing measures whereby economic operators are liable even if they prove that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered. 1. 加盟国は、第11条(1)の(e)の規定の適用除外により、自国の法制度において、製品が上市もしくは使用開始された時点、または製品が製造事業者の管理下にあった期間における科学的および技術的知見の客観的状態が、欠陥が発見されるようなものではなかったことを証明した場合であっても、経済的事業者が責任を負う現行の措置を維持することができる。
Any Member State wishing to maintain measures in accordance with this paragraph shall notify the text of the measures to the Commission no later than 9 December 2026. The Commission shall inform the other Member States thereof. 本項に基づく措置を維持することを希望する加盟国は、2026年12月9日までに、措置の本文を欧州委員会に通知しなければならない。欧州委員会は、その旨を他の加盟国に通知する。
2. Member States may, by way of derogation from Article 11(1), point (e), introduce or amend in their legal systems measures whereby economic operators are liable even if they prove that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered. 2. 加盟国は、第11条第1項(e)の適用除外として、製品が上市もしくは使用開始された時点、または製造事業者の管理下にあった期間における科学的および技術的知見の客観的状態が、欠陥が発見されるようなものではなかったことを証明した場合であっても、経済的事業者が責任を負う措置を自国の法制度に導入または改正することができる。
3. The measures referred to in paragraph 2 shall be: 3. 第2項にいう措置は、次のとおりとする:
(a) limited to specific categories of products; (a) 特定のカテゴリーに限定される;
(b) justified by public interest objectives; and (b) 公益目的によって正当化される。
(c) proportionate in that they are suitable for securing the attainment of the objectives pursued and do not go beyond what is necessary to attain those objectives. (c) 追求される目的の達成を確保するために適切であり、かつ、当該目的を達成するために必要な範囲を超えないという点で、比例的であること。
4. Any Member State wishing to introduce or amend a measure referred to in paragraph 2 shall notify the text of the proposed measure to the Commission and shall provide a justification of how that measure complies with paragraph 3. The Commission shall inform the other Member States thereof. 4. 第2項にいう措置の導入または改正を希望する加盟国は、提案する措置の本文を欧州委員会に通知し、かつ、当該措置がいかに第3項に適合するかについての正当な理由を提出しなければならない。欧州委員会は、その旨を他の加盟国に通知する。
5. The Commission may, within six months of receiving a notification pursuant to paragraph 4, issue an opinion on the text of the proposed measure and the justification for that measure, taking into account any observations received from other Member States. The Member State wishing to introduce or amend that measure shall hold that measure in abeyance for six months following its notification to the Commission, unless the Commission issues its opinion earlier. 5. 欧州委員会は、第4項の規定による通告を受けてから6箇月以内に、他の加盟国から受領した意見を考慮して、提案された措置の本文および当該措置の正当性の根拠に関する意見を発表することができる。当該措置の導入または改正を希望する加盟国は、欧州委員会がそれ以前に意見を発表しない限り、欧州委員会への通告後6ヶ月間、当該措置を保留する。
Article 19 Transparency 第19条 透明性
1. Member States shall publish, in an easily accessible and electronic format, any final judgment delivered by their national courts of appeal or of the highest instance in proceedings launched pursuant to this Directive. The publication of such a judgment shall be carried out in accordance with national law. 1. 加盟国は、本指令に従って開始された手続において、自国の控訴裁判所または最高裁判所が下した最終判決を、容易にアクセス可能な電子形式で公表するものとする。当該判決の公表は国内法に従って行われるものとする。
2. The Commission shall set up and maintain an easily accessible and publicly available database containing the judgments referred to in paragraph 1. 2. 欧州委員会は、第1項で言及された判決を含む、容易にアクセス可能で一般に利用可能なデータベースを設置し、維持するものとする。
Article 20 Evaluation 第20条 評価
The Commission shall by 9 December 2030, and every five years thereafter, evaluate the application of this Directive and submit a report to the European Parliament, to the Council and to the European Economic and Social Committee. Those reports shall include information about the cost and benefits of the transposition of this Directive, a comparison with OECD countries and the availability of product liability insurance. 欧州委員会は、2030年12月9日まで、およびその後5年ごとに、本指令の適用を評価し、欧州議会、理事会、および欧州経済社会委員会に報告書を提出するものとする。これらの報告書には、本指令の移行の費用と便益、OECD加盟国との比較、製造物責任保険の利用可能性に関する情報を含めるものとする。
Article 21 Repeal and transitional provision 第21条 撤廃および経過措置
Directive 85/374/EEC is repealed with effect from 9 December 2026. However, it shall continue to apply with regard to products placed on the market or put into service before that date. 指令85/374/EECは2026年12月9日をもって廃止される。ただし、同日以前に上市または使用開始された製品に関しては、引き続き適用されるものとする。
References to the repealed Directive shall be construed as references to this Directive and shall be read in accordance with the correlation table set out in the Annex. 廃止された指令への言及は本指令への言及と解釈され、附属書に記載された相関表に従って読まれるものとする。
Article 22 Transposition 第22条 移植
1. Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive by 9 December 2026. They shall immediately inform the Commission thereof. 1. 加盟国は、2026年12月9日までに本指令を遵守するために必要な法律、規制および行政規定を発効させるものとする。加盟国は直ちにその旨を欧州委員会に通知するものとする。
When Member States adopt those measures, they shall contain a reference to this Directive or shall be accompanied by such a reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States. 加盟国がこれらの措置を採択する際には、本指令への言及を含めるか、または公式発表の際に当該言及を付すものとする。当該言及の方法は加盟国が定めるものとする。
2. Member States shall communicate to the Commission the text of the main measures of national law which they adopt in the field covered by this Directive. 2. 加盟国は、本指令が適用される分野で採択する国内法の主要な措置の本文を欧州委員会にコミュニケーションするものとする。
Article 23 Entry into force 第23条 施行
This Directive shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. この指令は、欧州連合の官報に掲載された翌日から20日目に発効する。
Article 24 Addressees 第24条 宛先
This Directive is addressed to the Member States. 本指令は加盟国宛である。
Done at Strasbourg, 23 October 2024. 2024年10月23日、ストラスブールにて制定される。
For the European Parliament 欧州議会宛
The President 議長
R. METSOLA R. メトソラ
For the Council 欧州理事会
The President 議長
ZSIGMOND B. P. ジグモンド・B・P

 

1_20241124130001

| | Comments (0)

2024.11.13

Five Eyes 日常的に悪用される脆弱性のトップ15 2023、上位の脆弱性の大半はゼロデイ (2024.11.12)

こんにちは、丸山満彦です。

Five eyesが昨年(2023)悪用された脆弱性トップ15を公表しましたね...上位の脆弱性の大半はゼロデイだったそうです...

セキュリティ対応者はそれを意識した対策や運用の見直し等が必要となるかもですね...

 

英国

NSCS-UK

プレス...

・2024.11.12 UK and allies warn about shift in cyber attackers exploiting zero-day vulnerabilities

UK and allies warn about shift in cyber attackers exploiting zero-day vulnerabilities 英国と同盟国、ゼロデイ脆弱性を悪用するサイバー攻撃者の変化を警告する
NCSC and international partners share top 15 vulnerabilities that were routinely exploited by cyber attackers last year. NCSCと国際パートナーは、昨年サイバー攻撃者に日常的に悪用された脆弱性のトップ15を発表した。
・Majority of top vulnerabilities were first exploited as zero-days allowing malicious actors to compromise higher-priority targets ・上位脆弱性の大半はゼロデイとして初めて悪用され、悪意ある行為者はより優先順位の高い標的を侵害できるようになった。
・Network defenders and technology developers called upon to play their part in reducing the risk of compromise ・ネットワーク防御者と技術開発者は、侵害のリスクを低減するために自らの役割を果たすよう求められている。
The UK and international allies have issued an alert today (Tuesday) showing an increase in cyber attackers initially exploiting previously unknown vulnerabilities to compromise enterprise networks. 英国および国際的な同盟国は本日(火曜日)、エンタープライズ・ネットワークを侵害するために、これまで知られていなかった脆弱性を最初に悪用するサイバー攻撃者が増加していることを示す警告を発表した。
In a new advisory, the National Cyber Security Centre (NCSC) – a part of GCHQ – alongside partners in Australia, Canada, New Zealand and the United States, shared a list of the top 15 routinely exploited vulnerabilities of 2023. GCHQの一部であるナショナル・サイバー・セキュリティ・センター(NCSC)は、オーストラリア、カナダ、ニュージーランド、米国のパートナーとともに、新しい勧告の中で、2023年に日常的に悪用される脆弱性のトップ15のリストを共有した。
Of these vulnerabilities, the majority were first exploited as zero-days – weaknesses that were recently discovered and where a fix or patch was not immediately available from the vendor – allowing attackers to conduct cyber operations against higher-priority targets. これらの脆弱性のうち、大半はゼロデイ(最近発見された脆弱性で、ベンダーから修正プログラムやパッチがすぐに提供されないもの)として最初に悪用されたもので、攻撃者はより優先順位の高い標的に対してサイバー作戦を行うことができる。
This trend, which the NCSC has continued to observe into 2024, marks a shift from 2022 when less than half of the top list was initially exploited as zero-day vulnerabilities. NCSCが2024年まで継続して観測しているこの傾向は、ゼロデイ脆弱性として最初に悪用された脆弱性が上位リストの半分以下であった2022年からの変化を示している。
The advisory strongly encourages enterprise network defenders to maintain vigilance with their vulnerability management processes, including applying all security updates in a timely manner and ensuring they have identified all assets in their estates. この勧告は、エンタープライズ・ネットワークの防御者に対し、すべてのセキュリティ・アップデートをタイムリーに適用し、資産内のすべての資産を確実に特定するなど、脆弱性管理プロセスへの警戒を維持するよう強く奨励している。
It also calls on technology vendors and developers to follow advice on implementing secure-by-design principles into their products to help reduce the risk of vulnerabilities being introduced at source and being exploited later. また、技術ベンダーや開発者に対し、セキュア・バイ・デザインの原則を製品に導入することで、脆弱性がソースから侵入し、後に悪用されるリスクを低減するためのアドバイスに従うよう求めている。
Ollie Whitehouse, NCSC Chief Technology Officer, said: NCSCの最高技術責任者(CTO)であるオリー・ホワイトハウス氏は、次のように述べている:
“More routine initial exploitation of zero-day vulnerabilities represents the new normal which should concern end-user organisations and vendors alike as malicious actors seek to infiltrate networks.   「ゼロデイ脆弱性がより日常的に悪用されるようになることは、悪意ある行為者がネットワークへの侵入を試みる中で、エンドユーザー組織とベンダーが同様に懸念すべき新たな常態を代表するものである。 
“To reduce the risk of compromise, it is vital all organisations stay on the front foot by applying patches promptly and insisting upon secure-by-design products in the technology marketplace.  「侵害のリスクを低減するためには、すべての組織がパッチを迅速に適用し、技術市場でセキュア・バイ・デザインの製品にこだわることで、最前線に立ち続けることが不可欠である。
“We urge network defenders to be vigilant with vulnerability management, have situational awareness in operations and call on product developers to make security a core component of product design and life-cycle to help stamp out this insidious game of whack-a-mole at source”.  「我々は、ネットワーク防御者が脆弱性管理に警戒し、運用において状況認識を持ち、製品開発者が製品設計とライフサイクルの中核にセキュリティを据えるよう呼びかけ、この陰湿なモグラ叩きゲームを根絶することを支援する。
All vulnerabilities listed have had patches and fixes made available from the vendors to help mitigate the risk of compromise.  リストアップされた脆弱性はすべて、侵害のリスクを軽減するためのパッチや修正プログラムがベンダーから提供されている。
In the case of zero-day vulnerabilities, where exploitation is rife it is vital organisations have a process in place to install vendor updates at pace after they become available to minimise the opportunity for attackers. 悪用が横行するゼロデイ脆弱性の場合、攻撃者の機会を最小化するために、ベンダーのアップデートが利用可能になった後、迅速にインストールするプロセスを組織が持つことが重要である。
In addition to the top list, the advisory also details a further 32 vulnerabilities that were routinely exploited in 2023. この勧告では、トップリストに加え、2023年に日常的に悪用された32の脆弱性についても詳述している。
If mitigation steps have not already been taken, network defenders should follow vendor advice in each case and check for indicators of compromise before applying updates. 低減策がまだ講じられていない場合、ネットワーク防御者は、それぞれのケースでベンダーのアドバイスに従い、アップデートを適用する前に侵害の兆候をチェックすべきである。
This advisory has been jointly published by: 本アドバイザリは以下の団体により共同発表された:
NCSC NCSC
US Cybersecurity and Infrastructure Security Agency (CISA) 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)
US Federal Bureau of Investigation (FBI) 米国連邦捜査局(FBI)
US National Security Agency (NSA) 米国国家安全保障局(NSA)
Australian Signals Directorate’s Australian Cyber Security Centre (ACSC), オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ACSC)
Canadian Centre for Cyber Security (CCCS) カナダ・サイバー・セキュリティ・センター(CCCS)
New Zealand National Cyber Security Centre (NCSC-NZ) ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
Computer Emergency Response Team New Zealand (CERT NZ) ニュージーランド・コンピュータ緊急対応チーム(CERT NZ)

 

 

米国

 ● CISA

プレス...

・2024.11.12 2023 Top Routinely Exploited Vulnerabilities

2023 Top Routinely Exploited Vulnerabilities 2023 日常的に悪用される脆弱性のトップ
Alert Code: AA24-317A アラートコード AA24-317A
Summary 概要
The following cybersecurity agencies coauthored this joint Cybersecurity Advisory (hereafter collectively referred to as the authoring agencies): 以下のサイバーセキュリティ機関は、この共同サイバーセキュリティ勧告を共同作成した(以下、これらをまとめて認可機関と呼ぶ):
United States: The Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and National Security Agency (NSA) 米国: サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)。
Australia: Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) オーストラリア:オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ACSC)
Canada: Canadian Centre for Cyber Security (CCCS) カナダ:カナダ・サイバー・セキュリティ・センター(CCCS)
New Zealand: New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team New Zealand (CERT NZ) ニュージーランド:ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)およびコンピュータ緊急対応チームニュージーランド(CERT NZ)
United Kingdom: National Cyber Security Centre (NCSC-UK) 英国:ナショナル・サイバー・セキュリティ・センター(NCSC-UK)
This advisory provides details, collected and compiled by the authoring agencies, on the Common Vulnerabilities and Exposures (CVEs) routinely and frequently exploited by malicious cyber actors in 2023 and their associated Common Weakness Enumerations (CWEs). Malicious cyber actors exploited more zero-day vulnerabilities to compromise enterprise networks in 2023 compared to 2022, allowing them to conduct operations against high priority targets. 本アドバイザリは、2023年に悪意のあるサイバー行為者によって日常的かつ頻繁に悪用される共通脆弱性エクスポージャー(CVEs)と、それらに関連する共通脆弱性列挙(CWEs)について、認可機関によって収集・編集された詳細を提供する。悪意のあるサイバー攻撃者は、2022年と比較して2023年にはより多くのゼロデイ脆弱性を悪用してエンタープライズ・ネットワークを侵害し、優先順位の高い標的に対して作戦を実施することを可能にした。
The authoring agencies strongly encourage vendors, designers, developers, and end-user organizations to implement the following recommendations, and those found within the Mitigations section of this advisory, to reduce the risk of compromise by malicious cyber actors. 認可機関は、ベンダー、設計者、開発者、およびエンドユーザ組織が、悪意のあるサイバー行為者による侵害のリスクを低減するために、以下の推奨事項および本アドバイザリの低減セクションに記載されている事項を実施することを強く推奨する。
Vendors, designers, and developers. Implement secure by design and default principles and tactics to reduce the prevalence of vulnerabilities in your software. ベンダー、設計者、開発者:セキュア・バイ・デザインおよびデフォルトの原則と戦術を導入し、ソフトウェアの脆弱性の蔓延を減らす。
・Follow the SP 800-218 Secure Software Development Framework (SSDF) and implement secure by design practices into each stage of the software development life cycle (SDLC). Establish a coordinated vulnerability disclosure program that includes processes to determine root causes of discovered vulnerabilities
.
SP 800-218 セキュアソフトウェア開発フレームワーク(SSDF)に従い、ソフトウェア開発ライフサイクル(SDLC)の各段階にセキュアバイデザインの手法を導入する。発見された脆弱性の根本原因を特定するプロセスを含む、協調的な脆弱性開示プログラムを確立する。
Prioritize secure by default configurations, such as eliminating default passwords and not requiring additional configuration changes to enhance product security. ・デフォルトのパスワードをなくし、製品のセキュリティを強化するための追加的な設定変更を要求しないなど、デフォルト設定による安全性を優先する
・Ensure that published CVEs include the proper CWE field, ide・ntifying the root cause of the vulnerability. 公開されたCVEに、脆弱性の根本原因を特定する適切なCWEフィールドが含まれるようにする。
End-user organizations: エンドユーザ組織
・Apply timely patches to systems. ・システムに適時パッチを適用する。
Note: If CVEs identified in this advisory have not been patched, check for signs of compromise before patching. 注:本アドバイザリで識別されたCVEにパッチが適用されていない場合、パッチを適用する前に侵害の兆候がないか確認する。
・Implement a centralized patch management system. ・一元的なパッチ管理システムを導入する。
・Use security tools such as endpoint detection and response (EDR), web application firewalls, and network protocol analyzers. ・エンドポイント検知・応答(EDR)、Webアプリケーションファイアウォール、ネットワークプロトコルアナライザなどのセキュリティツールを使用する。
・Ask your software providers to discuss their secure by design program, provide links to information about how they are working to remove classes of vulnerabilities, and to set secure default settings. ・ソフトウェアプロバイダに、セキュア・バイ・デザイン・プログラムについ て説明し、脆弱性クラスの除去にどのように取り組んでいるかについての情報 へのリンクを提供し、安全なデフォルト設定を行うよう求める。
Purpose 目的
The authoring agencies developed this document in furtherance of their respective cybersecurity missions, including their responsibilities to develop and issue cybersecurity specifications and mitigations. 認可機関は、サイバーセキュリティ仕様および低減を策定し発行する責任を含む、それぞれのサイバーセ キュリティの使命を推進するために本文書を策定した。

 

・[PDF] AA24-317A 2023 Top Routinely Exploited Vulnerabilities

20241113-12007

 

Top15

CVE-2023-3519 Citrix NetScaler ADC 
NetScaler Gateway
Code Injection CWE-94: Improper Control of Generation of Code ('Code Injection')
CVE-2023-4966 Citrix NetScaler ADC 
NetScaler Gateway
Buffer Overflow CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
CVE-2023-20198 Cisco IOS XE Web UI Privilege Escalation CWE-420: Unprotected Alternate Channel
CVE-2023-20273 Cisco IOS XE Web UI Command Injection CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
CVE-2023-27997 Fortinet FortiOS 
FortiProxy SSL-VPN
Heap-Based Buffer Overflow CWE-787: Out-of-bounds Write
CWE-122: Heap-based Buffer Overflow
CVE-2023-34362 Progress MOVEit Transfer SQL Injection CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
CVE-2023-22515 Atlassian Confluence Data Center and Server Broken Access Control CWE-20 Improper Input Validation
CVE-2021- 44228
(Log4Shell)
Apache Log4j2 Remote Code Execution (RCE) CWE-917 Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection')
CWE-502: Deserialization of Untrusted Data
CWE-20 Improper Input Validation
CWE-400 Uncontrolled Resource Consumption
CVE-2023-2868 Barracuda Networks ESG Appliance Improper Input Validation CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
CWE-20: Improper Input Validation
CVE-2022-47966 Zoho ManageEngine Multiple Products Remote Code Execution CWE-20 Improper Input Validation
CVE-2023-27350 PaperCut MF/NG Improper Access Control CWE-284: Improper Access Control
CVE-2020-1472 Microsoft Netlogon Privilege Escalation CWE-330: Use of Insufficiently Random Values
CVE-2023-42793 JetBrains TeamCity Authentication Bypass CWE-288: Authentication Bypass Using an Alternate Path or Channel
CVE-2023-23397 Microsoft Office Outlook Privilege Escalation CWE-294: Authentication Bypass by Capture-replay
CWE-20: Improper Input Validation
CVE-2023-49103 ownCloud graphapi Information Disclosure CWE-200 Exposure of Sensitive Information to an Unauthorized Actor

 

 

| | Comments (0)

2024.11.12

FIRST デジタル初動対応者:発展途上国におけるコンピュータセキュリティ・インシデント対応チーム(CSIRT)の役割に関する実務者ノート (2024.06)

こんにちは、丸山満彦です。

FIRSTが世界銀行の協力のもと、発展途上国におけるコンピュータセキュリティ・インシデント対応チーム(CSIRT)の役割に関する実務者ノートを公表していますね...

そういえば、今年の福岡のFIRSTカンファレンスで、ジョージアのサイバーセキュリティセンターのPaulさんが、小国でのナショナルCSIRTの立ち上げ奮闘記のような話(Building a National CSIRT on a Nano Scale)をしていて、興味深かったのを思い出しました...

 

FIRST

・2024.11.05 Digital First Responders - The Role of Computer Security Incident Response Teams (CSIRTS) in Developing Countries

Digital First Responders - The Role of Computer Security Incident Response Teams (CSIRTS) in Developing Countries デジタル初動対応者 - 途上国におけるコンピュータ・セキュリティ・インシデント対応チーム(CSIRTS)の役割
This document intends to provide policy makers in countries with a clear understanding of the role and importance of Computer Security Incident Response Teams (CSIRTs) for enhancing cyber resilience. It provides new information, based on recent data, on the status of CSIRT deployment across regions and income groups and outlines practical recommendations on how to establish and operate national CSIRTs, including costs and staffing. 本書は、サイバーレジリエンスを強化するためのコンピュータ・セキュリティ・インシデント対応チーム(CSIRT)の役割と重要性について、各国の政策立案者に明確な理解を提供することを意図している。本書は、地域や所得階層を超えた CSIRT の展開状況について、最新のデータに基づく新たな情報をプロバイダとして提供し、費用や人員配置を含め、各国の CSIRT の設立・運営方法に関する実践的な推奨事項を概説している。

 

・[PDF]

20241112-04851

目次...

Acronyms and abbreviations 頭字語および略語
Executive summary エグゼクティブ・サマリー
Introduction 序文
1. What are CSIRTs? 1. CSIRT とは何か?
2. Key features of CSIRTs 2. CSIRTの主な特徴
Constituency コンティテューエンシー
Services サービス
Governance ガバナンス
3. How much does a CSIRT cost? 3. CSIRT のコストはどれくらいか?
4. Establishing and enhancing CSIRTs 4. CSIRTの構築と強化
5. Conclusion 5. まとめ
6. Practitioner resources 6. 実務家のリソース
References 参考文献

 

エグゼクティブサマリー...

 summary エグゼクティブサマリー
Computer Security Incident Response Teams (CSIRTs) are the digital equivalent of firefighters and other first responders. - コンピュータ・セキュリティ・インシデント対応チーム(CSIRT)は、消防士などの初動対応者に相当するデジタル組織である。
CSIRTs are key to the foundation of any national cybersecurity ecosystem. In addition to incident response, they can provide trainings, raise awareness, and facilitate community building. However, they do not engage in law enforcement or policy development.  - CSIRTは、国家のサイバーセキュリティ・エコシステムの基礎となる重要な存在である。インシデント対応に加えて、トレーニングを提供し、意識を向上させ、コミュニティ形成を促進することができる。しかし、法執行や政策立案には関与しない。
There is a strong correlation between a country’s robust incident response function and its overall cybersecurity capacity. In Western and Central Africa, for example, the four countries that score highest in the International Telecommunication Union (ITU) Global Cybersecurity Index (GCI) are also the ones with a fully operational CSIRT.1  - 国の強固なインシデント対応機能と全体的なサイバーセキュリティ能力との間には強い相関関係がある。例えば、西・中央アフリカでは、国際電気通信連合(ITU)のグローバル・サイバーセキュリティ指数(GCI)で最高得点を獲得した4カ国は、CSIRTが完全に稼働している国でもある1
While more than 500 CSIRTs have been established in high-income countries, only six low-income countries have a fully operational CSIRT. On average, middle-income countries only have one operational CSIRT. - 高所得国では500を超えるCSIRTが設置されているが、低所得国でCSIRTが完全に運用されているのはわずか6カ国である。中所得国のCSIRTは平均して1つしかない。
• Compared with the estimated annual costs of cybersecurity incidents (up to 3 percent of GDP), investing in incident response stands out as yielding remarkable returns for economic development overall. - サイバーセキュリティインシデントの年間推定コスト(GDPの最大3%)と比較すると、インシデント対応への投資は、経済発展全体に対して顕著なリターンをもたらすことがわかる。
Investments in establishing, enhancing, and operating CSIRTs should be further prioritized in developing countries. - 発展途上国では、CSIRT の設立、強化、運用への投資をさらに優先すべきである。
In low-income countries, governments should focus on establishing and operationalizing the national CSIRT (nCSIRT) function. At its inception, the nCSIRT can focus on providing services solely to the government or to certain operators of critical infrastructures. - 低所得国では、政府は国家シーサート(nCSIRT)機能の確立と運用に注力すべきである。設立当初は、nCSIRT は政府または重要インフラの特定の事業者のみにサービスを提供することに重点を置くことができる。
In  middle-income  countries,  governments should strengthen their nCSIRT function and establish a robust network of sectoral CSIRTs dedicated to critical infrastructure protection. - 中所得国では、政府はnCSIRT機能を強化し、重要インフラの保護に特化した部門別CSIRTの強固なネットワークを構築すべきである。
Newly established CSIRTs should “start small” by focusing on a few constituents and a limited set of core services, especially in lower-income contexts. They can grow over time to adjust to evolving context, demand, and resources. - 新たに設立される CSIRT は、特に低所得国においては、少数の構成員と限定された中核的サー ビスセットに焦点を当てることにより、「小さく始める」べきである。CSIRTは、変化する状況、需要、リソースに適応するために、時間をかけて成長させることができる。
The use of open-source tools and resources developed by the practitioner community can help to reduce initial investment and operating costs for CSIRTs. - 実務家コミュニティによって開発されたオープンソースのツールやリソースを利用することは、CSIRT の初期投資や運用コストを削減するのに役立つ。
Participation in international and regional incident response networks is essential to secure “quick wins” (e.g., peer-to-peer learning) and rapidly build capacity in newly established CSIRTs.  - 国際的、地域的なインシデント対応ネットワークへの参加は、「クイック・ウィン」(例:ピアツーピア・ラーニング)を確保し、新たに設立された CSIRT の能力を迅速に構築するために不可欠である。
Some innovative models (e.g., Public-Private Partnerships (PPPs)) are being implemented and could facilitate knowledge transfer and reduce the initial public investments needed to establish CSIRTs. - いくつかの革新的なモデル(例:官民パートナーシップ(PPP))が実施されており、知識の移転を促進し、CSIRT 設立に必要な初期公共投資を削減することができる。
1 In the context of this note, FIRST membership is used as a proxy indicator to determine the effectiveness or presence of a CSIRT in a given country. 1 本ノートでは、FIRST メンバーシップは、ある国における CSIRT の有効性や存在を判断するための代理指標として使用される。

 

興味深い...

 

 

 

 

| | Comments (0)

インド政府 CERT-In SBOM技術ガイド 第1版 (2024.10.03)

こんにちは、丸山満彦です。

SBOMは世界中で検討が進んでいますね...インドでも政府+CERT-Inから技術ガイドが公表されていました。

ドイツが9月にTR-03183案を公表し、日本も8月末に経済産業省 ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0 を公表し、中国が5月に国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案を公表していますね...

 

 

Indian Computer Emergency Response Team (CERT-In)

・2024.10.03 Technical Guidelines on SOFTWARE BILL OF MATERIALS (SBOM) Version 1.0

・[PDF]

20241111-234131

 

目次...

1. Executive Summary 1. エグゼクティブサマリー
2. Overview of SBOM 2. SBOMの概要
2.1 Necessity and Utilization 2.1 必要性と活用
2.2 Application & Scope 2.2 適用と範囲
2.3 SBOM Implementation 2.3 SBOMの実施
3. Ecosystem 3. エコシステム
3.1 Levels of SBOM 3.1 SBOMのレベル
3.2 Classification of SBOM 3.2 SBOMの分類
3.3 Roadmap for Organizations to develop and adopt SBOM 3.3 SBOMを開発し採用するための組織のロードマップ
3.4 License Management 3.4 ライセンス管理
4. SBOM Preparation 4. SBOMの準備
5. Process and Practices of SBOM for Software Consumer/Developer/Integrator Organizations 5. ソフトウェア消費者/開発者/統合者組織のためのSBOMのプロセスと実践
5.1 Establish Roles and Responsibilities 5.1 役割と責任を確立する
5.2 Roadmap for Navigating the Functions of SBOM 5.2 SBOMの機能をナビゲートするためのロードマップ
5.3 Secure SBOM Distribution: Access Control and Public/Private SBOM 5.3 安全な SBOM の配布: アクセス管理と公開/非公開SBOM
5.4 SBOM Sharing 5.4 SBOMの共有
6. Vulnerability Tracking and Analysis in SBOM 6. SBOMにおける脆弱性の追跡と分析
7. Recommendations and Best Practices 7. 推奨とベストプラクティス
7.1 Recommendations 7.1 推奨事項
7.2 Best Practices 7.2 ベストプラクティス

 

エグゼクティブサマリー...

1. Executive Summary  1. エグゼクティブサマリー 
 Software products are composed of many different components, some of which might come from third party sources. These third-party components and dependencies can have vulnerabilities, which attackers can exploit, leading to security incident or breaches. Key threats include attackers inserting malicious code, vulnerabilities in outdated components, and breaches by compromised suppliers.  ソフトウェア製品は多くの異なるコンポーネントで構成されており、その一部はサードパーティから提供されている可能性がある。これらのサードパーティ製コンポーネントや依存関係には脆弱性が存在する可能性があり、攻撃者はこれを悪用することで、セキュリティインシデントや侵害を引き起こす可能性がある。主な脅威には、攻撃者による悪意あるコードの挿入、旧式のコンポーネントの脆弱性、危険なサプライヤーによる侵害などがある。
These issues can lead to data breaches, operational disruptions, and reputational damage.  これらの問題は、データ漏洩、業務の中断、風評被害につながる可能性がある。
These threats can be countered by maintaining visibility & transparency on software components used for building or developing the software. Software Bill of Materials (SBOM) helps organizations know exactly what components are in their software or assets, making it easier to identify and fix vulnerabilities. By using SBOMs, entities can improve their software security and protect against potential threats.  これらの脅威には、ソフトウェアの構築や開発に使用されるソフトウェア・コンポーネントの可視性と透明性を維持することで対抗できる。ソフトウェア部品表(SBOM)は、組織が自社のソフトウェアや資産にどのような部品が含まれているかを正確に把握し、脆弱性の特定と修正を容易にするのに役立つ。SBOM を使用することで、事業体はソフトウェアのセキュリティを改善し、潜在的な脅威から保護することができる。
A Software Bill of Materials (SBOM) is list of all the components, libraries, and modules that make up a software, providing transparency into its composition. Software composition is important to comprehend as it grows more sophisticated and depends on more external components. In cybersecurity, safeguarding software against cyberattacks requires an awareness of the dependencies and components utilized in its construction. An SBOM is therefore a crucial instrument in contemporary cybersecurity procedures.  ソフトウェア部品表(SBOM)とは、ソフトウェアを構成するすべてのコンポーネント、ライブラリ、モジュールのリストであり、ソフトウェアの構成に透明性を提供する。ソフトウェアが高度化し、より多くの外部コンポーネントに依存するようになると、ソフトウェアの構成を理解することが重要になる。サイバーセキュリティでは、サイバー攻撃からソフトウェアを保護するために、その構築に利用された依存関係とコンポーネントを認識する必要がある。したがって、SBOMは現代のサイバーセキュリティ手順において極めて重要な手段である。
An SBOM is vital for maintaining software security. It helps organizations understand what their software is made of, manage potential risks, respond to security issues, and comply with regulations. Following are the key benefits an organization can derive by implementing SBOM:  SBOMはソフトウェアのセキュリティを維持するために不可欠である。SBOMは、組織が自社のソフトウェアが何で構成されているかを理解し、潜在的なリスクをマネジメントし、セキュリティ問題に対応し、規制に準拠するのに役立つ。以下は、SBOM を導入することによって組織が得られる主なメリットである: 
i. Enhanced Security Management: By knowing the components of the software, organizations can identify which components might be vulnerable to security threats for mitigation.  i. セキュリティ管理の強化: i. セキュリティ管理の強化: ソフトウエアの構成要素を把握することで、組織は、どの構成要素がセキュ リティの脅威に脆弱性を持つ可能性があるかを特定し、その低減を図ることができる。
ii. Effective Incident Response: In the event of a cyber-security incident, an SBOM assists in speeding up incident response by providing detailed component information.  ii. 効果的なインシデント対応: サイバーセキュリティインシデントが発生した場合、SBOM は詳細なコンポーネント情報を提供することで、インシデント対応の迅速化を支援する。
iii. Vulnerabilities Identification and Patch Management: By listing all components, organizations can quickly spot and address known vulnerabilities in the software by patching them.  iii. 脆弱性の特定とパッチ管理: すべてのコンポーネントをリスト化することで、組織はソフトウェアに存在する既知の脆弱性を迅速に発見し、パッチを適用して対処することができる。
iv. Supply Chain Security: Supply chain risks can be reduced significantly by gaining visibility into third-party components used in creating a software.  iv. サプライチェーンのセキュリティ: ソフトウェアの作成に使用されるサードパーティ製コンポーネントを可視化することで、サプライチェーンリスクを大幅に低減できる。
v. Assist in Ensuring Compliance: SBOM helps organizations to streamline adherence to security regulations, guidelines and best practices on software security by providing required transparency in software composition.  v. コンプライアンスの確保の支援: SBOM は、ソフトウェア構成に必要な透明性を提供することで、組織がソフトウェアセキュリティに関するセキュリティ規制、ガイドライン、ベストプラクティスの順守を合理化するのを支援する。
vi. Improved Operational Efficiency: With a clear understanding of software components, organizations can streamline their vulnerability management processes, saving time and resources.  vi. 運用効率の改善: ソフトウエアコンポーネントを明確に理解することで、組織は脆弱性管理プロセスを合理化し、時間とリソースを節約することができる。
Indian Computer Emergency Response Team (CERT-In) has released following technical SBOM guidelines for entities, particularly those in the public sector, government, essential services, organizations involved in software export and software services industry.  インドコンピュータ緊急対応チーム(CERT-In)は、特に公共部門、政府、必須サービス、ソフトウェア輸出に携わる組織、ソフトウェアサービス産業の事業体向けに、以下の技術的なSBOMガイドラインを発表した。
Departments and organizations are encouraged to make the creation and provision of Software Bill of Materials (SBOM) a mandatory standard practice as part of software procurement and software development in order to enhance security and reduce the risk of cyber threats.  各部門や組織は、セキュリティを強化し、サイバー脅威のリスクを低減するために、ソフトウェア部品表(SBOM)の作成と提供をソフトウェア調達やソフトウェア開発の一環として必須の標準慣行とすることが奨励されている。
The following chapters delve into various technical aspects of the Software Bill of Materials (SBOM) explaining its purpose, and its growing significance in the software supply chain ecosystem. Second chapter provides overview of SBOM and discuss about the scope and implementation of SBOM, followed by a chapter on SBOM ecosystem, which explains different levels and classifications of SBOM. Subsequent chapters, explore the different standards and data formats employed for representing SBOM information, and elaborate on the minimum elements, data fields, and automation support. Objectives of all processes and practices involved in SBOM, secure SBOM sharing, and distribution are elaborated in this document including approaches for vulnerability tracking and analysis in SBOM. Finally, the last chapter of the document covers recommendations and best practices for SBOM implementation.  以下の章では、ソフトウェア部品表(SBOM)の様々な技術的側面について掘り下げ、その目的と、ソフトウェアサプライチェーンエコシステムにおけるその重要性の高まりについて説明する。第2章では、SBOMの概要を提供し、SBOMの範囲と実装について議論し、続いてSBOMエコシステムに関する章を設け、SBOMのさまざまなレベルと分類について説明する。続く章では、SBOM情報を表現するために採用されているさまざまな標準とデータ形式を探り、最小要素、データフィールド、自動化サポートについて詳しく説明する。SBOM、安全なSBOMの共有、および配布に関わるすべてのプロセスと実践の目的は、SBOMにおける脆弱性の追跡と分析のアプローチを含め、この文書で詳しく説明されている。最後に、この文書の最後の章では、SBOM 実装のための推奨事項とベストプラクティスを取り上げている。

 

Figure 2: Levels of SBOMの縦横をかえたもの...

Top-Level SBOM  Provides a general summary of the software elements that are either integrated or directly used in a product. Essential details like component names, versions, and their interactions within the software are usually included.  製品に統合されている、または直接使用されているソフトウェア要素の一般的な要約を提供する。コンポーネント名、バージョン、ソフトウェア内での相互作用など、重要な詳細が含まれるのが普通である。
n-Level SBOM  Goes beyond top-level overview to include deeper details and complexities. The "N" in "N-level" represents any arbitrary level of depth, indicating that the SBOM includes information at multiple tiers or levels of granularity.   トップレベルの概要を超えて、より詳細で複雑な内容を含む。N-level 「の 」N "は任意の深さのレベルを表し、SBOMに複数の階層または粒度の情報が含まれていることを示す。 
Delivery SBOM  Describes every part, library, and dependency that is part of a software release or delivery package. It offers clarity regarding the makeup of the software that is being supplied.  ソフトウェアリリースまたは納入パッケージの一部であるすべての部品、ライブラリ、依存関係を記述する。提供されるソフトウェアの構成を明確にする。
Transitive SBOM  Includes not only the direct dependencies of a software component but also its indirect or transitive dependencies.  ソフトウェアコンポーネントの直接的な依存関係だけでなく、間接的または推移的な依存関係も含む。
Complete SBOM  Offers a complete and exhaustive list of all the parts, dependencies, and related metadata that are present in a software system.   ソフトウェアシステムに存在するすべての部品、依存関係、関連するメタデータの完全で網羅的なリストを提供する。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183: 製造者及び製品に対するサイバーレジリエンス要件(一般要求事項、SBOM、脆弱性報告)

・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)

・2024.05.26 中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)

・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項

・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期

・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

| | Comments (0)

より以前の記事一覧