| The Pall Mall Process Code of Practice for States |
国家向けパル・モール・プロセス行動規範 |
| Section 1: Preface |
第1節:序文 |
| 1. We as States and international organisations support this voluntary and non-binding ‘Code of Practice’ for States, through which to tackle the challenges posed by the proliferation and irresponsible use of commercial cyber intrusion capabilities (CCICs). |
1. 我々国家及び国際機関は、商業的サイバー侵入能力(CCIC)の拡散及び無責任な使用がもたらす課題に対処するため、国家向けのこの自発的かつ拘束力のない「行動規範」を支持する。 |
| 2. The Pall Mall Process is an iterative multi-stakeholder initiative launched in 2024 to respond to these challenges It intends to bring together States, international organisations, private industry, academia and civil society to establish guiding principles and highlight policy options in relation to the development, facilitation, purchase, transfer and use of CCICs. As supporters of this Code of Practice, we recognise: |
2. パル・モール・プロセスは、これらの課題に対応するため2024年に開始された反復的なマルチステークホルダー・イニシアチブである。国家、国際機関、民間企業、学術界、市民社会を結集し、CCICの開発、促進、購入、移転、使用に関する指針原則を確立し、政策選択肢を提示することを目的とする。本行動規範の支持者として、我々は以下の点を認識する: |
| 2.a. Many of these tools and services can be developed or used for legitimate purposes. However, the proliferation of CCICs raises questions and concerns over the impact of their potential irresponsible use on national security, respect for human rights and fundamental freedoms, international peace and security, and an open, secure, stable, accessible, peaceful and interoperable cyberspace. |
2.a. これらのツールやサービスの多くは、正当な目的のために開発・使用される可能性がある。しかし、CCICの拡散は、その潜在的な無責任な使用が国家安全保障、人権及び基本的自由の尊重、国際的な平和と安全、そして開放的で安全、安定、アクセス可能、平和的かつ相互運用可能なサイバー空間に与える影響について、疑問と懸念を提起している。 |
| 2.a.i. For the purposes of the Pall Mall Process, irresponsible use by State or non-State actors should be understood as use in ways that threaten security, respect for human rights and fundamental freedoms or the stability of cyberspace, without appropriate safeguards and oversight in place or in a manner inconsistent with applicable international law or the consensus United Nations framework on responsible State behaviour in cyberspace, with due regard to domestic law where relevant. Moreover, CCICs should not be used to target individuals or members of a group based on any discriminatory grounds, to violate or abuse human rights and fundamental freedoms, including the right to freedom of expression, and that no one should be subjected to arbitrary or unlawful interference with privacy. |
2.a.i. パル・モール・プロセスの目的上、国家または非国家主体による無責任な使用とは、適切な保護措置や監督が整備されていない状態で、あるいは適用される国際法やサイバー空間における国家の責任ある行動に関する国連の合意枠組みに反する形で、安全保障、人権及び基本的自由の尊重、またはサイバー空間の安定を脅かす使用方法を指す。関連する場合、国内法も適切に考慮される。さらに、サイバー攻撃能力は、いかなる差別的根拠に基づく個人または集団の標的化、表現の自由を含む人権及び基本的自由の侵害・乱用、あるいはいかなる者もプライバシーに対する恣意的または違法な干渉を受けるべきでないことに利用されてはならない。 |
| 2.a.ii For the purposes of the Pall Mall Process, proliferation should be understood as the uncontrolled dissemination of CCICs to state and non-state actors in a manner that significantly increases the breadth of access to these tools and services and potential for their irresponsible use. |
2.a.ii パルモール・プロセスの目的上、拡散とは、国家および非国家主体へのCCICの制御不能な普及を指す。これにより、これらのツールやサービスへのアクセス範囲が大幅に拡大し、無責任な使用の可能性が高まる。 |
| 2.b. The market for CCICs encompasses a wide variety of cyber intrusion companies offering products and services that are continually evolving and diversifying. The market includes an interconnected ecosystem of researchers, developers, brokers, resellers, investors, corporate entities, operators, and customers, including States. The emergence of new technologies such as artificial intelligence, although they can enhance cyber defensive capabilities including the detection, response and remediation of malicious cyber incidents, are likely to increase the availability of cyber intrusion tools and services and the threat stemming from their irresponsible use, whilst making them more difficult to monitor and regulate. |
2.b. CCIC市場は、絶えず進化・多様化する製品・サービスを提供する多様なサイバー侵入企業で構成される。この市場には、研究者、開発者、仲介業者、再販業者、投資家、企業体、運用者、顧客(国家を含む)が相互に連関した生態系が存在する。人工知能などの新技術は、悪意あるサイバーインシデントの検知・対応・修復を含む防御能力を強化し得る一方で、サイバー侵入ツール・サービスの入手可能性を高め、その無責任な使用に起因する脅威を増大させると同時に、監視・規制を困難にする可能性が高い。 |
| 2.c. This growing market vastly expands the potential pool of state and non-state actors with access to CCICs and increases the opportunity for irresponsible use, making it more difficult to mitigate and defend against the threats they pose. These threats, including to security, respect for human rights and fundamental freedoms and the stability of cyberspace, are expected to increase over the coming years. |
2.c. この拡大する市場は、CCICにアクセス可能な国家・非国家主体の潜在的なプールを大幅に拡大し、無責任な使用の機会を増大させる。これにより、彼らがもたらす脅威への緩和や防御策の実施がより困難になる。セキュリティ、人権及び基本的自由の尊重、サイバー空間の安定性に対するこれらの脅威は、今後数年間で増加すると予想される。 |
| 2.d. Without international and meaningful multi-stakeholder action, the growth, diversification, and insufficient oversight across this market raises the likelihood of increased irresponsible targeting of a range of public and private targets, including journalists, human rights defenders and government officials, as well as critical national infrastructure. It also risks facilitating the spread of potentially destructive or disruptive cyber capabilities to a wider range of actors, including cyber criminals. Increasing access to sophisticated capabilities may expand the complexity of incidents and opportunities for irresponsible use, and could contribute to unanticipated risks arising from the interaction of multiple actors in cyberspace, including potential unintentional escalation in cyberspace. |
2.d. 国際的かつ実質的なマルチステークホルダーによる行動がなければ、この市場の成長・多様化と不十分な監視体制は、ジャーナリスト、人権擁護者、政府関係者、重要国家インフラなど、公的・私的対象への無責任な標的攻撃増加の可能性を高める。また、サイバー犯罪者を含むより広範な主体への、破壊的・混乱的サイバー能力の拡散を助長するリスクもある。高度な能力へのアクセス拡大は、インシデントの複雑化や無責任な利用の機会を増大させ、サイバー空間における複数の主体間の相互作用から生じる予期せぬリスク、特にサイバー空間における意図せぬエスカレーションの可能性に寄与する恐れがある。 |
| 3. We recall that all United Nations Member States have affirmed by consensus that international law, including customary international law and the principles of sovereignty and non-intervention, apply to the conduct of States in cyberspace, including in the context of States’ regulation and use of CCICs. The pertinent international legal frameworks where applicable in relation to States’ regulation of the development, transfer and use of CCICs include, but are not limited to: |
3. 我々は、全ての国連加盟国が、慣習国際法や主権・不干渉の原則を含む国際法が、国家によるサイバー空間での行動(国家によるCCICの規制・利用を含む)に適用されることを合意で確認したことを想起する。国家によるCCICの開発・移転・利用の規制に関連する適用可能な国際法的枠組みには、以下が含まれるが、これらに限定されない: |
| 3.a. The United Nations Charter. |
3.a. 国連憲章。 |
| 3.b. International human rights law, including but not limited to the right to freedom of thought, conscience and religion, the right to freedom of opinion, the right to freedom of expression, the right of peaceful assembly with others, the right to freedom of association, and that no one should be subjected to arbitrary or unlawful interference with his privacy, as set out in the International Covenant on Civil and Political Rights and other applicable international and regional treaties. |
3.b. 国際人権法。これには、思想・良心・信教の自由、意見の自由、表現の自由、他者との平和的集会の権利、結社の自由、並びに『市民的及び政治的権利に関する国際規約』及びその他の適用可能な国際・地域条約に規定される、いかなる者もそのプライバシーに対する恣意的又は違法な干渉を受けるべきでない権利が含まれるが、これらに限定されない。 |
| 3.c. International treaties, alongside other applicable regional conventions. |
3.c. その他の適用可能な地域条約と併せて、国際条約。 |
| 3.d. International humanitarian law, with respect to cyber activities carried out with CCICs in the context of an armed conflict. |
3.d. 武力紛争の文脈においてCCICを用いて行われるサイバー活動に関しては、国際人道法。 |
| 4. We further recall that all United Nations Member States have committed to act in accordance with the consensus United Nations framework on responsible State behaviour in cyberspace, which relies on applicable international law and additional voluntary and non-binding norms of responsible behaviour. We reaffirm that States should seek to prevent the proliferation of malicious Information Communications Technology (ICT) tools and techniques and the use of harmful hidden functions, should respect and protect human rights, and should encourage coordinated reporting of ICT vulnerabilities, and should not knowingly allow their territory to be used for inter-nationally wrongful acts using ICTs, consistent with the voluntary and non-binding norms 13 (c), (d), (e), (i) and, (j) from the 2015 and 2021 United Nations Group of Governmental Experts (GGE) Reports on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security, subsequently endorsed by consensus by the United Nations General Assembly (UNGA), and most recently the 2024 Open-Ended Working Group (OEWG) Annual Progress Report. We further recall other pertinent UNGA resolutions, including Resolution 217 adopting the Universal Declaration of Human Rights, Resolution 79/175 on the right to privacy in the digital age, Resolution 78/213 on the promotion and protection of human rights in the context of digital technologies, and other pertinent Human Rights Council resolutions, including Resolution 57/29 on the promotion, protection and enjoyment of human rights on the Internet and new and emerging digital technologies and human rights 47/23. |
4. さらに我々は、全ての国連加盟国が、適用可能な国際法及び追加的な自発的かつ拘束力のない責任ある行動規範に基づく、サイバー空間における責任ある国家行動に関する国連の合意枠組みに従って行動することを約束したことを想起する。我々は、国家が以下のことを行うべきであることを再確認する:悪意のある情報通信技術(ICT)ツール及び技術の拡散、並びに有害な隠された機能の使用を防止するよう努めること、人権を尊重し保護すること、ICT脆弱性の調整された報告を奨励すること、そして自国の領域がICTを用いた国際的に不法な行為に利用されることを故意に許容しないこと。これは、2015年及び2021年の国連政府専門家グループ(GGE)報告書「国際安全保障の文脈における責任ある国家の行動の促進」における自発的かつ拘束力のない規範13(c)、(d)、(e)、 (i)、(j)の自発的かつ拘束力のない規範に合致する形で、自国の領土がサイバー空間を利用した国際的に不法な行為に利用されることを故意に許容してはならない。さらに我々は、その他の関連する国連総会決議を想起する。これには、世界人権宣言を採択した決議217、デジタル時代におけるプライバシーの権利に関する決議79/175、 デジタル技術における人権の促進及び保護に関する決議78/213、並びにインターネット及び新たなデジタル技術における人権の促進、保護及び享受に関する決議57/29、人権47/23を含むその他の関連する人権理事会決議を想起する。 |
| 5. The actions foreseen under this document sit alongside our common objective to close all digital divides. We recognise the role confidence building measures can play to enable information sharing to address this issue, the importance of cooperation on cyber capacity building, and the necessity of cyber resilience in identifying, preparing, mitigating, responding, recovering, and learning from destructive or disruptive malicious cyber activities. We strongly encourage States, industry, civil society, academia, members of the technical community, and individuals to continue to build greater global cyber capacity for defensive purposes, in line with the cyber capacity building principles set forth in the 2021 OEWG Final Substantive Report. |
5. 本文書で想定される行動は、あらゆるデジタル格差を解消するという我々の共通目標と並行するものである。我々は、この問題に対処するための情報共有を可能にする上で信頼醸成措置が果たし得る役割、サイバー能力構築における協力の重要性、破壊的または混乱を招く悪意あるサイバー活動を識別・準備・緩和・対応・回復・教訓化するためのサイバーレジリエンシー必要性を認識する。我々は、2021年OEWG最終実質報告書に定められたサイバー能力構築の原則に沿い、防衛目的のためのより大きなグローバルなサイバー能力構築を継続するよう、各国政府、産業界、市民社会、学術界、技術コミュニティの構成員、及び個人に対し強く促す。 |
| 6. We recognise the vital role that industry plays in strengthening cyber security and supporting victims and Governments in responding to and recovering from malicious cyber incidents. We acknowledge the benefit that security by design policies, good faith cyber security research, coordinated vulnerability disclosure, and penetration testing can have on cyber security and national resilience. We further recall that the United Nations Guiding Principles on Business and Human Rights sets out that States have a duty to protect human rights, that business enterprises have a responsibility to respect human rights, and that States must take appropriate steps to ensure that when business-related human rights abuses occur within their territory and/or jurisdiction, those affected have access to effective remedy, including during the development, facilitation, purchase, transfer and use of CCICs. |
6. 我々は、サイバーセキュリティの強化、ならびに悪意あるサイバーインシデントへの対応及び復旧における被害者及び政府への支援において、産業界が果たす極めて重要な役割を認識する。設計段階からのセキュリティ対策、善意に基づくサイバーセキュリティ研究、脆弱性情報の調整された開示、ペネトレーションテストが、サイバーセキュリティ及び国家レジリエンスに及ぼし得る有益性を認める。さらに我々は、国連ビジネスと人権に関する指導原則が、国家には人権を保護する義務があり、企業には人権を尊重する責任があり、国家は自国の領域及び/又は管轄区域内でビジネス関連の人権侵害が発生した場合、影響を受けた者が効果的な救済手段にアクセスできるよう適切な措置を講じなければならないと定めていることを想起する。これはCCICの開発、促進、購入、移転及び使用の過程においても同様である。 |
| Section 2: Voluntary Good Practice for States |
第2節:国家のための自主的良き慣行 |
| 7. In line with our common objective to uphold our international legal obligations and promote responsible state behaviour, we intend to take domestic and international action to tackle this issue. This voluntary and non-binding ‘Code of Practice’ establishes practices for States in relation to the development, facilitation, purchase, transfer and use of CCICs, subject to national legal frameworks and the inherent limitations of national jurisdictions and where applicable to particular capabilities, through the four pillars underpinning the Pall Mall Process, the guiding principles of: accountability, precision, oversight and transparency. |
7. 我々は、国際法上の義務を遵守し、責任ある国家行動を促進するという共通の目標に沿って、この問題に対処するため、国内及び国際的な行動を取ることを意図する。この自主的かつ拘束力のない「行動規範」は、各国の法的枠組み及び国家管轄権の固有の限界に従い、また特定の能力に適用される場合には、パルモール・プロセスの基盤となる四つの柱、すなわち説明責任、精度、監督及び透明性という指針原則を通じて、CCICの開発、促進、購入、移転及び使用に関する国家の慣行を定めるものである。 |
| Pillar 1: Accountability |
柱1:説明責任 |
| 8. Activity should be conducted in a lawful and responsible manner, in line with existing applicable international law, the consensus United Nations framework on responsible State behaviour in cyberspace, and domestic legal frameworks. Actions should be taken, as appropriate, to promote international adherence to this Code of Practice and address irresponsible activity inconsistent with applicable international law (including international human rights law) and domestic legal systems, as appropriate. To this end, we will commit to: |
8. 活動は、既存の適用可能な国際法、サイバー空間における責任ある国家行動に関する国連合意枠組み、及び国内法体系に沿い、合法的かつ責任ある方法で実施されるべきである。本行動規範への国際的な遵守を促進し、適用される国際法(国際人権法を含む)及び国内法体系に合致しない無責任な活動に対処するため、適切な措置を講じる。この目的のため、我々は以下を約束する: |
| 8.a. Establishing or applying national frameworks to the extent possible in relation to the development, facilitation, purchase, transfer, and use of CCICs. Practices include: |
8.a. CCICの開発、促進、購入、移転及び使用に関して、可能な範囲で国内枠組みを確立または適用する。実践例: |
| 8.a.i. Ensuring, through an appropriate system of rules, regulations and oversight, that any development, facilitation, purchase, transfer, and use of CCICs is carried out responsibly, and solely for lawful, legitimate and necessary purposes. Any such framework should respect applicable international law, including international human rights law, and the consensus United Nations framework on responsible States behaviour in cyberspace. |
8.a.i. 適切な規則・規制・監督システムを通じて、CCICの開発、促進、購入、移転、使用が責任を持って行われ、合法的、正当かつ必要な目的にのみ用いられることを確保する。かかる枠組みは、国際人権法を含む適用される国際法及びサイバー空間における責任ある国家行動に関する国連合意枠組みを尊重すべきである。 |
| 8.b. Applying controls, where applicable, on the export of CCICs to mitigate risks of potential irresponsible use. Practices include, where applicable and as appropriate: |
8.b. 適用可能な場合、CCICの輸出に対する規制を適用し、潜在的な無責任な使用のリスクを緩和する。適用可能かつ適切な場合には、以下の実践を含む: |
| 8.b.i. Ensuring export control licensing decisions concerning CCICs take into account the risk, among others, of their use in connection with internal repression, as appropriate, and/or the commission of serious violations or abuses of human rights. |
8.b.i. CCICに関する輸出管理ライセンス決定において、内部弾圧との関連での使用リスク、及び/又は重大な人権侵害・虐待の遂行リスク等を、適切に考慮することを確保する。 |
| 8.b.ii. Ensuring licencing decisions limit the export of CCICs to a specific end-user and for a defined lawful and legitimate purpose, and where consideration of these elements does not raise concerns regarding lawful and responsible use or the risk of diversion, recognising that such controls should not be used to impose undue market restrictions to States, or to hinder legitimate cybersecurity activity. |
8.b.ii. 輸出許可決定において、特定エンドユーザーへの輸出を限定し、明確な合法的かつ正当な目的に限定する。これらの要素を考慮しても、合法的かつ責任ある使用や転用リスクに関する懸念が生じない場合、当該規制が国家に対する不当な市場制限や正当なサイバーセキュリティ活動の妨げとなるべきではないことを認識する。 |
| 8.b.iii. Reviewing, and where necessary preparing, published guidance to ensure it clarifies where and how States existing domestic export control regulations place obligations on exporters, including the consequences of non-compliance with these obligations. |
8.b.iii. 公表されたガイダンスを見直し、必要に応じて作成し、各国の既存の国内輸出管理規制が輸出業者にどのような義務を課すか、またその義務違反の結果を含め、明確に説明することを確保する。 |
| 8.b.iv. Exploring opportunities to update multilateral or domestic export control regimes to ensure appropriate coverage of CCICs. |
8.b.iv. CCICを適切にカバーするため、多国間または国内の輸出管理体制を更新する機会を探る。 |
| 8.b.v. Exploring opportunities for needs-based capacity building support to address the technical challenges presented by the implementation and enforcement of controls. |
8.b.v. 管理の実施と執行に伴う技術的課題に対処するため、ニーズに基づく能力構築支援の機会を探る。 |
| 8.c. Incentivising responsible activity across the market for CCICs. Practices include: |
8.c. CCIC市場全体における責任ある活動を促進する。実践例は以下の通りである: |
| 8.c.i. Assessing vendors to Governments with regards to national and international cybersecurity standards and respect for the rule of law and applicable international law, including human rights and fundamental freedoms, as well the United Nations Guiding Principles on Business and Human Rights. |
8.c.i. 政府向けベンダーを、国内及び国際的なサイバーセキュリティ標準、法の支配及び適用される国際法(人権及び基本的自由を含む)の尊重、並びに国連ビジネスと人権に関する指導原則の観点から評価する。 |
| 8.c.ii. Exploring opportunities to align procurement controls across government, as appropriate, and defining which entities under their jurisdiction are authorised to, import, purchase, hold, offer, sell, rent and use CCICs and in what capacity. |
8.c.ii. 政府全体での調達管理の整合化を適切に模索し、管轄下にあるどの事業体が、どのような立場でCCICの輸入事業者、購入、保有、提供、販売、賃貸及び使用を許可されるかを定義する。 |
| 8.c.iii. Exploring opportunities to establish or enhance formal processes to debar or exclude potential CCIC vendors that do not meet the standard of responsible behaviour from Government procurement, to send a clear message to industry that illegal or irresponsible activity is unacceptable. |
8.c.iii. 政府調達から、責任ある行動標準を満たさない潜在的なCCICベンダーを排除または除外する正式なプロセスを確立または強化する機会を検討する。これにより、違法または無責任な活動は容認されないという明確なメッセージを業界に送る。 |
| 8.c.iv Exploring opportunities to encourage CCIC vendors to conduct human rights due diligence, in order to identify, prevent and mitigate their adverse human rights impacts. |
8.c.iv CCICベンダーに対し、人権デュー・ディリジェンスを実施するよう促す機会を検討する。これにより、人権への悪影響を特定、防止、緩和する。 |
| 8.d. Developing a toolkit of measures, including the use of existing policy tools, through which to deter irresponsible behaviour across the global market for CCICs and consider how they should be used. Practices include: |
8.d. 既存の政策手段を含む対策ツールキットを開発し、CCICの世界市場における無責任な行動を抑制する。また、それらの使用方法を検討する。実践例: |
| 8.d.i. Identifying policy levers to target and impose a cost, where appropriate and in compliance with due legal process, on specific individuals and entities involved in carrying out, facilitating, or benefiting from the irresponsible use of CCICs, such as criminal proceedings, financial or travel restrictions. |
8.d.i. 刑事手続き、金融・渡航制限など、CCICの無責任な使用を実行・助長・利益享受する特定個人・事業体に対し、適切な法的プロセスに従い、コストを課すための政策手段を特定する。 |
| 8.d.ii. Exploring opportunities to cooperate with each other and industry partners on the use of such measures, in order to maximise their impact and send a strong signal that illegal or irresponsible activity is unacceptable. |
8.d.ii. こうした措置の効果を最大化し、違法または無責任な活動が容認されないという強いメッセージを発信するため、相互および業界パートナーとの協力機会を模索する。 |
| 8.d.iii. Collaborating when appropriate with international and industry partners to act against the development, purchase, facilitation, transfer of CCICs to and use of CCICs by irresponsible and illegitimate non-state actors, such as criminals. |
8.d.iii. 犯罪者などの無責任かつ非合法な非国家主体によるCCICの開発、購入、促進、移転、使用に対抗するため、国際的・業界パートナーと適切に連携する。 |
| 8.e. Providing support for victims targeted or affected by the irresponsible use of CCICs. Practices include: |
8.e. CCICの無責任な使用により標的とされた、または影響を受けた被害者への支援を提供する。具体的な取り組みには以下が含まれる: |
| 8.e.i. Where necessary, providing procedures for those claiming redress as a result of the irresponsible use of CCICs, including ensuring access to effective judicial or non-judicial remedies, and, where relevant and appropriate, strengthening cross-border collaboration on CCIC investigations. |
8.e.i. 必要に応じて、CCICの無責任な使用による被害救済を求める者に対する手続きを提供する。これには、効果的な司法または非司法救済へのアクセス確保、および関連性・適切性が認められる場合には、CCIC調査に関する越境協力の強化が含まれる。 |
| 8.e.ii. Carrying out awareness-raising and provide cybersecurity advice to those at high risk of being targeted through irresponsible use of CCICs, such as journalists, human rights defenders and government officials. |
8.e.ii. ジャーナリスト、人権擁護者、政府関係者など、CCICの無責任な使用により標的とされるリスクが高い者に対する啓発活動の実施及びサイバーセキュリティ助言の提供。 |
| 8.e.iii. Improving support to victims affected by the irresponsible use of CCICs. |
8.e.iii. CCICの無責任な使用により影響を受けた被害者への支援の改善。 |
| 8.e.iv. Exploring opportunities to establish and strengthen reporting mechanisms through which individuals or groups can raise concerns about irresponsible use of CCICs. |
8.e.iv. 個人または団体がCCICの無責任な使用に関する懸念を表明できる報告メカニズムの確立及び強化の機会を模索すること。 |
| Pillar 2: Precision |
柱2:的確性 |
| 9. The development, facilitation, purchase, transfer and use of CCICs should be conducted with precision, in such a way as to ensure they avoid irresponsible use or mitigate the consequences of it. To this end, we will commit to: |
9. CCICの開発、促進、購入、移転及び使用は、無責任な使用を回避し、その影響を緩和する方法を確保する精密性をもって実施されるべきである。この目的のために、我々は以下を約束する: |
| 9.a. Developing, and where relevant articulating policy surrounding Government use of CCICs. Practices include: |
9.a. 政府によるCCICの使用に関する政策を策定し、関連する場合には明確化する。実践例: |
| 9.a.i. Preparing, where relevant, a national position on responsible Government use of CCICs. |
9.a.i. 必要に応じて、政府によるCCICの責任ある利用に関する国家見解を準備する。
|
| 9.a.ii. Ensuring that their use of CCICs does not violate human rights and fundamental freedoms. |
9.a.ii. CCICsの使用が人権及び基本的自由を侵害しないことを確保する。 |
| 9.a.iii. Limiting the use of CCICs to where necessary for lawful purposes, such as in the context of legal frameworks pertaining to national security and defence, or the investigation and prevention of serious crime or for cybersecurity activities. |
9.a.iii. CCICsの使用を、国家安全保障・防衛に関する法的枠組み、重大犯罪の調査・防止、サイバーセキュリティ活動など、合法的な目的で必要な場合に限定する。 |
| 9.a.iv. Ensuring that decisions to use CCICs are tested and the design of operations to deploy them are based on nationally determined principles, examples of which could include ‘proportionality, subsidiarity, necessity, non-discrimination, time limitation, and security’. |
9.a.iv. CCICsの使用決定が検証され、その展開作戦の設計が「比例性、補完性、必要性、非差別性、時間制限、安全保障」などの国内で定めた原則に基づくことを確保する。 |
| 9.a.v. Establishing or defining clear national policies on what constitutes legitimate use of CCICs in the context of cybersecurity (for example for penetration testing, red teaming and in relation to coordinated vulnerability disclosure policies and bug bounty programmes) and research for cybersecurity activities, aligned to existing protections or safeguards for cybersecurity researchers. |
9.a.v. サイバーセキュリティ活動におけるCCICの正当な使用(例:ペネトレーションテスト、レッドチーム活動、調整された脆弱性開示方針やバグ報奨金プログラム関連)および研究について、サイバーセキュリティ研究者に対する既存の保護・安全対策と整合した明確な国家方針を確立または定義する。 |
| 9.b. Enhancing internal cross-government information sharing on CCICs. Practices include: |
9.b. CCICに関する政府内部の情報共有を強化する。その実践例としては、以下のようなものがある。 |
| 9.b.i. Encouraging all relevant parts of Government to pool knowledge and understanding of the risks surrounding CCICs and their use, in order to establish a nationally shared view. |
9.b.i. 政府の関連部門すべてに対して、CCIC およびその使用に関するリスクについての知識と理解を共有し、全国的に共通の見解を確立するよう奨励する。 |
| 9.b.ii. Exploring opportunities to bring together relevant Government users of CCICs to share responsible and risk-minimising practices, where the distribution of authority within Government allows it. |
9.b.ii. 政府内の権限配分が許す限り、CCIC の関連政府ユーザーを集め、責任あるリスク最小化の実践を共有する機会を模索する。 |
| 9.b.iii. Educating policy makers on the responsible use of CCICs and the procedures for reporting irresponsible activity. |
9.b.iii. 政策立案者に対して、CCIC の責任ある利用と、無責任な活動の報告手順について教育を行う。 |
| 9.c. Cooperating between States to incentivise good practice in the use of CCICs. Practices include: |
9.c. CCIC の利用における優れた実践を奨励するため、国家間で協力する。実践例としては、以下が挙げられる。 |
| 9.c.i. Exploring opportunities to share examples of domestic good practice internationally to reduce inconsistencies between national approaches towards CCICs, in order to discourage strategic relocation by irresponsible actors. |
9.c.i. 無責任な行為者による戦略的な移転を阻止するため、CCIC に対する各国のアプローチ間の不整合を減少させるべく、国内の優れた実践例を国際的に共有する機会を探る。 |
| 9.c.ii. Exploring opportunities for how inter-regional and multilateral cyber capacity building, where appropriate, can be used as a way of supporting States to achieve ‘best practices’ with regards to a responsible approach to the market. |
9.c.ii. 必要に応じて、地域間および多国間のサイバー能力構築を、市場に対する責任あるアプローチに関する「ベストプラクティス」の達成を支援する手段として活用する方法を模索する。 |
| 9.c.iii. Encouraging inter-regional and multilateral cyber capacity building efforts, where appropriate, to help strengthen global resilience against irresponsible uses of CCICs. |
9.c.iii. 必要に応じて、地域間および多国間のサイバー能力構築の取り組みを奨励し、CCIC の無責任な使用に対するグローバルなレジリエンスの強化を支援する。 |
| 9.c.iv. Exploring opportunities to ensure to the extent possible that, when engaging in international capacity building, any CCICs purchased to facilitate capacity building of international partners, in the cyber sector or otherwise, are used responsibly. |
9.c.iv. 国際的な能力構築に関与する際、サイバー分野その他の分野における国際パートナーの能力構築を促進するために購入されたCCICが、可能な限り責任を持って使用されることを確保する機会を探る。 |
| 9.d. Supporting cybersecurity education and training relevant for professionals operating across the market for CCICs. Practices include: |
9.d. CCIC市場全体で活動する専門家に関連するサイバーセキュリティ教育・訓練を支援する。実践例: |
| 9.d.i. Developing skilled cybersecurity professionals who are equipped and incentivised to identify and tackle emerging threats, uphold respect for human rights and safeguard national interests responsibly. |
9.d.i. 新たな脅威を識別・対処し、人権尊重を維持し、国家利益を責任を持って守るための能力と動機付けを備えた、熟練したサイバーセキュリティ専門家の育成。 |
| 9.d.ii. Ensuring that Government cyber professionals deploying CCICs are well-informed of, and regularly trained on the way these tools function and in, the responsible and lawful use of CCICs and their technical capabilities. |
9.d.ii. CCICを展開する政府サイバー専門家が、これらのツールの機能、責任ある合法的な使用方法、技術的能力について十分な情報を得て、定期的に訓練を受けることを確保する。 |
| 9.d.iii. Raising awareness amongst cybersecurity professionals, including independent security researchers, of the implications of their work and the use of CCICs, to incentivise responsible behaviour across the market. |
9.d.iii. サイバーセキュリティ専門家(独立系セキュリティ研究者を含む)に対し、自らの業務及びCCICs使用が及ぼす影響に関する認識を高め、市場全体での責任ある行動を促すこと。 |
| 9.d.iv. Exploring opportunities to coordinate to ensure efforts to establish best practices and standards for professionals operating across the market for CCICs, including independent security researchers, are coherent internationally. |
9.d.iv. 独立系セキュリティ研究者を含むCCICs市場で活動する専門家向けのベストプラクティス及び標準確立に向けた取り組みが国際的に整合性を保つよう、調整の機会を模索すること。 |
| Pillar 3: Oversight |
柱3:監督 |
| 10. Assessment and due diligence mechanisms should be in place to ensure Government activity is carried out legally, responsibly, and may incorporate principles such as lawfulness, necessity, proportionality, and reasonableness, in accordance with applicable international law and guided by the consensus UN framework on responsible State behaviour in cyberspace, and domestic legal frameworks. To this end, we will commit to: |
10. 政府の活動が合法的かつ責任を持って実施されることを保証するため、アセスメント及びデューデリジェンスの仕組みを設ける。これには、適用される国際法、サイバー空間における国家の責任ある行動に関する国連合意枠組み、及び国内法体系に基づき、合法性、必要性、比例性、合理性などの原則を組み込むことができる。この目的のため、我々は以下を約束する: |
| 10.a. Establishing or ensuring the effective operation of existing structures to provide, in accordance with domestic legal frameworks and to the extent possible, independent and effective oversight of Government use of CCICs to mitigate the risk of irresponsible use. Practices include: |
10.a. 国内の法的枠組みに従い、可能な範囲で、政府によるCCICの利用を監視し、無責任な利用のリスクを緩和するための独立かつ効果的な監督体制を確立、あるいは既存の体制の効果的な運用を確保すること。具体的な手法には以下が含まれる:
|
| 10.a.i. Ensuring that a clear decision-making and authorisation process is followed and recorded surrounding Government use of CCICs. |
10.a.i. 政府によるCCICの利用に関して、明確な意思決定と承認プロセスが遵守され、記録されることを保証する。
|
| 10.a.ii. Establishing or ensuring the effective operation of existing mechanisms for review of the Government use of CCICs, through a judicial or alternative competent authority – for example an independent authority or a national legislature – with guarantees of independence, impartiality, and effectiveness. |
10.a.ii. 司法機関または代替的な権限機関(例:独立機関、国家議会)を通じ、政府によるCCIC利用を審査する既存メカニズムの確立または効果的な運用を確保する。これには独立性、公平性、有効性の保証が含まれる。 |
| 10.a.iii. Providing, as far as possible, such structures with adequate resourcing and the means to understand the specific technical features of CCICs. |
10.a.iii. 可能な限り、こうした枠組みに十分な資源とCCICの特定技術的特徴を理解する手段を提供する。 |
| 10.a.iv. Encouraging both Government and private entities involved in the development, facilitation, purchase, transfer and use of CCICs to implement a robust ICT security perimeter, in order to prevent any unintended dissemination of CCICs. |
10.a.iv. サイバー攻撃用情報技術の開発、促進、購入、移転、使用に関わる政府及び民間事業体に対し、意図しないサイバー攻撃用情報の拡散を防ぐため、強固な情報通信技術(ICT)セキュリティ境界の実施を促すこと。 |
| 10.a.v. Exploring opportunities for reporting on oversight and control activities. |
10.a.v. 監督・管理活動に関する報告の機会を検討すること。 |
| 10.b. Developing measures to minimise the risk that Government professionals’ offensive cyber skills will be used for irresponsible purposes after leaving Government service. Practices include: |
10.b. 政府職員の攻撃的サイバースキルが、政府を離れた後に無責任な目的に利用されるリスクを最小化する措置を開発する。具体的な実践例は以下の通りである: |
| 10.b.i. Exploring opportunities to implement controls for researchers contracting with Governments to ensure their work does not contribute to irresponsible activity across the market for CCICs. |
10.b.i. 政府と契約する研究者に対し、その業務がCCIC市場全体における無責任な活動に寄与しないよう管理措置を実施する機会を検討する。 |
| 10.b.ii. Exploring opportunities to implement measures to incentivise more responsible activity among cyber security professionals with an expertise in deploying CCICs, as well as measures to deter them from using these skills for irresponsible purposes, without impacting the legitimate use of CCICs in the context of cyber security. |
10.b.ii. CCIC展開の専門知識を持つサイバーセキュリティ専門家に対し、より責任ある活動を促すインセンティブ措置、およびこれらのスキルを無責任な目的に利用するのを抑止する措置を実施する機会を検討する。ただし、サイバーセキュリティの文脈におけるCCICの正当な利用には影響を与えないようにする。 |
| Pillar 4: Transparency |
柱4:透明性 |
| 11. Business transactions should be conducted in such a way as to ensure that industry and Government users can take reasonable steps to understand their supply chains and toolkits as far as possible, building trust and confidence in the responsible business practices of vendors they interact with. To this end, we will commit to: |
11. ビジネス取引は、産業界及び政府ユーザーがサプライチェーンとツールキットを可能な限り理解するための合理的な措置を講じられるよう実施され、取引先ベンダーの責任ある事業慣行に対する信頼と確信を構築すべきである。この目的のため、我々は以下を約束する: |
| 11.a. Building understanding of the global CCIC market and how it operates. Practices include: |
11.a. グローバルなCCIC市場とその運営方法に関する理解を深める。具体的な取り組み: |
| 11.a.i. Seeking opportunities for robust information sharing, including through confidence building measures, bilateral and multilateral frameworks and collaboration with industry, academia and civil society, on their understanding of the CCIC market, and the changing threat that irresponsible activity may present. |
11.a.i. 信頼醸成措置、二国間・多国間枠組み、産業界・学術界・市民社会との連携を通じ、CCIC市場への理解と無責任な活動がもたらす変化する脅威に関する強固な情報共有の機会を模索する。 |
| 11.a.ii. Identifying opportunities to better support and protect the commercial, civil society and independent cyber threat researcher ecosystem, including from intimidatory litigation. |
11.a.ii. 商業・市民社会・独立系サイバー脅威研究者のエコシステムを、威圧的な訴訟などからより良く支援・防御する機会を識別する。 |
| 11.a.iii. Encouraging industry, civil society, academia and other relevant parties to continue conducting research into CCICs, their use, technical attributes and effects on human rights and fundamental freedoms as well as international peace and security. |
11.a.iii. 産業界、市民社会、学術界及びその他の関係者が、CCIC、その使用方法、技術的特性、人権及び基本的自由ならびに国際的な平和と安全に対する影響に関する研究を継続するよう奨励する。 |
| 11.b. Establishing transparency mechanisms surrounding Governments’ engagement with and regulation of the market for CCICs. Practices include: |
11.b. 政府によるCCIC市場の関与及び規制に関する透明性メカニズムを確立する。実践例: |
| 11.b.i. Defining an evaluation process for decisions surrounding discovered cybersecurity vulnerabilities. |
11.b.i. 発見されたサイバーセキュリティ脆弱性に関する決定のための評価プロセスを定義する。 |
| 11.b.ii. Encouraging commercial entities to establish and publish their own coordinated vulnerability disclosure processes, informed by existing international standards. |
11.b.ii. 商業事業体に対し、既存の国際標準を踏まえた独自の脆弱性開示プロセスを確立・公表するよう促すこと。 |
| 11.b.iii. Exploring, where relevant, opportunities to establish or enhance ‘Know Your Vendor’ and ‘Know Your Customer’ requirements for vendors to Governments, to create a more consistent and reliable reporting environment across the market. |
11.b.iii. 市場全体でより一貫性のある信頼性の高い報告環境を構築するため、政府向けベンダーに対する「ベンダー確認(Know Your Vendor)」及び「顧客確認(Know Your Customer)」要件の確立・強化の機会を、関連する場合には模索すること。 |
| 11.b.iv. Exploring opportunities to implement appropriate transparency around the processes implemented for controls on the export, government procurement, and use of CCICs, meeting the interest of individuals and the public to be informed, and the need to prevent the disclosure of information that could impact commercial sensitivity, law enforcement, national security and defence interests, and public safety. |
11.b.iv. CCICの輸出、政府調達、使用に関する管理プロセスに適切な透明性を実施する機会を検討する。これは、個人及び公衆の情報提供への関心と、商業上の機密性、法執行、国家安全保障及び防衛上の利益、公共の安全に影響を与える可能性のある情報の開示を防止する必要性を満たすものである。 |
| 12. Together, through our support for and voluntary implementation of measures identified through this ‘Code of Practice’ for States, and cooperation through the ongoing Pall Mall Process, we will enhance our efforts to prevent irresponsible activity across the global cyber intrusion market and mitigate the threats presented by the proliferation and irresponsible use of CCICs. We encourage individual States to develop and share additional national actions towards addressing this issue. We intend to regularly review progress on the implementation of these voluntary good practices and on improving accountability across the market. We resolve to keep this Code of Practice up to date with developments in the threat landscape. |
12. 各国が本「行動規範」で識別された措置を支持し自主的に実施すること、および継続的なパルモール・プロセスを通じた協力を通じて、我々はグローバルなサイバー侵入市場における無責任な活動を防止し、CCICの拡散と無責任な使用がもたらす脅威を緩和する取り組みを強化する。個々の国がこの問題に対処するための追加的な国家行動を策定し共有することを奨励する。我々は、これらの自主的優良慣行の実施状況及び市場全体の説明責任向上に関する進捗を定期的に見直す意向である。脅威情勢の進展に応じて、本行動規範を常に最新の状態に保つことを決意する。 |
Recent Comments