AI/Deep Learning

2025.07.07

欧州 ENISA EUサイバーセキュリティ指数 (EU-CUI) 2024 (2025.06.17)

こんにちは、丸山満彦です。

ENISAが、EUサイバーセキュリティ指数 (EU-CSI) の2024年版を公表していますね...EUサイバーセキュリティ指数 (EU-CSI)は、加盟国とEUのサイバーセキュリティ態勢を示すものとして、ENISAが開発したものですね...

この報告書の目的は...

・2024年12月に発行されたEUのサイバーセキュリティ状況に関する最初の報告書の分析に使用された、2024年EUサイバーセキュリティ指数(EU-CSI)のEUレベルの主要な洞察を提示すること。

・ENISAと加盟国が実施してきた作業を評価するとともに、2026年の次回のEU-CSI発行に向けた基盤を構築すること。

ということのようです...

 

まず、EUサイバーセキュリティ指数(EU-CSI)ですが...

加盟国と EU のサイバーセキュリティ態勢を説明するツールで、

・サイバーセキュリティの成熟度と能力に関する洞察を提供する

・加盟国間の相互学習の機会を提供する

に役立ち、

NIS2 指令の第 18 条に規定されている、EU 全体のサイバーセキュリティ能力およびリソースの成熟度の定量的・定性的評価の基礎

となるものですね...

2年ごとにおこなわれるようです...

階層構造を持つ複合指標を単一の値に統合することで、直接測定できない多次元的な概念を定量化するもので、0 から 100 までのスコアで評価されます...

EU-CSIは、OECD/JRCの「複合指標の構築に関するハンドブック」のガイドラインと勧告に従って、ENISA国家連絡官(NLO)ネットワークに代表される加盟国と協力してENISAが開発し、実施していますね...

 

得られた洞察は...

EU全体の指数値は62.65で、加盟国ごとのばらつきはそれほど大きくない。

サイバーセキュリティ能力分野 社会が脅威を認識し、サイバーセキュリティ・インシデントを防止する能力を測る 64.51
サイバーセキュリティの市場/産業分野 サイバー脅威を予防、検知、分析する民間セクターの能力を測る 62.36
サイバーセキュリティ・オペレーションの分野 加盟国のサイバーセキュリティ・オペレーションの実施能力とレジリエンスの確保を測る 57.63
サイバーセキュリティ政策分野 サイバーセキュリティ政策の策定と実施状況を測る 66.09


個別の指標に注目すると...

スコアの高い指標(EU平均スコアが最も高い5つの指標)

中小企業:セキュリティインシデント -  機密データの開示 EU の中小企業のほとんどは、機密データの漏洩につながるインシデント(侵入、ファーミング、フィッシング、自社の従業員による意図的または非意図的な行為など)を経験していない。 98.02
中小企業:セキュリティインシデント - データの破壊または破損 EUの中小企業のほとんどは、データの破壊や破損につながるインシデント(悪意のあるソフトウェアの感染、不正侵入、ハードウェアやソフトウェアの故障など)を経験していない。 94.99
大企業:セキュリティインシデント -  機密データの開示 EUの大企業のほとんどは、機密データの漏洩につながるインシデント(侵入、ファーミング、フィッシング、自社の従業員による意図的または非意図的な行為など)を経験していない 93.83
CSIRT の国際的な存在 EU 加盟国の CSIRT が FIRST メンバーであり、TI に登録/認定/認証されている 97.62
市民:インターネットの安全な利用 EU 内のユーザーがインターネットを利用するときの行動に関するもの 93.29

インシデントの経験が少ないというのは、認識されていないからという可能性もあると言っていますね...

 

スコアの低い指標(EU平均スコアが最も低い5つの指標)

ICT セキュリティに AI 技術を利用しているエンタープライズ   3.18
必須/重要事業体によるサイバーセキュリティへの投資   7.14
CSIRT 認証 この指標のスコアと加盟国間の整合性の双方を改善するための厳しい努力の必要性を強調している。 10.31
EU の研究開発資金 国ごとに付与されるEUの研究開発資金の配分を測定する指標 24.93
組織体:リスクアセスメント サイバーセキュリティリスクアセスメントを実施している組織体を測定する指標 32.01

 

ENISAと加盟国は現在、2024年からの教訓を反映し、加盟国から寄せられたフィードバックを統合するために、EU-CSIのさらなる改良に取り組んでいて、一般からの意見も募集しているようです... 

 

 

ENISA

・2025.06.17 The EU Cybersecurity Index 2024

・[PDF

20250705-14317

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.09 欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書(2024)(2024.12.03)

・2024.06.22 OECD サイバーセキュリティ測定の新たな視点

 

 

 

 

| | Comments (0)

2025.07.03

ドイツ データ保護会議 安全保障についての意見「安全なくして自由はない – 自由なくして安全はない」と「AIシステムの開発と運用のための推奨される技術的・組織的措置に関するガイダンス」(2025.06.17)

こんにちは、丸山満彦です。

ドイツは、連邦政府レベルの個人データ保護機関(Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: BfDI)と16ある州の単位による個人データ保護機関(例えば、ベルリン州ではBerliner Beauftragte für Datenschutz und Informationsfreiheit)があり、それらを連携するための独立連邦・州データ保護監督機関会議Datenschutzkonferenz: DSK)がありますね...

ドイツのデータ保護会議(DSK)で、2025.06.16に第2回中間会議が開催され、安全保障についての意見「安全なくして自由はない – 自由なくして安全はない」と「AIシステムの開発と運用のための推奨される技術的・組織的措置に関するガイダンス」等が決議され、公表されています...

日本でも、安全保障の議論が活発になっていますが、安全保障とプライバシーの関係について、日本でも第3条委員会の個人情報保護委員会が積極的に意見をだしていくべきなのかもしれませんね...

民主主義国家にとって自由は前提ですし、もちろん国民の安全も国家としての前提です。その両者を対立する概念ではなく、民主主義国家にとって不可欠な要素として、高次に融合することが重要なのではないかと思います。(辻井重男先生のいうところの、止揚、アウフヘーベンなのだろうと思います。戦前生まれの辻井先生の思考は重要なのだろうと思います)この発表は、一つのヒントになるのではないかと思います。

2003年に経済産業省の本館3F西のセキュリティ等を担当している部門を訪問していたのですが、その本棚に「Security and Privacy」という小さな冊子のような本があったのを記憶しています。(Securityは情報セキュリティではなく、安全保障という意味です)。担当官が来るまでの間、何気なく手に取って、ペラペラと見ていたのですが、「こういうことも、意識しているんだ...」と少し、私の視界が広がった記憶があります。

 

Datenschutzkonferenz: DSK 

NEU Pressemitteilung: Datenschutzkonferenz mahnt beim Thema Innere Sicherheit und veröffentlicht Anwendungshilfen zu KI, Cloud Computing und Onlinebuchungen von Arztterminen 新着プレスリリース:データ保護会議が国内治安に関する警告を発し、AI、クラウドコンピューティング、および医師の予約のオンライン予約に関する適用ガイダンスを公開
NEU Positionspapier: Datenschutz bei der Terminverwaltung durch Heilberufspraxen 新着ポジションペーパー:医療従事者による予約管理におけるデータ保護
NEU Entschließung: Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit 新着決議:安全なくして自由はない – 自由なくして安全はない
NEU Entschließung: Confidential Cloud Computing 新着決議:機密クラウドコンピューティング
NEU Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen 新着 AI システムの開発および運用における推奨される技術的および組織的措置に関するガイダンス
NEU Musterrichtlinien für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden (MRiDaVG) 新着 データ保護監督当局による罰金処分手続きに関するモデルガイドライン(MRiDaVG)

 

気になるもの...

安全と自由

NEU Entschließung: Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit 新着決議:安全なくして自由はない – 自由なくして安全はない

・[PDF

Entschließung  決議
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden  連邦および州独立データ保護監督当局会議
des Bundes und der Länder vom 16. Juni 2025 2025年6月16日
Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit  安全なくして自由はない – 自由なくして安全はない
In der aktuellen Diskussion um die Novellierung verschiedener Sicherheitsgesetze betont die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), dass ein starker Datenschutz kein Selbstzweck, sondern ein wesentliches Element des Rechtsstaats und die Voraussetzung für Sicherheit und Freiheit ist.  さまざまなセキュリティ関連法の改正に関する現在の議論において、連邦および州独立データ保護監督機関会議(DSK)は、強力なデータ保護は自己目的ではなく、法の支配の重要な要素であり、安全と自由の前提条件であると強調している。
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), dass ein starker Datenschutz kein Selbstzweck, sondern ein wesentliches Element des Rechtsstaats und die Voraussetzung für Sicherheit und Freiheit ist.  連邦および州独立データ保護監督機関会議(DSK)は、強力なデータ保護は自己目的ではなく、法の支配の重要な要素であり、安全と自由の前提条件であると強調している。
Grundrechte sind Errungenschaften moderner Demokratien und sichern Wert und Würde der Person und die Teilhabe der Bürgerinnen und Bürger am Gemeinwesen, zum Beispiel bei der Teilnahme an Versammlungen, bei öffentlichen Meinungsäußerungen oder bei Wahlen. Dazu gehört auch die freie Entfaltung der Persönlichkeit in der verfassungsrechtlich anerkannten Ausprägung des Rechts auf informationelle Selbstbestimmung.  基本権は、現代民主主義の成果であり、個人の価値と尊厳、および集会への参加、公の意見表明、選挙など、市民が社会に参加する権利を保障する。これには、憲法で認められた情報自己決定権という形で表現される、人格の自由な発展も含まれる。
Freiheit ist eine wichtige Voraussetzung für eine Demokratie. Ein Leben in Freiheit setzt zugleich voraus, dass die Sicherheit der Bürgerinnen und Bürger gewährleistet ist. Zur Sicherheit gehört wiederum auch, dass sich die Menschen im Land darauf verlassen können, dass der Staat und seine Institutionen ihre Rechte und Freiheiten achten, sich an verfassungskonforme Gesetze und gegebene Garantien halten.  自由は民主主義にとって重要な前提条件である。自由な生活は、同時に、市民の安全が確保されていることを前提としている。安全には、国民が、国家とその機関が、憲法に則った法律と与えられた保証を遵守し、自らの権利と自由を尊重することを信頼できることも含まれる。
Auf der Welt lässt sich an vielen Stellen beobachten, wie freiheitliche Demokratien in Bedrängnis geraten. In nichtdemokratischen Systemen werden Eingriffsbefugnisse der Sicherheitsbehörden zur Einschüchterung von Bürgerinnen und Bürgern genutzt, sodass letztlich auch die bürgerliche Teilhabe am staatlichen Gemeinwesen ausgehöhlt wird. Das Datenschutzrecht spielt insofern eine wichtige Rolle, da es staatliche Datenverarbeitungen rechtsstaatlich einhegt. Datenschutz ist daher keine bloße Formalie und kein schmückendes Beiwerk.  世界では、自由民主主義が危機に瀕している例が数多く見られる。非民主的な体制では、治安当局の介入権限が市民を威嚇するために利用され、最終的には市民が国家の共同体に参加する権利が侵食される。データ保護法は、国家によるデータ処理を法の支配の範囲内に収めるという点で重要な役割を果たしている。したがって、データ保護は単なる形式や飾りではない。
Daher appelliert die DSK, in der politischen Diskussion Datenschutz und Sicherheit nicht gegeneinander auszuspielen. Zwar stehen sicherheitspolitische Erfordernisse und das Recht auf informationelle Selbstbestimmung in einem gewissen Spannungsverhältnis, allerdings ist dieses nicht unlösbar und kann in verhältnismäßiger Art und Weise aufgelöst werden. Das Datenschutzrecht zielt nicht darauf ab, Täterinnen und Täter oder Gefährderinnen und Gefährder vor Strafverfolgung oder Gefahrenabwehrmaßnahmen zu bewahren. Vielmehr schützt das Datenschutzrecht die Bürgerinnen und Bürger davor, dass ungerechtfertigt in ihre Freiheitsrechte eingegriffen wird.  そのため、DSK は、政治的な議論において、データ保護と安全を対立させるべきではないと訴えている。確かに、安全保障上の必要性と情報に関する自己決定権には一定の矛盾があるが、これは解決不可能なものではなく、比例的な方法で解決することができる。データ保護法は、犯罪者や危険人物が刑事訴追や危険防止措置の対象から逃れることを目的としたものではない。むしろ、データ保護法は、市民が不当に自由権を侵害されることから保護するものである。 
Datenschutz und Datenqualität in der polizeilichen Praxis  警察の実務におけるデータ保護とデータ品質
Die Gewährleistung von Datenqualität, klaren Verantwortlichkeiten, effizienten Verfahrensstrukturen sowie digitaler Souveränität sind Belange, die für die Gewährleistung von Sicherheit ebenso wichtig sind wie für den Datenschutz. Die Sicherheitsbehörden wollen Straftaten verfolgen und nicht Personen, die dafür keinen Anlass gegeben haben. Die Sicherheitsbehörden möchten qualitativ hochwertige und sorgfältig austarierte Datenbestände, weil sie rechtsstaatlich arbeiten und nur mit qualitativ hochwertigen Systemen gute Ergebnisse erzielen können. Nichts Anderes wollen die Datenschutzaufsichtsbehörden. Deren Arbeit ist insofern in weiten Teilen eine wesentliche Instanz der Qualitätssicherung. In der Praxis der Sicherheitsbehörden sehen die Datenschutzaufsichtsbehörden eine breite Akzeptanz datenschutzrechtlicher Vorgaben.  データ品質、明確な責任、効率的な手続き構造、およびデジタル主権の確保は、セキュリティの確保にとって、データ保護と同様に重要な課題だ。治安当局は、犯罪を捜査したいのであって、その理由のない個人を捜査したいわけではない。治安当局は、法の支配の下で業務を行い、高品質のシステムによってのみ良い結果を得ることができるため、高品質で慎重に調整されたデータセットを望んでいる。データ保護監督当局も、それ以外を望んでいるわけではない。その意味で、データ保護監督当局の業務は、その大部分が品質保証の重要な機関としての役割を果たしている。治安当局の実務において、データ保護監督当局は、データ保護に関する法的要件が広く受け入れられていると認識している。 
Datenschutz steht notwendigem Fortschritt polizeilicher Datenverarbeitung nicht entgegen  データ保護は、警察のデータ処理に必要な進歩を妨げるものではない
Es ist selbstverständlich, dass Sicherheitsbehörden stetig prüfen, an welcher Stelle sie ihre Arbeit weiter verbessern und modernisieren können. Ein Beispiel ist das polizeiliche Projekt P20 zur Harmonisierung der polizeilichen IT-Struktur und -Architektur, das die Datenschutzaufsichtsbehörden lösungsorientiert und konstruktiv beraten. Hierbei ist es aber wichtig, zunächst den genauen fachlichen Bedarf zu analysieren und abzustecken, welche verhältnismäßigen Lösungen möglich sind. Die DSK hält es hingegen für das falsche Signal, auf Herausforderungen für die innere Sicherheit mit dem Ruf nach weiteren Einschnitten in Grundrechte zu reagieren.  治安当局が、業務の改善と近代化を進めるべき点を常に検討することは当然のことだ。その一例が、警察の IT 構造とアーキテクチャの調和を目的とした警察プロジェクト P20 で、データ保護監督当局は、解決策重視の建設的な助言を行っている。ただし、ここではまず、正確な専門的ニーズを分析し、どのような比例的な解決策が可能かを明確にする必要がある。一方、DSK は、国内治安の課題に対して、基本権のさらなる制限を求めることは誤った対応だと考えている。
Anstelle voreiliger Gesetzgebungsaktivitäten hält es die DSK für dringend notwendig, die vorhandenen – in den vergangenen Jahren stetig erweiterten – Eingriffsbefugnisse der Sicherheitsbehörden, ihre Anwendung in der Praxis und ihre Wirksamkeit weiter umfassend zu evaluieren. Vorliegende wissenschaftliche Arbeiten zu einer Überwachungsgesamtrechnung, insbesondere die vom Max-Planck-Institut zur Erforschung von Kriminalität, Sicherheit und Recht im Auftrag des Bundes durchgeführte Studie, bieten hierfür eine geeignete Grundlage.  DSK は、性急な立法活動を行うよりも、過去数年間に継続的に拡大されてきた治安当局の介入権限、その実際の適用状況、および有効性をさらに包括的に評価することが急務だと考えている。監視の総合評価に関する既存の学術研究、特にマックス・プランク犯罪・治安・法研究所が連邦政府の委託を受けて実施した研究は、このための適切な基礎を提供している。
Die unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder werden künftige Novellierungen der Sicherheitsgesetze eng begleiten und sich weiter dafür einsetzen, dass neue Befugnisse für Sicherheitsbehörden den grundrechtlichen, vom Bundesverfassungsgericht ausgeformten, Maßstäben entsprechen.  連邦および州レベルの独立したドイツのデータ保護監督当局は、今後の治安関連法の改正を注視し、治安当局に付与される新たな権限が、連邦憲法裁判所が定めた基本的人権の基準に適合するよう引き続き努力していく。

 

機密クラウドコンピューティング...

NEU Entschließung: Confidential Cloud Computing 新着決議:機密クラウドコンピューティング

・[PDF]

Entschließung  決議
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden  連邦および州独立データ保護監督機関会議
des Bundes und der Länder vom 16. Juni 2025  2025年6月16日
Confidential Cloud Computing  機密クラウドコンピューティング
Der Begriff „Confidential Computing“ bezeichnet nicht eine einzelne Technologie, sondern wird von verschiedenen Anbietern unterschiedlich belegt. So wird beispielsweise eine Verschlüsselung von Daten im Arbeitsspeicher oder aber auch eine reine Zugriffsbeschränkung auf reservierte Speicherbereiche als Confidential Computing bezeichnet. Unter dem Begriff „Confidential Cloud Computing” werden teilweise Technologien damit beworben, dass Daten sogar vor dem Cloud-Betreiber geheim gehalten werden können. Eine solche allgemeine Aussage trägt jedoch nicht der tatsächlichen Komplexität der eingesetzten Technologie Rechnung. Um solche Werbeversprechen kritisch einzuordnen, werden im Nachfolgenden wichtige zu berücksichtigende Punkte angesprochen.  「機密コンピューティング」という用語は、単一の技術を指すものではなく、さまざまなプロバイダーによってさまざまな意味で使用されている。例えば、作業メモリ内のデータの暗号化、あるいは予約されたメモリ領域へのアクセス制限のみも、機密コンピューティングと呼ばれている。 「機密クラウドコンピューティング」という用語は、クラウド事業者からもデータを秘密に保つことができると宣伝して、一部の技術の販売促進に使用されている。しかし、このような一般的な表現は、実際に使用されている技術の複雑さを反映したものではない。このような宣伝文句を批判的に評価するために、以下では考慮すべき重要なポイントについて説明する。 
Angreifermodell  攻撃者のモデル
Zuerst sollte festgehalten werden, dass die zugrundeliegenden Technologien ursprünglich insbesondere dem Szenario entstammen, in welchem sich mehrere Nutzende die gleiche Hardware bei einem Cloud-Betreiber teilen. In einer solchen Situation soll sichergestellt werden, dass die eigenen Daten vor den Daten anderer Nutzender geheim gehalten werden können, möglicherweise sogar dann, wenn sich ein anderer Nutzender Administrationsrechte verschafft und auf Teile der Cloud-Betriebsinfrastruktur zugreift.  まず、この技術の基礎となっているものは、もともと、複数のユーザーがクラウド事業者に同じハードウェアを共有するシナリオから生まれたものであることを指摘しておこう。このような状況では、他のユーザーが管理者権限を取得してクラウド運用インフラストラクチャの一部にアクセスした場合でも、自分のデータを他のユーザーから秘密に保つことができるようにする必要がある。
Wenn jedoch die Daten nicht mehr nur vor anderen Nutzenden, sondern vor dem Cloud-Betreiber geheim gehalten werden sollen, erfordert dies ein komplett anderes und viel stärkeres Angreifermodell. Denn der Betreiber hat physikalischen Zugang zu den Systemen und umfangreiche Möglichkeiten, die Hardware und Software zu manipulieren. Für eine valide Bewertung der Wirksamkeit von Maßnahmen ist ein differenziertes Angreifermodell erforderlich, das auch unterschiedlichen Gruppen von Mitarbeitenden des Betreibers und seiner Auftragnehmer berücksichtigt.  しかし、データを他のユーザーからだけでなく、クラウド事業者からも秘密に保つ必要がある場合は、まったく異なる、より強力な攻撃者モデルが必要になる。なぜなら、事業者はシステムに物理的にアクセスでき、ハードウェアやソフトウェアを改ざんする幅広い手段を持っているからだ。対策の有効性を適切に評価するには、事業者とその委託業者のさまざまな従業員グループも考慮した、差別化された攻撃者モデルが必要だ。
Eine Verbesserung der Sicherheit kann sich dadurch ergeben, dass (z. B. mittels Verschlüsselung) Zugriffsmöglichkeiten innerhalb der Organisation des Betreibers (und ggf. seiner Auftragsverarbeiter) eingeschränkt werden. Auch vor einer missbräuchlichen Nutzung (z. B. Start geklonter virtueller Maschinen oder Container) oder Manipulation gibt es einen gewissen Schutz.  セキュリティの向上は、事業者(および必要に応じてその委託業者)の組織内でのアクセス権を(暗号化などを用いて)制限することで実現できる。また、不正使用(クローンされた仮想マシンやコンテナの起動など)や操作に対する一定の保護も実現できる。
Solche Maßnahmen gehören aber nicht im engeren Sinne zum „Confidential Computing“: Sie ändern nichts an der Tatsache, dass der Betreiber grundsätzliche Zugriff auf die Daten hat bzw. sich verschaffen kann. Die teilweise anzutreffende Behauptung, dass die Kontrolle über die Datenverarbeitung vollständig auf den Nutzenden übergehe, ist nicht haltbar. So ist es beispielsweise offensichtlich, dass die Kontrolle über die Verfügbarkeit der Datenverarbeitung auch beim Cloud-Betreiber liegt. Auch ist es offensichtlich nicht möglich, jede unrechtmäßige Datenverarbeitung im Cloud-Kontext zu verhindern, beispielsweise eine unrechtmäßige Löschung.  ただし、このような措置は、厳密な意味での「機密コンピューティング」には含まれない。これらは、事業者がデータに基本的にアクセスできる、あるいはアクセスできる状態にあるという事実を変えるものではない。データ処理の管理が完全にユーザーに移転すると主張する意見も一部にあるが、これは成り立たない。例えば、データ処理の可用性の制御はクラウド事業者にもあることは明らかだ。また、クラウド環境では、不正なデータ処理(不正な削除など)をすべて防止することは明らかに不可能だ。
Schlüsselmanagement  鍵管理
Eine besondere Bedeutung kommt dem eingesetzten Schlüsselmanagement zu. Tatsächliche Geheimhaltung vor dem Cloud-Betreiber (als Organisation) ist nur gewährleistet, wenn die Daten zu jedem Zeitpunkt so verschlüsselt sind, dass der Cloud-Betreiber den zur Entschlüsselung notwendigen Schlüssel nicht in Erfahrung bringen oder nutzen kann. Vor dem Hintergrund des oben angesprochenen sehr starken Angreifermodells eines „bösartigen Cloud-Betreibers“ müssen hierbei auch Analysen und Manipulationen von Hardware und Software berücksichtigt werden. Das bedeutet auch, dass der Cloud-Betreiber nachweisen muss, dass er zu keinem Zeitpunkt die Möglichkeit hat, die Verschlüsselung zu manipulieren (z. B. durch Machine-in-the-Middle-Angriffe oder den Austausch eines Nutzenden-Schlüssels durch einen selbst gewählten Schlüssel).  使用される鍵管理には特別な意味がある。クラウド事業者(組織として)に対する実際の機密性は、データが常に暗号化され、クラウド事業者が復号化に必要な鍵を入手または使用できない場合にのみ保証される。上記の「悪意のあるクラウド事業者」という非常に強力な攻撃モデルを背景に、ハードウェアおよびソフトウェアの分析や操作も考慮する必要がある。これはまた、クラウド事業者が、いかなる時点においても暗号化を操作する可能性がないことを証明しなければならないことを意味する(例:中間者攻撃や、ユーザーキーを自ら選択したキーに置き換えること)。
Nicht in allen Fällen ist für die Nutzenden klar überprüfbar, ob Confidential Computing überhaupt eingesetzt wird. Zwar ist es je nach Technologie möglich, dass über auf der Hardware hinterlegte Zertifikate attestiert wird, dass eine Operation in einer vertraulichen Umgebung ausgeführt wird. Um diese Attestierung aber an die Nutzenden durchreichen zu können und somit überprüfbar zu machen, muss die jeweilige Anwendung i.d.R. speziell dafür implementiert werden.  ユーザーが、機密コンピューティングが実際に使用されているかどうかを明確に確認できるとは限らない。技術によっては、ハードウェアに保存された証明書によって、操作が機密環境で実行されていることを証明することは可能だ。しかし、この証明をユーザーに伝達し、確認可能にするためには、通常、そのアプリケーションを特別に実装する必要がある。
Ein besonderes Augenmerk sollte hier auf die Übergänge zwischen den verschiedenen „Verschlüsselungsdomänen“ gelegt werden, etwa der Übergang von „data-at-rest“ zu „data-inuse“. Wenn bei solchen Übergängen ein Wechsel der eingesetzten Schlüssel vorgenommen wird, und zu diesem Zweck eine kurzzeitige Entschlüsselung der Daten stattfindet, liegen die Daten möglicherweise kurzzeitig in unverschlüsselter Form vor.  ここでは、さまざまな「暗号化ドメイン」間の移行、たとえば「保存データ」から「使用中データ」への移行に特に注意を払う必要がある。このような移行の際に、使用されている鍵が変更され、そのためにデータが一時的に復号化される場合、データは一時的に暗号化されていない状態で存在することになる。
Um die Aussagen der Cloud-Betreiber sowie der Hersteller der eingesetzten Hard- und Software (z. B. Hersteller von Chips, Firmware, Virtualisierungssoftware etc.) einordnen zu können, müssen Einsatzszenarien transparent sein. Ebenso müssen die der Sicherheitsanalyse zugrundeliegenden Annahmen offen kommuniziert werden. Eine typische Annahme ist, dass es keine physikalischen Angriffe (z. B. Seitenkanalattacken) gibt. Unter dieser Annahme kann diese Technik einen hohen Mehrwehrt an Sicherheit und Datenschutz bieten. Ist hingegen die Annahme nicht zutreffend (etwa, weil der Cloud-Betreiber einem Dritten physikalischen Zugang zur Hardware ermöglichen oder Schlüssel bzw. Zertifikate auf Hardware herausgeben oder austauschen muss) oder vertraut man Zusagen von Herstellern oder Betreibern nicht, so hat diese Technik nicht den versprochenen Effekt.  クラウド事業者や、使用するハードウェアおよびソフトウェア(チップ、ファームウェア、仮想化ソフトウェアなどのメーカー)のメーカーの主張を正しく理解するためには、使用シナリオを透明化する必要がある。また、セキュリティ分析の基礎となる仮定も、明確に伝える必要がある。典型的な仮定としては、物理的な攻撃(サイドチャネル攻撃など)がないことが挙げられる。この仮定の下では、この技術はセキュリティとデータ保護において高い付加価値を提供することができる。一方、この仮定が当てはまらない場合(例えば、クラウド事業者が第三者にハードウェアへの物理的なアクセスを許可したり、ハードウェア上の鍵や証明書を発行または交換しなければならない場合など)、あるいはメーカーや事業者の約束を信頼できない場合、この技術は期待される効果を発揮しない。
Als Fazit kann „Confidential Cloud Computing“ das allgemeine Sicherheitsniveau erhöhen und typischerweise einen wertvollen Schutz gegen andere Nutzende auf der gleichen Hardware und gegen einzelne Innentäter bieten – letztlich eine weitere Schicht eines „defense-indepth“-Ansatzes. Der Einsatz sollte daher empfohlen werden, auch wenn nicht alle Datenschutzprobleme so einfach gelöst werden, wie es teilweise beworben wird: Absolute Vertraulichkeit ist nicht möglich und grundsätzlich ist davon auszugehen, dass ein Cloud-Betreiber Zugriffsmöglichkeiten auf die zu schützenden Daten besitzt. Für eindeutig formulierte Angreifermodelle können jedoch konkretere Aussagen getroffen werden. Die Aussagen, mit denen diese Technologie beworben wird, sind daher im Hinblick auf das differenzierte Angreifermodell kritisch zu hinterfragen und die Schlussfolgerungen und die sich aus dem Angebot ergebenden bzw. zusätzlich zu ergreifenden Maßnahmen aus Gründen der Nachweis- und Rechenschaftspflicht nachvollziehbar dokumentieren.  結論として、「機密クラウドコンピューティング」は、一般的なセキュリティレベルを向上させ、通常、同じハードウェアを使用する他のユーザーや社内の不正ユーザーに対する貴重な保護を提供し、最終的には「防御の多層化」アプローチのさらなる層となる。したがって、すべてのデータ保護の問題が宣伝されているほど簡単に解決できるわけではないものの、この技術の使用は推奨されるべきだ。絶対的な機密性は不可能であり、原則として、クラウド事業者は保護対象のデータにアクセスできると想定すべきだ。ただし、明確に定義された攻撃モデルについては、より具体的な結論を導き出すことができる。したがって、この技術を宣伝する主張は、差別化された攻撃モデルに照らして批判的に検討し、証明および説明責任の観点から、その結論と、この製品から導き出される、あるいは追加で講じるべき措置を、理解しやすい形で文書化する必要がある。

 

 

AI システムの開発および運用における推奨される技術的および組織的措置に関するガイダンス

NEU Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen 新着 AI システムの開発および運用における推奨される技術的および組織的措置に関するガイダンス

・[PDF]

20250702-80808

・[DOCX][PDF] 仮訳

 

 

| | Comments (0)

2025.07.01

フランス CNIL AIシステムの開発:正当な利益に関する勧告(AIの学習のためのウェブスクレイピングの問題等)(2025.06.19)

こんにちは、丸山満彦です。

CNILが正当な利益に関する勧告を発表していますね...AIによる学習の際に、ウェブスクレイピングをすることもあると思いますが、その際に個人情報を取得することになるわけですが、合法的にそれを行うためには、どのようにすればよいのか?ということが問題となりますよね...ということで...

GDPRの場合は、第6条で、個人情報の適法な取り扱いについて6つの類型(a.同意、b.契約、c.法的義務、d.公益、e.重大な利益の保護、f.正当な利益)が示されています。

で、AIによる学習の際のウェブスクレイピングにより個人データを取得して取り扱う際は、f.正当な利益ということで処理をすればよいということになるのですが、「正当な利益」というのはどういう条件を満たせば認められるのかということが気になりますよね...ということで、この勧告です...

GDPRの第6条はつぎのようになっていますね...(個人情報保護委員会の仮訳をつかってます...)

 

Article 6 Lawfulness of processing  第6 条 取扱いの適法性 
1. Processing shall be lawful only if and to the extent that at least one of the following applies:  1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である: 
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;  (a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた 場合。 
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;  (b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結 の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
(c) processing is necessary for compliance with a legal obligation to which the controller is subject;  (c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合。 
(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;  (d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。 
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;  (e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。 
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.  (f) 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。 
Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.  第1 項(f)は、公的機関によってその職務の遂行のために行われる取扱いには適用されない。

日本の個人情報保護法でもいわゆる3年毎の見直しで検討されていたように思いますが、法案が国会に提出されませんでしたからね...

 

でCNILの発表...

CNIL

・2025.06.19 Développement des systèmes d’IA : la CNIL publie ses recommandations sur l’intérêt légitime

Développement des systèmes d’IA : la CNIL publie ses recommandations sur l’intérêt légitime AIシステムの開発:CNILが「正当な利益」に関する指針を公表
À l’issue d’une consultation publique, la CNIL publie de nouvelles recommandations sur le développement des systèmes d’intelligence artificielle. Elles précisent les conditions pour recourir à l’intérêt légitime, notamment en cas de moissonnage (web scraping). 公開協議の結果、CNIL は人工知能システムの開発に関する新たな勧告を発表した。この勧告では、特にウェブスクレイピング(ウェブの情報を収集・抽出)の場合に、正当な利益のために人工知能システムを利用するための条件について詳しく規定している。
Le RGPD contribue à une IA innovante et respectueuse des données personnelles GDPRは、個人データを尊重する革新的なAIの発展に貢献している
Consciente des enjeux de clarification du cadre juridique, la CNIL s’emploie, à travers l’ensemble de ses actions, à sécuriser les acteurs afin de favoriser l’innovation en IA tout en assurant le respect des droits fondamentaux des Européens. 法的枠組みの明確化の重要性を認識しているCNILは、そのすべての活動を通じて、欧州市民の基本的権利を尊重しつつ、AIのイノベーションを促進するために、関係者の安全確保に努めている。
Depuis le lancement de son plan d’action sur l’IA en mai 2023, la CNIL a adopté une série de recommandations pour le développement de systèmes d’IA afin d’apporter de la sécurité juridique aux entreprises. Ainsi éclairé et clarifié, l’application du RGPD est un facteur de confiance pour les personnes. 2023年5月にAIに関する行動計画を発表して以来、CNILは、企業に法的安定性をもたらすため、AIシステムの開発に関する一連の勧告事項を採用してきた。このように明確化され、明確化されたGDPRの適用は、人々にとって信頼の要因となる。
Plusieurs fiches ont déjà été publiées, permettant en particulier aux acteurs de : すでにいくつかの資料が公表されており、特に関係者は以下のことが可能になっている。
・déterminer le régime juridique applicable ; ・適用される法的枠組みの決定
・définir une finalité ; ・目的の設定
・déterminer la qualification juridique des acteurs ; ・関係者の法的地位の決定
・définir une base légale ; ・法的根拠の決定
・effectuer des tests et vérifications en cas de réutilisation des données ; ・データの再利用の場合のテストおよび検証の実施
・réaliser une analyse d’impact si nécessaire ; ・必要に応じて影響評価の実施
・tenir compte de la protection des données dès les choix de conception du système ; ・システムの設計段階からデータ保護を考慮
・tenir compte de la protection des données dans la collecte et la gestion des données ; ・データ収集および管理におけるデータ保護を考慮する
・informer les personnes ; ・個人に情報を提供する
・garantir et faciliter l’exercice des droits. ・権利の行使を保証し、容易にする
Consulter les recommandations 勧告事項を参照
Les nouvelles recommandations de la CNIL CNIL の新しい勧告事項
Une concertation avec les parties prenantes 関係者との協議
La CNIL publie aujourd’hui deux nouvelles recommandations, élaborées à la suite d’une consultation publique, pour assurer que le développement des systèmes d’IA soit respectueux des données personnelles. Les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.) ont ainsi pu s’exprimer et permettre à la CNIL de proposer des recommandations au plus proche de leurs questionnements et de la réalité des usages de l’IA. CNIL は本日、公開協議を経て、AI システムの開発が個人データを尊重したものとなるよう確保するための 2 つの新しい勧告事項を発表しました。関係者(企業、研究者、学者、団体、法律・技術顧問、労働組合、連盟など)は、それぞれの意見を発表し、CNIL が彼らの疑問や AI の実際の利用状況により近い勧告事項を提案できるようにした。
Consulter la synthèse des contributions 意見の概要を見る
L’intérêt légitime, une base légale possible sous conditions 正当な利益、条件付きでの法的根拠
Dans le prolongement de l’avis adopté par le CEPD en décembre 2024, la CNIL considère que le développement des systèmes d’IA ne nécessite pas systématiquement le consentement des personnes. L’intérêt légitime est une base légale possible pour le développement des systèmes d’IA, sous réserve de prendre des garanties fortes : 2024年12月にCEPDが採択した意見を受けて、CNILは、AIシステムの開発には必ずしも個人の同意が必要ではないと考えている。正当な利益は、強力な保証措置を講じることを条件として、AIシステムの開発における法的根拠となり得る。
・Dans ces recommandations, la CNIL aide les acteurs à évaluer les cas dans lesquels ils pourront mobiliser cette base légale, en fournissant les critères permettant de faire l’analyse, y compris dans le cas spécifique du moissonnage de données en ligne (web scraping). Elle propose des exemples de garanties concrètes et adaptés aux différents types de systèmes d’IA : exclusion de certaines données de la collecte, transparence accrue, facilitation de l’exercice des droits, etc
.
・この勧告では、CNILは、関係者がこの法的根拠を利用できるケースを評価するための分析基準を提供し、オンラインデータ収集(ウェブスクレイピング)の具体的なケースも含め、関係者の支援を行っている。また、さまざまな種類の AI システムに適した具体的な保証の例も提案している。例えば、特定のデータの収集からの除外、透明性の向上、権利の行使の容易化などだ。
・Les recommandations donnent des exemples concrets de traitements de données qui peuvent se fonder ou non sur l’intérêt légitime. Ainsi, par exemple, la réutilisation des conversations futures des utilisateurs d’un agent conversationnel pour l’amélioration du modèle d’IA peut se fonder sur l’intérêt légitime à condition de mettre en place certaines garanties fortes : information des personnes, droit d’opposition discrétionnaire, limitation du traitement à certaines données pseudonymisées/anonymisées, etc. ・この勧告では、正当な利益に基づく、あるいは正当な利益に基づかないデータ処理の具体例も挙げている。例えば、会話型エージェントのユーザーの将来の会話の再利用は、AI モデルの改善のために、特定の強力な保証措置(個人への情報提供、任意での反対権、特定の仮名化/匿名化されたデータへの処理の制限など)を講じることを条件として、正当な利益に基づいて行うことができる。
Les prochaines étapes 今後の予定
Les travaux de la CNIL pour assurer une application entière et pragmatique du RGPD dans le domaine de l’IA se poursuivront dans les prochains mois avec de nouvelles recommandations. Elle publiera prochainement des recommandations concernant le statut d’un modèle d’IA au regard du RGPD, les enjeux de sécurité du développement d’un système d’IA et l’annotation des données. Elle annoncera également son programme de travail à venir à cette occasion. CNIL は、AI 分野における GDPR の完全かつ実用的な適用を確保するため、今後数カ月にわたって新たな勧告を発表する予定です。また、GDPR における AI モデルの地位、AI システムの開発におけるセキュリティ上の課題、およびデータの注釈に関する勧告も間もなく発表する予定です。また、その際に今後の作業計画も発表する予定だ。
Par ailleurs la CNIL poursuit les travaux au sein du Comité européen de la protection des données (CEPD) sur l’articulation entre le RGPD et le RIA ainsi que sur le moissonnage de données dans le contexte de l’IA générative. さらに、CNIL は、欧州データ保護委員会(CEPD)において、GDPR と RIA の連携、および生成型 AI の文脈におけるデータハーベスティングに関する作業を継続している。
Elle suit également les travaux du bureau de l’IA de la Commission européenne pour l’élaboration d’un code de bonnes pratiques sur l’IA à usage général et s’articule avec le travail de clarification du cadre légal mené au niveau européen. また、欧州委員会 AI 事務局による汎用 AI に関する行動規範の策定作業もフォローし、欧州レベルで進められている法的枠組みの明確化作業と連携している。
La synthèse des contributions 意見の要約
Consultation publique - Fiches pratiques IA sur la mobilisation de l’intérêt légitime pour le développement de systèmes d’intelligence artificielle - Synthèse des contributions 公開協議 - AI に関する実践的情報シート AI システムの開発における正当な利益の動員 - 意見の要約
Pour approfondir 詳細
Les fiches pratiques IA AI 実践ガイド
Modèles d’IA et RGPD : le CEPD publie son avis pour une IA responsable AI モデルと GDPR:CEPD が責任ある AI に関する意見書を公表
Texte de référence 参考文書
Le règlement général sur la protection des données (RGPD) 一般データ保護規則(GDPR)

 

・[PDF]

20250701-45842

 

AI実践ガイド...

Les fiches pratiques IA

Les fiches pratiques IA AI 実践ガイド
Fiche synthèse 概要
Les recommandations de la CNIL en bref CNIL の推奨事項の概要
Les recommandations de la CNIL sur l’application du RGPD au développement des systèmes d’IA permettent de concilier innovation et respect des droits des personnes. Que faut-il retenir ? AI システムの開発における GDPR の適用に関する CNIL の推奨事項は、イノベーションと個人の権利の尊重の両立を可能にする。重要なポイントは何ですか?
Note : cette synthèse ne concerne que les fiches « Introduction » à 7 pour le moment. 注:この概要は、現時点では「導入」の 7 つのシートのみを対象としている。
> En savoir plus > 詳細
Introduction 導入
Quel est le périmètre des fiches pratiques sur l’IA ? AI に関する実践的情報シートの範囲
La CNIL apporte des réponses concrètes pour la constitution de bases de données utilisées pour l’apprentissage des systèmes d’intelligence artificielle (IA), qui impliquent des données personnelles. CNIL は、個人データを含む人工知能(AI)システムの学習に使用されるデータベースの構築について、具体的な回答を提供している。
> En savoir plus > 詳細
Fiche 1 シート 1
Déterminer le régime juridique applicable 適用される法的枠組みの決定
La CNIL vous aide à déterminer le régime juridique applicable aux traitements de données personnelles en phase de développement. CNIL は、開発段階にある個人データの処理に適用される法的枠組みの決定を支援している。
> En savoir plus > 詳細
Fiche 2 シート 2
Définir une finalité 目的の設定
La CNIL vous aide à définir la ou les finalités en tenant compte des spécificités du développement de systèmes d’IA. CNIL は、AI システムの開発の特殊性を考慮して、目的を設定する支援を行っている。
> En savoir plus > 詳細
Fiche 3 シート 3
Déterminer la qualification juridique des fournisseurs de systèmes d’IA AI システムプロバイダーの法的資格を決定する
Responsable de traitement, responsable conjoint ou sous-traitant : la CNIL aide les fournisseurs de systèmes d’IA à déterminer leur qualification. データ管理者、共同管理者、または委託業者:CNIL は、AI システムプロバイダーが自らの資格を決定するお手伝いをしている。
> En savoir plus > 詳細
Fiche 4 シート 4
(1/2) (1/2)
Assurer que le traitement est licite - Définir une base légale 処理が合法であることを確認する - 法的根拠を定義する
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données. CNIL は、お客様の責任およびデータの収集または再利用の方法に応じて、お客様の義務を決定するお手伝いをします。
> En savoir plus > 詳細
Fiche 4 シート 4
(2/2) (2/2)
Assurer que le traitement est licite - En cas de réutilisation des données 処理が合法であることを確認する - データの再利用の場合
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données. CNIL は、お客様の責任およびデータの収集または再利用の方法に応じて、お客様の義務を決定するお手伝いをします。
> En savoir plus > 詳細
Fiche 5 シート 5
Réaliser une analyse d’impact si nécessaire 必要に応じて影響評価を実施する
La CNIL vous explique comment et dans quels cas réaliser une analyse d’impact sur la protection des données (AIPD) en tenant compte des risques spécifiques au développement de modèles d’IA. CNIL は、AI モデルの開発に特有のリスクを考慮して、データ保護に関する影響評価 (AIPD) を実施する方法と、その実施すべき場合について説明している。
> En savoir plus > 詳細
Fiche 6 シート 6
Tenir compte de la protection des données dans la conception du système システムの設計においてデータ保護を考慮する
Pour assurer le développement d’un système d’IA respectueux de la protection des données, il est nécessaire de mener une réflexion préalable lors de la conception du système. La CNIL en détaille les étapes. データ保護に配慮した AI システムを開発するには、システムの設計段階で事前の検討を行う必要がある。CNIL はその手順を詳しく説明している。
> En savoir plus > 詳細
Fiche 7 シート 7
Tenir compte de la protection des données dans la collecte et la gestion des données データの収集および管理においてデータ保護を考慮する
La CNIL donne les bonnes pratiques pour sélectionner les données et limiter leur traitement afin d’entraîner un modèle performant dans le respect des principes de protection des données dès la conception et par défaut. CNIL は、設計段階から、そしてデフォルトでデータ保護の原則を遵守しながら、高性能のモデルをトレーニングするために、データの選択と処理の制限に関するベストプラクティスを紹介している。
> En savoir plus > 詳細
Fiche 8 シート 8
Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA AI システムの開発における正当な利益の法的根拠の活用
La base légale de l’intérêt légitime sera la plus couramment utilisée pour le développement de systèmes d’IA. Cette base légale ne peut toutefois pas être mobilisée sans en respecter les conditions et mettre en œuvre des garanties suffisantes. AI システムの開発には、正当な利益の法的根拠が最もよく利用される。ただし、この法的根拠は、その条件を守り、十分な保証措置を講じなければ利用できない。
> En savoir plus > 詳細
Fiche 8 bis シート 8 bis
Fiche focus moissonnage フォーカスシート データハーベスティング
La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping) 正当な利益の法的根拠:データハーベスティング(ウェブスクレイピング)によるデータ収集の際に講じるべき措置に関するフォーカスシート
La collecte des données accessibles en ligne par moissonnage (web scraping) doit être accompagnée de mesures visant à garantir les droits des personnes concernées. ウェブスクレイピングによるオンラインでアクセス可能なデータの収集には、関係者の権利を保証するための措置を講じる必要がある。
> En savoir plus > 詳細
Fiche 9 シート 9
Informer les personnes concernées 関係者への情報提供
Les organismes qui traitent des données personnelles pour développer des modèles ou des systèmes d’IA doivent informer les personnes concernées. La CNIL précise les obligations en la matière. AI モデルやシステムの開発のために個人データを処理する機関は、関係者にその旨を通知しなければならない。CNIL は、この点に関する義務を明確にしている。
> En savoir plus > 詳細
Fiche 10 シート 10
Respecter et faciliter l’exercice des droits des personnes concernées 関係者の権利の尊重と行使の促進
Les personnes dont les données sont collectées, utilisées ou réutilisées pour développer un système d’IA disposent de droits sur leurs données qui leur permettent d’en conserver la maîtrise. Il appartient aux responsables des traitements de les respecter et d’en faciliter l’exercice. AI システムの開発のためにデータが収集、使用、再利用される個人は、そのデータに関する権利を有しており、そのデータを管理することができる。データ処理責任者は、これらの権利を尊重し、その行使を促進する義務がある。
> En savoir plus > 詳細
Fiche 11 シート 11
En cours de finalisation 最終ドラフト段階
Annoter les données データの注釈
La phase d’annotation des données est cruciale pour garantir la qualité du modèle entraîné. Cet enjeu de performance peut être atteint au moyen d’une méthodologie rigoureuse garantissant le respect de la protection des données personnelles. データの注釈段階は、トレーニングされたモデルの品質を確保するために非常に重要だ。このパフォーマンス上の課題は、個人データの保護を確実に遵守する厳格な方法論によって達成することができる。
> En savoir plus > 詳細
Fiche 12 シート 12
En cours de finalisation 最終ドラフト段階
Garantir la sécurité du développement d’un système d’IA AI システムの開発の安全性を確保する
La sécurité des systèmes d’IA est une obligation afin de garantir la protection des données tant lors du développement du système que par anticipation de son déploiement. Cette fiche détaille les risques et mesures à prendre recommandées par la CNIL. AI システムの安全性は、システムの開発段階および展開前の段階でデータの保護を確保するために必須の要件だ。このシートでは、CNIL が推奨するリスクと対策について詳しく説明している。
> En savoir plus > 詳細

 

 


 

 

 

 

Continue reading "フランス CNIL AIシステムの開発:正当な利益に関する勧告(AIの学習のためのウェブスクレイピングの問題等)(2025.06.19)"

| | Comments (0)

2025.06.29

OECD プライバシー強化技術を用いた信頼性の高い AI モデルの共有

こんにちは、丸山満彦です。

2025.06.17-20にかけてOECDがAIについてのいくつかの報告書を公表していますが、その1つで、プライバシー強化技術(PETs)についてです...

とてもユースケースがたくさん紹介されていて、とても参考になると思います。

ユースケースは大きく2つにわけていて

  1. 信頼可能な実行環境、連合学習、安全な多者間計算などの技術を用いて、入力データを機密保持し、最小限に利用することで AI モデルのパフォーマンスを向上させる
  2. 差分プライバシー、信頼可能な実行環境、準同型暗号などのツールを用いて、AI モデルの機密保持された共同作成と共有を可能にする

 

OECD

・2025.06.17 Sharing trustworthy AI models with privacy-enhancing technologies

Sharing trustworthy AI models with privacy-enhancing technologies プライバシー強化技術を用いた信頼性の高い AI モデルの共有
Abstract 概要
Privacy-enhancing technologies (PETs) are critical tools for building trust in the collaborative development and sharing of artificial intelligence (AI) models while protecting privacy, intellectual property, and sensitive information. This report identifies two key types of PET use cases. The first is enhancing the performance of AI models through confidential and minimal use of input data, with technologies like trusted execution environments, federated learning, and secure multi-party computation. The second is enabling the confidential co-creation and sharing of AI models using tools such as differential privacy, trusted execution environments, and homomorphic encryption. PETs can reduce the need for additional data collection, facilitate data-sharing partnerships, and help address risks in AI governance. However, they are not silver bullets. While combining different PETs can help compensate for their individual limitations, balancing utility, efficiency, and usability remains challenging. Governments and regulators can encourage PET adoption through policies, including guidance, regulatory sandboxes, and R&D support, which would help build sustainable PET markets and promote trustworthy AI innovation. プライバシー強化技術(PET)は、プライバシー、知的財産、機密情報を保護しながら、人工知能(AI)モデルの共同開発と共有における信頼を構築するための重要なツールである。この報告書では、PET の 2 つの主な使用例を特定していつ。1 つ目は、信頼可能な実行環境、連合学習、安全な多者間計算などの技術を用いて、入力データを機密保持し、最小限に利用することで AI モデルのパフォーマンスを向上させることである。2 つ目は、差分プライバシー、信頼可能な実行環境、準同型暗号などのツールを用いて、AI モデルの機密保持された共同作成と共有を可能にするものである。PET は、追加のデータ収集の必要性を減らし、データ共有のパートナーシップを促進し、AI ガバナンスのリスクに対処するのに役立つ。ただし、PET は万能薬ではない。さまざまな PET を組み合わせることで、それぞれの限界を補うことはできるが、有用性、効率性、使いやすさのバランスを取ることは依然として難しい。政府や規制当局は、ガイダンス、規制のサンドボックス、研究開発支援などの政策を通じて PET の採用を促進することで、持続可能な PET 市場の構築と信頼性の高い AI イノベーションの推進に貢献することができる。

 

・[PDF]

20250627-71357

・[DOCX][PDF] 仮訳

 

 

目次...

genn まえがき
Executive summary エグゼクティブサマリー
1 Introduction 1 序論
2 Use Case Archetypes: PETs enabling trustworthy collaborative development and sharing of artificial intelligence models 2 ユースケースの原型:人工知能モデルの信頼できる共同開発と共有を可能にする PETs
Use case archetype 1: Enhancing AI model performance through minimal and confidential use of input and test data ユースケース原型1:入力データとテストデータの最小限の秘密使用によるAIモデルの性能強化
Use case archetype 2: Co-creating or sharing AI models while preserving confidentiality ユースケース原型2:機密性を保持しながらAIモデルを共同作成または共有する
3 Policy initiatives on PETs and AI 3 PETsとAIに関する政策イニシアティブ
Regulatory sandboxes and other sandboxes 規制のサンドボックスとその他のサンドボックス
Innovation contests イノベーション・コンテスト
Research and development (R&D) support 研究開発(R&D)支援
Collaboration initiatives 共同イニシアチブ
Government procurement 政府調達
Annex A. PET functions across AI lifecycle stages and use cases 附属書A.AIのライフサイクル段階とユースケースにおけるPET機能
References 参考文献

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
Privacy-enhancing technologies (PETs) play a crucial role in enabling trust for the collaborative development and sharing of artificial intelligence (AI) models by protecting privacy rights, but also other rights and interests such as intellectual property rights. PETs do so by ensuring: (i) data minimisation (i.e. limiting data collection and processing to what is directly relevant and necessary for the purpose of training or testing the AI model) and (ii) confidentiality (i.e. preventing unauthorised access to information contained in input data or the AI model).  プライバシー強化技術(PETs)は、プライバシーの権利だけでなく、知的財産権など他の権利や利益も保護することで、人工知能(AI)モデルの共同開発と共有の信頼を可能にする上で重要な役割を果たす。PETは、(i)データの最小化(すなわち、データの収集と処理を、AIモデルの訓練またはテストの目的に直接関連し必要なものに限定すること)、および(ii)機密性(すなわち、入力データやAIモデルに含まれる情報への不正アクセスを防止すること)を確保することによって、これを実現する。 
This report highlights two primary use case archetypes derived mainly from a set of use cases discussed at two OECD expert workshops on PETs and AI held between May and July 2024 (hereafter “the OECD expert workshops on PETs and AI”). These use case archetypes include, using PETs for:  本報告書では、主に、2024 年 5 月から 7 月にかけて開催された PET と AI に関する 2 つの OECD 専門家ワークショップ(以下、「PET と AI に関する OECD 専門家ワークショップ」)で議論された一連のユースケースから導き出された 2 つの主要なユースケースの原型を取り上げる。これらのユースケースの原型には、以下のものが含まれる: 
• Use case archetype 1 — Enhancing AI model performance through minimal and confidential use of input and test data: Often, no single organisation will have access to the necessary variety or volume of data, making external data access critical yet complex due to confidentiality, trust, or regulatory concerns. In the use cases highlighted during the OECD expert workshops on PETs and AI, two main functions of PETs stand out in relation to input and test data: (i) ensuring confidential preprocessing of input data, notably through the use of secured data processing environments such as trusted execution environments (TEEs); and (ii) minimising the collection and use of personal data, and of non-personal but otherwise sensitive data, for AI model training and performance testing, where a variety of PETs are typically combined to protect data and maintain control during their collaborative use. For the latter function, for instance, PETs like federated learning and (secure) multi-party computation (MPC) are often used for the collaborative use of input data as they allow distributed data processing while keeping data under the control of their holders. Meanwhile, synthetic data are predominantly used for sharing test data. All these approaches are typically used in combination with other PETs such as differential privacy to mitigate their respective drawbacks.  • ユースケース原型 1 - 入力データとテストデータの最小限の秘密使用による AI モデル性能の向上:多くの場合、単一の組織では必要な種類のデータや大量のデータにアクセスできず、機密性、信頼性、規制上の懸念から、外部からのデータアクセスが重要でありながら複雑なものとなる。PETとAIに関するOECD専門家ワークショップで強調されたユースケースでは、入力データとテス トデータに関するPETの2つの主な機能が際立っている:(i) 特に信頼可能な実行環境(TEE)のようなセキュアなデータ処 理環境の使用を通じて、入力データの機密前処理を確保すること、(ii) AIモデルの学習と性能テストのために、パーソナルデータの収集と使用を最小化すること、お よび非個人データであるがその他の機密データの収集と使用を最小化すること。後者の機能では、例えば連合学習や(セキュアな)マルチパーティ計算(MPC)のようなPETが、データを保持者の管理下に置きながら分散データ処理を可能にするため、入力データの共同利用によく使われる。一方、合成データは主にテストデータの共有に使われる。これらのアプローチはすべて、それぞれの欠点を緩和するために、差分プライバシーなどの他のPETと組み合わせて使用されるのが一般的である。 
• Use case archetype 2 — Enabling confidential co-creation and sharing of AI models: In addition to the collaborative use of input and test data, the joint development of AI models by multiple parties as well as their joint re-use (AI model sharing) can drive innovation by e.g. democratising access to powerful AI models, including by smaller actors such as small and medium-sized enterprises (SMEs). However, co-creating or sharing AI models presents heightened confidentiality risks, as shared models can be the target of unauthorised access, manipulation, or extraction of confidential proprietary or personal information (through e.g. reverse engineering from model weights) with negative effects on privacy and other rights and interests. Under this archetype, PETs are primarily used to: (i) confidentially co-create AI models, with PETs enabling distributed confidential data processing, such as MPC and federated learning, being the most prominent PETs; and (ii) protect AI models and their outputs (inferences) by providing complementary layers of protection. For example, differential privacy helps reduce the identifiability of output data, while trusted execution environments (TEEs) and (fully) homomorphic encryption (HE) protect the confidentiality of data and models during computation.  • ユースケース原型2 - AIモデルの機密の共創と共有を可能にする:入力データやテストデータの共同利用に加え、複数の関係者によるAIモデルの共同開発やその共同再利用(AIモデルの共有)は、例えば中小企業(SMEs)のような小規模な関係者を含め、強力なAIモデルへのアクセスを民主化することによってイノベーションを促進することができる。しかし、AIモデルの共創や共有は、プライバシーやその他の権利や利益に悪影響を及ぼす(モデル・ウェイトからのリバースエンジニアリングなどによる)無許可のアクセス、操作、機密の専有情報や個人情報の抽出の対象となりうるため、機密性のリスクが高まる。この原型のもとでは、PETは主に以下の目的で使用される:(i)MPCや連合学習などの分散機密データ処理を可能にするPETが最も顕著なPETであり、(ii)相補的な保護層を提供することによってAIモデルとその出力(推論)を保護する。例えば、差分プライバシーは出力データの識別可能性( )を低減するのに役立ち、信頼可能な実行環境(TEEs)と(完全な)準同型暗号(HE)は計算中のデータとモデルの機密性を保護する。 
In both use case archetypes, PETs are used to minimise or eliminate the need for an organisation training an AI model to collect and process additional personal data or otherwise sensitive or confidential information. In so doing, PETs help reduce the risk of trust violations between parties, which in turn facilitates “data-sharing partnerships” as called for in the OECD Recommendation on Enhancing Access to and Sharing of Data. In contrast with use case archetype 1, where a single entity typically controls the data collection and model creation process, in use case archetype 2, each party has shared ownership and control over the model creation process, as well as the resulting AI model, unless access to the latter (the AI model) is restricted through complementary layers of PETs to further enhance confidentiality and trust.  どちらのユースケースにおいても、PETは、AIモデルをトレーニングする組織が、個人データやその他の機密情報を追加で収集・処理する必要性を最小化または排除するために使用される。そうすることで、PETは当事者間の信頼侵害のリスクを低減し、OECDの「データへのアクセスと共有の強化に関する勧告」で求められている「データ共有パートナーシップ」を促進する。通常、単一の事業体がデータ収集とモデル作成プロセスを管理するユースケース原型 1 とは対照的に、ユースケース原型 2 では、各当事者は、モデル作成プロセスだけでなく、結果として得られる AI モデルに対する所有権と制御権を共有する。ただし、後者(AI モデル)へのアクセスは、機密性と信頼性をさらに高めるために、補完的なレイヤーの PET によって制限される。 
It is widely acknowledged that PETs are not a silver bullet despite the crucial role they play in addressing data governance and privacy challenges in the context of AI. Different PETs can often be combined to compensate for their respective limitations, but challenges remain in balancing utility, efficiency and usability. For example, synthetic data and differential privacy help reduce re-identification risks but may introduce bias or degrade model accuracy. Homomorphic encryption can help ensure secure computation but comes with higher computational costs, while MPC can mitigate data leakage risks in federated learning but may suffer from high communication overhead. As PETs evolve, addressing these trade-offs and operational constraints will be essential to maximising their potential while ensuring truly privacypreserving AI innovation.  PETは、AIの文脈におけるデータ・ガバナンスとプライバシーの課題に対処する上で極めて重要な役割を果たすにもかかわらず、銀の弾丸ではないことは広く認められている。さまざまなPETを組み合わせることで、それぞれの限界を補うことができる場合が多いが、実用性、効率性、使いやすさのバランスをとるという課題は残っている。例えば、合成データと差分プライバシーは、再識別リスクの低減に役立つが、バイアスを導入したり、モデルの精度を低下させたりする可能性がある。準同型暗号は安全な計算を保証するのに役立つが、計算コストが高くなる。MPCは連合学習におけるデータ漏洩リスクを緩和できるが、通信オーバーヘッドが高くなる可能性がある。PETが進化するにつれて、これらのトレードオフと運用上の制約に対処することは、真にプライバシーを保護するAIイノベーションを確保しながら、その可能性を最大限に引き出すために不可欠となる。 
With PET adoption remaining a major policy challenge however, including in the context of AI, governments and regulators have an active role to play to ensure the appropriate adoption of PETs. A wide variety of policy measures can be considered to promote innovation in and with PETs and AI from both a demand and supply side. On the demand side (aimed directly at increasing the adoption and use of PETs), framework and guidance for responsible adoption of PETs, regulatory sandboxes and innovation contests are among the most prominent policy tools used by governments and regulators. Other key approaches include collaboration initiatives, awareness raising and training, and government procurement of PETs. On the supply side (aimed directly at fostering the availability of PET solutions and services), research and development (R&D) support is crucial to ensuring that PETs are not only efficient but also cost-effective and user-friendly.  しかし、PETの採用は、AIの文脈も含め、依然として大きな政策課題であるため、政府と規制当局は、PETの適切な採用を確保するために積極的な役割を担っている。PETとAIのイノベーションを促進するために、需要側と供給側の両方から、様々な政策手段を検討することができる。需要側(PETs の採用と使用を直接的に増加させることを目的とする)では、PETs の責任ある採用のための枠組みやガイダンス、規制のサンドボックス、イノベーショ ンコンテストが、政府とガバナンスによって使用される最も顕著な政策手段の一つである。その他の主要なアプローチには、連携イニシアティブ、意識向上およびトレーニング、 PETs の政府調達などがある。供給側(PETソリューションとサービスの利用可能性を促進することを直接の目的とする)では、研究開発(R&D)支援は、PETが効率的であるだけでなく、費用対効果も高く、使い勝手のよいものであることを保証するために極めて重要である。 
The demand and supply side measures complement each other. This interdependence is particularly critical for PET product and service providers, especially startups and SMEs, which depend on a growing market to sustain their operations and ensure the viability of their business models. Low demand can hinder market entry and growth, making it difficult for these firms to scale, which in turn limits incentives for supply-side innovation including the development of new, more effective PET solutions. This can in turn negatively affect demand for PETs.  需要側と供給側の対策は、互いに補完し合うものである。この相互依存は、PET製品・サービスプロバイダ、特に新興企業や中小企業にとって特に重要であり、これらのプロバイダは、事業を維持し、ビジネスモデルの実行可能性を確保するために、市場の成長に依存している。需要が低いと、市場参入と成長が妨げられ、これらの企業が規模を拡大することが難しくなり、その結果、より効果的な新しいPETソリューションの開発など、供給側の技術革新のインセンティブが制限されることになる。これは、ひいてはPETの需要に悪影響を及ぼす可能性がある。 

 

 

 

 

 

 

 

| | Comments (0)

2025.06.26

英国 データ(利用とアクセス)法 (DUAA) 2025 (2025.06.19)

こんにちは、丸山満彦です。

英国の個人データ保護法の変更を伴うData Use and Access Bill が議会で可決され、国王の勅許がえられ、2025.06l.19にData (Use and Access) Act 2025が制定されましたね...

AIの訓練における著作物の使用に関する議論が活発に行われたので、少し成立に手間取ったようですね...

機械学習に基づくAIがもたらす社会的な影響は大きく、うまく使えれば社会的にも経済的にも便益をもたらす可能性が高く期待される反面、学習の過程における著作物や個人データの取り扱いについて、既存の法体系では想定していない利用方法なので、調整が必要ということだと思います。

 

変更点としては、

  • 研究における個人情報の使用方法の明確化
  • 一部の自動意思決定に関する制限の解除
  • 同意なしに一部のクッキーを使用する方法の規定
  • 特定の状況において公益(慈善)団体が同意なしに電子メールによるマーケティングを行うことを許可
  • 組織にデータ保護に関する苦情処理手続きの設置を義務付け
  • 新たな法的根拠としての「正当な利益」の導入(明文化)

がありますが、それ以外にも修正点があります。

  • 研究における個人情報の使用方法の明確化
    • 商業的研究利用にも適用されることを明確化等
  • 一部の自動意思決定に関する制限の解除
    • 特別カテゴリー(人種、健康データ等)を除いて一部緩和(利用者による関与等を条件として)
  • 同意なしに一部のクッキーを使用する方法の規定
    • サービス改善のための統計情報収集Cookie、Webサイトの表示方法など必要な機能的Cookieについてhオプトアウトを認める
  • 特定の状況において公益(慈善)団体が同意なしに電子メールによるマーケティングを行うことを許可
  • 組織にデータ保護に関する苦情処理手続きの設置を義務付け
    • 30日以内対応
    • 記録義務
  • 法的根拠としての「正当な利益」の導入(明文化)による利益衡量テストの省略
    • 国家安全保障の保護、犯罪の検出、捜査、防止または犯罪者の逮捕
    • 脆弱な個人の保護
    • 企業グループ内管理目的

 

しかし、条文が難しいです...

あと、欧州のGDPRとの同等性についてですが、EUは2025.12.27までに英国のデータ保護法を再評価し、同等性を判断することになっています。現時点では、英国政府は同等性が維持されるといっていますね...根拠としては、DUAAの変更はEUのGDPRの基本的な枠組みを維持しているためということですが、EU側に決定権がありますからね...

懸念事項としては、クッキー等の変更部分ですかね。。。

 

 

Legislation.gov.uk

Data (Use and Access) Act 2025

・[PDF]

20250623-61811

Data (Use and Access) Act 2025  データ(利用とアクセス)法 2025
CHAPTER 18 CONTENTS  第18章 目次
PART 1  第1部
ACCESS TO CUSTOMER DATA AND BUSINESS DATA  顧客データおよび事業データへのアクセス
Introductory  序論
1 Customer data and business data  1 顧客データおよび事業データ
Data regulations  データ規制
2 Power to make provision in connection with customer data  2 顧客データに関する規定を定める権限
3 Customer data: supplementary  3 顧客データ:補足
4 Power to make provision in connection with business data  4 ビジネスデータに関する規定を定める権限
5 Business data: supplementary  5 ビジネスデータ:補足
6 Decision-makers  6 意思決定者
7 Interface bodies  7 インターフェース団体
Enforcement  施行
8 Enforcement of regulations under this Part  8 この部の規定の施行
9 Restrictions on powers of investigation etc  9 調査権限等の制限
10 Financial penalties  10 罰金
Fees etc and financial assistance  手数料等および財政援助
11 Fees  11 手数料
12 Levy  12 課徴金
13 Financial assistance  13 財政援助
Financial services sector  金融サービス部門
14 The FCA and financial services interfaces  14 FCA および金融サービスインターフェース
15 The FCA and financial services interfaces: supplementary  15 FCA および金融サービスインターフェース:補足
16 The FCA and financial services interfaces: penalties and levies  16 FCA および金融サービスインターフェース:罰則および課徴金
17 The FCA and co-ordination with other regulators  17 FCA および他の規制当局との調整
Supplementary  補足
18 Liability in damages  18 損害賠償責任
19 Duty to review regulations  19 規制の見直し義務
20 Restrictions on processing and data protection  20 処理およびデータ保護に関する制限
21 Regulations under this Part: supplementary  21 本パートに基づく規制:補足
22 Regulations under this Part: Parliamentary procedure and consultation  22 本部に基づく規制:議会手続きおよび協議
23 Related subordinate legislation  23 関連する下位法令
24 Repeal of provisions relating to supply of customer data  24 顧客データの提供に関する規定の廃止
25 Other defined terms  25 その他の定義用語
26 Index of defined terms for this Part  26 本部の定義用語索引
PART 2  第 2 部
DIGITAL VERIFICATION SERVICES  デジタル検証サービス (DVS)
Introductory  はじめに
27 Introductory  27 はじめに
DVS trust framework and supplementary codes  DVS トラストフレームワークおよび補足コード
28 DVS trust framework  28 DVS トラストフレームワーク
29 Supplementary codes  29 補足規範
30 Withdrawal of a supplementary code  30 補足規範の撤回
31 Review of DVS trust framework and supplementary codes  31 DVS 信頼枠組みおよび補足規範の見直し
DVS register  DVS 登録簿
32 DVS register  32 DVS 登録簿
33 Registration in the DVS register  33 DVS 登録簿への登録
34 Power to refuse registration in the DVS register  34 DVS 登録簿への登録を拒否する権限
35 Registration of additional services  35 追加サービスの登録
36 Supplementary notes  36 補足
37 Addition of services to supplementary notes  37 補足へのサービスの追加
38 Applications for registration, supplementary notes, etc  38 登録申請、補足事項など
39 Fees for applications for registration, supplementary notes, etc  39 登録申請、補足事項などの手数料
40 Duty to remove person from the DVS register  40 DVS 登録簿からの個人削除義務
41 Power to remove person from the DVS register  41 DVS 登録簿からの個人削除権限
42 Duty to remove services from the DVS register  42 DVS 登録簿からのサービス削除義務
43 Duty to remove supplementary notes from the DVS register  43 DVS 登録簿からの補足事項削除義務
44 Duty to remove services from supplementary notes  44 補足事項からのサービス削除義務
Information gateway  情報ゲートウェイ
45 Power of public authority to disclose information to registered person  45 登録者に対する情報開示に関する公的機関の権限
46 Information disclosed by the Revenue and Customs  46 歳入関税庁が開示する情報
47 Information disclosed by the Welsh Revenue Authority  47 ウェールズ歳入庁が開示する情報
48 Information disclosed by Revenue Scotland  48 スコットランド歳入庁が開示する情報
49 Code of practice about the disclosure of information  49 情報開示に関する行動規範
Trust mark  信頼マーク
50 Trust mark for use by registered persons  50 登録者が使用する信頼マーク
Supplementary  補足
51 Power of Secretary of State to require information  51 情報要求に関する国務大臣の権限
52 Arrangements for third party to exercise functions  52 サードパーティによる機能の行使に関する取り決め
53 Report on the operation of this Part  53 この部の運用に関する報告書
54 Index of defined terms for this Part  54 この部の用語の定義
55 Powers relating to verification of identity or status  55 身元または地位の検証に関する権限
PART 3  第 3 部
NATIONAL UNDERGROUND ASSET REGISTER  国家地下資産登録簿
56 National Underground Asset Register: England and Wales  56 国家地下資産登録簿:イングランドおよびウェールズ
57 Information in relation to apparatus: England and Wales  57 装置に関する情報:イングランドおよびウェールズ
58 National Underground Asset Register: Northern Ireland  58 国の地下資産登録簿:北アイルランド
59 Information in relation to apparatus: Northern Ireland  59 装置に関する情報:北アイルランド
60 Pre-commencement consultation  60 施行前の協議
PART 4  第 4 部
REGISTERS OF BIRTHS AND DEATHS  出生および死亡の登録簿
61 Form in which registers of births and deaths are to be kept  61 出生および死亡の登録簿の保管形態
62 Provision of equipment and facilities by local authorities  62 地方自治体による設備および施設の提供
63 Requirements to sign register  63 登録簿への署名要件
64 Treatment of existing registers and records  64 既存の登録簿および記録の取り扱い
65 Minor and consequential amendments  65 軽微な改正および付随的な改正
PART 5  第 5 部
DATA PROTECTION AND PRIVACY  データ保護およびプライバシー
CHAPTER 1 DATA PROTECTION  第 1 章 データ保護
Terms used in this Chapter  この章で使用される用語
66 The 2018 Act and the UK GDPR  66 2018 年法および英国 GDPR
Definitions in the UK GDPR and the 2018 Act  英国 GDPR および 2018 年法の定義
67 Meaning of research and statistical purposes  67 研究および統計目的の意味
68 Consent to processing for the purposes of scientific research  68 科学研究を目的とした処理に対する同意
69 Consent to law enforcement processing  69 法執行機関による処理に対する同意
Data protection principles  データ保護の原則
70 Lawfulness of processing  70 処理の合法性
71 The purpose limitation  71 目的制限
72 Processing in reliance on relevant international law  72 関連する国際法に基づく処理
Processing of special categories of personal data  特別なカテゴリーの個人データの処理
73 Elected representatives responding to requests  73 要求に対応する選出された代表者
74 Processing of special categories of personal data  74 特別なカテゴリーの個人データの処理
Data subject’s rights  データ対象者の権利
75 Fees and reasons for responses to data subjects’ requests about law enforcement processing  75 法執行機関による処理に関するデータ対象者の要求に対する対応手数料および理由
76 Time limits for responding to data subjects’ requests  76 データ対象者の要求に対する対応期限
77 Information to be provided to data subjects  77 データ対象者に提供すべき情報
78 Searches in response to data subjects’ requests  78 データ対象者の要求に応じた検索
79 Data subjects’ rights to information: legal professional privilege exemption  79 データ対象者の情報に対する権利:弁護士の秘密特権による免除
Automated decision-making  自動化された意思決定
80 Automated decision-making  80 自動化された意思決定
Obligations of controllers  管理者の義務
81 Data protection by design: children’s higher protection matters  81 設計によるデータ保護:子供に対するより高い保護事項
Logging of law enforcement processing  法執行機関による処理の記録
82 Logging of law enforcement processing  82 法執行機関による処理の記録
Codes of conduct  行動規範
83 General processing and codes of conduct  83 一般的な処理および行動規範
84 Law enforcement processing and codes of conduct  84 法執行機関による処理および行動規範
International transfers of personal data  個人データの国際的な転送
85 Transfers of personal data to third countries and international organisations  85 第三国および国際機関への個人データの転送
Safeguards for processing for research etc purposes  研究などの目的のための処理に関する保護措置
86 Safeguards for processing for research etc purposes  86 研究等の目的のための処理に関する保護措置
87 Section 86: consequential provision  87 第 86 条:付随規定
National security  国家安全保障
88 National security exemption  88 国家安全保障に関する適用除外
Intelligence services  情報機関
89 Joint processing by intelligence services and competent authorities  89 情報機関と管轄当局による共同処理
90 Joint processing: consequential amendments  90 共同処理:付随規定の改正
Information Commissioner’s role  情報コミッショナーの役割
91 Duties of the Commissioner in carrying out functions  91 コミッショナーの機能遂行における義務
92 Codes of practice for the processing of personal data  92 個人データの処理に関する行動規範
93 Codes of practice: panels and impact assessments  93 行動規範:パネルおよび影響評価
94 Manifestly unfounded or excessive requests to the Commissioner  94 コミッショナーに対する明らかに根拠のない、または過度な要求
95 Analysis of performance  95 パフォーマンスの分析
96 Notices from the Commissioner  96 コミッショナーからの通知
Enforcement  執行
97 Power of the Commissioner to require documents  97 コミッショナーの文書提出要求権
98 Power of the Commissioner to require a report  98 コミッショナーの報告書提出要求権
99 Assessment notices: removal of OFSTED restriction  99 アセスメント通知:OFSTED の制限の解除
100 Interview notices  100 面接通知
101 Penalty notices  101 罰則通知
102 Annual report on regulatory action  102 規制措置に関する年次報告書
103 Complaints by data subjects  103 データ対象者による苦情
104 Court procedure in connection with subject access requests  104 データ対象者のアクセス要求に関する裁判所の手続き
105 Consequential amendments to the EITSET Regulations  105 EITSET 規則の付随的改正
Protection of prohibitions, restrictions and data subject’s rights  禁止事項、制限事項およびデータ対象者の権利の保護
106 Protection of prohibitions, restrictions and data subject’s rights  106 禁止事項、制限事項およびデータ対象者の権利の保護
Miscellaneous  その他
107 Regulations under the UK GDPR  107 英国 GDPR に基づく規則
108 Further minor provision about data protection  108 データ保護に関するその他の軽微な規定
CHAPTER 2  第 2 章
PRIVACY AND ELECTRONIC COMMUNICATIONS  プライバシーおよび電子通信
109 The PEC Regulations  109 PEC 規則
110 Interpretation of the PEC Regulations  110 PEC 規則の解釈
111 Duty to notify the Commissioner of personal data breach: time periods  111 個人データ漏えいに関するコミッショナーへの通知義務:期間
112 Storing information in the terminal equipment of a subscriber or user  112 加入者またはユーザーの端末機器における情報の保存
113 Emergency alerts: interpretation of time periods  113 緊急警報:期間の解釈
114 Use of electronic mail for direct marketing by charities  114 慈善団体によるダイレクトマーケティングのための電子メールの使用
115 Commissioner’s enforcement powers  115 コミッショナーの執行権限
116 Codes of conduct  116 行動規範
PART 6  第6部
THE INFORMATION COMMISSION  情報委員会
117 The Information Commission  117 情報委員会
118 Abolition of the office of Information Commissioner  118 情報コミッショナーの職の廃止
119 Transfer of functions to the Information Commission  119 情報委員会への機能の移管
120 Transfer of property etc to the Information Commission  120 情報委員会への財産等の移管
PART 7  第 7 部
OTHER PROVISION ABOUT USE OF, OR ACCESS TO, DATA  データの使用またはアクセスに関するその他の規定
Information standards for health and social care  健康および社会福祉に関する情報基準
121 Information standards for health and adult social care in England  121 イングランドの健康および成人向け社会福祉に関する情報基準
Smart meter communication services  スマートメーター通信サービス
122 Grant of smart meter communication licences  122 スマートメーター通信ライセンスの付与
Information to improve public service delivery  公共サービスの提供を改善するための情報
123 Disclosure of information to improve public service delivery to undertakings  123 企業に対する公共サービスの提供を改善するための情報の開示
Retention of information by providers of internet services  インターネットサービスプロバイダによる情報の保存
124 Retention of information by providers of internet services in connection with death of child  124 子供の死亡に関連したインターネットサービスプロバイダによる情報の保存
Information for research about online safety matters  オンラインの安全に関する研究のための情報
125 Information for research about online safety matters  125 オンラインの安全に関する研究のための情報
Retention of biometric data  生体データの保存
126 Retention of biometric data and recordable offences  126 生体データおよび記録可能な犯罪の保存
127 Retention of pseudonymised biometric data  127 仮名化された生体データの保持
128 Retention of biometric data from INTERPOL  128 インターポールからの生体データの保持
Trust services  トラストサービス
129 The eIDAS Regulation  129 eIDAS 規則
130 Recognition of EU conformity assessment bodies  130 EU 適合性評価団体の認定
131 Removal of recognition of EU standards etc  131 EU 標準等の認定の取消
132 Recognition of overseas trust products  132 海外トラスト製品の認定
133 Co-operation between supervisory authority and overseas authorities  133 監督当局と海外当局との協力
134 Time periods: the eIDAS Regulation and the EITSET Regulations  134 期間:eIDAS 規則および EITSET 規則
Copyright works and artificial intelligence systems  著作権作品および人工知能システム
135 Economic impact assessment  135 経済影響評価
136 Report on the use of copyright works in the development of AI systems  136 AI システムの開発における著作権作品の活用に関する報告書
137 Progress statement  137 進捗状況報告書
Purported intimate images  親密な画像とみなされる画像
138 Creating, or requesting the creation of, purported intimate image of adult PART 8  138 成人の親密な画像とみなされる画像の作成または作成の依頼 第 8 部
FINAL PROVISIONS  最終規定
139 Power to make consequential amendments  139 付随的改正を行う権限
140 Regulations  140 規則
141 Extent  141 適用範囲
142 Commencement  142 施行
143 Transitional, transitory and saving provision  143 経過、一時的および保存規定
144 Short title  144 略称
Schedule 1 — National Underground Asset Register (England and Wales): monetary penalties  別表 1 — 国家地下資産登録簿(イングランドおよびウェールズ):金銭的罰則
Schedule 2 — National Underground Asset Register (Northern Ireland): monetary penalties  別表 2 — 国家地下資産登録簿(北アイルランド):金銭的罰則
Schedule 3 — Registers of births and deaths: minor and consequential amendments  別表 3 — 出生および死亡登録簿:軽微な改正および関連改正
Part 1 — Amendments of the Births and Deaths Registration Act 1953 Part 2 — Amendments of other legislation  第1部 — 1953年出生および死亡登録法の改正 第2部 — その他の法律の改正
Schedule 4 — Lawfulness of processing: recognised legitimate interests Schedule 5 — Purpose limitation: processing to be treated as compatible with original purpose  別表 4 — 処理の合法性:認められた正当な利益 別表5 — 目的制限:元の目的と相容れる処理として扱うこと
Schedule 6 — Automated decision-making: minor and consequential amendments  別表 6 — 自動化された意思決定:軽微な改正および付随する改正
Schedule 7 — Transfers of personal data to third countries etc: general processing  別表 7 — 第三国等への個人データの移転:一般的な処理
Schedule 8 — Transfers of personal data to third countries etc: law enforcement processing  別表 8 — 第三国等への個人データの移転:法執行のための処理
Schedule 9 — Transfers of personal data to third countries etc: minor and consequential amendments and transitional provision  別表 9 — 第三国等への個人データの移転:軽微な改正および付随する改正、および経過規定
Part 1 — Minor and consequential amendments  第 1 部 — 軽微な改正および付随する改正
Part 2 — Transitional provision  第 2 部 — 経過規定
Schedule 10 — Complaints: minor and consequential amendments  別表 10 — 苦情:軽微な改正および付随的な改正
Schedule 11 — Further minor provision about data protection  別表 11 — データ保護に関するさらなる軽微な規定
Schedule 12 — Storing information in the terminal equipment of a subscriber or user  別表 12 — 加入者またはユーザーの端末機器における情報の保存
Schedule 13 — Privacy and electronic communications: Commissioner’s enforcement powers  別表 13 — プライバシーおよび電子通信:コミッショナーの執行権限
Schedule 14 — The Information Commission  別表 14 — 情報委員会
Schedule 15 — Information standards for health and adult social care in England  別表 15 — イングランドの医療および成人向け社会福祉に関する情報基準
Schedule 16 — Grant of smart meter communication licences  別表 16 — スマートメーター通信ライセンスの付与
Part 1 — Amendments of the Energy Act 2008  第 1 部 — 2008 年エネルギー法の改正
Part 2 — Amendments of other legislation  第 2 部 — その他の法律の改正

 

 

● ICO

ここにわりと詳しく書いていますね...

Data (Use and Access) Act 2025

 

・2025.06.19 UK organisations stand to benefit from new data protection laws

UK organisations stand to benefit from new data protection laws 英国の組織は、新しいデータ保護法の恩恵を受ける見込み
The Data (Use and Access) Act 2025 (DUAA) has now received Royal Assent. This new legislation updates key aspects of data protection law, making it easier for UK businesses to protect people’s personal information while growing and innovating their products and services. 2025 年データ(利用とアクセス)法(DUAA)が、英国王の裁可を受けた。この新しい法律は、データ保護法の重要な側面を改正し、英国の企業が、製品やサービスの成長と革新を図りながら、個人の個人情報をより簡単に保護できるようにする。
Changes to the law include: clarifying how personal information can be used for research; lifting restrictions on some automated decision making; setting out how to use some cookies without consent; allowing charities to send people electronic mail marketing without consent in certain circumstances; requiring organisations to have a data protection complaints procedure and introducing a new lawful basis of recognised legitimate interests.  法律の変更点としては、研究における個人情報の使用方法の明確化、一部の自動意思決定に関する制限の解除、同意なしに一部のクッキーを使用する方法の規定、特定の状況において慈善団体が同意なしに電子メールによるマーケティングを行うことを許可、組織にデータ保護に関する苦情処理手続きの設置を義務付け、および新たな法的根拠としての「正当な利益」の導入などが挙げられる。
The Act provides the ICO with new powers, including the ability to compel witnesses to attend interviews, request technical reports, and issue fines of up to £17.5 million or 4% of global turnover under PECR.   この法律により、ICO は、証人の事情聴取、技術報告書の提出要求、PECR に基づき最高 1,750 万ポンドまたは世界全体の売上高の 4% に相当する罰金の科を命じるなど、新たな権限が与えられる。
Today we are publishing information to support organisations and the public as these changes are introduced. This includes 本日、これらの変更の導入に伴い、組織および一般市民を支援するための情報を公開する。その内容は以下の通りである。
An outline what the Act means for organisations.  この法律が組織にとって意味することの概要。
An outline of what the Act means for law enforcement agencies.   この法律が法執行機関にとって意味することの概要。
A detailed summary of the changes for data protection experts.    データ保護の専門家向けの変更点の詳細な概要。
Our new and planned guidance web page setting out what guidance to expect and when.   新しいガイダンスおよび予定されているガイダンスについて、どのようなガイダンスがいつ発表されるかを記載した新しいガイダンスウェブページ。
An outline of how we will continue our regulatory work as the Act is implemented.  この法律の実施に伴い、当機関が規制業務をどのように継続するかの概要。
A guide for the public on how the Act will affect them.  この法律が国民に与える影響に関するガイド。
John Edwards, Information Commissioner, said: 情報コミッショナーのジョン・エドワーズ氏は次のように述べている。
“The Data (Use and Access) Act 2025 gives organisations using personal information new and better opportunities to innovate and grow in the UK, and further enhances our ability to balance innovation and economic growth with strong protections for people’s rights.  「2025 年データ(使用およびアクセス)法は、個人情報を扱う組織に、英国で革新と成長のための新たな、より優れた機会を提供するとともに、イノベーションと経済成長、そして人々の権利の強力な保護とのバランスをとる当社の能力をさらに強化する。
“Today we’ve published a catalogue of resources to help explain what this new legislation means for businesses.  Over the coming months we will launch new guidance, open consultations, and provide practical tools to help embed the Act’s principles into everyday operations. Our goal is to ensure that data can be used confidently and responsibly to deliver better services, drive economic growth, and uphold public trust.”  本日、この新しい法律が企業にとってどのような意味を持つかを説明するための資料カタログを公開した。今後数カ月の間に、新しいガイダンスを発表し、公開協議を開始し、この法律の原則を日常業務に組み込むための実用的なツールを提供する。私たちの目標は、データが自信を持って責任を持って利用され、より優れたサービスの提供、経済成長の推進、国民の信頼の維持に役立てられることを確保することである」
Next steps for organisations  組織のための次のステップ
Government will phase implementation of the new law, commencing different changes using secondary legislation. While most provisions are expected to come into force either two or six months after Royal Assent, some may take up to 12 months.  政府は、二次立法を用いてさまざまな変更を開始し、新法の施行を段階的に進める予定だ。ほとんどの規定は、国王の裁可から 2 か月または 6 か月後に施行される予定だが、一部は 12 か月かかる場合もある。
To prepare, organisations can:  準備として、組織は次のことを行うことができる。
Familiarise themselves with the changes that the DUAA makes to data protection law using these resources. Read our detailed summary for more information.  これらのリソースを使用して、DUAA によるデータ保護法の変更についてよく理解しておいてください。詳細については、当社の詳細な要約をご覧ください。
・If they provide an online service that children are likely to use, make sure they are doing enough to satisfy the new explicit requirement to consider their needs. They should be on track if they already conform to our Children’s code.  ・子供たちが利用する可能性が高いオンラインサービスを提供している場合は、子供たちのニーズを考慮するという新しい明確な要件を十分に満たしていることを確認する。すでに当社の子供向けコードに準拠している場合は、準備は順調に進んでいるはずだ。
・Start thinking about how they can help people to make complaints.  ・人々が苦情を申し立てやすい仕組みについて検討し始める。
・Review the changes that support innovation and make things easier and consider whether they want to take the opportunity to do anything differently or streamline their processes.    ・イノベーションを支援し、業務を容易にする変更点を確認し、この機会を利用して何か新しい取り組みを行うか、またはプロセスを効率化するか検討する。
Sign up to the ICO newsletter and e-shots, so they’ll know when we’ve updated our guidance.  ICO のニュースレターおよび E メールマガジンに登録して、ガイダンスの更新情報を受領できる。
More information 詳細情報
・The DUAA provides amendments, but does not replace, the UK GDPR, the Data Protection Act 2018, and the Privacy and Electronic Communications Regulations. These changes are designed to make data protection law clearer and more flexible for organisations, while maintaining strong safeguards for individuals.  ・DUAA は、英国 GDPR、2018 年データ保護法、およびプライバシーおよび電子通信規則を改正するものであり、これらに代わるものではない。これらの変更は、個人に対する強力な保護措置を維持しつつ、データ保護法を組織にとってより明確かつ柔軟なものにするために設計されている。
・The DUAA received Royal Assent on 19 June 2025.   ・DUAA は 2025 年 6 月 19 日に英国王の裁可を受けた。
・The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals.    ・情報コミッショナーオフィス(ICO)は、データ保護および情報権利に関する法律を監督する英国の独立機関であり、公共の利益のために情報権利を擁護し、公的機関による情報公開と個人のデータ・プライバシーの保護を推進している。
・The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the United Kingdom General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five acts and regulations.    ・ICO は、2018 年データ保護法(DPA2018)、英国一般データ保護規則(UK GDPR)、2000 年情報公開法(FOIA)、2004 年環境情報規則(EIR)、2003 年プライバシーおよび電子通信規則(PECR)、およびさらに 5 つの法律および規則で定められた特定の責任を負っている。
・The ICO can take action to address and change the behaviour of organisations and individuals that collect, use, and keep personal information. This includes criminal prosecution, non-criminal enforcement and audit.    ・ICOは、個人情報を収集、利用、保管する組織や個人の行動を是正し、変更するための措置を講じることができる。これには、刑事訴追、非刑事的な執行措置、監査が含まれる。

 

Data (Use and Access) Act 2025

Data (Use and Access) Act 2025 データ(使用およびアクセス)法 2025
On 19 June 2025 the Data (Use and Access) Act (DUAA) became law in the UK. 2025年6月19日、データ(使用およびアクセス)法(DUAA)が英国で成立した。
For organisations 組織向け
What does it mean for organisations?  組織にとってどのような意味があるか?
An overview of what the DUAA means for organisations. DUAA が組織に与える影響の概要。
At a glance   要点
・The DUAA is a new Act of Parliament that updates some laws about digital information matters.   ・DUAA は、デジタル情報に関する一部の法律を改正する新しい議会法だ。
・It changes data protection laws in order to promote innovation and economic growth and make things easier for organisations, whilst it still protects people and their rights.   ・この法律は、イノベーションと経済成長を促進し、組織の業務を容易にする一方で、個人とその権利を保護するために、データ保護に関する法律を改正する。
・Most of the changes offer you an opportunity to do things differently, rather than needing you to make specific changes to comply with the law.   ・変更点のほとんどは、法律を遵守するために特定の変更を行うことを要求するものではなく、業務の方法を変える機会を提供するものである。
・The changes will be phased in between June 2025 and June 2026.  ・変更は 2025 年 6 月から 2026 年 6 月にかけて段階的に実施される。
In brief  概要
・What data protection laws does the DUAA change?  ・DUAA はどのようなデータ保護法を変更する?
・How might the DUAA help us to innovate?  ・DUAA はイノベーションにどのように役立つ?
・How might the DUAA make things easier for us?  ・DUAA はどのような点で業務が容易になる?
・Are there any new requirements for us to meet?  ・新たに満たすべき要件は?
・What help can we expect from the ICO?  ・ICO からどのような支援が期待できる?
・What can we do now to prepare for these changes?  ・これらの変更に備えるために今できることは?
・What other laws does the DUAA change? ・DUAA は他にどのような法律を変更する?
What does it mean for law enforcement agencies? 法執行機関にとっての意味は?
An overview of what the DUAA means for law enforcement agencies. DUAA が法執行機関にとって意味することの概要。
At a glance   要点
・The DUAA is a new Act of Parliament that updates some laws about digital information matters.   ・DUAA は、デジタル情報に関する一部の法律を改正する新しい議会法である。
・It changes data protection laws, including the laws that apply to law enforcement agencies (or ‘competent authorities’) that use personal information for law enforcement purposes.  ・この法律は、法執行目的で個人情報を使用する法執行機関(または「管轄当局」)に適用される法律を含む、データ保護に関する法律を改正する。
・These changes should help you deliver your public services more effectively.        ・これらの改正は、公共サービスのより効果的な提供に役立つはずである。
・Most of the changes offer you an opportunity to do things differently, rather than needing you to make specific changes to comply with the law.   ・変更のほとんどは、法律を遵守するために具体的な変更を行う必要はなく、業務の方法を変えることで対応できるものとなっている。
・The changes will be phased in between June 2025 and June 2026.  ・変更は 2025 年 6 月から 2026 年 6 月にかけて段階的に実施される。
In brief  概要
・What data protection laws does the DUAA change?  ・DUAA は、どのようなデータ保護法を変更する?
・How might the DUAA help us to deliver our public services more effectively?  ・DUAA は、公共サービスのより効果的な提供にどのように役立つ?
・Are there any new requirements for us to meet?  ・私たちが満たすべき新しい要件はありますか?
・What help can we expect from the ICO?  ・ICO からどのような支援を受けることができるか?
・What can we do now to prepare for these changes?  ・これらの変更に備えるために、今できることは何か?
・What other laws does the DUAA change?  ・DUAA によって変更されるその他の法律は?
Summary of changes to data protection law データ保護法の変更の概要
A summary of the changes to data protection law that affect organisations, for data protection experts. データ保護の専門家向けに、組織に影響を与えるデータ保護法の変更の概要をまとめたもの。
This summarises the changes the DUAA makes to data protection law that may affect you if you’re an organisation using personal information.   これは、個人情報を扱う組織に影響を与える可能性のある、DUAA によるデータ保護法の変更点をまとめたものである。
It isn’t a replacement for our existing guidance for organisations that we will update over time, and as the changes come into effect. It should, however, help you understand what the changes are in the meantime. You can find more details about the updates we’re working on in Our plans for new and updated guidance.   これは、今後随時更新される既存の組織向けガイドラインに代わるものではない。ただし、変更が施行されるまでの間、変更の内容を理解する上で役立つはずである。現在作業中の更新の詳細については、「新しいガイドラインおよび更新ガイドラインの計画」を参考にすること
This is a factual summary of the changes that each relevant section of the DUAA makes, but it does not cover how you interpret or apply the law. We’ll address this as we develop and update our guidance for organisations, in consultation with relevant stakeholders.    これは、DUAA の各関連条項による変更の事実に基づく要約であり、法律の解釈や適用方法については記載されていない。この点については、関連する利害関係者と協議しながら、組織向けのガイダンスの策定および更新の際に検討する。
It’s aimed at data protection experts, including Data Protection Officers (DPOs) and people with specific data protection responsibilities. It’s for people who already understand the current law. It explains what has changed rather than providing a comprehensive guide or explanation about data protection law.  これは、データ保護責任者(DPO)やデータ保護に関する特定の責任を有する者など、データ保護の専門家を対象としている。これは、現在の法律をすでに理解している方を対象としている。データ保護法に関する包括的なガイドや説明ではなく、変更点について解説している。
If you’d prefer a brief overview of how the DUAA might affect your organisation, please see The Data Use and Access Act 2025 (DUAA) - What does it mean for organisations?.  DUAA が組織に与える影響について簡潔な概要をご希望の場合は、『データ利用およびアクセス法 2025(DUAA) - 組織にとっての意味』を参考にすること。
If you’d prefer a brief overview of how the DUAA affects law enforcement agencies, please see The Data Use and Access Act 2025 (DUAA) - What does it mean for law enforcement agencies?.  DUAA が法執行機関に与える影響について簡潔な概要をご希望の場合は、『データ利用およびアクセス法 2025(DUAA) - 法執行機関にとっての意味』を参考にすること。
If you’d prefer a brief overview of how the DUAA might affect how your own personal information is used by organisations, please see The Data Use and Access Act 2025 (DUAA) - How does this affect me?.  DUAA が、組織によるお客様の個人情報の使用に与える影響について概要をご希望の場合は、「2025 年データ使用およびアクセス法(DUAA) - これは私にどのような影響があるか」を参考にすること。
This guidance follows the order and headings in the DUAA for ease of reference. It summarises all the significant changes.   このガイダンスは、参照しやすいように、DUAA の順序および見出しに従っている。重要な変更点をすべて要約している。
If a section makes minor, consequential, or technical changes that don’t significantly change the law, we’ve noted this without explaining the detail.     条項が、法律の重要な変更を伴わない軽微な変更、付随的な変更、または技術的な変更である場合、詳細な説明は省略している。
If a section makes changes that don’t directly affect you, we’ve noted this without explaining the detail (eg changes to the ICO’s responsibilities or the powers of the Secretary of State).  条項が、あなたには直接影響しない変更である場合、詳細な説明は省略している(例:ICOの責任や国務大臣の権限に関する変更)。
If the DUAA changes the law that applies to competent authorities which use personal information for law enforcement purposes (part 3 of the Data Protection Act 2018 (DPA)), or to the use of personal information by the intelligence services (part 4 of the DPA), we’ve noted this. Otherwise, the changes relate to the general use of personal information by other organisations.  DUAA により、法執行の目的で個人情報を使用する管轄当局(2018 年データ保護法(DPA)第 3 部)または情報機関による個人情報の使用(DPA 第 4 部)に適用される法律が変更された場合は、その旨を記載している。それ以外の変更は、他の組織による個人情報の一般的な使用に関するものである。
・Data protection ・データ保護
・Privacy and electronic communications ・プライバシーおよび電子通信
・The Information Commission ・情報委員会
・Schedules ・スケジュール
Our plans for new and updated guidance 新しいガイダンスおよび更新されたガイダンスの計画
Information about all the guidance that we’re working on. 当機関が現在作成中のすべてのガイダンスに関する情報。
Our guidance is designed to help and support you to comply with the laws we regulate, and to help people understand their information rights. 当機関のガイダンスは、当社が規制する法律の遵守を支援およびサポートし、人々が自分の情報に関する権利を理解するのに役立つように作成されている。
As well as detailed formal guidance and Codes of Practice, we also produce checklists, toolkits and position papers. We create all our guidance with you in mind, making it as simple as possible for you to use. 詳細な正式なガイダンスおよび行動規範に加え、チェックリスト、ツールキット、ポジションペーパーも作成している。すべてのガイドラインは、皆様が利用しやすいよう、できるだけ簡潔に作成している。
Grouped by the topics below, you’ll find information about all the guidance that we’re working on. You’ll see what we’re developing and when we expect to publish. We’ll update this information regularly so that you can confidently track a product as it develops. 以下のトピックごとに、現在作成中のすべてのガイドラインに関する情報を掲載している。開発中の内容と公開予定日を確認することができる。この情報は定期的に更新されるため、製品の開発状況を確実に追跡することができる。
Because of the Data (Use and Access) Act, we have started work on new guidance. This means we’ve had to deprioritise and withdraw some of the planned guidance you will have seen previously on this web page. データ(利用とアクセス)法(DUAA)の施行に伴い、新たなガイドラインの作成を開始しました。これにより、このウェブページで以前にご覧いただいた計画中のガイドラインの一部を優先順位を下げたり、取り下げたりする必要が生じた。
We may restart some of the withdrawn guidance projects in the future. If this happens details will be republished on this page. 今後、取り下げたガイドラインプロジェクトの一部を再開する可能性があります。その場合、詳細はこのページに再掲載される。
Guidance stages explained ガイドラインの段階説明
--- 省略
General data protection
・一般的なデータ保護
Freedom of Information
・情報の自由
Law enforcement
・法執行
Direct marketing and privacy and electronic communications
・ダイレクトマーケティングとプライバシーおよび電子通信
Children's information
・子供に関する情報
Technology
・技術
Guidance for the public
・一般向けガイダンス
How we will regulate as the DUAA commences?  DUAAの施行に伴い、どのように規制を行うか?
An overview to reassure businesses on how the law changes will impact our regulatory action. 法律の変更が当社の規制措置に与える影響について、企業に安心してもらうための概要。
The Data (Use and Access) Act (DUAA) received Royal Assent on 19 June 2025 and will come into effect in phases.   データ(利用とアクセス)法(DUAA)は2025年6月19日に王室承認を受け、段階的に施行されます。
We will continue to regulate the DPA 2018, UK GDPR and PECR, which stay in force, but will be amended by the DUAA. Organisations should follow the existing law until various parts of the DUAA are expected to commence at two, six and 12 months after Royal Assent.  当社は、DUAAにより改正されるものの、引き続き効力を有するDPA 2018、UK GDPR、およびPECRの規制を継続します。組織は、DUAA の各部分が国王の裁可から 2 ヶ月、6 ヶ月、12 ヶ月後に施行されるまで、現行の法律に従う必要がある。
We want to provide reassurance to businesses about how the changes impact our regulatory action.    この法律の変更が当社の規制措置に与える影響について、企業に安心をしていただきたいと考えている。
It’s important to understand that we apply the law as it stands at the time an infringement took place, rather than the date that we received any complaint or report or when the infringement was detected.    当社は、苦情や報告を受けた日、あるいは違反が検知された日ではなく、違反が発生した時点で有効な法律を適用することを理解することが重要だ。
In some cases, we will need to exercise our discretion when considering regulatory action on alleged non-compliance with an existing provision under the data protection legislation which is going to be removed, amended or replaced with a similar provision under the DUAA. We will make a judgement on whether to proceed with regulatory action under the old provision or, where there is ongoing non-compliance, consider action under the new provisions.   場合によっては、データ保護法に基づく既存の規定の違反が、DUAA により削除、改正、または同様の規定に置き換えられる場合、規制措置を検討する際に、当社の裁量権を行使する必要がある。当社は、旧規定に基づく規制措置を継続するか、または違反が継続している場合には、新規定に基づく措置を検討するかを判断する。
When considering regulatory action on the DUAA’s new provisions, we will consider the ICO guidance available to organisations at the time of the alleged non-compliance.   DUAA の新しい規定に基づく規制措置を検討する際には、違反の疑いがあった時点で組織が利用可能だった ICO のガイダンスを考慮する。
The DUAA provides us with new powers, including the power to:   DUAA は、当社に次のような新しい権限を与えている。
・compel a witness to attend an interview;   ・証人の事情聴取を強制する権限
・request technical reports; and   ・技術報告書の提出を要求する権限
・issue fines of up to £17.5m or 4% of global turnover under PECR.   ・PECR に基づき、最高 1,750 万ポンドまたは世界全体の売上高の 4% に相当する罰金を科す権限
We are required to produce statutory guidance on the use of these new powers and will consult publicly nearer to their commencement.    当局は、これらの新しい権限の使用に関する法定ガイダンスを作成することが義務付けられており、その施行が近づきましたら、公開して協議を行います。
The DUAA brings in some new requirements for organisations. We will be publishing new and updated guidance to reflect these changes. Our planned guidance pages will set out when to expect new and draft guidance to give organisations certainty.  DUAA は、組織にいくつかの新しい要件を導入しています。当局は、これらの変更を反映した新しいガイダンスおよび更新されたガイダンスを公開する予定です。当局が計画しているガイダンスページでは、組織に確実性を提供するため、新しいガイダンスおよびドラフトガイダンスの公開予定日を掲載する予定です。
All website guidance pages relevant to DUAA changes will explain that the law is changing and where to find out more information.    DUAA の変更に関連するすべてのウェブサイトガイダンスページでは、法律が変更されること、および詳細情報について記載しています。
For the public 一般の方へ
How does this affect me?  これは私にどのような影響があるの?
Information for the public on how the changes will affect you. 変更が一般の方に与える影響に関する情報。
The DUAA is a new Act of Parliament that updates some laws about digital information matters.   DUAA は、デジタル情報に関する一部の法律を改正する新しい議会法だ。
This includes some changes to the data protection laws we regulate and that govern how organisations are allowed to use your personal information. These changes will be phased in between June 2025 and June 2026.   これには、当社が規制するデータ保護法、および組織がお客様の個人情報を使用する方法に関する規制の一部変更が含まれる。これらの変更は、2025年6月から2026年6月にかけて段階的に実施される。 
What difference does this make to how an organisation can use my personal information?    この変更により、組織が私の個人情報を使用する方法にどのような違いが生じるのか?
Many of the changes don’t really affect how an organisation can use your personal information. They just make what is and isn’t already allowed clearer.   多くの変更は、組織があなたの個人情報を使用する方法に実際には影響を与えない。これらの変更は、すでに許可されていることと許可されていないことをより明確にするだけだ。
However, there are some changes that do open up the ways an organisation can use your personal information. Any changes like this  have safeguards to ensure you are still properly protected.   ただし、組織があなたの個人情報を使用する方法に新たな可能性をもたらす変更もいくつかある。このような変更には、お客様が引き続き適切に保護されるよう、安全対策が講じられている。 
What are the main data protection changes?     データ保護に関する主な変更点は何ですか?
Changes to complaints procedures     苦情手続きの変更
An organisation must take steps to help you if you want to make a complaint about how it uses your personal information, such as providing an electronic complaints form. It also must acknowledge your complaint within 30 days and respond to it ‘without undue delay’.   組織は、あなたの個人情報の使用について苦情があった場合、電子苦情フォームの提供など、あなたを支援するための措置を講じなければならない。また、30 日以内に苦情を承認し、「不当な遅延なく」対応しなければならない。
Changes to how an organisation can use your personal information  組織があなたの個人情報を利用する方法の変更
Automated decision-making: an organisation can use your personal information to make significant automated decisions about you, if it can show it has a valid reason. This reason is known as a ‘legitimate interest’ and it needs to outweigh the impact on your rights and freedoms. This won’t be allowed for some information that is more protected and is known as ‘special category information’. For example, information about racial or ethnic origin or sexual orientation. (An automated decision is a decision made by a computer without any meaningful human involvement.)  自動化された意思決定:組織は、正当な理由がある場合に、あなたの個人情報を使用して、あなたに関する重要な自動化された決定を行うことができる。この理由は「正当な利益」と呼ばれ、お客様の権利および自由への影響を上回るものでなければならない。より保護が強化されている「特別カテゴリー情報」と呼ばれる情報については、この限りではない。例えば、人種や民族、性的指向に関する情報などである。(自動化された決定とは、人間の関与がほとんどないコンピュータによって行われる決定のことである。) 
Direct marketing ‘soft opt in’: a charity that has collected your personal information because you’ve supported, or expressed an interest in, their work, can send you direct marketing emails, unless you ask it not to.  ダイレクトマーケティングの「ソフトオプトイン」:あなたが支援したり、興味を示したりしたために個人情報を収集した慈善団体は、あなたが拒否しない限り、ダイレクトマーケティングのメールを送ることができる。
Archiving in the public interest: an organisation can give out your personal information when it is needed for the purposes of ‘archiving in the public interest’. Even if you originally provided it for a different reason, and you only consented to the organisation using it for that reason. (Archiving in the public interest means preserving records of public value.)    公共の利益のためのアーカイブ:組織は、「公共の利益のためのアーカイブ」の目的で必要な場合、あなたの個人情報を提供することができる。あなたが当初、別の理由でその情報を提供し、その目的でのみその組織による使用に同意した場合でも同様だ。(公共の利益のためのアーカイブとは、公共的価値のある記録を保存することを意味する。
National security exemption: a law enforcement agency (such as the police) does not have to follow some of the usual rules about how it can use your personal information, if this is necessary to protect national security.    国家安全保障の例外:法執行機関(警察など)は、国家安全保障のために必要である場合は、個人情報の使用に関する通常の規則の一部を遵守する必要はない。
Designation notices: law enforcement agencies, and the intelligence services (such as MI5), who are working together on joint operations can work to the same intelligence services’ rules when using your information, if the Secretary of State authorises this. (Before the DUAA, they each worked to slightly different data protection laws.)  指定通知:共同作戦で協力している法執行機関および情報機関(MI5 など)は、国務大臣が承認した場合、あなたの情報を使用する際に、同じ情報機関の規則に従うことができる。(DUAA 以前、各機関は、それぞれ若干異なるデータ保護法に基づいて業務を行っていた。
Cookies: an organisation no longer needs your consent to set some cookies if the intrusion on your privacy is limited, such as those that improve the functionality of its website.  クッキー:組織は、ウェブサイトの機能向上など、あなたのプライバシーへの侵害が限定的な場合、クッキーの設定についてあなた同意を得る必要がなくなった。
Changes to what an organisation must do when it uses your personal information  組織がお客様の個人情報を使用する際に遵守すべき事項の変更
Children and online services: an organisation must think about children when it uses personal information to provide online services, and make sure it properly protects them.  子供とオンラインサービス:組織は、オンラインサービスを提供するために個人情報を使用する場合、子供について考慮し、子供たちを適切に保護しなければならない。
Privacy notices: an organisation no longer needs to inform you that it intends to re-use your personal information for research, archiving in the public interest, or generating statistics, if it would involve a disproportionate effort for it to do so. So long as it protects your rights in other ways and still explains what it’s doing by publishing details on its website. プライバシーに関する通知:組織は、研究、公共の利益のためのアーカイブ、統計の作成のために個人情報を再利用する場合、その旨をお客様に通知する必要がなくなった。ただし、その通知に過大な労力を要する場合に限る。その場合は、他の方法でお客様の権利を保護し、その詳細をウェブサイトに掲載してその旨を説明しなければならない。
Changes to how the law is regulated  法律の規制方法の変更
The DUAA makes some changes to the ICO:   DUAA は、ICO に以下の変更を加える:
it changes our structure to help us regulate more effectively;   規制を効果的に実施するための組織構造の変更;
it gives us some new powers to assist us in our investigations; and   調査を支援するための新たな権限の付与;および
it gives us some new duties and reporting requirements to enhance our transparency and accountability for how we work.   業務の透明性と説明責任を強化するための新たな義務と報告要件の追加。
The Secretary of State has been given some new powers to allow them to amend some aspects of the law in the future, so long as this is agreed by Parliament.    国務大臣には、議会の同意があれば、将来、法律の一部を改正できる新たな権限が与えられている。
What other changes does the DUAA make?   DUAA では、他にどのような変更があるか?
The DUAA also changes some other laws that we don’t regulate. You can find more information about these changes at on the GOV.UK website. DUAA は、私たちが規制していない他の法律も一部変更している。これらの変更に関する詳細情報は、GOV.UK のウェブサイトをご覧ください。
How can I find out more?  詳細については、どこで確認できますか?
We will update our ‘For the public’ website content as the changes are phased in.   変更が段階的に実施されるにつれて、「一般の方向け」ウェブサイトのコンテンツを更新していきます。
We’ve also provided some resources to help organisations prepare. Although these are written for experts and organisations rather than for people whose information they are using, you may find them useful if you want some more details.    また、組織の準備に役立つ資料もいくつか用意している。これらは、情報を使用する人々ではなく、専門家や組織向けに作成されているが、詳細を知りたい方には参考になるかもしれない。

 

 

 


| | Comments (0)

2025.06.21

監査(評価)はどんどん自動化される? CSAのAIをつかった妥当性確認 (Valid-AI-ted) (2025.06.09)

こんにちは、丸山満彦です。

クラウドセキュリティで長年活動をおこなってきていて、日本にも拠点がある、Cloud Security Allianceの評価プログラムにSTAR認証というのがあります。

セキュリティの評価について

  • レベル1:セルフアセスメント
  • レベル2:第三者認証
  • レベル3:リアルタイムモニタリング

を想定しています。レベル3は概念的には昔からあるものの、まだ実装されていません。例えば、監査人が会社にエージェントを実装し、会社の規定や設定の変更をリアルタイムで検知し、それが規準から逸脱すると、自動的に検知し、重要性に応じて監査意見を変更するような感じなのだろうと思います。

で、今回のは、レベル1のセルフアセスメントをAIを使ってするものです。リアルタイムではなく、AIに読み込ませて判断をださせるというもので、レベル1のセルフアセスメントの一種としていますね。。。

合否だけでなく、リコメンデーションもしてくれるということです。。。

 

Cloud Security Alliance

・2025.06.09 Valid-AI-ted Overview

20250621-55830

 

制度のメリットとして、次の5つをあげていますね。。。

  • 保証の向上。従来の STAR レベル 1 自己評価では、プロバイダの回答の品質にばらつきがあった。Valid-AI-ted は、自己評価が慎重に行われ、組織が堅牢なセキュリティベースラインを達成していることを保証する。

  • 定性的でベストプラクティスに基づく分析Valid-AI-ted は、Cloud Controls Matrix の実証済みの実装ガイダンスに基づく標準化されたスコアリングモデルを適用する。

  • より実用的な洞察。合格か不合格かに関わらず、組織はコントロールごとに詳細なフィードバックを受け取り、改善すべき点を確認することができる。

  • STAR レジストリでの認知度の向上STAR レベル 1 Valid-AI-ted バッジを取得した組織は、チェックボックスのコンプライアンスを超えた取り組みを行っていることを顧客、パートナー、規制当局にアピールすることがでる。

  • 継続的な改善へのアクセスが容易。改訂して再提出できる機能は、成熟した組織にとって理想的であり、STAR レベル 2 のサードパーティ評価ソリューションへのよりアクセスしやすい道筋を提供します。

興味深い取り組みです。

 

丁度経済産業省でもサプライチェーンのセキュリティ評価制度(いわゆる★3、★4)の議論をしていますが、将来的には実装を考えて良い話ですよね。。。

クライテリアと会社の規程類の比較(整備状況の評価)にLLMを利用するのは容易なような気がしますが、運用状況の評価(設定値やログの利用)は難しいのかもしれませんね。。。

FedRAMPでの利用が考えられているOSCALなどの動きもきになりますね...

 


 

まるちゃんの情報セキュリティ気まぐれ日記

OSCAL、監査自動化

・2025.06.10 米国 NIST SP 800-18 Rev.2(初公開ドラフト) システムのセキュリティ、プライバシー、サイバーセキュリティ・サプライチェーン・リスクマネジメント計画の策定 (2025.06.04)

・2025.05.16 米国 NIST IR 8259 Rev.1(初期公開ドラフト)IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...(2025.05.13)

・2025.04.09 米国 一般調達局 FedRAMP 20X (2025.03.24)

・2024.07.22 米国 これからはFedRampも含めて監査は自動化 (automate.fedramp.gov) !キーワードはOSCAL

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

・2024.04.22 内部監査人協会 意見募集 トピック別要求事項:サイバーセキュリティ (2024.04.11)

・2024.04.02 米国 FedRAMPの新しいロードマップ(2024-2025)

・2024.03.06 米国 NIST IR 8278 Rev. 1 国家オンライン情報参照(OLIR)プログラム: 概要、利点、利用方法、IR 8278A Rev. 1 国家オンライン情報参照(OLIR)プログラム: OLIR開発者のための提出ガイダンス

・2024.03.05 NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング: サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)

・2023.08.21 米国 NIST 重要なハイテク産業における米国の競争力に関する報告書

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.07.16 JIPDEC ”米国のプライバシー保護に関する動向”

 

| | Comments (0)

2025.06.18

欧州委員会 GenAI4EU:「ヨーロッパ製」の生成的 AI を推進するための資金援助

こんにちは、丸山満彦です。

欧州は米国、中国に比べてAI分野の出遅れがあるということで、力を入れておりますね...

新興企業、中小企業の活用についても力を入れています。

日本と環境が似ている部分もあると思うので、参考になる部分が多い(米国や中国と比べて)のではないかと思います。(英国もそうかもですが...)

 

European Commission

・2025.06.11 GenAI4EU: Funding opportunities to boost Generative AI “made in Europe”

GenAI4EU: Funding opportunities to boost Generative AI “made in Europe” GenAI4EU:「ヨーロッパ製」の生成的 AI を推進するための資金援助の機会
The European Commission has launched a first wave of EU funding opportunities to integrate generative Artificial Intelligence (AI) in Europe’s strategic sectors, and keep their competitive edge. 欧州委員会は、生成的人工知能(AI)をヨーロッパの戦略的分野に統合し、その競争力を維持するための EU 資金援助の第一弾を開始しました。
Researchers, innovators, companies and other interested organisations can find broad EU funding opportunities to join forces to develop and deploy generative AI in Europe’s strategic sectors as part of the GenAI4EU flagship initiative. The initiative is now surpassing the initial commitment of €500 million announced in the AI innovation package in January 2024, with close to €700 million funding planned in Horizon Europe, the Digital Europe Programme, and the European Innovation Council. 研究者、イノベーター、企業、その他の関心のある組織は、GenAI4EU フラッグシップイニシアチブの一環として、欧州の戦略的分野における生成的 AI の開発と展開に協力するための幅広い EU 資金調達機会を見つけることができる。このイニシアチブは、2024年1月に AI イノベーションパッケージで発表された当初の 5 億ユーロのコミットメントを上回り、ホライズン・ヨーロッパ、デジタル・ヨーロッパ・プログラム、および欧州イノベーション評議会で 7 億ユーロ近くの資金が計画されている。
For example, researchers can receive EU funding of between 15 and 17 million euro to leverage multimodal data to advance generative AI in biomedical research by, among others, moving towards predictive and personalised medicine. This concrete GenAI application helps industry’s competitiveness but also makes healthcare treatments more effective. The call HORIZON-HLTH-2025-01-TOOL-03 will close in September 2025. 例えば、研究者は、予測医療や個別化医療への移行など、マルチモーダルデータを活用して生物医学研究における生成的 AI を推進するために、1,500 万から 1,700 万ユーロの EU 資金援助を受けることができる。この具体的な GenAI の応用は、産業の競争力向上に貢献するだけでなく、医療の効率化にもつながる。公募「HORIZON-HLTH-2025-01-TOOL-03」は 2025 年 9 月に締め切られる。
This is only one of the many opportunities available to stakeholders interested in joining the GenAI4EU initiative, as listed on the tab "funding opportunities". これは、GenAI4EUイニシアチブへの参加に興味のある関係者が利用できる多くの機会の一つに過ぎない。詳細は「資金調達機会」タブに記載されている。

 Horizon Europe Work Programme 2025 の案件...

Horizon Europe    Title of the call  
1 Health 健康 HLTH-2025-01-TOOL-03: GenAI4EU: Leveraging multimodal data to advance Generative Artificial Intelligence applicability in biomedical research マルチモーダルデータを活用して、生物医学研究における生成的人工知能の適用性を推進
1 Health 健康 HLTH-2025-01-CARE-01: GenAI4EU: End user-driven application of Generative Artificial Intelligence models in healthcare 医療における生成的人工知能モデルのエンドユーザー主導の適用
3 Civil security for society 社会の市民安全 CL3-2025-02-CS-01: Generative AI for Cybersecurity applications サイバーセキュリティアプリケーションのための生成的 AI
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-04-DIGITAL-EMERGING-07: Advancing General Purpose AI through Enhanced Learning Strategies 強化された学習戦略による汎用 AI の進歩
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-04-DIGITAL-EMERGING-04: Assessment methodologies for General Purpose AI capabilities and risks 汎用 AI の機能とリスクの評価方法論
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-DIGITAL-EMERGING-09: Challenge-Driven GenAI4EU Booster (Pharma/Drug and Aerospace) 課題駆動型 GenAI4EU ブースター(製薬/医薬品および航空宇宙)
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-DIGITAL-EMERGING-07: GenAI4EU in Robotics and industrial automation ロボティクスと産業自動化における GenAI4EU
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-HUMAN-18: GenAI4EU central Hub GenAI4EU 中央ハブ
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-HUMAN-15: GenAI4EU: Generative AI for Virtual Worlds: Advanced technologies for better performance and hyper personalised and immersive experience GenAI4EU 仮想世界のための生成的AI:パフォーマンスの向上と、高度にパーソナライズされた没入型体験を実現する先進技術

4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-04-DATA-03: Software Engineering for AI and Generative AI AI および生成的 AI 向けのソフトウェアエンジニアリング
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-04-DATA-02: Empowering AI/Generative AI along the Cognitive Computing continuum コグニティブ・コンピューティングの連続体における AI/生成的 AI の強化
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-2025-03-DATA-13: Fostering Innovative and Compliant Data Ecosystems 革新的でコンプライアンスに準拠したデータエコシステムの育成
4 Digital, Industry, Space デジタル、産業、宇宙 CL4-INDUSTRY-2025-01-DIGITAL-61: AI Foundation models in science (GenAI4EU) 科学における AI 基礎モデル(GenAI4EU)
5 Energy エネルギー CL5-2025-05-D3-19: Innovative solutions for a Generative AI-powered digital spine of the EU energy system EU エネルギーシステムの生成的 AI によるデジタルバックボーンのための革新的なソリューション
5 Mobility モビリティ CL5-2025-04-D6-01: Advancing remote operations to enable the sustainable and smart mobility of people and goods based on operational and societal needs (CCAM Partnership) – Societal Readiness Pilot 運用上および社会的ニーズに基づく、人と物の持続可能でスマートなモビリティを実現するための遠隔操作の推進(CCAM パートナーシップ) – 社会準備パイロット
5 Mobility モビリティ CL5-2025-04-D6-08: Accelerating freight transport and logistics digital innovation 貨物輸送と物流のデジタルイノベーションの加速
5 Mobility モビリティ CL5-2025-04-D2-05: Accelerated multi-physical and virtual testing for battery aging, reliability, and safety evaluation (Batt4EU Partnership) バッテリー老化、信頼性、安全性の評価のためのマルチフィジカルおよびバーチャルテストの加速(Batt4EUパートナーシップ)
5 Mobility モビリティ CL5-2025-01-D5-01: Solutions for road Light Duty Vehicles – Societal Readiness Pilot 道路用軽車両向けのソリューション – 社会的準備度パイロット
5 Mobility モビリティ CL5-2025-01-D5-02: Cybersecure and resilient e-mobility ecosystem サイバーセキュリティとレジリエンスに優れた e-モビリティエコシステム
5 Mobility モビリティ CL5-2025-04-D6-09: Reliable data and practices to measure and account transport emissions in multimodal transport chains マルチモーダル輸送チェーンにおける輸送排出量を測定・報告するための信頼性の高いデータと実践
5 Mobility モビリティ CL5-2025-04-D6-10: Integrating inland waterway transport in smart shipping and multimodal logistics chains 内陸水路輸送をスマートシッピングおよびマルチモーダル物流チェーンに統合
6 Agrifood 農業食品 CL6-2025-01-ZEROPOLLUTION-06: Provide digital solutions tailored to small and medium-sized farms to monitor and sustainably manage agricultural inputs and natural resources 中小規模の農場に、農業投入資材および天然資源を監視し、持続的に管理するための、カスタマイズされたデジタルソリューションを提供する
6 Agrifood 農業食品 CL6-2025-01-CIRCBIO-06: Open Topic: Innovative solutions for the sustainable and circular transformation of SMEs オープントピック:中小企業の持続可能で循環型の変革のための革新的なソリューション
6 Agrifood 農業食品 CL6-2025-03-GOVERNANCE-09: Delivering Earth Intelligence to accelerate the green and digital transition グリーンおよびデジタル移行を加速するための地球インテリジェンスの提供
6 Agrifood 農業食品 CL6-2025-03-GOVERNANCE-14: Preparing farmers, their workforce and advisors to the future of agriculture by providing the right knowledge and skills at the right time and place 適切な知識とスキルを適切なタイミングで適切な場所に提供することにより、農家、その労働力、およびアドバイザーを農業の未来に備える
6 Agrifood 農業食品 CL6-2025-01-CIRCBIO-10: Unleashing the potential and advancing the impact of the digitalisation/AI of the bio-based value chains バイオベースのバリューチェーンのデジタル化/AI の可能性を解き放ち、その影響力を高める
6 Agrifood 農業食品 CL6-2025-01-BIODIV-09: Strengthening pathways to alternative socio-economic models for continuous improvement of biodiversity 生物多様性の継続的な改善のための代替的な社会経済モデルへの道筋を強化する

 

参考

Horizon Europe

  • EUの研究・イノベーションのための主要な資金援助プログラム
  • 2021年から2027年までのホライゾンヨーロッパの指示資金額は935億ユーロ(156兆円)
  • 国連の持続可能な開発目標の達成を支援し、EUの競争力と成長を後押し
  • EUの政策を開発、支援、実施する上で、協力を促進し、研究とイノベーションの影響力を強化
  • 雇用を創出し、EUの人材プールを十分に活用し、経済成長を後押しし、産業競争力を促進し、強化された欧州研究領域における投資効果を最適化
  • EUおよび関連国の法人が参加できる

 

The Digital Europe Programme

  • 企業、国民、行政機関にデジタル・テクノロジーを導入することに重点を置いた EUの資金提供プログラム
  • スーパーコンピューティング人工知能サイバーセキュリティ高度なデジタルスキルといった主要な能力分野におけるプロジェクトを支援
  • 経済と社会全体におけるデジタル技術の幅広い活用の確保を目指す
  • 強化された欧州デジタル・イノベーション・ハブ(EDIH)のネットワークを通じて、デジタル変革を支援

 

GenAI4EU: Creating European Champions in Generative AI

  • Horizon EuropeAI Boost project (2023) に基づくもの
  • 変革的なAI主導型ソリューションを市場に投入することを目指す新興企業や中小企業を支援
  • 人工知能の新興企業や中小企業を支援するAIイノベーションパッケージ、およびEUにおける信頼できるAIの開発、展開、利用を目標とするEU AI Act に沿って、このチャレンジは、Strategic Technologies for Europe Platform(STEP)の下で特定された重要な技術分野
  • 新しいGenAIモデルの開発と検証を進める;
  • 既存のモデルを、より小型で高速かつエネルギー効率に優れたモデルが適用可能な特定の分野やデータタイプに適応させる;
  • 既存のワークフローにGenAIソリューションを統合してテストし、必要に応じて、認証や市販後調査を含む、規制のサンドボックスや実際の環境でテストする;

1_20250616073101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.07 欧州委員会 安全で信頼できる人工知能におけるEUのリーダーシップを強化するため、AI事務局を設置 (2024.05.29)

 

ドラギ・レポート

・2024.10.01 欧州 ドラギ・レポート 欧州の競争力の未来 (2024.09.09)

 

 

| | Comments (0)

2025.06.17

デジタル庁 デジタル社会の実現に向けた重点計画 (2025.06.13)

こんにちは、丸山満彦です。

2025.06.13の持ち回り閣議では、基本方針、グランドデザイン、基本構想、実施構想、重点計画といった、今後の方向性を示すもの、決められた目標を実現するための計画が6つも決定していますね...

 

 ● 官邸 - 閣議

・2025.06.13 持ち回り閣議

内閣官房・内閣府本府 経済財政運営と改革の基本方針2025
内閣官房 新しい資本主義のグランドデザイン及び実行計画2025年改訂版
内閣官房 地方創生2.0基本構想
内閣府本府 規制改革実施計画
デジタル庁 公的基礎情報データベース整備改善計画
デジタル庁 デジタル社会の形成に関する重点計画・情報システム整備計画・官民データ活用推進基本計画の変更

 

ここでは、デジタル社会の実現に向けた重点計画

「目指す社会の姿」というのが、国民の期待にあっているということが重要なのでしょうね...


3.目指す社会の姿

デジタル社会の実現に向けた改革の基本方針」(2020 年 12 月 25 日閣議決定)では、デジタル社会の目指すビジョンとして「デジタルの活用により、一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会」、具体的には、場所や時間を問わず、国民一人ひとりのニーズやライフスタイルにあったサービスが受けられ、働き方ができ、また、自然災害や感染症等の事態に対して強靱な社会を掲げており、このような社会を目指すことは、「誰一人取り残さない、人に優しいデジタル化」を進めることにつながるとしている。
デジタル社会形成基本法15の施行後、最初に策定した「デジタル社会の実現に向けた重点計画」(2021年 12 月 24 日閣議決定)において、ビジョンを実現するために、①デジタル化による成長戦略②医療・教育・防災・こども等の準公共分野のデジタル化③デジタル化による地域の活性化④誰一人取り残されないデジタル社会、⑤デジタル人材の育成・確保⑥DFFT の推進を始めとする国際戦略の推進を定めている。この6つの目指す社会は、2.で示した直面する課題と情勢変化を踏まえつつ、現在においても、引き続き、政府として追求していくべきものである。


参考

・2020.12.25 [PDF]【閣議決定】デジタル社会の実現に向けた改革の基本方針(概要)

・2021.12.24 [PDF]【閣議決定】デジタル社会の実現に向けた重点計画

 

なんというか、ストーリー的ではなく、寄せ集め的な感じがしますよね。。。横同士の関係が見えにくいからですかね...

 

デジタル庁

・2025.06.13 デジタル社会の実現に向けた重点計画

第1 目指す社会の姿、取組の方向性と重点的な取組
1. 重点計画に基づいた我が国のデジタル化の取組

(1)我が国の強み
① デジタルインフラの整備
② アナログ規制の見直し
③ 信頼性のある自由なデータ流通(DFFT)の推進
(2)利用者視点の取組
① マイナンバーカードの普及・利活用とマイナポータルの利便性向上
② 事業者向け行政サービスの利用者体験向上に向けた環境整備
③ 準公共分野におけるデジタル化の推進
(3)中長期的な政府機能の強化
① 地方公共団体情報システムの統一・標準化
② 国・地方公共団体等の情報システムのガバメントクラウドへの移行
③ ガバメントソリューションサービス(GSS)への移行

2. 直面する課題と情勢変化
(1)直面する課題
① 人口減少及び労働力不足(リソースの逼迫)
② デジタル競争力向上の必要性
③ 自然災害や公共インフラ等の持続可能性への脅威への対応
④ サイバー空間における質・量両面での脅威の増大
⑤ デジタル人材の不足
⑥ 「デジタル化」に対する不安やためらい
(2)情勢変化
① 生成AIをはじめとするAIの社会実装の進展
② デジタルを巡る国際情勢の変化

3. 目指す社会の姿

4. 取組の方向性と重点的な取組
(1)AI・デジタル技術等のテクノロジーの徹底活用による社会全体のデジタル化の推進
① AIの活用環境の整備と利活用の促進
② 地方創生2.0(地域におけるデジタル・新技術の徹底活用)
③ AI・デジタル技術等のテクノロジーの活用による行政手続のデジタル完結の推進
(2)AI-フレンドリーな環境の整備(制度、データ、インフラ)
① デジタル行財政改革の推進
② AI・デジタル等テクノロジーの徹底活用を阻む制度の見直し
③ ベース・レジストリ(公的基礎情報データベース)の整備・運用
④ オープンデータの推進
⑤ 政府・地方公共団体のシステムにおけるデータの相互運用性の確保
⑥ デジタルの利用環境・インフラ整備
⑦ AI向け計算資源・データセンターの整備の加速
(3)競争・成長のための協調
① データ連携・利活用推進
② 防災・医療・こども・教育等の準公共分野におけるデジタル化
③ 国の情報システムの最適化
④ 地方公共団体情報システムの統一・標準化
⑤ 「国・地方デジタル共通基盤の整備・運用に関する基本方針」に基づく共通化の推進
⑥ これからの行政サービスを支えるネットワークや柔軟な情報連携等の実現
⑦ 産業全体のモダン化
(4)安全・安心なデジタル社会の形成に向けた取組
① デジタルリテラシー(デジタルを正しく理解し活用する力)の向上
② アクセシビリティ(誰でもデジタルに関する製品やサービスを利用できる環境)の確保
③ 偽・誤情報等対策
④ サイバー犯罪対策
⑤ サイバーセキュリティの確保
(5)我が国のDX推進力の強化(デジタル人材の確保・育成と体制整備)
① 社会におけるデジタル人材の確保・育成
② 政府におけるDX推進体制の強化
③ 社会全体のデジタル化の司令塔機能の強化(デジタル庁の体制強化)

5. デジタル社会の実現に向けての理念・原則
(1)デジタル社会形成のための基本原則
(2)業務改革(BPR53)の必要性
(3)構造改革のためのデジタル原則
(4)クラウド第一原則(クラウド・バイ・デフォルト原則)
(5)個人情報等の適正な取扱いの確保及び効果的な活用の促進

第2 重点政策一覧
1. AI・デジタル技術等のテクノロジーの徹底活用による社会全体のデジタル化の推進
2. AI-フレンドリーな環境の整備(制度、データ、インフラ)
3. 競争・成長のための協調
4. 安全・安心なデジタル社会の形成に向けた取組
5. 我が国のDX推進力の強化(デジタル人材の確保・育成と体制整備)

第3 工程表

第4 オンライン化を実施する行政手続の一覧等

第5 データ利活用制度の在り方に関する基本方針


 

・[PDF] 統合版(令和7年6月13日閣議決定)

・[PDF] 概要 

20250615-183909

・[PDF] 本文

・[PDF] 重点政策一覧

・[PDF] 工程表

・[PDF] オンライン化を実施する行政手続の一覧等

・[PDF] データ利活用制度の在り方に関する基本方針

saki

参考資料

・[PDF] 国民の体験向上に向けた行政サービスの導入計画


過去資料...

デジタル社会の実現に向けた重点計画の過去資料




 

崎村さんが、すぐにNotebookLMでまとめをつくっていましたね...

@_Nat Zone Identity, Privacy, and Music

・2025.06.14「デジタル社会の実現に向けた重点計画」が閣議決定されました〜アイデンティティ管理に関する言及も多数

 

| | Comments (0)

2025.06.14

米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)

こんにちは、丸山満彦です。

何か、忘れていると思っていたらこれでした...

大統領令13694 重大な悪意あるサイバー活動を行う特定の人物の財産のブロックは一部で”any person ”を”any foreign person”と対象を外国人に限定するという変更です。

主な変更は、大統領令14144 サイバーセキュリティの強化とイノベーションの促進ですね...

ランプさんの大統領令の数はすごいかもです...(バイデン元大統領が4年かけて162ですが、トランプ大統領は6ヶ月未満ですが、すでに161...)

U.S. White House

・2025.06.06 SUSTAINING SELECT EFFORTS TO STRENGTHEN THE NATION’S CYBERSECURITY AND AMENDING EXECUTIVE ORDER 13694 AND EXECUTIVE ORDER 14144

 

SUSTAINING SELECT EFFORTS TO STRENGTHEN THE NATION’S CYBERSECURITY AND AMENDING EXECUTIVE ORDER 13694 AND EXECUTIVE ORDER 14144 国家のサイバーセキュリティを強化するための厳選された取り組みを継続し、大統領令13694および大統領令14144を改正する。
By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.), the National Emergencies Act (50 U.S.C. 1601 et seq.), section 212(f) of the Immigration and Nationality Act of 1952 (8 U.S.C. 1182(f)), and section 301 of title 3, United States Code, it is hereby ordered: 国際緊急経済権限法(50 U.S.C. 1701 et seq.)、国家緊急事態法(50 U.S.C. 1601 et seq.)、1952 年移民国籍法第 212 条(f)(8 U.S.C. 1182(f))および米国法典第 3 編第 301 条を含む、憲法および米国法によって大統領として私に与えられた認可により、ここに命令する:
Section 1.  Amendments to Executive Order 14144.  Executive Order 14144 of January 16, 2025 (Strengthening and Promoting Innovation in the Nation’s Cybersecurity), is hereby amended by: 第1項 大統領令14144の改正。 2025年1月16日の大統領令14144(国家のサイバーセキュリティにおけるイノベーションの強化と促進)は、以下の通り改正される:
(a)  striking subsections 2(a)-(b) and redesignating subsections 2(c), 2(d), and 2(e) as subsections 2(a), 2(b), and 2(c), respectively; (a) 第2(a)~(b)を削除し、第2(c)項、第2(d)項、第2(e)項をそれぞれ第2(a)項、第2(b)項、第2(c)項とする;
(b)  striking the first sentence of subsection 2(e); (b) 第2(e)項の前段を削除する;
(c)  striking subsections 3(a)-(b) and redesignating subsections 3(c), 3(d), and 3(e) as subsections 3(a), 3(b), and 3(c), respectively; (c) 第3(a)~(b)項を削除し、第3(c)項、第3(d)項、第3(e)項をそれぞれ第3(a)項、第3(b)項、第3(c)項とする;
(d)  striking from subsection 3(c) the phrase “In Executive Order 14028, I directed the Secretary of Defense and the Secretary of Homeland Security to establish procedures to immediately share threat information to strengthen the collective defense of Department of Defense and civilian networks.”; (d) 第3項(c)から、「大統領令14028において、私は国防省長官と国土安全保障省長官に対し、国防省と民間ネットワークの集団的防衛を強化するため、脅威情報を直ちに共有する手順を確立するよう指示した」という文言を削除する;
(e)  striking from subsection 3(c)(i)(A) the word “novel”; (e) 第3項(c)(i)(A)から「新たな」という語を削除する;
(f)  striking subsection 4(b)(iv); (f) 第4(b)(iv)項を削除する;
(g)  striking subsections 4(d)(ii)-(iii); (g) 第4(d)(ii)~(iii)項を削除する;
(h)  striking section 5 and redesignating sections 6, 7, 8, 9, 10, and 11 as sections 5, 6, 7, 8, 9, and 10, respectively; and (h) 第5項を削除し、第6項、第7項、第8項、第9項、第10項、および第11項をそれぞれ第5項、第6項、第7項、第8項、第9項、および第10項と再指定する。
(i)  striking from subsection 8(c) the phrase “in the areas of intrusion detection, use of hardware roots of trust for secure booting, and development and deployment of security patches.”. (i)第8項(c)から、「侵入検知、セキュアブートのためのハードウェアルートオブトラストの使用、セキュリティパッチの開発および展開の分野において」という文言を削除する。
Sec. 2.  Further Amendments to Executive Order 14144.  Executive Order 14144 is hereby amended by: 第2項 大統領令14144のさらなる改正。 大統領令 14144 は、以下のように改正される:
(a)  striking section 1 and inserting, in lieu thereof, the following: (a) 第 1 項を削除し、その代わりに以下を挿入する:
“Section 1.  Policy.  Foreign nations and criminals continue to conduct cyber campaigns targeting the United States and Americans.  The People’s Republic of China presents the most active and persistent cyber threat to United States Government, private sector, and critical infrastructure networks, but significant threats also emanate from Russia, Iran, North Korea, and others who undermine United States cybersecurity.  These campaigns disrupt the delivery of critical services across the Nation, cost billions of dollars, and undermine Americans’ security and privacy.  More must be done to improve the Nation’s cybersecurity against these threats.  I am ordering additional actions to improve our Nation’s cybersecurity, focusing on defending our digital infrastructure, securing the services and capabilities most vital to the digital domain, and building our capability to address key threats.”; 「第1項 方針。 外国および犯罪行為は、米国および米国人を標的としたサイバーキャンペーンを継続的に行っている。 中華人民共和国は、米国政府、民間部門、および重要インフラ・ネットワークに対する最も活発かつ持続的なサイバー脅威を提示しているが、重要な脅威は、ロシア、イラン、北朝鮮、および米国のサイバーセキュリティを弱体化させるその他の国々からも発せられている。 これらのキャンペーンは、全米の重要なサービスの提供を妨害し、何十億ドルものコストをかけ、米国人のセキュリティとプライバシーを損なっている。 このような脅威に対する国家のサイバーセキュリティを改善するために、もっと多くのことをしなければならない。 私は、国家のサイバーセキュリティを改善するため、デジタル・インフラの防衛、デジタル領域で最も重要なサービスと能力の確保、主要な脅威に対処する能力の強化に重点を置いた追加措置を指示する;
(b)  striking subsection 2(c) and inserting, in lieu thereof, the following: (b) 第2項(c)を削除し、代わりに以下を挿入する:
“(c)  Relevant executive departments and agencies (agencies) shall take the following actions: 「(c)関係省庁は以下の措置を講じる:
(i)    By August 1, 2025, the Secretary of Commerce, acting through the Director of NIST, shall establish a consortium with industry at the National Cybersecurity Center of Excellence to develop guidance, informed by the consortium as appropriate, that demonstrates the implementation of secure software development, security, and operations practices based on NIST Special Publication 800–218 (Secure Software Development Framework (SSDF)). (i)2025年8月1日までに、商務長官は、NIST長官を通じて、国立サイバーセキュリティ・センター・オブ・エクセレンスに産業界とのコンソーシアムを設立し、NIST特別刊行物800-218(セキュアソフトウェア開発フレームワーク(SSDF))に基づくセキュアソフトウェアの開発、セキュリティ、運用の実践を実証するガイダンスを、適宜コンソーシアムから情報を得て策定する。
(ii)   By September 2, 2025, the Secretary of Commerce, acting through the Director of NIST, shall update NIST Special Publication 800–53 (Security and Privacy Controls for Information Systems and Organizations) to provide guidance on how to securely and reliably deploy patches and updates. (ii) 2025年9月2日までに、商務長官は、NIST長官を通じて、NIST特別刊行物800-53(情報システム及び組織のセキュリティ及びプライバシー管理)を更新し、パッチ及び更新を安全かつ確実に展開する方法に関する指針を提供する。
(iii)  By December 1, 2025, the Secretary of Commerce, acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall develop and publish a preliminary update to the SSDF.  This preliminary update shall include practices, procedures, controls, and implementation examples regarding the secure and reliable development and delivery of software as well as the security of the software itself.  Within 120 days of publishing the preliminary update, the Secretary of Commerce, acting through the Director of NIST, shall publish a final version of the updated SSDF.”; (iii) 2025 年 12 月 1 日までに、商務長官は、NIST 長官を通じて、NIST 長官が適切と考える省庁の長と協議の上、SSDF の暫定的な更新を策定し、公表するものとする。 この暫定更新版には、ソフトウェアの安全で信頼性の高い開発および提供、ならびにソフトウェア自体のセキュリティに関する実践、手順、管理、および実装例を含めるものとする。 暫定的な更新版の公表から 120 日以内に、商務長官は NIST 長官を通 じて、更新された SSDF の最終版を公表するものとする;
(c)  striking from subsection 4(b) the phrase “The security of Internet traffic depends on data being correctly routed and delivered to the intended recipient network.  Routing information originated and propagated across the Internet, utilizing the Border Gateway Protocol (BGP), is vulnerable to attack and misconfiguration.” and inserting, in lieu thereof, the following: (c)第4項(b)から「インターネット・トラフィックのセキュリティは、データが正しくルーティングされ、意図された取得者ネットワークに配信されることに依存する。 ボーダーゲートウェイプロトコル(BGP)を利用してインターネット上で生成され、伝播されるルーティング情報は、攻撃や誤設定に対して脆弱である:
“Relevant agencies shall take the following actions:”; 「関係機関は、以下の措置を講じなければならない;
(d)  striking subsection 4(f) and inserting, in lieu thereof, the following: (d) 第4項(f)を削除し、代わりに以下を挿入する:
“(f)  A quantum computer of sufficient size and sophistication —  also known as a cryptanalytically relevant quantum computer (CRQC) —  will be capable of breaking much of the public-key cryptography used on digital systems across the United States and around the world.  National Security Memorandum 10 of May 4, 2022 (Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems), directed the Federal Government to prepare for a transition to cryptographic algorithms that would not be vulnerable to a CRQC. 「(f)十分な規模と精巧さを備えた量子コンピュータ(暗号解読関連量子コンピュータ(CRQC)とも呼ばれる)は、米国および世界中のデジタルシステムで使用されている公開鍵暗号の多くを解読することができる。 2022年5月4日の国家安全保障覚書10(脆弱な暗号システムに対するリスクを緩和しつつ、量子コンピューティングにおける米国のリーダーシップを促進する)は、連邦政府に対し、CRQCに対して脆弱でない暗号アルゴリズムへの移行に備えるよう指示した。
(i)   By December 1, 2025, the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), and in consultation with the Director of the National Security Agency, shall release and thereafter regularly update a list of product categories in which products that support post-quantum cryptography (PQC) are widely available. (i) 2025 年 12 月 1 日までに、国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁(CISA)長官を 通じて、国家安全保障局長官と協議の上、ポスト量子暗号(PQC)をサポートする製品が広く利用可能な製品カテゴリの リストを公表し、その後定期的に更新する。
(ii)  By December 1, 2025, to prepare for transition to PQC, the Director of the National Security Agency with respect to National Security Systems (NSS), and the Director of OMB with respect to non-NSS, shall each issue requirements for agencies to support, as soon as practicable, but not later than January 2, 2030, Transport Layer Security protocol version 1.3 or a successor version.”; (ii) 2025 年 12 月 1 日までに、PQC への移行を準備するため、国家安全保障シス テム(NSS)に関しては国家安全保障局長官が、NSS 以外に関しては OMB 長官が、それぞれ、 できるだけ早く、遅くとも 2030 年 1 月 2 日までに、トランスポート・レイヤー・セキュリ ティ・プロトコル バージョン 1.3 またはその後継バージョンをサポートするよう、各省庁に対す る要件を発行するものとする;
(e)  striking former section 6 (newly designated section 5) and inserting, in lieu thereof, the following: (e) 旧第6項(新たに第5項とする)を削除し、その代わりに以下を挿入する:
“Sec. 5.  Promoting Security with and in Artificial Intelligence.  Artificial intelligence (AI) has the potential to transform cyber defense by rapidly identifying vulnerabilities, increasing the scale of threat detection techniques, and automating cyber defense. 「第5項 人工知能を用いた、および人工知能におけるセキュリティの推進。 人工知能(AI)は、脆弱性を迅速に特定し、脅威検知技術の規模を拡大し、サイバー脅威防御を自動化することで、サイバー防御を変革する可能性を秘めている。
(a)  By November 1, 2025, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Energy; the Secretary of Homeland Security, acting through the Under Secretary for Science and Technology; and the Director of the National Science Foundation shall ensure that existing datasets for cyber defense research have been made accessible to the broader academic research community (either securely or publicly) to the maximum extent feasible, in consideration of business confidentiality and national security. (a)2025年11月1日までに、商務長官(NIST長官を通じて)、エネルギー省長官、国土安全保障省長官(科学技術次官を通じて)、および全米科学財団長官は、サイバー防衛研究のための既存のデータセットが、ビジネスの機密性と国家安全保障に配慮して、実行可能な最大限の範囲で、より広範な学術研究コミュニティが(安全にまたは公に)アクセスできるようにする。
(b)  By November 1, 2025, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence, in coordination with appropriate officials within the Executive Office of the President, to include officials within the Office of Science and Technology Policy, the Office of the National Cyber Director, and the Director of OMB, shall incorporate management of AI software vulnerabilities and compromises into their respective agencies’ existing processes and interagency coordination mechanisms for vulnerability management, including through incident tracking, response, and reporting, and by sharing indicators of compromise for AI systems.”; (b) 2025年11月1日までに、国防長官、国土安全保障長官、国家情報長官は、大統領府内の適切な職員(米国科学技術政策局、国家サイバー長官室、OMB長官を含む)と連携して、AIソフトウェアの脆弱性と侵害の管理を、インシデントの追跡、対応、報告、AIシステムの侵害の指標の共有を含む、脆弱性管理のためのそれぞれの省庁の既存のプロセスおよび省庁間の調整メカニズムに組み込むものとする;
(f)  striking section 7 and inserting, in lieu thereof, the following: (f) 第7項を削除し、その代わりに以下を挿入する:
“Sec. 7.  Aligning Policy to Practice.  Agencies’ policies must align investments and priorities to improve network visibility and security controls to reduce cyber risks.  In consultation with the National Cyber Director, agencies shall take the following actions: 「第7項。政策と実務の整合。 各省庁の政策は、サイバー・リスクを削減するために、ネットワークの可視性とセキュリティ管理を改善するための投資と優先順位を一致させなければならない。 国家サイバー局長と協議の上、各省庁は以下の行動を取らなければならない:
(a)  Within 3 years of the date of this order, the Director of OMB shall issue guidance, including any necessary revision to OMB Circular A–130, to address critical risks and adapt modern practices and architectures across Federal information systems and networks. (a) 本命令の日付から3年以内に、OMB長官は、OMB Circular A-130の必要な改訂を含むガイダンスを発行し、重要なリスクに対処し、連邦情報システムとネットワーク全体に最新の慣行とアーキテクチャを適応させる。
(b)  Within 1 year of the date of this order, the Secretary of Commerce, acting through the Director of NIST; the Secretary of Homeland Security, acting through the Director of CISA; and the Director of OMB shall establish a pilot program of a rules-as- code approach for machine-readable versions of policy and guidance that OMB, NIST, and CISA publish and manage regarding cybersecurity. (b) 本命令の日付から 1 年以内に、商務長官は NIST 長官を通じ、国土安全保障長官は CISA 長官を通じ、OMB 長官は OMB、NIST、CISA がサイバーセキュリティに関して発行・管理する政策・指針の機械可読版について、ルール・アズ・コード・アプローチのパイロット・プログラムを確立する。
(c)  Within 1 year of the date of this order, agency members of the FAR Council shall, as appropriate and consistent with applicable law, jointly take steps to amend the FAR to adopt requirements for agencies to, by January 4, 2027, require vendors to the Federal Government of consumer Internet-of-Things products, as defined by 47 CFR 8.203(b), to carry United States Cyber Trust Mark labeling for those products.”; and (c) 本命令の日付から 1 年以内に、FAR 評議会の加盟国は、適切かつ適用法と一致するように、2027 年 1 月 4 日までに、47CFR 8.203(b)で定義されているように、消費者向け Internet-of-Things 製品の米国政府向けベンダーに対し、当該製品に米国サイバートラストマークの表示を義務付ける要件を採用するために、FAR を改正するための措置を共同で講じるものとする。
(g)  striking subsection 8(a) and inserting, in lieu thereof, the following: (g) 第 8 項(a)を削除し、その代わりに以下を挿入する:
“(a)  Except as specifically provided for in subsection 4(f) of this order, sections 1 through 7 of this order shall not apply to Federal information systems that are NSS or are otherwise identified by the Department of Defense or the Intelligence Community as debilitating impact systems.”. 「(a)本命令の第 4 項(f)に具体的に規定されている場合を除き、本命令の第 1 項から第 7 項は、NSS であるか、または国防総省もしくはインテリジェンス・コミュニティが衰弱的な影響 を与えるシステムであると識別した連邦情報システムには適用されないものとする。
Sec. 3.  Amendments to Executive Order 13694.  Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended by Executive Order 13757 of December 28, 2016 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), Executive Order 13984 of January 19, 2021 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), and Executive Order 14144, is hereby further amended by: 第3項 大統領令13694の改正。 2015年4月1日の大統領令13694(重大な悪意のあるサイバーイネーブルド活動に従事する特定の者の財産を封鎖する)は、2016年12月28日の大統領令13757(重大な悪意のあるサイバーイネーブルド活動に関して国家緊急事態に対処するための追加的措置を講じる)、2021年1月19日の大統領令13984(重大な悪意のあるサイバーイネーブルド活動に関して国家緊急事態に対処するための追加的措置を講じる)、および大統領令14144によって改正されたものであるが、さらに以下のように改正する:
(a)  striking from subsection 1(a)(ii) the phrase “any person” and inserting in lieu thereof “any foreign person”; and (a) 第1項(a)(ii)から「あらゆる人」という語句を削除し、その代わりに「あらゆる外国人」を挿入する。
(b)  striking from subsection 1(a)(iii) the phrase “any person” and inserting in lieu thereof “any foreign person.”. (b) 第1款(a)(iii)から「あらゆる人」という語句を削除し、その代わりに「あらゆる外国人」と挿入する。
Sec. 4.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect: 第4項 一般規定。 (a) 本命令のいかなる規定も、これを損なったり、その他の影響を及ぼすものと解釈されてはならない:
(i)   the authority granted by law to an executive department or agency, or the head thereof; or (i) 行政部、行政機関、またはその長に法律で認められた認可。
(ii)  the functions of the Director of OMB relating to budgetary, administrative, or legislative proposals. (ii) 予算案、行政案、立法案に関するOMB長官の機能。
(b)  This order shall be implemented in a manner consistent with applicable law and subject to the availability of appropriations. (b) 本命令は、適用法に合致した方法で、かつ充当可能な予算に応じて実施されるものとする。
(c)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. (c) 本命令は、米国、その省庁、事業体、その役員、職員、代理人、その他いかなる者に対しても、法律上または衡平法上執行可能な、実質的または手続き上の権利または利益を創出することを意図したものではなく、また創出するものでもない。
(d)  The costs for publication of this order shall be borne by the Department of Homeland Security. (d) 本命令の公布にかかる費用は、国土安全保障省が負担するものとする。
                             DONALD J. TRUMP ドナルド・J・トランプ
THE WHITE HOUSE, ホワイトハウス
    June 6, 2025. 2025年6月6日

 

 

20250121-105054


 

官報

Federal Register

・2025.06.11 Exective Order 14306 Sustaining Select Efforts To Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144

 

改正するもの...

・2025.01.17 Exective Order 14144 Strengthening and Promoting Innovation in the Nation's Cybersecurity

・2015.04.01 Exective Order 13694 Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities

 

参考 1933年以降の大統領令の数(2025.06.13現在)...

Presidential Documents

下線は4年超

32 1933–1945 フランクリン・ルーズベルト 民主党 3,721
33 1945–1953 ハリー・S・トルーマン 民主党 906
34 1953–1961 ドワイト・D・アイゼンハワー 共和党 484
35 1961–1963 ジョン・F・ケネディ 民主党 214
36 1963–1969 リンドン・B・ジョンソン 民主党 325
37 1969–1974 リチャード・ニクソン 共和党 346
38 1974–1977 ジェラルド・フォード 共和党 169
39 1977–1981 ジミー・カーター 民主党 320
40 1981–1989 ロナルド・レーガン 共和党 381
41 1989–1993 ジョージ・H・W・ブッシュ 共和党 166
42 1993–2001 ビル・クリントン 民主党 364
43 2001–2009 ジョージ・W・ブッシュ 共和党 291
44 2009–2017 バラク・オバマ 民主党 277
45 2017–2021 ドナルド・トランプ 共和党 220
46 2021–2025 ジョー・バイデン 民主党 162
47 2025- ドナルド・トランプ 共和党 161
        8,507



 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.18 米国 ホワイトハウス 大統領令14144 サイバーセキュリティの強化とイノベーションの促進 (2025.01.16)

 

 

 


見え消し版 ↓↓↓↓↓

Continue reading "米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)"

| | Comments (0)

2025.06.12

米国 CISA AIデータセキュリティ:AIシステムの訓練と運用に使用されるデータセキュリティのベストプラクティス (2025.05.22)

こんにちは、丸山満彦です。

カナダを除くFive eyesの主要情報コミュニティーが、AIデータセキュリティについてのベストプラクティスを公表していますね...

 

 ● U.S. - CISA

・2025.05.22 AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems

 

AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems AIデータセキュリティ: AIシステムの訓練と運用に使用されるデータセキュリティのベストプラクティス
CISA, the National Security Agency, the Federal Bureau of Investigation, and international partners released AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems.  CISA、国家安全保障局、連邦捜査局、および国際的パートナーがAIデータセキュリティを発表した: AIシステムの訓練と運用に使用されるデータセキュリティのベストプラクティス」を発表した。
This guidance highlights the critical role of data security in ensuring the accuracy, integrity, and trustworthiness of AI outcomes. It outlines key risks that may arise from data security and integrity issues across all phases of the AI lifecycle, from development and testing to deployment and operation.  このガイダンスは、AIの成果の正確性、完全性、信頼性を確保する上で、データセキュリティが果たす重要な役割を強調している。開発、テストから展開、運用に至るまで、AIライフサイクルのすべての段階において、データセキュリティと完全性の問題から生じる可能性のある主要なリスクを概説している。

 

・[PDF]

20250611-165330

・[DOCX][PDF] 仮訳

 

目次...

Executive summary エグゼクティブサマリー
Introduction 序論
Audience and scope 想定読者と適用範囲
Securing data throughout the AI system lifecycle AIシステムのライフサイクルを通じてデータをセキュリティで保護する
Best practices to secure data for AI-based systems AIベースのシステムでデータを保護するためのベストプラクティス
Data supply chain – risks and mitigations データ・サプライチェーン - リスクと緩和
General risks for data consumers データ消費者の一般的リスク
Risk: Curated web-scale datasets リスク:キュレーションされたウェブスケールのデータセット
Risk: Collected web-scale datasets リスク:収集されたウェブスケールのデータセット
Risk: Web-crawled datasets リスク:ウェブクローリングされたデータセット
Final note on web-scale datasets and data poisoning ウェブスケールのデータセットとデータ・ポイズニングに関する最終ノート
Maliciously modified data – risks and mitigations 悪意を持って変更されたデータ - リスクと緩和策
Risk: Adversarial Machine Learning threats リスク:敵対的機械学習の脅威
Risk: Bad data statements リスク:不正なデータ声明
Risk: Statistical bias リスク:統計バイアス 
Risk: Data poisoning via inaccurate information リスク:不正確な情報によるデータ・ポイズニング
Risk: Data duplications リスク:データの重複
Data drift – risks and mitigations データ・ドリフト - リスクと緩和
Conclusion 結論
Works cited 引用文献

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
This Cybersecurity Information Sheet (CSI) provides essential guidance on securing data used in artificial intelligence (AI) and machine learning (ML) systems. It also highlights the importance of data security in ensuring the accuracy and integrity of AI outcomes and outlines potential risks arising from data integrity issues in various stages of AI development and deployment.  このサイバーセキュリティ・インフォメーションシート(CSI)は、人工知能(AI)および機械学習(ML)システムで使用されるデータのセキュリティに関する重要なガイダンスを提供する。また、AIの成果の正確性と完全性を確保する上でのデータセキュリティの重要性を強調し、AIの開発と展開の様々な段階におけるデータの完全性の問題から生じる潜在的なリスクを概説している。 
This CSI provides a brief overview of the AI system lifecycle and general best practices to secure data used during the development, testing, and operation of AI-based systems. These best practices include the incorporation of techniques such as data encryption, digital signatures, data provenance tracking, secure storage, and trust infrastructure. This CSI also provides an in-depth examination of three significant areas of data security risks in AI systems: data supply chain, maliciously modified (“poisoned”) data, and data drift. Each section provides a detailed description of the risks and the corresponding best practices to mitigate those risks.   本CSIは、AIシステムのライフサイクルの簡単な概要と、AIベースのシステムの開発、テスト、運用中に使用されるデータを保護するための一般的なベストプラクティスを提供する。これらのベスト・プラクティスには、データの暗号化、デジタル署名、データの出所追跡、安全な保管、信頼基盤などの技術の組み込みが含まれる。本CSIはまた、AIシステムにおけるデータ・セキュリティ・リスクの3つの重要な分野、すなわちデータ・サプライ・チェーン、悪意を持って改変された(「ポイズニング」された)データ、データ・ドリフトについても詳細な検証をプロバイダとして提供する。各セクションでは、リスクの詳細な説明と、それらのリスクを緩和するための対応するベストプラクティスを提供している。  
This guidance is intended primarily for organizations using AI systems in their operations, with a focus on protecting sensitive, proprietary, or mission critical data. The principles outlined in this information sheet provide a robust foundation for securing AI data and ensuring the reliability and accuracy of AI-driven outcomes.  このガイダンスは、主にAIシステムを業務に使用している組織を対象としており、機密データ、専有データ、またはミッション・クリティカルなデータの保護に重点を置いている。この情報シートに概説されている原則は、AIデータを保護し、AI主導の成果の信頼性と正確性を確保するための強固な基盤を提供する。 
This document was authored by the National Security Agency’s Artificial Intelligence Security Center (AISC), the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the New Zealand’s Government Communications Security Bureau’s National Cyber Security Centre (NCSC-NZ), and the United Kingdom’s National Cyber Security Centre (NCSC-UK).   この文書は、国家安全保障局の人工知能セキュリティセンター(AISC)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、オーストラリア信号長官のオーストラリア・サイバー セキュリティセンター(ASDのACSC)、ニュージーランドの政府コミュニケーション・セキュリティ局の国家サイバーセキュリティセンター(NCSC-NZ)、イギリスの国家サイバーセキュリティセンター(NCSC-UK)によって作成された。 
The goals of this guidance are to:   このガイダンスの目標は以下の通りである:  
1. Raise awareness of the potential risks related to data security in the development, testing, and deployment of AI systems;   1. AIシステムの開発、テスト、展開におけるデータセキュリティに関連する潜在的リスクに対する認識を高める;  
2.  Provide guidance and best practices for securing AI data across various stages of the AI lifecycle, with an in-depth description of the three aforementioned significant areas of data security risks; and   2. AIライフサイクルの様々な段階において、AIデータを保護するためのガイダンスとベストプラクティスを提供する。  
3.  Establish a strong foundation for data security in AI systems by promoting the adoption of robust data security measures and encouraging proactive risk mitigation strategies.  3. 強固なデータセキュリティ対策の採用を促進し、積極的なリスク緩和戦略を奨励することにより、AIシステムにおけるデータセキュリティの強固な基盤を確立する。 

 

表1:AIシステムのライフサイクル段階に、主要点、必要な継続的アセスメント、データセキュリティの重点分野、及び本CSIが対象とする特定のデータセキュリティリスク

 

AIのライフサイクル段階 主要点 テスト、評価、検証、妥当性確認(TEVV) データセキュリティの潜在的重点分野 本CSIが対象とする特定のデータセキュリティリスク
1) プランとデザイン  アプリケーション・コンテキスト  監査とアセスメント  初期段階からデータ・セキュリティ対策を取り入れ、堅牢なセキュリティ・プロトコルを設計し、脅威モデリングを行い、プライバシー・バイ・デザインを取り入れる。  データ・サプライ・チェーン 
2) データ収集と処理  データと入力  内部および外部妥当性確認  データの完全性、認証、暗号化、アクセス管理、データの最小化、匿名化、安全なデータ転送を確保する。  データ・サプライ・チェーン、悪意を持って変更されたデータ
3) モデルの構築と使用  AIモデル  モデルテスト  データの改ざんからの防御、データの品質とプライバシーの確保(適切かつ可能な場合には、差分プライバシーと安全なマルチパーティ計算を含む)、モデル・トレーニングの安全確保、および運用環境   データ・サプライ・チェーン、悪意を持って変更されたデータ 
4) 検証と妥当性確認  AIモデル  モデルテスト  包括的なセキュリティテストを実施し、リスクを特定し緩和し、データの完全性を検証し、敵対的テストを実施し、適切かつ可能な場合は正式な検証を行う。  データ・サプライ・チェーン、悪意を持って変更されたデータ 
5) 展開と使用  タスクとアウトプット  統合、コンプライアンス・テスト、妥当性確認  厳格なアクセス管理、ゼロトラストインフラストラクチャ、安全なデータ伝送と保存、安全なAPIエンドポイント、異常動作の監視を実施する。  データ・サプライチェーン、悪意を持って変更されたデータ、データ・ドリフト 
6) オペレーションとモニター  アプリケーション・コンテキスト  監査とアセスメント  継続的なリスクアセスメントの実施、データ漏えいのモニタリング、データの安全な消去、規制への対応、インシデント対応計画、定期的なセキュリティ監査の実施  データ・サプライチェーン、悪意を持って変更されたデータ、データ・ドリフト 

 

 

| | Comments (0)

より以前の記事一覧