AI/Deep Learning

2021.02.23

2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済会議は「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

こんにちは、丸山満彦です。

02.20は国連の社会正義の日 (World Day of Social Justice [wiki])となっていますが、2021年のテーマは”A Call for Social Justice in the Digital Economy”(デジタル経済における社会正義の呼びかけ)となっていますね。

United Nations

World Day of Social Justice 20 February

World Economic Forumでデジタル世界において社会正義を如何に実現するかについての4つの視点を公表していますね。。。

 

World Economic Forum

・2021.02.19 4 views on how to ensure social justice in a digital world

 

End the digital divide デジタル・デバイドを終わらせる
Christopher (Chris) Worman, Vice-President, Alliances and Programme Development, TechSoup, and Jochai Ben-Avie, CEO, Connect Humanity テックソープ・アライアンス・プログラム開発担当副社長 クリストファー(クリス)ワーマン氏、Connect Humanity CEO ジョカイ・ベンアビ氏
We must rally together now to build the communities and investment vehicles necessary to deliver meaningful access to all. すべての人に有意義なアクセスを提供するために必要なコミュニティと投資手段を構築するために、私たちは今、団結しなければならない。
—Chris Worman and Jochai Ben-Avie ・クリス・ワーマンとジョカイ・ベンアビ
Ensure an internet that reflects the multiplicities of being human 人間であることの多様性を反映したインターネットを確保する。
Wafa Ben Hassine, Principal, Responsible Technology, Omidyar Network, USA ワファ・ベン・ハッシン、責任ある技術担当代表、 Network、米国
Users must be involved in decision-making processes at every level so their realities and rights are accounted for. ユーザの現実と権利が説明されるように、ユーザはあらゆるレベルの意思決定プロセスに関与しなければならない。
—Wafa Ben Hassine ・ワファ・ベン・ハッシン
Fight disinformation and harmful content 偽情報や有害なコンテンツと戦う
Prof. Michael Posner, Jerome Kohlberg Professor of Ethics and Finance; Director, Center for Business and Human Rights, Stern School of Business マイケル・ポスナー教授、ジェローム・コールバーグ倫理・金融学教授、スターン・スクール・オブ・ビジネス・人権センター所長
Disinformation distorts the truth and accelerates racial, ethnic and political polarization. 誤報は真実を歪め、人種・民族・政治の二極化を加速させる。
—Michael Posner ・マイケル・ポスナー
Increase civic participation 市民参加を増やす
Renata Avila, Co-Founder <A+> Alliance for Inclusive Algorithms レナータ・アビラ共同創設者 <A+>  アライアンス・フォー・インクルーシブ・アルゴリズム
Design digital systems that are inclusive by design, feminist by default and publicly funded. 設計から多様で、デフォルトではフェミニストであり公的資金が提供されているデジタルシステムを設計しよう。
—Renata Avila, Founder and Chief Executive Officer, POLYLAT ・レナータ・アビラ,POLYLATの創設者兼最高経営責任者

 

 

1_20210223000401  

 

Continue reading "2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済会議は「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。"

| | Comments (0)

2021.02.18

英国ICO データ分析ツールを公表

こんにちは、丸山満彦です。

英国のICOがデータ分析ツールを公表していますね。。。

ICOは個人データのデータ分析を検討している全ての組織がこの新しいツールキットに目を通すように期待しているようですね。データ分析をする場合には、プライバシー・バイ・デザインが重要となりますが、そのためのツールと考えて良いのでしょうかね。。。

ツールキットと合わせて、「AIで下された決定を説明する」ためのガイダンスと、「AIシステムで個人の権利を確保する」ためのガイダンスも紹介されていますね。。。

U.K. Information Commissioner's Office (ICO) 

・2021.02.17 (news) ICO launches data analytics toolkit

 

ツールキットはこちら、

Toolkit for organisations considering using data analytics

 ・・Which legal framework will my organisation be processing under?

 この後は、組織のタイプと、個人データを処理する理由に応じてそれに応じたツールキットでチェックできるようですね。。。

これで法的適合性を完全に保証するわけではないですが、大きなポイントを見逃さないという意味では良いでしょうね。企業側もこのツールキットで確認をしながら進めることができれば、手戻りも少なそうですし。。。

 

関連するガイダンスはです。。。

Explaining decisions made with AI     

How do we ensure individual rights in our AI systems?

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

 

 

| | Comments (0)

2021.02.16

IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

こんにちは、丸山満彦です。

IPAが2018年10月に発刊されたAI白書2019のPDF版を公開しましたね。。。(紙3,600円・電子媒体2,800円の)書籍による提供だったのがPDF無料ということですかね。。。

3年前の情報ということになりますね。。。

3年前の情報であっても陳腐化していない部分も相当あると思います。また、3年前の答え合わせ的に読むというのもありですね。。。意地悪な見方というよりも、どの分野が想定外に伸びたか、伸びなかったか、ということをみてその原因等を考えるといった感じです。。。

あっ、私は電子書籍版をAmazonで買っていました(斜め読みくらいはしています...(^^;;)

 

● IPA

・2021.02.15 「AI白書2019」PDF版を公開

AI白書2019 ~企業を変えるAI 世界と日本の選択~

[PDF]

 

| | Comments (0)

2021.02.15

経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0(中間報告書)」に対する経団連等の意見

こんにちは、丸山満彦です。

経済産業省が2021.01.15にに「我が国のAIガバナンスの在り方 ver. 1.0」のパブコメを2021.02.13まで募集していました(なので、終了しています。。。)が、経団連等が意見を提出していますね。。。

● 経済産業省

・2021.01.15 (news) 「我が国のAIガバナンスの在り方 ver. 1.0(AI社会実装アーキテクチャー検討会 中間報告書)」の意見公募手続(パブリックコメント)を開始しました


1.経緯・背景

人間中心のAIの開発・利用を実現するため、2019年にはOECDのAI原則やG20 AI原則のとりまとめが行われ、日本においても、「人間中心のAI社会原則」が取りまとめられました。これらの原則に基づき、AIを構成要素として含むAIシステム、AIシステムの機能を提供するAIサービス、その他付随的サービス、及び、これらを開発、利用、提供する者に関するガバナンスのあり方が、国内外で議論されています。これを受けて、国内ではAI戦略2019フォローアップや統合イノベーション戦略2020において、AI社会原則の実現に向けたAIガバナンスの在り方を検討することが盛り込まれ、国際的にも、2020年6月に設立されたAIに関するグローパル・パートナーシップ(GPAI)において、OECDのAI原則の実装に向けた検討がなされています。

上記の動きを踏まえ、経済産業省では、本年6月から、AIを利活用している企業・利用者・技術者・アカデミア・法律や監査の専門家に御参加いただき、「AI社会実装アーキテクチャー検討会」を開催しています。本検討会では、AIの社会実装を進めるために、AIガバナンスの在り方について、企業実務の観点から検討を行っているところです。

今般、本検討会にて「我が国のAIガバナンスの在り方 ver. 1.0(AI社会実装アーキテクチャー検討会 中間報告書)」を、取りまとめました。


 

● 一般社団法人 日本経済団体連合

・2021.02.12 AI社会実装アーキテクチャー検討会 中間報告書 「我が国のAIガバナンスの在り方 ver.1.0」に対する意見

 

● 一般社団法人 電子情報技術産業協会 (JEITA) - 個人データ保護専門委員会

・2021.02.12  [PDF]「我が国の AI ガバナンスの在り方 ver. 1.0 (AI 社会実装アーキテクチャー検討会 中間報告書)」に関する意見


私も法的拘束力のないガバナンスコードのようなものが良いとは思います。

そのためには、自律をしっかりしないといけないと思うので、

政府も経団連もそういうものを自ら作成し、実装に対して主導していくことが重要です。

その辺りの決意などが滲み出るようなコメントであればなお、よかったと思いました。。。

 

 

Continue reading "経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0(中間報告書)」に対する経団連等の意見"

| | Comments (0)

2021.02.14

オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

こんにちは、丸山満彦です。

Australian Cyber Security Centre: ACSC が2020年の医療セクターのサイバーセキュリテ脅威についてのスナップショットを公表していますね。。。

金銭的な動機を持っている攻撃者は、パンデミック対応ですでに運用がギリギリになっているを医療ネットワークを標的にして攻撃をしていると冒頭で書いていますね。。。

そういえば、米国、欧州、豪州でも医療機関のサイバーセキュリティの被害がよく報じられ(多いのはランサムウェアのような気がしますが・・・)ているのですが、日本ではあまり聞きませんね。。。前から少し気になっています。。。誰か理由を知っていますでしょうかね。。。

Australian Cyber Security Centre: ACSC

・2021.02.10 (news) Health Sector Snapshot

・2021.02.10 (reports) 2020 Health Sector Snapshot

Executive Summary エグゼクティブサマリー
COVID-19 has fundamentally changed the cyber threat landscape for the health sector, with malicious actors increasingly targeting and compromising health networks, which are already under pressure in a pandemic operating environment. Malicious actors are primarily financially motivated and may seek to gain access to valuable data stores, use the branding from high-profile victims and incidents to bolster the legitimacy of the targeting activity, and/or cause disruption to business operations and continuity through methods such as ransomware. The ACSC assesses that ransomware is currently the most significant cybercrime threat to the Australian health sector. COVID-19は、保健分野のサイバー脅威の状況を根本的に変えた。悪意のある攻撃者は、パンデミックの運用環境ですでにプレッシャーを受けている保健ネットワークを標的にし、危険にさらすことが多くなっている。悪意のある攻撃者は、主に金銭的な動機を持っており、貴重なデータストアへのアクセスを得ようとしたり、知名度の高い被害者や事件から得たブランドを利用して標的化活動の正当性を高めたり、ランサムウェアのような方法で事業運営や継続性に混乱をもたらそうとしたりする場合がある。ACSCは現在、オーストラリアの医療部門にとって最も重要なサイバー犯罪の脅威はランサムウェアであると評価している。
During the reporting period, the ACSC received 166 cyber security incident reports relating to the health sector. This is an increase from the 90 reported incidents affecting the health sector during the 2019 calendar year and likely a result of increased targeting of the health sector due to COVID-19. Incidents reported by the health sector are primarily from health care providers, as well as customers falling victim to health-related scams or data breaches. 報告期間中、ACSC は医療部門に関連するサイバーセキュリティインシデントの報告を 166 件受けた。2019年暦年に医療部門に影響を及ぼすインシデントが報告された90件から増加している。これは、COVID-19による医療部門の標的化が進んだ結果であると考えている。医療部門から報告されたインシデントは、主に医療提供者からのものであり、健康関連の詐欺やデータ侵害の被害に遭った顧客からのものである。
Rates of health sector incidents in this reporting period are trending down towards pre‑COVID‑19 levels; however, we expect cyber incidents will fluctuate. Globally, COVID-19 themed scams occurred during the height of the pandemic last year, and will potentially increase throughout the vaccine’s research, manufacture, distribution and administration phases. While the ACSC has not yet observed this activity in Australia, international reporting suggests cybercriminals are attempting to scam the public in other countries by taking advantage of the COVID-19 vaccine rollout, and targeting companies involved in the vaccine supply chains. As such, the ACSC advises that organisations maintain a heightened state of awareness as malicious actors search for new vulnerabilities or seek to exploit existing ones. この報告期間における医療セクターのインシデントの発生率は、COVID-19以前のレベルに向かって減少傾向にある。しかしサイバーインシデントは変動するものである。世界的には、COVID-19をテーマにした詐欺が昨年のパンデミックの最盛期に発生しており、ワクチンの研究、製造、流通、投与の各段階で増加する可能性がある。ACSCは、オーストラリアでのこのような活動をまだ確認していませんが、国際的な報告によると、サイバー犯罪者がCOVID-19ワクチンの展開を利用し、ワクチンのサプライチェーンに関わる企業を標的にして、他の国でも一般の人々を騙そうとしていることが示唆されている。そのため、ACSCは、悪意のある攻撃者が新たな脆弱性を探したり、既存の脆弱性を悪用しようとしたりするため、組織は意識を高めた状態を維持するように助言している。
   
Key Takeaways 主な留意点
・Outside of government and individuals, the health sector reported the highest number of incidents to the ACSC during the period. ・政府や個人以外では、保健セクターがACSCに報告したインシデントの数が最も多かった。
・The health sector remains a valuable and vulnerable target for malicious cyber activity because of: ・医療部門は、悪意のあるサイバー活動の貴重で脆弱なターゲットであることに変わらない。
 - its highly sensitive personal data holdings  - 非常に機密性の高い個人データを保有しているため
 - its valuable intellectual property on technology and research, particularly those relating to COVID‑19 vaccine research and development  - 技術・研究に関する貴重な知的財産(特にCOVID-19ワクチンの研究開発に関連した)を保有しているため。
 - the criticality of services delivered by the health sector  - 医療部門が提供するサービスが重要なため
 - the pressure on health sector organisations to maintain and, if disrupted, rapidly restore business continuity  - 医療部門の組織が事業継続性を維持し、障害が発生した場合には迅速に復旧させるための圧力があるため
 - public trust in health sector organisations, particularly those linked to Government services.  - 健康部門の組織、特に政府のサービスに関連した組織に対する国民の信頼が必要なため
・COVID-19 has changed the threat landscape for the health sector: ・COVID-19は、保健セクターの脅威の状況を変えた。
 - there are numerous new health-related targets, as non-traditional entities enter the sector and targeting extends to medical transport and supply chains  - 従来型ではない組織がこのセクターに参入し、医療輸送やサプライチェーンにも標的が拡大しているため、多数の新たな健康関連の標的が存在している
 - existing organisations are under increased operational pressure and therefore more vulnerable to cyber security attacks and financial extortion  - 既存の組織は業務上のプレッシャーを受けているため、サイバーセキュリティ攻撃や金融恐喝に対してより脆弱になっている
 - changes to social and working environments, such as working from home, have increased ‘attack surfaces’ and exposed networks to new vulnerabilities  - 在宅勤務などの社会環境や職場環境の変化により、「攻撃対象」が増加し、ネットワークが新たな脆弱性にさらされている
 - malicious actors are seeking to capitalise on a pervasive environment of fear and uncertainty, and an influx of new entrants and stakeholders in the sector.  - 悪意のある攻撃者は、恐怖と不確実性が蔓延している環境を利用しようとしており、この分野への新規参入者や利害関係者の流入を狙っている
・Financially-motivated cybercriminals will continue to target the Australian health sector because of its access to sensitive data and increased reliance on telehealth and internet-enabled services. ・オーストラリアの医療部門は、機密データへのアクセスが可能であり、遠隔医療やインターネット対応サービスへの依存度が高まっているため、金銭的な動機を持ったサイバー犯罪者が今後も標的とすることが予想される。
・It is critical that health sector organisations ensure that their networks are protected from malicious cyber actors who may seek to disrupt essential services and/or compromise business-critical systems, such as to profit from ransom. Further advice outlining how organisations can protect themselves can be found on page 7 under Preventative Measures. ・医療部門の組織は、必要不可欠なサービスを中断させたり、身代金を得てビジネスに不可欠なシステムを危険にさらしたりしようとする悪意のあるサイバー犯罪者からネットワークを保護することが非常に重要である。組織が自らの身を守る方法についての詳細なアドバイスは、7ページの「予防措置」に記載されていまる。
・On 30 October 2020, the ACSC released an alert on the continued targeting of the Australian health sector by malicious cyber actors. ・2020年10月30日、ACSCは、悪意のあるサイバーアクターによるオーストラリアの医療部門の継続的な標的化に関する警告を発表した。

 

日本の医療機関のサイバーセキュリティについてはあまり情報が内容に思います。。。被害もあまり聞かないしね。。。

● 日本医師会

・2020.06.15 [PDF] 医療機関におけるサイバーセキュリティ実態調査

● 日本医療法人協会

・2021.02.10 医療におけるサイバーセキュリティに関するお知らせ

| | Comments (0)

2021.02.12

ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題

こんにちは、丸山満彦です。

ENISAが自動運転車の人工知能に関連するサイバーセキュリティリスクを調査し、それらを軽減するための推奨事項を示した報告書を公表していますね。。。

ENISA 

・2021.02.12 (PRESS) Cybersecurity Challenges in the Uptake of Artificial Intelligence in Autonomous Driving

A report by the European Union Agency for Cybersecurity (ENISA) and the Joint Research Centre (JRC) looks at cybersecurity risks connected to Artificial Intelligence (AI) in autonomous vehicles and provides recommendations for mitigating them.

・2021.02.11 (Publication) Cybersecurity Challenges in the Uptake of Artificial Intelligence in Autonomous Driving

・[PDF

 

EXECUTIVE SUMMARY エグゼクティブ・サマリー
1. INTRODUCTION 1. 序論
1.1  Definitions 1.1 定義
1.2  Scope 1.2 範囲
1.3  Target audience 1.3 想定読者
1.4  EU and international policy context 1.4 EUと国際政策の背景
2. AI TECHNIQUES IN AUTOMOTIVE FUNCTIONS 2. 自動化機能におけるAI技術
2.1  AI in autonomous vehicles 2.1 自律走行車におけるAI
2.1.1 High-level automotive functions 2.1.1 ハイレベルな自動車機能
2.2 Hardware and sensors 2.2 ハードウェアとセンサー
2.2.1 LIDARs and cameras for computer vision 2.2.1 コンピュータビジョン用のLIDARとカメラ
2.3 AI techniques 2.3 AI技術
2.3.1 Machine learning: paradigms and methodologies 2.3.1 機械学習:パラダイムと方法論
2.3.2 Relevant application fields in autonomous driving 2.3.2 自律走行の関連応用分野
2.4 AI software in automotive systems 2.4 自動車システムにおけるAIソフトウェア
2.4.1 Perception 2.4.1 認識
2.4.2 Planning 2.4.2 計画
2.4.3 Control 2.4.3 制御
2.4.4 Infotainment and vehicle interior monitoring 2.4.4 インフォテインメントと車内モニタリング
2.4.5 Current trends in AI research for autonomous driving 2.4.5 自律走行に向けたAI研究の現状の動向
2.5 Mapping between automotive functionalities, hardware and software  components and AI techniques 2.5 自動車の機能性、ハードウェアとソフトウェアのコンポーネントとAI技術のマッピング
3. CYBERSECURITY OF AI TECHNIQUES IN AUTONOMOUS DRIVING CONTEXTS 3. 自動運転コンテクストにおけるAI技術のサイバーセキュリティ
3.1 Vulnerabilities of AI for autonomous driving 3.1 自律走行のためのAIの脆弱性
3.1.1 Adversarial machine learning 3.1.1 敵対的機械学習
3.1.2 Adversarial examples in computer vision 3.1.2 コンピュータビジョンにおける敵対的な例
3.1.3 AI-based physical attacks against autonomous vehicles 3.1.3 自律走行車に対するAIによる物理攻撃
3.2 Attack scenarios related to AI in autonomous driving 3.2 自律走行におけるAIに関する攻撃シナリオ
3.2.1 Attack scenarios   3.2.1 攻撃シナリオ  
3.2.2 Illustration: Fooling a traffic sign recognition system 3.2.2 図解:交通標識認識システムを騙す
4. AI CYBERSECURITY CHALLENGES AND RECOMMENDATIONS FOR AUTONOMOUS DRIVING 4. 自動運転におけるAIサイバーセキュリティの課題と提言
4.1 Systematic security validation of AI models and data 4.1 AIモデルとデータの体系的なセキュリティ検証
4.2 Supply chain challenges related to AI cybersecurity   4.2 AIサイバーセキュリティに関連するサプライチェーンの課題  
4.3 End-to-end holistic approach for integrating AI cybersecurity with traditional  cybersecurity principles 4.3 AIサイバーセキュリティと従来のサイバーセキュリティ原則を統合するためのエンドツーエンドの全体的アプローチ
4.4 Incident handling and vulnerability discovery related to AI and lessons learned 4.4 AIに関するインシデント対応と脆弱性発見と教訓
4.5 Limited capacity and expertise on AI cybersecurity in the automotive industry 4.5 自動車産業におけるAIサイバーセキュリティに関する限られた能力と専門知識
References 参考文献

 

エグゼクティブ・サマリー

↓↓↓↓↓↓↓↓↓↓


















Continue reading "ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題"

| | Comments (0)

2021.02.05

カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

ClearViewAI [wikipedia] という会社ですが、CleraViewAI社のWebページ等の情報をまとめると、

インターネットの公開情報から顔のある画像データを集め(30億枚?)検索ツールとともに、法執行機関と一部のセキュリティ専門家に販売している企業のようですね。。。以前は民間企業にも販売していたようですが、今はしていないようですね。。。

-----

● The VERGE

・2020.05.07 Clearview AI to stop selling controversial facial recognition app to private companies b

The company is ending all non-law enforcement contracts

-----

このシステムのおかげで殺人、性的暴行、家庭内暴力、子供の性的搾取事件など、何千もの重大な犯罪を解決したということのようです。。。

一方、カナダのプライバシーコミッショナーは、

The investigation found that Clearview had collected highly sensitive biometric information without the knowledge or consent of individuals. Furthermore, Clearview collected, used and disclosed Canadians’ personal information for inappropriate purposes, which cannot be rendered appropriate via consent. 調査の結果、Clearview社は個人の知識や同意なしに非常に機密性の高い生体情報を収集していたことが判明した。さらに、同社はカナダ人の個人情報を収集、使用、開示した。

と主張していますね。。。

-----

なお、カナダのプライバシーコミッショナーは、以前Cadillac Fairview社[wikipedia]がショッピングモールで買い物客を撮影し、顔認識技術を使っていた件で報告書を出していましたね。。。

Joint investigation of the Cadillac Fairview Corporation Limited by the Privacy Commissioner of Canada, the Information and Privacy Commissioner of Alberta, and the Information and Privacy Commissioner for British Columbia

-----

一方、米国の国会議事堂にトランプ支持者が乱入した際には、容疑者の特定に使われて効果を発揮したようですね。。

-----

● The VERGE

・2021.01.10 Use of Clearview AI facial recognition tech spiked as law enforcement seeks to identify Capitol mob b

The company’s CEO said use of its tech was up 26 percent the day after the January 6th attack

社会の安全と個人のプライバシーのバランスをどうとるのか。。。抽象的には簡単に言えても、具体的な当てはめは難しいですね。。。

また、この線引きは国によっても違うでしょうし、ひょっとしたら時代(環境)とともに変わってくるのでしょうね。。。

もっと積極的に使おうとする国もあるでしょうしね。。。

他の国がどのような判断をするのか、気になりますね。。。

Office of the Privacy Commissioner of Canada

・2021.02.03 Statement by the Privacy Commissioner of Canada following an investigation into Clearview AI

・2021.02.03 (news) Clearview AI’s unlawful practices represented mass surveillance of Canadians, commissioners say

 

また、今回の議論とは別に、AIの誤りに関する論点もありますね。。。

 

 


■ 報道

● The New York Times

・2021.02.03 Clearview AI’s Facial Recognition App Called Illegal in Canada by

Canadian authorities declared that the company needed citizens’ consent to use their biometric information, and told the firm to delete facial images from its database.

Tech Crunch

・2021.02.04 Clearview AI ruled ‘illegal’ by Canadian privacy authorities by Zack Whittaker

Controversial facial recognition startup Clearview AI violated Canadian privacy laws when it collected photos of Canadians without their knowledge or permission, the country’s top privacy watchdog has ruled.

● Tech Crunch Japan

・2021.02 04 Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法 by 

物議を醸し出している顔認識技術のClearview AIが、カナダ人の写真を断りなく無許可で収集したとして、同国政府直属のプライバシー監視団体から有罪を宣告された。

CBC

・ 2021.02.04 Clearview AI violated Canadian privacy law with facial recognition: report

Canadian privacy commissioners have found that American technology company Clearview AI violated Canadian law when it collected images of people without their knowledge or consent.

CTV News

・ 2021.02.03 Clearview AI broke Canadian privacy laws with facial recognition tool, watchdogs say by 

OTTAWA -- Privacy watchdogs say U.S. firm Clearview AI's facial-recognition technology resulted in mass surveillance of Canadians and violated federal and provincial laws governing personal information.

● HUFFPOST

・ 2021.02.03 Clearview AI’s Mass Surveillance Of Canadians A ‘Clear Violation’ Of Privacy Laws: Watchdog

The company had said consent wasn't needed because they don't have a "real and substantial" connection to Canada.

● National Post

・ 2021.02.03 Facial recognition tool used by RCMP deemed illegal mass surveillance of unwitting Canadians by Jim Bronskill

U.S.-based Clearview AI told investigators that Canadian privacy laws do not apply to it and has refused to delete the data

関連

● まるちゃんの情報セキュリティ気まぐれ日記

これは参考になります↓

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

Clearviewの設定ミスに関する話・・・↓

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

 

その他、カナダのプライバシー関連のガイドライン等

・2020.10.10 カナダ プライバシー法、個人データ保護と電子文書法に関する議会への報告書

・2020.08.29 カナダのプライバシーコミッショナーがIoTに関するプライバシーガイドラインを公表してました。。。

・2020.08.15 カナダのプライバシーコミッショナーが企業向けの新しいプライバシーガイドを公開

・2020.05.08 カナダ 連邦、州、地域のプライバシー委員会委員によるコンタクト・トレーシング・アプリに対するプライバシー原則についての共同声明

・2020.04.25 COVID-19 トラック・トレーシング・アプリについて米国・カナダ関連

 

| | Comments (0)

2021.02.02

改めて小林弁護士の「人工知能が奪う職業と「洗練された奴隷制」」を読んでみた。。。

こんにちは、丸山満彦です。

少し分けがあって、人工知能について考えています。友人と話をしているときに「人間はAIを使うのか、AIに使われるのか」という話をしたあと、ふと小林弁護士が昔書いた記事を思い出して、検索して見つけて読み直しました。。。

小林弁護士が記事を書いてから2年半ほど立っていますが、この議論はこれから重要となってくるでしょうね。。。

AIを使う側の人間と、AIに使われる側の人間の二層化が進んだ社会というものはどういう社会になるのか???ということを想定しながら、読んでみるのも良いかもですね。。。

 

RAD-IT21

・2018.07.17 人工知能が奪う職業と「洗練された奴隷制」 by 小林正啓弁護士

 

小林先生とは、情報ネットワーク法学会で10年くらい前に知り合いましたかね。。。ロボットや人工知能の話を少ししたことがありますね。。。

 

Hierarchy


 

関係ないですが、今日は節分。太陽暦で2月2日が節分になるのは124年とのことです。。。

| | Comments (0)

2021.01.28

IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2021」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2005
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃

 

 


 

| | Comments (0)

2021.01.27

中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

こんにちは、丸山満彦です。

中国も言語の問題もあり、なかなか的確に情報を拾えておりません。。。。

中国の全国信息安全标准化技术委员会(National Information Security Standardization Technical Committee)がブロックチェーン情報サービスセキュリティ仕様他、いくつかの情報セキュリティに関連する国家標準の意見募集をしていますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

标准征求意见(標準への意見募集)

# 公表日 国家標準に対する意見募集ページ 仮訳 対象
1 2021.01.26 信息安全技术 反垃圾邮件产品技术要求和测试评价方法 情報セキュリティ技術 スパム対策製品の技術要件とテスト・評価方法 DOC
2 2021.01.26 信息安全技术 网络型入侵防御产品技术要求和测试评价方法 情報セキュリティ技術 ネットワーク型侵入防止製品の技術要求事項と試験・評価方法 DOC
3 2021.01.26 信息安全技术 信息系统安全审计产品技术要求和测试评价方法 情報セキュリティ技術 情報システムセキュリティ監査製品の技術要求事項及び試験・評価方法 DOC
4 2021.01.22 信息安全技术 区块链信息服务安全规范 情報セキュリティ技術 ブロックチェーン情報サービスのセキュリティ仕様 PDF
5 2021.01.22 信息安全技术 信息安全事件分类分级指南 情報セキュリティ技術 情報セキュリティインシデントの分類と採点ガイド DOC
6 2021.01.22 信息技术 安全技术 信息安全管理体系 指南 情報セキュリティ技術 セキュリティ技術 情報セキュリティマネジメントシステムガイド DOC
7 2021.01.22 信息安全技术 公共域名服务系统安全要求 情報セキュリティ技術 パブリックドメインネームサービスシステムのセキュリティ要件 DOC

 

昨晩みたときは、2021.03.21締め切り日付で、

  1. 信息安全技术 网络安全态势感知通用技术要求 (情報セキュリティ技術 ネットワークセキュリティ状況認識のための一般的な技術要件)
  2. 信息安全技术 政务网络安全监测平台技术规范 (情報セキュリティ技術 政府ネットワークセキュリティ監視プラットフォームの技術仕様)

がウェブに乗っていたのですが、今朝見たら無くなっていました。後日出るのでしょうかね。。。

 

4 2021.01.22 信息安全技术 区块链信息服务安全规范 情報セキュリティ技術 ブロックチェーン情報サービスのセキュリティ仕様 PDF

の目次ですが、

前言 序文
引言 序章
1 范围 1 スコープ
2 规范性引用文件 2 参照する標準
3 术语和定义 3 用語と定義
4 符号和缩略语 4 記号と略語
5 概述 5 概要
5.1 安全规范对象 5.1 セキュリティ仕様の対象
5.2 安全要求模型 5.2 セキュリティ要件のモデル
6 安全技术要求 6 セキュリティ技術要件
6.1 信息生成 6.1 情報の生成
6.2 信息处理 6.2 情報の処理
6.3 信息发布 6.3 情報の流通
6.4 信息传播 6.4 情報の発信
6.5 信息存储 6.5 情報の保存
6.6 信息销毁 6.6 情報の破壊
7 安全保障要求 7 セキュリティ保障要件
7.1 管理制度 7.1 マネジメントシステム
7.2 机构和人员 7.2 組織と人員
7.3 业务连续性 7.3 事業継続性
7.4 运行与维护 7.4 運用と保守
8 安全技术测评方法 8 セキュリティ技術の測定方法
8.1 信息生成 8.1 情報の生成
8.2 信息处理 8.2 情報の処理
8.3 信息发布 8.3 情報の流通
8.4 信息传播 8.4 情報の発信
8.5 信息存储 8.5 情報の保存
8.6 信息销毁 8.6 情報の破壊
9 安全保障测评方法 9 セキュリティ保障測定方法
9.1 管理制度 9.1 マネジメントシステム
9.2 机构和人员 9.2 組織と人員
9.3 业务连续性 9.3 事業継続性
9.4 运行与维护 9.4 運用と保守
附录 A(规范性)区块链信息服务安全等级划分 付録A(正規)ブロックチェーン情報サービスのセキュリティレベル分類
附录 B(资料性)区块链信息服务安全规范组件包定制示例 付録B(情報提供型)ブロックチェーン情報サービスセキュリティ仕様書 コンポーネントパッケージのカスタマイズ例
参考文献 参考文献

 

 


 

■ 関連資料

● 情報セキュリティ気まぐれ日記

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

 

2021.01.27現在の過去のパブコメ一覧 at tc260

 

 

 

| | Comments (0)

より以前の記事一覧