法律 / 犯罪

2022.07.04

英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンター長(National Cyber Security Centre CEO)が、テルアビブで開催されたCyber Weekに登壇し、演説したことが、公表されていますね。。。

次のことが重要なのでしょうかね。。。

・学術界、産業界、政府間の連携

・(ウクライナへのロシア侵攻以後であっても)ランサムウェアは世界最大のサイバー脅威であり続けている

・回復力(レジリエンス)とそのための準備が重要である。

あと、末尾に2022.05.19に英国のSuella Braverman司法長官 [wikipedia] のInternational Law in Future Frontiers に関するスピーチも載せています。。。興味深いです。。。

 

● U.K. Goverment - Natinal Cyber Security Centre 

・2022.06.28 Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO

Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO 商業的なサイバー能力は合法的かつ責任を持って使用されなければならないと、英国NCSCのCEOは述べました
Lindy Cameron's speech at Tel Aviv Cyber Week emphasised the importance of partnerships and international regulation of sophisticated cyber capabilities. テルアビブ・サイバーウィークでのリンディ・キャメロンのスピーチは、高度なサイバー能力に関するパートナーシップと国際的な規制の重要性を強調しました。
The head of the UK’s National Cyber Security Centre (NCSC) has delivered an international speech emphasising the importance of legal and responsible use of commercial cyber capabilities. 英国の国家サイバーセキュリティセンター(NCSC)のトップは、商業的なサイバー能力を合法的かつ責任を持って使用することの重要性を強調する国際的なスピーチを行いました。
Speaking to an audience at the globally prestigious Cyber Week hosted by Tel Aviv University, Lindy Cameron also discussed how the ties between academia, industry, and governments are key to countering the latest cyber threats. リンディ・キャメロンは、テルアビブ大学主催の世界的に権威のあるサイバーウィークで聴衆を前に、最新のサイバー脅威に対抗するためには、学術界、産業界、政府間の連携がいかに重要であるかについても述べました。
The CEO of the UK NCSC – which is part of the world-leading intelligence agency GCHQ – will say that even following the illegal Russian invasion of Ukraine, ransomware remains the biggest global cyber threat most organisations must manage. 世界をリードする情報機関GCHQの一部である英国NCSCのCEOは、ロシアのウクライナへの不法侵入の後でも、ランサムウェアはほとんどの組織が管理しなければならない世界最大のサイバー脅威であり続けていると述べました。
She will also praised Ukrainian cyber defenders for their response to Russia’s invasion, highlighting the resilience of their networks in repelling many attacks. She said: また、ロシアの侵攻に対するウクライナのサイバー擁護者の対応を称賛し、多くの攻撃を撃退したネットワークの回復力を強調する予定です。彼女は次のように述べました。
“Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. 「ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するために、サイバー圧力を使ってきました。」
“But – just as they have on the battlefield – the Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. 「しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事を成し遂げました。彼らは真の英雄です。」
“And I think resilience and preparation are at the heart of this success.” 「そして、この成功の核心は、回復力と準備にあると思います。」
The main focus of her speech was the international regulation of sophisticated cyber capabilities. Lindy Cameron said: 彼女のスピーチの主な焦点は、高度なサイバー能力の国際的な規制であった。リンディ・キャメロンは次のように述べました。
“If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 「私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が、合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
“I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. 「イスラエルがこれらのツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこのような侵入型スパイウェアを入手することをはるかに困難にしたことは喜ばしいことです。」
“It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse.” 「この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から守るための適切な保護措置を講じて、責任ある行動をとることが本当に重要です。」
Describing Israel as a “shining” example of what can be done when a nation takes cyber security seriously, she said: イスラエルは、国家がサイバーセキュリティに真剣に取り組んだときに何ができるかを示す「輝く」例であると、彼女は述べました。
“The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. 「イスラエルで開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野における才能は、他の追随を許しません。そして、その防御は世界でも最も強固なものです。」
“But making the most of our digital future is too big an issue for any one nation to handle alone. 「しかし、デジタルの未来を最大限に活用することは、一国だけで対処するには大きすぎる問題です。」
“Whether it is drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 「イスラエルは、灌漑や医療、気候変動に関する技術など、国境を越えて人々の役に立つ技術革新を常に誇りとしてきました。」
“So, I hope you will continue to produce cyber security solutions which are safe, strong but also affordable for the whole world.” 「ですから、これからも、安全で、強力で、しかも全世界にとって手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けることを期待します。」
Turning to ransomware and how the upward trend of the commercialisation of such capabilities dramatically lowers the technical knowhow required to conduct criminal operations, she said: ランサムウェアについては、その商業化が進み、犯罪行為に必要な技術的ノウハウが劇的に低下していることを指摘し、次のように述べました。
“But - even with a war raging in Ukraine - the biggest global cyber threat we still face is ransomware. That tells you something of the scale of the problem. 「しかし、ウクライナで戦争が勃発しても、私たちが直面している最大のグローバルなサイバー脅威はランサムウェアなのです。このことが、問題の大きさを物語っています。」
“Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. 「ランサムウェアの攻撃は激しく、そして速い。ランサムウェアは急速に進化し、あらゆるところに蔓延しており、ギャングがサービスとして提供することも多く、サイバー犯罪への参入のハードルが低くなっています。」
“And that's what makes them such a threat – not just the nationally significant incidents that my team and I we deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 「私たちNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす数百の事件もこうした脅威になります。」
“These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today.” 「これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識がなければ、私たちの社会や経済に大きな影響を与える可能性があります」。
Returning to the theme of partnerships, Lindy Cameron emphasised that prosperous relationships between different institutions are key to countering the latest cyber threats: リンディ・キャメロンは、「パートナーシップ」というテーマに戻り、最新のサイバー脅威に対抗するためには、異なる機関同士の豊かな関係が重要であることを強調しました。
“To succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. 「成功するためには、パートナーシップは不可欠です。成功するためには、パートナーシップが不可欠です。ですから、私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。」
“We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion.” 「私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルや強みを持ち寄り、攻撃に自然に強いネットワークを構築しています。」

 

スピーチ本文

・2022.06.28 Lindy Cameron speech at Tel Aviv Cyber Week

Lindy Cameron speech at Tel Aviv Cyber Week テルアビブ・サイバーウィークでのリンディ・キャメロン長官のスピーチ
The CEO of the NCSC emphasises the ties between academia, industry and government in countering cyber threats. NCSCのCEOは、サイバー脅威に対抗するための学術界、産業界、政府間の結びつきを強調しています。
Good morning everyone. And it’s fantastic to be here again in Tel Aviv. 皆さん、おはようございます。またテルアビブに来ることができ、大変うれしく思います。
Thank you so much for inviting me. And thanks to those of you who are joining us online - thanks for tuning in. It's great to be back here for a 2nd year running despite the challenges of COVID. お招きいただき、本当にありがとうございます。そして、オンラインで参加してくださっている方々にも感謝します。COVIDの挑戦にもかかわらず、2年連続でここに戻ってこられたのは素晴らしいことです。
I would like to start by congratulating Gaby Portnoy on his appointment as Director General of the Israel National Cyber Directorate earlier this year. まず、今年初めにイスラエル国家サイバー総局の局長に就任されたGaby Portnoy氏にお祝いを申し上げたいと思います。
My own organisation - the UK’s National Cyber Security Centre - and the INCD share an awful lot in terms of mission and of outlook. 私の所属する英国の国家サイバーセキュリティセンターとINCDは、その使命と展望において非常に多くのことを共有しています。
Our collaborations over the years have really delivered and I look forward to expanding the partnership in the years ahead. 私たちの長年の協力関係は実を結んでおり、今後数年間でこのパートナーシップを拡大することを楽しみにしています。
Since I was here in Tel Aviv this time last year, the brutal Russian invasion of Ukraine has not only changed the geo-political landscape but transformed the context for our work on cyber security. 昨年の今頃、私はここテルアビブにいましたが、ロシアの残忍なウクライナ侵攻は、地政学的な状況を変えただけでなく、私たちのサイバーセキュリティに関する仕事の文脈も一変させました。
When the first Russian tank crossed into Ukrainian territory, the unthinkable suddenly became a terrifying reality. 最初のロシアの戦車がウクライナの領土を横切ったとき、考えられないことが突然、恐ろしい現実となったのです。
Millions of innocent people have had their lives, homes and families taken from them. 何百万人もの罪のない人々が、その命、家、家族を奪われたのです。
And while Russia inflicted this physical oppression, they were also conducting a cyber campaign. This came as no surprise. Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. そして、ロシアはこのような物理的な抑圧を加える一方で、サイバーキャンペーンも行っていたのです。これは驚くことではありません。ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するためにサイバー圧力を使ってきました。
But – just as they have done on the battlefield – Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事をやってのけた。彼らは真の英雄です。
And I think resilience and preparation are at the heart of this success. I’ll come back to this point shortly. そして、この成功の核心は、回復力と準備にあると思います。この点については、またすぐに触れたいと思います。
But for all the pernicious activity that we have seen from Russia in the last few months in cyber space and beyond, we must not lose sight of the longer-term strategic challenges posed by the continued growth of China as a technological and economic power. しかし、ここ数カ月、サイバー空間やそれ以外の場所でロシアから見られたあらゆる悪質な活動について、私たちは、技術力および経済力として成長を続ける中国がもたらす長期的な戦略的課題を見失ってはなりません。
Because in cyber security this challenge is particularly acute because of the globalised nature of digital technology. なぜなら、サイバーセキュリティにおいては、デジタル技術のグローバル化により、この課題は特に深刻だからです。
The Chinese government’s use of technology is about coercion and control. And the country’s technological and economic power mean they can export this vision very widely. 中国政府によるテクノロジーの利用は、強制と統制を目的としています。そして、この国の技術力と経済力は、このビジョンを非常に広く輸出することができることを意味します。
Once the world relies on technology delivered with an authoritarian bias, it will constrain our choices. いったん世界が権威主義的なバイアスをもって提供されるテクノロジーに依存すれば、それは我々の選択を制約することになります。
As allies…as equals…our more open systems can take time to reach agreement. And when we leave important choices unmade, we leave gaps in our defences which will be rapidly exploited. 同盟国として、対等な立場で、よりオープンなシステムで合意に達するには時間がかかるかもしれません。そして、重要な選択をしないままにしておくと、防御の隙間ができてしまい、それが急速に利用されることになるのです。
So these challenges - from China, Russia and others - make it impossible for us to leave cyber security for another day. 中国、ロシア、その他の国々からのこうした挑戦は、私たちがサイバーセキュリティを別の日に残しておくことを不可能にしています。
So now is the time to innovate, educate and empower our citizens. ですから、今こそイノベーションを起こし、教育し、市民に力を与えるべき時なのです。
The democracies of the world have to challenge themselves to develop technologies and systems which allow us to avoid reliance on products not aligned with our values. 世界の民主主義国家は、我々の価値観に合わない製品に依存しないような技術やシステムの開発に挑戦しなければならないのです。
And I hope that the ‘start-up nation’ of Israel can play an important role in this innovation over the years to come. そして、「新興国」イスラエルが、今後何年にもわたって、このイノベーションにおいて重要な役割を果たすことを期待しています。
But – even with a war raging in Ukraine – the biggest global cyber threat we still face is ransomware. しかし、ウクライナで戦争が勃発しても、私たちが直面している世界的なサイバー脅威の最大のものはランサムウェアです。
That tells you something of the scale of the problem. このことは、問題の規模を物語っています。
Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. ランサムウェアの攻撃は激しく、速い。ランサムウェアは急速に進化しており、あらゆるところに蔓延しています。また、ギャングがサービスとして提供することも増えており、サイバー犯罪への参入のハードルが低くなっています。
And that's what makes them such a threat – not just the nationally significant incidents that my team and I deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 私やNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす何百もの事件も、このような脅威となっています。
These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today. これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識なしには、私たちの社会や経済に大きな影響を与える可能性があります。
So, we worked hard over the last year, to really understand, with our law enforcement partners, the criminal system behind ransomware. We want to drive down profits and drive up the risk to the criminals. We continue to work on understanding the scale, nature and evolution of their techniques. 私たちは昨年、法執行機関のパートナーとともに、ランサムウェアの背後にある犯罪システムを理解するために、懸命に取り組みました。私たちは、犯罪者の利益を減少させ、リスクを増加させたいと考えています。私たちは、犯罪者の技術の規模、性質、進化を理解するための努力を続けています。
We want to make ransomware an unprofitable and unattractive business. ランサムウェアを収益性の低い、魅力的でないビジネスにしたいのです。
Russia may dominate the headlines at the moment, but this threat of ransomware has not gone away – and nor have we stopped our relentless focus on it. 今はロシアが話題の中心かもしれませんが、ランサムウェアの脅威は消えていませんし、私たちもランサムウェアへの徹底的な取り組みを止めてはいません。
But it’s not all doom and gloom. しかし、悲観的な話ばかりではありません。
I’ve mentioned Ukraine, and closer to home, just look at the work undertaken by our hosts here in Israel - a shining example of what can be done when a nation takes cyber security seriously. ウクライナについて触れましたが、身近なところでは、ここイスラエルで私たちのホストが行っている活動をご覧になってください。
The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. この国で開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野では、他の追随を許さないほどの才能があります。そして、その防御は世界でも最も強固なもののひとつです。
But making the most of our digital future is too big an issue for any one nation to handle alone. しかし、デジタルの未来を最大限に活用することは、一国だけで扱うには大きすぎる問題です。
Whether its drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 点滴にせよ、健康・気候技術にせよ、イスラエルは常に、国境を越えて人々のためにイノベーションを起こすことを誇りとしてきました。
So, I hope you will continue to produce cyber security solutions which are safe, strong and affordable for the whole world. ですから、これからも全世界のために、安全で、強く、手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けてほしいと思います。
Because an isolationist stance is just not going to work, long term. I think the war in Ukraine is a case in point there. なぜなら、孤立主義的なスタンスでは、長期的にうまくいかないからです。ウクライナの戦争は、その典型例だと思います。
Technology and tactics developed there won't remain local problems. We've all watched that carefully. そこで開発された技術や戦術は、ローカルな問題として残ることはないでしょう。私たちはそれを注意深く見守ってきました。
An important part of our response to this as an international community is a clearer definition and enforcement of the rules that govern activity in cyberspace. 国際社会としての対応で重要なのは、サイバースペースでの活動を統制するルールをより明確に定義し、実施することです。
If we are to ensure that the digital world remains a place of opportunity, and to avoid it becoming a place of conflict and struggle, we must be clearer about the guidelines and norms that transcend international borders. We must explore innovative new technologies and share lessons learnt. デジタルの世界がチャンスの場であり続け、紛争や闘争の場にならないようにするには、国境を越えたガイドラインや規範をより明確にしなければなりません。革新的な新技術を探求し、学んだ教訓を共有しなければなりません。
Last month, the UK's Attorney-General set out the UK views on how international law applies in cyberspace in peace time. 先月、英国の司法長官は、平時のサイバースペースにおける国際法の適用方法について、英国の見解を示しました。
She focused on providing more detail on the rule on prohibited intervention. Her speech brings this to life by providing examples from key sectors of the sort of cyber behaviour that would be unlawful if conducted in peacetime. 彼女は、禁止された介入に関するルールについて、より詳細な情報を提供することに焦点を当てました。同弁護士は、平時に行われた場合には違法となるようなサイバー行動について、主要なセクターから例を挙げて説明し、これを現実のものとしました。
She stressed that the United Kingdom’s aim is to ensure that future frontiers evolve in a way that reflects our democratic values and interests, as well as those of our allies. また、英国の目的は、将来のフロンティアが、わが国の民主主義的価値と利益、そして同盟国の利益を反映する形で発展していくようにすることだと強調しました。
We need clarity on the points of law if they are to be part of a framework for governing international relations and if they are to rein in irresponsible cyber behaviour. 国際関係を統治する枠組みの一部となり、無責任なサイバー行動を抑制するためには、法律のポイントを明確にする必要があります。
Another very significant element is the international regulation of sophisticated cyber capabilities. Some of which have been pioneered here, in Israel. もう一つの非常に重要な要素は、高度なサイバー能力の国際的な規制です。そのうちのいくつかは、ここイスラエルで先駆的に開発されたものです。
If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. イスラエルがこうしたツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこうした侵入型スパイウェアを入手するのをはるかに困難にしたことは喜ばしいことです。
It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse. この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から保護するための適切なセーフガードを用いて、責任ある行動をとることが本当に重要です。
There is a key role here for those of you in the private sector, for our respective cyber industries and technology companies in conducting due diligence and ensuring their products are not deployed in a manner that creates harm or undermines these principles. 民間企業の皆さん、サイバー産業やテクノロジー企業の皆さんは、デューディリジェンスを行い、自社の製品がこれらの原則を損なったり、損害を与えるような形で配備されないようにすることが重要な役割となります。
One of the great benefits of coming to fantastic events like this at Tel Aviv Cyber Week is the opportunity to learn from others and exchange ideas. テルアビブ・サイバーウィークのような素晴らしいイベントに参加する大きなメリットの一つは、他の人から学び、アイデアを交換する機会であることです。
In the UK, we take our ‘whole of society’ approach to cyber security really seriously. We want everyone ‘on the team’, pulling together to present a cohesive and resilient digital face to the world. Every citizen, business and utility, every school, charity and hospital. And I think that is something that we look to you for some real lessons on. 英国では、サイバーセキュリティに対する「社会全体」での取り組みに真摯に取り組んでいます。私たちは、すべての人が「チーム」となり、力を合わせて、結束力のある、弾力的なデジタルの顔を世界に示すことを望んでいます。すべての市民、企業、公共事業、学校、慈善団体、病院がそうです。そのために、私たちは皆さんに本当の意味での教訓を求めたいと考えています。
We want to help create a society that is resilient to cyber attacks, where cyber security is second nature to all of us. 私たちは、サイバー攻撃に強い社会、サイバーセキュリティが当たり前の社会を作りたいと考えています。
Israel is already some way ahead in this process. Your cyber security ecosystem of businesses, education, and research is thoroughly inspirational. I am personally in awe of your cyber education programme – it is something that the UK’s CyberFirst scheme has learnt many lessons from. イスラエルは、このプロセスにおいて、すでにいくつかの点で先を行っています。ビジネス、教育、研究からなるサイバーセキュリティのエコシステムは、非常に刺激的です。個人的には、イスラエルのサイバー教育プログラムに畏敬の念を抱いています。このプログラムは、英国のサイバーファースト計画から多くの教訓を得たものです。
And I appreciate that building this kind of depth of understanding, as Professor Ben-Israel said, takes time. But early investment really pays dividends. ベン・イスラエル教授がおっしゃるように、このような深い理解を得るには時間がかかります。しかし、早期の投資は実に大きな利益をもたらします。
The same is true of organisations around the world as they build resilience to cyber compromises. このことは、世界中の組織がサイバー攻撃への耐性を強化する際にも同じことが言えます。
Which is why my organisation has been encouraging organisations throughout the UK to follow the advice that we give as NCSC to improve their resilience – learning from the lessons we've seen in Ukraine of how to build that resilience in the face of the Russian onslaught. 私の組織では、NCSCとしてのアドバイスに従って回復力を高めるよう、英国内の組織に働きかけています。ロシアの猛攻に直面したときに回復力を高める方法について、ウクライナで見た教訓から学んでいるわけです。
And learning the lessons of Ukrainian cyber security in recent months has been something we've tried to help our companies in the UK to understand. そして、ここ数カ月のウクライナのサイバーセキュリティの教訓を学ぶことは、英国の企業にも理解してもらおうとしたことでした。
But to build this kind of resilience we need to create an environment where people are not too busy putting out the little fires to focus on the longer term. しかし、このようなレジリエンスを構築するためには、人々が小さな火事を消すことに忙しく、長期的な視点に集中できないような環境を作り出す必要があります。
Which is why the NCSC is really proud of our Active Cyber Defence programme, which helps to reduce the volume of low-level commodity attacks. And we’ve had some noteworthy successes. NCSCが、低レベルのコモディティ攻撃の量を減らすのに役立つ「アクティブ・サイバー・ディフェンス」プログラムを高く評価しているのはそのためです。そして、私たちは特筆すべき成功を収めています。
Our ‘Takedown project’, for example, removed 3.1 million malicious URLs in 2021. Which we think saved the UK £223 million. 例えば、私たちの「Takedownプロジェクト」は、2021年に310万件の悪質なURLを削除しました。これにより、英国は2億2,300万ポンドを節約できたと我々は考えています。
In the same period, our  ‘Protective DNS’ service handled more than 600 billion requests. 160 million of which were blocked from accessing known sources of malicious content. 同じ期間に、私たちの「Protective DNS」サービスは6,000億以上のリクエストを処理しました。そのうち1億6000万件は、悪質なコンテンツの既知のソースへのアクセスをブロックしました。
And, one service that I am particularly proud of is our Suspicious Email Reporting Service, because we enlist the great British public to help us. So far, the public have told us about 10.5 million suspicious emails, from which we’ve taken down 76,000 online scams. It's a great example of our “whole of society” approach in action and it helps our citizens feel as if they're helping us as a country, not just to protect themselves, but to protect the nation as a whole. また、私が特に誇りに思っているサービスのひとつに、「疑わしい電子メール報告サービス」があります。これは、英国の優れた一般市民の協力を得ているためです。これまで、1,050万通の不審なメールについて一般の方から情報をいただき、その中から76,000件のオンライン詐欺を取り締まりました。これは、私たちの「社会全体で取り組む」アプローチの好例であり、国民が自分たちを守るためだけでなく、国全体を守るために協力しているのだと実感できるようになります。
So, this ambitious approach to a whole of society approach to cyber. But I think to succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. つまり、この野心的なアプローチは、サイバーに対する社会全体のアプローチなのです。しかし、成功するためには、パートナーシップが不可欠だと思います。そこで私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。
We’re reaching out to startups, with initiatives designed to spur the development of tools which will protect the UK’s smaller and medium sized businesses. 英国の中小企業を保護するツールの開発に拍車をかけるために、新興企業にも手を差し伸べています。
And we are engaging, as we are here, with our friends and allies. そして、ここにいるように、私たちは友人や同盟国とも関わっています。
We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion. 私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルと強みを持ち寄り、攻撃に自然に強いネットワークを構築し、支配や強制よりもイノベーションや言論、創造性を優先させます。
They are big challenges, and they point to even larger actions. So, I look forward to discussing them with you here at Cyber Week, and in the months and years to come. これらは大きな挑戦であり、さらに大きな行動を指し示しています。このサイバーウィークで、そしてこれからの数ヶ月、数年の間に、皆さんと一緒にこれらの課題について議論できることを楽しみにしています。
Thank you for your time. お忙しい中、ありがとうございました。

 

1_20220704055101

 

 

Continue reading "英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)"

| | Comments (0)

2022.07.03

米国 FBI-IC3が盗んだ個人情報とディープフェイクを利用してリモートワーク等に応募していると警告していますね。。。

こんにちは、丸山満彦です。

ディープフェイクが身近になってくると、こういう事件は起こってきますよね。。。

2020年の第24回サイバー犯罪に関する白浜シンポジウムのテーマが、「AIはサイバーセキュリティの夢を見るか?で私もスマートサイバー AI活用時代のサイバーリスク管理 という演題で講演しましたが、ここで、フェイク動画についてのなりすましについて簡単に紹介しました。。。

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理

今回の場合は、リモート面接においての話ですが、特定の人の顔画像、音声情報、個人の履歴書等を盗み、その人になりすまし、AIを活用して本人になりすまし、機密情報に触れられる職に就き、必要な機密情報を盗むということが、これから日常的になるのでしょうかね。。。

懸念していたことが、現実社会においても広がってきているという状況ですね。。。そして、今後ますます広がっていくでしょうね。。。

 

 ● Federal Bureau of Investigation - Internet Crime Complaint Center: FBI-ICS3

・2022.06.28 Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions

Deepfakes and Stolen PII Utilized to Apply for Remote Work Positions リモートワークの応募にディープフェイクや盗まれた個人情報が利用される事例が発生
The FBI Internet Crime Complaint Center (IC3) warns of an increase in complaints reporting the use of deepfakes and stolen Personally Identifiable Information (PII) to apply for a variety of remote work and work-at-home positions. Deepfakes include a video, an image, or recording convincingly altered and manipulated to misrepresent someone as doing or saying something that was not actually done or said. FBIインターネット犯罪苦情センター(IC3)は、様々なリモートワークや在宅勤務の職種に応募するために、ディープフェイクと盗まれた個人識別情報(PII)が使用されているという苦情が増加していることを警告する。ディープフェイクとは、ビデオ、画像、または録音を説得力を持って改変・操作し、実際には行われていないことを誰かが行った、または言ったと誤解させるようなものを指す。
The remote work or work-from-home positions identified in these reports include information technology and computer programming, database, and software related job functions. Notably, some reported positions include access to customer PII, financial data, corporate IT databases and/or proprietary information. この報告書に記載されているリモートワークや在宅勤務の職種には、情報技術、コンピュータ・プログラミング、データベース、ソフトウェア関連の職務が含まれている。特に、顧客の個人情報、財務データ、企業のITデータベースおよび/または専有情報にアクセスする職種が含まれていることが報告されている。
Complaints report the use of voice spoofing, or potentially voice deepfakes, during online interviews of the potential applicants. In these interviews, the actions and lip movement of the person seen interviewed on-camera do not completely coordinate with the audio of the person speaking. At times, actions such as coughing, sneezing, or other auditory actions are not aligned with what is presented visually. 苦情では、応募者のオンライン面接において、音声スプーフィング、または潜在的な音声ディープフェイクが使用されていることが報告されている。これらの面接では、カメラで撮影された面接者の動作や唇の動きが、話している人の音声と完全に一致していない。咳やくしゃみなどの聴覚的な動作と、視覚的に提示された動作が一致しないことがある。
IC3 complaints also depict the use of stolen PII to apply for these remote positions. Victims have reported the use of their identities and pre-employment background checks discovered PII given by some of the applicants belonged to another individual. また、IC3への苦情では、遠隔地のポジションに応募するために、盗まれた個人情報が使用されていることが指摘されている。被害者は、自分のIDが使用されたことを報告し、雇用前のバックグラウンド・チェックで、応募者の何人かが提供したPIIが別の個人のものであることを発見した。

 

Ic3_20220703044601

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.20 米国 カーネギーメロン大学ソフトウェア工学研究所 Deep Fakeの作成と検出はどの程度簡単か?

・2022.01.26 英国王立学会 オンライン情報環境(フェイク情報は削除すべき、削除すべきでない?)at 2022.01.19

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.10.12 中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.21 米国 上院議員がデータ保護法案を再提出

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.23 Europol, UNICRI, Trendmicro 犯罪者もAIを活用!(ディープフェイクだけではない)

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.12 欧州議会は「人工知能、ロボットおよび関連技術の倫理的側面の枠組み」を採択しましたね。。。

・2020.09.04 マイクロソフトがDeepfake検出ツールを発表してました。。。

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.07.02 ディズニーがメガピクセルのディープフェイクで映画?

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.01.27 Deepfake

| | Comments (0)

2022.07.02

中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が「個人情報の越境移転に関する標準契約条項(意見募集案)」を公表し、意見募集をしていますね。。。

国家互联网信息办公室(国家サイバースペース管理局)

2022.06.30 国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)

 

内容は、、、

个人信息出境标准合同规定 個人情報の越境移転に関する標準的契約条項
(征求意见稿) (意見募集案)
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。 第1条 個人情報の流出活動を規制し、個人情報の権益を保護し、国境を越えた個人情報の安全かつ自由な流通を促進するため、「中華人民共和国個人情報保護法」に基づき、本規定を制定する。
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。 第2条 個人情報処理事業者は、中華人民共和国個人情報保護法第38条第1項第3号に基づき、海外の受取人に対し個人情報を提供する契約を締結する場合、これらの規定に基づき、個人情報の越境移転に関する標準契約(以下「標準契約」という)を締結するものとする。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。 その他、個人情報の越境移転に関して、個人情報取扱事業者と海外の受取人との間で締結される契約は、本標準契約に抵触しないものとする。
第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。 第3条 標準契約に基づいて個人情報の越境移転を行う場合、独立した契約と記録管理の組み合わせを遵守し、個人情報の越境移転セキュリティリスクを防止し、法律に従って個人情報の秩序と自由な流れを確保しなければならない。
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息: 第4条 個人情報取扱事業者は、次の各号にも該当する場合は、標準契約によって個人情報を国外に提供することができる。
(一)非关键信息基础设施运营者; (一)非重要情報インフラ事業者。
(二)处理个人信息不满100万人的; (二)100万人未満の個人情報を取り扱うもの
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的; (三) 前年の1月1日からの国外への個人情報の提供の累計が10万人に達しないとき。
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 (四) 前年の1月1日以降、外国への機微な個人情報の提供の累計が1万人に達しない場合。
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容: 第5条 個人情報取扱事業者は、個人情報を国外に提供する前に、以下の要素に着目して、個人情報保護に与える影響について事前に評価を行うものとする。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (一)個人情報取扱事業者及び海外受取事業者の個人情報の取扱いの目的、範囲及び方法の適法性、正当性及び必要性について。
(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; (二) 越境移転される個人情報の量、範囲、種類及び機密性、並びに個人情報の越境移転に起因する個人情報の権利及び利益に対する起こり得る危険性
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; (三) 海外の受取人が負う責任及び義務並びにその責任及び義務を履行するための管理及び技術的な措置並びに能力が国外に持ち出される個人情報の安全を保障することができるかどうか。
(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; (四) 越境後の個人情報の漏えい、破壊、改ざん、不正使用等のリスク、個人が個人情報の権利・利益を守るための手段が開かれているか等
(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响; (五) 海外の受取人の国または地域における個人情報保護に関する政策や規制が標準契約の履行に与える影響。
(六)其他可能影响个人信息出境安全的事项。 (六) その他、個人情報の越境の安全性に影響を与える事項。
第六条 标准合同包括以下主要内容: 第6条 標準契約書の主な内容は次のとおりである。
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等; (一) 個人情報の処理者及び海外受取人の氏名、住所、連絡先等の基本情報。
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等; (二)越境する個人情報の目的、範囲、種類、機密性、数量、方法、保管期間、保管場所等
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等; (三) 個人情報取扱事業者及び海外受取事業者の個人情報保護に関する責任及び義務並びに個人情報等の持ち出しに伴い発生し得る安全上のリスクを防止するために講じた技術的及び管理的措置。
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响; (四) 海外の受取人の国または地域における個人情報保護に関する政策や規制が、この契約条件の遵守に与える影響。
(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式; (五) 個人情報主体の権利、及び個人情報主体の権利を保護する方法・手段
(六)救济、合同解除、违约责任、争议解决等。 (六) 救済措置、契約の解除、契約不履行責任、紛争解決等
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料: 第7条 個人情報取扱事業者は、標準契約書の発効日から10営業日以内に、所在地の省内インターネット情報部門に契約書を提出しなければならない。 記録のため、以下の資料を提出すること。
(一)标准合同; (一)標準契約。
(二)个人信息保护影响评估报告。 (二) 個人情報保護に関する影響評価報告書。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。 個人情報取扱事業者は、提出された資料の真偽について責任を負うものとする。 個人情報処理事業者は、標準契約の効力発生後、個人情報の越境移転を行うことがでる。
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案: 第8条 個人情報処理事業者は、標準契約の有効期間中に次の各号の一に該当する事由が生じたときは、標準契約を再締結し、これを届け出るものとする。
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; (一) 海外の受取人に提供する個人情報の利用目的、範囲、種類、機密性、数量、方法、保管場所及び海外受取人による個人情報の利用及び取扱いの変更、又は国外での個人情報の保管期間の延長。
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的; (二) 海外の受取人の所在する国または地域の個人情報保護方針および規則の変更で、個人情報の権利・利益に影響を及ぼす可能性があるもの。
(三)可能影响个人信息权益的其他情况。 (三) その他個人情報の権利利益に影響を及ぼす可能性のある事情。
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 第9条 標準契約書の提出に関わる機関および職員は、職務遂行上知り得た個人のプライバシー、個人情報、商業上の秘密および業務上の機密を法律に従い守秘し、他人に開示し、または違法に使用してはならない。
第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。 第10条 個人情報取扱事業者が本規定に違反していると認める組織または個人は、省レベル以上のインターネット情報部門に苦情または通報する権利を有する。
第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。 第11条 省レベル以上のインターネット情報部門は、標準契約の締結による個人情報越境移転が、実際の処理過程で個人情報越境移転の安全管理のための要件を満たさなくなったと判断した場合、個人情報加工業者に書面により通知し、個人情報越境移転を中止させなければならない。 個人情報処理事業者は、通知を受けた後、直ちに個人情報の越境移転を停止する。
第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。 第12条 個人情報取扱事業者が、本規定に基づき海外の受取人と標準契約を締結し、個人情報を国外に提供する場合、省レベル以上のインターネット情報部門は、「中華人民共和国個人情報保護法」の規定に基づき、一定期間内に是正を命ずる。また、是正せず個人情報の権利・利益を損害した場合は、個人情報越境移転行為の停止を命じ、法律に基づき処罰する。 刑事責任は、法律に従って調査される。
(一)未履行备案程序或者提交虚假材料进行备案的; (一) 申告手続きに従わず、または虚偽の申告資料を提出した場合。
(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的; (二)標準契約で合意した責任義務を履行せず、個人情報の権利利益を侵害し、損害を与えた場合。
(三)出现影响个人信息权益的其他情形。 (三) その他個人情報の権利利益に影響を及ぼす場合。
第十三条 本规定自___年___月___日起施行。 第13条 この規定は、○月○日から施行する。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.07.06 中国のデータセキュリティ法案

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

 


 

越境移転関係

・2022.06.23 個人情報保護委員会「個人情報保護委員会の国際戦略」の公表

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連..

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

・2022.03.08 経済産業省 データの越境移転に関する研究会 報告書 (2022.02.28)

・2021.11.21 欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

・2021.07.04 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表

時代は少し遡り...

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

 

 

| | Comments (0)

2022.07.01

ENISA 年次プライバシーフォーラム (APF) 2022 in Warsaw (2022.06.24)

こんにちは、丸山満彦です。

ENISAが2022.06.23-24にワルシャワで開催された第10回年次プライバシーフォーラム (APF) 2022 の概要を公表していますね。。。

● ENISA

・2022.06.24 The Annual Privacy Forum (APF) celebrates its first 10 years, as the links between privacy protection & cybersecurity continue to grow

パネルディスカッションでは、次の3つが議論されたようですね。。。

AI and privacy challenges AIとプライバシーの課題
privacy preserving data sharing プライバシー保護データ共有
Privacy by Design and cookies. プライバシーバイデザインとCookie

 

Key take-aways 主な成果
What became clear from the discussion is that: 今回のディスカッションで明らかになったことは、以下の通りである。
The issues touched upon at the APF affect an ever-broader cross-sector of stakeholders and the open debate needs to continue. APFで取り上げられた問題は、これまで以上に幅広いステークホルダーに影響を与えており、オープンな議論を継続する必要がある。
AI systems may process personal information independently without taking into account compliance with GDPR data protection principles such as: purpose limitation, data minimization, accountability, fairness or transparency. This may lead to unexpected consequences and negative impacts for individuals, demanding action in terms of adequate safeguards. AIシステムは、目的の限定、データの最小化、説明責任、公平性、透明性といったGDPRデータ保護原則の遵守を考慮することなく、独自に個人情報を処理する可能性がある。これは、個人にとって予期せぬ結果や悪影響をもたらす可能性があり、適切な保護措置の観点からの対応を要求している。
The risks for privacy stemming from the rapid advancement of digital solutions and the use of multiple sources represent ever-moving targets. They require an approach which addresses the continuously evolving technological and legal challenges, such as: デジタルソリューションの急速な発展と複数の情報源の利用から生じるプライバシーに関するリスクは、常に変化する標的である。それらは、以下のような継続的に進化する技術的・法的課題に対処するアプローチを必要とする。
・The rule-based use of large AI models in relation to how they may be combined and for what purposes they should be used; ・大規模なAIモデルをどのように組み合わせ、どのような目的で使用するかに関連するルールベースの使用。
・The definition of criteria for trustworthiness in the technologies used providing a sufficient, adequate and meaningful information to users of the technologies and the data subjects; ・技術の利用者とデータ対象者に十分で適切かつ意味のある情報を提供するために使用される技術の信頼性基準の定義。
・Drawing attention to the increasing power of large platforms to predict data subject behaviour and considering a rule-based approach on collective data protection in addition to data subject protection; ・データ主体の行動を予測する大規模なプラットフォームの力が増大していることに注意を喚起し、データ主体の保護に加えて、集団データ保護に関する規則に基づくアプローチを検討すること。
・A collaboration strategy between DPAs which fosters effective enforcement; ・効果的なエンフォースメントを促進するDPA間の連携戦略。
・Privacy preserving data sharing which remains a challenge in the current new EU legislative initiatives. This should take into account the technical aspects of secure date transfers, anti-money laundry and anti-terrorism enforcement, as well as the different roles and bodies that are involved in the supervision related to data sharing including which of these bodies acts as the coordinating authority; and finally ・現在のEUの新たな立法措置において課題となっているプライバシーを保護したデータ共有。これは、安全なデータ転送、アンチマネーロンダリング、アンチテロの実施に関する技術的側面と、データ共有に関連する監督に関与する様々な役割や機関(これらの機関のうち誰が調整当局として機能するかを含む)を考慮する必要がある。
・New tools to adequately respond to the new emerging EU Regulations like the Digital Services Act, Digital Markets Act, the AI Act and NIS2 Directive in order to better protect our fundamental rights. ・デジタルサービス法、デジタル市場法、AI法、NIS2指令などの新しいEU規制に適切に対応し、我々の基本的権利をよりよく保護するための新しいツール。
From a privacy regulator perspective, it is important to build bridges between scientific research and the practice in data protection to effectively deal with new technologies. The principles of transparency, interpretability, explainability and fairness are key. プライバシー規制当局の立場からは、新しい技術に効果的に対処するために、科学的研究とデータ保護の実務の間に橋を架けることが重要である。透明性、解釈可能性、説明可能性、公平性の原則が重要である。
If privacy by design is applied in cookie banners, data subjects would not be required to define the settings, as they are set in a way that only the minimal settings are default. This especially should be the case for third party cookies. The attention of those parties using cookie banners should be placed on explaining the purpose of using cookies instead of technology-based explanations. クッキーバナーにおいてプライバシー・バイ・デザインが適用されれば、最低限の設定のみがデフォルトとなるように設定されるため、データ主体が設定を定義する必要はなくなるはずである。特にサードパーティのクッキーについてはそうであるべきである。クッキーバナーを使用する側の注意としては、技術的な説明ではなく、クッキーを使用する目的を説明することに重点を置くべきである。
This 10th version of the Annual Privacy Forum provided great points to consider for the challenges ahead and set the scene for future Annual Privacy Forums. 今回の第10回年次プライバシー・フォーラムは、今後の課題を考える上で大きなポイントを提供し、今後の年次プライバシー・フォーラムの舞台を整えた。
The next Annual Privacy Forum is planned in 1st and 2nd of June, 2023 in Lyon, France. The APF invites you to join us in 次回の年次プライバシーフォーラムは、2023年6月1日、2日にフランス・リヨンで開催する予定である。APFは、皆様の参加を待っている。

 

AFP自体のウェブページは、

Annual Privacy Forum 2022

プログラムは、

PROGRAMME

| | Comments (0)

2022.06.28

欧州議会 Think Tank メタバース:機会、リスク、政策への影響

こんにちは、丸山満彦です。

欧州議会のThink Tankが、メタバースをめぐる、機会、リスク、政策への影響について考察したレポートを公表していますね。。。

メタバースというか、仮想現実、拡張現実を利用し、没入感を高めたデジタル環境において、人間社会にどのようなチャンスとリスクがあるのか、それを踏まえてどのような政策が必要かを考察している資料ですね。。。

さすが欧州ですね。日本ではここまで踏み込んで検討していないでしょうね。。。

 

European Parliament - Think Tank

・2022.06.24 Metaverse: Opportunities, risks and policy implications

Metaverse: Opportunities, risks and policy implications メタバース:機会、リスク、政策への影響
One of the most talked about concepts in modern technology, the metaverse can be described as an immersive and constant virtual 3D world where people interact by means of an avatar to carry out a wide range of activities. Such activities can range from leisure and gaming to professional and commercial interactions, financial transactions or even health interventions such as surgery. While the exact scope and impact of the metaverse on society and on the economy is still unknown, it can already be seen that the metaverse will open up a range of opportunities but also a number of risks in a variety of policy areas. Major tech companies are scaling up their metaverse activities, including through mergers and acquisitions. This has given impetus to a debate on how merger regulations and antitrust law should apply. Business in the metaverse is expected to be underpinned largely by cryptocurrencies and non-fungible tokens, raising issues of ownership, misuse, interoperability and portability. Furthermore, the huge volume of data used in the metaverse raises a number of data protection and cybersecurity issues (e.g. how to collect user consent or protect avatars against identity theft). There is considerable scope for a wide range of illegal and harmful behaviours and practices in the metaverse environment. This makes it essential to consider how to attribute responsibility, inter alia, for fighting illegal and harmful practices and misleading advertising practices, and for protecting intellectual property rights. Moreover, digital immersion in the metaverse can have severe negative impacts on health, especially for vulnerable groups, such as minors, who may require special protection. Finally, the accessibility and inclusiveness of the metaverse remain areas where progress has still to be made in order to create an environment of equal opportunities. 現代技術で最も話題になっている概念の一つであるメタバースは、人々がアバターによって交流し、様々な活動を行う没入型かつ恒常的な仮想3D世界と表現することができる。このような活動は、レジャーやゲームから、専門家や商人との交流、金融取引、あるいは手術などの健康介入に至るまで、多岐にわたる。メタバースが社会や経済に及ぼす正確な範囲や影響はまだ不明だが、メタバースがさまざまな政策分野において、さまざまな機会をもたらすと同時に、多くのリスクをもたらすことはすでに確認されている。大手ハイテク企業は、M&Aを含め、メタバース活動を拡大している。このため、合併規制や独禁法の適用をどうするかという議論に弾みがついている。メタバースにおけるビジネスは、主に暗号通貨や非ファンジブルトークンに支えられ、所有権、不正使用、相互運用性、ポータビリティの問題が生じると予想される。さらに、メタバースで使用される膨大なデータは、多くのデータ保護とサイバーセキュリティの問題を提起する(例えば、利用者の同意を収集する方法、ID盗難からアバターを保護する方法など)。メタバース環境では、さまざまな違法・有害な行動や行為が行われる可能性がかなりある。このため、特に違法・有害な行為や誤解を招くような広告手法との戦い、および知的財産権の保護について、どのように責任を帰属させるかを検討することが不可欠である。さらに、メタバースにおけるデジタルへの没入は、特に特別な保護を必要とする未成年者などの脆弱な集団にとって、健康に深刻な悪影響を及ぼす可能性がある。最後に、メタバースのアクセシビリティと包摂性は、機会均等の環境を作るために、依然として進展が必要な領域である。

 

検討している内容は、次の7分野で、

o Competition  o 競争
o Data protection o データ保護
o Liabilities o 負債
o Financial transactions o 金融取引
o Cybersecurity  o サイバーセキュリティ 
o Health o 健康
o Accessibility and inclusiveness o アクセシビリティと包摂性

それぞれ、課題、考えられる政策的影響を分析しています。

非常に参考になると思います。

 

・2022.06.24 [PDF] Metaverse - Opportunities, risks and policy implications

20220628-43121

内容は、、、

Continue reading "欧州議会 Think Tank メタバース:機会、リスク、政策への影響"

| | Comments (0)

2022.06.27

中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) (TC260)が、個人情報の国際的な処理活動に関するセキュリティ認証仕様を公表していますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.06.24 关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知

 

关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知 サイバーセキュリティ基準実務指針-個人情報の越境処理活動に関するセキュリティ認証仕様-」の公表に関する通知
为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求,指导个人信息处理者规范开展个人信息跨境处理活动,秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。 個人情報保護法の個人情報保護認証制度の確立に関する関連要求事項を実施し、個人情報の国境を越えた処理活動を標準化するために、事務局は「サイバーセキュリティ基準-個人情報の国境を越えた処理活動のセキュリティ認証仕様に関する実践ガイダンス」を作成した。
本《实践指南》提出了个人信息跨境处理活动安全的基本原则,规定了个人信息跨境处理活动的基本要求和个人信息主体权益保障要求。 本実務指針は、個人情報の越境処理活動の安全に関する基本原則を提示し、個人情報の越境処理活動の基本要件及び個人情報主体の権益を保護するための要件を規定するものである。 

 

・[PDF] 网络安全标准实践指南——个人信息跨境处理活动安全认证规范

20220627-62808

概要...

摘要 概要
本实践指南依据有关政策法规要求,为落实《个人信息 保护法》建立个人信息保护认证制度提供认证依据。申请个 人信息保护认证的个人信息处理者应当符合GB/T 35273《信 息安全技术 个人信息安全规范》的要求;对于开展跨境处 理活动的个人信息处理者,还必须符合本实践指南的要求。 本实践指南从基本原则、个人信息处理者和境外接收方在跨 境处理活动中应遵循的要求、个人信息主体权益保障等方面 提出了要求,为认证机构实施个人信息保护认证提供跨境处 理活动认证依据,也为个人信息处理者规范个人信息跨境处 理活动提供参考。 本実務指針は、関連する政策や法規の要求事項に基づいて、個人情報保護法の施行と個人情報保護認証制度の確立のための認証根拠を提供するものである。 個人情報保護認証を申請する個人情報処理者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求を遵守しなければならず、国境を越えた処理活動を行う個人情報処理者は、本実務指針の要求も遵守しなければならない。本実務指針は、基本原則、越境処理活動において個人情報取扱事業者及び海外受取人が遵守すべき要件、個人情報主体の権益保護等の観点から要件を定めており、認証機関が越境処理活動に関する個人情報保護認証を実施するための基礎となり、また個人情報取扱事業者が個人情報の越境処理活動を規制するための参考となるものである。

 

目次...

摘 要 概要
1 适用情形 1 該当する状況
2 认证主体 2 認証対象
3 基本原则 3 基本原則
4 基本要求 4 基本要件
4.1 有法律约束力的协议 4.1 法的拘束力のある契約
4.2 组织管理 4.2 組織管理
4.3 个人信息跨境处理规则 4.3 国境を越えた個人情報の取り扱いに関する規定
4.4 个人信息保护影响评估 4.4 個人情報保護影響評価
5 个人信息主体权益保障 5 個人情報主体の権利保護について
5.1 个人信息主体权利 5.1 個人情報の主体の権利
5.2 个人信息处理者和境外接收方的责任义务 5.2 個人情報の処理者およびオフショア受領者の責任と義務

 

・[DOC] 仮対訳

 

| | Comments (0)

2022.06.24

個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

欧州主要国における顔識別機能付カメラの利用に関する法制度の調査と報告書案が示されていますね。。。

個人情報保護委員会

・2022.06.20 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第 議事次第

・[PDF] 資料1 報告書素案

20220624-33426

・[PDF] 資料2 欧州主要国における顔識別機能付カメラの利用に関する法制度の調査

20220624-33625

 


 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

米国 2021年連邦ローテーシナル・サイバー要員プログラム法、2021年州・地方政府サイバーセキュリティ法に大統領が署名 (2022.06.21)

こんにちは、丸山満彦です。

バイデン大統領が、2021年連邦ローテーシナル・サイバー要員プログラム法、2021年州・地方政府サイバーセキュリティ法に署名していますね。。。

2021年連邦ローテーシナル・サイバー要員プログラム法は、連邦政府内でサイバー人材を派遣しあい、人材リソースの共有を促進し、教育効果も高めるために実施するのだろうと思います。

2021年州・地方政府サイバーセキュリティ法は、DHSと州・地方政府等の連携を深め、連邦政府が、州・地方政府のサイバー耐性を強化することを支援するというものだろうと思います。

不足するサイバー人材を共有と育成を通じて強化していこうということなんでしょうかね。。。

日本でも参考になるかもしれませんね。。。

 

The White House

・2021.06.21 Press Release: Bill Signed: S. 1097, S. 2520, and S. 3823

Press Release: Bill Signed: S. 1097, S. 2520, and S. 3823 プレスリリース 法案S. 1097、S. 2520、S. 3823は署名された
On Tuesday, June 21, 2022, the President signed into law: 2022年6月21日(火) 、大統領は法案に署名した。
S. 1097, the “Federal Rotational Cyber Workforce Program Act of 2021,” which establishes a Federal rotational cyber workforce program for the Federal cyber workforce; S. 1097「2021年連邦ローテーシナル・サイバー要員プログラム法」は、連邦サイバー要員のための連邦ローテーシナル・サイバー要員プログラムを確立するものである。
Thank you to Senators Peters, Hoeven, and Rosen and Representatives Khanna and Mace for their leadership. ピータース、ホーヴェン、ローゼン各上院議員、カンナ、メイス両衆院議員のリーダーシップに感謝する。
S. 2520, the “State and Local Government Cybersecurity Act of 2021,” which requires the Department of Homeland Security to increase collaboration with State, local, Tribal, and territorial governments on cybersecurity issues; S. 2520「2021年州・地方政府サイバーセキュリティ法」は、国土安全保障省に対し、サイバーセキュリティ問題に関して州・地方・部族・準州政府との協力を強化するよう求めるものである。
Thank you to Senators Peters, Portman, and Rosen, and Representative Neguse for their leadership. ピータース、ポートマン、ローゼン各上院議員、ネグセ代表のリーダーシップに感謝する。
S. 3823, the “Bankruptcy Threshold Adjustment and Technical Corrections Act,” which raises certain bankruptcy threshold limits and makes technical corrections to the Bankruptcy Administration Improvement Act. S. 3823, "破産閾値調整および技術的修正に関する法律", これは破産基準額の引き上げと破産行政改善法の技術的修正を行うものである。
 Thank you to Senators Grassley, Durbin, Whitehouse, and Cornyn, and Representatives Neguse and Cline for their leadership.  グラスリー、ダービン、ホワイトハウス、コーニン各上院議員、ネグズ、クライン両衆議院議員のリーダーシップに感謝する。

 

Congress Gov

S.1097 - Federal Rotational Cyber Workforce Program Act of 2021

概要...

Federal Rotational Cyber Workforce Program Act of 2021 2021年連邦ローテーシナル・サイバー要員プログラム法
This bill establishes a rotational cyber workforce program under which certain federal employees may be detailed among rotational cyber workforce positions at other agencies. 本法案は、特定の連邦職員が他省庁の連邦ローテーシナル・サイバー要員職の間で詳細な情報を得ることができるローテーシナル・サイバー要員プログラムを確立するものである。
This bill authorizes an agency to determine whether a workforce position involving information technology, cybersecurity, or other cyber-related functions in that agency is eligible for the program. 本法案は、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能に関わる要員職が、その機関のプログラムの対象となるかどうかを決定する権限を省庁に与えている。
Additionally, the bill requires the Office of Personnel Management to issue a Federal Rotational Cyber Workforce Program operation plan providing policies, processes, and procedures for detailing employees among rotational cyber workforce positions at agencies. さらに、本法案は、人事管理局に対し、各省庁のローテーシナル・サイバー要員職間の職員の詳細に関する方針、プロセス、手順を定めたローテーシナル・サイバー要員プログラムの運営計画を発行することを求めている。
The Government Accountability Office must assess the operation and effectiveness of the rotational cyber workforce program by addressing the extent to which agencies have participated in the program and the experiences of employees serving in the program. 政府説明責任局は、各省庁がどの程度このプログラムに参加しているか、またこのプログラムに従事している職員の経験を取り上げることにより、ローテーシナル・サイバー要員プログラムの運用と有効性を評価しなければならない。

条文...

S.1097 - Federal Rotational Cyber Workforce Program Act of 2021 117th Congress (2021-2022)  S.1097 -  2021年連邦ローテーシナル・サイバー要員プログラム法  第117回議会 (2021-2022) 
SECTION 1. SHORT TITLE. 第1条 短いタイトル
This Act may be cited as the “Federal Rotational Cyber Workforce Program Act of 2021”. 本法は、「2021年連邦ローテーシナル・サイバー要員プログラム法」として引用されることがある。
SEC. 2. DEFINITIONS. 第2条 定義
In this Act: 本法において
(1) AGENCY.—The term “agency” has the meaning given the term “Executive agency” in section 105 of title 5, United States Code, except that the term does not include the Government Accountability Office. (1) 省庁:「省庁」という用語は、政府説明責任局を含まないことを除き、合衆国法典第5編第105節において「行政省庁」という用語に与えられている意味を有する。
(2) COMPETITIVE SERVICE.—The term “competitive service” has the meaning given that term in section 2102 of title 5, United States Code. (2) 競争サービス:「競争サービス」という用語は、合衆国法典第5編第2102節においてその用語が与えられている意味を有する。
(3) COUNCILS.—The term “Councils” means— (3) 評議会:「評議会」という用語は、以下を意味する。
(A) the Chief Human Capital Officers Council established under section 1303 of the Chief Human Capital Officers Act of 2002 (5 U.S.C. 1401 note); and (A) 2002年最高人事責任者法(5 U.S.C. 1401注) の第1303条に基づき設立された最高人事責任者評議会。
(B) the Chief Information Officers Council established under section 3603 of title 44, United States Code. (B) 米国連邦法典第 44 編第 3603 条に基づき設立された最高情報責任者評議会。
(4) CYBER WORKFORCE POSITION.—The term “cyber workforce position” means a position identified as having information technology, cybersecurity, or other cyber-related functions under section 303 of the Federal Cybersecurity Workforce Assessment Act of 2015 (5 U.S.C. 301 note). (4) サイバー要員職:「サイバー要員職」という用語は、2015年連邦サイバーセキュリティ人材評価法(5 U.S.C. 301注) 第303条に基づき、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能を有すると特定される職を意味する。
(5) DIRECTOR.—The term “Director” means the Director of the Office of Personnel Management. (5) ディレクター :「ディレクター」という用語は、人事管理局のディレクターを意味する。
(6) EMPLOYEE.—The term “employee” has the meaning given the term in section 2105 of title 5, United States Code. (6) 従業員:「従業員」という用語は、合衆国法典第 5 編第 2105 条に規定される意味を有する。
(7) EMPLOYING AGENCY.—The term “employing agency” means the agency from which an employee is detailed to a rotational cyber workforce position. (7) 雇用省庁:「雇用省庁」という用語は、職員がローテーシナル・サイバー要員職に就くために派遣される省庁を意味する。
(8) EXCEPTED SERVICE.—The term “excepted service” has the meaning given that term in section 2103 of title 5, United States Code. (8) 除外勤務:「除外勤務」という用語は、合衆国法典第5編第2103節に規定される意味を持つ。
(9) ROTATIONAL CYBER WORKFORCE POSITION.—The term “rotational cyber workforce position” means a cyber workforce position with respect to which a determination has been made under section 3(a) (1) . (9) ローテーショナル・サイバー要員職:「ローテーショナル・サイバー要員職」という用語は、第3条 (a) (1) に基づく決定が行われたサイバー要員職をいう。
(10) ROTATIONAL CYBER WORKFORCE PROGRAM.—The term “rotational cyber workforce program” means the program for the detail of employees among rotational cyber workforce positions at agencies. (10) ローテーショナル・サイバー要員プログラム:「ローテーショナル・サイバー要員プログラム」という用語は、省庁のローテーショナル・サイバー要員職の間で職員を細かく分類するためのプログラムを意味する。
(11) SECRETARY.—The term “Secretary” means the Secretary of Homeland Security. (11) 長官:「長官」という用語は、国土安全保障省の長官を意味する。
SEC. 3. ROTATIONAL CYBER WORKFORCE POSITIONS. 第3条 ローテーシナル・サイバー要員職
(a) Determination With Respect To Rotational Service.— (a) ローテショナル勤務に関する決定。
(1) IN GENERAL.—The head of each agency may determine that a cyber workforce position in that agency is eligible for the rotational cyber workforce program, which shall not be construed to modify the requirement under section 4(b) (3) that participation in the rotational cyber workforce program by an employee shall be voluntary. (1) 一般:各省庁の長は、当該省庁のサイバー要員職がローテーシナル・サイバー要員プログラムに適格であると判断することができるが、これは、職員によるローテーシナル・サイバー要員プログラムへの参加は任意でなければならないという第 4 項 (b) (3) の要件を修正するものと解釈されてはならない。
(2) NOTICE PROVIDED.—The head of an agency shall submit to the Director— (2) 提供される通知:省庁の長は、局長に以下を提出するものとする。
(A) notice regarding any determination made by the head of the agency under paragraph (1) ; and (A) 第(1) 項に基づき当該省庁の長が行った決定に関する通知。
(B) for each position with respect to which the head of the agency makes a determination under paragraph (1) , the information required under subsection (b) (1) . (B) (1) に基づく決定が行われた各職種について、(b) (1) に基づき必要とされる情報。
(b) Preparation Of List.—The Director, with assistance from the Councils and the Secretary, shall develop a list of rotational cyber workforce positions that— (b) リストの作成-長官は、審議会および長官の支援を得て、以下のようなローテーショナル・サイバー要員職のリストを作成するものとする。
(1) with respect to each such position, to the extent that the information does not disclose sensitive national security information, includes— (1) 各職種について、国家安全保障上の機密情報を開示しない範囲において、以下を含む。
(A) the title of the position; (A) 役職のタイトル
(B) the occupational series with respect to the position; (B) 当該職種に関する職業系列
(C) the grade level or work level with respect to the position; (C) 当該職種の等級または業務レベル。
(D) the agency in which the position is located; (D) 当該職種の所属省庁
(E) the duty location with respect to the position; and (E) 当該職種の勤務地。
(F) the major duties and functions of the position; and (F) 職務の主な任務と機能。
(2) shall be used to support the rotational cyber workforce program. (2) ローテーシナル・サイバー要員プログラムを支援するために使用されるものとする。
(c) Distribution Of List.—Not less frequently than annually, the Director shall distribute an updated list developed under subsection (b) to the head of each agency and other appropriate entities. (c) リストの配布:少なくとも年に一度、長官は (b) に基づいて作成された最新のリストを各省庁の長および他の適切な団体に配布しなければならない。
SEC. 4. ROTATIONAL CYBER WORKFORCE PROGRAM. 第4条 ローテーシナル・サイバー要員プログラム
(a) Operation Plan.— (a) 運用計画
(1) IN GENERAL.—Not later than 270 days after the date of enactment of this Act, and in consultation with the Councils, the Secretary, representatives of other agencies, and any other entity as the Director determines appropriate, the Director shall develop and issue a Federal Rotational Cyber Workforce Program operation plan providing policies, processes, and procedures for a program for the detailing of employees among rotational cyber workforce positions at agencies, which may be incorporated into and implemented through mechanisms in existence on the date of enactment of this Act. (1) 一般:本法律の制定日から270日以内に、審議会、長官、他の省庁の代表者、および長官が適切と判断する他の団体と協議の上、長官は、省庁のローテーシナル・サイバー要員職間で職員の詳細を決めるためのプログラムの方針、プロセス、手順を定めた連邦ローテーシナル・サイバー要員プログラム運用計画を策定し発行しなければならず、これは本法の制定日に存在する機構に組み込まれて実施することが可能だ。
(2) UPDATING.—The Director may, in consultation with the Councils, the Secretary, and other entities as the Director determines appropriate, periodically update the operation plan developed and issued under paragraph (1) . (2) 更新:長官は、審議会、長官、および長官が適切と判断する他の組織と協議して、第 (1) 項に基づいて作成・発行された運用計画を定期的に更新することができる。
(b) Requirements.—The operation plan developed and issued under subsection (a) shall, at a minimum— (b) 要件:(a) に基づいて作成、発行された運営計画は、最低限次のことを行わなければならない。
(1) identify agencies for participation in the rotational cyber workforce program; (1) ローテーシナル・サイバー要員プログラムに参加する省庁を特定する。
(2) establish procedures for the rotational cyber workforce program, including— (2) 以下を含む、ローテーシナル・サイバー要員プログラムの手順を確立する。
(A) any training, education, or career development requirements associated with participation in the rotational cyber workforce program; (A) ローテーシナル・サイバー要員プログラムへの参加に関連する訓練、教育、またはキャリア開発要件。
(B) any prerequisites or requirements for participation in the rotational cyber workforce program; and (B) ローテーシナル・サイバー要員プログラムへの参加に必要な前提条件または要件
(C) appropriate rotational cyber workforce program performance measures, reporting requirements, employee exit surveys, and other accountability devices for the evaluation of the program; (C) 適切なローテーシナル・サイバー要員プログラムの成果指標、報告要件、従業員の退社調査、およびプログラム評価のためのその他の説明責任装置。
(3) provide that participation in the rotational cyber workforce program by an employee shall be voluntary; (3) 従業員によるローテーシナル・サイバー要員プログラムへの参加は任意であることを規定する。
(4) provide that an employee shall be eligible to participate in the rotational cyber workforce program if the head of the employing agency of the employee, or a designee of the head of the employing agency of the employee, approves of the participation of the employee; (4) 被雇用者の雇用省庁の長、または雇用省庁の長の被指名人が、被雇用者の参加を承認した場合、被雇用者はローテーシナル・サイバー要員プログラムに参加する資格を有すると規定する。
(5) provide that the detail of an employee to a rotational cyber workforce position under the rotational cyber workforce program shall be on a nonreimbursable basis; (5) ローテーシナル・サイバー要員プログラムに基づくローテーシナル・サイバー要員職への職員の派遣は、経費負担がないものとすることを規定する。
(6) provide that agencies may agree to partner to ensure that the employing agency of an employee that participates in the rotational cyber workforce program is able to fill the position vacated by the employee; (6) 各省庁は、ローテーシナル・サイバー要員プログラムに参加する職員の雇用省庁が、その職員が空けた職を埋めることができるように、提携することに同意することができることを規定する。
(7) require that an employee detailed to a rotational cyber workforce position under the rotational cyber workforce program, upon the end of the period of service with respect to the detail, shall be entitled to return to the position held by the employee, or an equivalent position, in the employing agency of the employee without loss of pay, seniority, or other rights or benefits to which the employee would have been entitled had the employee not been detailed; (7) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に派遣された職員は、派遣に関する勤務期間が終了した時点で、給与、年功、その他派遣されていなかった場合に与えられるであろう権利や利益を失うことなく、その職員が雇用する省庁で、その職員が持っていた職、または同等の職に戻る権利があることを義務付ける。
(8) provide that discretion with respect to the assignment of an employee under the rotational cyber workforce program shall remain with the employing agency of the employee; (8) ローテーシナル・サイバー要員プログラムに基づく職員の配置に関する裁量は、当該職員の雇用省庁に委ねられることを規定する。
(9) require that an employee detailed to a rotational cyber workforce position under the rotational cyber workforce program in an agency that is not the employing agency of the employee shall have all the rights that would be available to the employee if the employee were detailed under a provision of law other than this Act from the employing agency to the agency in which the rotational cyber workforce position is located; (9) 職員の雇用省庁ではない省庁で、ローテーシナル・サイバー要員プログラムに基づきローテーシナル・サイバー要員職に派遣された職員は、雇用省庁からローテーシナル・サイバー要員職のある省庁へ、本法以外の法律の規定に基づいて職員が派遣された場合に与えられるすべての権利を有することを義務付ける。
(10) provide that participation by an employee in the rotational cyber workforce program shall not constitute a change in the conditions of the employment of the employee; and (10) 職員がローテーシナル・サイバー要員プログラムに参加することは、当該職員の雇用条件の変更にはならないことを規定する。
(11) provide that an employee participating in the rotational cyber workforce program shall receive performance evaluations relating to service in the rotational cyber workforce program in a participating agency that are— (11) ローテーシナル・サイバー要員プログラムに参加する職員は、参加省庁におけるローテーシナル・サイバー要員プログラムでの勤務に関連し、以下のような業績評価を受けるものとする。
(A) prepared by an appropriate officer, supervisor, or management official of the employing agency, acting in coordination with the supervisor at the agency in which the employee is performing service in the rotational cyber workforce position; (A) 雇用省庁の適切な役員、監督者、または管理職員が、当該職員がローテーシナル・サイバー要員として勤務している省庁の監督者と連携して作成したものであること。
(B) based on objectives identified in the operation plan with respect to the employee; and (B) 当該従業員に関する業務計画で特定された目標に基づく。
(C) based in whole or in part on the contribution of the employee to the agency in which the employee performed such service, as communicated from that agency to the employing agency of the employee. (C) 当該職員が勤務していた省庁から当該職員の雇用省庁に伝達された、当該職員による当該省庁への貢献の全部または一部に基づくものであること。
(c) Program Requirements For Rotational Service.— (c) ローテーション勤務のためのプログラム要件。
(1) IN GENERAL.—An employee serving in a cyber workforce position in an agency may, with the approval of the head of the agency, submit an application for detail to a rotational cyber workforce position that appears on the list developed under section 3(b) . (1) 一般:ある省庁のサイバー要員職の職員は、その省庁の長の承認を得て、第3項 (b) に基づいて作成されたリストに掲載されているサイバー要員職のローテーションへの派遣申請を提出することができる。
(2) OPM APPROVAL FOR CERTAIN POSITIONS.—An employee serving in a position in the excepted service may only be selected for a rotational cyber workforce position that is in the competitive service with the prior approval of the Office of Personnel Management, in accordance with section 300.301 of title 5, Code of Federal Regulations, or any successor thereto. (2) 特定の職に対する人事院の承認: 除外勤務の職に就いている職員は、連邦規則集第5編300.301項またはその後継に従って、人事院の事前承認を得た場合にのみ、競争勤務のローテーショナル・サイバー要員職に選出されることができる。
(3) SELECTION AND TERM.— (3) 選定と期間
(A) SELECTION.—The head of an agency shall select an employee for a rotational cyber workforce position under the rotational cyber workforce program in a manner that is consistent with the merit system principles under section 2301(b) of title 5, United States Code. (A) 選考:省庁の長は、合衆国法典第 5 編第 2301 条(b) に基づく能力主義の原則に合致する方法で、ロー テーション・サイバー要員プログラムのローテーシナル・サイバー要員職の職員を選考するものとする。
(B) TERM.—Except as provided in subparagraph (C) , and notwithstanding section 3341(b) of title 5, United States Code, a detail to a rotational cyber workforce position shall be for a period of not less than 180 days and not more than 1 year. (B) 期間:(C) 項に規定される場合を除き、また合衆国法典第 5 編第 3341(b) 条にかかわらず、ロー テーション・サイバー要員職への派遣は、180 日以上 1 年以下の期間でなければならない。
(C) EXTENSION.—The Chief Human Capital Officer of the agency to which an employee is detailed under the rotational cyber workforce program may extend the period of a detail described in subparagraph (B) for a period of 60 days unless the Chief Human Capital Officer of the employing agency of the employee objects to that extension. (C) 延長:ローテーシナル・サイバー要員プログラムのもとで職員が派遣される省庁の人的資源最高責任者は、その職員の雇用省庁の人的資源最高責任者が延長に反対しない限り、(B) 項に記載の派遣の期間を 60 日間延長することができる。
(4) WRITTEN SERVICE AGREEMENTS.— (4) 書面による業務委託契約
(A) IN GENERAL.—The detail of an employee to a rotational cyber workforce position shall be contingent upon the employee entering into a written service agreement with the employing agency under which the employee is required to complete a period of employment with the employing agency following the conclusion of the detail that is equal in length to the period of the detail. (A) 一般:ローテーショナル・サイバー要員職への派遣は、派遣終了後、派遣期間と同程度の雇用期間を雇用省庁で過ごすことを義務付ける、書面による勤務契約を従業員が雇用省庁と締結することを条件とする。
(B) OTHER AGREEMENTS AND OBLIGATIONS.—A written service agreement under subparagraph (A) shall not supersede or modify the terms or conditions of any other service agreement entered into by the employee under any other authority or relieve the obligations between the employee and the employing agency under such a service agreement. Nothing in this subparagraph prevents an employing agency from terminating a service agreement entered into under any other authority under the terms of such agreement or as required by law or regulation. (B) その他の契約および義務:(A) 号に基づく書面による業務協定は、他の権限に基づき被雇用者が締結したその他の業務協定の条件に取って代わり、または条件を変更するものではなく、当該業務協定に基づく被雇用者と雇用省庁の間の義務を免除するものでもない。本項は、雇用省庁が他の権限の下で締結されたサービス契約を、当該契約の条件に基づき、または法律もしくは規則の要求に従って終了させることを妨げるものではない。
SEC. 5. REPORTING BY GAO. 第5条 GAOによる報告
Not later than the end of the third fiscal year after the fiscal year in which the operation plan under section 4(a) is issued, the Comptroller General of the United States shall submit to Congress a report assessing the operation and effectiveness of the rotational cyber workforce program, which shall address, at a minimum— 第4項 (a) に基づく運営計画が発行された会計年度の後、第3会計年度末までに、米国会計検査院は、ローテーシナル・サイバー要員プログラムの運営と効果を評価する報告書を議会に提出し、最低限以下の事項を記載しなければならない。
(1) the extent to which agencies have participated in the rotational cyber workforce program, including whether the head of each such participating agency has— (1) 各省庁がローテーシナル・サイバー要員プログラムにどの程度参加しているか、各参加省庁の長が以下を行ったかどうかを含む。
(A) identified positions within the agency that are rotational cyber workforce positions; (A) 当該省庁において、ローテーシナル・サイバー要員となる役職を特定したこと、
(B) had employees from other participating agencies serve in positions described in subparagraph (A) ; and (B) 他の参加省庁の職員に (A) 号に記載された職務を担当させたこと、および
(C) had employees of the agency request to serve in rotational cyber workforce positions under the rotational cyber workforce program in participating agencies, including a description of how many such requests were approved; and (C) 当該省庁の職員が、参加省庁のローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に就くことを要請し、そのような要請が何件承認されたかの説明も含めている。
(2) the experiences of employees serving in rotational cyber workforce positions under the rotational cyber workforce program, including an assessment of— (2) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員として勤務した従業員の経験(以下の評価を含む) 。
(A) the period of service; (A) 勤務期間
(B) the positions (including grade level and occupational series or work level) held by employees before completing service in a rotational cyber workforce position under the rotational cyber workforce program; (B) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に就く前に従業員が就いていた職(等級レベル、職業系列または業務レベルを含む) 。
(C) the extent to which each employee who completed service in a rotational cyber workforce position under the rotational cyber workforce program achieved a higher skill level, or attained a skill level in a different area, with respect to information technology, cybersecurity, or other cyber-related functions; and (C) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職での勤務を終えた各従業員が、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能に関して、どの程度高いスキルレベルを達成したか、または異なる分野でスキルレベルを達成したか。
(D) the extent to which service in rotational cyber workforce positions has affected intra-agency and interagency integration and coordination of cyber practices, functions, and personnel management. (D) ローテーシナル・サイバー要員職での勤務が、サイバー業務、機能、および人事管理の省庁内および省庁間の統合および調整にどの程度影響を及ぼしたか。
SEC. 6. SUNSET. 第6条 適用期間
Effective 5 years after the date of enactment of this Act, this Act is repealed. 本法律成立の日から5年後に、本法律は廃止される。

 

 


S.2520 - State and Local Government Cybersecurity Act of 2021

概要...

State and Local Government Cybersecurity Act of 2021 2021年州・地方政府サイバーセキュリティ法
This bill provides for collaboration between the Department of Homeland Security (DHS) and state, local, tribal, and territorial governments, as well as corporations, associations, and the general public, regarding cybersecurity. 本法案は、国土安全保障省(DHS)と州・地方・部族・準州政府、および企業・団体・一般市民とのサイバーセキュリティに関する協力について定めるものである。
The bill expands DHS responsibilities through grants and cooperative agreements, including provision of assistance and education related to cyber threat indicators, proactive and defensive measures and cybersecurity technologies, cybersecurity risks and vulnerabilities, incident response and management, analysis, and warnings. 法案は、サイバー脅威の指標、事前対策と防御策、サイバーセキュリティ技術、サイバーセキュリティのリスクと脆弱性、事故対応と管理、分析、警告に関する支援と教育の提供を含む、助成金と協力協定を通じてDHSの責任を拡大する。
The bill requires the National Cybersecurity and Communications Integration Center, upon request, to coordinate with entities such as the Multi-State Information Sharing and Analysis Center to engage in specified activities, including to (1) conduct exercises with state, local, tribal, or territorial government entities; (2) provide operational and technical cybersecurity training to such entities; and (3) promote cybersecurity education and awareness. この法案は、国家サイバーセキュリティ通信統合センターが、要請に応じて、複数州情報共有分析センターなどの団体と調整し、(1)州、地方、部族、または領土の政府団体と演習を行う、(2)これらの団体に運用および技術のサイバーセキュリティ訓練を提供する、(3)サイバーセキュリティ教育と認識を促進する、などの特定の活動に従事するよう要求している。

 

条文...

S.2520 - State and Local Government Cybersecurity Act of 2021117th Congress (2021-2022)  S.2520 - 2021年州・地方政府サイバーセキュリティ法 第117回議会 (2021-2022) 
SECTION 1. SHORT TITLE. 第1条 短いタイトル
This Act may be cited as the “State and Local Government Cybersecurity Act of 2021”. 本法は、「2021年州および地方政府サイバーセキュリティ法」として引用されることがある。
SEC. 2. AMENDMENTS TO THE HOMELAND SECURITY ACT OF 2002. 第2条 2002年国土安全保障法の改正
Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended— 2002年国土安全保障法(6 U.S.C. 651 et seq.) のタイトルXXIIのサブタイトルAは、以下のように修正される。
(1) in section 2201 (6 U.S.C. 651) , by adding at the end the following: (1) 第2201条(6 U.S.C. 651) において、末尾に以下を追加する
“(7) SLTT ENTITY.—The term ‘SLTT entity’ means a domestic government entity that is a State government, local government, Tribal government, territorial government, or any subdivision thereof.”; and (7) SLTT ENTITY:「SLTT組織体」という用語は、州政府、地方自治体、部族政府、準州政府、またはその下部組織である国内政府組織体を意味する」、
(2) in section 2209 (6 U.S.C. 659) — (2) 第2209条(6 U.S.C.659) において、
(A) in subsection (c) (6) , by inserting “operational and” before “timely”; (A) 第(c) (6) 項において、「適時」の前に「運用上および」を挿入する。
(B) in subsection (d) (1) (E) , by inserting “, including an entity that collaborates with election officials,” after “governments”; and (B) 第(d) (1) (E) 項において、「政府」の後に「選挙管理者と協力する団体を含め、」を挿入する。
(C) by adding at the end the following: (C) 末尾に以下を追加する。
“(p) Coordination On Cybersecurity For SLTT Entities.— 「(p) SLTT事業者のためのサイバーセキュリティに関する調整。
“(1) COORDINATION.—The Center shall, upon request and to the extent practicable, and in coordination as appropriate with Federal and non-Federal entities, such as the Multi-State Information Sharing and Analysis Center— 「(1) 調整:センターは、要請があれば、実行可能な範囲で、連邦省庁および非連邦省庁(Multi-State Information Sharing and Analysis Center など) と適切に連携して、以下を行うものとする。
“(A) conduct exercises with SLTT entities; 「(A) SLTT 団体と演習を実施する。
“(B) provide operational and technical cybersecurity training to SLTT entities to address cybersecurity risks or incidents, with or without reimbursement, related to— 「(B) 払い戻しの有無にかかわらず、サイバーセキュリティのリスクやインシデントに対処するために、SLTT組織体に運用および技術的なサイバーセキュリティのトレーニングを提供し、以下の事項に関連するものである。
“(i) cyber threat indicators; 「(i) サイバー脅威の指標、
“(ii) defensive measures; 「(ii) 防御策、
“(iii) cybersecurity risks; 「(iii) サイバーセキュリティリスク、
“(iv) vulnerabilities; and 「(iv) 脆弱性;および
“(v) incident response and management; 「(v) 事故対応と事故管理。
“(C) in order to increase situational awareness and help prevent incidents, assist SLTT entities in sharing, in real time, with the Federal Government as well as among SLTT entities, actionable— 「(C) 状況認識を高め、インシデントの予防を支援するため、SLTT組織体が、連邦政府およびSLTT組織体間で、リアルタイムで、実行可能な以下の情報を共有することを支援する。
“(i) cyber threat indicators; 「(i) サイバー脅威の指標、
“(ii) defensive measures; 「(ii) 防御策、
“(iii) information about cybersecurity risks; and 「(iii) サイバーセキュリティのリスクに関する情報、および
“(iv) information about incidents; 「(iv) インシデントに関する情報。
“(D) provide SLTT entities notifications containing specific incident and malware information that may affect them or their residents; 「(D) SLTT組織体またはその住民に影響を与える可能性のある特定のインシデントおよびマルウェア情報を含む通知をSLTT組織体に提供する。
“(E) provide to, and periodically update, SLTT entities via an easily accessible platform and other means— 「(E) SLTT組織体に、簡単にアクセスできるプラットフォームやその他の手段で、以下を提供し、定期的に更新する。
“(i) information about tools; 「(i) ツールに関する情報、
“(ii) information about products; 「(ii) 製品に関する情報、
“(iii) resources; 「(iii) リソース、
“(iv) policies; 「(iv) ポリシー、
“(v) guidelines; 「(v) ガイドライン、
“(vi) controls; and 「(vi) 管理策、及び
“(vii) other cybersecurity standards and best practices and procedures related to information security, including, as appropriate, information produced by other Federal agencies; 「(vii) 情報セキュリティに関するその他のサイバーセキュリティ基準およびベストプラクティス、手順(適宜、他の連邦省庁によって作成された情報を含む) 。
“(F) work with senior SLTT entity officials, including chief information officers and senior election officials and through national associations, to coordinate the effective implementation by SLTT entities of tools, products, resources, policies, guidelines, controls, and procedures related to information security to secure the information systems, including election systems, of SLTT entities; 「(F) SLTT組織体の選挙システムを含む情報システムを保護するために、情報セキュリティに関するツール、製品、リソース、ポリシー、ガイドライン、コントロール、および手順をSLTT組織体が効果的に実施するよう、最高情報責任者や上級選挙管理者を含むSLTT組織体の幹部と各国の協会を通じて協力する。
“(G) provide operational and technical assistance to SLTT entities to implement tools, products, resources, policies, guidelines, controls, and procedures on information security; 「(G) SLTT組織体が情報セキュリティに関するツール、製品、リソース、ポリシー、ガイドライン、コントロール、手続きを実施するために、運営上および技術上の支援を提供する。
“(H) assist SLTT entities in developing policies and procedures for coordinating vulnerability disclosures consistent with international and national standards in the information technology industry; and 「(H) SLTT組織体が、情報技術産業における国際・国内標準に沿った脆弱性開示の調整を行うための方針と手順を策定するのを支援する。
“(I) promote cybersecurity education and awareness through engagements with Federal agencies and non-Federal entities. 「(I) 連邦省庁および非連邦省庁との関わりを通じて、サイバーセキュリティの教育および認識を促進する。
“(q) Report.—Not later than 1 year after the date of enactment of this subsection, and every 2 years thereafter, the Secretary shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report on the services and capabilities that the Agency directly and indirectly provides to SLTT entities.”. 「(q) 報告書:本款の制定日から1年以上経過し、その後2年ごとに、長官は上院の国土安全保障・政府問題委員会と下院の国土安全保障委員会に、同庁が直接および間接的にSLTT組織体に提供するサービスおよび能力に関する報告書を提出するものとする。

 

Fig1_20210802074601

 

| | Comments (0)

2022.06.23

個人情報保護委員会「個人情報保護委員会の国際戦略」の公表

こんにちは、丸山満彦です。

個人情報保護委員会が。第204回 個人情報保護委員会(2022.03.30開催)で決定した、「個人情報保護委員会の国際戦略」を公表していますね。。。

この案は当日の資料の[PDF] 資料2-2 令和4年度個人情報保護委員会活動方針(案)の「別添1」に記載されています。。。


個人情報保護委員会

・2022.06.22 「国際戦略」を掲載しました。

・[PDF] 「個人情報保護委員会の国際戦略」(令和4年3月30日個人情報保護委員会決定)

20220622-232138


個人情報保護委員会の国際戦略

令和4年3月 30 日個人情報保護委員会

 近年、デジタル社会の進展に伴うデータの流通の増加、特に経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの円滑な越境流通の重要性が更に増している。こうした状況下において、日本政府は、2019年に「信頼性が確保された自由なデータ流通の確保(DFFT)」を提唱し、特に日本がG7ホスト国となる2023年に向けて、政府全体としてDFFTを推進している。

こうした中、個人情報保護の分野では、世界各国においてそれぞれ独自の個人情報保護法制を整備する動きが進んでおり、各国の法制等の世界潮流の把握や企業活動のグローバル化に伴う各国当局との連携、データローカライゼーションや無制限なガバメントアクセスといった新たなリスクへ対応するための国際機関等との協議を更に進めることが求められている。

また、国内においても、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)による個人情報保護法の改正等(以下「令和3年改正法」という。)による公的部門の一元化に伴い、新たに、公的部門に係る個人データの流通に係る対応も求められることとなる。

個人情報保護委員会(以下「委員会」という。)は、従前より、DFFT推進のための施策に取り組んできているほか、各国の法制等の世界潮流の把握、各国当局との連携の強化を進めているところであるが、上記の状況を踏まえ、委員会が主体となって進める国際的な取組に関する当面の戦略を明確化するものである。

1.DFFT推進の観点から個人情報が安全・円滑に越境移転できる国際環境の構築

  日本がG7ホスト国となる2023年を見据え、DFFTを更に推進するため、世界プライバシー会議(GPA)、アジア太平洋プライバシー機関(APPA)やG7等の国際的な枠組みにおいてDFFTの重要性についての発信や対話を通じた連携の深化を図る。加えて、米国、欧州、アジア太平洋諸国等の各国・地域との対話等を通じて、同志国(like minded countries)の国々との協力関係の強化を図る。これにより、米国や欧州との連携の深化やアジア太平洋諸国等との中期的な協力関係の強化、ひいてはDFFTに資するグローバルスタンダードの確立を目指す。

  • グローバルな企業認証制度に軸足を置き、その構築、そして対象や参加者の拡大を目指す。その際、欧州GDPRとAPEC CBPRのような異なる枠組みを共存させ、排他的なアプローチには与せず多くの企業が参加できる包括的なアプローチを志向する。取組を進めるに当たっては、事業者側のニーズを把握した上で、ビジネスの様態や規模に応じて、複数の選択肢から利用しやすい越境移転のスキームを選ぶことができる環境を目指す。
  • 個人の権利利益を保護する上で我が国と同様の水準にあると認められる個人情報の保護に関する制度を有している国との間の相互な個人データ移転の枠組みの維持・発展を図るほか、その他既存のデータ移転枠組みの深化を推進していく。既存の日EU相互認証については、委員会が、民間部門と公的部門双方の監視・監督を行うこととなったこと等を踏まえ、枠組みの対象範囲の拡大の検討を開始する。
  • DFFTを脅かす、無制限なガバメントアクセスやデータローカライゼーション等の新たなリスクについて、米国や欧州、またG7やOECD諸国といった同志国と緊密に協議を重ねつつ、グローバルスタンダードの形成に貢献する。

2.国際動向の把握と情報発信

  情報通信技術の飛躍的な進展とそれに伴う個人情報保護に関する課題に対応するため、各国との情報や問題意識の共有を図ることに加え、技術革新や社会的課題等への対応についての世界潮流を踏まえた上で、我が国の政策立案に活かしていく。

  • GPAやAPPA等の国際フォーラム等において、新たな技術・ビジネス様態と個人情報保護、プライバシーの関係について我が国の取組を積極的に発信するとともに、関係国の対応の把握、連携の深化を図る。
  • 委員会が収集した情報については、広く発信し、政策立案や、国境を越えて活動する事業者が活用できるようにする。

3.国境を越えた執行協力体制の強化

  事業者等の国境を越えた活動の増加や個人情報を含むデータの国境を越えた流通の増大を受け、自国のみでは対応できない事案の益々の増加が予想されることから、委員会は、委員会が対応する個別の執行事案について、関係各国・機関等との連携を推進し、諸外国からの協力が必要な時に得られるような協力関係を強化する。

  • 各国の執行当局が参加する国際的な枠組みに参加するほか、戦略的に連携が求められる諸外国の個人情報保護当局を中心に緊密な協力関係を築いていく。
  • 令和3年改正法の施行に伴い、令和4年以降、公的部門においても委員会が一元的に当該規律を解釈運用することになることを踏まえ、各国の個人情報保護当局における権限行使の在り方や関係省庁との協力関係の把握を進める。

(以上)


 

参考

デジタル庁

信頼性が確保された自由なデータ流通の確保(DFFT)

デジタル庁 - 法令

デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)

 

| | Comments (0)

2022.06.21

米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

こんにちは、丸山満彦です。

FBIがドイツ、オランダ、英国の法執行機関や脅威インテリジェンスの民間企業 (Black Echo, LLC) と協力してロシアのボットネットを破壊したようですね。。。

官民連携による、安全なコミュニティを維持するというのは、フィジカル空間でもサイバー空間でも同じですね。。。

Department of Justice (Southern District of California)

・2022.06.16 Russian Botnet Disrupted in International Cyber Operation

 

Russian Botnet Disrupted in International Cyber Operation 国際的なサイバー作戦によるロシアのボットネットの破壊
SAN DIEGO – The U.S. Department of Justice, together with law enforcement partners in Germany, the Netherlands and the United Kingdom, have dismantled the infrastructure of a Russian botnet known as RSOCKS which hacked millions of computers and other electronic devices around the world. サンディエゴ - 米国司法省は、ドイツ、オランダ、英国の法執行機関のパートナーとともに、世界中の数百万台のコンピュータやその他の電子機器をハッキングしたRSOCKSとして知られるロシアのボットネットのインフラストラクチャを解体しました。
A botnet is a group of hacked internet-connected devices that are controlled as a group without the owner’s knowledge and typically used for malicious purposes. Every device that is connected to the internet is assigned an Internet Protocol (IP) address. ボットネットとは、ハッキングされたインターネット接続機器の集団で、所有者が知らないうちに集団として制御され、通常、悪意のある目的に使用されるものです。インターネットに接続されているすべての機器には、インターネットプロトコル(IP)アドレスが割り当てられています。
According to a search warrant affidavit, unsealed today in the Southern District of California, and the operators’ own claims, the RSOCKS botnet, operated by Russian cybercriminals, comprised millions of hacked devices worldwide. The RSOCKS botnet initially targeted Internet of Things (IoT) devices. IoT devices include a broad range of devices—including industrial control systems, time clocks, routers, audio/video streaming devices, and smart garage door openers, which are connected to, and can communicate over, the internet, and therefore, are assigned IP addresses. The RSOCKS botnet expanded into compromising additional types of devices, including Android devices and conventional computers. カリフォルニア州南部地区で本日公開された捜査令状宣誓供述書と運営者自身の主張によると、ロシアのサイバー犯罪者が運営するRSOCKSボットネットは、世界中で数百万台のハッキングされたデバイスで構成されています。RSOCKSボットネットは当初、Internet of Things(IoT)デバイスを標的としていました。IoTデバイスには、産業用制御システム、タイムクロック、ルーター、オーディオ/ビデオストリーミングデバイス、スマートガレージドアオープナーなど、インターネットに接続され、インターネット上で通信できる、したがってIPアドレスが割り当てられたさまざまなデバイスが含まれます。RSOCKSボットネットは、Android端末や従来型のコンピュータなど、さらに多くの種類のデバイスに感染するよう拡大しました。
“The RSOCKS botnet compromised millions of devices throughout the world,” said U.S. Attorney Randy Grossman. “Cyber criminals will not escape justice regardless of where they operate. Working with public and private partners around the globe, we will relentlessly pursue them while using all the tools at our disposal to disrupt their threats and prosecute those responsible.”  Grossman thanked the prosecution team, the FBI and the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section for their excellent work on this case. 米国連邦検事のRandy Grossman氏は、次のように述べました。「RSOCKSボットネットは、世界中で数百万台のデバイスを危険にさらしています。サイバー犯罪者は、どこで活動しようとも、裁きを免れることはできません。世界中の公共および民間のパートナーと協力し、私たちは、彼らの脅威を破壊し、責任者を起訴するために、自由に使えるすべてのツールを使用しながら、彼らを容赦なく追及していきます。」  グロスマンは、検察チーム、FBI、司法省刑事局コンピューター犯罪・知的財産課のこの件に関する素晴らしい働きに対して感謝の意を表しました。
“This operation disrupted a highly sophisticated Russia-based cybercrime organization that conducted cyber intrusions in the United States and abroad,” said FBI Special Agent in Charge Stacey Moy. “Our fight against cybercriminal platforms is a critical component in ensuring cybersecurity and safety in the United States. The actions we are announcing today are a testament to the FBI’s ongoing commitment to pursuing foreign threat actors in collaboration with our international and private sector partners.” FBIのステイシー・モイ特別捜査官は次のように述べました。「この作戦は、米国内外でサイバー侵入を行った高度に洗練されたロシアを拠点とするサイバー犯罪組織を崩壊させました。サイバー犯罪のプラットフォームに対する我々の戦いは、米国のサイバーセキュリティと安全を確保するための重要な要素です。本日発表する措置は、海外や民間セクターのパートナーとの協力のもと、海外の脅威要因を追求するFBIの継続的な取り組みを証明するものです。」
A legitimate proxy service provides IP addresses to its clients for a fee. Typically, the proxy service provides access to IP addresses that it leases from internet service providers (ISPs). Rather than offer proxies that RSOCKS had leased, the RSOCKS botnet offered its clients access to IP addresses assigned to devices that had been hacked. The owners of these devices did not give the RSOCKS operator(s) authority to access their devices in order to use their IP addresses and route internet traffic. A cybercriminal who wanted to utilize the RSOCKS platform could use a web browser to navigate to a web-based “storefront” (i.e., a public web site that allows users to purchase access to the botnet), which allowed the customer to pay to rent access to a pool of proxies for a specified daily, weekly, or monthly time period. The cost for access to a pool of RSOCKS proxies ranged from $30 per day for access to 2,000 proxies to $200 per day for access to 90,000 proxies. 正規のプロキシ・サービスは、クライアントに対してIPアドレスを有料で提供します。通常、プロキシ・サービスは、インターネット・サービス・プロバイダー(ISP)から借用したIPアドレスへのアクセスを提供します。RSOCKSボットネットは、RSOCKSがリースしていたプロキシを提供するのではなく、ハッキングされたデバイスに割り当てられたIPアドレスへのアクセスをクライアントに提供していたのです。これらのデバイスの所有者は、IPアドレスを使用してインターネットトラフィックをルーティングするために、RSOCKSオペレータにデバイスにアクセスする権限を与えていませんでした。RSOCKS プラットフォームを利用しようとするサイバー犯罪者は、ウェブブラウザを使用してウェブベースの「ストアフロント」(ユーザーがボットネットへのアクセスを購入できる公開ウェブサイト)に移動し、顧客が指定した日、週、月の期間、プロキシのプールへのアクセスをレンタルするために支払うことができるようにします。RSOCKS プロキシのプールへのアクセス料は、2,000 個のプロキシへのアクセスが 1 日当たり 30 ドル、90,000 個のプロキシへのアクセスが 1 日当たり 200 ドルとなっています。
Once purchased, the customer could download a list of IP addresses and ports associated with one or more of the botnet’s backend servers. The customer could then route malicious internet traffic through the compromised victim devices to mask or hide the true source of the traffic. It is believed that the users of this type of proxy service were conducting large scale attacks against authentication services, also known as credential stuffing, and anonymizing themselves when accessing compromised social media accounts, or sending malicious email, such as phishing messages. 購入後、顧客はボットネットのバックエンドサーバーに関連するIPアドレスとポートのリストをダウンロードすることができます。そして、悪意のあるインターネットトラフィックを、侵害された犠牲者のデバイスを介してルーティングし、トラフィックの真のソースをマスクしたり隠したりすることができるようになります。この種のプロキシサービスのユーザーは、認証サービスに対する大規模な攻撃(クレデンシャル・スタッフィングとも呼ばれる)を行い、侵害されたソーシャルメディアアカウントにアクセスする際や、フィッシングメッセージなどの悪意のあるメールを送信する際に自身を匿名化したと考えられています。
As alleged in the unsealed warrant, FBI investigators used undercover purchases to obtain access to the RSOCKS botnet in order to identify its backend infrastructure and its victims. The initial undercover purchase in early 2017 identified approximately 325,000 compromised victim devices throughout the world with numerous devices located within San Diego County. Through analysis of the victim devices, investigators determined that the RSOCKS botnet compromised the victim device by conducting brute force attacks. The RSOCKS backend servers maintained a persistent connection to the compromised device. Several large public and private entities have been victims of the RSOCKS botnet, including a university, a hotel, a television studio, and an electronics manufacturer, as well as home businesses and individuals. At three of the victim locations, with consent, investigators replaced the compromised devices with government-controlled computers (i.e., honeypots), and all three were subsequently compromised by RSOCKS. The FBI identified at least six victims in San Diego. 公開された令状で主張されているように、FBI捜査官は、RSOCKSボットネットのバックエンドインフラとその被害者を特定するために、覆面購入を利用してアクセス権を取得しました。2017年初めに行われた最初の覆面購入では、世界中にある約32万5000台の感染した被害者デバイスを特定し、サンディエゴ郡内にある多数のデバイスを特定しました。捜査官は、被害者デバイスの分析を通じて、RSOCKSボットネットがブルートフォース攻撃を行うことで被害者デバイスを侵害したことを突き止めました。RSOCKSのバックエンドサーバーは、感染したデバイスとの持続的な接続を維持しました。RSOCKSボットネットの被害者は、大学、ホテル、テレビスタジオ、電子機器メーカーなど、複数の大規模な公共および民間企業、さらに一般家庭や個人も含まれています。被害者のうち 3か所では、同意を得て、捜査官が感染したデバイスを政府管理のコンピュータ(ハニーポットなど)に交換しましたが、3か所ともその後 RSOCKS に感染しました。FBIは、サンディエゴで少なくとも6人の被害者を確認しました。
This case was investigated by the FBI and is being prosecuted by Assistant U.S. Attorney Jonathan I. Shapiro of the Southern District of California and Ryan K.J. Dickey, Senior Counsel for the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section.  The Department of Justice extends its appreciation to the authorities of Germany, the Netherlands, and the United Kingdom, the Justice Department’s Office of International Affairs and private sector cybersecurity company Black Echo, LLC for their assistance provided throughout the investigation. この事件は FBI によって捜査され、カリフォルニア州南部地区連邦検事補 Jonathan I. Shapiro と司法省刑事局コンピューター犯罪・知的財産課の上級弁護士 Ryan K.J. Dickey によって起訴されています。  司法省は、捜査を通じて提供されたドイツ、オランダ、英国当局、司法省国際局、民間企業のサイバーセキュリティ企業Black Echo, LLCの支援に感謝の意を表します。
In September 2020, FBI Director Christopher Wray announced the FBI’s new strategy for countering cyber threats. The strategy focuses on imposing risk and consequences on cyber adversaries through the FBI’s unique authorities, world-class capabilities, and enduring partnerships. Victims are encouraged to report the incident online with the Internet Crime Complaint Center (IC3) www.ic3.gov. 2020年9月、FBI長官クリストファー・レイは、サイバー脅威に対抗するためのFBIの新戦略を発表しました。この戦略では、FBI独自の権限、世界最高水準の能力、永続的なパートナーシップを通じて、サイバー敵対者にリスクと結果を課すことに重点を置いています。被害者は、インターネット犯罪苦情センター(IC3)www.ic3.govにオンラインで事件を報告することが推奨されます。

 

Fig1_20220411162001

 


 

参考

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.04 米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.12.26 2021年のEuropolのハイライト

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2020.09.17 米国 司法省 世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名が起訴されたようですね

 

| | Comments (0)

より以前の記事一覧