法律 / 犯罪: まるちゃんの情報セキュリティ気まぐれ日記

March 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

法律 / 犯罪

2023.03.31

日本国際問題研究所台湾海峡有事シミュレーション：概要と評価

こんにちは、丸山満彦です。

米国の戦略国際問題研究所が今年の1月に同様のシミュレーションを公表していますが、、、

日本国際問題研究所が、台湾海峡有事シミュレーション：概要と評価を公表していますね。。。簡潔で読みやすいです。。。

3. 検討課題

以上のシミュレーションの評価から、次のような検討課題が指摘できる。

・日本および台湾の士気を下げるために行われる情報戦・サイバー攻撃への対処

・中国による核の恫喝および非戦略核使用への有効な対処の検討

・日米の統合防空ミサイル防衛の緊密な連携

・打撃力のターゲティング調整を行うために日米の指揮統制面での緊密な連携を促進(日本の反撃能力を台湾侵攻に向かう中国軍に対して使用することの是非)

・潜水艦戦力の有効活用(海上自衛隊の潜水艦による台湾海峡の渡航作戦を行う中国海軍に対する攻撃の是非)

・フィリピン、豪州、英米との協力深化

⚫︎ 公益財団法人日本国際問題研究所

・2023.03.30 台湾海峡有事シミュレーション：概要と評価

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.26 米国戦略国際問題研究所次の戦争の最初の戦い：中国の台湾侵攻をウォーゲームで再現する (2023.01.09)

2023.03.31 17:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.03.30

大阪急性期・総合医療センター情報セキュリティインシデント調査委員会報告書

こんにちは、丸山満彦です。

2022.10.04にランサムウェア攻撃で被害にあった、大阪急性期・総合医療センターが、情報セキュリティインシデント調査委員会報告書を公表していますね。。。

医療業務の事業継続についても、評価が高かったのですが、報告書もよくできているように思います。委員長は、猪俣先生です。。。お疲れ様でしたです。。。委員には、LACの西本さん（2000年に京都の会社で生じたインシデント対応をお願いした時からの付き合いです。。。）や医療関係経営者、医療システムの有識者、法律家等と、委員も本物ならば、業務、法律、システムとそれらをつなげられる方とバランスも良く、良い報告書ができるでしょう。。。という感じですね。。。

⚫︎ 地方独立行政法人大阪府立病院機構　大阪急性期・総合医療センター

・2023.03.28 情報セキュリティインシデント調査委員会報告書について

報告書...

・[PDF] 情報セキュリティインシデント調査委員会報告書 [downloaded]

・[PDF] 情報セキュリティインシデント調査委員会報告書概要版 [downloaded]

2023.03.30 08:18 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

欧州ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

こんにちは、丸山満彦です。

欧州警察機構 (Europol) がChatGPTなどの大規模言語モデルの犯罪利用に関して議論をし、報告書を公表していますね。。。はやい。。。

最近、クライアントと話をしていると、ChatGPTなどの大規模言語モデルの利用について話になります。大体の場合、

社会がどう変わるのかという話
普及に伴う悪影響についての話

に大別されますが、Europolの報告書は後者に関する話となりますね。。。

ちなみに、ChatGPTなどの大規模言語モデルの普及により、職がなくなるとか、社会のあり方が変わるという話がありますが、幹の話をすると、人間が新しい技術（道具）の普及の速度に合わせて「いかに道具」をうまく使いこなすのか？という話だと思います。

自動車が普及した時に衰退した産業、新たにできた産業や拡大した産業がありましたよね。。。電卓が普及した時に、算盤産業は影響を受け、算盤が得意な人の競争優位が薄れましたよね。。。パソコンが普及して、タイプライター産業、ワープロ産業が衰退し、でも社会が大きくかわりましたよね。。。インターネット普及で、、、スマホが普及して使えない人が、、、といろいろありますが、それぞれの技術を普及により社会が変わっていくが、社会における人間の役割は一定あるということだと思います。

今回は影響範囲が広そうですし、変化のスピードも早そうです。そこが大きなポイントかもしれません。。。人間が普及の速度に合わせていかにうまくChatGPTなどの大規模言語モデルを利用するか？ということだと思います。

そういう意味で（特に後者の意味で）、Europolの報告書は参考になることがあると思います。

⚫︎ Europol

・2023.03.27 The criminal use of ChatGPT – a cautionary tale about large language models

The criminal use of ChatGPT – a cautionary tale about large language models	ChatGPTの犯罪利用-大規模言語モデルに関する注意事項
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across Europol to explore how criminals can abuse large language models (LLMs) such as ChatGPT, as well as how it may assist investigators in their daily work.	ChatGPTに対する社会的関心の高まりを受け、欧州警察機構イノベーション・ラボは、ChatGPTのような大規模言語モデル（LLM）を犯罪者がいかに悪用するか、また、捜査官の日常業務にいかに役立つかを探るため、欧州警察機構の専門家を集めて多数のワークショップが開催された。
Their insights are compiled in Europol’s first Tech Watch Flash report published today. Entitled ‘ChatGPT - the impact of Large Language Models on Law Enforcement’, this document provides an overview on the potential misuse of ChatGPT, and offers an outlook on what may still be to come.	これらの知見は、本日発表されたユーロポールのテックウォッチ・フラッシュ・レポートにまとめられている。ChatGPT - the impact of Large Language Models on Law Enforcement」と題された本書は、ChatGPTが悪用される可能性について概観し、今後何が起こるかについての見通しを示している。
The aim of this report is to raise awareness about the potential misuse of LLMs, to open a dialogue with Artificial Intelligence (AI) companies to help them build in better safeguards, and to promote the development of safe and trustworthy AI systems.	本報告書の目的は、LLMの悪用の可能性について認識を高め、人工知能（AI）企業がより良い安全策を構築できるよう対話を開始し、安全で信頼できるAIシステムの開発を促進することにある。
A longer and more in-depth version of this report was produced for law enforcement only.	本レポートは、法執行機関向けにのみ、より長く、より詳細なバージョンが作成されている。
What are large language models?	大規模言語モデルとは何か？
A large language model is a type of AI system that can process, manipulate, and generate text.	大規模言語モデルは、テキストを処理、操作、生成することができるAIシステムの一種である。
Training an LLM involves feeding it large amounts of data, such as books, articles and websites, so that it can learn the patterns and connections between words to generate new content.	LLMのトレーニングには、書籍、記事、ウェブサイトなどの大量のデータを与え、単語間のパターンやつながりを学習させ、新しいコンテンツを生成させることが含まれる。
ChatGPT is an LLM that was developed by OpenAI and released to the wider public as part of a research preview in November 2022.	ChatGPTは、OpenAIが開発したLLMで、2022年11月に研究プレビューの一環として広く一般に公開された。
The current publicly accessible model underlying ChatGPT is capable of processing and generating human-like text in response to user prompts. Specifically, the model can answer questions on a variety of topics, translate text, engage in conversational exchanges (‘chatting’), generate new content, and produce functional code.	現在公開されているChatGPTの基礎となるモデルは、ユーザーのプロンプトに応じて人間のようなテキストを処理・生成することが可能である。具体的には、さまざまなトピックに関する質問への回答、テキストの翻訳、会話のやり取り（「チャット」）、新しいコンテンツの生成、機能コードの生成などが可能である。
The dark side of Large Language Models	大規模言語モデルのダークサイド
As the capabilities of LLMs such as ChatGPT are actively being improved, the potential exploitation of these types of AI systems by criminals provide a grim outlook.	ChatGPTのようなLLMの能力が向上するにつれ、この種のAIシステムが犯罪者に悪用される可能性があり、厳しい見通しを示している。
The following three crime areas are amongst the many areas of concern identified by Europol’s experts:	Europolの専門家が指摘する多くの懸念事項の中には、次の3つの犯罪分野が含まれている：
・Fraud and social engineering: ChatGPT’s ability to draft highly realistic text makes it a useful tool for phishing purposes. The ability of LLMs to re-produce language patterns can be used to impersonate the style of speech of specific individuals or groups. This capability can be abused at scale to mislead potential victims into placing their trust in the hands of criminal actors.	・詐欺とソーシャルエンジニアリング：ChatGPTは、非常にリアルなテキストを起草できるため、フィッシング目的のツールとしても有効である。LLMが言語パターンを再現する能力は、特定の個人または集団の発話スタイルになりすますために利用できる。この機能を大規模に悪用することで、潜在的な被害者を欺き、犯罪者の手に信頼を委ねることができる。
・Disinformation: ChatGPT excels at producing authentic sounding text at speed and scale. This makes the model ideal for propaganda and disinformation purposes, as it allows users to generate and spread messages reflecting a specific narrative with relatively little effort.	・偽情報： ChatGPTは、本物そっくりのテキストを高速かつ大規模に作成することに優れている。そのため、特定のシナリオを反映したメッセージを比較的少ない労力で作成・拡散することができ、プロパガンダや偽情報の作成に最適なモデルである。
・Cybercrime: In addition to generating human-like language, ChatGPT is capable of producing code in a number of different programming languages. For a potential criminal with little technical knowledge, this is an invaluable resource to produce malicious code.	・サイバー犯罪：ChatGPTは、人間のような言語を生成するだけでなく、多くの異なるプログラミング言語のコードを生成することができる。技術的な知識のない潜在的な犯罪者にとって、これは悪意のあるコードを作成するための貴重なリソースとなる。
As technology progresses, and new models become available, it will become increasingly important for law enforcement to stay at the forefront of these developments to anticipate and prevent abuse.	技術が進歩し、新しいモデルが利用可能になるにつれ、法執行機関はこれらの開発の最前線に立ち、悪用を予測・防止することがますます重要になるだろう。
Read Europol’s recommendations and the full findings of the report here.	ユーロポールの提言と報告書の全内容はこちらから参照のこと。
***	***
Important notice: The LLM selected to be examined in the workshops was ChatGPT. ChatGPT was chosen because it is the highest-profile and most commonly used LLM currently available to the public. The purpose of the exercise was to observe the behaviour of an LLM when confronted with criminal and law enforcement use cases. This will help law enforcement understand what challenges derivative and generative AI models could pose.	重要事項：ワークショップで検討されるLLMはChatGPTに決定した。ChatGPTが選ばれたのは、現在公開されているLLMの中で最も知名度が高く、最も一般的に使用されているからである。この演習の目的は、犯罪や法執行機関のユースケースに直面したときのLLMの挙動を観察することでした。これにより、法執行機関は、派生的・生成的なAIモデルがどのような課題をもたらすかを理解することができる。
***	***
About the Europol Innovation Lab	ユーロポール・イノベーション・ラボについて
The Europol Innovation Lab helps the European law enforcement community to make the most of emerging technologies by finding synergies and developing innovative solutions to improve the ways in which they investigate, track and disrupt terrorist and criminal organisations. The Lab leads several research projects and coordinates the development of investigative tools with national law enforcement authorities.	ユーロポール・イノベーション・ラボは、欧州の法執行機関が、テロ組織や犯罪組織の捜査、追跡、破壊の方法を改善するために、相乗効果を見出し、革新的なソリューションを開発することで、新興技術を最大限に活用できるよう支援している。ラボは、いくつかの研究プロジェクトを主導し、各国の法執行当局と捜査ツールの開発を調整している。
Read more about the Lab’s work.	ラボの活動についてはこちらを参照のこと。

・2023.03.27 ChatGPT - the impact of Large Language Models on Law Enforcement

ChatGPT - the impact of Large Language Models on Law Enforcement	ChatGPT-大規模言語モデルが法執行に及ぼす影響
Large Language Models (LLMs) such as ChatGPT are undergoing rapid advances and have now entered the mainstream. This marks a significant step forward for machine learning, as it shows its ability to handle both mundane tasks and complex creative tasks. The developments with LLMs hold potential implications for all industries, including criminal ones. So what does this mean for law enforcement?	ChatGPTのような大規模言語モデル（LLM）は、急速な進歩を遂げ、今や主流になりつつある。これは、機械学習が、ありふれたタスクと複雑な創造的タスクの両方に対応できることを示すものであり、機械学習の重要な前進を意味する。LLMを用いた開発は、犯罪を含むすべての産業に潜在的な影響を与えます。では、法執行機関にとってどのような意味があるのだろうか。
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across the organisation to explore how criminals can abuse LLMs, as well as how it may assist investigators in their daily work. This Tech Watch Flash report analyses the findings of these sessio・s and includes key information for law enforcement as they continue to scan for new and emerging technologies that affect their work.	ChatGPTに対する社会的関心の高まりを受け、Europol Innovation Labは、犯罪者がLLMをどのように悪用するか、また、捜査官の日常業務にどのように役立つかを探るため、組織内の主題専門家を集めて多くのワークショップを開催した。この Tech Watch Flash レポートでは、これらのセッションで得られた知見を分析し、法執行機関が自分たちの業務に影響を与える新しい技術や新興の技術をスキャンし続ける際の重要な情報を掲載している。
In Tech Watch Flash reports, Europol’s Innovation Lab, often working side-by-side with other law enforcement agencies and operational partners, presents analyses of new technologies that could affect the work of law enforcement.	Tech Watch Flashレポートでは、欧州警察機構（Europol）のイノベーション・ラボが、他の法執行機関やオペレーション・パートナーと共同で、法執行機関の業務に影響を与える可能性のある新技術の分析結果を紹介している。

・[PDF] ChatGPT - the impact of Large Language Models on Law Enforcement

目次...

INTRODUCTION	序文
BACKGROUND: LARGE LANGUAGE MODELS AND CHATGPT	背景：大規模言語モデルとChatGPT
SAFEGUARDS, PROMPT ENGINEERING, JAILBREAKS	セーフガード、プロンプトエンジニアリング、ジェイルブレイク
CRIMINAL USE CASES	犯罪ユースケース
Fraud, impersonation, and social engineering	不正行為、なりすまし、ソーシャルエンジニアリング
Cybercrime	サイバー犯罪
IMPACT AND OUTLOOK	影響と見通し
RECOMMENDATIONS	提言
CONCLUSION	結論

仮訳..

INTRODUCTION	序文
The release and widespread use of ChatGPT – a large language model (LLM) developed by OpenAI – has created significant public attention, chiefly due to its ability to quickly provide ready-to-use answers that can be applied to a vast amount of different contexts.	OpenAIが開発した大規模言語モデル（LLM）であるChatGPTの公開と普及は、膨大な数の異なる文脈に適用可能な、すぐに使える回答を素早く提供する能力によって、大きな社会的関心を呼んでいる。
These models hold masses of potential. Machine learning, once expected to handle only mundane tasks, has proven itself capable of complex creative work. LLMs are being refined and new versions rolled out regularly, with technological improvements coming thick and fast. While this offers great opportunities to legitimate businesses and members of the public it also can be a risk for them and for the respect of fundamental rights, as criminals and bad actors may wish to exploit LLMs for their own nefarious purposes.	このようなモデルには、大きな可能性が秘められている。機械学習は、かつてはありふれた作業しかできないと思われていたが、複雑な創造的作業にも対応できることが証明された。LLMは、定期的に改良され、新しいバージョンが展開され、技術的な改善がどんどん進んでいる。このことは、合法的な企業や一般市民にとって大きなチャンスである一方、犯罪者や悪質な行為者がLLMを悪用しようとする可能性があり、彼らや基本的権利の尊重にとってリスクとなる可能性がある。
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across the organisation to explore how criminals can abuse LLMs such as ChatGPT, as well as how it may assist investigators in their daily work. The experts who participated in the workshops represented the full spectrum of Europol’s expertise, including operational analysis, serious and organised crime, cybercrime, counterterrorism, as well as information technology.	ChatGPTに対する社会的関心の高まりを受け、ユーロポール・イノベーション・ラボは、犯罪者がChatGPTのようなLLMをどのように悪用するか、また、捜査官の日常業務にどのように役立つかを探るため、組織内の専門家による多数のワークショップを開催した。ワークショップに参加した専門家は、オペレーション分析、重大組織犯罪、サイバー犯罪、テロ対策、情報技術など、欧州警察機構（Europol）の全専門分野を網羅している。
Thanks to the wealth of expertise and specialisations represented in the workshops, these hands-on sessions stimulated discussions on the positive and negative potential of ChatGPT, and collected a wide range of practical use cases. While these use cases do not reflect an exhaustive overview of all potential applications, they provide a glimpse of what is possible.	ワークショップに参加した専門家の豊富な専門知識により、これらの実践的なセッションは、ChatGPTのプラスとマイナスの可能性についての議論を刺激し、幅広い実用的なユースケースを収集した。これらのユースケースは、すべての潜在的なアプリケーションを網羅するものではないが、何が可能かを垣間見ることができるものである。
The objective of this report is to examine the outcomes of the dedicated expert workshops and to raise awareness of the impact LLMs can have on the work of the law enforcement community. As this type of technology is undergoing rapid progress, this document further provides a brief outlook of what may still be to come, and highlights a number of recommendations on what can be done now to better prepare for it.	本報告書の目的は、専用の専門家ワークショップの成果を検証し、LLMが法執行機関の業務に与える影響について認識を高めることにある。この種の技術は急速に進歩しているため、本書ではさらに、今後何が起こるかを簡単に展望し、それに備えるために今何ができるかについて、多くの推奨事項を強調している。
Important notice: The LLM selected to be examined in the workshops was ChatGPT. ChatGPT was chosen because it is the highest-profile and most commonly used LLM currently available to the public. The purpose of the exercise was to observe the behaviour of an LLM when confronted with criminal and law enforcement use cases. This will help law enforcement understand what challenges derivative and generative AI models could pose.	重要なお知らせである：今回のワークショップで検討されたLLMはChatGPTである。ChatGPTが選ばれた理由は、現在公開されているLLMの中で最も知名度が高く、最も一般的に使用されているからである。この演習の目的は、犯罪や法執行機関のユースケースに直面したときのLLMの挙動を観察することでした。これにより、法執行機関は、派生的・生成的なAIモデルがどのような課題をもたらすかを理解することができる。
A longer and more in-depth version of this report was produced for law enforcement consumption only.	本レポートは、法執行機関向けに、より長く、より深いバージョンで作成されている。
BACKGROUND: LARGE LANGUAGE MODELS AND CHATGPT	背景：大規模言語モデルとChatGPT
Artificial Intelligence	人工知能
Artificial Intelligence (AI) is a broad field of computer science that involves creating intelligent machines that can perform tasks that typically require human-level intelligence, such as understanding natural language, recognizing images, and making decisions. Al encompasses various subfields, including machine learning, natural language processing, computer vision, robotics, and expert systems.	人工知能（AI）は、コンピュータサイエンスの広い分野で、自然言語の理解、画像の認識、意思決定など、通常人間レベルの知能を必要とするタスクを実行できる知的マシンを作ることを目的としている。機械学習、自然言語処理、コンピュータビジョン、ロボット工学、エキスパートシステムなど、さまざまな分野がある。
Neural Networks	ニューラルネット
Neural Networks, also known as Artificial Neural Networks (ANN), are computing systems inspired by the structure and function of the human brain. They consist of interconnected nodes or neurons that are designed to recognize patterns and make decisions based on input data.	ニューラルネットワークは、人工ニューラルネットワーク（ANN）とも呼ばれ、人間の脳の構造と機能にヒントを得たコンピューティングシステムである。ニューラルネットワークは、相互に接続されたノードまたはニューロンで構成され、入力データに基づいてパターンを認識し、意思決定を行うよう設計されている。
Deep learning	深層学習
Deep Learning is a subfield of machine learning that involves training artificial neural networks, which are computing systems inspired by the structure and function of the human brain, to recognize patterns and make decisions based on large amounts of data. Deep Learning has been particularly successful in fields such as image recognition, natural language processing, and speech recognition.	深層学習は、機械学習の一分野であり、人間の脳の構造と機能にヒントを得たコンピューティングシステムである人工ニューラルネットワークを訓練し、大量のデータに基づいてパターンを認識し意思決定を行うものである。ディープラーニングは、画像認識、自然言語処理、音声認識などの分野で特に成功を収めている。
Supervised/unsupervised learning	教師あり／教師なし学習
Supervised Learning is a type of machine learning that involves training a model using labeled data, where the desired output is already known. The model learns to make predictions or decisions by finding patterns in the data and mapping input variables to output variables.	教師あり学習は、機械学習の一種で、目的の出力がすでに分かっているラベル付きデータを使ってモデルを学習させるものである。モデルは、データのパターンを見つけ、入力変数を出力変数に対応付けることによって、予測や決定を行うことを学習する。
Unsupervised Learning is a type of machine learning that involves training a model using unlabeled data, where the desired output is unknown. The model learns to identify patterns and relationships in the data without being given specific instructions, and is often used for tasks such as clustering, anomaly detection, and dimensionality reduction.	教師なし学習は、機械学習の一種で、ラベルのないデータを使ってモデルを学習するものである。このモデルは、特定の指示を受けることなく、データのパターンと関係を識別することを学習し、クラスタリング、異常検出、次元削減などのタスクによく使用される。
Definitions provided by ChatGPT.	ChatGPTが提供する定義
ChatGPT is a large language model (LLM) that was developed by OpenAI and released to the wider public as part of a research preview in November 2022. Natural language processing and LLMs are subfields of artificial intelligence (AI) systems that are built on deep learning techniques and the training of neural networks on significant amounts of data. This allows LLMs to understand and generate natural language text.	ChatGPTは、OpenAIが開発し、2022年11月にリサーチプレビューの一環として広く一般に公開された大規模言語モデル（LLM）である。自然言語処理とLLMは、人工知能（AI）システムのサブフィールドであり、深層学習技術や、大量のデータに対するニューラルネットワークのトレーニングに基づいて構築されている。これにより、LLMは自然言語のテキストを理解し生成することができる。
Over recent years, the field has seen significant breakthroughs due in part to the rapid progress made in the development of supercomputers and deep learning algorithms. At the same time, an unprecedented amount of available data has allowed researchers to train their models on the vast input of information needed.	近年、スーパーコンピューターや深層学習アルゴリズムの開発が急速に進んだこともあり、この分野は大きなブレークスルーを見せている。同時に、かつてないほど大量の利用可能なデータにより、研究者は必要とされる膨大な情報の入力に対してモデルを訓練することができるようになった。
The LLM ChatGPT is based on the Generative Pre-trained Transformer (GPT) architecture. It was trained using a neural network designed for natural language processing on a dataset of over 45 terabytes of text from the internet (books, articles, websites, other text-based content), which in total included billions of words of text.	LLM ChatGPTは、Generative Pre-trained Transformer（GPT）アーキテクチャをベースにしている。インターネット上のテキスト（書籍、記事、ウェブサイト、その他のテキストベースのコンテンツ）から45テラバイトを超えるデータセットを対象に、自然言語処理用に設計されたニューラルネットワークを用いて訓練され、合計で数十億語のテキストを含んでいる。
The training of ChatGPT was carried out in two phases: the first involved unsupervised training, which included training ChatGPT to predict missing words in a given text to learn the structure and patterns of human language. Once pre-trained, the second phase saw ChatGPT fine-tuned through Reinforcement Learning from Human Feedback (RLHF), a supervised learning approach during which human input helped the model learn to adjust its parameters in order to better perform its tasks.	ChatGPTのトレーニングは2つのフェーズで行われた。1つ目は教師なしトレーニングで、与えられたテキストに欠けている単語を予測し、人間の言語の構造とパターンを学ぶためにChatGPTをトレーニングすることを含んでいる。第2段階では、人間のフィードバックによる強化学習（RLHF）により、ChatGPTの微調整を行いた。これは教師あり学習で、人間の入力により、モデルがより良いタスクを実行するためにパラメータを調整することを学習する。
The current publicly accessible model underlying ChatGPT, GPT-3.5, is capable of processing and generating human-like text in response to user prompts. Specifically, the model can answer questions on a variety of topics, translate text, engage in conversational exchanges (‘chatting’), and summarise text to provide key points. It is further capable of performing sentiment analysis, generating text based on a given prompt (i.e. writing a story or poem), as well as explaining, producing, and improving code in some of the most common programming languages (Python, Java, C++, JavaScript, PHP, Ruby, HTML, CSS, SQL). In its essence, then, ChatGPT is very good at understanding human input, taking into account its context, and producing answers that are highly usable.	現在公開されているChatGPTの基盤モデルであるGPT-3.5は、ユーザーのプロンプトに応答して人間のようなテキストを処理・生成することが可能である。具体的には、様々なトピックに関する質問への回答、テキストの翻訳、会話のやり取り（チャット）、重要なポイントを示すテキストの要約などを行うことができる。さらに、感情分析、プロンプトに基づくテキスト生成（物語や詩の作成）、一般的なプログラミング言語（Python、Java、C++、JavaScript、PHP、Ruby、HTML、CSS、SQL）によるコードの説明、作成、改良が可能である。つまり、ChatGPTは、人間の入力を理解し、その文脈を考慮した上で、ユーザビリティの高い答えを出すことに長けているのである。
In March 2023, OpenAI released for subscribers of ChatGPT Plus its latest model, GPT4. According to OpenAI, GPT-4 is capable of solving more advanced problems more accurately[1] . In addition, GPT-4 offers advanced API integration and can process, classify, and analyse images as input. Moreover, GPT-4 is claimed to be less likely to respond to requests for ‘disallowed content’ and more likely to produce factual responses than GPT-3.5 . Newer versions with greater functionalities and capabilities are expected to be released as the development and improvement of LLMs continues.	2023年3月、OpenAIはChatGPT Plusの加入者向けに、その最新モデルであるGPT4をリリースした。OpenAIによると、GPT-4は、より高度な問題をより正確に解くことができる[1]ようになったとのことである。また、GPT-4は高度なAPI連携を実現し、入力された画像を処理、分類、分析することができる。さらに、GPT-4はGPT-3.5と比較して、「許可されないコンテンツ」のリクエストに反応する可能性が低く、事実に基づいたレスポンスを生成する可能性が高いとされている。今後もLLMの開発・改良が進み、より高機能・高性能な新バージョンのリリースが期待される。
Limitations	制限事項
Still, the model has a number of important limitations that need to be kept in mind. The most obvious one relates to the data on which it has been trained: while updates are made on a constant basis, the vast majority of ChatGPT’s training data dates back to September 2021. The answers generated on the basis of this data do not include references to understand where certain information was taken from, and may be biased. Additionally, ChatGPT excels at providing answers that sound very plausible, but that are often inaccurate or wrong[3][ 4]. This is because ChatGPT does not fundamentally understand the meaning behind human language, but rather its patterns and structure on the basis of the vast amount of text with which it has been trained. This means answers are often basic, as the model struggles with producing advanced analysis of a given input[5] . Another key issue relates to the input itself, as often, the precise phrasing of the prompt is very important in getting the right answer out of ChatGPT. Small tweaks can quickly reveal different answers, or lead the model into believing it does not know the answer at all. This is also the case with ambiguous prompts, whereby ChatGPT typically assumes to understand what the user wants to know, instead of asking for further clarifications.	しかし、このモデルには、留意すべき重要な限界がいくつかある。最も明白なのは、学習させたデータに関するものである。更新は恒常的に行われているが、ChatGPTの学習データの大部分は2021年9月に遡ります。このデータに基づいて生成された回答は、特定の情報がどこから取得されたかを理解するための参照を含んでおらず、バイアスがかかっている可能性がある。さらに、ChatGPTは、非常にもっともらしく聞こえるが、不正確または間違っていることが多い回答を提供することを得意としている[3 ][4]。これは、ChatGPTが人間の言葉の意味を根本的に理解しているわけではなく、訓練された膨大な量のテキストに基づいて、そのパターンや構造を理解しているためである。つまり、与えられた入力に対して高度な分析を行うことに苦労しているため、回答は基本的なものになることが多いのである[5]。ChatGPTから正しい答えを引き出すには、プロンプトの正確な言い回しが非常に重要である。ちょっとした工夫で、すぐに違う答えを導き出したり、答えがわからないと思わせてしまったりすることがある。これは曖昧なプロンプトの場合も同様で、ChatGPTは通常、さらなる説明を求める代わりに、ユーザーが知りたいことを理解していると仮定する。
Finally, the biggest limitation of ChatGPT is self-imposed. As part of the model’s content moderation policy, ChatGPT does not answer questions that have been classified as harmful or biased. These safety mechanisms are constantly updated, but can still be circumvented in some cases with the correct prompt engineering. The following chapters describe in more detail how this is possible and what implications arise as a result.	最後に、ChatGPTの最大の限界は、自ら招いたものである。このモデルのコンテンツモデレーションポリシーの一環として、ChatGPTは有害またはバイアスと分類された質問には答えない。これらの安全機構は常に更新されているが、それでも正しいプロンプトエンジニアリングで回避できる場合もある。次の章では、どのようにしてこれが可能なのか、またその結果どのような影響が生じるのかについて、より詳細に説明する。
SAFEGUARDS, PROMPT ENGINEERING, JAILBREAKS	セーフガード、プロンプトエンジニアリング、ジェイルブレイク
Given the significant wealth of information to which ChatGPT has access, and the relative ease with which it can produce a wide variety of answers in response to a user prompt, OpenAI has included a number of safety features with a view to preventing malicious use of the model by its users. The Moderation endpoint assesses a given text input on the potential of its content being sexual, hateful, violent, or promoting selfharm, and restricts ChatGPT’s capability to respond to these types of prompts[6][7].	ChatGPTがアクセスできる情報は非常に豊富であり、ユーザーのプロンプトに対して様々な回答を比較的容易に生成できることから、OpenAIはユーザーによる悪意のある利用を防止するために、多くの安全機能を搭載している。モデレーションエンドポイントは、入力されたテキストが性的、憎悪的、暴力的、または自傷行為を助長する内容である可能性を評価し、ChatGPTがこれらのタイプのプロンプトに応答する機能を制限する[6][7]。

Many of these safeguards, however, can be circumvented fairly easily through prompt engineering. Prompt engineering is a relatively new concept in the field of natural language processing; it is the practice of users refining the precise way a question is asked in order to influence the output that is generated by an AI system. While prompt engineering is a useful and necessary component of maximising the use of AI tools, it can be abused in order to bypass content moderation limitations to produce potentially harmful content. While the capacity for prompt engineering creates versatility and added value for the quality of an LLM, this needs to be balanced with ethical and legal obligations to prevent their use for harm.	しかし、これらのセーフガードの多くは、プロンプトエンジニアリングによってかなり簡単に回避することができる。プロンプトエンジニアリングは、自然言語処理の分野では比較的新しい概念で、AIシステムが生成する出力に影響を与えるために、ユーザーが質問の正確な方法を改良することを指する。プロンプトエンジニアリングは、AIツールを最大限に活用するために有用かつ必要な要素であるが、コンテンツモデレーションの制限を回避するために悪用され、潜在的に有害なコンテンツが生成される可能性がある。プロンプト・エンジニアリングの能力は、LLMの品質に汎用性と付加価値をもたらするが、有害な用途での使用を防ぐための倫理的・法的義務とのバランスを取る必要がある。
LLMs are still at a relatively early stage of development, and as improvements are made, some of these loopholes are closed[8] . Given the complexity of these models, however, there is no shortage of new workarounds being discovered by researchers and threat actors. In the case of ChatGPT, some of the most common workarounds include the following:	LLMはまだ比較的初期の開発段階であり、改良が進めば、こうした抜け穴のいくつかが塞がれる[8]。しかし、これらのモデルの複雑さを考えると、研究者や脅威行為者によって発見される新しい回避策に事欠きません。ChatGPTの場合、最も一般的な回避策には以下のようなものがある：
► Prompt creation (providing an answer and asking ChatGPT to provide the corresponding prompt);	►プロンプトの作成（答えを提供し、対応するプロンプトを提供するようChatGPTに依頼する）；
► Asking ChatGPT to give the answer as a piece of code or pretending to be a fictional character talking about the subject;	►ChatGPTにコードの一部として答えを与えるよう依頼したり、架空のキャラクターがそのテーマについて話しているふりをする；
► Replacing trigger words and changing the context later;	►トリガーワードを置き換えて、後で文脈を変更する；
► Style/opinion transfers (prompting an objective response and subsequently changing the style/perspective it was written in);	►スタイル/オピニオントランスファー（客観的な回答を促し、その後に書かれたスタイル/パースペクティブを変更すること）；
► Creating fictitious examples that are easily transferrable to real events (i.e. by avoiding names, nationalities, etc.).	►現実の出来事に容易に移行できるような架空の例を作る（名前や国籍などを避けるなど）。
Some of the most advanced and powerful workarounds are sets of specific instructions aimed at jailbreaking the model. One of these is the so-called ‘DAN’ (‘Do Anything Now’) jailbreak, which is a prompt specifically designed to bypass OpenAI’s safeguards and lead ChatGPT to respond to any input, regardless of its potentially harmful nature. While OpenAI quickly closed this particular loophole, new and ever more complex versions of DAN have emerged subsequently, all designed to provide jailbreak prompts that can navigate through the safety mechanisms built into the model[9] . As of the time of writing of this report, no functional DAN was available.	最も高度で強力な回避策は、モデルを脱獄させることを目的とした特定の命令セットである。これは、OpenAIのセーフガードを回避するために特別に設計されたプロンプトで、ChatGPTは、潜在的に有害な性質に関係なく、あらゆる入力に反応するようになる。OpenAIはこの特別な抜け穴をすぐに閉鎖したが、その後、DANの新しい、より複雑なバージョンが出現し、すべてモデルに組み込まれた安全機構を通過できる脱獄プロンプトを提供するように設計されている[9]。本レポートの執筆時点では、機能的なDANは存在しない。
CRIMINAL USE CASES	犯罪の使用例
The release of GPT-4 was meant not only to improve the functionality of ChatGPT, but also to make the model less likely to produce potentially harmful output. Europol workshops involving subject matter experts from across Europol’s array of expertise identified a diverse range of criminal use cases in GPT-3.5. A subsequent check of GPT4, however, showed that all of them still worked. In some cases, the potentially harmful responses from GPT-4 were even more advanced.	GPT-4のリリースは、ChatGPTの機能を向上させるだけでなく、潜在的に有害な出力を生成する可能性を低くすることを意図している。ユーロポールの専門家が参加するワークショップでは、GPT-3.5で多様な犯罪ユースケースが確認された。しかし、その後GPT4で確認したところ、すべてのケースで動作することがわかりました。場合によっては、GPT-4の有害な可能性のある対応がさらに進んでいることもあった。
ChatGPT excels at providing the user with ready-to-use information in response to a wide range of prompts. If a potential criminal knows nothing about a particular crime area, ChatGPT can speed up the research process significantly by offering key information that can then be further explored in subsequent steps. As such, ChatGPT can be used to learn about a vast number of potential crime areas with no prior knowledge, ranging from how to break into a home, to terrorism, cybercrime and child sexual abuse. The identified use cases that emerged from the workshops Europol carried out with its experts are by no means exhaustive. Rather, the aim is to give an idea of just how diverse and potentially dangerous LLMs such as ChatGPT can be in the hands of malicious actors.	ChatGPTは、様々なプロンプトに対して、すぐに使える情報をユーザーに提供することに長けている。犯罪に巻き込まれる可能性のある人が、ある犯罪地域について何も知らない場合、ChatGPTは重要な情報を提供し、その後のステップでさらに調べることができるため、調査プロセスを大幅にスピードアップすることができる。このように、ChatGPTは、家庭への侵入方法からテロ、サイバー犯罪、児童性的虐待に至るまで、膨大な数の潜在的犯罪領域について、予備知識なしで学ぶために使用することができる。ユーロポールが専門家と行ったワークショップから生まれたユースケースは、決して網羅的なものではない。むしろ、ChatGPTのようなLLMが悪意ある行為者の手にかかると、どれほど多様で潜在的に危険なものになり得るかを示すことが目的である。
While all of the information ChatGPT provides is freely available on the internet, the possibility to use the model to provide specific steps by asking contextual questions means it is significantly easier for malicious actors to better understand and subsequently carry out various types of crime.	ChatGPTが提供する情報はすべてインターネット上で自由に入手できるが、文脈に沿った質問をすることで具体的な手順を示すことができるため、悪意のある行為者が様々な犯罪をより理解し、実行することが非常に容易になっている。
Fraud, impersonation, and social engineering	詐欺、なりすまし、ソーシャルエンジニアリング
ChatGPT’s ability to draft highly authentic texts on the basis of a user prompt makes it an extremely useful tool for phishing purposes. Where many basic phishing scams were previously more easily detectable due to obvious grammatical and spelling mistakes, it is now possible to impersonate an organisation or individual in a highly realistic manner even with only a basic grasp of the English language.	ChatGPTは、ユーザーからのプロンプトをもとに本人認証の高い文章を作成することができるため、フィッシング詐欺に非常に有効なツールとなっている。以前は、文法やスペルミスが目立つため、基本的なフィッシング詐欺の多くは簡単に見破ることができましたが、今では英語の基本的な知識しかなくても、非常にリアルな方法で組織や個人になりすますことが可能である。
Critically, the context of the phishing email can be adapted easily depending on the needs of the threat actor, ranging from fraudulent investment opportunities to business e-mail compromise and CEO fraud[10] . ChatGPT may therefore offer criminals new opportunities, especially for crimes involving social engineering, given its abilities to respond to messages in context and adopt a specific writing style. Additionally, various types of online fraud can be given added legitimacy by using ChatGPT to generate fake social media engagement, for instance to promote a fraudulent investment offer.	また、フィッシングメールの文脈は、詐欺的な投資機会からビジネスメールの漏洩やCEO詐欺まで、脅威者のニーズに応じて容易に変更することができる[10]。そのため、ChatGPTは、文脈に応じたメッセージへの対応や特定の文体を採用する能力を備えており、特にソーシャルエンジニアリングを伴う犯罪において、犯罪者に新たな機会を提供する可能性がある。また、ChatGPTを利用して偽のソーシャルメディアエンゲージメントを生成することで、さまざまなタイプのオンライン詐欺に正当性を持たせることができる（例えば、詐欺的な投資案件を宣伝するためなど）。
To date, these types of deceptive communications have been something criminals would have to produce on their own. In the case of mass-produced campaigns, targets of these types of crime would often be able to identify the inauthentic nature of a message due to obvious spelling or grammar mistakes or its vague or inaccurate content. With the help of LLMs, these types of phishing and online fraud can be created faster, much more authentically, and at significantly increased scale.	これまで、このような欺瞞的なコミュニケーションは、犯罪者が自ら作り出す必要があった。大量生産されたキャンペーンの場合、スペルミスや文法ミス、曖昧で不正確な内容から、この種の犯罪のターゲットがメッセージの真偽を見極めることができることが多い。LLMを使えば、このようなフィッシングやオンライン詐欺を、より早く、より本物に近い形で、しかも大幅に規模を拡大して作成することができる。
The ability of LLMs to detect and re-produce language patterns does not only facilitate phishing and online fraud, but can also generally be used to impersonate the style of speech of specific individuals or groups. This capability can be abused at scale to mislead potential victims into placing their trust in the hands of criminal actors.	LLMの言語パターンの検出と再作成能力は、フィッシングやオンライン詐欺を容易にするだけでなく、一般的に特定の個人やグループのスピーチスタイルを模倣するために使用することができる。この機能は、潜在的な被害者を欺き、犯罪者の手に信頼を委ねるために、大規模に悪用される可能性がある。
In addition to the criminal activities outlined above, the capabilities of ChatGPT lend themselves to a number of potential abuse cases in the area of terrorism, propaganda, and disinformation. As such, the model can be used to generally gather more information that may facilitate terrorist activities, such as for instance, terrorism financing or anonymous file sharing.	上記の犯罪行為に加え、ChatGPTの機能は、テロリズム、プロパガンダ、偽情報の分野でも多くの潜在的な悪用ケースに適している。例えば、テロ資金調達や匿名のファイル共有など、テロ活動を促進する可能性のある情報をより多く収集するために使用することが可能である。
ChatGPT excels at producing authentic sounding text at speed and scale. This makes the model ideal for propaganda and disinformation purposes, as it allows users to generate and spread messages reflecting a specific narrative with relatively little effort. For instance, ChatGPT can be used to generate online propaganda on behalf of other actors to promote or defend certain views that have been debunked as disinformation or fake news[11] .	ChatGPTは、スピードとスケールで本人認証のあるテキストを作成することに優れている。そのため、特定のシナリオを反映したメッセージを比較的少ない労力で生成・拡散することができ、プロパガンダや偽情報の作成に最適なモデルである。例えば、ChatGPTは、偽情報やフェイクニュースとして否定された特定の見解を促進または擁護するために、他のアクターに代わってオンラインプロパガンダを生成するために使用することができる[11]。
These examples provide merely a glimpse of what is possible. While ChatGPT refuses to provide answers to prompts it considers obviously malicious, it is possible – similar to the other use cases detailed in this report – to circumvent these restrictions. Not only would this type of application facilitate the perpetration of disinformation, hate speech and terrorist content online - it would also allow users to give it misplaced credibility, having been generated by a machine and, thus, possibly appearing more objective to some than if it was produced by a human[12] .	これらの例は、何が可能かを垣間見ることができるに過ぎません。ChatGPTは、明らかに悪意があると思われるプロンプトへの回答を拒否しているが、本レポートで詳述した他のユースケースと同様に、これらの制限を回避することは可能である。このようなアプリケーションは、偽情報、ヘイトスピーチ、テロリストのコンテンツをネット上で拡散させるだけでなく、機械によって生成されたため、人間が生成した場合よりも客観的に見える可能性があるとして、ユーザーに誤った信頼性を与えることも可能になる[12]。
Cybercrime	サイバー犯罪
In addition to generating human-like language, ChatGPT is capable of producing code in a number of different programming languages. As with the other use cases, it is possible to generate a range of practical outputs in a matter of minutes by entering the right prompts. One of the crime areas for which this could have a significant impact is cybercrime. With the current version of ChatGPT it is already possible to create basic tools for a variety of malicious purposes. Despite the tools being only basic (i.e. to produce phishing pages or malicious VBA scripts), this provides a start for cybercrime as it enables someone without technical knowledge to exploit an attack vector on a victim’s system.	ChatGPTは、人間のような言語を生成するだけでなく、多くの異なるプログラミング言語のコードを生成することが可能である。他の使用例と同様に、適切なプロンプトを入力することで、数分のうちにさまざまな実用的なアウトプットを生成することが可能である。これが大きな影響を与える可能性のある犯罪分野のひとつに、サイバー犯罪がある。ChatGPTの現バージョンでは、さまざまな悪意のある目的のための基本的なツールを作成することがすでに可能である。このツールは基本的なもの（フィッシングページや悪意のあるVBAスクリプトの作成など）であるにもかかわらず、専門知識を持たない人が被害者のシステム上で攻撃ベクトルを悪用できるため、サイバー犯罪のきっかけになる。
This type of automated code generation is particularly useful for those criminal actors with little to no knowledge of coding and development. Critically, the safeguards preventing ChatGPT from providing potentially malicious code only work if the model understands what it is doing. If prompts are broken down into individual steps, it is trivial to bypass these safety measures.	このような自動コード生成は、コーディングや開発に関する知識がほとんどない犯罪者にとっては特に有効である。重要なことは、ChatGPTが悪意のあるコードを提供することを防ぐセーフガードは、モデルが何をしているかを理解している場合にのみ機能するということである。プロンプトが個々のステップに分割されている場合、これらの安全対策をバイパスすることは些細なことである。
While the tools produced by ChatGPT are still quite simple, the active exploitation of it by threat actors provides a grim outlook in view of inevitable improvements of such tools in the coming years. In fact, ChatGPT’s ability to transform natural language prompts into working code was quickly exploited by malicious actors to create malware. Shortly after the public release of ChatGPT, a Check Point Research blog post of December 2022 demonstrated how ChatGPT can be used to create a full infection flow, from spear-phishing to running a reverse shell that accepts commands in English[13] .	ChatGPTが作成したツールはまだ非常にシンプルであるが、脅威行為者によって積極的に利用されていることから、今後数年間でこのようなツールの改善が避けられないことを考えると、厳しい見通しを立てることができる。実際、ChatGPTの自然言語プロンプトを動作するコードに変換する機能は、悪意のあるアクターによってマルウェアを作成するためにすぐに悪用された。ChatGPTの一般公開後まもなく、2022年12月のCheck Point Researchのブログ記事で、スピアフィッシングから英語でのコマンドを受け付けるリバースシェルの実行まで、ChatGPTを使用して完全な感染フローを作成できることが示された[13]。
The capabilities of generative models such as ChatGPT to assist with the development of code is expected to further improve over time. GPT-4, the latest release, has already made improvements over its previous versions and can, as a result, provide even more effective assistance for cybercriminal purposes. The newer model is better at understanding the context of the code, as well as at correcting error messages and fixing programming mistakes. For a potential criminal with little technical knowledge, this is an invaluable resource. At the same time, a more advanced user can exploit these improved capabilities to further refine or even automate sophisticated cybercriminal modi operandi.	ChatGPTのような生成モデルがコードの開発を支援する機能は、時間の経過とともにさらに向上することが予想される。最新版のGPT-4は、すでに以前のバージョンよりも改良されており、その結果、サイバー犯罪の目的に対してより効果的な支援を提供することができるようになった。新型は、コードの文脈を理解し、エラーメッセージを修正し、プログラミングミスを修正することに優れている。技術的な知識の乏しい潜在的な犯罪者にとって、これは貴重なリソースとなる。同時に、より高度なユーザーは、これらの向上した機能を利用して、高度なサイバー犯罪の手口をさらに洗練させたり、自動化したりすることも可能である。
IMPACT AND OUTLOOK	影響と展望
The use cases outlined in this report provide merely a glimpse of what LLMs such as ChatGPT are capable of today, and hint at what may still be to come in the near future. While some of these examples are basic, they provide starting points that, with the underlying technology expected to improve, can become much more advanced and as a result dangerous. Other use cases, such as the production of phishing emails, humanlike communication and disinformation, are already worryingly sophisticated. These, too, are expected to become even more authentic, complex, and difficult to discern from human-produced output. Efforts aimed at detecting text generated by AI-models are ongoing and may be of significant use in this area in the future. At the time of writing of this report, however, the accuracy of known detection tools was still very low[14] .	本レポートで紹介した使用例は、ChatGPTのようなLLMが今日できることのほんの一端に過ぎず、近い将来に何が起こるかを示唆するものである。これらの事例のいくつかは基本的なものであるが、基礎技術の向上により、より高度で危険なものになる可能性のある出発点を示している。フィッシングメールの作成、人間そっくりのコミュニケーション、偽情報など、他の使用例はすでに心配になるくらい洗練されている。これらもまた、より本物らしく、より複雑で、人間が作成したものと見分けがつきにくいものになると予想される。AIモデルによって生成されたテキストを検出することを目的とした取り組みが進行中であり、将来的にこの分野で重要な役割を果たすかもしれない。しかし、この報告書の執筆時点では、既知の検出ツールの精度はまだ非常に低い[14]。
One of the greatest impacts of this type of technology revolves around the concept of ‘explorative communication’, that is to say the possibility to quickly gather key information on an almost limitless array of subjects by asking simple questions. Being able to dive deeper into topics without having to manually search and summarise the vast amount of information found on classical search engines can speed up the learning process significantly, enabling a much quicker gateway into a new field than was the case previously.	この種の技術がもたらす最も大きな影響のひとつは、「探索的コミュニケーション」、つまり、簡単な質問をすることによって、ほとんど無限のテーマについて重要な情報を素早く収集することができる、という概念にある。従来の検索エンジンから得られる膨大な情報を手作業で検索し、要約することなく、トピックを深く掘り下げることができれば、学習プロセスを大幅にスピードアップし、新しい分野への入門を従来よりもはるかに早めることができる。
The impact these types of models might have on the work of law enforcement can already be anticipated. Criminals are typically quick to exploit new technologies and were fast seen coming up with concrete criminal exploitations, providing first practical examples mere weeks after the public release of ChatGPT.	このようなモデルが法執行機関の業務に与える影響は、すでに予想されている。犯罪者は通常、新しい技術を利用するのが早く、ChatGPTの一般公開からわずか数週間で最初の実用例を提供し、具体的な犯罪利用を思いつくのが早く見られました。
As the workshops demonstrated, safeguards put in place to prevent the malicious use of ChatGPT can easily be circumvented through prompt engineering. As the limiting rules put in place by creators of these types of models are put in place by humans, they require input from subject matter experts to ensure that they are effective. Organisations tasked with preventing and combatting crimes such as those that may result from the abuse of LLMs should be able to help improve these safeguards. This includes not only law enforcement, but also NGOs working in areas such as protecting the safety of children online.	ワークショップで示されたように、ChatGPTの悪意ある利用を防ぐために設けられたセーフガードは、迅速なエンジニアリングによって容易に回避される可能性がある。この種のモデルの作成者が設定した制限ルールは、人間が設定したものであるため、その効果を保証するためには、専門家の意見が必要である。LLMの悪用に起因するような犯罪の予防と対策に取り組む組織は、こうした保護措置の改善に貢献することができるはずである。これには、法執行機関だけでなく、オンライン上の子どもの安全保護などの分野で活動するNGOも含まれる。
In response to some of the public pressure to ensure that generative AI models are safe, Partnership on AI (PAI), a research non-profit organisation, established a set of guidelines on how to produce and share AI-generated content responsibly[15] . These guidelines were signed up to by a group of ten companies, including OpenAI, pledging to adhere to a number of best practices. These include informing users that they are interacting with AI-generated content (i.e. through watermarks, disclaimers, or traceable elements). To what extent this will prevent practical abuse such as outlined in this report is unclear. In addition, questions remain as to how the accuracy of content produced by generative AI models can effectively be ensured, and how users can understand where information comes from in order to verify it.	AI生成モデルの安全性を確保しようという世論の圧力に応え、研究非営利団体であるPartnership on AI（PAI）は、AI生成コンテンツを責任を持って制作・共有する方法に関する一連のガイドラインを制定した[15]。このガイドラインは、OpenAIを含む10社のグループによって署名され、多くのベストプラクティスを遵守することを誓約している。その中には、AIが生成したコンテンツに触れていることをユーザーに知らせる（透かし、免責事項、追跡可能な要素など）ことも含まれている。これによって、本レポートで説明したような現実的な悪用がどの程度防げるかは不明である。また、AIが生成するコンテンツの正確性をどのように担保するのか、ユーザーが情報の出所を理解し、検証することができるのか、疑問が残ります。
At the same time, the European Union is finalising legislative efforts aimed at regulating AI systems under the upcoming AI Act. While there have been some suggestions that general purpose AI systems such as ChatGPT should be included as high risk systems, and as a result meet higher regulatory requirements, uncertainty remains as to how this could practically be implemented.	一方、欧州連合（EU）では、AIシステムの規制を目的とした「AI法」の制定に向けた法整備が進められている。ChatGPTのような汎用AIシステムもハイリスクシステムに含まれ、その結果、より高い規制要件を満たすべきだという意見もあるが、これが実際にどのように実施されるかは不透明なままである。
The already-seen impact for law enforcement, and the inevitability that the technology will improve, raises the questions of what the future looks like for LLMs. Relatively soon after ChatGPT grew into an internet sensation, Microsoft announced an investment of USD 10 billion into ChatGPT in January 2023. Very quickly after, the company presented first efforts at integrating LLM services into the company’s various applications, notably as a new version of the search engine Bing[16] . At the same time, other competitors such as Google have announced the release of their own conversational AI[17] , called BARD, with others likely to follow. This raises the questions of how much more powerful these types of models may become with the backing of major tech companies, as well as how the private sector aims to address the abuse scenarios outlined in this report.	法執行機関への影響はすでに確認されており、技術の向上は避けられないことから、LLMの将来はどうなるのかという疑問が投げかけられている。ChatGPTがインターネット上で話題になった比較的すぐ後、マイクロソフトは2023年1月にChatGPTに100億米ドルを投資することを発表した。その後すぐに、同社はLLMサービスを同社の様々なアプリケーションに統合する最初の取り組みを発表し、特に検索エンジンのBingの新バージョンとして発表した[16]。同時に、Googleなどの競合他社は、BARDと呼ばれる独自の会話型AIのリリースを発表しており[17]、他の競合他社も追随する可能性がある。このことは、大手ハイテク企業の支援によって、この種のモデルがどれほど強力になるのか、また、民間企業が本レポートで説明した悪用シナリオにどのように対処することを目指しているのかという疑問を提起している。
Going forward, the universal availability of large language models may pose other challenges as well: the integration of other AI services (such as for the generation of synthetic media) could open up an entirely new dimension of potential applications. One of these include multimodal AI systems, which combine conversational chat bots with systems that can produce synthetic media, such as highly convincing deepfakes, or include sensory abilities, such as seeing and hearing[18] . Other potential issues include the emergence of ‘dark LLMs’, which may be hosted on the dark web to provide a chat bot without any safeguards, as well as LLMs that are trained on particular – perhaps particularly harmful – data. Finally, there are uncertainties regarding how LLM services may process user data in the future – will conversations be stored and potentially expose sensitive personal information to unauthorised third parties? And if users are generating harmful content, should this be reported to law enforcement authorities?	今後、大規模な言語モデルの普遍的な利用が可能になると、他の課題も発生する可能性がある。他のAIサービス（合成メディアの生成など）との統合により、まったく新しい次元の潜在的なアプリケーションを開拓することができる。例えば、会話型のチャットボットと、説得力のあるディープフェイクなどの合成メディアを生成するシステムや、視覚や聴覚などの感覚的な能力を持つシステムを組み合わせたマルチモーダルAIシステムなどがその一つである[18]。その他の潜在的な問題としては、ダークウェブ上でホストされ、安全対策なしにチャットボットを提供する「ダークLLM」の出現や、特定の（おそらく特に有害な）データに基づいて訓練されたLLMがある。最後に、LLMサービスが将来的にどのようにユーザーデータを処理するかについては、不確実性がある - 会話が保存され、権限のない第三者に機密性の高い個人情報を公開する可能性があるのか？また、ユーザーが有害なコンテンツを生成している場合、これを法執行機関に報告する必要があるのだろうか。
RECOMMENDATIONS	提言
As the impact of LLMs such as ChatGPT is expected to grow in the near future, it is crucial that the law enforcement community prepares for how its positive and negative applications may affect their daily business. While the workshops with Europol’s diverse set of experts focused on identifying potentially malicious use cases of ChatGPT that are already possible today, the purpose was also to extract some of these key findings and identify a number of recommendations on how law enforcement can ensure better preparedness for what may still be to come.	ChatGPTのようなLLMの影響は近い将来大きくなると予想されるため、法執行機関は、その正負の適用が日常業務にどのような影響を与えるかについて準備することが極めて重要である。ユーロポールの多様な専門家とのワークショップでは、現在すでに可能なChatGPTの悪意のある使用例を特定することに焦点を当てましたが、その目的は、これらの重要な発見をいくつか抽出し、法執行機関がまだ来るかもしれないものに対してより良い準備を確保する方法に関するいくつかの推奨事項を特定することでもあった。
► Given the potential harm that can result from malicious use of LLMs, it is of utmost importance that awareness is raised on this matter, to ensure that any potential loopholes are discovered and closed as quickly as possible.	►LLMの悪意ある使用から生じる潜在的な被害を考えると、この問題に対する認識を高め、潜在的な抜け穴を発見し、できるだけ早く閉鎖することが最も重要である。
► LLMs have a real impact that can be seen already. Law enforcement agencies need to understand this impact on all potentially affected crime areas to be better able to predict, prevent, and investigate different types of criminal abuse.	►LLMは、すでに目に見える形で実際の影響を及ぼしている。法執行機関は、潜在的に影響を受けるすべての犯罪領域におけるこの影響を理解し、さまざまなタイプの犯罪的虐待を予測、防止、調査する能力を高める必要がある。
► Law enforcement officers need to start developing the skills necessary to make the most of models such as ChatGPT. This means understanding how these types of systems can be leveraged to build up knowledge, expand existing expertise and understand how to extract the required results. This will imply that officers need to be able to assess the content produced by generative AI models in terms of accuracy and potential biases.	►法執行機関は、ChatGPTのようなモデルを最大限に活用するために必要なスキルの開発に着手する必要がある。これは、この種のシステムをどのように活用して知識を蓄積し、既存の専門知識を拡張し、必要な結果を引き出す方法を理解することを意味する。つまり、役員は、生成AIモデルによって生成されたコンテンツを、正確さと潜在的なバイアスの観点から評価できるようになる必要があるということである。
► As the technology sector makes significant investments into this area, it is critical to engage with relevant stakeholders to ensure that relevant safety mechanisms remain a key consideration that are constantly being improved.	►テクノロジー部門がこの分野に多大な投資を行う中、関連する安全機構が常に改善される重要な検討事項であり続けることを保証するために、関連する利害関係者と関わることが重要である。
► Law enforcement agencies may want to explore possibilities of customised LLMs trained on their own, specialised data, to leverage this type of technology for more tailored and specific use, provided Fundamental Rights are taken into consideration. This type of usage will require the appropriate processes and safeguards to ensure that sensitive information remains confidential, as well as that any potential biases are thoroughly investigated and addressed prior to being put into use.	►法執行機関は、基本的人権を考慮した上で、この種の技術をよりカスタマイズされた特定の用途に活用するために、独自の特殊なデータに基づいて訓練されたカスタマイズLLMの可能性を模索することを望むかもしれない。このような利用には、機密情報の機密性を確保し、潜在的なバイアスを徹底的に調査して対処するための適切なプロセスと保護措置が必要である。
CONCLUSION	結論
This report aims to provide an overview of the key results from a series of expert workshops on potential misuse of ChatGPT held with subject matter experts at Europol. The use cases detailed provide a first idea of the vast potential LLMs already have, and give a glimpse of what may still be to come in the future. ChatGPT is already able to facilitate a significant number of criminal activities, ranging from helping criminals to stay anonymous to specific crimes including terrorism and child sexual exploitation.	本報告書は、欧州警察機構（Europol）の専門家によるChatGPTの悪用可能性に関する一連のワークショップで得られた主要な結果の概要を提供することを目的としている。ユースケースは、LLMが持つ膨大な可能性を示すとともに、将来的に何が起こりうるかを垣間見ることができるものである。ChatGPTはすでに、犯罪者の匿名性の確保から、テロや児童の性的搾取を含む特定の犯罪に至るまで、相当数の犯罪行為を促進することができる。
While some of the output is still quite basic, upcoming iterations of this and other models are only going to improve on what is already possible. The next iterations of LLMs will have access to more data, be able to understand and solve more sophisticated problems, and potentially integrate with a vast range of other applications. At the same time, it will be crucial to monitor potential other branches of this development, as dark LLMs trained to facilitate harmful output may become a key criminal business model of the future. This poses a new challenge for law enforcement, whereby it will become easier than ever for malicious actors to perpetrate criminal activities with no necessary prior knowledge.	一部の出力はまだ非常に基本的なものであるが、このモデルや他のモデルの今後の反復は、すでに可能なことをさらに改善することになるだろう。LLMの次の世代は、より多くのデータにアクセスし、より高度な問題を理解し解決できるようになり、他の膨大なアプリケーションと統合できる可能性がある。同時に、有害な出力を促進するように訓練された闇のLLMが、将来の重要な犯罪ビジネスモデルになる可能性があるため、この開発の別の可能性を監視することが極めて重要になる。このことは法執行機関にとって新たな課題であり、悪意のある行為者が必要な予備知識を持たずに犯罪行為を行うことがこれまで以上に容易になることを意味する。
As technology progresses, and new models become available, it will become increasingly important for law enforcement to stay at the forefront of these developments to anticipate and prevent abuse, as well as to ensure potential benefits can be taken advantage of. This report is a first exploration of this emerging field. Given the rapid pace of this technology, it remains critical that subject matter experts take this research further and dive deeper if they are to grasp its full potential.	技術が進歩し、新しいモデルが利用可能になるにつれ、法執行機関は、悪用を予測・防止し、潜在的な利益を確実に利用できるよう、こうした開発の最前線に立ち続けることがますます重要になるだろう。本報告書は、この新しい分野を初めて調査したものである。この技術が急速に発展していく中で、その可能性を最大限に引き出すためには、専門家がこの研究をさらに進め、深く掘り下げていくことが重要である。

[1] OpenAI 2023, GPT-4, accessible at https://openai.com/product/gpt-4.

[2] Open AI 2023, GPT-4 System Card, accessible at https://cdn.openai.com/papers/gpt-4-system-card.pdf.

[3] Engineering.com 2023, ChatGPT Has All the Answers – But Not Always the Right Ones, accessible at https://www.engineering.com/story/chatgpt-has-all-the-answers-but-not-always-the-right-ones.

[4] Vice 2022, Stack Overflow Bans ChatGPT For Constantly Giving Wrong Answers, accessible at https://www.vice.com/en/article/wxnaem/stack-overflow-bans-chatgpt-for-constantly-giving-wrong-answers.

[5] NBC News 2023, ChatGPT passes MBA exam given by a Wharton professor, accessible at https://www.nbcnews.com/tech/tech-news/chatgpt-passes-mba-exam-wharton-professor-rcna67036.

[6] OpenAI 2023, New and improved content moderation tooling, accessible at https://openai.com/blog/new-andimproved-content-moderation-tooling/.

[7] OpenAI 2023, New and improved content moderation tooling, accessible at https://openai.com/blog/new-andimproved-content-moderation-tooling/.

[8] OpenAI 2023, ChatGPT – Release Notes, accessible at https://help.openai.com/en/articles/6825453-chatgpt-releasenotes.

[9] The Washington Post 2023, The clever trick that turns ChatGPT into its evil twin, accessible at https://www.washingtonpost.com/technology/2023/02/14/chatgpt-dan-jailbreak/.

[10] WithSecure 2023, Creatively malicious prompt engineering, accessible at https://labs.withsecure.com/publications/creatively-malicious-prompt-engineering.

[11] NewsGuard 2023, Misinformation Monitor: January 2023, accessible at https://www.newsguardtech.com/misinformation-monitor/jan-2023/.

[12] Fortune 2023, It turns out that ChatGPT is really good at creating online propaganda: ‘I think what’s clear is that in the wrong hands there’s going to be a lot of trouble’, accessible at https://fortune.com/2023/01/24/chatgpt-open-aionline-propaganda/.

[13] Check Point 2023, OPWNAI: AI that can save the day or hack it away, accessible at https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/.

[14] The Conversation 2023, We pitted ChatGPT against tools for detecting AI-written text, and the results are troubling, accessible at https://theconversation.com/we-pitted-chatgpt-against-tools-for-detecting-ai-written-text-and-theresults-are-troubling-199774 .

[15] Partnership on AI 2023, The Need for Guidance, accessible at https://syntheticmedia.partnershiponai.org/?mc_cid=6b0878acc5&mc_eid=c592823eb7#the_need_for_guidance.

[16] Microsoft 2023, Introducing the new Bing, accessible at https://www.bing.com/new.

[17] Google 2023, An important step on our AI journey, accessible at https://blog.google/technology/ai/bard-google-aisearch-updates/https://blog.google/technology/ai/bard-google-aisearch-updates/ .

[18] MIT Technology Review 2021, AI armed with multiple senses could gain more flexible intelligence, accessible at https://www.technologyreview.com/2021/02/24/1018085/multimodal-ai-vision-language/.

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

● まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.03.14 米国商工会議所人工知能報告書

・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023（ドラフト）敵対的機械学習：攻撃と防御の分類と用語集

・2023.03.08 米国情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

・2023.01.27 NIST AIリスクフレームワーク

・2022.12.05 日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

・2022.11.11 NIST ホワイトペーパー【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.10.07 米国科学技術政策局 AI権利章典の青写真

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク（第２ドラフト）とそのプレイブック

・2022.08.19 NIST ホワイトペーパー（ドラフト）コンテキストにおけるAI/MLバイアスの緩和

・2022.07.31 スタンフォード大学 AI監査のアイデア募集賞金総額は約1000万円 (^^) (2022.07.11)

・2022.07.21 米国国土安全保障省検査局米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.06.02 米国 GAO 消費者保護：議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.17 AIサプライチェーンリスク（米国下院科学・宇宙・技術委員会での証言から）(2022.05.11)

・2022.04.30 米国 GAO ブログ人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.20 米国商務省国家AI諮問委員会に27名を任命

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク（初期ドラフト）

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2022.03.20 米国ピュー研究所 AIと人間強化についての調査

・2022.02.08 米国下院アルゴリズム説明責任法案 2022

・2021.12.23 CSET AIと偽情報キャンペーンの未来パート1：RICHDATAフレームワーク

・2021.12.23 米国購買担当職員に対するAIトレーニング法が上院を通過

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.05.10 米国連邦政府人工知能イニシアティブ

・2021.04.21 U.S. FTC（連邦取引委員会）のブログ会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.31 米国 CSET AI安全性の主要概念：概要

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.09.12 2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官

・2020.08.21 NISTはAIに自己説明を求める？（説明可能な人工知能の4原則）

・2020.06.15 カーネギーメロン大学ソフトウェア研究所 AIエンジニアリングのリスク管理の視点

・2020.05.04 米国国防省と人工知能（戦略と倫理）

日本

・2022.08.31 産総研「機械学習品質マネジメントガイドライン第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)

・2022.08.09 経済安全保障関係「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について（報告）」のサイバーセキュリティ関係...

・2022.07.26 総務省 AIネットワーク社会推進会議「報告書2022」

・2022.05.02 内閣府 AI戦略2022 (2022.04.22)

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

・2022.02.17 総務省「AIを用いたクラウドサービスに関するガイドブック」の公表＋AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針（ASP・SaaS編）

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

・2021.08.07 総務省 AIネットワーク社会推進会議「報告書2021」の公表

・2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生　　 AI 原則は機能するか？―非拘束的原則から普遍的原則への道筋 by 新保史生先生

中国...

・2022.12.23 中国インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国インターネット情報サービス深層合成管理規定（深層合成で作ったものにはマークを...）(2022.11.25)

・2022.08.15 中国国家サイバースペース管理局インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.04.25 中国人工知能白書 2022 (2022.04.12)

・2022.01.30 中国国家サイバースペース管理局意見募集インターネット情報サービスの深層合成の管理に関する規定（意見募集稿）

・2022.01.05 中国インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国意見募集国家サイバースペース管理局「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

英国...

・2022.12.10 英国データ倫理・イノベーションセンター「業界温度チェック：AI保証の障壁と実現要因」

・2022.11.06 英国データ倫理・イノベーションセンターデータおよびAIに対する国民の意識：トラッカー調査（第2回）

・2022.10.19 イングランド銀行「第2回調査英国の金融業界における機械学習」とディスカッションペーパー「人工知能と機械学習」についての意見募集 (2022.10.11)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.05.30 英国情報コミッショナー顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表（AI認証制度？）

・2021.04.21 英国政府データ倫理とイノベーションセンターのブログ　AIの保証についての3つの記事

・2021.09.24 英国国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

欧州他...

・2023.03.30 欧州ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.01.08 ノルウェー個人データ保護局 AI利用における透明性についての報告書 (2022.12.21)

・2022.12.21 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.23 ⽇欧産業協⼒センター欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例（ハンガリー銀行）

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる：実装からのインサイト

・2022.05.05 フランス CNIL AIについてのリンク集 (2022.04.05)

・2022.04.20 AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

・2021.12.15 ENISA 機械学習アルゴリズムの保護

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州ビクトリア州　人工知能とプライバシーに関する報告書（２つ）

・2021.09.09 紹介 AIインシデントデータベース

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回サイバー犯罪に関する白浜シンポジウムの発表資料

・2020.05.01　（人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.28 EU Ethics Guidelines for Trustworthy AI（信頼できるAIのためのEU倫理ガイドライン）

・2020.02.27「AI倫理に関する現状」芳田千尋氏

2023.03.30 05:02 in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.03.29

米国司法省世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

こんにちは、丸山満彦です。

司法省がBreachForumsの創設者を逮捕し、フォーラムを破壊したと報告しているんですよね。。。

日本でも、サンリオの人気キャラクターのポムポムプリンを名乗る...ってニュースになってますよね。。。

⚫︎ Department of Justice: DOJ

・2023.03.24 Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation

Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation	司法省、世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊したことを発表
FBI Disrupts BreachForums Marketplace for Hacked and Stolen Data	FBI、ハッキングされ盗まれたデータのマーケットプレイス「BreachForums」を破壊する
The founder of BreachForums made his initial appearance today in the Eastern District of Virginia on a criminal charge related to his alleged creation and administration of a major hacking forum and marketplace for cybercriminals that claimed to have more than 340,000 members as of last week. In parallel with his arrest on March 15, the FBI and Department of Health and Human Services Office of Inspector General (HHS-OIG) have conducted a disruption operation that caused BreachForums to go offline.	BreachForumsの創設者は、先週時点で34万人以上の会員を有するとされる大規模なハッキングフォーラムおよびサイバー犯罪者のためのマーケットプレイスの創設・運営に関連する刑事告発について、本日バージニア州東部地区で最初の出廷を行いた。3月15日の逮捕と並行して、FBIと米保健福祉省監察官室（HHS-OIG）は、BreachForumsをオフラインにする破壊工作を実施した。
According to court documents unsealed today, Conor Brian Fitzpatrick, 20, of Peekskill, New York, allegedly operated BreachForums as a marketplace for cybercriminals to buy, sell, and trade hacked or stolen data and other contraband since March 2022. Among the stolen items commonly sold on the platform were bank account information, social security numbers, other personally identifying information (PII), means of identification, hacking tools, breached databases, services for gaining unauthorized access to victim systems, and account login information for compromised online accounts with service providers and merchants.	本日公開された法廷文書によると、ニューヨーク州ピークスキル在住のコナー・ブライアン・フィッツパトリック（20）は、2022年3月以降、サイバー犯罪者がハッキングまたは盗まれたデータおよびその他の禁制品を売買するマーケットプレイスとしてBreachForumsを運営していたとされている。同プラットフォームで一般的に販売されている盗品の中には、銀行口座情報、社会保障番号、その他の個人識別情報（PII）、識別手段、ハッキングツール、侵害されたデータベース、被害者システムへの不正アクセスを得るためのサービス、サービスプロバイダーや商人の侵害されたオンラインアカウントのアカウントログイン情報などが含まれていた。
“Today, we continue our work to dismantle key players in the cybercrime ecosystem,” said Deputy Attorney General Lisa O. Monaco. “Like its predecessor RaidForums, which we took down almost a year ago, BreachForums bridged the gap between hackers hawking pilfered data and buys eager to exploit it. All those operating in dark net markets should take note: Working with our law enforcement partners, we will take down illicit forums and bring administrators to justice in U.S. courtrooms.”	リサ・O・モナコ副司法長官は、次のように述べている。「今日も、サイバー犯罪のエコシステムにおける主要なプレイヤーを解体するための活動を続けている。ほぼ1年前に削除した前身のRaidForumsと同様に、BreachForumsは、盗んだデータを売り込むハッカーと、それを利用しようとする買い手の間のギャップを埋めていた。ダークネット市場で活動するすべての人は注意すること。我々は法執行機関のパートナーと協力し、違法なフォーラムを取り下げ、米国の法廷で管理者を裁く。」
“People expect that their online data will be protected, and the Department of Justice is committed to doing just that,” said Assistant Attorney General Kenneth A. Polite, Jr. of the Criminal Division. “We must and will remain vigilant to the threat posed by those who attempt to undermine our digital security. We will continue to disrupt the forums that facilitate the theft and distribution of personal information and prosecute those responsible.”	刑事部のKenneth A. Polite, Jr.検事補は、つぎのように次のように述べている。「人々はオンラインデータが保護されることを期待しており、司法省はそれを実現するために尽力している。我々は、デジタル・セキュリティーを弱体化させようとする者たちがもたらす脅威に警戒し続けなければならないし、これからも警戒し続けるだろう。我々は、個人情報の窃盗と配布を促進するフォーラムを破壊し、責任者を起訴し続ける。」
Fitzpatrick’s alleged victims have included millions of U.S. citizens and hundreds of U.S. and foreign companies, organizations, and government agencies. Some of the stolen datasets contained the sensitive information of customers at telecommunication, social media, investment, health care services, and internet service providers. For instance, on Jan. 4, a BreachForums user posted the names and contact information for approximately 200 million users of a major U.S.-based social networking site. Further, on Dec. 18, 2022, another BreachForums user posted details of approximately 87,760 members of InfraGard, a partnership between the FBI and private sector companies focused on the protection of critical infrastructure.	フィッツパトリックの被害者とされる人々には、数百万人の米国市民と数百の米国および外国の企業、組織、政府機関が含まれている。盗まれたデータセットの中には、通信、ソーシャルメディア、投資、医療サービス、インターネットサービスプロバイダーにおける顧客の機密情報が含まれていたものもある。例えば、1月4日、BreachForumsのユーザーが、米国を拠点とする大手SNSのユーザー約2億人分の氏名と連絡先を投稿した。さらに、2022年12月18日には、別のBreachForumsのユーザーが、重要インフラの保護に焦点を当てたFBIと民間企業のパートナーシップであるInfraGardの約8万7760人の会員の詳細を投稿している。
“Cybercrime victimizes and steals financial and personal information from millions of innocent people,” said U.S. Attorney Jessica D. Aber for the Eastern District of Virginia. “This arrest sends a direct message to cybercriminals: your exploitative and illegal conduct will be discovered, and you will be brought to justice.”	バージニア州東部地区連邦検事ジェシカ・D・アバーは、次のようにのべている。「サイバー犯罪は、何百万人もの無実の人々から金銭や個人情報を盗み出し、被害を与えている。今回の逮捕は、サイバー犯罪者に直接的なメッセージを送るもので、あなたたちの搾取的で違法な行為は必ず発見され、裁かれる。」
“The FBI will continue to devote all available resources to deter, disrupt, and diminish criminal enterprise activity,” said FBI Deputy Director Paul Abbate. “We will work alongside our federal and international partners to impose costs on malicious cyber actors around the world and continue to bring justice to those who victimize the American public.”	FBIの副長官であるPaul Abbateは、次のようにのべている。「FBIは、犯罪エンタープライズ活動を抑止、破壊し、減少させるために、利用可能なすべてのリソースを引き続き投入していく。我々は、連邦政府および国際的なパートナーとともに、世界中の悪意のあるサイバー行為者にコストを課し、米国民を犠牲にする者に正義をもたらし続ける。」
“Following the seizure of RaidForums last year, cybercriminals turned to BreachForums to buy and sell stolen data, including breached databases, hacking tools, and the personal and financial information of millions of U.S. citizens and businesses,” said Assistant Director in Charge David Sundberg of the FBI Washington Field Office. “The FBI and our partners will not let cybercriminals and those who enable them profit from the theft of sensitive data while hiding behind keyboards. This arrest and disruption of yet another criminal marketplace demonstrates the potency of our joint work to dismantle the digital structures that facilitate cybercrime.”	FBIワシントン支局の担当アシスタントディレクターDavid Sundberg氏は次のように述べている。「昨年のRaidForumsの押収に続き、サイバー犯罪者はBreachForumsに目をつけ、侵害されたデータベース、ハッキングツール、数百万人の米国市民や企業の個人・金融情報などの盗難データを売買している。FBIとそのパートナーは、キーボードの後ろに隠れながら機密データを盗んで利益を得るサイバー犯罪者とそれを可能にする人たちを許さないでしょう。今回の逮捕と新たな犯罪市場の破壊は、サイバー犯罪を助長するデジタル構造を解体するための我々の共同作業の威力を示すものである。
As part of the scheme, Fitzpatrick allegedly supported the activities of cybercriminals by creating and operating a “Leaks Market” subsection that was dedicated to buying and selling hacked or stolen data, tools for committing cybercrime, and other illicit material. To facilitate transactions on the forum, Fitzpatrick allegedly offered to act as a trusted middleman, or escrow service, between individuals on the website who sought to conduct these types of illicit transactions. In addition, Fitzpatrick allegedly managed an “Official” databases section through which BreachForums directly sold access to verified hacked databases through a “credits” system administered by the platform. As of Jan. 11, the Official database section purported to contain 888 datasets, consisting of over 14 billion individual records. These databases belong to a wide variety of both U.S. and foreign companies, organizations, and government agencies. Fitzpatrick allegedly profited from the scheme by charging for forum credits and membership fees.	この計画の一環として、フィッツパトリックは、ハッキングされたデータや盗まれたデータ、サイバー犯罪を行うためのツール、その他の不正な物質の売買に特化した「リークス・マーケット」サブセクションを作成・運営し、サイバー犯罪者の活動を支援したとされている。フォーラムでの取引を促進するため、Fitzpatrickは、この種の不正取引を行おうとするウェブサイト上の個人の間で、信頼できる仲介者、すなわちエスクロー・サービスとして行動することを申し出たとされる。さらに、Fitzpatrickは、「公式」データベースセクションを管理し、BreachForumsがプラットフォームが管理する「クレジット」システムを通じて、検証済みのハッキングデータベースへのアクセスを直接販売していたとされる。1月11日現在、「公式」データベースセクションには、140億件以上の個人レコードからなる888のデータセットが含まれているとされている。これらのデータベースは、米国および外国のさまざまな企業、組織、政府機関に属している。Fitzpatrickは、フォーラムクレジットと会費を請求することで、このスキームから利益を得たとされている。
“This case sends a clear message that illicitly stealing, selling, and trading the personal information of innocent members of the public will not be tolerated, and that malicious cyber actors will be held accountable,” said Special Agent in Charge Stephen Niemczak of the HHS-OIG. “HHS-OIG and our law enforcement partners remain dedicated to protecting the American public and the integrity of government networks and data from these egregious cyberattacks.”	HHS-OIGの特別捜査官Stephen Niemczakは次のように述べている。「この事件は、無実の一般市民の個人情報を不正に盗み、販売、取引することは許されず、悪意のあるサイバー行為者は責任を問われるという明確なメッセージを送るものである。HHS-OIGと我々の法執行機関のパートナーは、これらのひどいサイバー攻撃から米国民と政府のネットワークとデータの整合性を保護することに引き続き専念する。」
The BreachForums website has supported additional sections in which users discuss tools and techniques for hacking and exploiting hacked or stolen information, including in the “Cracking,” “Leaks,” and “Tutorials” sections. The BreachForums website also includes a “Staff” section that appears to be operated by the BreachForums administrators and moderators.	BreachForumsウェブサイトは、「クラッキング」、「リーク」、「チュートリアル」セクションなど、ハッキングされた情報や盗まれた情報を利用するためのツールやテクニックについてユーザーが議論するセクションを追加サポートした。また、BreachForumsのウェブサイトには、BreachForumsの管理者やモデレーターが運営していると思われる「スタッフ」セクションがある。
Fitzpatrick is charged with conspiracy to commit access device fraud. If convicted, he faces a maximum penalty of five years in prison.	Fitzpatrickは、アクセス機器詐欺の共謀で起訴されている。有罪となった場合、最高刑は懲役5年である。
Fitzpatrick’s arrest and the disruption of BreachForums comes nearly a year after the Department of Justice announced the seizure of a predecessor hacking marketplace, Raidforums, and unsealed criminal charges against RaidForums’ founder and chief administrator, who is the subject of extradition proceedings in the United Kingdom. The Justice Department’s Office of International Affairs is handling the extradition.	フィッツパトリックの逮捕とBreachForumsの機能停止は、司法省が前身のハッキング市場であるRaidforumsの押収を発表し、RaidForumsの創設者と主任管理者（英国で引渡し手続きの対象になっている）の刑事告発を公開してからほぼ1年後の出来事である。同人は英国で身柄引き渡し手続き中で、司法省の国際問題局が引き渡しに対応している。
The law enforcement actions against Fitzpatrick and BreachForums are the result of an ongoing criminal investigation by the FBI Washington Field Office, FBI San Francisco Division, and HHS-OIG, with assistance provided by the U.S. Secret Service, Homeland Security Investigations New York Field Office, New York Police Department, U.S. Postal Inspection Service, and Peekskill Police Department. The U.S. Attorneys’ Office for the Northern District of California, the District of Maryland, and the Southern District of New York have also provided assistance in this matter.	FitzpatrickとBreachForumsに対する法執行措置は、FBIワシントン支局、FBIサンフランシスコ支局、HHS-OIGによる進行中の犯罪捜査の結果であり、米国シークレットサービス、Homeland Security Investigations New York Field Office、ニューヨーク警察、米国郵便検査局、Peekskill Police Departmentによる支援が提供されます。また、カリフォルニア州北部地区、メリーランド州地区、ニューヨーク州南部地区の米国弁護士事務所も、この件に関して支援を提供している。
The Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorney Carina A. Cuellar for the Eastern District of Virginia are prosecuting the case.	刑事部コンピュータ犯罪・知的財産課（CCIPS）とバージニア州東部地区担当のカリーナ・A・クエラ連邦検事補がこの事件を起訴している。
A criminal complaint is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	刑事告訴は、単なる申し立てに過ぎません。すべての被告人は、法廷で合理的な疑いを超えて有罪が証明されるまでは、無罪と推定される。

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国司法省世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国司法省ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国司法省国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国司法省ロシア連邦軍参謀本部情報総局（GRU）が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国司法省重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国司法省タスクフォース KleptoCapture （ロシアの資金源を断つ？）

・2021.11.09 米国司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国司法省国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国司法省コロニアル・パイプライン社が支払った暗号通貨の大半（約230 万ドル）を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

2023.03.29 16:13 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

米国司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

こんにちは、丸山満彦です。

米国の司法省が、30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサー (ChipMixer) のテイクダウンに成功と公表していました。

犯罪でえた暗号資産等を使用できないようにすることが重要ですからね。。。暗号資産でいろいろな買い物ができないということが、今は犯罪抑止になっているのかもしれないですね。。。

⚫︎ Department of Justice: DOJ

・2023.03.15 Justice Department Investigation Leads to Takedown of Darknet Cryptocurrency Mixer that Processed Over $3 Billion of Unlawful Transactions

Justice Department Investigation Leads to Takedown of Darknet Cryptocurrency Mixer that Processed Over $3 Billion of Unlawful Transactions	司法省の調査により、30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功
Vietnamese Operator of ChipMixer Charged with Laundering Money for Ransomware Perpetrators, Darknet Markets, Fraudsters, and State-Sponsored	ChipMixerのベトナム人オペレーター、ランサムウェア加害者、ダークネット市場、詐欺師、国家支援のための資金洗浄で起訴される
The Justice Department announced today a coordinated international takedown of ChipMixer, a darknet cryptocurrency “mixing” service responsible for laundering more than $3 billion worth of cryptocurrency, between 2017 and the present, in furtherance of, among other activities, ransomware, darknet market, fraud, cryptocurrency heists and other hacking schemes. The operation involved U.S. federal law enforcement’s court-authorized seizure of two domains that directed users to the ChipMixer service and one Github account, as well as the German Federal Criminal Police’s (the Bundeskriminalamt) seizure of the ChipMixer back-end servers and more than $46 million in cryptocurrency.	司法省は本日、ランサムウェア、ダークネット市場、詐欺、暗号通貨強盗、その他のハッキングスキームなどの活動を推進するため、2017年から現在までの間に、30億ドル相当以上の暗号通貨を洗浄した責任を負うダークネット暗号通貨「混合」サービス、ChipMixerの国際協調摘発を発表した。この作戦には、米国連邦法執行機関がChipMixerサービスにユーザーを誘導する2つのドメインと1つのGithubアカウントを裁判所から認可を受けて押収し、さらにドイツ連邦刑事警察（Bundeskriminalamt）がChipMixerバックエンドサーバーと4600万ドル以上の暗号通貨を押収した。
Coinciding with the ChipMixer takedown efforts, Minh Quốc Nguyễn, 49, of Hanoi, Vietnam, was charged today in Philadelphia with money laundering, operating an unlicensed money transmitting business and identity theft, connected to the operation of ChipMixer.	ChipMixerの摘発と同時に、ベトナム・ハノイのMinh Quốc Nguyễn（49歳）は、ChipMixerの運営に関連したマネーロンダリング、無許可送金業の運営、個人情報窃盗の容疑で、本日フィラデルフィアで起訴された。
“This morning, working with partners at home and abroad, the Department of Justice disabled a prolific cryptocurrency mixer, which has fueled ransomware attacks, state-sponsored crypto-heists and darknet purchases across the globe,” said Deputy Attorney General Lisa Monaco. “Today’s coordinated operation reinforces our consistent message: we will use all of our authorities to protect victims and take the fight to our adversaries. Cybercrime seeks to exploit boundaries, but the Department of Justice’s network of alliances transcends borders and enables disruption of the criminal activity that jeopardizes our global cybersecurity.”	今朝、国内外のパートナーと協力して、司法省は、世界中でランサムウェア攻撃、国家主催のクリプトヘイスト、ダークネット購入の燃料となった、多量の暗号通貨ミキサーを無効にした。副司法長官のリサ・モナコは言いました。「今日の協調作戦は、私たちの一貫したメッセージである、被害者を保護し、敵対者に戦いを挑むために、あらゆる権限を行使することを強化するものである。サイバー犯罪は境界を利用しようとするが、司法省の同盟ネットワークは国境を越え、世界のサイバーセキュリティを危険にさらす犯罪行為を阻止することができる。
“Today's announcement demonstrates the FBI's commitment to dismantling technical infrastructure that enables cyber criminals and nation-state actors to illegally launder cryptocurrency funds,” said FBI Deputy Director Paul Abbate. “We will not allow cyber criminals to hide behind keyboards nor evade the consequences of their illegal actions. Countering cybercrime requires the ultimate level of collaboration between and among all law enforcement partners. The FBI will continue to elevate those partnerships and leverage all available tools to identify, apprehend and hold accountable these bad actors and put an end to their illicit activity.”	本日の発表は、サイバー犯罪者や国家主体が暗号通貨の資金を違法に洗浄することを可能にする技術インフラを解体するというFBIのコミットメントを示すものである。とFBI副長官ポール・アベイトは述べている。「我々は、サイバー犯罪者がキーボードの後ろに隠れることも、違法行為の結果を回避することも許さない。サイバー犯罪に対抗するには、すべての法執行機関のパートナーとの間で、究極のレベルの協力が必要である。FBIは、このようなパートナーシップをさらに強化し、利用可能なあらゆるツールを活用して、悪質な行為者を特定、逮捕、責任追及し、その違法行為に終止符を打つ。"
According to court documents, ChipMixer – one of the most widely used mixers to launder criminally-derived funds – allowed customers to deposit bitcoin, which ChipMixer then mixed with other ChipMixer users’ bitcoin, commingling the funds in a way that made it difficult for law enforcement or regulators to trace the transactions. As detailed in the complaint, ChipMixer offered numerous features to enhance its criminal customers’ anonymity. ChipMixer had a clearnet web domain but operated primarily as a Tor hidden service, concealing the operating location of its servers to prevent seizure by law enforcement. ChipMixer serviced many customers in the United States, but did not register with the U.S. Department of the Treasury’s Financial Crimes Enforcement Network (FinCEN) and did not collect identifying information about its customers.	法廷文書によると、ChipMixerは、犯罪に由来する資金を洗浄するために最も広く使われているミキサーの1つで、顧客がビットコインを入金し、ChipMixerが他のChipMixerユーザーのビットコインと混合し、警察や規制当局が取引を追跡することが困難な方法で資金を混同させることができる。訴状に詳述されているように、ChipMixerは、犯罪者の顧客の匿名性を高めるために、数多くの機能を提供していた。ChipMixerは、クリアネットのウェブドメインを持っていましたが、主にTorの隠しサービスとして運営され、法執行機関による押収を防ぐためにサーバーの運営場所を隠していた。ChipMixerは、米国内で多くの顧客にサービスを提供していたが、米国財務省の金融犯罪取締ネットワーク（FinCEN）に登録せず、顧客に関する識別情報を収集していなかった。
As alleged in the complaint, ChipMixer attracted a significant criminal clientele and became indispensable in obfuscating and laundering funds from multiple criminal schemes. Between August 2017 and March 2023, ChipMixer processed:	訴状で主張されているように、ChipMixerは重要な犯罪者の顧客を集め、複数の犯罪スキームからの資金を難読化しロンダリングする上で不可欠な存在となった。2017年8月から2023年3月にかけて、ChipMixerは処理を行った：
・$17 million in bitcoin for criminals connected to approximately 37 ransomware strains, including Sodinokibi, Mamba and Suncrypt;	・Sodinokibi、Mamba、Suncryptを含む約37種類のランサムウェア系統に関連する犯罪者のために、1700万ドルのビットコインを処理した；
・Over $700 million in bitcoin associated with wallets designated as stolen funds, including those related to heists by North Korean cyber actors from Axie Infinity’s Ronin Bridge and Harmony’s Horizon Bridge in 2022 and 2020, respectively;	・2022年にAxie InfinityのRonin Bridgeから、2020年にHarmonyのHorizon Bridgeから、それぞれ北朝鮮のサイバーアクターによる強盗に関連するものなど、盗難資金として指定されたウォレットに関連する7億ドルを超えるビットコイン；
・More than $200 million in bitcoin associated either directly or through intermediaries with darknet markets, including more than $60 million in bitcoin processed on behalf of customers of Hydra Market, the largest and longest running darknet market in the world until its April 2022 shutdown by U.S. and German law enforcement;	・2022年4月に米国とドイツの法執行機関により閉鎖されるまで、世界最大かつ最も長く運営されていたダークネット市場であるHydra Marketの顧客のために処理された6000万ドル以上のビットコインを含む、ダークネット市場と直接または仲介業者を通じて関連付けられた2億ドル以上のビットコインが含まれる；
・More than $35 million in bitcoin associated either directly or through intermediaries with “fraud shops,” which are used by criminals to buy and sell stolen credit cards, hacked account credentials and data stolen through network intrusions; and	・犯罪者が盗んだクレジットカード、ハッキングされた口座情報、ネットワーク侵入によって盗まれたデータを売買するために使用される「詐欺ショップ」に直接または仲介者を通じて関連付けられた3500万ドル以上のビットコイン、および
・Bitcoin used by the Russian General Staff Main Intelligence Directorate (GRU), 85th Main Special Service Center, military unit 26165 (aka APT 28) to purchase infrastructure for the Drovorub malware, which was first disclosed in a joint cybersecurity advisory released by the FBI and National Security Agency in August 2020.	・2020年8月にFBIと国家安全保障局が発表した合同サイバーセキュリティ勧告で初めて公開されたDrovorubマルウェアのインフラを購入するために、ロシア参謀本部主要情報局（GRU）、第85主要特殊サービスセンター、軍事ユニット26165（別名APT 28）が使用したビットコイン。
Beginning in and around August 2017, as alleged in the complaint, Nguyễn created and operated the online infrastructure used by ChipMixer and promoted ChipMixer’s services online. Nguyễn registered domain names, procured hosting services and paid for the services used to run ChipMixer through the use of identity theft, pseudonyms, and anonymous email providers. In online posts, Nguyễn publicly derided efforts to curtail money laundering, posting in reference to anti-money laundering (AML) and know-your-customer (KYC) legal requirements that “AML/KYC is a sellout to the banks and governments,” advising customers “please do not use AML/KYC exchanges” and instructing them how to use ChipMixer to evade reporting requirements.	訴状で主張されているように、2017年8月頃から、NguyễnはChipMixerが使用するオンラインインフラを作成・運営し、ChipMixerのサービスをオンラインで宣伝した。Nguyễnは、ドメイン名を登録し、ホスティングサービスを調達し、なりすまし、偽名、匿名の電子メールプロバイダを使用してChipMixerを運営するために使用するサービスの支払いを行った。Nguyễnは、オンライン上の投稿で、マネーロンダリングを抑制する取り組みを公に嘲笑し、マネーロンダリング防止（AML）および顧客情報（KYC）の法的要件について、「AML/KYCは銀行や政府に売り渡すものだ」と投稿、顧客に「AML/KYC取引所を使用しないでください」と助言し、報告要件を回避するChipMixerを使う方法を指示している。
“ChipMixer facilitated the laundering of cryptocurrency, specifically Bitcoin, on a vast international scale, abetting nefarious actors and criminals of all kinds in evading detection,” said U.S. Attorney Jacqueline C. Romero for the Eastern District of Pennsylvania. “Platforms like ChipMixer, which are designed to conceal the sources and destinations of staggering amounts of criminal proceeds, undermine the public’s confidence in cryptocurrencies and blockchain technology. We thank all our partners at home and abroad for their hard work in this case. Together, we cannot and will not allow criminals’ exploitation of technology to threaten our national and economic security.”	ペンシルベニア州東部地区連邦検事ジャクリーン・C・ロメロは、「ChipMixerは、膨大な国際規模で暗号通貨、特にビットコインの資金洗浄を促進し、あらゆる種類の悪意ある行為者や犯罪者が検出を回避するのを教唆した」と語った。"ChipMixerのようなプラットフォームは、途方もない額の犯罪収益の出所と行き先を隠すように設計されており、暗号通貨とブロックチェーン技術に対する国民の信頼を損なっている。今回の事件で尽力してくれた国内外のすべてのパートナーに感謝する。共に、犯罪者による技術の悪用が私たちの国家と経済の安全を脅かすことを許すことはできませんし、許しません。"
“Criminals have long sought to launder the proceeds of their illegal activity through various means,” said Special Agent in Charge Jacqueline Maguire of the FBI Philadelphia Field Office. “Technology has changed the game, though, with a site like ChipMixer and facilitator like Nguyen enabling bad actors to do so on a grand scale with ease. In response, the FBI continues to evolve in the ways we ‘follow the money’ of illegal enterprise, employing all the tools and techniques at our disposal and drawing on our strong partnerships at home and around the globe. As a result, there’s now one less option for criminals worldwide to launder their dirty money.”	犯罪者は長い間、様々な手段で違法行為の収益を洗浄しようとしてきました。とFBIフィラデルフィア支局の特別捜査官Jacqueline Maguireは述べている。「しかし、ChipMixerのようなサイトやNguyenのような進行役がいれば、悪質業者は簡単に大規模な資金洗浄を行うことができるようになり、テクノロジーはゲームを変えた。これに対し、FBIは、あらゆるツールやテクニックを駆使し、国内外での強力なパートナーシップを活用しながら、違法エンタープライズの「資金を追う」方法を進化させ続けている。その結果、世界中の犯罪者が汚れた資金を洗浄するための選択肢が1つ減った」。
“Together, with our international partners at HSI The Hague, we are firmly committed to identifying and investigating cyber criminals who pose a serious threat to our economic security by laundering billions of dollars’ worth of cryptocurrency under the misguided anonymity of the darknet,” said Special Agent in Charge Scott Brown of Homeland Securities Investigations (HSI) Arizona. “HSI Arizona could not be more proud to work alongside every agent involved in this complex international case. We thank all our domestic and international partners for their support.”	HSIハーグの国際的なパートナーとともに、ダークネットの見当違いの匿名性の下で数十億ドル相当の暗号通貨を洗浄することによって、我々の経済安全保障に深刻な脅威をもたらすサイバー犯罪者の特定と捜査にしっかりと取り組んでいると、国土安全保障省捜査部（HSI）アリゾナ担当特別捜査官のスコットブラウンは言いました。「HSIアリゾナは、この複雑な国際的事件に関与したすべての捜査官とともに働けることを、これ以上ないほど誇りに思いる。国内外のすべてのパートナーの支援に感謝する。"
Nguyễn is charged with operating an unlicensed money transmitting business, money laundering and identity theft. If convicted, he faces a maximum penalty of 40 years in prison.	Nguyễnは、無許可の送金ビジネスの運営、マネーロンダリング、ID窃盗の罪で起訴されている。有罪判決を受けた場合、最高刑は懲役40年となる。
The FBI, HSI Phoenix and HSI The Hague investigated the case.	FBI、HSIフェニックス、HSIハーグがこの事件を調査した。
The U.S. Attorney’s Office for the Eastern District of Pennsylvania is prosecuting the case.	ペンシルベニア州東部地区連邦検事事務所が本件を起訴している。
German law enforcement authorities took separate actions today under its authorities. The FBI’s Legal Attaché in Germany, the HSI office in The Hague, the HSI Cyber Crimes Center, the Justice Department’s Office of International Affairs and National Cryptocurrency Enforcement Team, EUROPOL, the Polish Cyber Police (Centralnego Biura Zwalczania Cyberprzestępczości) and Zurich State Police (Kantonspolizei Zürich) provided assistance in this case.	ドイツの法執行機関は本日、その当局のもとで別々の行動をとった。本事件では、FBIの在独リーガルアタッシェ、ハーグのHSIオフィス、HSI Cyber Crimes Center、司法省国際局・国家暗号通貨執行チーム、EUROPOL、ポーランドサイバー警察（Centralnego Biura Zwalczania Cyberprzestępczości）、チューリヒ州警察（Kantonspolizei Zürich）より支援を受けた。
To report information about ChipMixer and its operators visit rfj.tips/Duhsup.	ChipMixerとそのオペレータに関する情報を報告するには、rfj.tips/Duhsupを参照のこと。

ユーロポールもプレスしていました。。。

⚫︎ Europol

・2023.03.15 One of the darkweb’s largest cryptocurrency laundromats washed out

One of the darkweb’s largest cryptocurrency laundromats washed out	ダークウェブ最大の暗号通貨コインランドリーの1つが洗い流された
Europol supports Germany and the US in taking down the infrastructure of ChipMixer: as much as EUR 40 million seized	欧州刑事警察機構（Europol）、独米のChipMixerのインフラ破壊を支援：4千万ユーロの押収も
German and US authorities, supported by Europol, have targeted ChipMixer, a cryptocurrency mixer well-known in the cybercriminal underworld. The investigation was also supported by Belgium, Poland and Switzerland. On 15 March, national authorities took down the infrastructure of the platform for its alleged involvement in money laundering activities and seized four servers, about 1909.4 Bitcoins in 55 transactions (approx. EUR 44.2 million) and 7 TB of data.	ドイツと米国の当局は、ユーロポールの支援を受けて、サイバー犯罪の裏社会でよく知られている暗号通貨ミキサーであるChipMixerを標的とした。この捜査は、ベルギー、ポーランド、スイスからも支援を受けている。3月15日、各国当局はマネーロンダリング活動への関与が疑われる同プラットフォームのインフラをダウンさせ、4台のサーバー、55件の取引で約1909.4ビットコイン（約4420万ユーロ）、7TBのデータを押収した。
ChipMixer, an unlicensed cryptocurrency mixer set up in mid-2017, was specialised in mixing or cutting trails related to virtual currency assets. The ChipMixer software blocked the blockchain trail of the funds, making it attractive for cybercriminals looking to launder illegal proceeds from criminal activities such as drug trafficking, weapons trafficking, ransomware attacks, and payment card fraud. Deposited funds would be turned into “chips” (small tokens with equivalent value), which were then mixed together - thereby anonymising all trails to where the initial funds originated.	ChipMixerは、2017年半ばに設立された無許可の暗号通貨ミキサーで、仮想通貨資産に関連する痕跡の混合や切断に特化したものであった。ChipMixerソフトウェアは、資金のブロックチェーン・トレイルをブロックし、麻薬取引、武器取引、ランサムウェア攻撃、ペイメントカード詐欺などの犯罪行為による違法収益の洗浄を目指すサイバー犯罪者にとって魅力的なものであった。入金された資金は「チップ」（同等の価値を持つ小さなトークン）に変換され、それらが混合されることで、最初の資金がどこから来たのかの痕跡がすべて匿名化される。
A service available both on the clear and on the darkweb, ChipMixer offered full anonymity to their clients. This type of service is often used before criminals’ laundered crypto assets are redirected to cryptocurrency exchanges, some of which are also in the service of organised crime. At the end of the process, the ‘cleaned’ crypto can easily be exchanged into other cryptocurrencies or directly into FIAT currency though ATM or bank accounts.	ChipMixerはクリアウェブでもダークウェブでも利用可能なサービスで、顧客に完全な匿名性を提供した。この種のサービスは、犯罪者が洗浄した暗号資産を暗号通貨取引所に移す前に利用されることが多く、中には組織犯罪に加担している取引所もある。プロセスの最後に、「洗浄」された暗号は、他の暗号通貨に簡単に交換したり、ATMや銀行口座から直接FIAT通貨に交換することができる。
EUR 2.73 billion in crypto assets laundered with “chips”	チップ」を使って洗浄された27億3,000万ユーロの暗号資産
The investigation into the criminal service suggests that the platform may have facilitated the laundering of 152 000 Bitcoins (worth roughly EUR 2.73 billion in current estimations) in crypto assets. A large share of this is connected to darkweb markets, ransomware groups, illicit goods trafficking, procurement of child sexual exploitation material, and stolen crypto assets. Information obtained after the takedown of the Hydra Market darkweb platform uncovered transactions in the equivalent of millions of euros.	刑事サービスの調査によると、このプラットフォームが152 000ビットコイン（現在の推定でおよそ27億3000万ユーロ相当）の暗号資産の資金洗浄を促進した可能性がある。その大部分は、ダークウェブ市場、ランサムウェアグループ、不正商品売買、児童性的搾取材料の調達、盗難暗号資産に関連している。ダークウェブプラットフォーム「Hydra Market」の撤去後に得られた情報では、数百万ユーロに相当する取引が発覚している。
Ransomware actors such as Zeppelin, SunCrypt, Mamba, Dharma or Lockbit have also used this service to launder ransom payments they have received. Authorities are also investigating the possibility that some of the crypto assets stolen after the bankruptcy of a large crypto exchange in 2022 were laundered via ChipMixer.	Zeppelin、SunCrypt、Mamba、DharmaまたはLockbitなどのランサムウェアのアクターも、受け取った身代金の支払いを洗浄するためにこのサービスを利用した。また当局は、2022年の大規模暗号取引所の倒産後に盗まれた暗号資産の一部が、ChipMixerを介して洗浄された可能性を調査している。
Europol facilitated the information exchange between national authorities and supported the coordination of the operation. Europol also provided analytical support linking available data to various criminal cases within and outside the EU, and supported the investigation through operational analysis, crypto tracing, and forensic analysis. The Joint Cybercrime Action Taskforce (J-CAT) at Europol also supported the operation. This standing operational team consists of cybercrime liaison officers from different countries who work on high-profile cybercrime investigations.	ユーロポールは、各国当局間の情報交換を促進し、この作戦の調整をサポートした。また、ユーロポールは、利用可能なデータをEU内外の様々な刑事事件に関連付ける分析支援を行い、作戦分析、暗号追跡、フォレンジック分析を通じて捜査をサポートした。ユーロポールのJoint Cybercrime Action Taskforce (J-CAT)もこの作戦をサポートした。この常設作戦チームは、注目を集めるサイバー犯罪の捜査に携わる各国のサイバー犯罪連絡官で構成されている。
National authorities involved:	関係する各国当局
Belgium: Federal police (Police Fédérale/Federale Politie)	ベルギー連邦警察
Germany: Federal Criminal Police Office (Bundeskriminalamt) and General Prosecutors Office Frankfurt-Main (Generalstaatsanwaltschaft Frankfurt/Main, Zentralstelle zur Bekämpfung der Internetkriminalität)	ドイツ連邦刑事警察庁およびフランクフルト・マイン検察庁
Poland: Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości)	ポーランド中央サイバー犯罪局
Switzerland: Cantonal Police of Zurich (Kantonspolizei Zürich)	スイスチューリッヒ州警察
USA – Federal Bureau of Investigation, Homeland Security Investigation, Department of Justice	米国 - 連邦捜査局、国土安全保障省捜査局、司法省

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国司法省世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国司法省ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国司法省国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国司法省ロシア連邦軍参謀本部情報総局（GRU）が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国司法省重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国司法省タスクフォース KleptoCapture （ロシアの資金源を断つ？）

・2021.11.09 米国司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国司法省国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国司法省コロニアル・パイプライン社が支払った暗号通貨の大半（約230 万ドル）を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

2023.03.29 16:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

米国国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令

こんにちは、丸山満彦です。

バイデン大統領が、国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令を出しています。米国政府職員の携帯電話が商用スパイウェアにより狙われていたことがきっかけになったようですね。。。また、このタイミングというのは、第2回民主主義サミットが今週開催されるということもありますね。。。

安全保障という背景もあるのでしょうが、第2回民主主義サミットが開催されるということから、人権、民主主義ということが強調されているように思います。。。商用スパイウェアの利用については、人権団体からも批判がありましたからね。。。

で、これは、すべての行政機関に対してなので、法執行機関（例えば、FBI）、諜報（例えば、CIA）、防衛関連省庁も含みますね。。。ということは、諜報機関も商用のスパイウェアを使って諜報活動をするということはできないということになりますね。。。

また、中国製品狙いと思うかもしれませんが、国として限定されていないことから、米国製品であっても同じということですね。。。（人権と民主主義ですから。。。）ブラックリスト（機密情報指定される）をつくるようです。

一方、例外も認められるような記述がありますね。。。

⚫︎ The White House

・2023.03.27 Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security

Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security	国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令について
By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows:	合衆国憲法および合衆国法により大統領として私に与えられた権限により、ここに次のように命ずる：
Section 1. Policy. Technology is central to the future of our national security, economy, and democracy. The United States has fundamental national security and foreign policy interests in (1) ensuring that technology is developed, deployed, and governed in accordance with universal human rights; the rule of law; and appropriate legal authorization, safeguards, and oversight, such that it supports, and does not undermine, democracy, civil rights and civil liberties, and public safety; and (2) mitigating, to the greatest extent possible, the risk emerging technologies may pose to United States Government institutions, personnel, information, and information systems.	第1条方針：技術は、我が国の安全保障、経済および民主主義の将来にとって中心的なものである。米国は、（1）技術が、普遍的人権、法の支配、適切な法的認可、保障措置、監視に従って開発、展開、管理され、民主主義、市民権、市民自由、公共の安全を支援し、損なうことがないようにすること、（2）新興技術が米国政府の機関、人員、情報、情報システムに与える可能性があるリスクを可能な限り軽減すること、について国家安全保障と外交政策の基本的利益を有する。
To advance these interests, the United States supports the development of an international technology ecosystem that protects the integrity of international standards development; enables and promotes the free flow of data and ideas with trust; protects our security, privacy, and human rights; and enhances our economic competitiveness. The growing exploitation of Americans’ sensitive data and improper use of surveillance technology, including commercial spyware, threatens the development of this ecosystem. Foreign governments and persons have deployed commercial spyware against United States Government institutions, personnel, information, and information systems, presenting significant counterintelligence and security risks to the United States Government. Foreign governments and persons have also used commercial spyware for improper purposes, such as to target and intimidate perceived opponents; curb dissent; limit freedoms of expression, peaceful assembly, or association; enable other human rights abuses or suppression of civil liberties; and track or target United States persons without proper legal authorization, safeguards, or oversight.	これらの利益を促進するため、米国は、国際標準開発の完全性を保護し、信頼に基づくデータとアイデアの自由な流れを可能にし促進し、私たちのセキュリティ、プライバシー、人権を保護し、経済競争力を強化する国際技術エコシステムの開発を支持する。米国人の機密データの搾取の拡大や、商用スパイウェアを含む監視技術の不適切な使用は、このエコシステムの発展を脅かしている。外国政府および個人は、米国政府の機関、職員、情報および情報システムに対して商用スパイウェアを展開し、米国政府に対して重大な防諜およびセキュリティリスクを提示している。外国政府および個人はまた、認識された反対者を標的にして脅迫する、反対意見を抑制する、表現、平和的集会または結社の自由を制限する、その他の人権侵害または市民的自由の抑圧を可能にする、適切な法的認可、保護措置または監視なしに米国人を追跡または標的化するなど、不適切な目的で商用スパイウェアを使っている。
The United States has a fundamental national security and foreign policy interest in countering and preventing the proliferation of commercial spyware that has been or risks being misused for such purposes, in light of the core interests of the United States in protecting United States Government personnel and United States citizens around the world; upholding and advancing democracy; promoting respect for human rights; and defending activists, dissidents, and journalists against threats to their freedom and dignity. To advance these interests and promote responsible use of commercial spyware, the United States must establish robust protections and procedures to ensure that any United States Government use of commercial spyware helps protect its information systems and intelligence and law enforcement activities against significant counterintelligence or security risks; aligns with its core interests in promoting democracy and democratic values around the world; and ensures that the United States Government does not contribute, directly or indirectly, to the proliferation of commercial spyware that has been misused by foreign governments or facilitate such misuse.	米国は、世界中の米国政府要員および米国市民の保護、民主主義の支持と推進、人権の尊重の促進、活動家、反体制派、ジャーナリストの自由と尊厳に対する脅威からの擁護という米国の基本的利益に照らし、このような目的で悪用されてきた、またはその危険性がある商用スパイウェアの拡散に対抗し防止することについて、国家安全保障および外交政策の基本的利益を有している。これらの利益を促進し、商用スパイウェアの責任ある使用を促進するために、米国は、米国政府による商用スパイウェアの使用が、その情報システム、情報および法執行活動を重大な防諜またはセキュリティのリスクから保護し、世界中の民主主義と民主的価値の促進という米国の中核的利益に合致し、米国政府が外国政府によって悪用された商用スパイウェアの拡散に直接または間接的に寄与せず、その悪用が促進されることを確実にする、強固な保護と手順を確立しなければならない。
Therefore, I hereby establish as the policy of the United States Government that it shall not make operational use of commercial spyware that poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person. In furtherance of the national security and foreign policy interests of the United States, this order accordingly directs steps to implement that policy and protect the safety and security of United States Government institutions, personnel, information, and information systems; discourage the improper use of commercial spyware; and encourage the development and implementation of responsible norms regarding the use of commercial spyware that are consistent with respect for the rule of law, human rights, and democratic norms and values. The actions directed in this order are consistent with the policy objectives set forth in section 6318 of the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023 (NDAA FY 2023) (Public Law 117-263) and section 5502 of the National Defense Authorization Act for Fiscal Year 2022 (NDAA FY 2022) (Public Law 117-81).	したがって、私は、米国政府にとって重大な防諜または安全保障上のリスク、あるいは外国政府または外国人による不正使用の重大なリスクをもたらす商用スパイウェアを業務上使用しないことを、米国政府の方針としてここに確立する。米国の国家安全保障および外交政策の利益を促進するため、この命令は、この政策を実施し、米国政府の機関、職員、情報、および情報システムの安全およびセキュリティを保護し、商用スパイウェアの不適切な使用を阻止し、法の支配、人権、および民主主義の規範と価値の尊重と一致する、商用スパイウェアの使用に関する責任規範の策定と実施を奨励する措置を指示するものである。この命令で指示された行動は、2023会計年度ジェームズ・M・インホーフ国防権限法（NDAA 2023年度）（公法117-263）の第6318条および2022会計年度国防権限法（NDAA 2022年度）（公法117-81）の第5502条に定められた政策目標に合致している。
Sec. 2. Prohibition on Operational Use. (a) Executive departments and agencies (agencies) shall not make operational use of commercial spyware where they determine, based on credible information, that such use poses significant counterintelligence or security risks to the United States Government or that the commercial spyware poses significant risks of improper use by a foreign government or foreign person. For the purposes of this use prohibition:	第 2 条業務上の使用の禁止： (a) 行政府および政府機関（以下、機関）は、信頼できる情報に基づき、その使用が米国政府にとって重大な防諜または安全保障上のリスクをもたらすと判断した場合、またはその商用スパイウェアが外国政府または外国人によって不適切に使用される重大なリスクをもたらすと判断した場合には、商用スパイウェアを業務上使用してはならない。この使用禁止の目的のために
(i) Commercial spyware may pose counterintelligence or security risks to the United States Government when:	(i) 商業用スパイウェアは、以下の場合に、合衆国政府に対して防諜上または安全保障上のリスクをもたらす可能性がある：
(A) a foreign government or foreign person has used or acquired the commercial spyware to gain or attempt to gain access to United States Government computers or the computers of United States Government personnel without authorization from the United States Government; or	(A) 外国政府または外国人が、合衆国政府のコンピュータまたは合衆国政府職員のコンピュータに、合衆国政府の許可なくアクセスするため、またはアクセスしようとするために、商用スパイウェアを使用または取得した場合。
(B) the commercial spyware was or is furnished by an entity that:	(B) 商用スパイウェアが、以下の事業者によって提供された、または提供された場合：
(1) maintains, transfers, or uses data obtained from the commercial spyware without authorization from the licensed end-user or the United States Government;	(1) ライセンスを受けたエンドユーザまたは合衆国政府の許可なく、商用スパイウェアから得られたデータを維持、転送、または使用する；
(2) has disclosed or intends to disclose non-public United States Government information or non-public information about the activities of the United States Government without authorization from the United States Government; or	(2) 米国政府からの許可なく、米国政府の非公開情報または米国政府の活動に関する非公開情報を開示した、または開示する予定である。
(3) is under the direct or effective control of a foreign government or foreign person engaged in intelligence activities, including surveillance or espionage, directed against the United States.	(3) 米国に向けられた監視またはスパイ活動を含む諜報活動に従事する外国政府または外国人の直接的または実効的な管理下にある。
(ii) Commercial spyware may pose risks of improper use by a foreign government or foreign person when:	(ii) 商用スパイウェアは、以下の場合に、外国政府または外国人による不適切な使用のリスクをもたらす可能性がある：
(A) the commercial spyware, or other commercial spyware furnished by the same vendor, has been used by a foreign government or foreign person for any of the following purposes:	(A) 商業用スパイウェア、または同じベンダーが提供する他の商業用スパイウェアが、外国政府または外国人によって以下のいずれかの目的で使用されたことがある：
(1) to collect information on activists, academics, journalists, dissidents, political figures, or members of non-governmental organizations or marginalized communities in order to intimidate such persons; curb dissent or political opposition; otherwise limit freedoms of expression, peaceful assembly, or association; or enable other forms of human rights abuses or suppression of civil liberties; or	(1) 活動家、学者、ジャーナリスト、反体制派、政治家、非政府組織または疎外されたコミュニティのメンバーに関する情報を収集し、これらの人々を脅迫し、反対意見や政治的反対を抑制し、表現、平和的集会、または結社の自由を制限し、または他の形態の人権侵害または市民の自由の抑圧を可能にするために使用すること、または
(2) to monitor a United States person, without such person’s consent, in order to facilitate the tracking or targeting of the person without proper legal authorization, safeguards, and oversight; or	(2) 適切な法的認可、保護措置、監視なしに、米国人の追跡または標的化を促進するために、当該人の同意なしに、米国人を監視すること。
(B) the commercial spyware was furnished by an entity that provides commercial spyware to governments for which there are credible reports in the annual country reports on human rights practices of the Department of State that they engage in systematic acts of political repression, including arbitrary arrest or detention, torture, extrajudicial or politically motivated killing, or other gross violations of human rights, consistent with any findings by the Department of State pursuant to section 5502 of the NDAA FY 2022 or other similar findings.	(B) 国務省の人権慣行に関する年次国別報告書において、恣意的な逮捕または拘留、拷問、超法規的または政治的動機による殺害、またはその他の重大な人権侵害を含む政治的抑圧行為を組織的に行っているという信頼できる報告がある政府に対して、2022年度NDAA第5502条に基づく国務省による所見またはその他の同様の所見と一致する商用スパイウェアが提供された事業者である。
(iii) In determining whether the operational use of commercial spyware poses significant counterintelligence or security risks to the United States Government or poses significant risks of improper use by a foreign government or foreign person, such that operational use should be prohibited, agencies shall consider, among other relevant considerations, whether the entity furnishing the commercial spyware knew or reasonably should have known that the spyware posed risks described in subsections (a)(i) or (ii) of this section, and whether the entity has taken appropriate measures to remove such risks, such as canceling relevant licensing agreements or contracts that present such risks; taking other verifiable action to prevent continuing uses that present such risks; or cooperating in United States Government efforts to counter improper use of the spyware.	(iii) 市販のスパイウェアの運用上の使用が、米国政府にとって重大な防諜または安全保障上のリスクをもたらすか、あるいは運用上の使用を禁止すべきような外国政府または外国人による不正使用の重大なリスクをもたらすかを判断するにあたり、機関は、他の関連する考慮事項の中でも、以下を考慮しなければならない、商用スパイウェアを提供する事業者が、当該スパイウェアが本節(a)(i)または(ii)に記載されたリスクをもたらすことを知っていたか、または合理的に知るべきだったか、および当該事業者が、当該リスクをもたらす関連ライセンス契約または契約を取り消すなど、リスクを取り除くための適切な措置をとったかどうか；そのようなリスクをもたらす継続的な使用を防止するための他の検証可能な行動をとること、又はスパイウェアの不適切な使用に対抗する合衆国政府の努力に協力すること。
(b) An agency shall not request or directly enable a third party to make operational use of commercial spyware where the agency has determined that such use poses significant counterintelligence or security risks to the United States Government or that the commercial spyware poses significant risks of improper use by a foreign government or foreign person, as described in subsection (a) of this section. For purposes of this order, the term “operational use” includes such indirect use.	(b) 機関は、そのような使用が合衆国政府にとって重大な防諜または安全保障上のリスクをもたらすと機関が判断した場合、あるいは、その商用スパイウェアが本節の(a)項に記載されているように外国政府または外国人による不正使用の重大なリスクをもたらすと機関が判断した場合には、第三者に商用スパイウェアの運用を要請したり直接可能にしたりしてはならない。この命令の目的上、「運用上の使用」という用語は、このような間接的な使用を含む。
(c) To facilitate effective interagency coordination of information relevant to the factors set forth in subsection (a) of this section and to promote consistency of application of this order across the United States Government, the Director of National Intelligence (DNI) shall, within 90 days of the date of this order, and on a semiannual basis thereafter, issue a classified intelligence assessment that integrates relevant information — including intelligence, open source, financial, sanctions-related, and export controls-related information — on foreign commercial spyware or foreign government or foreign person use of commercial spyware relevant to the factors set forth in subsection (a) of this section. The intelligence assessment shall incorporate, but not be limited to, the report and assessment required by section 1102A(b) of the National Security Act of 1947, 50 U.S.C. 3001 et seq., as amended by section 6318(c) of the NDAA FY 2023. In order to facilitate the production of the intelligence assessment, the head of each agency shall, on an ongoing basis, provide the DNI all new credible information obtained by the agency on foreign commercial spyware vendors or foreign government or foreign person use of commercial spyware relevant to the factors set forth in subsection (a) of this section. Such information shall include intelligence, open source, financial, sanctions-related, export controls-related, and due diligence information, as well as information relevant to the development of the list of covered contractors developed or maintained pursuant to section 5502 of the NDAA FY 2022 or other similar information.	(c) 本項(a)に規定する要因に関連する情報の効果的な省庁間調整を促進し、合衆国政府全体における本命令の適用の一貫性を促進するため、国家情報長官(DNI)は、本令の日付から90日以内に、またその後半期ごとに、次のことを行う、本節の第(a)項に定める要因に関連する外国の商用スパイウェアまたは外国政府もしくは外国人の商用スパイウェアの使用に関する情報、オープンソース、金融、制裁関連および輸出管理関連の情報を含む関連情報を統合した機密情報評価を発行する。情報評価は、2023年度NDAA第6318条(c)により改正された1947年国家安全保障法（50 U.S.C. 3001 et seq）の1102A条（b）により求められる報告及び評価を取り入れるものとするが、これに限定されない。情報評価の作成を促進するため、各機関の長は、継続的に、外国の商用スパイウェアのベンダーまたは外国政府もしくは外国人の商用スパイウェアの使用に関して当該機関が得たすべての新しい信頼できる情報を、本節の第（a）項に規定する要因に関連させてDNIに提供しなければならない。当該情報には、情報、オープンソース、金融、制裁関連、輸出管理関連、デューディリジェンス情報のほか、2022年度NDAA第5502条に従って作成または維持される対象業者のリストの作成に関連する情報またはその他の同様の情報を含むものとする。
(d) Any agency that makes a determination of whether operational use of a commercial spyware product is prohibited under subsection (a) of this section shall provide the results of that determination and key elements of the underlying analysis to the DNI. After consulting with the submitting agency to protect operational sensitivities, the DNI shall incorporate this information into the intelligence assessment described in subsection (c) of this section and, as needed, shall make this information available to other agencies consistent with section 3(b) of this order.	(d) 本節の第(a)項に基づき、市販のスパイウェア製品の運用利用が禁止されているか否かの判断を行った機関は、その判断結果および基礎となる分析の主要要素をDNIに提供する。 DNIは、作戦上の機密を保護するために提出機関と協議した後、この情報を本節の(c)項に記載の情報評価に組み込み、必要に応じて、この情報を本命令の第3項(b)に従って他機関に提供しなければならないものとする。
(e) The Assistant to the President for National Security Affairs (APNSA), or a designee, shall, within 30 days of the issuance of the intelligence assessment described in subsection (c) of this section, and additionally as the APNSA or designee deems necessary, convene agencies to discuss the intelligence assessment, as well as any other information about commercial spyware relevant to the factors set forth in subsection (a) of this section, in order to ensure effective interagency awareness and sharing of such information.	(e) 国家安全保障問題担当大統領補佐官（APNSA）またはその被指名者は、本項(c)に記載された情報評価の発行から30日以内に、またAPNSAまたは被指名者が必要と考える場合には、省庁間の認識と情報の共有を効果的に行うために、情報評価、および本項(a)に定める要因に関連する商用スパイウェアに関するその他の情報についても話し合うために省庁を招集するものとする。
(f) For any commercial spyware intended by an agency for operational use, a relevant official, as provided in section 5(k) of this order, shall certify the determination that the commercial spyware does not pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person based on the factors set forth in subsection (a) of this section. The obligation to certify such a determination shall not be delegated, except as provided in section 5(k) of this order.	(f) 機関が運用目的で使用する商用スパイウェアについては、本命令の第5条(k)に定める関係当局者が、本条(a)に定める要因に基づき、商用スパイウェアが合衆国政府に対する重大な防諜・セキュリティ上のリスク、または外国政府もしくは外国人による不正使用の著しいリスクをもたらさないという決定を証明するものとする。このような決定を証明する義務は、本命令の第5条(k)に規定される場合を除き、委任されないものとする。
(g) If an agency decides to make operational use of commercial spyware, the head of the agency shall notify the APNSA of such decision, describing the due diligence completed before the decision was made, providing relevant information on the agency’s consideration of the factors set forth in subsection (a) of this section, and providing the reasons for the agency’s determination. The agency may not make operational use of the commercial spyware until at least 7 days after providing this information or until the APNSA has notified the agency that no further process is required.	(g) ある機関が市販のスパイウェアを運用することを決定した場合、当該機関の長は、APNSAに当該決定を通知し、決定前に完了したデューディリジェンスを説明し、本項(a)に規定する要因の検討に関する関連情報を提供し、当該機関の決定の理由を提供するものとする。当該機関は、この情報を提供してから少なくとも7日後、またはAPNSAがこれ以上の処理を必要としないことを当該機関に通知するまで、商用スパイウェアの運用利用を行うことはできない。
(h) Within 90 days of the issuance of the intelligence assessment described in subsection (c) of this section, each agency shall review all existing operational uses of commercial spyware and discontinue, as soon as the head of the agency determines is reasonably possible without compromising ongoing operations, operational use of any commercial spyware that the agency determines poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, pursuant to subsection (a) of this section.	(h) 本項(c)に記載された情報評価の発行から90日以内に、各機関は、商用スパイウェアの既存の運用上の使用をすべて見直し、本項(a)に従って、米国政府に対する重大な防諜またはセキュリティ上のリスクまたは外国政府もしくは外国人による不正使用の著しいリスクがあると機関長が判断する商用スパイウェアの運用上の使用を、進行中の業務を損なわずに合理的に可能と判断した時点で停止しなければならない。
(i) Within 180 days of the date of this order, each agency that may make operational use of commercial spyware shall develop appropriate internal controls and oversight procedures for conducting determinations under subsection (a) of this section, as appropriate and consistent with applicable law.	(i) この命令の日付から180日以内に、市販のスパイウェアを運用上使用する可能性のある各機関は、本条第(a)項に基づく判断を行うための適切な内部統制および監視手順を、適切かつ適用法と一致するように開発するものとする。
(j) At any time after procuring commercial spyware for operational use, if the agency obtains relevant information with respect to the factors set forth in subsection (a) of this section, the agency shall determine whether the commercial spyware poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, and, if so, shall terminate such operational use as soon as the head of the agency determines is reasonably possible without compromising ongoing operations, and shall notify the DNI and the APNSA.	(j) 業務用スパイウェアを調達した後いつでも、本条(a)項に定める要因に関して関連情報を入手した場合、当該機関は、当該商用スパイウェアが合衆国政府にとって重大な防諜またはセキュリティ上のリスクをもたらすかどうか、または外国政府もしくは外国人による不適切な使用の重大なリスクをもたらすかを判断し、その場合は、継続中の業務を損なわずに機関の長が合理的に可能と判断した時点で当該業務使用を終了し、DNI及びAPNSAに通知しなければならない。
(k) The Federal Acquisition Security Council shall consider the intelligence assessment described in subsection (c) of this section in evaluating whether commercial spyware poses a supply chain risk, as appropriate and consistent with applicable law, including 41 C.F.R. Part 201-1 and 41 U.S.C. 1323.	(k) 連邦調達安全委員会は、商業用スパイウェアがサプライチェーンのリスクをもたらすかどうかを評価する際に、適切かつ41CFR Part 201-1および41U.S.C. 1323を含む適用法と一致するように、本節(c)に記載の情報評価を考慮しなければならない。
(l) The prohibitions contained in this section shall not apply to the use of commercial spyware for purposes of testing, research, analysis, cybersecurity, or the development of countermeasures for counterintelligence or security risks, or for purposes of a criminal investigation arising out of the criminal sale or use of the spyware.	(l) 本条に含まれる禁止事項は、試験、研究、分析、サイバーセキュリティ、または防諜もしくはセキュリティ・リスクに対する対策の開発を目的とした商用スパイウェアの使用、またはスパイウェアの犯罪的販売もしくは使用から生じる犯罪捜査の目的には適用されないものとする。
(m) A relevant official, as provided in section 5(k) of this order, may issue a waiver, for a period not to exceed 1 year, of an operational use prohibition determined pursuant to subsection (a) of this section if the relevant official determines that such waiver is necessary due to extraordinary circumstances and that no feasible alternative is available to address such circumstances. This authority shall not be delegated, except as provided in section 5(k) of this order. A relevant official may, at any time, revoke any waiver previously granted. Within 72 hours of making a determination to issue or revoke a waiver pursuant to this subsection, the relevant official who has issued or revoked the waiver shall notify the President, through the APNSA, of this determination, including the justification for the determination. The relevant official shall provide this information concurrently to the DNI.	(m) 本命令第5条(k)に規定される関係当局は、本条(a)項に従って決定された運用使用禁止の放棄が異常事態により必要であり、当該状況に対処するために実行可能な代替手段がないと関係当局が判断した場合、1年を超えない期間、当該放棄を行うことができます。この権限は、本令第5条(k)に規定される場合を除き、委任されないものとする。関係者は、いつでも、以前に付与された免除を取り消すことができる。本項に従って免除を発行または取り消す決定を下してから 72 時間以内に、免除を発行または取り消した関係当局は、APNSA を通じて、決定の正当性を含むこの決定を大統領に通知するものとする。関係当局は、この情報を DNI に同時に提供しなければならない。
Sec. 3. Application to Procurement. An agency seeking to procure commercial spyware for any purpose other than for a criminal investigation arising out of the criminal sale or use of the spyware shall, prior to making such procurement and consistent with its existing statutory and regulatory authorities:	第 3 条調達への適用：スパイウェアの犯罪的販売または使用に起因する犯罪捜査以外の目的で市販のスパイウェアを調達しようとする機関は、当該調達を行う前に、既存の法令および規制上の権限に基づき、以下のことを行うものとする：
(a) review the intelligence assessment issued by the DNI pursuant to section 2(c) of this order;	(a) この命令の第2条(c)に従ってDNIが発行した情報評価を検討すること；
(b) request from the DNI any additional information regarding the commercial spyware that is relevant to the factors set forth in section 2(a) of this order;	(b) この命令の第2条(a)に規定する要因に関連する商用スパイウェアに関する追加情報をDNIに要求すること；
(c) consider the factors set forth in section 2(a) of this order in light of the information provided by the DNI; and	(c) DNIから提供された情報に照らして、本命令の第2条(a)に規定する要因を検討すること。
(d) consider whether any entity furnishing the commercial spyware being considered for procurement has implemented reasonable due diligence procedures and standards — such as the industry-wide norms reflected in relevant Department of State guidance on business and human rights and on transactions linked to foreign government end-users for products or services with surveillance capabilities — and controls that would enable the entity to identify and prevent uses of the commercial spyware that pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person.	(d) 調達が検討されている商用スパイウェアを提供する事業者が、合理的なデューディリジェンスの手順と基準（ビジネスと人権に関する国務省の関連ガイダンスや監視機能を有する製品またはサービスに関する外国政府のエンドユーザと関連する取引に反映される業界全体の規範など）および米国政府にとって重大な防諜またはセキュリティ上のリスクをもたらす商用スパイウェアや外国政府または外国人によって不正使用する著しいリスクの用途を特定および防止できる統制を実施しているかを検討する。
Sec. 4. Reporting Requirements. (a) The head of each agency that has procured commercial spyware, upon completing the review described in section 2(h) of this order, shall submit to the APNSA a report describing the review’s findings. If the review identifies any existing operational use of commercial spyware, as defined in this order, the agency report shall include:	第4条報告要件： (a) 商用スパイウェアを調達した各機関の長は、本命令の第2項(h)に記載されたレビューを完了した時点で、レビューの結果を記載した報告書をAPNSAに提出する。レビューにより、本命令で定義される商用スパイウェアの既存の業務上の使用が確認された場合、当該機関の報告書には、以下が含まれるものとする：
(i) a description of such existing operational use;	(i) 当該既存の業務上の使用に関する記述；
(ii) a determination of whether the commercial spyware poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, along with key elements of the underlying analysis, pursuant to section 2(a) of this order; and	(ii) 本命令の第2条(a)に従い、商業用スパイウェアが、米国政府にとって重大な防諜またはセキュリティ上のリスク、あるいは外国政府または外国人による不適切な使用の重大なリスクをもたらすかどうかの判断と、その基礎となる分析の主要要素。
(iii) in the event the agency determines that the commercial spyware poses significant risks pursuant to section 2(a) of this order, what steps have been taken to terminate its operational use.	(iii) 本命令の第2項(a)に従って商用スパイウェアが重大なリスクをもたらすと機関が判断した場合、その業務上の使用を終了させるためにどのような措置が取られたのか。
(b) Within 45 days of an agency’s procurement of any commercial spyware for any use described in section 2(l) of this order except for use in a criminal investigation arising out of the criminal sale or use of the spyware, the head of the agency shall notify the APNSA of such procurement and shall include in the notification a description of the purpose and authorized uses of the commercial spyware.	(b) スパイウェアの犯罪的な販売または使用に起因する犯罪捜査における使用を除き、本注文の第2項(l)に記載された用途で機関が商用スパイウェアを調達した日から45日以内に、機関の長は、APNSAに当該調達を通知し、通知には、商用スパイウェアの目的および許可された用途の説明を含めなければならない。
(c) Within 6 months of the date of this order, the head of each agency that has made operational use of commercial spyware or has procured commercial spyware for operational use shall submit to the APNSA a report on the actions that the agency has taken to implement this order, including the internal controls and oversight procedures the agency has developed pursuant to section 2(i) of this order.	(c) 本命令の日付から6か月以内に、商用スパイウェアを業務上の目的で使用した、または業務上の目的で商用スパイウェアを調達した各機関の長は、本命令の第2項(i)に従って機関が開発した内部統制および監視手続を含め、当該機関が実施した措置に関する報告書をAPNSAに提出する。
(d) Within 1 year of the date of this order, and on an annual basis thereafter, the head of each agency that has procured commercial spyware for operational use shall provide the APNSA a report that identifies:	(d) 本命令の日付から1年以内、およびその後毎年、業務用の商用スパイウェアを調達している各機関の長は、APNSAに対し、以下を特定する報告書を提出する：
(i) any existing operational use of commercial spyware and the reasons why it does not pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, pursuant to section 2(a) of this order;	(i) 本命令の第2条(a)に従い、商用スパイウェアの既存の運用上の使用と、それが合衆国政府にとって重大な防諜またはセキュリティ上のリスク、あるいは外国政府または外国人による重大な不正使用のリスクを引き起こさない理由；
(ii) any operational use of commercial spyware that was terminated during the preceding year because it was determined to pose significant risks pursuant to section 2(a) of this order, the circumstances under which this determination was made, and the steps taken to terminate such use; and	(ii) この命令の第2条(a)に従って重大なリスクをもたらすと判断されたため、前年度に終了した商用スパイウェアの運用上の使用、この判断が下された状況、および当該使用を終了するために講じた措置。
(iii) any purchases made of commercial spyware, and whether they were made for operational use, during the preceding year.	(iii) 前年の間に、市販のスパイウェアを購入したこと、及びそれが業務用であったかどうか。
Sec. 5. Definitions. For purposes of this order:	第5条定義：本命令の目的上、以下のとおりとする：
(a) The term “agency” means any authority of the United States that is an “agency” under 44 U.S.C. 3502(1), other than those considered to be independent regulatory agencies, as defined in 44 U.S.C. 3502(5).	(a) 「機関」とは、44 U.S.C. 3502(1)に基づく「機関」である米国の当局をいい、44 U.S.C. 3502(5)に定義される独立規制機関とみなされるものは除きます。
(b) The term “commercial spyware” means any end-to-end software suite that is furnished for commercial purposes, either directly or indirectly through a third party or subsidiary, that provides the user of the software suite the capability to gain remote access to a computer, without the consent of the user, administrator, or owner of the computer, in order to:	(b) 「商用スパイウェア」とは、第三者または子会社を通じて直接的または間接的に商用目的で提供されるエンド・ツー・エンドのソフトウェア・スイートであって、当該ソフトウェアスイートの使用者に、当該コンピュータの使用者、管理者または所有者の同意なしに、以下の目的でコンピュータにリモートアクセスする機能を提供するものをいう：
(i) access, collect, exploit, extract, intercept, retrieve, or transmit content, including information stored on or transmitted through a computer connected to the Internet;	(i) インターネットに接続されたコンピュータに保存された情報またはコンピュータを通じて送信された情報を含むコンテンツにアクセス、収集、悪用、抽出、傍受、取得、または送信すること；
(ii) record the computer’s audio calls or video calls or use the computer to record audio or video; or	(ii) コンピュータの音声通話またはビデオ通話を記録すること、または音声またはビデオを記録するためにコンピュータを使用すること、または。
(iii) track the location of the computer.	(iii) コンピュータの場所を追跡すること。
(c) The term “computer” shall have the same meaning as it has in 18 U.S.C. 1030(e)(1).	(c) 「コンピュータ」という用語は、合衆国法律集第 18 編第 1030 条(e)(1)における意味と同じ意味を有するものとする。
(d) The term “entity” means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization.	(d) 「事業体」という用語は、パートナーシップ、協会、信託、ジョイントベンチャー、企業、グループ、サブグループ、またはその他の組織を意味する。
(e) The term “foreign entity” means an entity that is not a United States entity.	(e) 「外国企業」とは、米国の企業でない企業を意味する。
(f) The term “foreign government” means any national, state, provincial, or other governing authority, any political party, or any official of any governing authority or political party, in each case of a country other than the United States.	(f) 「外国政府」とは、国、州、地方、その他の統治当局、政党、統治当局または政党の役人をいい、いずれの場合も、米国以外の国のものをいう。
(g) The term “foreign person” means a person that is not a United States person.	(g) 「外国人」とは、合衆国人でない者をいう。
(h) The term “furnish,” when used in connection with commercial spyware, means to develop, maintain, own, operate, manufacture, market, sell, resell, broker, lease, license, repackage, rebrand, or otherwise make available commercial spyware.	(h)「提供する」という用語は、商用スパイウェアに関連して使用される場合、商用スパイウェアを開発、維持、所有、運用、製造、販売、再販、仲介、リース、ライセンス、再パッケージ、再ブランド、その他利用可能にすることを意味する。
(i) The term “operational use” means use to gain remote access to a computer, without the consent of the user, administrator, or owner of the computer, in order to:	(i) 「業務上の使用」とは、以下の目的で、コンピュータの使用者、管理者または所有者の同意を得ずに、コンピュータにリモートアクセスするための使用をいいる：
(i) access, collect, exploit, extract, intercept, retrieve, or transmit the computer’s content, including information stored on or transmitted through a computer connected to the Internet;	(i) インターネットに接続されたコンピュータに保存された情報またはコンピュータを通じて送信された情報を含む、コンピュータのコンテンツにアクセス、収集、悪用、抽出、傍受、取得、または送信すること；
(ii) record the computer’s audio calls or video calls or use the computer to otherwise record audio or video; or	(ii) コンピュータの音声通話またはビデオ通話を記録すること、あるいはコンピュータを使用して音声またはビデオを記録すること、または。
(iii) track the location of the computer.	(iii) コンピュータの位置を追跡すること。
The term “operational use” does not include those uses described in section 2(l) of this order.	運用上の使用」という用語には、本注文の第2項(l)に記載される使用は含まれない。
(j) The term “person” means an individual or entity.	(j) 「人」という用語は、個人または団体を意味する。
(k) The term “relevant official,” for purposes of sections 2(f) and 2(m) of this order, refers to any of the following: the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, the DNI, the Director of the Central Intelligence Agency, or the Director of the National Security Agency. The Attorney General’s obligation under section 2(f) of this order and authority under section 2(m) of this order may be delegated only to the Deputy Attorney General.	(k) 本命令第2条(f)および第2条(m)における「関係当局者」とは、国防長官、司法長官、国土安全保障省長官、DNI、中央情報局長官、国家安全保障局長官のいずれかを意味するものとする。本命令第2条(f)に基づく司法長官の義務および本命令第2条(m)に基づく権限は、司法長官代理にのみ委任することができます。
(l) The term “remote access,” when used in connection with commercial spyware, means access to a computer, the computer’s content, or the computer’s components by using an external network (e.g., the Internet) when the computer is not in the physical possession of the actor seeking access to that computer.	(l) 「リモート・アクセス」という用語は、商用スパイウェアに関連して使用される場合、コンピュータへのアクセスを求める行為者がそのコンピュータを物理的に所有していないときに、外部ネットワーク（例えば、インターネット）を使用してコンピュータ、コンピュータのコンテンツ、またはコンピュータのコンポーネントにアクセスすることを意味する。
(m) The term “United States entity” means any entity organized under the laws of the United States or any jurisdiction within the United States (including foreign branches).	(m) 「米国企業」とは、米国法または米国内の司法権に基づき組織された企業（外国支店を含む）をいいる。
(n) The term “United States person” shall have the same meaning as it has in Executive Order 12333 of December 4, 1981 (United States Intelligence Activities), as amended.	(n) 「合衆国人」という用語は、1981年12月4日の大統領令12333（合衆国諜報活動）において修正されたものと同じ意味を有するものとする。
(o) The term “United States Government personnel” means all United States Government employees as defined by 5 U.S.C. 2105.	(o)「合衆国政府職員」とは、5 U.S.C. 2105に規定されるすべての合衆国政府職員をいう。
Sec. 6. General Provisions. (a) Nothing in this order shall be construed to impair or otherwise affect:	第6条一般規定： (a) 本命令のいかなる条項も、以下の事項を損なう、またはその他の影響を与えるものと解釈してはならない：
(i) the authority granted by law to an executive department or agency, or the head thereof; or	(i) 行政機関またはその長に法律で認められた権限。
(ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.	(ii) 予算、行政、または立法案に関する行政管理予算局長の機能。
(b) Nothing in this order shall be construed to limit the use of any remedies available to the head of an agency or any other official of the United States Government.	(b) 本命令のいかなる内容も、省庁の長または米国政府の他の職員が利用できる救済措置の利用を制限するものと解釈してはならない。
(c) This order shall be implemented consistent with applicable law, including section 6318 of the NDAA FY 2023, as well as applicable procurement laws, and subject to the availability of appropriations.	(c) 本命令は、2023年度NDAA第6318条、適用される調達法を含む適用法と一致し、かつ、充当可能な予算に応じて実施されるものとする。
(d) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.	(d) 本命令は、実体的または手続き的に、いかなる当事者も米国、その省庁、団体、その役員、職員、代理人、またはその他の人物に対して法律上または衡平法上強制できる権利または利益を創出することを意図しておらず、また創出しない。
JOSEPH R. BIDEN JR.	ジョセフ・R・バイデン Jr.
THE WHITE HOUSE,	ホワイトハウス
March 27, 2023.	2023年3月27日

・2023.03.27 FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security

FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security	ファクトシート：バイデン大統領、国家安全保障に危険を及ぼす商用スパイウェアの米国政府使用を禁止する大統領令に署名
Presidential Directive Will Serve as a Cornerstone Initiative During the Second Summit for Democracy	大統領令は、第2回民主主義のためのサミットにおける基軸となるイニシアティブとなる
Today, President Biden signed an Executive Order that prohibits, for the first time, operational use by the United States Government of commercial spyware that poses risks to national security or has been misused by foreign actors to enable human rights abuses around the world.	本日、バイデン大統領は、国家安全保障に危険を及ぼす、あるいは外国人行為者によって世界中の人権侵害を可能にするために悪用されてきた商用スパイウェアの米国政府による運用利用を初めて禁止する大統領令に署名した。
Commercial spyware – sophisticated and invasive cyber surveillance tools sold by vendors to access electronic devices remotely, extract their content, and manipulate their components, all without the knowledge or consent of the devices’ users – has proliferated in recent years with few controls and high risk of abuse.	商用スパイウェアとは、電子機器に遠隔からアクセスし、そのコンテンツを抽出し、そのコンポーネントを操作するための、ベンダーが販売する高度で侵襲的なサイバー監視ツールで、すべて機器のユーザーの知識や同意なしに、制御がほとんどなく、悪用のリスクが高い状態で近年拡散している。
The proliferation of commercial spyware poses distinct and growing counterintelligence and security risks to the United States, including to the safety and security of U.S. Government personnel and their families. U.S. Government personnel overseas have been targeted by commercial spyware, and untrustworthy commercial vendors and tools can present significant risks to the security and integrity of U.S. Government information and information systems.	商用スパイウェアの拡散は、米国政府関係者とその家族の安全やセキュリティを含め、米国に明確かつ増大する防諜・安全保障上のリスクをもたらす。海外の米国政府関係者は、商用スパイウェアに狙われており、信頼できない商用ベンダーやツールは、米国政府の情報および情報システムのセキュリティと完全性に重大なリスクをもたらす可能性がある。
A growing number of foreign governments around the world, moreover, have deployed this technology to facilitate repression and enable human rights abuses, including to intimidate political opponents and curb dissent, limit freedom of expression, and monitor and target activists and journalists. Misuse of these powerful surveillance tools has not been limited to authoritarian regimes. Democratic governments also have confronted revelations that actors within their systems have used commercial spyware to target their citizens without proper legal authorization, safeguards, and oversight.	さらに、世界中のますます多くの外国政府が、政治的反対者を脅迫し、反対意見を抑制し、表現の自由を制限し、活動家やジャーナリストを監視し標的とするなど、抑圧を促進し人権侵害を可能にするためにこの技術を導入している。こうした強力な監視ツールの悪用は、権威主義的な政権に限ったことではない。民主的な政府もまた、自国のシステム内の行為者が、適切な法的認可、保護措置、監視なしに、市民を標的にするために商用スパイウェアを使用していることが明らかになったことに直面している。
In response, the Biden-Harris Administration has mobilized a government-wide effort to counter the risks posed by commercial spyware. Today’s Executive Order builds on these initiatives, and complementary bipartisan congressional action, to establish robust protections against misuse of such tools.	これに対し、バイデン-ハリス政権は、商用スパイウェアがもたらすリスクに対抗するため、政府を挙げての取り組みを行いました。本日の大統領令は、こうした取り組みと超党派の議会活動を補完するものであり、こうしたツールの悪用に対する強固な保護を確立するものである。
This Executive Order will serve as a cornerstone U.S. initiative during the second Summit for Democracy on March 29-30, 2023, which President Biden will co-host with the leaders of Costa Rica, the Netherlands, the Republic of Korea, and the Republic of Zambia. In furtherance of President Biden’s National Security Strategy, this Executive Order demonstrates the United States’ leadership in, and commitment to, advancing technology for democracy, including by countering the misuse of commercial spyware and other surveillance technology. This Executive Order will also serve as a foundation to deepen international cooperation to promote responsible use of surveillance technology, counter the proliferation and misuse of such technology, and spur industry reform.	この大統領令は、バイデン大統領がコスタリカ、オランダ、大韓民国、ザンビア共和国の首脳と共同開催する、2023年3月29～30日の第2回民主化サミットにおける米国の重要なイニシアティブとして機能することになるでしょう。バイデン大統領の国家安全保障戦略を推進するため、この大統領令は、商業用スパイウェアやその他の監視技術の悪用に対抗することを含め、民主主義のための技術の進歩における米国のリーダーシップとそのコミットメントを示すものである。また、この大統領令は、監視技術の責任ある使用を促進し、そのような技術の拡散や悪用に対抗し、業界の改革を促進するための国際協力を深めるための基盤としても機能する。
***	***
In particular, the Executive Order signed by President Biden today:	特に、本日バイデン大統領が署名した大統領令では
・Applies to U.S. federal government departments and agencies, including those engaged in law enforcement, defense, or intelligence activities, and encompasses spyware tools furnished by foreign or domestic commercial entities.	・法執行、防衛、諜報活動に従事するものを含む、米国連邦政府の部局および機関に適用され、外国または国内の商業団体が提供するスパイウェアツールを包含する。
・Prohibits departments and agencies across the federal government from operationally using commercial spyware tools that pose significant counterintelligence or security risks to the U.S. Government or significant risks of improper use by a foreign government or foreign person, including to target Americans or enable human rights abuses.	・連邦政府内の各省庁が、米国政府に対する重大な防諜・安全保障上のリスク、または米国人を標的にしたり人権侵害を可能にするなど、外国政府または外国人による不正使用の重大なリスクをもたらす商用スパイウェアツールを業務上、使用することを禁止する。
・Establishes key counterintelligence, security, and improper use factors that indicate such risks, including if :	・以下の場合を含め、そのようなリスクを示す重要な防諜、安全保障、不適切な使用の要因を確立する：
・・a foreign government or foreign person has used or acquired the commercial spyware to gain or attempt to gain access to U.S. Government electronic devices, or those of U.S. Government personnel, without authorization from the U.S. Government;	外国政府または外国人が、米国政府の電子デバイスまたは米国政府職員の電子デバイスに、米国政府の許可なくアクセスするため、またはアクセスしようとするために、商用スパイウェアを使用または取得した；
・・the commercial spyware was or is furnished by an entity that (1) maintains, transfers, or uses data obtained from the commercial spyware without authorization from the licensed end-user or the U.S. Government; (2) has disclosed or intends to disclose non-public information about the U.S. Government or its activities without authorization from the U.S. Government; or (3) is under the direct or effective control of a foreign government or foreign person engaged in intelligence activities directed against the United States;	・・(1)ライセンスされたエンドユーザまたは米国政府の許可なく、商用スパイウェアから取得したデータを維持、転送または使用する、(2)米国政府またはその活動に関する非公開情報を米国政府の許可なく開示したまたは開示しようとする、(3)米国に向けた情報活動を行う外国政府または外国人の直接的または実効支配下にある事業者によって提供された、または提供されていた；
・・a foreign actor uses the commercial spyware against activists, dissidents, or other actors to intimidate; to curb dissent or political opposition; to otherwise limit freedoms of expression, peaceful assembly or association; or to enable other forms of human rights abuses or suppression of civil liberties;	・・外国の行為者が、活動家、反体制派、またはその他の行為者に対して、威嚇するため、反対意見や政治的反対を抑制するため、表現、平和的集会または結社の自由を制限するため、またはその他の形態の人権侵害や市民的自由の抑圧を可能にするために商業用スパイウェアを使用する；
・・a foreign actor uses the commercial spyware to monitor a United States person, without consent, in order to track or target them without proper legal authorization, safeguards, and oversight; and	・・外国の行為者が、適切な法的認可、保護措置、および監視なしに、米国人を追跡または標的とするために、同意なしに、商業用スパイウェアを使用して米国人を監視する場合、および
・・the commercial spyware is furnished to governments for which there are credible reports that they engage in systematic acts of political repression, including arbitrary arrest or detention, torture, extrajudicial or politically motivated killing, or other gross violations of human rights. This ensures application of the Executive Order in situations when foreign actors may not yet have committed specific abuses through the use of commercial spyware, but have engaged in other serious abuses and violations of human rights.	・・商業用スパイウェアは、恣意的な逮捕や拘留、拷問、超法規的または政治的動機による殺害、その他の重大な人権侵害を含む政治的抑圧行為を組織的に行っているという信頼できる報告がある政府に対して提供されます。これにより、外国の行為者が商業用スパイウェアの使用を通じて特定の虐待をまだ行っていないかもしれないが、他の重大な虐待や人権侵害に関与している状況においても、大統領令の適用が保証される。
・Identifies concrete remedial steps that commercial spyware vendors can take to reduce identified risks, such as cancelling relevant licensing agreements or contracts that present such risks.	・商業用スパイウェアのベンダーが、そのようなリスクをもたらす関連ライセンス契約や契約の取り消しなど、特定されたリスクを軽減するために取ることのできる具体的な改善策を特定する。
・Directs important new reporting and information-sharing requirements within the Executive Branch to ensure departments and agencies can make informed and consistent determinations based on up-to-date all-source information, including a semi-annual comprehensive intelligence assessment.	・半年ごとの包括的な情報評価を含む最新の全情報源情報に基づき、各省庁が情報に基づいた一貫した判断を下せるように、行政機関内で重要な新しい報告および情報共有の要件を指示する。
The Executive Order, therefore, seeks to ensure that any U.S. Government use of commercial spyware aligns with the United States’ core national security and foreign policy interests in upholding and advancing democratic processes and institutions, and respect for human rights; does not contribute, directly or indirectly, to the proliferation and misuse of commercial spyware; and helps protect U.S. Government personnel and U.S. Government information systems and intelligence and law enforcement activities against significant counterintelligence or security risks.	したがって、この大統領令は、米国政府による商用スパイウェアの使用が、民主的プロセスと制度、人権の尊重を支持・促進するという米国の国家安全保障と外交政策の中核的利益に合致し、商用スパイウェアの拡散と悪用に直接的または間接的に寄与せず、米国政府職員、米国政府の情報システム、情報および法執行活動を重大な防諜またはセキュリティのリスクから守るのに役立つことを保証しようとする。
***	***
The Executive Order complements concrete actions the Biden-Harris Administration and Congress have taken to confront the threat posed by the proliferation and misuse of commercial spyware:	この大統領令は、バイデン＝ハリス政権と議会が、商用スパイウェアの拡散と悪用によってもたらされる脅威に立ち向かうためにとった具体的な行動を補完するものである：
・Congress enacted new statutory authorities and requirements related to commercial spyware in the Intelligence Authorization Acts for Fiscal Years 2022 and 2023, including new restrictions and reporting requirements for Intelligence Community (IC) employees’ post-service employment with foreign governments or companies, to include foreign commercial spyware entities. Last week, the Director of National Intelligence issued binding guidance to the U.S. Intelligence Community to implement these statutory requirements, which set an international standard that we hope will be followed by other countries.	・議会は、2022年度および2023年度の情報認可法において、商業スパイウェアに関連する新たな法的権限と要件を制定した。これには、情報コミュニティ（IC）職員の勤務後の外国政府または企業との雇用に関する新たな制限と報告要件（外国の商業スパイウェア事業体を含む）が含まれている。先週、国家情報長官は、これらの法定要件を実施するために、米国の情報コミュニティに対して拘束力のあるガイダンスを発行した。これは、他の国々が追随することを期待する国際標準を設定するものである。
・The Department of Commerce’s Bureau of Industry and Security (BIS) has placed foreign entities on the Entity List to address foreign policy concerns related to surveillance technologies. In November 2021, BIS added four commercial entities to the Entity List for engaging in the proliferation and misuse of cyber intrusion tools contrary to the national security or foreign policy interests of the United States.	・商務省産業安全保障局（BIS）は、監視技術に関連する外交政策の懸念に対処するため、外国の事業者を事業者リストに載せている。2021年11月、BISは、米国の国家安全保障または外交政策の利益に反するサイバー侵入ツールの拡散と悪用に関与したとして、4つの商業団体をEntity Listに追加した。
・The Department of Commerce has implemented technology-based controls to address digital surveillance tools. In October 2021, the Department implemented multilateral Wassenaar Arrangement export controls on certain cybersecurity items that could be used for surveillance, espionage or other actions that disrupt, deny, or degrade a network or devices on the network. The final rule has been in effect since May 2022.	・商務省は、デジタル監視ツールに対処するため、技術に基づく管理を実施した。2021年10月、同省は、監視、スパイ活動、またはネットワークやネットワーク上の機器を混乱、拒否、劣化させるその他の行為に使用される可能性のある特定のサイバーセキュリティ品目について、多国間ワッセナー・アレンジメント輸出規制を実施した。最終ルールは2022年5月から施行されている。
・In January 2022, the Department of State and the Office of the Director of National Intelligence’s National Counterintelligence and Security Center issued an advisory for the broader public on how to protect oneself from commercial surveillance tools.	・2022年1月、国務省と国家情報長官室の国家防諜・セキュリティセンターは、より広範な国民に向けて、商用監視ツールから身を守る方法に関する勧告を発表した。
At the direction of Congress, the Department of State, in consultation with the Office of the Director of National Intelligence, has submitted to appropriate oversight committees a classified report on contractors that have knowingly assisted or facilitated certain cyberattacks or conducted surveillance activities on behalf of relevant foreign governments against the United States or for the purposes of suppressing dissent or intimidating critics.	議会の指示により、国務省は国家情報長官室と協議の上、関連する外国政府のために米国に対する特定のサイバー攻撃を故意に支援または促進したり、監視活動を行ったりした業者、または反対意見の弾圧や批判者の威嚇を目的とした業者に関する機密報告書を適切な監視委員会に提出した。
・In June 2021, Secretary Blinken announced that the Department of State, on behalf of the Biden-Harris Administration, will update the United States’ National Action Plan on Responsible Business Conduct. This builds on prior U.S. government guidance, including the U.S. Department of State guidance on implementing business and human rights principles for “Transactions Linked to Foreign Government End-Users for Products or Services with Surveillance Capabilities".	・2021年6月、ブリンケン長官は、バイデン＝ハリス政権に代わり、国務省が「責任ある企業行動に関する米国の国家行動計画」を更新することを発表した。これは、"監視機能を有する製品またはサービスに関する外国政府のエンドユーザーと連携した取引 "に対するビジネスおよび人権原則の実施に関する米国務省のガイダンスなど、これまでの米国政府のガイダンスに基づくものである。
In parallel, the Biden-Harris Administration continues to undertake a concerted effort to assess the extent to which commercial spyware has been directed against U.S. Government personnel serving overseas and mitigate the counterintelligence and security risks posed by these tools.	これと並行して、バイデン-ハリス政権は、商用スパイウェアが海外で勤務する米国政府関係者に向けられた程度を評価し、これらのツールがもたらす防諜およびセキュリティリスクを軽減するための協調的な取り組みを続けている。
Taken together, these efforts aim to reduce the improper use of new technological tools to facilitate repression and human rights abuses, mitigate the counterintelligence threats these tools can pose to the U.S. Government, ensure that U.S. companies and former U.S. Government personnel are not facilitating authoritarian or repressive practices abroad, and provide tools to Americans and civil society to better protect themselves.	これらの努力は、抑圧や人権侵害を助長する新しい技術ツールの不適切な使用を減らし、これらのツールが米国政府にもたらす防諜上の脅威を軽減し、米国企業や元米国政府職員が海外で権威主義的または抑圧的な行為を助長しないようにし、米国人や市民社会がよりよく自衛できるツールを提供することを目的としている。

まだ掲載されていないが、ここに載るはず...

⚫︎ Federal Registor

・2023 Joseph R. Biden Jr. Executive Orders

ニュース...

[UK]

⚫︎ Computing
・2023.03.28 50 US government staff targeted with commercial spyware

[Germany]

⚫︎AFX News
・2023.03.28 Government Use Of Risky Commercial Spyware Banned In US

[U.S.]

⚫︎ Tech Crunchz
・2023.03.28 Biden executive order bans federal agencies from using commercial spyware

⚫︎ Engadget
・2023.03.27 Biden administration bans federal agencies from using commercial spyware

⚫︎ The Star
・2023.03.28 US to adopt new restrictions on using commercial spyware

⚫︎ US Today
・2023.03.27 As part of ongoing effort to beef up cybersecurity, Biden turns gaze to commercial spyware

⚫︎ CBS News
・2023.03.27 Biden signs executive order restricting government's use of commercial spyware

⚫︎ Gizmodo
・2023.03.27 U.S. Rolls Out Strict Rules for Commercial Spyware Use, Amidst Rash of Hacks

⚫︎ PBS News
・2023.03.27 U.S. to adopt new restrictions on the use of commercial spyware

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.04 米国国家サイバーセキュリティ戦略を発表

2023.03.29 03:50 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2023.03.28

EU データ法が欧州議会で本会議で可決 (2023.03.14)

こんにちは、丸山満彦です。

EUのデータ法が欧州議会の本会議で可決されたようですね。。。

● European Parliament

プレス...

・2023.03.14 Data Act: MEPs back new rules for fair access to and use of industrial data

Data Act: MEPs back new rules for fair access to and use of industrial data	データ法：欧州議会、産業データへの公正なアクセスと利用のための新ルールを支持
・Innovation increasingly relies on data	・イノベーションはますますデータに依存する
・Legislation clarifies who can access data and on what terms	・誰がどのような条件でデータにアクセスできるかを明確にする法制化
・It will empower a wider range of private and public entities to share data	・より広範な民間および公共団体がデータを共有できるようになる。
・MEPs want to preserve incentives for businesses to invest in data generation	・欧州議会は、企業がデータ生成に投資するためのインセンティブを維持したいと考えている
The “Data Act” aims to boost innovation by removing barriers obstructing access by consumers and businesses to data.	「データ法」は、消費者や企業によるデータへのアクセスを阻害する障壁を取り除くことで、イノベーションを促進することを目的としている。
The draft legislation, adopted on Tuesday 14 March, would contribute to the development of new services, in particular in artificial intelligence where huge amounts of data are needed for algorithm training. It can also lead to better prices for after-sales services and repairs of connected devices.	3月14日（火）に採択されたこのドラフト法案は、特にアルゴリズム学習に膨大なデータを必要とする人工知能において、新しいサービスの開発に貢献するものである。また、コネクテッドデバイスのアフターサービスや修理の価格改善にもつながる。
The volume of data generated by humans and machines is increasing exponentially and becoming a critical factor for innovation by businesses and by public authorities (e.g. shaping of smart cities). This kind of data is said to have become “the new oil”.	人間や機械が生み出すデータ量は指数関数的に増加し、企業や公的機関（スマートシティの形成など）がイノベーションを起こすための重要な要素になってきている。このようなデータは、「新しい石油」になったと言われている。
The data act establishes common rules governing the sharing of data generated by the use of connected products or related services (e.g. the internet of things, industrial machines) to ensure fairness in data sharing contracts.	データ法は、接続された製品や関連サービス（モノのインターネット、産業機械など）の使用によって生成されるデータの共有を管理する共通のルールを確立し、データ共有契約の公平性を確保するものである。
80% of data not used	80％のデータが利用されていない
MEPs adopted measures to allow users access to the data they generate, as 80% of industrial data collected are never used, according to the European Commission. They also want to ensure contractual agreements are at the centre of business-to-business relationships.	欧州委員会によると、収集された産業データの80％は利用されることがないため、欧州議会は、ユーザーが生成したデータへのアクセスを可能にする措置を採択した。彼らはまた、企業間関係の中心に契約上の合意があることを望んでいる。
Companies would be able decide what data can be shared, and the manufacturer could choose not to make certain data available “by design”. When companies draft their data-sharing contracts, the law will rebalance the negotiation power in favour of SMEs, by shielding them from unfair contractual terms imposed by companies in a significantly stronger bargaining position.	企業は、どのようなデータを共有できるかを決めることができるようになり、メーカーは、特定のデータを「設計上」利用できないようにすることもできる。企業がデータ共有契約をドラフトする際、この法律は、著しく強い交渉力を持つ企業が課す不当な契約条件から中小企業を保護することで、交渉力のバランスを中小企業側に有利に調整することになる。
Protecting trade secrets and avoiding unlawful data transfer	企業秘密の保護と違法なデータ転送の回避
The text also defines how public sector bodies can access and use data held by the private sector that are necessary in exceptional circumstances or emergencies, such as floods and wildfires.	また、洪水や山火事などの例外的な状況や緊急時に必要な、民間企業が保有するデータへの公的機関のアクセスや利用方法についても規定されている。
MEPs also strengthened provisions to protect trade secrets and avoid a situation where increased access to data is used by competitors to retro-engineer services or devices. They also set stricter conditions on business-to-government data requests.	また、欧州議会は、企業秘密を保護し、データへのアクセスの増加によって競合他社がサービスや機器の改造に利用するような事態を避けるための規定を強化した。また、企業から政府へのデータ要求に関する条件もより厳しく設定された。
Finally, the data act would facilitate switching between providers of cloud services, and other data processing services, and introduce safeguards against unlawful international data transfer by cloud service providers.	最後に、データ法は、クラウドサービスやその他のデータ処理サービスのプロバイダー間の切り替えを容易にし、クラウドサービスプロバイダーによる違法な国際データ転送に対するセーフガードを導入するものである。
Quote	引用
“The Data Act will be an absolute game changer providing access to an almost infinite amount of high-quality industrial data. Competitiveness and innovation are part of its DNA,” said lead MEP Pilar del Castillo Vera (EPP, ES).	主任欧州議会議員Pilar del Castillo Vera（EPP、ES）は「データ法は、ほぼ無限にある高品質の産業データへのアクセスを提供する、絶対的なゲームチェンジャーとなる。競争力とイノベーションは、そのDNAの一部である」と、述べている。
Next steps	次のステップ
The text was adopted with 500 votes to 23, with 110 abstentions. MEPs are now ready to enter into negotiations with the Council on the final shape of the law.	この文書は500票対23票で採択され、110の棄権があった。欧州議会は今後、法律の最終的な形について理事会との交渉に入る準備が整った。

・法案

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.15 欧州データ法案欧州議会議員は産業データへの公正なアクセスと利用のための新ルールを支持

・2022.03.01 欧州委員会データ法の提案

参考...

・2023.03.16 ⽇欧産業協⼒センター欧州デジタル政策 (Vol.4-5)

・2022.09.23 ⽇欧産業協⼒センター欧州デジタル政策 (Vol.1-3)

データガバナンス法案

・2021.12.05 欧州欧州議会とEU加盟国間でデータガバナンス法について政治的合意　（欧州データガバナンス法成立が近づきましたね。。。）

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS)　データガバナンス法に関する共同意見を採択

・2020.11.29 EU データガバナンス法案

2023.03.28 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.03.25

個人情報保護委員会犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書

こんにちは、丸山満彦です。

個人情報保護委員会が、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書」を公表していますね。。。

● 個人情報保護委員会

・2023.03.23 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書を公表しました。

報告書

[PDF] 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書（令和５年３月）

開催状況

報告書の目次...

第 1 章本報告書の背景
１顔識別機能付きカメラシステムを巡る国内動向
２本報告書の対象範囲について
(1) 取り扱う個人情報
(2) 顔識別機能付きカメラを設置する空間的範囲
(3) 顔識別機能付きカメラシステムを利用する目的
(4) 顔識別機能付きカメラシステムを利用する主体的範囲
３本報告書の位置づけ

第 2 章用語の定義

第 3 章顔識別機能付きカメラシステムについて
１顔識別機能付きカメラシステムやその他防犯システムの機能や動向
(1) 顔識別機能付きカメラシステムの技術的仕組み
(2) 顔識別機能付きカメラシステム以外の映像分析技術
(3) その他の防犯システム、対策
２顔識別機能付きカメラシステムを利用することの利点・懸念点
(1) 顔識別機能付きカメラシステムを利用することの利点
(2) 顔識別機能付きカメラシステムを利用することの懸念点
３犯罪予防や安全確保のために顔識別機能付きカメラシステムを利用することが想定される場面
(1) 犯罪予防
(2) 要保護者保護

第 4 章肖像権・プライバシーに関する留意点
１肖像権・プライバシー侵害を争点とする裁判例
(1) 肖像権・プライバシー侵害を争点とする判例
(2) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例における考慮要素
(3) 顔識別機能付きカメラシステムを利用する場合への示唆
２不法行為の成否と個人情報保護法の関係
(参考) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例

第 5 章顔識別機能付きカメラシステムを利用する際の個人情報保護法上の留意点
１顔識別機能付きカメラシステムの利用と個人情報保護法の適用について
２利用目的の特定、通知公表及びその他の個人情報に係る規律
(1) 利用目的の特定
(2) 利用目的等の通知公表等
(3) 不適正利用の防止及び適正取得のための態様
(4) 利用目的の通知公表等の例外
(5) 要配慮個人情報について
(6) 従来型防犯カメラについての考え方
３運用基準の在り方及び当該内容に関する透明性の確保
(1) 登録基準
(2) 対応手順
(3) 保存期間
(4) 登録消去
(5) 運用基準に関する透明性の確保
４安全管理措置
５他の事業者等に対する個人データの提供
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき及び公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 委託
(4) 共同利用
６保有個人データに係る情報の公表等及び開示等の請求や相談への対応
(1) 保有個人データについて
(2) 保有個人データに係る情報の公表等
(3) 開示等の請求や相談への対応
(参考) 顔識別機能付きカメラシステムに関する委託

第 6 章事業者の自主的な取組として考えられる事項
１実現しようとする内容の明確化・適切な手段の選択
２導入前の影響評価
３被撮影者への十分な説明
４他の事業者との連携
５導入後の検証

別紙１︓顔識別機能付きカメラシステムの利用を巡る国際的な議論
別紙２︓顔識別機能付きカメラシステムの検討の観点リスト
別紙３︓施設内での掲示案

（参考資料）犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2023.01.13 個人情報保護委員会「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書（案）」に関する意見募集

・2022.12.24 個人情報保護委員会第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.09.10 個人情報保護委員会第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

顔認識

・2022.12.24 個人情報保護委員会第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク　ユースケース：法執行機関の捜査 9つの原則 (2022.11)

・2022.11.01 第44回世界プライバシー会議　顔認識に関する決議

・2022.10.03 米国 2022年顔認識法案

・2022.09.10 個人情報保護委員会第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.07.10 米国 GAO 顔認識技術：連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.24 個人情報保護委員会第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.30 英国情報コミッショナー顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意：あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク　ユースケース：法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用：IBMをケースにした研究

・2021.09.27 欧州委員会職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会提言バイオメトリクス認識と行動検知

・2021.08.28 中国意見募集国家サイバースペース管理局「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術：連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国意見募集監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行：正義と説明可能性

・2021.08.04 中国通信院信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国最高人民法院「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国情報コミッショナー公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院　顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府：データ倫理とイノベーションセンター　プライバシーに関するユーザの積極的選択中間報告（スマートフォン）

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国意見募集顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会）のブログ会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 （人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言（Global Privacy Standards for a Global World）

・2005.08.11 外務省　IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

2023.03.25 07:28 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.03.24

米国 FTC クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集

こんにちは、丸山満彦です。

米国のFTC（連邦取引委員会）が、クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集をおこなっていますね。。。

「競争」に関する事項10問、「セキュリティ」に関する事項10問の合わせて、20問の質問事項があります。。。

こういう意見募集の仕方もありですね。。。これならウェブホームでもできそうですね。。。

● U.S. Federal Trade Comｍission

・2023.03.22 FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security

FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security	FTC、競争とデータセキュリティに影響を与える可能性のあるクラウドコンピューティング・プロバイダーのビジネス慣行に関するコメントを募集中
Agency staff seek comment on cloud computing impact on specific industries including healthcare, finance, transportation, e-commerce and defense	クラウドコンピューティングが医療、金融、運輸、電子商取引、防衛など特定の産業に与える影響について意見を求める。
The Federal Trade Commission staff are seeking information on the business practices of cloud computing providers including issues related to the market power of these companies, impact on competition, and potential security risks.	連邦取引委員会のスタッフは、クラウドコンピューティングプロバイダーの市場力、競争への影響、潜在的なセキュリティリスクに関する問題を含め、クラウドコンピューティングプロバイダーのビジネス慣行に関する情報を求めている。
In a Request for Information, FTC staff are seeking information about the competitive dynamics of cloud computing, the extent to which certain segments of the economy are reliant on cloud service providers, and the security risks associated with the industry’s business practices. In addition to the potential impact on competition and data security, FTC staff are also interested in the impact of cloud computing on specific industries including healthcare, finance, transportation, e-commerce, and defense.	FTCのスタッフは、Request for Informationの中で、クラウドコンピューティングの競争力学、経済の特定の分野がクラウドサービスプロバイダーに依存している程度、業界の商習慣に関連するセキュリティリスクに関する情報を求めている。FTCのスタッフは、競争やデータセキュリティへの潜在的な影響に加え、ヘルスケア、金融、輸送、電子商取引、防衛などの特定の業界におけるクラウドコンピューティングの影響にも関心を持っている。
“Large parts of the economy now rely on cloud computing services for a range of services,” said Stephanie T. Nguyen, the FTC’s Chief Technology Officer. “The RFI is aimed at better understanding the impact of this reliance, the broader competitive dynamics in cloud computing, and potential security risks in the use of cloud.”	FTCの最高技術責任者であるStephanie T. Nguyenは、以下のようにのべている。「現在、経済の大部分は、さまざまなサービスにおいてクラウドコンピューティングサービスに依存している。今回のRFIは、この依存の影響、クラウドコンピューティングにおける広範な競争力学、クラウド利用における潜在的なセキュリティリスクをよりよく理解することを目的としている。」
Cloud computing, which is used by a wide range of industries for on-demand access to data storage, servers, networks, and more, is increasingly central to many areas of the economy. The agency has brought several cases against companies that failed to implement basic security safeguards to protect data they stored on third-party cloud computing services including recent cases involving the alcohol delivery platform Drizly and education technology provider Chegg. The FTC has also issued guidance to businesses on steps they can take to secure and protect data stored in the cloud. The RFI will allow the agency to gather more information and insights on cloud computing as a whole.	データストレージ、サーバー、ネットワークなどへのオンデマンドアクセスのために幅広い産業で利用されているクラウドコンピューティングは、経済の多くの分野でますます中心的な存在になっている。FTCは、アルコール配送プラットフォームDrizlyや教育技術プロバイダーCheggに関する最近の事例を含め、第三者のクラウドコンピューティングサービスに保存するデータを保護するための基本的なセキュリティ保護措置を実施しなかった企業に対して、いくつかの訴訟を起こしている。また、FTCは、クラウドに保存されたデータを安全に保護するために企業が講じるべき措置に関するガイダンスを発表している。今回のRFIにより、同機関はクラウドコンピューティング全体に関するより多くの情報と洞察を収集することができる。
Among the topics the FTC is seeking comment on include:	FTCがコメントを求めているテーマには、以下のようなものがある：
・the extent to which particular segments of the economy are reliant on a small handful of cloud service providers;	・経済界の特定の分野が、少数のクラウドサービスプロバイダーにどの程度依存しているか；
・the ability of cloud customers to negotiate their contracts with cloud providers or are experiencing take-it-or-leave it standard contracts;	・クラウド利用者がクラウドプロバイダーと契約交渉する能力、または標準的な契約を締結していること；
・incentives providers offer customers to obtain more of their cloud services from a single provider;	・プロバイダーが顧客に提供する、より多くのクラウドサービスを単一のプロバイダーから取得するためのインセンティブ；
・the extent to which cloud providers compete on their ability to provide secure storage for customer data;	・クラウドプロバイダーが顧客データの安全な保存を提供する能力でどの程度競争するか；
・the types of products or services cloud providers offer based on, dependent on, or related to artificial intelligence; and the extent to which those products or services are proprietary or provider agnostic; and	・クラウドプロバイダーが提供する、人工知能に基づく、依存する、または関連する製品またはサービスの種類、およびそれらの製品またはサービスが独自またはプロバイダーに依存しない程度、および
・the extent to which cloud providers identify and notify their customers of security risks related to security design, implementation, or configuration.	・クラウドプロバイダーが、セキュリティ設計、実装、構成に関連するセキュリティリスクをどの程度特定し、顧客に通知しているか。
The public will have until May 22, 2023 to submit a comment. Comments will be posted to Regulations.gov after they are submitted.	一般市民は、2023年5月22日までにコメントを提出することができる。コメントは提出後、Regulations.govに掲載される予定である。
Staff from across the FTC’s Office of Technology, Bureau of Competition, and Bureau of Consumer Protection are collaborating on this effort.	この取り組みには、FTCの技術局、競争局、消費者保護局を横断するスタッフが協力している。
The Federal Trade Commission works to promote competition, and protect and educate consumers. You can learn more about consumer topics and report scams, fraud, and bad business practices online at ReportFraud.ftc.gov. Follow the FTC on social media, read our blogs and subscribe to press releases for the latest FTC news and resources.	連邦取引委員会は、競争を促進し、消費者を保護・教育するために活動している。ReportFraud.ftc.govでは、消費者トピックについて詳しく学び、詐欺、詐欺、悪質な商習慣をオンラインで報告することができる。FTCの最新ニュースやリソースを入手するには、ソーシャルメディアでFTCをフォローし、ブログを読み、プレスリリースを購読すること。
Press Release Reference	参照
・FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People	・FTC、250万人分の個人情報を流出させたセキュリティ障害でオンラインアルコール市場に対する命令を確定
・FTC Finalizes Order with Ed Tech Provider Chegg for Lax Security that Exposed Student Data	・FTC、セキュリティが甘く学生データが流出したEd TechプロバイダーCheggに最終命令を下す

● Reaulations.gov

・2023.03.22 Solicitation for Public Comments on the Business Practices of Cloud Computing Providers

・[PDF]

質問部分...

Solicitation for Public Comments on the Business Practices of Cloud Computing Providers	クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集について
The staff of the Federal Trade Commission is inviting public comments about the practices of Cloud Computing Providers and their impact on end users, customers, companies, and other businesses across the economy. FTC staff is studying a wide array of issues related to market power, business practices affecting competition, and potential security risks. Staff is also interested in cloud computing with respect to specific industries, including but not limited to healthcare, finance, transportation, eCommerce, and defense. For these specific sectors or more broadly, are there particular market dynamics shaping business practices that affect competition and consumer protection in cloud computing services? If so, what influences are shaping these market dynamics?	連邦取引委員会のスタッフは、クラウド・コンピューティング・プロバイダーの慣行と、それがエンドユーザー、顧客、企業、および経済界全体のその他のビジネスに与える影響についてパブリックコメントを募集している。FTCスタッフは、市場支配力、競争に影響を与えるビジネス慣行、潜在的なセキュリティ・リスクに関する幅広い問題を研究している。また、ヘルスケア、金融、運輸、電子商取引、防衛など、特定の産業に関するクラウドコンピューティングにも関心を寄せている。これらの特定分野、またはより広範な分野において、クラウドコンピューティングサービスの競争と消費者保護に影響を与えるビジネス慣行を形成する特定の市場力学が存在するか？もしそうなら、どのような影響がこれらの市場力学を形成しているのか？
Questions	質問
Market Power and Business Practices Affecting Competition	市場パワーと競争に影響を与えるビジネス慣行
1. What are the different layers of cloud computing (e.g., infrastructure, platform, software)? To what extent do cloud providers specialize within a layer or operate at multiple layers?	1. クラウドコンピューティングの様々なレイヤー（例：インフラ、プラットフォーム、ソフトウェア）とは何か？クラウドプロバイダーは、どのレイヤーに特化しているか、あるいは複数のレイヤーで事業を展開しているか？
2. Do cloud providers continue to invest sufficient resources in research and development? In which areas are cloud providers investing in most heavily, and why? Are there areas in which cloud providers have not invested sufficient resources, and if so, why?	2. クラウドプロバイダーは、研究開発に十分な資源を投入し続けているか？クラウドプロバイダーはどの分野に最も多く投資しているか、またその理由は何か？クラウドプロバイダーが十分なリソースを投資していない分野はあるか、またその場合はなぜか？
3. What are the competitive dynamics within and across the different layers of cloud computing? How does service quality vary between providers operating at one layer vs. providers operating at multiple layers?	3. クラウドコンピューティングの異なるレイヤー間における競争力学はどのようなものか？1つのレイヤーで運営するプロバイダーと複数のレイヤーで運営するプロバイダーでは、サービス品質にどのような違いがあるのか？
4. What practices do cloud providers use to enhance or secure their position in any layer of cloud computing? What practices are used by cloud providers that operate at multiple layers to entrench or enhance their position? What are the effects of those practices on competition, including on cloud providers who do not operate at multiple layers?	4. クラウドプロバイダーは、クラウドコンピューティングのどのレイヤーにおいても、自らの地位を向上させたり、確保したりするためにどのような慣行を用いているのか？複数のレイヤーで事業を展開するクラウドプロバイダーは、自らの地位を確立したり強化したりするために、どのような慣行を用いているのか？そのような慣行は、複数のレイヤーで運用されていないクラウドプロバイダーを含め、競争にどのような影響を与えるか？
5. To what extent are cloud customers able to negotiate their contracts with cloud providers? To what extent are customers experiencing take-it-or-leave-it standard contracts? How does the ability to negotiate depend on the size of the customer, the sensitivity of the data, the purpose for which the data will be used, or other factors?	5. クラウド利用者はクラウドプロバイダーとの契約についてどの程度交渉することができるのか？顧客はどの程度、「取るか取らないか」の標準的な契約を経験しているのか？交渉の可否は、顧客の規模、データの機密性、データの使用目的、その他の要因にどのように依存するか？
6. What incentives are cloud providers offering to customers to obtain more of the cloud services they need from a single provider? Are cloud providers linking, tying, or bundling their cloud services with other services?	6. クラウドプロバイダーは、顧客が必要とするクラウドサービスの多くを単一のプロバイダーから取得するために、顧客に対してどのようなインセンティブを提供しているか？クラウドプロバイダーは、自社のクラウドサービスを他のサービスと連携させたり、抱き合わせたり、バンドルしたりしているか？
7. What are the trends in pricing practices used by cloud providers? How have pricing practices made it easier or more difficult for customers of cloud services to understand and control the amount of money they spend on cloud services?	7. クラウドプロバイダーが採用している価格設定の傾向はどのようなものか？クラウドサービスの顧客がクラウドサービスに費やす金額を理解し、コントロールすることを、価格設定によってどのように容易に、あるいは難しくしているか？
8. To what extent do cloud providers offer products based on open-source software?	8. クラウド事業者は、どの程度、オープンソースソフトウェアに基づく製品を提供しているか？
a) What is the impact of such offerings on competition?	a) そのような製品の提供は、競争にどのような影響を与えるか？
b) How have recent changes to the terms of open-source licenses affected cloud providers’ ability to offer products based on open-source software?	b) オープンソースライセンスの条件に対する最近の変更は、オープンソースソフトウェアに基づく製品を提供するクラウドプロバイダーの能力にどのような影響を与えたか？
9. What types of products or services do cloud providers offer based on, dependent on, or related to artificial intelligence (AI)? To what extent are AI products or services dependent on the cloud provider they are built on, or are they cloud-agnostic? How does the use of AI affect competition among cloud providers today and into the future?	9. クラウドプロバイダーは、人工知能（AI）に基づく、依存する、または関連するどのような種類の製品またはサービスを提供しているか？AI製品やサービスは、どの程度、それらが構築されるクラウドプロバイダーに依存しているか、あるいはクラウドに依存しないか？AIの利用は、現在および将来のクラウドプロバイダー間の競争にどのような影響を与えるか？
10. What barriers (e.g., contractual, technological, or other), if any, exist to offering services that compete with individual services offered by cloud infrastructure providers (e.g., hosted databases, Content Delivery Networks, etc.)? What costs do cloud customers face in:	10. クラウドインフラプロバイダーが提供する個々のサービス（例：ホスト型データベース、コンテンツデリバリーネットワークなど）と競合するサービスを提供する上で、契約上、技術上、その他の障壁があるとすれば、それはどのようなものであるか？クラウドの顧客は、以下のようなコストに直面する：
a) switching software services?	a) ソフトウェア・サービスを切り替えること？
b) using multiple cloud providers?	b) 複数のクラウドプロバイダーを利用する場合？
c) porting their data from one cloud provider to another? How important is data portability to competition and to entry?	c) データをあるクラウドプロバイダーから別のクラウドプロバイダーに移行する場合、どのようなコストがかかるか？データのポータビリティは、競争や参入にとってどの程度重要か？
Security Risks	セキュリティリスク
11. To what extent are particular segments of the economy reliant on a small handful of cloud service providers and what are the data security impacts of this reliance?	11. 経済の特定の分野が、どの程度、一握りのクラウドサービスプロバイダーに依存しているか、また、この依存がデータセキュリティに与える影響は何か。
12. Do cloud providers compete on their ability to provide secure storage for customer data? Do cloud providers compete on the understandability of the user interface or APIs used to configure security and access features to avoid inadvertent exposure of customer data?	12. クラウドプロバイダーは、顧客データの安全な保存を提供する能力で競争しているか？クラウドプロバイダーは、顧客データの不用意なエクスポージャーを避けるために、セキュリティやアクセス機能を設定するために使用するユーザーインターフェースやAPIの分かりやすさで競争しているか？
13. What diligence regarding data security do potential customers conduct when selecting a cloud provider?	13. 潜在的な顧客は、クラウドプロバイダーを選択する際に、データセキュリティに関してどのような注意を払うか？
14. What representations do cloud providers make to their customers about data security or interoperability? What information do cloud providers provide to potential customers such that potential customers can evaluate the providers’ security measures and interoperability capabilities?	14. クラウドプロバイダーは、データセキュリティや相互運用性に関して、顧客に対してどのような表明をしているか？クラウド事業者は、潜在的な顧客が事業者のセキュリティ対策や相互運用性を評価できるように、潜在的な顧客にどのような情報を提供しているか？
15. Do cloud vendors provide types of customers with different information during diligence than they provide to other types of customers? If so, does this vary by contracts or contractual provisions, or by their ability to monitor their performance and security?	15. クラウドベンダーは、ディリジェンスの際に、ある種の顧客に対して、他のタイプの顧客に提供するのとは異なる情報を提供するか？もしそうなら、それは契約や契約条項によって、あるいは性能やセキュリティを監視する能力によって異なるか？
16. Under what circumstances do cloud vendors identify security risks related to their customers’ security design or implementation/configuration (e.g., a publicly accessible data store containing personal information) and notify customers of that risk?	16. クラウドベンダーは、どのような状況下で、顧客のセキュリティ設計又は実装・構成（例えば、個人情報を含む一般にアクセス可能なデータストア）に関連するセキュリティリスクを特定し、そのリスクについて顧客に通知するか。
a) How frequently does this occur?	a) これはどれくらいの頻度で発生するのか？
b) In this scenario, when and how does the vendor notify the customer?	b) このシナリオでは、ベンダーはいつ、どのように顧客に通知するか。
17. What effect does security-related regulation (e.g., GLBA Safeguards Rule, HIPAA Security Rule, etc.) have on market dynamics?	17. セキュリティ関連の規制（GLBA Safeguards Rule、HIPAA Security Ruleなど）は、市場力学にどのような影響を与えるか。
18. Can companies comply with contractual obligations to do due diligence on the security of third party cloud providers to whom they entrust information to ensure that those third party cloud providers implement appropriate security measures, and to monitor third party cloud providers’ security on an ongoing basis? If so, how do companies do this due diligence?	18. 企業は、情報を預ける第三者のクラウドプロバイダーのセキュリティについてデューデリジェンスを行い、その第三者のクラウドプロバイダーが適切なセキュリティ対策を実施していることを確認し、第三者のクラウドプロバイダーのセキュリティを継続的に監視するという契約上の義務を遵守できるか。その場合、企業はどのようにこのデューデリジェンスを行うのか。
19. How is responsibility for the security of consumers’ personal information allocated between cloud vendors and cloud customers (e.g., allocated by standardized vendor-provided contract or by custom contract)?	19. 消費者の個人情報のセキュリティに関する責任は、クラウドベンダーとクラウド顧客の間でどのように配分されるか（例えば、ベンダーが提供する標準的な契約によって配分されるか、カスタム契約によって配分されるか）。
a) How is this allocation conveyed in specific contractual provisions?	a) 具体的な契約条項の中で、この配分はどのように伝えられているか。
b) Is this allocation of responsibility clear? If not, why?	b) この責任分担は明確か。そうでない場合、その理由は？
c) Is this allocation of responsibility effective at protecting the information? Why?	c) この責任分担は、情報の保護に有効か？なぜか？
20. How is responsibility for responding to a breach of data stored in the cloud or other security incident allocated between cloud vendors and customers (e.g., allocated by standardized vendorprovided contract or by custom contract)?	20. クラウド上に保存されたデータの漏洩やその他のセキュリティインシデントに対応する責任は、クラウドベンダーと顧客の間でどのように配分されているか（例えば、ベンダーが提供する標準的な契約やカスタム契約によって配分される）。
a) How is this allocation conveyed in specific contractual provisions?	a) 具体的な契約条項の中で、この割り当てはどのように伝えられているか。
b) Is this allocation of responsibility clear? If not, why?	b) この責任分担は明確か。そうでない場合、その理由は？
c) Is this allocation of responsibility effective at facilitating prompt and legally-compliant data breach response? Why?	c) この責任分担は、迅速かつ法令に準拠したデータ侵害への対応を促進する上で有効か。なぜか？

2023.03.24 08:11 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in パブコメ | Permalink | Comments (0)
Tweet

厚生労働省医療情報システムの安全管理に関するガイドライン第6.0版（案）の審議（第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料）

こんにちは、丸山満彦です。

厚生労働省の健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループの第16回検討会が開催され、医療情報システムの安全管理に関するガイドライン第6.0版（案）や医療機関におけるサイバーセキュリティ対策が議論されたようですね。。。

昨年末に意見募集が行われた医療情報システムの安全管理に関するガイドライン第6.0版の骨子（案）の意見募集結果をうけて、医療情報システムの安全管理に関するガイドライン第6.0版（案）等について意見募集がおこなわれるようですね。。。

本編は、「概説編」、「経営管理編」、「企画管理編」、「システム運用編」の４つになるようですね。。。読者ごとに分けたいといことなのでしょうが、こういう分け方をしてしまうと、ガイドラインが組織のあり方を規定してしまうようなところもでてくるような気もしていて、わかりやすさとのバランスで難しいなぁと感じていたりします。。。

出典：参考資料１－３医療情報システムの安全管理に関するガイドライン第 6.0 版概説編（案）

原稿の第5.2版からの大きな変更になりそうで、「第5.2 版→第6.0 版項目移行対応表（案）」が作成されているのは、よいですね。。。

余談ですが、面白なぁとおもったのは、診療所や個人薬局のような（個人事業者なり）のところ向けの「小規模医療機関等向けガイダンス」（案）でして、名称が「[特集] 小規模医療機関等向けガイダンス」（案）となっていて、[特集] というのが珍しいなぁと思いました。。。

次の「[特集] 医療機関等におけるサイバーセキュリティ」（案）も [特集] なのですが、こちらはサイバー攻撃に適用した特集ともよめるので、まぁありかなぁと思ったりはします。。。

また、医療法に基づく立入検査についても議論がされているようで、、、

出典：【資料２－２】医療機関の立入検査の概要

厚生労働省や保健所の職員も忙しくなりそうです。。。立ち入り検査を実行的なものにするためには、検査をする人についてもサイバーセキュリティについての一定の知識が必要となりますから、その教育もまた重要となるでしょうね。。。でないと、お互いに事務作業を増やすだけという（企画した人は満足でしょうが、）意味のないことになってしまいますからね。。。このあたりは、職員研修、増員を含むリソースの見直しもセットでしないといけないでしょうね。。。

● 厚生労働省 - 政策について - 審議会・研究会等 - 医政局が実施する検討会等 - 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ

・2023.03.23 第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料について