法律 / 犯罪

2023.11.30

公認会計士協会 「循環取引に対応する内部統制に関する共同研究報告」(公開草案)

こんにちは、丸山満彦です。

日本公認会計士協会が、日本監査役協会、日本内部監査協会と協力して、「循環取引に対応する内部統制に関する共同研究報告」(公開草案)を公表し、意見募集をしていますね。。。

循環取引は、複数の組織が共謀して商品の転売や役務の提供を繰り返し、取引が存在するかのように仮装し、売上や、ある期間における利益を過大に計上することになり、適切な会計ではありませんね。。。

パターンとしては、報告書案では、


・ スルー取引
自社が受けた注文について、物理的・機能的に付加価値の増加を伴わず他社へそのまま回し、帳簿上通過するだけの取引をいう。複数の企業が共謀して売上を水増しするために実施されることが多い。

・ Uターン取引(回し取引)
商品・製品等が、最終的に起点となった企業に戻ってくる取引をいう。複数の企業を経由する間に手数料等が上乗せされた状態で、商品・製品等が起点となった企業へ還流される。還流している、すなわち、循環しているという意味で、狭義の循環取引ということがある。

・ クロス取引(バーター取引)
複数の企業が互いに商品・製品等を販売し、当該相手方の商品・製品等を在庫として保有し合う、又はある企業が在庫せずに他の複数の企業に対し相互にスルーする取引をいう。取引相手と共謀して自社の商品・製品等を高い価格で販売する代わりに、実需に基づかない相手の商
品・製品等についても通常価格よりも上乗せした価格にて購入することで、互いに売上を良く見せようとすることが多い。


ただ、これが複雑なスキームでくまれていると、循環取引を見つけることが難しいので、監査上はしばしば問題になってきました。。。

私が会計士として監査をしていたのは、だいぶ前になりますが、それでも、食品関係、工事関係、コンピュータ関係の売買の循環取引を見つけたことがあり、ますから昔から多くあった話です。。。

では、どのような取引において循環取引がおこりやすいかというと、報告書案にあるように、モノが動かないのに売上が立つようなものは、確かに私がみたのもそういうのもありましたから、一つありますね。。。


《③ 循環取引のリスクが高い取引》

70.自社倉庫等を経由せずに販売する直送取引や、ある商流の間に入るだけの取引等、商流の上流からエンドユーザーへの納品が把握しづらい取引も現物の把握が困難であることや帳簿だけの取引となるため、循環取引のリスクが相対的に高いとされる取引形態の一つである。

71.また、担当者以外の知識や経験が少ないため関係者が制限される専門性の高い取引や、担当者以外の関係者が取引に関与する機会が著しく制限される秘匿性の高い取引等、一部の関係者のみで実行され他者の目に触れる機会が少ない取引も、循環取引のリスクが相対的に高いとされる取引形態である。


 

発覚の経緯が事例として載っていますが、、、

  • 税務調査の過程で、一部取引について納品の事実が確認できない疑義があるとの指摘を受けたことから調査委員会を設置し、調査の結果、発覚に至った。

  • 多額の売掛金の滞留が存在していることに対して親会社が内部監査を実施したところ、不適切な売上計上が発見されたことから調査委員会を設置し、調査の結果、発覚に至った。

  • 当時担当していた会計監査人に対して、取引先より通報が入ったことから調査委員会が設置され、調査の結果、発覚に至った。

もっと、事例をたくさん記載し、発覚の経緯についても多くの種類を載せるとよいと思います。。。

 

ちなみに、私が、ものが動かない直取引のようなもので、発見の経緯は、

・ある部門の売上、利益率の期間比較で、直近2年で売上が急に増えたにも関わらず、利益率が急激に下がっていた

というところからですね。。。売上が多い企業と仕入れが多い企業を調べ、その期間推移を作りました。そして、それらが特定の部署で行われていたので、サンプル調査という程で、ヒアリングに行き、関連書類(契約書等)を入手し、いろいろと確認したところ、ほぼスルー取引ということがわかりました。。。内部監査部門、監査役も交えて調査をした結果、売上先と仕入先が資本関係はないものの、同一グループの企業でしたね。。。

推移を見て分かったのは、分析期間中に循環取引が生じたからですが、それでなくても、部署ごとサービスごとの売上、利益率の比較をすればわかりやすいかもしれません。まがモノがある場合は、在庫回転率なども参考になるかもしれませんね。。。

循環ではないスルー取引の場合は、売買取引に仮装した金融取引(運転資金の貸付)という場合もありますね。。。これも、売上高と利益率の推移等をみれば発見しました。。。

データ監査がやりやすいので、そういうのを活用するのは重要かもしれませんね。。。

AIを使った循環取引などの不正会計を見つけるという取り組みも監査法人単位では進んでいると思うので、AIの活用も含めて監査の高度化というのは重要なテーマになりますね。。。

 

日本公認会計士協会

・2023.11.27 「循環取引に対応する内部統制に関する共同研究報告」(公開草案)の公表について

・[PDF

20231130-61158

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.05 証券取引等監視委員会 開示検査事例集(令和3事務年度)

・2020.03.13 ネットワンシステムズ 「納品実体のない取引に関する調査 最終報告書(開示版)」

・2020.01.28 循環取引

 

・2011.10.24 公認会計士協会 確定 IT委員会研究報告「ITに対応した監査手続事例~事例で学ぶよくわかるITに対応した監査~」

・2011.07.10 公認会計士協会 パブコメ IT委員会研究報告「ITに対応した監査手続事例~事例で学ぶよくわかるITに対応した監査~」

・2008.07.28 監査提言集から読み取る内部統制の文書化の限界・・・

・2008.07.22 JICPA 監査提言集

・2007.07.15 東証 加ト吉の改善報告書

・2007.04.25 加ト吉 「不適切な取引行為に関する報告等」

 

| | Comments (0)

米国 取引委員会 AIを利用した音声クローンの害を防ぐためアイデア募集 賞金総額35,000ドル(約500万円) (2023.11.17)

こんにちは、丸山満彦です。

連邦取引委員会が、AIを利用した音声クローンの害を防ぐためのアイデアを募集していますね。。。

日本でもオレオレ詐欺は問題になっていますよね(警察庁 特殊詐欺認知・検挙状況等について)。。。

米国では、この先AIを利用した音声クローンによりさらにオレオレ詐欺被害が増えるとみて、その対策のためのアイデアを国民から広く募集していますね。。。賞金付きで。。。

賞金は、優勝 25,000ドル、準優勝 4,000ドル、佳作 2,000ドル(3名まで)だそうです。

審査基準は、

  • 管理可能性と実行可能性: そのアイデアが実際にどの程度機能し、管理可能で実行可能か。

  • 企業の責任を高め、消費者の負担を軽減する:  川上の関係者が実施する場合、そのアイデアはどのように企業に責任と義務を負わせ、消費者の負担を最小化するか。責任と義務の割り当てが、関連する主体の資源、情報、権力に見合うようにするにはどうすればよいか。リスクを発生源で軽減し、あるいは被害が発生する前に戦略的に上流に介入するにはどうすればよいか。消費者による実施が求められる場合、消費者にとってどの程度利用しやすいか。

  • レジリエンス: その考え方は、急速な技術変化やビジネス慣行の進化に対して、どのようにレジリエンシーがあるか。音声クローン技術が改善された場合、そのアプローチはどの程度容易に維持・適応可能か。そのアイデアは、それ自体がもたらす可能性のある追加的な安全・セキュリティリスクをどのように回避・軽減するかを含む。

日本政府でもこのような懸賞付きのチャレンジをやっていますが、もっと活用してもよいかもですね。。。金額もね。。。

 

Federal Trade Commission: FTC

・2023.11.17 The FTC Voice Cloning Challenge

 

The FTC Voice Cloning Challenge FTCの音声クローニング・チャレンジ
Voice cloning technology is becoming increasing sophisticated due to improving text-to-speech AI. The technology offers promise, including medical assistance for people who may have lost their voices due to accident or illness. It also poses significant risk: families and small businesses can be targeted with fraudulent extortion scams; creative professionals, such as voice artists, can have their voices appropriated in ways that threaten their livelihoods and deceive the public. 音声合成AIの改善により、音声クローン技術はますます洗練されてきている。この技術は、事故や病気で声を失った人々の医療支援など、将来性のあるものである。家族や中小企業が詐欺的な恐喝詐欺の標的にされたり、音声アーティストのようなクリエイティブな専門家が、彼らの生活を脅かし、公衆を欺くような方法で声を流用されたりする可能性がある。
The FTC is running an exploratory challenge to encourage the development of multidisciplinary approaches—from products to policies to procedures—aimed at protecting consumers from AI-enabled voice cloning harms, such as fraud and the broader misuse of biometric data and creative content. The goal of the Challenge is to foster breakthrough ideas on preventing, monitoring, and evaluating malicious voice cloning. FTCは、詐欺や生体データおよびクリエイティブ・コンテンツの広範な悪用など、AIを利用した音声クローニングの被害から消費者を保護することを目的とした、製品から政策、手続きに至るまで、学際的なアプローチの開発を奨励するため、探索的なチャレンジを実施している。このチャレンジの目標は、悪意のある音声クローニングの防止、監視、評価に関する画期的なアイデアを育成することである。
This effort may help push forward ideas to mitigate risks upstream—shielding consumers, creative professionals, and small businesses against the harms of voice cloning before the harm reaches a consumer. It also may help advance ideas to mitigate risks at the consumer level. And if viable ideas do not emerge, this will send a critical and early warning to policymakers that they should consider stricter limits on the use of this technology, given the challenge in preventing harmful development of applications in the marketplace. この取り組みは、消費者に被害が及ぶ前に、消費者、クリエイティブな専門家、中小企業を音声クローニングの被害から守り、上流のリスクを軽減するアイデアを推進するのに役立つだろう。また、消費者レベルでリスクを軽減するアイデアを前進させるのにも役立つだろう。そして、もし実行可能なアイディアが生まれなかった場合、市場における有害なアプリケーションの開発を防ぐという課題を考えると、この技術の使用に対するより厳しい制限を検討すべきであるという重大かつ早期の警告を政策立案者に送ることになる。
The Voice Cloning Challenge is one part of a larger strategy. The risks posed by voice cloning and other AI technology cannot be addressed by technology alone. It is also clear that policymakers cannot count on self-regulation alone to protect the public. At the FTC, we will be using all of our tools—including enforcement, rulemaking, and public challenges like this one—to ensure that the promise of AI can be realized for the benefit, rather than to the detriment of, consumers and fair competition. 音声クローニング・チャレンジは、より大きな戦略の一部である。音声クローニングやその他のAI技術がもたらすリスクは、技術だけでは対処できない。また、政策立案者が国民を保護するために、自主規制だけに頼ることができないことも明らかである。FTCでは、エンフォースメント、ルールメイキング、そして今回のようなパブリック・チャレンジなど、あらゆる手段を駆使して、AIの有望性が消費者や公正な競争を害することなく、むしろ利益のために実現されることを保証していく。
Submit to the Challenge チャレンジに応募する
Submissions should contain these components: 提出物には以下の要素を含めること:
An Abstract—an overview / summary of your Submission; no more than one page; アブストラクト-提出物の概要/要約;
A Detailed Explanation—a detailed written description of your Submission that enables Judges to evaluate how it meets the assessment criteria set out in the Challenge Rules, no more than ten pages; 詳細な説明-提出物がチャレンジルールに規定された評価基準をどのように満たしているかを審査員が評価できるような、提出物の詳細な書面による説明;
Optional: A Video describing and/or demonstrating how your Submission would function. 任意: 提出物の機能を説明および/または実演するビデオ。
The online submission portal will be open here from January 2, 2024 to January 12, 2024. オンライン提出ポータルは、2024年1月2日から2024年1月12日まで、ここで開設される。
Subscribe for Updates アップデートを購読する
Timeline タイムライン
November 16, 2023: Voice Cloning Challenge launch—participants can start developing their ideas! 2023年11月16日 音声クローニング・チャレンジ開始-参加者はアイデアの開発を開始できる!
January 2 to 12, 2024: The online submission portal will be open on this page. 2024年1月2日から12日まで: オンライン投稿ポータルがこのページにオープンする。
January 12, 2024 at 8:00pm EST: Challenge closes. 2024年1月12日午後8時(東部標準時): チャレンジは終了する。
Early 2024: Announcement of challenge results. 2024年初頭 チャレンジの結果を発表する。
Scope & Judging Criteria 範囲と審査基準
The Voice Cloning Challenge is open to multidisciplinary submissions that address fraudulent and/or unauthorized use of AI-based voice cloning systems. Submissions will be judged on criteria in three areas: 音声クローニング・チャレンジは、AIベースの音声クローニング・システムの不正および/または無許可の使用に対処する学際的な提出物を対象とする。提出物は3つの分野の基準で審査される:
Administrability and Feasibility to Execute: How well might the idea  work in practice and be administrable and feasible to execute? 管理可能性と実行可能性: そのアイデアが実際にどの程度機能し、管理可能で実行可能か。
Increased Company Responsibility, Reduced Consumer Burden:  If implemented by upstream actors, how does the idea place liability and responsibility on companies and minimize burden on consumers? How do we ensure that the assignment of liability and responsibility matches the resources, information, and power of the relevant actors? How does this mitigate risks at their source or otherwise strategically intervene upstream before harms occur? If required to be implemented by consumers, how easy is it for consumers to use? 企業の責任を高め、消費者の負担を軽減する:  川上の関係者が実施する場合、そのアイデアはどのように企業に責任と義務を負わせ、消費者の負担を最小化するか。責任と義務の割り当てが、関連する主体の資源、情報、権力に見合うようにするにはどうすればよいか。リスクを発生源で軽減し、あるいは被害が発生する前に戦略的に上流に介入するにはどうすればよいか。消費者による実施が求められる場合、消費者にとってどの程度利用しやすいか。
Resilience: How is the idea resilient to rapid technological change and evolving business practices? How easily can the approach be sustained and adapted as voice cloning technology improves, including how the idea will avoid or mitigate any additional safety and security risks that it itself might introduce? レジリエンス: その考え方は、急速な技術変化やビジネス慣行の進化に対して、どのようにレジリエンシーがあるか。音声クローン技術が改善された場合、そのアプローチはどの程度容易に維持・適応可能か。そのアイデアは、それ自体がもたらす可能性のある追加的な安全・セキュリティリスクをどのように回避・軽減するかを含む。

 

プレス

・2023.11.17 FTC Announces Exploratory Challenge to Prevent the Harms of AI-enabled Voice Cloning

FTC Announces Exploratory Challenge to Prevent the Harms of AI-enabled Voice Cloning FTCは、AIを利用した音声クローニングの害を防ぐための探索的チャレンジを発表した。
Voice Cloning Challenge seeks submissions that can help protect consumers from the use of AI-enabled voice cloning for fraud and other harms 音声クローニング・チャレンジでは、AIを利用した音声クローニングによる詐欺やその他の被害から消費者を保護するのに役立つ投稿を募集している。
The Federal Trade Commission is announcing the Voice Cloning Challenge to help promote the development of ideas to protect consumers from the misuse of artificial intelligence-enabled voice cloning for fraud and other harms. 米連邦取引委員会は、人工知能を利用した音声クローニングによる詐欺などの悪用から消費者を守るアイデアの開発を促進するため、「音声クローニング・チャレンジ」を発表する。
"We will use every tool to prevent harm to the public stemming from abuses of voice cloning technology,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “We want to address harms before they hit the marketplace, and enforce the law when they do.” FTC消費者保護局のサミュエル・レバイン局長は、「我々は、音声クローニング技術の悪用に起因する一般消費者への危害を防止するため、あらゆる手段を駆使する」と述べた。「市場に出回る前に被害に対処し、被害が発生した際には法律を執行したい。
“This exploratory challenge leverages one of our many tools at the FTC,” added Stephanie T. Nguyen, the FTC’s Chief Technology Officer. “The challenge is crafted in a way that ensures companies are responsible for the first- and second-order effects of the products they release.” 「FTCの最高技術責任者(CTO)であるステファニー・T・グエンは、次のように付け加えた。「この挑戦状は、企業が発売する製品の一次的、二次的影響に責任を持つことを確実にするように作られている。
Voice cloning technology has grown more sophisticated as text-to-speech AI technology has improved. The technology holds promise for consumers, such as medical assistance for those who may have lost their voices due to accident or illness. At the same time, the FTC has raised concerns about ways that voice cloning technology could be used to harm consumers. For example, it could make it easier for scammers to impersonate family, friends, or business executives; it could also enable fraudsters to deceive consumers by appropriating the voices of creative professionals. Earlier this year, the FTC warned consumers about the use of voice cloning to impersonate others to try to get consumers to give scammers money or personal information. And the FTC held a workshop in early 2020 that examined various issues related to voice cloning technology. 音声合成AIの技術が改善されるにつれて、音声クローン技術はより洗練されてきた。この技術は、事故や病気で声を失った人の医療補助など、消費者にとって有望なものだ。同時にFTCは、音声クローン技術が消費者に危害を加えるために使用される可能性について懸念を示している。例えば、詐欺師が家族や友人、企業幹部になりすますことが容易になる可能性がある。また、詐欺師がクリエイティブな専門家の声を流用することで消費者を欺くことが可能になる可能性もある。今年初め、FTCは、他人になりすまして詐欺師に金銭や個人情報を提供させようとする音声クローニングの利用について消費者に警告した。また、FTCは2020年初頭にワークショップを開催し、音声クローン技術に関する様々な問題を検討した。
The FTC has and will continue to use its enforcement authority to target companies that misuse technology to harm consumers and competition. The challenge the FTC is launching today is focused on promoting the development of breakthrough ideas aimed at preventing, monitoring, and evaluating malicious use of voice cloning technology, whether it is a product, policy, or procedure. FTCは、これまでも、そしてこれからも、消費者や競争に害を与えるために技術を悪用する企業を標的にするために、その執行権限を行使していく。FTCが本日開始するチャレンジは、製品、政策、手順を問わず、音声クローニング技術の悪意ある使用を防止、監視、評価することを目的とした画期的なアイデアの開発を促進することに重点を置いている。
Challenge submissions must address at least one of these intervention points: チャレンジの提出は、これらの介入ポイントのうち少なくとも1つに対処する必要がある:
・Prevention or authentication: It must provide a way to limit the use or application of voice cloning software by unauthorized users; ・予防または本人認証: 権限のないユーザーによる音声クローニングソフトウェアの使用または適用を制限する方法を提供しなければならない;
・Real-time detection or monitoring: It must provide a way to detect cloned voices or the use of voice cloning technology; or ・リアルタイム検知または監視: リアルタイム検知または監視:クローン音声または音声クローン技術の使用を検知する方法を提供しなければならない。
・Post-use evaluation: It must provide a way to check if an audio clip contains cloned voices. ・後からの評価: オーディオクリップにクローン音声が含まれているかどうかをチェックする方法を提供すること。
The FTC will accept submissions online from January 2 to January 12, 2024. Information on how to submit a proposal for the challenge as well as complete challenge rules can be found on the challenge website The challenge will offer $25,000 to the winner. FTCは1月2日から2024年1月12日までオンラインで提出を受け付ける。このチャレンジへの提案書の提出方法や、チャレンジの完全なルールに関する情報は、チャレンジのウェブサイトに掲載されている。このチャレンジでは、優勝者に25,000ドルが提供される。
The Voice Cloning Challenge is the FTC fifth challenge issued pursuant to the America Competes act. The goal of these challenges is to spur the development of tools to address consumer problems, including one in 2012 aimed at tackling robocalls and a 2017 challenge focused on addressing security vulnerabilities related to Internet of Things devices. 音声クローニング・チャレンジは、アメリカ競争法に基づきFTCが実施する5番目のチャレンジである。これらのチャレンジの目的は、消費者問題に対処するツールの開発に拍車をかけることであり、2012年にはロボコールへの対処を目的としたチャレンジ、2017年にはモノのインターネット機器に関連するセキュリティ脆弱性への対処に焦点を当てたチャレンジが実施されている。
The lead FTC staffers on this matter are James Evans and Christine Barker from the FTC’s Bureau of Consumer Protection and Amritha Jayanti from the FTC’s Office of Technology. この件に関するFTCの主任スタッフは、FTC消費者保護局のジェームズ・エバンスとクリスティン・バーカー、およびFTC技術局のアムリタ・ジャヤンティである。
The Federal Trade Commission works to promote competition and protect and educate consumers. Learn more about consumer topics at [web], or report fraud, scams, and bad business practices at [web]. Follow the FTC on social media, read consumer alerts and the business blog, and sign up to get the latest FTC news and alerts. 連邦取引委員会は競争を促進し、消費者を保護・教育するために活動している。消費者に関するトピックについては[web], で、詐欺や悪質商法については[web] で報告する。ソーシャルメディアでFTCをフォローし、消費者警告やビジネスブログを読み、FTCの最新ニュースや警告を受け取るために登録する。

 

ビジネスブログ

・2023.11.17 FTC announces challenge to prevent harms of AI-enabled voice cloning

FTC announces challenge to prevent harms of AI-enabled voice cloning FTCは、AIを利用した音声クローンの害を防ぐための挑戦を発表した。
As text-to-speech AI has improved, so has voice cloning technology. The prospects could be promising, but from the FTC’s perspective, voice cloning also presents serious consumer protection concerns. The FTC is committed to using a wide range of tools to prevent harm to the public. That’s the reason for the just-announced Voice Cloning Challenge. 音声合成AIの改善とともに、音声クローン技術も進歩している。防御は有望かもしれないが、FTCの観点からすると、音声クローニングは深刻な消費者保護の懸念をもたらしている。FTCは、公衆への危害を防止するために幅広い手段を用いることを約束する。それが、今回発表された「音声クローニング・チャレンジ」の理由である。
While voice cloning technology holds out hope for some people – for example, those who have lost their voices to accident or illness – the FTC has called attention to the ways that fraudsters are adding AI to their arsenal of artifice. You’ve probably heard about family emergency scams where a person gets a call supposedly from a panicked relative who’s been jailed or hospitalized and needs money immediately. Until recently, scammers had to come up with excuses for why the voice might not sound quite right. But enter artificial intelligence and the crook on the other end could use voice cloning technology to impersonate the family member. 音声クローン技術は、例えば事故や病気で声を失った人々など、一部の人々には希望をもたらすものだが、FTCは詐欺師がAIを術中にはめる方法に注意を喚起している。刑務所や入院でパニックに陥った親族からと思われる電話がかかってきて、すぐにお金が必要だという家族の緊急詐欺について聞いたことがあるだろう。つい最近まで、詐欺師はその声が正しくないかもしれないという言い訳を考え出さなければならなかった。しかし、人工知能が登場すれば、詐欺師は音声クローン技術を使って家族になりすますことができるようになる。
This will be fifth challenge the FTC has sponsored under the America Competes Act, which allows agencies to create challenges to promote technology development and innovation. For example, other challenges spurred the creation of new tools to reduce illegal robocalls and address security vulnerabilities related to Internet of Things devices. Submit the best approach to protect people from the harms caused by the misuse of AI-enabled voice cloning – everything from imposter fraud to the misappropriation of someone’s voice to create music. The top prize for the Voice Cloning Challenge is $25,000. Read the FTC Voice Cloning Challenge page for more information about participating. これはFTCがアメリカ競争法の下で主催する5つ目のチャレンジとなる。例えば、他のチャレンジでは、違法なロボコールを減らすための新しいツールの作成や、IoT機器に関するセキュリティの脆弱性に対処することに拍車がかかった。AIを利用した音声クローニングの悪用によって引き起こされる被害(偽者詐欺から音楽制作のための誰かの声の流用まで)から人々を守るための最善のアプローチを提出する。ボイス・クローニング・チャレンジの最高賞金は25,000ドルである。参加についての詳細は、FTC音声クローニング・チャレンジのページを参照のこと。
We’ll start accepting submissions on January 2, 2024. But now is the time to get the genius gears cranking to consider potential solutions at various intervention points, including: 応募の受付は2024年1月2日から開始する。しかし、今こそ天才的なギアを回転させ、以下のような様々な介入ポイントにおける潜在的な解決策を検討する時である:
・Prevention or authentication, including limiting the use of voice cloning software to authorized users; ・音声クローニング・ソフトウェアの使用を認可されたユーザーに限定することを含む、予防または本人認証;
・Detection and monitoring to alert consumers if their voice has been cloned without their knowledge or if they’re speaking to a cloned voice, and/or to block phone calls using cloned voices; and ・自分の声が知らないうちにクローン化されていた場合、あるいはクローン化された声と話している場合に消費者に警告を発する検知と監視、および/またはクローン化された声を使った電話をブロックする。
・Evaluation resources, systems, or tools that help consumers or businesses check if audio clips contain cloned voices. ・音声クリップにクローン音声が含まれているかどうかを消費者や企業が確認するのに役立つ評価リソース、システム、ツール。

Those are just a few possibilities, but to quote Thomas Edison, “There’s a way to do it better. Now find it.”

 

これらはいくつかの可能性に過ぎないが、トーマス・エジソンの言葉を借りれば、「もっとうまくやる方法がある。さあ、それを見つけよう。

 

関連記事

詐欺師が緊急事態を装ってお金を盗む

Scammers Use Fake Emergencies To Steal Your Money

 

詐欺師はAIを悪用して「家族が大変!」というやり方をより巧妙にする

・2023.03.20 Scammers use AI to enhance their family emergency schemes

1_20231130051301

 

 

 

| | Comments (0)

2023.11.26

英国 AI規制法案 上院で審議開始

こんにちは、丸山満彦です。

AI規制法案が上院のリッチモンド・ホームズ卿 [web][web][X][wikipedia]がスポンサーになって議案と上がっていて、上院で第2回の読み合わせがおわっていますね。。。ということでまだまだですが、参考までに。。。

リッチモンド・ホームズ卿(男爵)は遺伝病で失明したパラリンピック金メダリストなんですね。。。

引退後は、弁護士を務め、その後議員となり、金融関連の法案を提出したりしているようですね。。。

さて、法案...

EUのAI法案とは雰囲気が違いますね。。。

 

・AIを統合的に規制する官庁をつくり、そこで総合的な調整をすることを想定しているようですね。。。

規制は、AI規制庁、AIを開発・運用する企業

まずは、AI規制庁

(1) The AI Authority must have regard to the principles that—  (1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—  (a) AIに対する規制は,以下を実現すべきである。
(i) safety, security and robustness;  (i) 安全,セキュリティ及び堅牢性 
(ii) appropriate transparency and explainability;  (ii) 適切な透明性と説明可能性 
(iii) fairness;  (iii) 公平性 
(iv) accountability and governance; (iv) 説明責任とガバナンス
(v) contestability and redress;  (v) 競争可能性と救済 

企業に対しては...

(b) any business which develops, deploys or uses AI should—  (b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;  (i) 透明性を確保する; 
(ii) test it thoroughly and transparently;  (ii) 徹底的かつ透明性をもってテストする; 
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;  (iii) データ保護、プライバシー、知的財産を含む適用法を遵守する; 

 

そしてAIについての監査も含まれていますね。。。

おそらくISO的な監査を想定しているのだろうと思います。

 

これは通るかどうかわからないので、参考まで。。。

 

ということで、

UK Parliament

・2023.11.23 Artificial Intelligence (Regulation) Bill [HL]

・[PDF]

20231125-65654_20231126063001

・[HTML]

 

 

目次...

1 The AI Authority  1 AI規制庁
2 Regulatory principles  2 規制の原則 
3 Regulatory sandboxes  3 規制のサンドボックス 
4 AI responsible officers  4 AI責任者 
5 Transparency, IP obligations and labelling  5 透明性、知的財産義務、ラベリング 
6 Public engagement  6 公的関与 
7 Interpretation  7 解釈 
8 Regulations  8 規則 
9 Extent, commencement and short title  9 範囲、開始および略称 

 

 

 

Artificial Intelligence (Regulation) Bill [HL]  人工知能(規制)法案[HL] 
CONTENTS  目次 
1 The AI Authority  1 AI規制庁
2 Regulatory principles  2 規制の原則 
3 Regulatory sandboxes  3 規制のサンドボックス 
4 AI responsible officers  4 AI責任者 
5 Transparency, IP obligations and labelling  5 透明性、知的財産義務、ラベリング 
6 Public engagement  6 公的関与 
7 Interpretation  7 解釈 
8 Regulations  8 規則 
9 Extent, commencement and short title  9 範囲、開始および略称 
   
A BILL TO 以下の法案を提出する。
Make provision for the regulation of artificial intelligence; and for connected purposes.  人工知能の規制に関する規定、およびそれに関連する目的を定める。
BE IT ENACTED by the King’s most Excellent Majesty, by and with the advice and consent of the Lords Spiritual and Temporal, and Commons, in this present Parliament assembled, and by the authority of the same, as follows:—  国王陛下は、本国会において、霊的・時間的諸侯およびコモンズの助言と同意を得て、またその権限により、以下のとおり制定される。
1  The AI Authority  1 AI規制庁
(1) The Secretary of State must by regulations make provision to create a body called the AI Authority.  (1) 閣内大臣は、規則により、AI規制庁と呼ばれる機関を設置する規定を設けなければならない。
(2) The functions of the AI Authority are to—  (2) AI規制庁の機能は以下のとおりである。
(a) ensure that relevant regulators take account of AI;  (a) 関連する規制当局がAIを考慮することを確保する; 
(b) ensure alignment of approach across relevant regulators in respect of AI;  (b) AIに関して、関連規制当局間のアプローチの整合性を確保する; 
(c) undertake a gap analysis of regulatory responsibilities in respect of AI;  (c) AIに関する規制当局の責任のギャップ分析を行う; 
(d) coordinate a review of relevant legislation, including product safety, privacy and consumer protection, to assess its suitability to address the challenges and opportunities presented by AI;  (d) AIがもたらす課題と機会に対処するための適切性を評価するため、製品安全、プライバシー、消費者保護を含む関連法令の見直しを調整する; 
(e) monitor and evaluate the overall regulatory framework’s effectiveness and the implementation of the principles in section 2, including the extent to which they support innovation;  (e) 規制の枠組み全体の有効性と、イノベーションを支援する程度を含む第2項の原則の実施状況を監視・評価する; 
(f) assess and monitor risks across the economy arising from AI;  (f) AIから生じる経済全体のリスクを評価・監視する; 
(g) conduct horizon-scanning, including by consulting the AI industry, to inform a coherent response to emerging AI technology trends;  (g) 新たなAI技術動向への首尾一貫した対応を知らせるため、AI業界との協議を含め、ホライズンスキャンニングを実施する; 
(h) support testbeds and sandbox initiatives (see section 3) to help AI innovators get new technologies to market;  (h) AIイノベーターが新技術を市場に投入するのを支援するため、テストベッドとサンドボックス・イニシアチブ(第3項参照)を支援する; 
(i) accredit independent AI auditors (see section 5(1)(a)(iv));  (i) 独立したAI監査人を認定する(第5節(1)(a)(iv)参照); 
(j) provide education and awareness to give clarity to businesses and to empower individuals to express views as part of the iteration of the framework;  (j) 枠組みの反復の一環として、企業に明確性を与え、個人が意見を表明できるようにするための教育と認識を提供する; 
(k) promote interoperability with international regulatory frameworks.  (k) 国際的な規制の枠組みとの相互運用性を促進する。
(3) The Secretary of State may by regulations amend the functions in subsection (2), and may dissolve the AI Authority, following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、規則により(2)項の機能を修正することができ、また、適切と考える者との協議の後、AI規制庁を解散することができる。
2  Regulatory principles  2 規制原則 
(1) The AI Authority must have regard to the principles that—  (1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—  (a) AIに対する規制は,以下を実現すべきである。
(i) safety, security and robustness;  (i) 安全,セキュリティ及び堅牢性 
(ii) appropriate transparency and explainability;  (ii) 適切な透明性と説明可能性 
(iii) fairness;  (iii) 公平性 
(iv) accountability and governance; (iv) 説明責任とガバナンス
(v) contestability and redress;  (v) 競争可能性と救済 
(b) any business which develops, deploys or uses AI should—  (b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;  (i) 透明性を確保する; 
(ii) test it thoroughly and transparently;  (ii) 徹底的かつ透明性をもってテストする; 
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;  (iii) データ保護、プライバシー、知的財産を含む適用法を遵守する; 
(c) AI and its applications should—  (c) AIとその応用は以下のようにすべきである。
(i) comply with equalities legislation;  (i) 平等法を遵守する; 
(ii) be inclusive by design;  (ii) 設計上、包括的であること; 
(iii) be designed so as neither to discriminate unlawfully among individuals nor, so far as reasonably practicable, to perpetuate unlawful discrimination arising in input data;  (iii) 個人間で違法な差別をしないように、また、合理的に実行可能な限り、入力データに起因する違法な差別を永続させないように設計する; 
(iv) meet the needs of those from lower socio-economic groups, older people and disabled people;  (iv) 社会経済的低所得者層、高齢者、障害者のニーズを満たす; 
(v) generate data that are findable, accessible, interoperable and  reusable;  (v) 検索可能、アクセス可能、相互運用可能、再利用可能なデータを生成すること; 
(d) a burden or restriction which is imposed on a person, or on the carrying on of an activity, in respect of AI should be proportionate to the benefits, taking into consideration the nature of the service or product being delivered, the nature of risk to consumers and others, whether the cost of implementation is proportionate to that level of risk and whether the burden or restriction enhances UK international competitiveness.  (d) AIに関して個人または活動の実施に課される負担または制限は、提供されるサービスまたは製品の性質、消費者等に対するリスクの性質、実施コストがそのリスクの程度に見合うかどうか、負担または制限が英国の国際競争力を高めるかどうかを考慮し、便益に見合うものでなければならない。
(2) The Secretary of State may by regulations amend the principles in subsection (1), following consultation with such persons as he or she considers appropriate.  (2) 閣内大臣は、適切と考える関係者との協議を経て、規則により(1)の原則を修正することができる。
3  Regulatory sandboxes  3 規制のサンドボックス 
(1) The AI Authority must collaborate with relevant regulators to construct regulatory sandboxes for AI.  (1) AI規制庁は、AIに関する規制のサンドボックスを構築するために、関連する規制当局と協力しなければならない。
(2) In this section a “regulatory sandbox” is an arrangement by one or more regulators which—  (2) 本条において「規制のサンドボックス」とは、1つ以上の規制当局による以下のような取り決めをいう。
(a) allows businesses to test innovative propositions in the market with real consumers;  (a) 事業者が実際の消費者とともに革新的な提案を市場でテストすることを可能にする; 
(b) is open to authorised firms, unauthorised firms that require authorisation and technology firms partnering with, or providing services to, UK firms doing regulated activities;  (b) 認可企業、認可を必要とする未認可企業、規制対象活動を行う英国企業と提携する、または英国企業にサービスを提供するテクノロジー企業に開放される; 
(c) provides firms with support in identifying appropriate consumer protection safeguards;  (c) 適切な消費者保護セーフガードを特定するための支援を企業に提供する; 
(d) requires tests to have a clear objective and to be conducted on a small scale;  (d) 明確な目的を持ち、小規模で実施される試験を要求する; 
(e) requires firms which want to test products or services which are regulated activities to be authorised by or registered with the relevant regulator before starting the test.  (e) 規制対象活動である製品またはサービスのテストを希望する企業に対し、テスト開始前に、関連する規制当局の認可または登録を受けることを求める。
(3) The Secretary of State may by regulations amend the description in subsection (2), following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、適切と考える者との協議に基づき、規則により(2)の記述を修正することができる。
4  AI responsible officers  4 AI 責任者 
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that any business which develops, deploys or uses AI must have a designated AI officer, with duties—  (1) 閣内大臣は,AI規制庁及び長官が適切と考えるその他の者と協議した後,規則により,AIを開発,配備又は使用する事業者は,次の職務を有する指名されたAI責任者を置かなければならないことを規定しなければならない。
(a) to ensure the safe, ethical, unbiased and non-discriminatory use of AI by the business;  (a) 事業者によるAIの安全、倫理的、公平かつ非差別的な利用を確保すること; 
(b) to ensure, so far as reasonably practicable, that data used by the business in any AI technology is unbiased (see section 2(1)(c)(iii)).  (b) 合理的に実行可能な限り、事業者がAI技術で使用するデータが偏りのないものであることを保証すること(第2条(1)(c)(iii)参照)。
(2) In the Companies Act 2006, section 414C(7)(b), after paragraph (iii) insert—  (2) 2006年会社法第414C条(7)(b)において、(iii)項の後に以下を挿入する。
“(iv) any development, deployment or use of AI by the company, and the name and activities of the AI officer designated under the Artificial Intelligence (Regulation) Act 2024,”.  「(iv)会社によるAIの開発、展開または使用、ならびに2024年人工知能(規制)法に基づいて指定されたAI担当官の氏名および活動」。
(3) The Secretary of State may by regulations amend the duties in subsection (1) and the text inserted by section (2), following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、適切と考える者との協議を経て、規則により、第(1)項の義務及び第(2)項により挿入された文章を修正することができる。
5  Transparency, IP obligations and labelling  5 透明性、知的財産義務およびラベリング
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that—   (1) 閣内大臣は、AI機関及びその他適切と考える者と協議した後、規則により以下の事項を規定しなければならない。 
(a)  any person involved in training AI must—  (a) AIの訓練に関与する者は、以下のことを行わなければならない。
(i) supply to the AI Authority a record of all third-party data and intellectual property (“IP”) used in that training; and  (i) 当該訓練において使用された全ての第三者のデータ及び知的財産(「IP」)の記録をAI規制庁に提出すること。
(ii) assure the AI Authority that—  (ii) AI規制庁に対し、以下を保証すること。
(A)  they use all such data and IP by informed consent;  and  (A) インフォームド・コンセントに基づき、当該データおよび知的財産を全て使用すること。
(B)  they comply with all applicable IP and copyright obligations;  (B) 適用されるすべての知的財産および著作権の義務を遵守すること; 
(iii) any person supplying a product or service involving AI must give customers clear and unambiguous health warnings, labelling and opportunities to give or withhold informed consent in advance; and  (iii) AIを含む製品又はサービスを供給する者は、顧客に対し、明確かつ曖昧さのない健康上の警告、表示、及びインフォームド・コンセントを事前に与える又は保留する機会を与えなければならない。
(iv) any business which develops, deploys or uses AI must allow independent third parties accredited by the AI Authority to audit its processes and systems.  (iv) AIを開発、配備又は使用する事業者は、AI規制庁の認定を受けた独立した第三者がそのプロセス及びシステムを監査することを認めなければならない。
(2) Regulations under this section may provide for informed consent to be express (opt-in) or implied (opt-out) and may make different provision for different cases.  (2) 本条に基づく規則は、インフォームド・コンセントが明示的(オプトイン)又は黙示的(オプトアウト)であることを規定することができ、異なるケースについて異なる規定を設けることができる。
6  Public engagement  6 公的関与 
The AI Authority must—  AI規制庁は,次のことを行わなければならない。
(a) implement a programme for meaningful, long-term public engagement about the opportunities and risks presented by AI; and  (a) AIがもたらす機会とリスクについて,有意義で長期的な一般市民参加のためのプログラムを実施する。
(b) consult the general public and such persons as it considers appropriate as to the most effective frameworks for public engagement, having regard to international comparators.  (b)国際的な比較対象を考慮し、一般市民及び適切と思われる者に、公的関与のための最も効果的な枠組みについて相談すること。
7  Interpretation  7 解釈 
(1) In this Act “artificial intelligence” and “AI” mean technology enabling the programming or training of a device or software to—  (1) 本法において、「人工知能」および「AI」とは、以下のことを行う装置またはソフトウェアのプログラミングまたはトレーニングを可能にする技術を意味する。
(a) perceive environments through the use of data;  (a) データを利用して環境を認識する; 
(b) interpret data using automated processing designed to approximat cognitive abilities; and  (b) 認知能力に近似するように設計された自動処理を使用してデータを解釈する。
(c) make recommendations, predictions or decisions; with a view to achieving a specific objective.  (c) 特定の目的を達成するために、推奨、予測、決定を行う。
(2) AI includes generative AI, meaning deep or large language models able to generate text and other content based on the data on which they were trained.  (2)AIには生成的AIが含まれ、学習されたデータに基づいてテキストやその他のコンテンツを生成できる深層または大規模な言語モデルを意味する。
8  Regulations  8 規制 
(1) Regulations under this Act are made by statutory instrument.  (1) 本法に基づく規則は、法的文書によって制定される。
(2) Regulations under this Act may create offences and require payment of fees, penalties and fines.  (2) 本法に基づく規則は、犯罪を創設し、手数料、罰則および罰金の支払いを要求することができる。
(3) A statutory instrument containing regulations under section 1 or 2 or regulations covered by subsection (2) may not be made unless a draft of the   instrument has been laid before and approved by resolution of both Houses of Parliament.  (3) 第1項もしくは第2項の規定または第(2)項に該当する規定を含む法定文書は、その文書の草案が国会両院の前に置かれ、その決議によって承認されない限り、作成することができない。
(4) A statutory instrument containing only regulations not covered by subsection (3) is subject to annulment in pursuance of a resolution of either House of Parliament.  (4) 第(3)項に該当しない規則のみを含む法定文書は、 国会のいずれかの議院の決議により無効とされる。
(5) A statutory instrument containing regulations applying to Wales, Scotland or Northern Ireland must be laid before Senedd Cymru, the Scottish Parliament or the Northern Ireland Assembly respectively before being made.  (5) ウェールズ、スコットランドまたは北アイルランドに適用される規則を含む法定文書は、作成前に、それぞれセネダード・サイムル、スコットランド議会または北アイルランド議会に提出されなければならない。
9  Extent, commencement and short title  9 適用範囲、開始および略称 
(1) This Act extends to England and Wales, Scotland and Northern Ireland.  (1) 本法は、イングランドおよびウェールズ、スコットランド、北アイルランドに適用される。
(2) This Act comes into force on the day on which it is passed.  (2) 本法は、成立の日に施行される。
(3) This Act may be cited as the Artificial Intelligence (Regulation) Act 2024.  (3) この法律は、人工知能(規制)法2024として引用することができる。

 

 

 

■ 参考

EUのAI法

・2021.04.21 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

 

 

 

OECDの「人工知能に関する理事会勧告」

 OECD

OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

20220824-21538

 

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

20220824-21652

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.16 OECD 主要国でのプライバシー・ガイドラインの実施状況

・2023.11.07 OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.10.31 外務省 G7 広島AIプロセスに関するG7首脳声明

 

2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

・2023.10.30 英国 科学技術革新省 フロンティアAI:その能力とリスク - ディスカッション・ペーパー

 

・2023.10.30 中国 グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.09.24 OECD 生成的人工知能のための初期政策検討

・2023.09.13 OECD 生成的人工知能(AI)に関するG7広島プロセス (2023.09.07)

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

 

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

 

・2023.07.20 国連安全保障理事会の人工知能に関するセッションが初開催される

・2023.07.14 OECD 人工知能における規制のサンドボックス

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.06.06 個人情報保護委員会 生成 AI サービスの利用に関する注意喚起等について (2023.06.02)

・2023.06.01 生成的AIとプライバシー当局(カナダ ニュージーランド)

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.02 デジタル庁 G7群馬高崎デジタル・技術大臣会合の開催結果

・2023.05.01 米国 国家人工知能諮問委員会1年間の活動報告書

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

 

・2023.04.01 英国 意見募集 AI規制白書

 

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.14 米国商工会議所 人工知能報告書

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.11 NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

 

・2022.09.30 欧州委員会 AI責任指令案

 

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

 

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

| | Comments (0)

2023.11.25

英国 データ保護とデジタル情報法政府案が下院で審議中

こんにちは、丸山満彦です。

EUから分離したので、英国はEUとは別に個人データ保護法を設計できるようになっているので、英国なりの視点でデータ保護法を検討していますね。。。

 

GOV.UK

・2023.11.23 Changes to data protection laws to unlock post-Brexit opportunity

Changes to data protection laws to unlock post-Brexit opportunity データ保護法の改正がブレグジット後の機会を解き放つ
Common sense changes to the Data Protection and Digital Information Bill will safeguard the public, prevent fraud, and unlock post-Brexit opportunities. データ保護およびデジタル情報法案への常識的な変更は、国民を保護し、詐欺を防止し、ブレグジット後の機会を解き放つ。
・Data Protection and Digital Information Bill amendments tabled to further improve data security, bolster national security and prevent fraud データ保護・デジタル情報法案の修正案が提出され、データセキュリティのさらなる改善、国家安全保障の強化、不正行為の防止が図られる。
・changes include better use of data to identify fraud - tackling benefits cheats intent on ripping off the taxpayer 納税者から金をむしり取ろうとする不正受給者に対処するため、不正を特定するためのデータ活用の改善を含む。
・new measures also brought forward around preserving the data of deceased children, supporting bereaved families and coroner investigations また、死亡した子どものデータ保全、遺族支援、検視官調査に関する新たな措置も打ち出された。
A raft of common-sense changes to the Data Protection and Digital Information Bill will build an innovative data protection regime in the UK, crack down on benefit fraud cheats, and allow the country to realise new post-Brexit freedoms which are expected to deliver new economic opportunities to the tune of at least £4 billion. Data Protection and Digital Information Bill(データ防御およびデジタル情報法案)に対する常識的な変更の数々は、英国における革新的なデータ保護体制を構築し、給付金詐欺を取り締まり、少なくとも40億ポンド規模の新たな経済機会をもたらすと期待されるブレグジット後の新たな自由を実現することを可能にする。
The changes include new powers to require data from third parties, particularly banks and financial organisations, to help the UK government reduce benefit fraud and save the taxpayer up to £600 million over the next five years. Currently, Department for Work and Pensions (DWP) can only undertake fraud checks on a claimant on an individual basis, where there is already a suspicion of fraud.  ガバナンスの変更には、英国政府が給付金詐欺を減らし、今後5年間で納税者を最大6億ポンド節約するために、サードパーティ、特に銀行や金融組織からデータを要求する新しい権限が含まれている。現在、労働年金省(DWP)は、すでに不正の疑いがある場合にのみ、個別に受給者の不正チェックを行うことができる。
The new proposals would allow regular checks to be carried out on the bank accounts held by benefit claimants to spot increases in their savings which push them over the benefit eligibility threshold, or when people send more time overseas than the benefit rules allow for. This will help identify fraud take action more quickly. To make sure that privacy concerns are at the heart of these new measures, only a minimum amount of data will be accessed and only in instances which show a potential risk of fraud and error. 新提案では、給付金請求者の銀行口座を定期的にチェックし、給付金の受給資格を超えるような貯蓄の増加や、給付規則で認められている以上に海外に滞在している場合などを発見できるようになる。これにより、不正行為をより迅速に特定することができる。プライバシーへの配慮がこれらの新しい措置の中心にあることを確認するため、必要最小限のデータのみがアクセスされ、不正やエラーの潜在的リスクを示す場合にのみアクセスされる。
Another measure offers vital reassurance and support to families as they grieve the loss of a child. In cases where a child has died through suicide, a proposed ‘data preservation process’ would require social media companies to keep any relevant personal data which could then be used in subsequent investigations or inquests. もうひとつの対策は、子供を失った悲しみに暮れる家族に、重要な安心感とサポートを提供するものだ。子供が自殺で死亡した場合、「データ保全プロセス」が提案され、ソーシャルメディア企業は関連する個人データを保管することが義務づけられる。
Current rules mean that social media companies aren’t obliged to hold onto this data for longer than is needed, meaning that data which could prove vital to coroner investigations could be deleted as part of a platform’s routine maintenance. The change tabled today represents an important step for families coming to terms with the loss of a loved one, and takes further steps to help ensure harmful content has no place online. 現行の規則では、ソーシャルメディア企業は必要以上にデータを保持する義務はないため、検視官の調査に不可欠となりうるデータが、プラットフォームの定期保守の一環として削除されてしまう可能性がある。本日上程された変更は、愛する人を失った遺族にとって重要な一歩であり、有害なコンテンツがオンライン上に存在しないことを保証するためのさらなる措置である。
The use of biometric data, such as fingerprints, to strengthen national security is also covered by the amendments, with the ability of Counter Terrorism Police to hold onto the biometrics of individuals who pose a potential threat, and which are supplied by organisations such as Interpol, being bolstered. 国家セキュリティを強化するための指紋などの生体データの使用も改正の対象となり、潜在的な脅威をもたらす個人の生体情報を保持するテロ対策警察の能力が強化される。
This would see officers being able to retain biometric data for as long as an INTERPOL notice is in force, matching this process up with INTERPOL’s own retention rules. The amendments will also ensure that where an individual has a foreign conviction, their biometrics will be able to be retained indefinitely in the same way as is already possible for individuals with UK convictions – this is particularly important where foreign nationals may have existing convictions for serious offences, including terrorist offences. これにより、国際刑事警察機構(INTERPOL)の通達が有効である限り、警察官は生体データを保持することができるようになり、このプロセスはINTERPOL独自の保持規則と一致することになる。この改正はまた、個人が外国で有罪判決を受けた場合、英国で有罪判決を受けた個人と同様に、バイオメトリクスを無期限に保持できるようにするものである。これは、外国人がテロ犯罪を含む重大犯罪の前科を持つ可能性がある場合に特に重要である。
Maintaining the UK’s high standards of data protection is central to both the wider Bill and the proposed amendments which have been laid today. 英国の高水準のデータ保護を維持することは、より広範な法案と、本日提出された修正案の双方にとって重要である。
Secretary of State for Science, Innovation and Technology, Michelle Donelan, said: ミシェル・ドネラン科学・イノベーション・技術担当国務長官は、次のように述べた:
”Britain has seized a key Brexit opportunity – boosting small businesses, protecting consumers and cracking down on criminal enterprises like nuisance calling and benefit fraud. 「英国はブレグジットの重要なチャンスをつかんだ。中小企業を後押しし、消費者を保護し、迷惑電話や給付金詐欺のような犯罪エンタープライズを取り締まる。」
"These changes protect our privacy and data while also injecting common sense into the system - whether it is cracking down on cookies, scrapping pointless paperwork which stifles productivity, tackling benefit fraud or making it easier to protect our citizens from criminals. 「クッキーの取り締まりであれ、生産性を阻害する無意味なペーパーワークの廃止であれ、給付金詐欺への取り組みであれ、犯罪者から市民を守ることを容易にすることであれ、これらの変更は、我々のプライバシーとデータを保護すると同時に、システムに常識を注入するものである。」
"These changes help to establish the UK as a world-leading data economy; one that puts consumers and businesses at the centre and removes the ‘one-size-fits-all’ barriers that have held many British businesses back. 「これらの変更は、英国を世界をリードするデータエコノミーとして確立するのに役立つ。消費者と企業を中心に置き、多くの英国企業の足かせとなってきた "画一的な "障壁を取り除くものである。」
The Bill’s focus is to create an innovative and flexible data protection regime which will maintain the UK’s high standards of data protection, streamline processes for companies, strengthen national security, and support grieving families. Making it easier to use personal data which will improve efficiency, lead to better public services, and enable new innovations across science, innovation, and technology.  法案の焦点は、英国の高いデータ保護標準を維持し、企業のプロセスを合理化し、国家セキュリティを強化し、悲しむ家族を支援する、革新的で柔軟なデータ保護体制を構築することである。個人データの利用を容易にすることで、効率性を改善し、より良い公共サービスを実現し、科学、イノベーション、テクノロジーにおける新たなイノベーションを可能にする。
Secretary of State for Work and Pensions, Mel Stride MP, said: メル・ストライド労働年金担当国務長官は、次のように述べた:
" new powers send a very clear message to benefit fraudsters – we won’t stand for it. These people are taking the taxpayer for a ride and it is right that we do all we can to bring them to justice. 「新たな権限は、給付金詐欺師に対して非常に明確なメッセージを送るものだ。このような輩は納税者を乗っ取っており、彼らを裁くために全力を尽くすことは正しいことだ。」
"These powers will be used proportionately, ensuring claimants’ data is safely protected while rooting out fraudsters at the earliest possible opportunity. 「これらの権力は比例して行使され、不正受給者のデータが安全に保護されることを保証すると同時に、可能な限り早い機会に不正受給者を根絶する。」
Home Secretary, James Cleverly, said: ジェームズ・クレバリー内務大臣は次のように述べた:
"My priority is to continue cutting crime and ensuring the public is protected from security threats. Law enforcement and our security partners must have access to the best possible tools and data, including biometrics, to continue to keep us safe. 「私の最優先事項は、犯罪を削減し続け、国民を安全保障上の脅威から確実に守ることだ。法執行機関と私たちのセキュリティ・パートナーは、私たちの安全を守り続けるために、生体認証を含む最善のツールとデータにアクセスできなければならない。」
"This Bill will improve the efficiency of data protection for our security and policing partners—encouraging better use of personal information and ensuring appropriate safeguards for privacy. 「この法案は、私たちのセキュリティと警察活動のパートナーのために、データ保護の効率を改善し、個人情報のより良い利用を促し、プライバシーのための適切な保護措置を確保するものである。」
The amendments tabled today show the practical steps being taken by the UK government to improve how the nation uses and accesses personal data, capitalising on the UK’s departure from the European Union to introduce measures which will protect the public purse, strengthen national security, and offer important support to grieving families. 本日提出された修正案は、国家が個人データをどのように利用し、アクセスするかを改善するために英国政府がとっている実際的な措置を示すものであり、英国のEU離脱を活かして、財政を保護し、国家安全保障を強化し、悲嘆に暮れる家族に重要な支援を提供する措置を導入するものである。
These amendments will also help the Bill realise its ambition of bulldozing burdens for businesses and removing restrictions for researchers, ensuring new advances in science, innovation, and technology can be fuelled by more practical ways to access data. これらの修正案はまた、企業の負担をブルドーザーで取り除き、研究者の制限をなくすという法案の野望を実現する助けとなり、科学、イノベーション、テクノロジーの新たな進歩が、データへのアクセスのより実用的な方法によって促進されることを保証する。
Further Information 詳細情報
Full list of amendments tabled can be found here. 提出された修正案の全リストはこちらを参照のこと。
These amendments will be considered by the House of Commons at Report next Wednesday (29 November). これらの修正案は、来週水曜日(11月29日)の下院報告会で審議される。
Further information on the Data Protection and Digital Information Bill can be found here. データ保護およびデジタル情報法案に関する詳細はこちらを参照のこと。

 

政府案

英国議会 - 議会 (https://publications.parliament.uk/)

・2023.11.23 [PDF] Data Protection and Digital Information Bill (Amendment Paper) 

20231125-64332

 

議会(法案)

・2023.11.23 Data Protection and Digital Information Bill (Government Bill)

・[PDF] Data Protection and Digital Information Bill 

20231125-65505

 

Data Protection and Digital Information Bill  データ保護およびデジタル情報法案 
CONTENTS  目次 
PART 1 DATA PROTECTION  第1部 データ保護 
Definitions  定義 
1 Information relating to an identifiable living individual  1 識別可能な生存する個人に関する情報 
2 Meaning of research and statistical purposes  2 研究および統計目的の意味 
3 Consent to processing for the purposes of scientific research  3 科学的調査目的の処理に対する同意 
4 Consent to law enforcement processing  4 法執行処理に対する同意 
Data protection principles  データ保護の原則 
5 Lawfulness of processing  5 情報処理の合法性 
6 The purpose limitation  6 目的の制限 
Special categories of personal data  特別カテゴリーの個人データ 
7 Elected representatives responding to requests  7 要求に応じる選挙代理人 
Data subjects’ rights  データ主体の権利 
8 Vexatious or excessive requests by data subjects  8 データ主体による執拗または過剰な要求 
9 Time limits for responding to requests by data subjects  9 データ主体による要求に応じる期限 
10 Information to be provided to data subjects  10 データ当事者に提供されるべき情報 
11 Data subjects’ rights to information: legal professional privilege exemption  11 情報に対するデータ主体の権利:法律専門家特権の免除 
Automated decision-making  自動化された意思決定 
12 Automated decision-making  12 自動的意思決定 
Obligations of controllers and processors  管理者および処理者の義務 
13 General obligations  13 一般的義務 
14 Removal of requirement for representatives for controllers etc outside the UK  14 英国外の管理者等に対する代理人要件の撤廃 
15 Senior responsible individual  15 上級責任者 
16 Duty to keep records  16 記録の保存義務 
17 Logging of law enforcement processing  17 法執行処理の記録 
18 Assessment of high risk processing 18 高リスク処理の評価
19 Consulting the Commissioner prior to processing  19 処理前のコミッショナーへの相談 
20 General processing and codes of conduct  20 一般的な処理と行動規範 
21 Law enforcement processing and codes of conduct  21 法執行処理と行動規範 
22 Obligations of controllers and processors: consequential amendments  22 管理者および処理者の義務:結果的改正 
International transfers of personal data  個人データの国際移転 
23 Transfers of personal data to third countries and international organisations  23 第三国および国際機関への個人データの移転 
Safeguards for processing for research etc purposes  研究等の目的で処理する場合の保護措置 
24 Safeguards for processing for research etc purposes  24 研究等の目的で処理する場合の保護措置 
25 Section 24: consequential provision  25 第24条:結果規定 
National security  国家安全保障 
26 National security exemption  26 国家安全保障の適用除外 
Intelligence services  情報機関 
27 Joint processing by intelligence services and competent authorities  27 情報機関および管轄当局による共同処理 
28 Joint processing: consequential amendments  28 共同処理:結果的修正 
Information Commissioner’s role  情報コミッショナーの役割 
29 Duties of the Commissioner in carrying out functions  29 機能の遂行における情報コミッショナーの義務 
30 Strategic priorities  30 戦略的優先事項 
31 Codes of practice for the processing of personal data  31 個人データ処理に関する実施規範 
32 Codes of practice: panels and impact assessments  32 実施規範:委員会と影響評価 
33 Codes of practice: approval by the Secretary of State  33 実施規範:国務長官の承認 
34 Vexatious or excessive requests made to the Commissioner  34 委員会に対する執拗または過剰な要求 
35 Analysis of performance  35 実績の分析 
Enforcement  施行 
36 Power of the Commissioner to require documents  36 委員会の文書要求権 
37 Power of the Commissioner to require a report  37 報告書を要求する委員会の権限 
38 Interview notices  38 面談通知 
39 Penalty notices  39 違約金通知 
40 Annual report on regulatory action  40 規制措置に関する年次報告 
41 Complaints to controllers  41 管理者に対する苦情 
42 Power of the Commissioner to refuse to act on certain complaints  42 特定の苦情への対応を拒否する権限 
43 Complaints: minor and consequential amendments  43 苦情:小改正および結果的改正 
44 Consequential amendments to the EITSET Regulations  44 EITSET規則の結果的改正 
Protection of prohibitions, restrictions and data subject’s rights  禁止、制限および情報主体の権利の保護 
45 Protection of prohibitions, restrictions and data subject’s rights  45 禁止、制限および情報主体の権利の保護 
Miscellaneous  その他 
46 Regulations under the UK GDPR  46 英国GDPRに基づく規制 
47 Minor amendments  47 軽微な修正 
PART 2 DIGITAL VERIFICATION SERVICES 
第2部 デジタル検証サービス
Introductory  はじめに
48 Introductory  48 はじめに
DVS trust framework  DVS信頼の枠組み 
49 DVS trust framework  49 DVS信頼の枠組み
DVS register  DVS 登録 
50 DVS register  50 DVS登録 
51 Applications for registration  51 登録申請 
52 Fees for registration  52 登録料 
53 Duty to remove person from the DVS register  53 DVS登録から削除する義務 
54 Power to remove person from the DVS register  54 DVS登録から個人を削除する権限 
55 Revising the DVS trust framework: top-up certificates  55 DVS信頼の枠組みの改訂:トップアップ証明書 
Information gateway  情報ゲートウェイ 
56 Power of public authority to disclose information to registered person  56 公的機関が登録者に情報を開示する権限 
57 Information disclosed by the Revenue and Customs  57 税関歳入庁が開示する情報 
58 Information disclosed by the Welsh Revenue Authority  58 Welsh Revenue Authority が開示する情報 
59 Information disclosed by Revenue Scotland  59 Scotland歳入庁が開示する情報 
60 Code of practice about the disclosure of information  60 情報開示に関する実施規範 
Trust mark  トラストマーク 
61 Trust mark for use by registered persons  61 登録者が使用するトラストマーク 
Supplementary  補足 
62 Power of Secretary of State to require information  62 国務長官が情報を要求する権限 
63 Arrangements for third party to exercise functions  63 第三者による機能行使の取り決め 
64 Report on the operation of this Part  64 本編の運用に関する報告 
PART 3 CUSTOMER DATA AND BUSINESS DATA
第3部 顧客データおよび事業データ 
Introductory  はじめに 
65  Customer data and business data  65 顧客データおよび業務データ 
Data regulations  データ規制 
66  Power to make provision in connection with customer data  66 顧客データに関して規定する権限 
67  Customer data: supplementary  67 顧客データ:補足 
68 Power to make provision in connection with business data  68 事業データに関して規定する権限 
69 Business data: supplementary  69 事業データ:補足 
70 Decision-makers  70 意思決定者 
Enforcement  施行 
71 Enforcement of data regulations  71 データ規制の施行 
72 Restrictions on powers of investigation etc  72 調査権限等の制限 
73 Financial penalties  73 罰則 
Fees etc and financial assistance  手数料等および補助金
74 Fees  74 手数料 
75 Levy  75 課徴金 
76 Financial assistance  76 補助金
Supplementary  補足 
77 Restrictions on processing and data protection  77 処理の制限およびデータ保護 
78 Regulations under this Part  78 本編に基づく規制 
79 Duty to review regulations  79 規則を見直す義務 
80 Repeal of provisions relating to supply of customer data  80 顧客データの提供に関する規定の廃止 
81 Interpretation of this Part  81 本編の解釈 
PART 4 OTHER PROVISION ABOUT DIGITAL INFORMATION 
第4部 デジタル情報に関するその他の規定 
Privacy and electronic communications  プライバシーおよび電子通信 
82 The PEC Regulations  82 PEC規則 
83 Storing information in the terminal equipment of a subscriber or user  83 加入者または利用者の端末機器における情報の保存 
84 Unreceived communications  84 未受信の通信 
85 Meaning of “direct marketing”  85 「ダイレクトマーケティング」の意味 
86 Use of electronic mail for direct marketing purposes  86 ダイレクトマーケティング目的の電子メールの使用 
87 Direct marketing for the purposes of democratic engagement  87 民主的関与を目的とするダイレクトマーケティング 
88 Meaning of expressions in section 87  88 第87条における表現の意味 
89 Duty to notify the Commissioner of unlawful direct marketing  89 違法なダイレクト・マーケティングを委員会に通知する義務 
90 Commissioner’s enforcement powers  90 欧州委員会の執行権限 
91 Codes of conduct  91 行動規範 
92 Pre-commencement consultation  92 開始前のコンサルテーション 
Trust services  トラストサービス 
93 The eIDAS Regulation  93 eIDAS規則 
94 Recognition of EU conformity assessment bodies  94 EU適合性評価機関の承認 
95 Removal of recognition of EU standards etc  95 EU規格等の承認の廃止 
96 Recognition of overseas trust products  96 海外の信託商品の承認 
97 Co-operation between supervisory authority and overseas authorities  97 監督当局と海外当局の協力 
Data Protection and Digital Information Bill  v  データ保護・デジタル情報法案 
Sharing of information  情報の共有 
98 Disclosure of information to improve public service delivery to undertakings  98 事業者への公共サービス提供向上のための情報開示 
99 Implementation of law enforcement information-sharing agreements  99 法執行情報共有協定の実施 
100 Meaning of “appropriate national authority”  100 「適切な国家機関」の意味 
Registers of births and deaths  出生・死亡登録 
101 Form in which registers of births and deaths are to be kept  101 出生及び死亡の登録の保管形態 
102 Provision of equipment and facilities by local authorities  102 地方自治体による設備及び施設の提供 
103 Requirements to sign register  103 登録簿への署名要件 
104 Treatment of existing registers and records  104 既存の登録および記録の取り扱い 
105 Minor and consequential amendments  105 軽微かつ結果的な修正 
Information standards for health and social care  医療および社会福祉に関する情報基準 
106 Information standards for health and adult social care in England  106 イングランドにおける保健および成人福祉ケアのための情報基準 
PART 5 REGULATION AND OVERSIGHT  第5部 規制および監督 
Information Commission  情報委員会 
107 The Information Commission  107 情報委員会 
108 Abolition of the office of Information Commissioner  108 情報委員会の廃止 
109 Transfer of functions to the Information Commission  109 情報委員会への機能移転 
110 Transfer of property etc to the Information Commission  110 財産等の情報委員会への移管 
Oversight of biometric data  バイオメトリックデータの監視 
111 Oversight of retention and use of biometric material  111 バイオメトリック資料の保持と使用の監督 
112 Removal of provision for regulation of CCTV etc  112 CCTV等の規制に関する規定の削除 
113 Oversight of biometrics databases  113 バイオメトリクス・データベースの監視 
PART 6 FINAL PROVISIONS 
第6部 最終規定 
114 Power to make consequential amendments  114 結果的修正を行う権限 
115 Regulations  115 規則 
116 Interpretation  116 解釈 
117 Financial provision  117 財務規定 
118 Extent  118 範囲 
119 Commencement  119 開始 
120 Transitional, transitory and saving provision  120 経過的、一時的および保存的規定 
121 Short title  121 短称 
   
Schedule 1 —  Lawfulness of processing: recognised legitimate interests  別表1 - 処理の適法性:認識された正当な利益 
Schedule 2 —  Purpose limitation: processing to be treated as compatible with original purpose  別表2 - 目的の制限:当初の目的に適合するものとして取り扱われるべき処理 
Schedule 3 —  Automated decision-making: consequential amendments  別表3 - 自動意思決定:結果的修正 
Schedule 4 —  Obligations of controllers and processors: consequential amendments  別表4 - 管理者および処理者の義務:結果的修正 
Schedule 5 —  Transfers of personal data to third countries etc: general processing  別表5 - 「個人データの第三国等への移転:一般的な処理 
Schedule 6 —  Transfers of personal data to third countries etc: law enforcement processing  別表6 - 第三国等への個人データの移転:法執行処理 
Schedule 7 —  Transfers of personal data to third countries etc: consequential and transitional provision  別表7 - 第三国等への個人データの移転:結果的および経過的規定 
Part 1 —  Consequential provision  第1部 - 結果的規定 
Part 2 —  Transitional provision  第2部 - 経過規定 
Schedule 8 —  Complaints: minor and consequential amendments  別表8 - 苦情処理:小修正および結果的修正 
Schedule 9 —  Data protection: minor amendments  別表9 - データ保護:若干の修正 
Schedule 10 —  Privacy and electronic communications: Commissioner’s enforcement powers  別表10 - プライバシーおよび電子通信 コミッショナーの執行権限 
Schedule 11 —  Registers of births and deaths: minor and consequential amendments  別表11 - 出生および死亡の登録簿:小修正および結果的修正 
Part 1 —  Amendments of the Births and Deaths Registration Act 1953  第1部 - 1953年出生・死亡登録法の改正 
Part 2 —  Amendments of other legislation  第2部 - その他の法律の改正 
Schedule 12 —  Information standards for health and adult social care in England  別表12 - イングランドにおける医療および成人社会ケアの情報基準 
Schedule 13 —  The Information Commission  別表13 - 情報委員会 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

 

・2023.09.20 英国 ICO 子供を守るための情報共有のための10ステップガイド (2023.09.14)

 

・2023.06.28 英国 ICO 金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを作成 (2023.06.19)

・2023.05.23 英国 NCSCとICOの共同ブログ サイバーインシデント報告...

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.27 英国 ICO 「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集

・2023.03.20 英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

 

・2023.03.15 英国 英国版GDPR新版の審議始まる (2023.03.08)

 

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

・2022.12.14 英国 デジタル・文化・メディア・スポーツ省 アプリストア運営者及びアプリ開発者のための実践規範

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

 

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

 

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表

・2022.07.18 英国 情報コミッショナー 新しい戦略計画案 ICO25 を公表し、意見募集をしていますね。。。

・2022.06.15 英国 健康分野のデータ戦略

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.10 英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

・2022.01.28 英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ長期調査:第1回

・2022.01.26 英国 世界最高レベルのデータ専門家(Google, IBM, Microsoftのメンバーを含む)による国際的なデータ転送に関する政府協議会を設立

・2022.01.19 英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

・2021.12.19 英国 AIバロメータ21 公表

 

・2021.11.27 英国 情報コミッショナーの意見:オンライン広告の提案に対するデータ保護とプライバシーの期待

 

・2021.11.05 英国 デジタル・文化・メディア・スポーツ省の提案に対する、バイオメトリックスコミッショナーおよび監視カメラコミッショナーであるフィッシャー氏の回答

 

・2021.10.28 英国 データ保護局 (ICO) ビデオ会議事業者に期待されるグローバルなプライバシーに関する共同声明

・2021.10.16 英国 ICO(データ保護局)意見募集 「ジャーナリズムの実践規範」案

・2021.09.22 英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由

・2021.09.17 G7データ保護・プライバシー機関ラウンドテーブル 2021.09

 

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

 

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

 

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。


・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

 

・2021.02.17 英国 デジタルID・属性のフレームワーク案の意見募集

・2020.11.03 英国 Information Commissioner's Office (ICO)による罰金

 

・2020.09.13 英国 データ保護委員会 アカウンタビリティ フレームワーク

・2020.05.08 UK-ICO NHSXのコンタクト・トレース・アプリ試用版のデータ保護影響評価に関するメディアからの問い合わせへの声明

・2020.05.05 UK ICO COVID-19 コンタクト・トレーシング:アプリ開発におけるデータ保護の期待

・2020.05.02 英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

 

| | Comments (0)

2023.11.24

四半期報告書が廃止されますね。。。

こんにちは、丸山満彦です。

「金融商品取引法等の一部を改正する法律」が 2023 年 11 月 20 日に成立しましたね。。。

今回の改正では、四半期開示の見直しがなされており、2024 年 4 月 1 日以後に開始する四半期から四半期報告書が廃止され、半期報告書の提出が義務付けられるとともに、四半期開示については、原則として、東京証券取引所の規則に基づく四半期決算短信に一本化されることとなりますね。。。

2006年の金商法の改正で金融のグローバル市場を見据えたルール統一を図る方向から四半期報告書を導入することになったわけですが、英国、フランス、ドイツも半期報告制度、中国もそうですしね。。。日本も。。。ということなのでしょうかね。。。

費用対効果という意味であれば、提出会社(いわゆる親会社単体)の情報は不要でしょうね。。。

 

 

日本取引所グループ

・2023.11.22 四半期開示の見直しに関する実務の方針」の公表について

 ・[PDF] 四半期開示の見直しに関する実務の方針

20231124-125735

 

日本公認会計士協会

 ・[PDF] 四半期開示制度の見直しに関する対応について(お知らせ)

 

 

 

| | Comments (0)

2023.11.23

米国 財務省 世界最大の仮想通貨取引所バイナンス社に対しマネーロンダリング防止法および制裁法違反で和解 和解額43億ドル()yaku

こんにちは、丸山満彦です。

財務省と世界最大の仮想通貨取引所バイナンス社 [wikipedia] がマネーロンダリング防止法および制裁法違反の件について違反金を約43億ドル(約6,400億円)支払うということで和解したようですね。。。

金融犯罪取締ネットワーク(Financial Crimes Enforcement Network:FinCEN)との和解額は34億ドル。外国資産管理局(Office of Foreign Assets Control:OFAC) の罰金は9億6800万ドル。

 

バイナンス社は、Wikipediaを見ている限り、法律を守らずにやってきた感じですよね。。。創設者で元CEOの趙昌鵬 (Changpeng Zhao) [wikipedia] は中国出身者で今はカナダ国籍のようですね。。。

業界トップがこういう状況では、産業として発展するのは難しいようにおもいますが、今回の件で、業界をリードするくらいの状況になれば、変わる可能性はありますね。。。

ランサムウェアの身代金として得たお金を渡してはならない人にも渡していたようですから、今回の件で、ランサムウェアを含む犯罪が減少することになればより良いですよね。。。

 

財務省のウェブページ

・2023.11.21 U.S. Treasury Announces Largest Settlements in History with World’s Largest Virtual Currency Exchange Binance for Violations of U.S. Anti-Money Laundering and Sanctions Laws

 

金融犯罪取締ネットワーク

Financial Crimes Enforcement Network:FinCEN

enforcement-actions

・[PDF] In the Matter of Binance Holdings Limited, et. al. d/b/a Binance and Binance.com

20231123-10738



外国資産管理局

Office of Foreign Assets Control:OFAC 

和解合意書

・2023.11.21 [PDF] SETTLEMENT AGREEMENT

20231123-11427

 

・2023.11.21 Settlement Agreement between the U.S. Department of the Treasury’s Office of Foreign Assets Control and Binance Holdings, Ltd.

20231123-11751

 

 

司法省

Department of Justice - Deputy Attorney General News

・2023.11.21 VIDEO Binance and CEO Plead Guilty to Federal Charges in $4B Resolution

・2023.11.21 Binance and CEO Plead Guilty to Federal Charges in $4B Resolution

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.29 米国 GAO 暗号資産の包括的な監視を確保するために立法と規制措置が必要である (2023.07.23)

・2023.07.18 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

・2023.04.27 EU 議会 暗号資産に関する法案を承認

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.04 世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

・2022.12.03 Interpol サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドル(175億円)を阻止 (2022.11.24)

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

・2022.10.12 金融安定理事会 (FSB) 暗号資産活動の国際的規制の枠組みの提案

・2022.09.21 米国 デジタル資産の責任ある開発に関する包括的フレームワーク (2022.09.16)

・2022.08.01 金融庁 寄稿 暗号資産交換所ビジネスの現状とモニタリングの方向性(金融財政事情 2022.05.17)

・2022.04.12 金融庁 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)(2022.04.08)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

 


・2023.08.09 ロシア デジタル・ルーブルのロゴ

・2023.07.13 ロシア デジタル・ルーブル

・2023.07.04 世界経済フォーラム (WEF) 中央銀行デジタル通貨 (CBDC) グローバル相互運用性原則

・2023.07.01 欧州委員会 デジタルユーロの立法案

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行 国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

 

| | Comments (0)

2023.11.22

COSO 不正リスク管理ガイド 第2版

こんにちは、丸山満彦です。

COSOが不正リスク管理ガイド 第2版を公表していましたね。。。2016年に初版が公開されて第2版ということになりますね。。。要旨が無料で読めます。。。

個人情報や機密情報漏えいの観点からいえば、組織内部の人が情報漏えいに加担しているケースなどは、不正リスクということも言えますね。特に正式なアクセス権を持っている人がそれを行う場合は、通常の予防的コントロールがあまり効かないので、それ以外の手法、例えば発見的統制、また、それによる抑止効果なども含めて、複層的に考える必要がありますね。。。

この分野は、長い歴史を持つ、公認会計士の経験が生きる分野だろうと思います...

 

COSO

The Fraud Risk Management Guide: 2nd Edition

・[PDF

20231122-40022

 

The Ever-Present Risk of Fraud and its Costs 常に存在する不正のリスクとそのコスト
All organizations are subject to fraud risks. Some organizational leaders may question whether the benefits derived from implementing and maintaining a Fraud Risk Management Program outweigh the costs. This Guide demonstrates why the answer to that question is Yes, and provides help in implementing such a program. すべての組織は不正リスクにさらされている。組織のリーダーの中には、不正リスク管理プログラムを実施・維持することで得られる便益がコストを上回るかどうか疑問に思う人もいるかもしれない。本ガイドは、その疑問に対する答えが「イエス」である理由を示し、そのようなプログラムを実施する際の支援を提供する。
Publicized fraudulent behavior by key executives, other employees, and outsiders repeatedly demonstrate the reality of this ever-present risk and how it negatively impacts reputations, brands, and images of many organizations around the globe. Large frauds have led to the collapse of entire organizations, massive asset losses, significant legal costs, incarceration of key individuals, and erosion of confidence in capital markets, government, and not-for-profit entities. Even relatively small frauds can be devastating to an organization, resulting in: 主要幹部、その他の従業員、部外者による不正行為が公表されるたびに、この常に存在するリスクの現実と、それが世界中の多くの組織の評判、ブランド、イメージにいかに悪影響を及ぼすかが実証されている。大規模な不正行為は、組織全体の崩壊、巨額の資産損失、多額の訴訟費用、重要人物の投獄、資本市場や政府、非営利団体に対する信頼の失墜につながった。比較的小規模な不正行為であっても、組織に壊滅的な打撃を与え、以下のような結果をもたらす:
• Loss of trust in management and the breakdown of teamwork and organizational cohesion ・経営陣の信頼を失い,チームワークと組織の結束が崩壊する。
• Increased scrutiny from law enforcement and regulatory bodies ・法執行機関や規制機関からの監視の強化
• Loss of trust by stakeholders (shareholders, donors, customers, taxpayers, and the public) ・利害関係者(株主、寄付者、顧客、納税者、一般市民)からの信頼の失墜
• Increased employee and management turnover ・従業員や経営陣の離職率の増加
• Reputational damage ・風評被害
• Loss of competitive advantage ・競争上の優位性の喪失
It is impossible and impractical to eliminate all fraud in all organizations. However, effective leaders address fraud risk as they do any risk — they manage it. The Fraud Risk Management Guide provides a blueprint to do just that. It is based on the proven principles of enterprise risk management as published by COSO, most recently in 2017. This Guide gives organizations, whether large or small, government or private, profit or non-profit, the information necessary to design a plan specific to the risks for that entity. There is no “one-size-fits-all approach” to managing fraud risk. But with the right approach, an organization can create a custom-fitted program tailored to its specific needs. 全ての組織において全ての不正を排除することは不可能であり、現実的ではない。しかし、効果的なリーダーは、あらゆるリスクと同じように不正リスクに対処する-管理するのである。不正リスクマネジメントガイドは、まさにそのための青写真を提供するものである。本ガイドは、COSOが2017年に発表したエンタープライズ・リスク・マネジメントの原則に基づいている。本ガイドは、規模の大小、政府・民間、営利・非営利を問わず、各組織のリスクに特化した計画を策定するために必要な情報を提供する。不正リスク管理に「万能なアプローチ」は存在しない。しかし、適切なアプローチを用いれば、組織固有のニーズに合わせたカスタムメイドのプログラムを作成することができる。
A Growing Area of Fraud Risk 拡大する不正リスクの領域
Organizations committed to fraud prevention, detection, and deterrence will address not just internal fraud risks — frauds perpetrated by parties within the organization, but also external fraud risks — fraud perpetrated on the organization by outside parties such as ransomware, data breaches, identity theft, and a wide range of corruption schemes that continue to evolve. 不正行為の防止、検知、抑止に取り組む組織は、内部不正リスク(組織内の関係者によって行われる不正行為)だけでなく、外部不正リスク(ランサムウェア、データ漏洩、個人情報の盗難、進化し続ける幅広い腐敗スキームなど、外部の関係者によって組織に行われる不正行為)にも取り組むことになる。
Fraud Deterrence Now and in the Future 現在と将来の不正抑止策
Implementation of the principles in this Guide will maximize the likelihood that fraud will be prevented or detected in a timely manner and can create a strong fraud deterrence effect. 本ガイドの原則を実施することで、不正を防止または適時に発見できる可能性を最大限に高め、強力な不正抑止効果を生み出すことができる。
COSO’s mission is to help organizations improve performance by developing thought leadership that enhances internal control, risk management, governance and fraud deterrence. The Fraud Risk Management Guide is a key tool for furthering this mission, particularly with respect to fraud deterrence. COSOの使命は、内部統制、リスク管理、ガバナンス、不正抑止を強化するソートリーダーシップを開発することにより、組織の業績向上を支援することである。不正リスク管理ガイドは、特に不正抑止に関して、この使命を推進するための重要なツールである。
As a first step in discussing fraud deterrence, the following practical definition of fraud1 is used in this Guide: 不正抑止について議論する第一歩として、本ガイドでは以下のような不正の実践的定義1 を用いている:
Therefore, to successfully achieve fraud deterrence, organizations will implement policies and procedures that target the prevention and detection of fraud. Organizations that implement a rigorous Fraud Risk Management Program will further strengthen fraud deterrence by making it known that potential fraud perpetrators face a significant likelihood of getting caught and being punished. したがって、不正抑止を成功裏に達成するために、組織は不正の防止と発見を目標とする方針と手続を実施する。厳格な不正リスク管理プログラムを実施する組織は、潜在的な不正加害者が捕まり処罰を受ける可能性が高いことを周知させることで、不正抑止力をさらに強化する。
Deterrence is also supported and enhanced by the knowledge throughout the organization that: 抑止力はまた、次のような組織全体の知識によっても支えられ、強化される:
• Those charged with governance have made a commitment to comprehensive fraud risk management ・ガバナンスを担う者が,包括的な不正リスク管理に取り組んでいる。
• Periodic fraud risk assessments are being conducted and updated as risks change or new information becomes known  ・定期的な不正リスク評価を実施し,リスクの変化や新情報の判明に応じて更新する。
• Fraud preventive and detective control activities, including data analytics — overt and covert — are being conducted  ・公然・非公然を問わず,データ分析を含む不正の予防・発見管理活動が実施されている。
• Suspected frauds are investigated quickly  ・不正の疑いがある場合は迅速に調査している
• Fraud reporting mechanisms are in place  ・不正報告体制が整備されている
• Discovered frauds are remediated thoroughly  ・発見された不正は徹底的に是正される
• Wrongdoing has been appropriately disciplined  ・不正行為が適切に処分されている
• The entire Fraud Risk Management Program is being constantly monitored ・不正リスク管理プログラム全体が常に監視されている
Roles and Responsibilities  役割と責任 
The board of directors2 and top management have responsibility for managing fraud risk. In particular, they are expected to understand how the organization is responding to heightened risks and emerging exposures, as well as public and stakeholder scrutiny; what form of Fraud Risk Management Program the organization has in place; how it identifies fraud risks; what it is doing to better prevent fraud, or at least detect it sooner; and what processes are in place to investigate fraud and take corrective action. Further, personnel at all levels of the organization have a responsibility to understand the effects of fraud and the importance of preventing fraud. This Guide is designed to help address these complex issues. 取締役会2 とトップマネジメントは、不正リスクを管理する責任を負う。特に、組織がリスクの高まりや新たなエクスポージャー、世間や利害関係者の監視にどのように対応しているか、組織がどのような不正リスク管理プログラムを導入しているか、不正リスクをどのように特定しているか、不正をよりよく防止するため、あるいは少なくともより早く発見するために何をしているか、不正を調査し是正措置を講じるためにどのようなプロセスがあるかを理解することが期待されている。さらに、組織のあらゆるレベルの職員には、不正の影響と不正防止の重要性を理解する責任がある。本ガイドは、このような複雑な問題に対処するためのものである。
How it Works  仕組み 
This Guide provides implementation guidance for a Fraud Risk Management Program that defines principles and points of focus for fraud risk management and describes how organizations of various sizes and types can establish their own Fraud Risk Management Programs. The Guide includes examples of key program components and resources that organizations can use as a starting place to develop a Fraud Risk Management Program effectively and efficiently. In addition, and recognizing that no two organizations are the same, the Guide contains references to other sources of guidance to allow for tailoring a Fraud Risk Management Program to a particular industry or to government or not-for-profit organizations. Each organization will assess the degree of emphasis to place on fraud risk management based on its size and circumstances. The Guide also contains valuable information for users who are implementing a Fraud Risk Management Program. This includes addressing fraud risk management roles and responsibilities, fraud risk management considerations for smaller organizations, data analytics, and managing fraud risk in the government environment. 本ガイドは、不正リスク管理プログラムの実施ガイダンスを提供し、不正リスク管理の原則と重点を定め、様々な規模や種類の組織が、どのように独自の不正リスク管理プログラムを確立できるかを説明する。本ガイドには、組織が効果的かつ効率的に不正リスク管理プログラムを策定するための出発点として利用できる、プログラムの主要な構成要素やリソースの例が含まれている。加えて、どの組織も同じではないことを認識し、特定の業種や政府・非営利団体に合わせた不正リスク管理プログラムを作成できるよう、本ガイドには他のガイダンス・ソースへの参照も含まれている。各組織は、その規模や状況に応じて、不正リスク管理にどの程度重点を置くべきかを判断することになる。また、本ガイドには、不正リスクマネジメントプログラムを実施するユーザーにとっても貴重な情報が含まれている。これには、不正リスク管理の役割と責任、小規模組織における不正リスク管理の考慮事項、データ分析、政府環境における不正リスク管理などが含まれる。
What’s New in the 2023 Fraud Risk Management Guide?  2023年不正リスクマネジメントガイドの新機能 
Following publication of the Fraud Risk Management Guide in 2016, it became recognized as containing a widely accepted set of leading practices for anti-fraud professionals and organizations intent on deterring fraud. But, fraud is not static. Accordingly, COSO and ACFE initiated an update process that included reaching out to a broad range of users for recommendations on where the Guide can be improved, and assembled a team to take a refreshed look at the Guide and assess how and where it should be updated. Following are the key changes to this 2023 edition: 2016年に発行された「不正リスクマネジメントガイド」は、不正対策の専門家や不正抑止を目的とする組織にとって、広く受け入れられている主要な慣行が含まれていると認識されるようになった。しかし、不正は静的なものではない。そこで、COSOとACFEは、本ガイドの改善点に関する提言を求めるため、幅広いユーザーへの働きかけを含む更新プロセスを開始し、本ガイドを再点検し、どのように、どこを更新すべきかを評価するチームを編成した。以下は、2023年版の主な変更点である:
Fraud risk management and deterrence. This edition explains how fraud risk management relates to and supports fraud deterrence — a key theme in COSO’s missions.  不正リスク管理と抑止 この版では,不正リスクマネジメントが,COSOのミッションの主要テーマである不正抑止とどのように関連し,どのように支援しているかについて説明している。
Relationships among COSO’s two frameworks and fraud risk management. This edition explains how the COSO 2013 Internal Control — Integrated Framework, the COSO 2017 Enterprise Risk Management — Integrating with Strategy and Performance Framework and the Fraud Risk Management Guide are related and support each other.  COSOの2つのフレームワークと不正リスクマネジメントの関係。この版では、COSO 2013内部統制-統合フレームワーク、COSO 2017エンタープライズ・リスク・マネジメント-戦略及びパフォーマンスとの統合フレームワーク、及び不正リスクマネジメントガイドが、どのように関連し、互いに支援し合っているかを説明している。
Expanded information on data analytics. Data analytics continues to grow in importance as a key tool for the prevention and early detection of fraud. Advanced applications of data analytics may be less familiar to some users than standard tools, such as interviewing and whistleblower systems. Accordingly, this edition includes expanded and updated information on data analytics, while continuing to emphasize the importance of interviewing and whistleblower systems. A data analytics Point of Focus has been added to each of the five fraud risk management principles to demonstrate how the use of data analytics is an integral part of each principle. Further, the data analytics appendix has been updated and expanded. This approach is not meant to downplay the importance of other tools, but rather, to highlight the increasing power of data analytics in managing fraud risk. データアナリティクスに関する情報の拡充。データアナリティクスは,不正の防止と早期発見のための重要なツールとして重要性を増し続けている。データアナリティクスの高度なアプリケーションは,聞き取り調査や内部告発システムといった標準的なツールに比べ,ユーザーによっては馴染みが薄いかもしれない。従って,本版では,データ分析に関する情報を拡充・更新するとともに,引き続き事情聴取や内部通報システムの重要性を強調している。また,不正リスク管理の5つの原則のそれぞれにデータ分析のPoint of Focusが追加され,データ分析の活用が各原則に不可欠な要素であることが示されている。さらに,データ分析の附属書も更新され,拡充された。このアプローチは,他のツールの重要性を軽視することを意図しているのではなく,むしろ不正リスク管理におけるデータ分析の威力が増していることを強調するものである。
Internal control and fraud risk management. This edition explains how internal control and fraud risk management are related and support each other, but are different in some important respects. Examples are provided to show that many “go-to” internal control processes and procedures may be adequate for ensuring accuracy in accounting and financial reporting but may not provide sufficient fraud protection.  内部統制と不正リスク管理 この版では,内部統制と不正リスク管理がどのように関連し,互いに支え合っているのか,しかし重要な点では異なっているのかを説明している。多くの「よくある」内部統制のプロセスや手続きは,会計や財務報告の正確性を確保するためには適切であっても,十分な不正防止策を提供できない場合があることを示すために,事例が示されている。
Assessing the effectiveness of existing control procedures as related to fraud risk. Chapter 2 (Fraud Risk Assessment) provides additional information on this important step in the fraud risk assessment process. It clarifies and emphasizes that assessing control effectiveness involves (a) identifying existing control procedures related to each identified inherent fraud risk, (b) assuring that the controls have been implemented and are working as designed, and (c) assessing whether the controls are adequate to address the fraud risks that have been identified. That last step is in addition to an assessment of the design and operating effectiveness of controls from an internal control over financial reporting perspective. Further, it is the key to identifying residual fraud risk so that additional fraud control activities such as additional data analytics can be applied.  不正リスクに関連する既存の統制手続の有効性を評価する。第2章(不正リスク評価)では、不正リスク評価プロセスにおけるこの重要なステップに関する追加情報を提供している。この章では、統制の有効性の評価には、(a)識別された固有の不正リスクに関連する既存の統制手続を識別すること、(b)統制が実施され、設計通りに機能していることを保証すること、(c)識別された不正リスクに対処するために統制が適切であるかどうかを評価することが含まれることを明確にし、強調している。この最後のステップは、財務報告に係る内部統制の観点からの統制の設計及び運用の有効性の評価に加えて行われる。さらに、データ分析の追加など、追加的な不正管理活動を適用できるよう、残存する不正リスクを特定する鍵となる。
Changes in the legal and regulatory environment. This edition includes updated information with respect to recent legal and regulatory developments in the U.S. pertaining to fraud and fraud risk management, including:  法規制環境の変化 本号では、不正行為及び不正リスク管理に関連する米国における最近の法規制の動向に関して、以下のような最新情報が含まれている: 
- The Department of Justice’s Evaluation of Corporate Compliance Programs  ・司法省による企業コンプライアンス・プログラムの評価
- The Government Accountability Office’s A Framework for Managing Fraud Risks in Federal Programs  ・政府説明責任局の「連邦プログラムにおける不正リスク管理の枠組み
- U.S. Securities and Exchange Commission’s Climate and Environmental, Social, and Governance (ESG) Task Force Reports  ・米国証券取引委員会の気候および環境・社会・ガバナンス(ESG)タスクフォース報告書 
• Fraud reporting systems or hotlines. ACFE research consistently shows that the majority of frauds are discovered through tips, often from employees in an organization. This edition includes updated and expanded information related to the importance of fraud reporting systems in detecting, preventing, and deterring fraud.  不正報告システムまたはホットライン ACFEの調査によると,不正行為の大部分は,組織の従業員からの通報によって発見されることが多い。本版では,不正の発見,防止,抑止における不正報告システムの重要性に関連する情報を更新・拡充している。
• Changes in the external environment and fraud landscape. The fraud landscape is changing rapidly. This edition includes information on this changing environment, including: 外部環境と不正の状況の変化 不正を取り巻く環境は急速に変化している。本号では、このような環境の変化に関する情報を含む:
- Environmental, Social, and Governance (ESG) initiatives and reporting  ・環境・社会・ガバナンス(ESG)への取り組みと報告 
- Cyber fraud  ・サイバー詐欺
- Blockchain, cryptocurrency, and digital assets  ・ブロックチェーン,暗号通貨,デジタル資産
- Ransomware  ・ランサムウェア
- COVID-19 response efforts, the CARES Act (Public Law 116-136) and other related programs  ・COVID-19対応の取り組み、CARES法(公法116-136)およびその他の関連プログラム 
- Remote working and hybrid working environments  ・リモートワークやハイブリッドワーク環境
- Innovative and virtual management tools and accounting procedures  ・革新的かつ仮想的な管理ツールおよび会計手順
• Appendices changes. The 2016 Guide had 19 appendices. This 2023 edition has 7. Several of the 2016 appendices have been moved to ACFE’s Fraud Risk Management Tools web site so that they can be updated as needed. The appendices moved are:  附属書の変更。2016年版ガイドには19の附属書があった。2016年版の附属書のいくつかは、必要に応じて更新できるように、ACFEの不正リスク管理ツールのウェブサイトに移動された。移動された附属書は以下の通りである: 
- Sample Fraud Control Policy Framework (2016 Appendix F-1)  ・サンプル不正管理ポリシーフレームワーク(2016年版附属書F-1) 
- Fraud Risk Management High-Level Assessment (2016 Appendix F-2)  ・不正リスク管理ハイレベル・アセスメント (2016 Appendix F-2) 
- Sample Fraud Policy Responsibility Matrix (2016 Appendix F-3)  ・サンプル不正ポリシー責任マトリックス (2016 Appendix F-3) 
- Sample Fraud Risk Management Policy (2016 Appendix F-4)  ・サンプル不正リスク管理ポリシー (2016年附属書F-4) 
- Sample Fraud Risk Management Survey (2016 Appendix F-5)  ・不正リスク管理調査サンプル(2016年附属書F-5) 
- Fraud Risk Exposures (2016 Appendix G)  ・不正リスクエクスポージャー(2016年附属書G) 
- The five Fraud Risk Management Scorecards (2016 Appendices I-1 through I-5)  ・5つの不正リスク管理スコアカード(2016年附属書I-1~I-5) 
The Appendix, Managing the Risk of Fraud, Waste, and Abuse in the Government Environment, has been updated and expanded, and remains in the Guide as a valuable resource.  附属書「政府環境における不正・浪費・濫用のリスク管理」は更新・拡充され、貴重な資料として引き続きガイドに掲載されている。
Finally, and significantly, the ACFE tools site includes a greatly-expanded list of fraud risk exposures and fraud schemes. Each scheme in the expanded list is hyperlinked to an underlying description of the scheme and how it is carried out. This list contains generic schemes — schemes that can victimize any organization — but also ind ustry-specific schemes (healthcare, financial services, manufacturing, and so forth). Again, through input from users, this resource will continue to expand. These dynamic resources are readily accessible to anti-fraud professionals implementing Fraud Risk Management Programs.  最後に、重要な点として、ACFEのツール・サイトには、不正リスク・エクスポージャーと不正スキームのリストが大幅に拡張されている。拡張されたリストの各スキームは、スキームとその実行方法の基本的な説明にハイパーリンクされている。このリストには、一般的なスキーム(どのような組織でも被害を受ける可能性のあるスキーム)だけでなく、業界特有のスキーム(ヘルスケア、金融サービス、製造業など)も含まれている。繰り返しになるが、ユーザーからの意見によって、このリソースは今後も拡張される予定である。これらのダイナミックなリソースは、不正リスク管理プログラムを実施する不正対策の専門家がすぐに利用できる。
COSO and ACFE are confident that this updated Fraud Risk Management Guide will continue to grow in importance as the set of leading practices for preventing, detecting, and deterring fraud. COSOとACFEは、更新されたこの「不正リスクマネジメントガイド」が、不正を防止、検出、抑止するための一連のリーディングプラクティスとして、今後も重要性を増していくことを確信している。

 

2016年の第1版

・2016 [PDF] Fraud Risk Management Guide

20231122-40039

Executive Summary | Fraud Risk Management 要旨|不正リスクマネジメント
Fraud is any intentional act or omission designed to deceive others, resulting in the victim suffering a loss and/or the perpetrator achieving a gain.[3] 詐欺とは、他者を欺くために意図的に行われる行為や不作為のことであり、その結果、被害者は損失を被り、加害者は利益を得ることになる[3]。
All organizations are subject to fraud risks. It is impossible to eliminate all fraud in all organizations. However, implementation of the principles in this guide will maximize the likelihood that fraud will be prevented or detected in a timely manner and will create a strong fraud deterrence effect.  すべての組織は不正リスクにさらされている。すべての組織において、すべての不正を排除することは不可能である。しかし、本ガイドの原則を実施することで、不正を防止または適時に発見できる可能性を最大化し、強力な不正抑止効果を生み出すことができる。
The board of directors[4] and top management and personnel at all levels of the organization — including every level of management, staff, and internal auditors — have responsibility for managing fraud risk. Particularly, they are expected to understand how the organization is responding to heightened risks and regulations, as well as public and stakeholder scrutiny; what form of Fraud Risk Management Program the organization has in place; how it identifies fraud risks; what it is doing to better prevent fraud, or at least detect it sooner; and what process is in place to investigate fraud and take corrective action. This Fraud Risk Management Guide (guide) is designed to help address these complex issues. 取締役会[4]、トップマネジメント、及び組織の各レベルの人員(経営陣、スタッフ、内部監査人を含む)には、不正リスクを管理する責任がある。特に、組織が高まるリスクや規制、社会や利害関係者の監視にどのように対応しているか、組織がどのような形態の不正リスク管理プログラムを導入しているか、不正リスクをどのように識別しているか、不正をよりよく防止し、少なくともより早く発見するために何をしているか、不正を調査し是正措置を講じるためにどのようなプロセスを導入しているかを理解することが期待されている。この「不正リスク管理ガイド(手引書)」は、このような複雑な問題に対処するために作成された。
This guide recommends ways in which governing boards, senior management, staff at all levels, and internal auditors can deter fraud in their organization. Fraud deterrence is a process of eliminating factors that may cause fraud to occur. Deterrence is achieved when an organization implements a fraud risk management process that: 本ガイドは、理事会、上級管理職、あらゆるレベルの職員、内部監査人が組織内の不正を抑止するための方法を推奨している。不正抑止とは、不正を引き起こす可能性のある要因を排除するプロセスである。不正抑止は、組織が以下のような不正リスク管理プロセスを実施することで達成される:
•  Establishes a visible and rigorous fraud governance process ・目に見える厳格な不正ガバナンス・プロセスを確立する。
•  Creates a transparent and sound anti-fraud culture ・透明で健全な不正防止文化を構築する。
•  Includes a thorough fraud risk assessment periodically ・徹底した不正リスク評価を定期的に実施する
•  Designs, implements, and maintains preventive and detective fraud control processes and procedures ・不正の予防と発見のための管理プロセスと手順を策定し,実施し,維持する
•  Takes swift action in response to allegations of fraud, including, where appropriate, actions against those involved in wrongdoing ・不正行為の申し立てに対し,適切な場合には不正行為に関与した者に対する処分を含め,迅速な行動をとる。
This guide provides implementation guidance that defines principles and points of focus[5] for fraud risk management and describes how organizations of various sizes and types can establish their own Fraud Risk Management Programs. The guide includes examples of key program components and resources that organizations can use as a starting place to develop a Fraud Risk Management Program effectively and efficiently. In addition, the guide contains references to other sources of guidance to allow for tailoring a Fraud Risk Management Program to a particular industry or to government or not-for-profit organizations. Each organization needs to assess the degree of emphasis to place on fraud risk management based on its size and circumstances. 本ガイドラインは、不正リスクマネジメントの原則と着眼点[5]を定義し、様々な規模やタイプの組織がどのように独自の不正リスクマネジメントプログラムを構築できるかを説明する実施ガイダンスを提供する。本ガイドには、組織が不正リスク管理プログラムを効果的かつ効率的に策定するための出発点として利用できる、プログラムの主要な構成要素やリソースの例が含まれている。さらに、本ガイドには、特定の業種や政府機関、非営利団体に合わせた不正リスク管理プログラムを作成できるよう、他のガイダンス・ソースへの参照も含まれている。各組織は、その規模や状況に応じて、不正リスク管理にどの程度重点を置くべきかを判断する必要がある。
The guide also contains valuable information for users who are implementing a fraud risk management process. For example, it addresses fraud risk management roles and responsibilities, fraud risk management considerations for smaller organizations, data analytics employed as a part of fraud risk management, and managing fraud risk in the government environment. また、本ガイドには、不正リスクマネジメントプロセスを実施しようとするユーザーにとっても貴重な情報が含まれている。例えば、不正リスクマネジメントの役割と責任、小規模組織における不正リスクマネジメントの考慮事項、不正リスクマネジメントの一環として採用されるデータ分析、政府環境における不正リスクマネジメントなどが取り上げられている。
   
[3] For purposes of this guide, the authors developed this practical definition. The authors recognize that many other definitions of fraud exist, including those developed by the Auditing Standards Board of the American Institute of Certified Public Accountants, the Public Company Accounting Oversight Board, and the Government Accountability Office. [3] 本ガイドの目的のため、著者らはこの実践的な定義を作成した。著者らは、米国公認会計士協会の監査基準委員会、公開会社会計監視委員会、及び政府説明責任局によって作成されたものを含め、他にも多くの不正の定義が存在することを認識している。
[4] Throughout this guide, the terms board and board of directors refer to the governing or oversight body or those charged with governance of the organization.  [4] 本ガイドブックを通じて、取締役会及び取締役会という用語は、組織の統治機関又は監督機関、又は統治を担う者を指す。
[5] Per COSO’s Internal Control — Integrated Framework (May 2013) (2013 COSO Framework), Relevant Principles represent fundamental concepts associated with components of internal control. Points of Focus are important characteristics of principles. [5] COSOの「内部統制-統合的枠組み(2013年5月)」(2013 COSO Framework)によると、関連原則は内部統制の構成要素に関連する基本的な概念を表している。着眼点は、原則の重要な特徴である。

 

| | Comments (0)

内部監査財団 リスク・イン・フォーカス 2024

こんにちは、丸山満彦です。

内部監査財団が内部監査人とその関係者が今日のリスク環境を理解し、次年度の監査計画を作成するのに役立つ、データに基づいた実践的な調査である、リスク・イン・フォーカス 2024 です。日本内部監査協会がグローバル版について日本語訳を提供してくれています。

とても参考になりますね。。。

トップリスクのトップはサイバーセキュリティですね。。。しかも、わりとダントツで...

日本の内部監査部門はサイバーセキュリティの監査ってどの程度しているんでしょうね。。。

 

監査分野 全地域平均 アジア太平洋 中南米 アフリカ 北米 中東 欧州
サイバーセキュリティ 73% 66% 75% 58% 85% 70% 84%
人的資本 51% 59% 44% 39% 65% 47% 50%
事業継続 47% 61% 47% 52% 36% 53% 35%
規制等の変更 39% 35% 48% 32% 43% 33% 43%
デジタル化による破壊的変化 34% 30% 38% 33% 36% 32% 33%
財務流動性 32% 21% 33% 47% 28% 38% 26%
市場の変化 32% 47% 26% 21% 41% 26% 30%
地政学的不確実性 30% 28% 42% 25% 28% 16% 43%
ガバナンス/企業報告 27% 24% 18% 36% 16% 45% 22%
サプライチェーン及びアウトソーシング 26% 27% 16% 19% 36% 28% 30%
組織文化 26% 23% 26% 34% 21% 30% 20%
不正 24% 22% 30% 46% 9% 26% 13%
コミュニケーション/評判 21% 18% 22% 27% 21% 28% 12%
気候変動 19% 22% 22% 19% 12% 10% 31%
健康及び安全 11% 12% 8% 10% 17% 9% 13%
合併及び買収 6% 4% 3% 3% 8% 10% 8%

 

The Institute of Internal Auditors

Risk in Focus Today's Global Risk Landscape

 

グローバル 20231122-22540 リスク・イン・フォーカス調査への世界的な参加は、異なる地域間のリスクと監査計画を比較する貴重な機会を提供している。 EN JP
アフリカ 20231122-22650 強力なデジタル化の波は、アフリカの経済と政府システムの変革を後押ししているが、その一方で、組織はサイバー攻撃に対してより脆弱になり、顧客はオンライン詐欺やモバイル詐欺に巻き込まれやすくなっている。 View
アジア太平洋 20231122-22732 内部監査員によれば、アジア太平洋地域のリスクは、同地域の国々が経済的・政治的に高度に相互接続しているため、独特の複雑さを抱えているという。 View
欧州 20231122-23101 マクロ経済の不安定さは、欧州の内部監査員に、同地域で相互に関連する課題に直面するための努力の再調整を促している。 View
中南米 20231122-22819 ラテンアメリカとカリブ海地域のCAEは、組織内および地域内の他の企業や団体との関係構築が不可欠であると述べている。 View
中東 20231122-22906 中東の内部監査員は、長期的な計画とスキル開発により、組織の成熟度を高めることを提唱している。 View
北米 20231122-22957 北米の内部監査人は、利害関係者との緊密な連携を求めており、ミッションクリティカルなプロジェクトにおいて、取締役会や経営陣のアドバイザーとして活動することが多い。 View

 

各地域については、役員向けの「ブリーフィング」と内部監査人向けの「詳細版」がありますね。。。

 

日本内部監査協会

・2023.11.20 内部監査財団より「リスク・イン・フォーカス」レポート公表

 

 

| | Comments (0)

2023.11.21

EDPS 説明可能な人工知能

こんにちは、丸山満彦です。

欧州データ保護監督官 (EUROPEAN DATA PROTECTION SUPERVISOR: EDPS) が説明可能な人工知能 (Explainable Artificial Intelligence) を公表していました。。。

大規模言語モデルなど、データとその解析をするためのパラメータが多く、入力に対してどのような出力をだすのか、わからない、いわゆる関数のブラックボックス化がAIの問題として捉えられることが多いように思います。

関数がブラックボックスになので、バイアス、不正確さ、幻覚などが生じても、生じているかどうかを判定できない場合もあるだろう。。。

ブラックボックスなので、その結果を利用することにより、社会や個人にとって有害な状況が生じるかもしれない。

その結果に対して責任は誰がとるべきなのか?開発者?利用者?その両方?状況次第?

でも考えてみたら当たり前の話ですよね。。。人間を模倣して作ったのだから当然に関数はブラックボックスになる。だって、人間の思考関数はブラックボックスだから。。。

むしろ、人間の思考より再現性が高いくらいだと思います。

私はAIをむしろ人間と同じように捉えて、ブラックボックス、つまり入力値から出力値を正確に予測できないことを前提にいろいろと考えたほうが良いのだろうと思います。

なので、AIが出した結果については、AIの開発者と利用者双方で責任をどのように負うのかということを考えるようにすべきなのではないかと思います。

おそらく次のような考え方がよいのではないかと思っています。

1. 政府等が出荷されるAIについての認定基準をつくり、検査した結果、合格したものだけが社会に提供される制度をつくる

2. AI開発者は認定AIのみを社会に提供する。この認定基準に違反した製品を社会に提供した場合に開発者に責任が問われる。

3. 利用者は認定したAIを調整して利用することができるが、その調整した後、生じた結果については利用者が責任を負うことになる。場合によってはけんさを受けてそれを認定AIとすることもできる。

4. 認定AIの生じた結果による損害は、政府または基金から補償することにする。

細かいことは検討できていないのですが、ざっとそんな感じが社会的にも受け入れやすいのではないかと思いますが、どうでしょうか???

 

ただ、だからといって、透明性、解釈可能性、説明可能性をおろそかにするということではないとは思います。これらを出来うる限り追求するのだけれども、必ずしも完全にはそうできないから、そのできない部分をどうするのか、、、ということだと思います。。。

 

さて、本題...

EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.11.16 Explainable Artificial Intelligence

・[PDF]

20231121-10010

 

 

| | Comments (0)

EDPS プライバシーおよび個人情報保護の基本的権利の本質に関する研究 (2023.11.08)

こんにちは、丸山満彦です。

欧州データ保護監督官 (EUROPEAN DATA PROTECTION SUPERVISOR: EDPS) がプライバシーおよび個人情報保護の基本的権利の本質に関する研究 (Study on the Essence of the fundamental rights to privacy and to the protection of personal data) を公表していました。。。

この報告書自体は2022年12月のようですね。。。

 

EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.11.08 Study on the Essence of the fundamental rights to privacy and to the protection of personal data

 

Abstract:  概要 
This background paper explores the requirement of respecting the ‘essence’ of the rights to respect for private life and of right to the protection of personal data whenever these rights are limited under European Union (EU) law. The requirement is explicitly established in Article 52(1) of the Charter of Fundamental Rights of the EU, and currently also mentioned in EU secondary law. With the aim of facilitating further reflection and discussion on the requirement’s application notably when limitations of the right to personal data protection are at stake, the paper reviews current knowledge on the subject and illustrates the significant limitations of existing knowledge. Taking stock of the relevant literature and case law, mainly of the Court of Justice of the EU and of the European Court of Human Rights (ECHR), it also identifies a few key issues deserving further analysis and discussion. The paper concludes by suggesting it can be useful to focus not on speculating about what would be the essence of the rights at stake, but rather on when must a limitation of a right be regarded as a breach of the essence requirement.  本稿では、欧州連合(EU)法の下で私生活の尊重と個人情報保護の権利が制限される場合、その「本質」を尊重するという要件について考察する。この要件は、EU基本権憲章 第52条1項で明確に規定されており、現在EUの二次法でも言及されている。本稿では、特に個人情報保護の権利の制約が問題となっている場合に、この要件の適用に関する考察と議論を促進することを目的として、このテーマに関する現在の知見をレビューし、既存の知見には大きな限界があることを説明する。主にEU司法裁判所と欧州人権裁判所(ECHR)の関連文献と判例を概観し、さらなる分析と議論に値するいくつかの重要な問題を明らかにする。本稿の結論は、問題となっている権利の本質が何であるかを推測することではなく、むしろ、権利の制限が本質要件の違反とみなされるのはどのような場合であるかに焦点を当てることが有益であることを示唆している。

 

・[PDF]

20231120-234931

・[DOCX] 英語

 

 

Executive summary  要旨 
The Charter of Fundamental Rights of the European Union (EU) establishes that the EU fundamental rights to the respect for private life and to the protection of personal data may be limited only if the limitations at stake respect the rights’ essence. The paper reviews current knowledge on this ‘essence requirement’ taking stock of the pertinent case law of Court of Justice of the EU (CJEU), the European Court of Human Rights (ECtHR) and selected national courts, building on the growing literature on the subject.  欧州連合(EU)の基本権憲章は、私生活の尊重と個人データの保護に関するEUの基本権は、その制限が権利の本質を尊重する場合にのみ制限されることを定めている。本稿では、EU司法裁判所(CJEU)、欧州人権裁判所(ECtHR)、および特定の国内裁判所の関連判例を概観しながら、この「本質的要件」に関する現在の知見をレビューし、このテーマに関する増加しつつある文献を紹介する。
The starting point of the contribution is that the interpretation of the essence requirement finds itself at the crossroads of three elusive issues: the very notion of ‘essence’ in EU fundamental rights law, the content of the EU fundamental right to personal data protection, and the oftenambiguous relation between this right and the right to respect for private life. These three issues are discussed in detail.    この寄稿の出発点は、本質的要件の解釈が、3つのとらえどころのない問題の交差点にあるということである: すなわち、EU基本権法における「本質」の概念そのもの、個人データ保護に関するEU基本権の内容、そしてこの権利と私生活尊重の権利との間のしばしば曖昧な関係である。これら3つの問題について詳しく論じる。
The explicit reference in Article 52(1) of the EU Charter to the obligation to respect the essence of rights as a condition for their lawful limitations was formally a novelty, even though the CJEU had previously already referred to the need to respect the very substance of fundamental rights, and the ECtHR had also relied on similar arguments. Similar mechanisms can also be found in national legal frameworks.  EU憲章第52条1項で、権利が合法的に制限されるための条件として、権利の本質を尊重する義務について明確に言及したことは、形式的には斬新なものであったが、それ以前にCJEUはすでに基本的権利の本質を尊重する必要性に言及しており、ECtHRも同様の議論に依拠していた。同様の仕組みは国内法の枠組みにも見られる。
The case law of CJEU reveals that the essence requirement may be applied by the Court without there being a particularly clear delimitation of the essence of a right as such. In this sense, it can be useful to envision the essence requirement not as an imperative imposed on courts to clearly delimit a core area of each right, but rather as a tool put in their hands to declare unlawful certain types of limitations of rights.  CJEUの判例法は、権利の本質が特に明確に規定されていなくても、裁判所が本質要件を適用する可能性があることを明らかにしている。この意味で、本質的要件は、各権利の中核的領域を明確に画定するよう裁判所に課せられた命令ではなく、むしろ、ある種の権利の制限を違法と宣言するために裁判所が手にする道具として想定することが有益である。
Regarding the content of the EU fundamental right to personal data protection, there is currently no consensus on what it comprises exactly. This unsettled status of the content of the EU fundamental right to personal data does not facilitate the identification of what could be its essence. In addition, a certain ambiguity also surrounds the relation between this right and the EU fundamental right to respect for private life. Even though there has been an evolution in the CJEU case law, and the two rights have been progressively recognised as existing independently and detached from each other, they are not necessarily applied in isolation.   個人データ保護に関するEUの基本的権利の内容については、現在のところ、それが具体的にどのようなものであるかについてのコンセンサスは得られていない。このように個人データに関するEUの基本的権利の内容が定まっていない状態は、その本質となりうるものの特定を容易にしていない。さらに、この権利とEUの私生活尊重の基本的権利との関係にも、ある種の曖昧さがつきまとっている。CJEUの判例法には進化があり、この2つの権利は互いに独立し、切り離されて存在するものとして徐々に認められてきたとはいえ、必ずしも切り離して適用されるわけではない。 
The essence requirement has played an important role in the case law of the CJEU about the rights to respect for private life at personal data protection – it has been mentioned in multiple judgments. The cases where a specific right’s limitation was deemed not to respect the essence of a right are nevertheless, comparatively, only a few instances.  本質的要件は、私生活の尊重と個人データ保護の権利に関するCJEUの判例法において重要な役割を果たしており、複数の判決で言及されている。とはいえ、特定の権利の制限が権利の本質を尊重していないと判断されたケースは、比較的少数である。
A recurrent mismatch between what the CJEU has stressed as important elements of the right to personal data protection, on the one hand, and the facets mentioned by the Court when applying the essence requirement, on the other, appears to confirm that the CJEU is not primarily concerned with construing the essence of the right as the core of a well-articulated series of spheres.   日本欧州委員会(CJEU)が個人情報保護の権利の重要な要素として強調してきたことと、裁判所が本質の要件を適用する際に言及した側面との間にミスマッチが繰り返し生じていることは、CJEUが権利の本質を一連の領域の核心として解釈することに主眼を置いていないことを裏付けているように思われる。 
In light of the described landscape can be identified a number of issues deserving further consideration, taking also into account ongoing policy and legislative developments. These issues concern the mentioned connection between the essence requirement and the delimitation of right’s content, the specificity of the right to personal data protection, the criteria to determine that the essence requirement is not respected, and, finally, the surfacing of references to the essence requirement in other instruments of EU data protection law.   以上のような状況に照らして、現在進行中の政策や法制の進展も考慮に入れつつ、さらに検討すべき多くの問題を特定することができる。これらの問題は、本質的要件と権利内容の限定との間に言及された関連性、個人データ保護の権利の特異性、本質的要件が尊重されていないと判断する基準、そして最後に、EUデータ保護法の他の文書における本質的要件への言及の表面化に関するものである。 
As the essence requirement may be applied without a simultaneous clear demarcation by the courts of the content of a right, the content of the right to personal data protection may therefore be, at least to some extent, discussed independently from the limited list of elements highlighted when the essence requirement is at stake in the CJEU case law. The question of which data protection safeguards are part of the content of the right guaranteed under Article 8 of the EU Charter remains in any case open.  エッセンス要件は、裁判所が権利の内容を同時に明確に区分することなく適用される可能性があるため、個人データ保護の権利の内容は、少なくともある程度は、CJEUの判例法においてエッセンス要件が問題となった際に強調された限られた要素のリストとは独立して議論される可能性がある。どのデータ保護保護措置がEU憲章第8条で保障された権利の内容に含まれるのかという問題は、いずれにせよ未解決のままである。
Another important question that remains open is whether the progressive increase in requests for preliminary rulings specifically on the interpretation of the General Data Protection Regulation (GDPR), which refers in its first Recital to Article 8 of the EU Charter but not Article 7, will eventually lead to a clearer focus in the CJEU case law on the singularity of Article 8 of the EU Charter. Future case law should throw further light on the criteria relevant to determining that the essence requirement is not respected.  また、EU憲章第8条には言及しているが第7条には言及していない一般データ保護規則(GDPR)の解釈に関する仮判決の請求が増加していることから、EU憲章第8条の特異性に関してCJEUの判例法がより明確な焦点を当てるようになるかどうかも重要な問題である。今後の判例法は、本質的要件が尊重されていないと判断するための基準についてさらに光を当てるはずである。
In any case, references to the essence requirement are currently not confined to Article 52(1) of the EU Charter - the requirement appears also in provisions of secondary law. Examples of such more recent manifestations are the reference to the essence in Article 25 of Regulation 2018/1725, for instance, or in the Standard Contractual Clauses adopted by the European Commission in June 2021. These developments imply that not only the legislator and the judiciary, but also data controllers and processors, should be able to determine there has been a breach of the requirement to respect the essence of EU fundamental rights, including of the essence of the rights to respect for private life and to personal data protection.  いずれにせよ、本質要件への言及は現在、EU憲章第52条1項に限定されているわけではなく、二次法の規定にも現れている。例えば、規則2018/1725の第25条や、2021年6月に欧州委員会が採択した標準契約条項における本質への言及がその例である。こうした動きは、立法者や司法だけでなく、データ管理者や処理者も、私生活の尊重や個人データ保護の権利の本質を含め、EUの基本的権利の本質を尊重する義務に違反したと判断できるようになることを示唆している。
This study thus situates existing knowledge on the essence requirement insofar as it relates to the EU fundamental right to personal data protection, illustrating the limitations of such knowledge. The numerous cases pending in front of the CJEU which concern data protection law in general could in the upcoming months and years offer more relevant insights on the way in which courts might use this tool to put an end to unacceptable violations of the EU Charter. In the meantime, references to the essence requirement are surfacing in a variety of instruments, including, for instance, Standard Contractual Clauses, obliging actors different from the courts and the legislator to understand how to deal in practice with this still elusive requirement. A pragmatic approach to the current challenges could focus not on speculating on what would be the very essence of the rights at stake, but rather on when must a limitation of a right be regarded as a breach of the essence requirement.  本研究は、このように、個人データ保護に対するEUの基本的権利に関連する限りにおいて、本質的要件に関する既存の知識を位置づけ、そのような知識の限界を説明するものである。データ保護法一般に関わるCJEUで係争中の数多くの事例から、今後数カ月から数年のうちに、裁判所がEU憲章の容認しがたい違反に終止符を打つためにこの手段を用いる方法について、より適切な洞察が得られる可能性がある。その一方で、例えば標準契約条項を含む様々な文書において、本質的要件への言及が表面化しており、裁判所や立法者とは異なる主体が、このまだ捉えどころのない要件に実際にどのように対処すべきかを理解することを義務付けている。現在の課題に対する実際的なアプローチは、問題となっている権利の本質が何であるかを推測することではなく、むしろ、権利の制限が本質要件の違反とみなされるのはどのような場合か、ということに焦点を当てることができるだろう。

 

目次...

1.  Introduction 1.  はじめに
2.  Legal framework 2.  法的枠組み
3.  State of knowledge 3.  知識の現状
3.1.  The essence requirement 3.1.  本質的要件
3.2.  The right to the protection of personal data 3.2.  個人情報保護の権利
3.3.  The right to respect for private life 3.3.  私生活を尊重する権利
4.  Case law on the essence of the rights of Art. 7 and 8 EU Charter 4.  EU憲章第7条および第8条の権利の本質に関する判例法
4.1.  ECtHR 4.1.  ECtHR
4.2.  CJEU 4.2.  CJEU
5.  Key issues 5.  主な争点
5.1.  Link between the essence and the content of rights 5.1.  権利の本質と内容の関連性
5.2.  The specificity of the right to personal data protection 5.2.  個人データ保護の権利の特殊性
5.3.  Criteria for the qualification of the limitation 5.3.  制限の認定基準
5.4.  References to the essence in other instruments 5.4.  他の文書における本質への言及
6.  Concluding remarks 6.  結論
Bibliographical references 参考文献

 

欧州連合基本権憲章

EUR -Lex

Charter of Fundamental Rights of the European Union

CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION

Article 7 第7条
Respect for private and family life 私生活および家庭生活の尊重
Everyone has the right to respect for his or her private and family life, home and communications. すべての人は、自己の私生活、家庭生活及び通信手段を尊重される権利を有する。
   
Article 8 第8条
Protection of personal data 個人情報の保護
1.   Everyone has the right to the protection of personal data concerning him or her. 1.   すべての人は、自己に関する個人情報を保護される権利を有する。
2.   Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified. 2.   個人情報は、特定された目的のために、本人の同意または法律で定められたその他の正当な根拠に基づいて、公正に処理されなければならない。すべての人は、自分に関して収集されたデータにアクセスする権利、およびそれを修正させる権利を有する。
3.   Compliance with these rules shall be subject to control by an independent authority. 3.   本規則の遵守は、独立機関による管理の対象とする。
   
Article 52 第52条
Scope and interpretation of rights and principles 権利および原則の範囲と解釈
1.   Any limitation on the exercise of the rights and freedoms recognised by this Charter must be provided for by law and respect the essence of those rights and freedoms. Subject to the principle of proportionality, limitations may be made only if they are necessary and genuinely meet objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others. 1.   本憲章によって認められる権利および自由の行使に対するいかなる制限も、法律によって定められ、かつ、これらの権利および自由の本質を尊重しなければならない。比例原則に従い、制限は、それが必要であり、かつ、真に同盟が認める一般的利益の目的または他人の権利および自由を保護する必要を満たす場合に限り、行うことができる。
2.   Rights recognised by this Charter for which provision is made in the Treaties shall be exercised under the conditions and within the limits defined by those Treaties. 2.   本憲章によって認められる権利であって、条約において規定されているものは、条約によって定められた条件および範囲内で行使されるものとする。
3.   In so far as this Charter contains rights which correspond to rights guaranteed by the Convention for the Protection of Human Rights and Fundamental Freedoms, the meaning and scope of those rights shall be the same as those laid down by the said Convention. This provision shall not prevent Union law providing more extensive protection. 3.   本憲章が人権及び基本的自由の保護に関する条約によって保障される権利に対応する権利を含む限りにおいて、これらの権利の意味及び範囲は、同条約が定めるものと同一とする。この規定は、連合法がより広範な保護を提供することを妨げるものではない。
4.   In so far as this Charter recognises fundamental rights as they result from the constitutional traditions common to the Member States, those rights shall be interpreted in harmony with those traditions. 4.   この憲章が、加盟国に共通する憲法の伝統から生じる基本的権利を認める限りにおいて、これらの権利は、これらの伝統と調和して解釈されるものとする。
5.   The provisions of this Charter which contain principles may be implemented by legislative and executive acts taken by institutions, bodies, offices and agencies of the Union, and by acts of Member States when they are implementing Union law, in the exercise of their respective powers. They shall be judicially cognisable only in the interpretation of such acts and in the ruling on their legality. 5.   原則を含むこの憲章の規定は、連合の機関、団体、官庁および機関がそれぞれの権限を行使する際にとる立法行為および行政行為、ならびに加盟国が連合法を実施する際にとる行為によって実施することができる。これらの行為は、当該行為の解釈およびその適法性に関する裁定においてのみ、司法上認められるものとする。
6.   Full account shall be taken of national laws and practices as specified in this Charter. 6.   本憲章に規定された国内法および慣行を十分に考慮しなければならない。
7.   The explanations drawn up as a way of providing guidance in the interpretation of this Charter shall be given due regard by the courts of the Union and of the Member States. 7.   本憲章の解釈の指針として作成された解説は、連合国および加盟国の裁判所において、十分に考慮されるものとする。

 

 

| | Comments (0)

より以前の記事一覧