AI/Deep Learning

2022.12.03

第3期戦略的イノベーション創造プログラム(SIP:エスアイピー)についての経団連の意見...

こんにちは、丸山満彦です。

経団連が、第3期戦略的イノベーション創造プログラム (SIP) についての意見を掲載しています。。。SIPは国の将来を見据えた政策的な研究プログラムで、税金を使った(5年間で1500億円程度...)プログラムで、研究成果が社会に活きるようになるためには官民連携が重要となるわけですが、うまくいっているんでしょうか。。。

日本経済団体連合会

・2022.12.01 次期SIPに対する意見


次期SIPについては産業界からの期待も高く、研究開発への参画について関心を持つ企業も多い。ただし、実際にリソースを提供するにあたっては下記のとおりに具体的にクリアすべき課題がある。

また、社会実装を進めるにあたっては、研究開発の進展のみならず、先端技術の利活用の観点から規制緩和等の制度整備が併せて必要となることにも留意すべきである。


次のようなことで書かれています。。。

  1. 課題設定
  2. 社会実装のレベル
  3. アジャイルな運用による予算・人材の手当
  4. 民間からの人的支援
  5. 企業の利益確保
  6. スタートアップ
  7. ルール形成及び国際標準化
  8. 享受者のリテラシー向上
  9. 研究推進法人
  10. 他の政策等(PRISMなど)との整理
  11. 情報共有のあり方

 


11. 情報共有のあり方

SIPの概要と研究過程の各ステップがまとめられて明示されていると企業側の理解が深まると考えられる。具体的には、全体を把握できる概念図およびスケジュール上の各マイルストンで何を行うかが簡潔にまとめられた資料を求める。特に、RFI、PD候補の公募、研究開発責任者・実施者の公募、マッチングファンド(企業に求められる資金や工数)について説明があると、企業としてどのようなアクション・負担が求められるのかが理解しやすい。

現状ではFSの内容については概要のみ公開されている状態であり、企業としては社内で参入について検討していない段階でFSの具体的な検討内容や状況について問い合わせることは敷居が高いため、途中経過の公表を求める。併せて過去のSIPでの成果についても引き続き周知を図ることで、事業化までのイメージを持ちやすくなる。

第1期、第2期の企業出身PDがSIPを通して得た知識やスキル等の共有もお願いしたい。また、参入を前提としない企業との情報交換の場を設けるなど、既存の役割以外の関わり方の検討をお願いしたい。


 

さて、SIPのウェブページ

内閣府

戦略的イノベーション創造プログラム(SIP:エスアイピー)

第3期SIPの候補

  1. 豊かな食が提供される持続可能なフードチェーンの構築
  2. 統合型ヘルスケアシステムの構築
  3. 包摂的コミュニティプラットフォームの構築
  4. ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築
  5. 海洋安全保障プラットフォームの構築
  6. スマートエネルギーマネジメントシステムの構築
  7. サーキュラーエコノミーシステムの構築
  8. スマート防災ネットワークの構築
  9. スマートインフラマネジメントシステムの構築
  10. スマートモビリティプラットフォームの構築
  11. 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備
  12. バーチャルエコノミー拡大に向けた基盤技術・ルールの整備
  13. 先進的量子技術基盤の社会課題への応用促進
  14. AI・データの安全・安心な利活用のための基盤技術・ルールの整備
  15. マテリアルプロセスイノベーション基盤技術の整備

 

20221203-101732

課題候補 FS実施方針 検討タスクフォース 研究推進法人 コンセプト  PD候補  所属・役職 
1 豊かな食が提供される持続可能なフードチェーンの構築 PDF 豊かな食が提供される持続可能なフードチェーンの構築に係る検討タスクフォース 国立研究開発法人農業・食品産業技術総合研究機構
生物系特定産業技術研究支援センター
食料安全保障やカーボンニュートラル、高齢化社会への対応に向けて、食料の調達、生産、加工・流通、消費の各段階を通じて、豊かさを確保しつつ、生産性向上と環境負荷低減を同時に実現するフードチェーンを構築する。  松本 英三  株式会社 J-オイルミルズ 取締役常務執行役員 
2 統合型ヘルスケアシステムの構築 PDF 統合型ヘルスケアシステムの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 患者や消費者のニーズに対し、医療・ヘルスケア等の限られたリソースを、デジタル化や自動化技術で最大限有効かつ迅速にマッチングするシステムを構築する。  永井 良三  自治医科大学 学長 
3 包摂的コミュニティプラットフォームの構築 PDF 包摂的コミュニティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人 医薬基盤・健康・栄養研究所 性別、年齢、障がいなどに関わらず、多様な人々が社会的にも精神的にも豊かで暮らしやすいコミュニティを実現するため、プライバシーを完全に保護しつつ、社会活動への主体的参加を促し、必要なサポートが得られる仕組みを構築する。  久野 譜也  筑波大学大学院人間総合科学学術院 教授 
4 ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築 PDF ポストコロナ時代の学び方・働き方を実現するプラットフォームの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 ポストコロナ社会に向けて、オンラインでも対面と変わらない円滑なコミュニケーションができ、地方に住んでいても大都市と変わらない教育や仕事の機会が提供され、さらに、多様な学び方、働き方が可能な社会を実現するためのプラットフォームを構築する。  西村 訓弘  三重大学大学院地域イノベーション学研究科 教授・特命副学長 
5 海洋安全保障プラットフォームの構築 PDF 海洋安全保障プラットフォームの構築に係る検討タスクフォース 国立研究開発法人海洋研究開発機構 世界有数の海洋国家である我が国にとって安全保障上重要な海洋の保全や利活用を進めるため、海洋の各種データを収集し、資源・エネルギーの確保、気候変動への対応などを推進するプラットフォームを構築する。  石井 正一  日本 CCS 調査株式会社 顧問 
6 スマートエネルギーマネジメントシステムの構築


PDF スマートエネルギーマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人科学技術振興機構 地域におけるエネルギーの生産及び利用に係る技術の更なる高度化に加え、電力利用だけでなく熱利用についても考慮する需給調整に向けたエネルギーマネジメントシステムの構築、エネルギーマネジメントシステムを支える分散型電源関連、エネルギーキャリア関連技術の確立を目指す。  浅野 浩志  東海国立大学機構岐阜大学高等研究院地方創生エネルギーシステム研究センター特任教授
一般財団法人電力中央研究所研究アドバイザー
東京工業大学科学技術創成研究院特任教授
7 サーキュラーエコノミーシステムの構築 PDF サーキュラーエコノミーシステムの構築に係る検討タスクフォース 独立行政法人環境再生保全機構 大量に使用・廃棄されるプラスチック等素材の資源循環を加速するため、原料の調達から、設計・製造段階、販売・消費、分別・回収、リサイクルの段階までのデータを統合し、サプライチェーン全体として産業競争力の向上や環境負荷を最小化するサーキュラーエコノミーシステムの構築を目指し技術開発を行うとともに、消費者の行動変容を促す環境整備も検討する。その際、脱炭素社会の実現や環境配慮が付加価値になる情報開示に関する国際的なルール形成(TCFD、TNFD等)への対応についても併せて検討を行う。  伊藤 耕三  東京大学大学院 新領域創成科学研究科 教授 
8 スマート防災ネットワークの構築 PDF スマート防災ネットワークの構築に係る検討タスクフォース 国立研究開発法人防災科学技術研究所 気候変動等に伴い災害が頻発・激甚化する中で、平時から災害に備える総合的防災対策を強化するとともに、災害時対応として、災害・被災情報をきめ細かく予測・収集・共有し、個人に応じた防災・避難支援、自治体による迅速な救助・物資提供、民間企業と連携した応急対応などを行うネットワークを構築する。  楠 浩一  東北大学大学院 工学研究科教授
9 スマートインフラマネジメントシステムの構築 PDF スマートインフラマネジメントシステムの構築に係る検討タスクフォース 国立研究開発法人土木研究所 インフラ・建築物の老朽化が進む中で、デジタルデータにより設計から施工、点検、補修まで一体的な管理を行い、持続可能で魅力ある国土・都市・地域づくりを推進するシステムを構築する。 久田 真  筑波大学 名誉教授 
10 スマートモビリティプラットフォームの構築 PDF スマートモビリティプラットフォームの構築に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 移動する人・モノの視点から、移動手段(小型モビリティ、自動運転、MaaS、ドローン等)、交通環境のハード、ソフトをダイナミックに一体化し、安全で環境に優しくシームレスな移動を実現するプラットフォームを構築する。  石田 東生  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
11 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備 PDF 人協調型ロボティクスの拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 人の生活空間でのロボティクスの利用拡大が見込まれる中で、ドアを開ける、モノを運ぶ、階段を登るなどのタスクに応じて、マニピュレータなどの必要な機能を提供するためのハード・ソフトのプラットフォームを構築するとともに、人へのリスク評価手法などについて検討を行う。  山海 嘉之  筑波大学 システム情報系 教授
筑波大学 サイバニクス研究センター 研究統括
筑波大学 未来社会工学開発研究センター センター長
CYBERDYNE 株式会社 代表取締役社長/CEO
12 バーチャルエコノミー拡大に向けた基盤技術・ルールの整備 PDF バーチャルエコノミー拡大に向けた基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 バーチャルエコノミーが拡大する中で、バーチャル空間での個人認証・プライバシー等のルール、バーチャル空間とつなぐ技術として5感、BMI( Brain Machine Interface)の標準化、バーチャル社会の心身への影響、社会システム設計等が求められている。 GAFAMやITベンチャー等の取組が急速な中、社会制度の設計、技術標準化、セキュリティ等に官民連携で取り組む。  持丸 正明  国立研究開発法人産業技術総合研究所
人間拡張研究センター 研究センター長 
13 先進的量子技術基盤の社会課題への応用促進 - 先進的量子技術基盤の社会課題への応用促進に係る検討タスクフォース 国立研究開発法人量子科学技術研究開発機構 量子コンピュータ、量子センシング、量子セキュリティ・ネットワークと古典コンピュータ等の従来技術システムが連携・一体化したサービス実現は、我が国の産業競争力の強化・社会課題解決等に貢献することが期待されている。また、量子コンピュータの進展による現代暗号技術の危殆化に対応するため、量子暗号技術の社会実装や、量子コンピュータ・センサを接続可能とする量子ネットワークの実現が期待されている。令和4年4月目途に策定される新たな戦略を踏まえ、取り組むべき課題を具体化する。  寒川 哲臣  日本電信電話株式会社先端技術総合研究所 所長 
14 AI・データの安全・安心な利活用のための基盤技術・ルールの整備 PDF AI・データの安全・安心な利活用のための基盤技術・ルールの整備に係る検討タスクフォース 国立研究開発法人新エネルギー・産業技術総合開発機構 AIの利活用の拡大に当たっては、データの品質と計算能力を向上させるとともに、プライバシー、セキュリティ、倫理などが課題として挙げられる。 データの安全・安心な流通を確保しつつ、様々なステークホルダーのニーズに柔軟に対応できるデータ連携基盤を構築することが期待されている。 AI戦略の見直しを踏まえ、取り組むべき課題を具体化する。  宮本 恭幸  東京工業大学工学院電気電子系 教授 
15 マテリアルプロセスイノベーション基盤技術の整備 PDF マテリアルプロセスイノベーション基盤技術の整備に係る検討タスクフォース 国立研究開発法人物質・材料研究機構 マテリアル設計、プロセス設計上のデータ、マテリアルズ・インテグレーション技術やプロセスインフォマティクス技術を適用することで、ニーズに応じた材料を迅速に開発できるイノベーション基盤技術を整備する。  木場 祥介  ユニバーサル マテリアルズ インキュベーター株式会社 代表取締役パートナー 

 

 

 

| | Comments (0)

2022.11.27

個人情報保護委員会 第44回世界プライバシー会議(GPA)結果報告について「顔認識技術における個人情報の適切な利用に関する原則及び期待」

こんにちは、丸山満彦です。

第224回 個人情報保護委員会で、第44回世界プライバシー会議(GPA)結果報告が行われていて、「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議とその委員会による仮訳が公表されていますね。。。

個人情報保護委員会

・2022.11.16 第224回

(1) 第44回世界プライバシー会議(GPA)結果報告について

・[PDF] 資料1―1 第44回世界プライバシー会議(GPA)結果報告

・[PDF] 資料1-2 第44回世界プライバシー会議(GPA)における決議案一覧

・[PDF] 資料1-3 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(英語)

20221127-41354

・[PDF] 資料1-4 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(当委員会仮訳)

20221127-41546

 

the principles and expectations for the appropriate use of personal information in facial recognition technology
顔認識技術における個人情報の適切な利用に関する原則及び期待
1. LAWFUL BASIS 1.法的根拠
Organizations using facial recognition should have a clear lawful basis for the collection and use of biometrics.  顔認識を利用する組織は、バイオメトリクスの収集及び利用のための明確な法的根拠を持つべきである。 
2. REASONABLENESS, NECESSITY AND PROPORTIONALITY 2.合理性、必要性及び比例性
Organizations should establish, and be able to demonstrate, the reasonableness, necessity, and proportionality of their use of facial recognition technology.  組織は、顔認識技術の利用に関する合理性、必要性及び比例性を確立し、証明できるようにするべきである。
3. PROTECTION OF HUMAN RIGHTS 3.人権の保護
Organizations should in particular assess and protect against unlawful or arbitrary interference with privacy and other human rights.  組織は、特に、プライバシー及びその他の人権に対する不法な又は恣意的な干渉を評価し、保護するべきである。 
4. TRANSPARENCY 4.透明性
The use of facial recognition should be transparent to affected individuals and groups.  顔認識の利用は、影響を受ける個人及びグループに対して透明性のあるものにするべきである。 
5. ACCOUNTABILITY 5.責任
The use of facial recognition should include clear and effective accountability mechanisms.  顔認識の利用には、明確で効果的な責任メカニズムを含めるべきである。 
6. DATA PROTECTION PRINCIPLES 6.データ保護原則
The use of facial recognition should respect all data protection principles, including those referenced a 顔認識の利用は、上記で言及した原則を含む、すべてのデータ保護原則を尊重するべきである。 

 

2つ目の議題は、、、

(2) 電気通信事業法に基づく協議について

・[PDF] 資料2―1 電気通信事業法に基づく協議について

・[PDF] 資料2-2 電気通信事業法に基づく協議に対する回答(案) 

・[PDF] 参考 電気通信事業法に基づく協議に対する回答(令和4年11月16日付け個情第1972号)

・[PDF] 資料2-3 電気通信事業法施行規則改正案 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

 

 

顔認識についての記事...

・2022.11.04 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.11.21

経済産業省 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準 (ISO34502) が発行されたことを公表

こんにちは、丸山満彦です。

経済産業省が、ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation frameworkが発行されたことをニュースリリースで公表していますね。。。


自動運転システムの安全性を評価するための手順やシナリオに関する、日本発の国際標準が発行されました。これにより、自動運転システムの安全性と開発効率の向上が期待されます。


とのことです。。。

誤用、人と機械間のインターフェース、サイバーセキュリティに関わる安全関連については、対象外です。。。

 

経済産業省

・2022.11.16 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準が発行されました ~安全で自由に移動できる社会の実現を目指して(ISO 34502)~

 

2. 標準の概要...


本標準は、自動運転システムの安全性を評価する手順や、クリティカルシナリオ(自車にとって危険と認知した場合に即座に安全行動を行う必要がある事象)の導出手法等から構成されております。(図1)

① 安全目標の設定(例えば有能なドライバーより優秀である)
② シナリオ検証範囲の設定(例えば交通参加者の速度範囲等)
③ 危険な事象に至る要因(例えば自車と他車との相対速度や車間距離)及び②シナリオ検証範囲からクリティカルシナリオの特定
④ 安全性試験・評価を実施
⑤ ①で設定した安全目標を達成しているか判断
⑥ ⑤で未達成の場合、自動運転システムの再検討を要求し、①に戻る(反復ループ)

 

 

図1:ISO 34502で規定された安全性評価の全体的な流れ

日本提案の特徴は、クリティカルシナリオの導出手法について、より実現可能な「シナリオベースアプローチ」を提案した点にあります。これは、自動運転システムの各要素を「認知」、「判断」、「操作」の3要素に分解し、それぞれの危険に繋がる事象を体系的に整理する事で、シナリオを漏れなく導出する手法です。(図2)
シナリオの種類が無限に近くなった場合、最適な検証作業に支障をきたしますが、このアプローチによって、安全性保証にとって必要十分なシナリオを、過不足なく検討することが容易になります。

 

図2:シナリオの体系化

なお、ISO/TC22/SC33(ビークルダイナミクス、シャーシコンポーネント、運転自動化システムのテスト)/WG9(自動運転システムのテストシナリオ)においては、安全性を評価するための5つのプロジェクトが、2018年9月からスタートしています。この中でも標準化の主軸は、シナリオに基づく安全性評価フレームワークを構築するプロジェクトでした。このプロジェクトについて、自動運転システムの安全性評価基盤構築に向けて経済産業省が実施しているSAKURAプロジェクト*2の活動成果を活用する事で、日本主導において検討されてISO 34502の発行につながったものです。

 

ISO

ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation framework

ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation framework ISO 34502:2022 道路運送車両-自動運転システムの試験シナリオ-シナリオに基づく安全性評価フレームワーク
This document provides guidance for a scenario-based safety evaluation framework for automated driving systems (ADSs). The framework elaborates a scenario-based safety evaluation process that is applied during product development. The guidance for the framework is intended to be applied to ADS defined in ISO/SAE PAS 22736 and to vehicle categories 1 and 2 according to Reference [10]. This scenario-based safety evaluation framework for ADS is applicable for limited access highways. この文書は、自動運転システム(ADS)のためのシナリオベースの安全性評価フレームワークのためのガイダンスを提供する。このフレームワークは、製品開発時に適用されるシナリオに基づく安全性評価プロセスを精緻化したものである。このフレームワークのガイダンスは、ISO/SAE PAS 22736 で定義された ADS と、文献 [10] による車両カテゴリ 1 と 2 に適用されることを意図している。このシナリオに基づく ADS の安全性評価フレームワークは、アクセス制限のある高速道路に適用されるものである。
This document does not address safety-related issues involving misuse, human machine interface and cybersecurity. 本書は、誤用、ヒューマンマシンインタフェース、サイバーセキュリティに関わる安全関連の問題には言及しない。
This document does not address non-safety related issues involving comfort, energy efficiency or traffic flow efficiency. また、快適性、エネルギー効率、交通流効率など、安全以外の問題についても触れていない。

 

目次概要...

Foreword 序文
Introduction はじめに
1 ​Scope 1 適用範囲
2 ​Normative references 2 引用規格
3 ​Terms and definitions 3 用語と定義
4 ​Test scenario-based safety evaluation process 4 テストシナリオベースの安全性評価プロセス
4.1 ​Integration into the overall development process 4.1 開発プロセス全体への統合
4.2 ​Safety test objectives 4.2 安全性試験の目的
4.3 ​Specification of the relevant scenario space 4.3 関連するシナリオ空間の仕様
4.4 ​Derivation of critical scenarios based on risk factors 4.4 リスク要因に基づく重要シナリオの導出
4.5 ​Derivation of test scenarios based on covering the relevant scenario space 4.5 関連するシナリオ空間をカバーすることに基づくテストシナリオの導出
4.6 ​Derivation of concrete test scenarios and test scenario allocation 4.6 具体的な試験シナリオの導出及び試験シナリオの割当て
4.7 ​Test execution 4.7 試験の実施
4.8 ​Safety evaluation 4.8 安全性評価
Annex 附属書
Annex A Physics principles scenario-based approach 附属書 A 物理原則 シナリオに基づくアプローチ
Annex B Traffic-related critical scenarios 附属書 B 交通関連の重要シナリオ
Annex C Perception-related critical scenarios 附属書 C 知覚に関連するクリティカルシナリオ
Annex E Derivation and structuring of scenarios using criticality analysis 附属書 E 臨界分析を用いたシナリオの導出と構造化
Annex F Qualification of virtual test platforms 附属書 F 仮想テストプラットフォームの適格性評価
Annex G Scenario database and parameter variation methods 附属書 G シナリオデータベースとパラメータ変動法
Annex H Segmentation of test space 附属書 H 試験空間の区分け
Annex I Evaluation of test scenarios based on behavioural safety assessment 附属書 I 行動安全アセスメントに基づくテストシナリオの評価
Annex J Risk evaluation based on positive risk balance 附属書 J ポジティブリスクバランスに基づくリスク評価
Annex K Constrained random testing to identify unknown critical scenarios 附属書 K 未知の重要シナリオを特定するための制約付きランダム試験
Annex L Sufficiency of traffic data to develop parameter ranges 附属書 L パラメータ範囲を開発するためのトラフィックデータの十分性
Bibliography 参考文献

 

Continue reading "経済産業省 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準 (ISO34502) が発行されたことを公表"

| | Comments (0)

2022.11.19

会計検査院 令和3年検査報告(森田検査院長から岸田総理大臣へ) (2022.11.07)

こんにちは、丸山満彦です。

会計検査院が令和3年検査報告を岸田内閣総理大臣にしましたね。検査院長は、私の前職入社時の上司の森田さんです。。。

検査に重点を置く施策

  1. 社会保障
  2. 教育及び科学技術
  3. 公共事業
  4. 防衛
  5. 農林水産業
  6. 環境及びエネルギー
  7. 経済協力
  8. 中小企業
  9. 情報通信(IT)

これからは、もっとテクノロジー目線の検査(森田さんはISACA大阪支部の初期の会員ですからね)とか、サイバーセキュリティの検査も増えるとよいなと思います。。。

検査に重点を置く施策は、昨年度と同じですね。。。

 

会計検査院

・2022.11.07 最新の検査報告

  1. 令和3年度決算検査報告の概要

  2. 令和3年度決算検査報告の本文

  3. 令和3年度決算検査報告の特徴的な案件
  4. [PDF] 会計検査院長談話
  5. [YouTube] 森田会計検査院長が令和3年度決算検査報告について紹介する動画

 


1. 令和3年度決算検査報告の概要

指摘事項は、310件、455億2351万円で、うち不当事項は、265件、104億円3136万円ということのようです。。。

・[PDF] 一括ダウンロード

20221119-05523

 

  1. [PDF] 検査結果の大要

  2. [PDF] 検査の概況

  3. [PDF] 決算の確認

  4. 検査の結果
  5. [PDF] 国の財政等の状況等

 

2. 令和3年度決算検査報告の本文

[PDF] 目次

第1章 検査の概要

 第1節 [PDF] 検査活動の概況
 第2節 [PDF] 検査結果の大要

第2章 [PDF] 決算の確認

第3章 個別の検査結果

 第1節 省庁別の検査結果
 第2節 団体別の検査結果
 第3節 不当事項に係る是正措置等の検査の結果

第4章 国会及び内閣に対する報告並びに国会からの検査要請事項に関する報告等

 第1節 国会及び内閣に対する報告
 第2節 国会からの検査要請事項に関する報告
 第3節 特定検査対象に関する検査状況
 第4節 [PDF] 国民の関心の高い事項等に関する検査状況
 第5節 [PDF] 特別会計財務書類の検査

第5章 [PDF] 会計事務職員に対する検定

第6章 歳入歳出決算その他検査対象の概要

 第1節 [PDF] 検査対象別の概要
 第2節 [PDF] 国の財政等の状況

 


 

3. 令和3年度決算検査報告の特徴的な案件

 

Ⅰ 新型コロナウイルス感染症対策関係経費等に関するもの

 1 新型コロナウイルス感染症対策に関連する各種施策に係る予算の執行状況等
 2 モバイルWi-Fiルータ等の使用状況
 3 新型コロナウイルス感染症対応地方創生臨時交付金による事業の実施
 4 雇用調整助成金等及び休業支援金等の事後確認
 5 Go To トラベル事業における取消料対応費用等の支払
 6 雇用調整助成金の支給額の算定方法
 7 病床確保事業における交付金の過大交付
 8 Go To Eat キャンペーンに係る委託費の算定

Ⅱ 社会保障に関するもの

 9 障害児通所支援事業所における児童指導員等加配加算の算定

Ⅲ 国民生活の安全性の確保に関するもの

 10 社会福祉施設等に整備する非常用設備等の耐震性
 11 防雪柵の設計が適切でなかったもの

Ⅳ 情報通信(IT)に関するもの

 12 生活保護業務における情報提供ネットワークシステムを通じた情報照会の実施状況
 13 DRシステムの活用

Ⅴ 制度・事業の効果等に関するもの

 14 農林水産分野におけるTPP等関連政策大綱に基づく施策の実施状況等

Ⅵ 予算の適正な執行、会計経理の適正な処理等に関するもの

 15 子どもの健康と環境に関する全国調査(エコチル調査)における生化学検査等の業務に係る契約

Ⅶ 資産、基金等のストックに関するもの

16 特定地域中小企業特別資金事業に係る貸付金の規模

Ⅷ その他

17 大口の個人株主等の配当所得に係る確定申告の審理


 

● まるちゃんの情報セキュリティ気まぐれ日記

会計検査院, GAO, NAO等に関する記事...

・2022.11.01 英国 会計監査院 国防のデジタル戦略:初期導入のレビュー

・2022.10.09 米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

・2022.09.27 米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

・2022.09.26 米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

・2022.09.26 米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル(約1兆700億円)サイバーセキュリティも強化項目

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.23 オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年

・2022.04.03 米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.17 英国 会計監査院ブログ 公共分野のサイバーセキュリティに挑む (2022.03.08)

・2022.02.11 米国 GAO 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.27 英国 会計検査院 モデルをレビューするためのフレームワーク

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.15 英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

 

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.28 会計検査院 「政府情報システムに関する会計検査の結果について」

・2021.05.27 U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.02 100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)

↑ 米国連邦政府の内部監査部門の一覧があります。

 

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

↑ 監査計画を立案する際のリスク評価に関係するのでしょうが、参考になるでしょうね。。。

 

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2021.01.14 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

・2020.12.02 U.S. GAO 5Gネットワークの機能と課題 @2020.11.19

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

↑ CDMの話ですね。。。

 

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.30 US-GAO COVID-19 CONTACT TRACING APPSに関するペーパーを出していますね。。。

・2020.07.20 US GAO 連邦政府のIT人材のニーズの優先順位付け

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

↑ 米国連邦政府の内部統制を理解する上で参考になりますね。。。

 

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

↑ GAOと会計検査院の比較表あります

 

・2011.02.20 会計検査院の権限

・2010.12.31 内部監査部門がない政府機関はマネジメントできているのか?

・2010.12.28 会計検査院 都道府県及び政令指定都市における国庫補助事業に係る事務費等の不適正な経理処理等の事態、発生の背景及び再発防止策について

・2010.11.06 会計検査院報告 平成21年度検査報告

・2009.11.28 会計検査院報告 平成20年度検査報告

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.04.27 総務省 地方公共団体における内部統制のあり方に関する研究会最終報告書

・2008.11.22 会計検査院 平成19年度決算検査報告

・2008.04.14 総務省 「地方公共団体における内部統制のあり方に関する研究会」における中間報告(論点整理)の公表

・2007.11.13 会計検査院 平成18年度決算検査報告の概要

・2007.09.01 会計検査院の是正効果は1000億円以上

・2007.08.04 省庁サイバーテロ対策不十分?

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.05.29 会計検査報告書 H17 政府出資法人における内部監査等の状況について

・2007.05.28 会計検査報告書 H17 各府省等におけるコンピュータシステムに関する会計検査の結果について

・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2006.09.23 日本銀行 米・英政府の内部統制

・2006.06.23 パブリックセクターの内部統制

・2006.05.16 有効性を評価し、監査するとは・・・

・2005.11.09 会計検査院 検査結果を首相に提出

・2005.08.04 参議院 会計検査院法改正案可決

・2005.07.21 米国会計検査院 国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告

・2005.06.07 参議院 会計検査院にITシステムの運用に関して重点検査要請

・2005.06.01 米国会計検査院 証券取引委員会の監査結果

・2005.05.31 米国会計検査院 プライバシーに対する配慮不足とRFID使用に警告

・2005.05.31 米国会計検査院 国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

・2005.03.29 会計検査院のウェブページ

 

 

| | Comments (0)

2022.11.17

デジタル庁 デジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会(第2回)

こんにちは、丸山満彦です。

デジタル庁のデジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会(第2回)の資料等が公表されています。。。

日本経済の停滞の原因の一つがデジタル化の遅れ、という感じとなっておりますが、そういう面はあるでしょうね。。。もっと言えば、既得権益者による変革の阻害なのでしょう。。。これは、社会全体においては、民主主義社会における国民の選択の結果でしょうし、会社等においても、資本主義社会における投資家等による選択の結果なのかもしれませんね。。。

民主主義や資本主義というのは、国民や投資家が適切な情報を入手し、合理的な判断ができないと、最適解には辿り着けないわけです。情報の入手するという意味では、例えば、報道の自由、財務諸表等の開示が重要となるでしょうし、合理的な判断という意味では、論理的に考えられる頭脳が必要となるのでしょう。もちろん、生身の人間ですから、実行に移す場合は、感情に対する対応もする必要があるでしょう(ただ、これは手段の話ですが。。。)。

日本人がこれだけ成長できないというのは、相当国民が劣化しているのかもしれませんね。。。

 

第1回の登さんの資料も興味深いです。。。

 

デジタル庁 -  会議等 - デジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会

・2022.11.16 第2回

議事

  1. テクノロジーベースの規制改革推進委員会 今後の議論の方向性及び論点(事務局から説明)
  2. 江崎構成員からの説明
    • 技術マップに関する提案
      ~技術活用におけるセキュリティ等のリスク評価の進め方~
  3. 島田構成員からの説明
    • 東芝が考えるAI品質保証について
  4. 意見交換

資料

・2022.10.03 第1回

 

議事

  1. テクノロジーベースの規制改革推進委員会の開催等について(事務局から説明)
  2. テクノロジーベースの規制改革推進委員会の検討事項等について(事務局から説明)
  3. 登構成員からの説明
    • テクノロジーマップ、技術カタログの在り方について
  4. 意見交換

資料

 



| | Comments (0)

2022.11.11

NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

こんにちは、丸山満彦です。

NISTが、「ホワイトペーパー プロジェクト概要 コンテキストにおけるAI/MLバイアスの緩和 」を公表していますね。。。

まずは、金融の信用取引に焦点を当てるようですね。。。その後、採用や入学、、、にも拡張予定という感じですね。。。

さて、ホワイトペーパーでは、シナリオが4つ示されています。。。

  1. バイアスの検出と緩和のための前処理データセット解析
  2. 統計的バイアスの特定と緩和のためのインプロセス・モデルトレーニング分析
  3. 統計的バイアスの特定と緩和のためのポストプロセス・モデル推論分析
  4. 認知バイアスの特定と緩和のためのHITL (Human-in-the-Loop) 決定フロー

 

NIST - ITL

・2022.11.08 Mitigating AI/ML Bias in Context: Final Project Description Released

Mitigating AI/ML Bias in Context: Final Project Description Released コンテキストにおけるAI/MLバイアスの緩和 :最終プロジェクト概要を公開
The National Cybersecurity Center of Excellence (NCCoE) has released a new final project description, Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems. Publication of this project description continues the process to identify project requirements and scope, along with hardware and software components for use in a laboratory environment. 国立サイバーセキュリティセンター・オブ・エクセレンス(NCCoE)は、新しい最終プロジェクト説明書「AI/MLバイアスを軽減するコンテクスト」を発表した。AIシステムのテスト、評価、検証、および妥当性確認のための実践を確立する。このプロジェクト説明書の発行は、プロジェクトの要件と範囲、および実験室環境で使用するハードウェアとソフトウェアのコンポーネントを特定するプロセスを継続するものである。
Managing bias in an AI system is critical to establishing and maintaining trust in its operation. To tackle this complex problem, this project will adopt a comprehensive socio-technical approach to testing, evaluation, verification, and validation (TEVV) of AI systems in context. This approach will connect the technology to societal values in order to develop recommended guidance for deploying AI/ML decision-making applications. This project will also look at the interplay between bias and cybersecurity. AIシステムのバイアスを管理することは、その運用に対する信頼を確立し維持するために非常に重要である。この複雑な問題に取り組むため、本プロジェクトでは、AIシステムのテスト、評価、検証、妥当性確認(TEVV)に対して、包括的な社会技術的アプローチを採用する予定である。このアプローチは、AI/ML意思決定アプリケーションを展開するための推奨ガイダンスを開発するために、技術を社会的価値と結びつけるものである。また、このプロジェクトでは、バイアスとサイバーセキュリティの相互作用についても検討する予定である。
The initial phase of the project will focus on a proof-of-concept implementation for credit underwriting decisions in the financial services sector. This project will result in a freely available NIST AI/ML Practice Guide. プロジェクトの初期段階では、金融サービス分野における信用引受の意思決定に関する概念実証の実装に焦点を当てる。このプロジェクトは、自由に利用できるNIST AI/ML実践ガイドに結実する予定である。
In the coming months, the NCCoE AI Bias team will be publishing a Federal Register Notice (FRN) based on the final project description. If you are interested in participating in this project with us as a collaborator, you will have the opportunity to complete a Letter of Interest (LOI) where you can present your capabilities. Completed LOIs are considered on a first-come, first-served basis within each category of components or characteristics listed in the FRN, up to the number of participants in each category necessary to carry out the project build. Please stay tuned for more information. 今後数ヶ月の間に、NCCoE AI バイアスチームは、最終的なプロジェクトの説明に基づいて、連邦官報公告(FRN)を発行する予定である。このプロジェクトに共同研究者として参加することに興味がある場合、あなたの能力を提示できるLOI(Letter of Interest)を完成させる機会がある。完成したLOIは、FRNに記載されたコンポーネントや特性の各カテゴリー内で、プロジェクト構築の遂行に必要な各カテゴリーの参加者数を上限として、先着順で検討される。詳細については、後日。

 

・2022.11.08 White Paper [Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems

White Paper [Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems ホワイトペーパー 【プロジェクト概要】AI/MLバイアスを軽減するコンテクスト:AIシステムのテスト、評価、検証、妥当性確認のための実践の確立
Abstract 概要
Managing bias in an AI system is critical to establishing and maintaining trust in its operation. Despite its importance, bias in AI systems remains endemic across many application domains and can lead to harmful impacts regardless of intent. Bias is also context-dependent. To tackle this complex problem, we adopt a socio-technical approach to testing, evaluation, verification, and validation (TEVV) of AI systems in context. This approach connects the technology to societal values in order to develop recommended guidance for deploying AI/ML-based decision-making applications in a sector of the industry. This project will also look at the interplay between bias and cybersecurity. The project will leverage existing commercial and open-source technology in conjunction with the NIST Dioptra, an experimentation test platform for ML datasets and models. The initial phase of the project will focus on a proof-of-concept implementation for credit underwriting decisions in the financial services sector. This project will result in a freely available NIST AI/ML Practice Guide. AIシステムにおけるバイアスを管理することは、その運用に対する信頼を確立し維持するために非常に重要である。その重要性にもかかわらず、AIシステムにおけるバイアスは多くのアプリケーション領域で常在し、意図に関係なく有害な影響をもたらす可能性がある。また、バイアスはコンテキストに依存する。この複雑な問題に取り組むため、我々は、コンテキストにおけるAIシステムのテスト、評価、検証、および妥当性確認(TEVV)に対する社会技術的アプローチを採用する。このアプローチは、AI/MLベースの意思決定アプリケーションを産業の一分野に展開するための推奨ガイダンスを開発するために、技術を社会的価値と結びつける。このプロジェクトでは、バイアスとサイバーセキュリティの相互作用についても検討する。このプロジェクトは、MLデータセットとモデルの実験テストプラットフォームであるNIST Dioptraと連携して、既存の商用およびオープンソースの技術を活用する。プロジェクトの初期段階では、金融サービス分野における信用引受判断のための概念実証の実装に焦点を当てます。 このプロジェクトは、自由に利用できるNIST AI/ML実践ガイドに結実する予定である。

 

・[PDF

20221111-21623

 

 目次...

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions/Challenges 前提条件/課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Pre-process dataset analysis for detecting and managing bias シナリオ1:バイアスの検出と緩和のための前処理データセット解析
Scenario 2: In-process model training analysis for identifying and managing statistical bias シナリオ2:統計的バイアスの特定と緩和のためのインプロセス・モデルトレーニング分析
Scenario 3: Post-process model inference analysis for identifying and managing statistical bias シナリオ3:統計的バイアスの特定と緩和のためのポストプロセス・モデル推論分析
Scenario 4: Human-in-the-loop (HITL) decision flow for identifying and managing cognitive bias シナリオ4:認知バイアスの特定と緩和のためのHITL (Human-in-the-Loop) 決定フロー
3 High-Level Architecture 3 ハイレベルアーキテクチャ
Desired Requirements 望ましい要件
4 Relevant Standards and Guidance 4 関連する規格及びガイダンス
Appendix A References 附属書A 参考文献
Appendix B Acronyms and Abbreviations 附属書B 頭字語および略語

 

エグゼクティブサマリー...

Purpose  目的 
Automated decision-making is appealing because artificial intelligence (AI)/machine learning (ML) systems are believed to produce more consistent, traceable, and repeatable decisions compared to humans; however, these systems come with risks that can result in discriminatory outcomes. For example, harmful biases that manifest in AI/ML-based decision systems in credit underwriting can lead to unfair results, causing impacts such as discrimination to individual applicants and potentially rippling throughout society, leading to distrust of AI-based technology and institutions that rely on it. AI/ML-based credit underwriting applications and the models and datasets that underlie them raise concerns about transparency and the identification and mitigation of bias in enterprises that seek to use ML in their credit underwriting pipeline. Yet ML models tend to exhibit “unexpectedly poor behavior when deployed in real world domains” without domain-specific constraints supplied by human operators, as discussed in NIST Special Publication (SP) 1270, Towards a Standard for Identifying and Managing Bias in Artificial Intelligence [1]. Similar problems exist in other contexts, such as hiring and school admissions.  人工知能(AI)/機械学習(ML)システムは、人間と比較してより一貫性があり、追跡可能で、再現性のある決定を下すと考えられているため、自動化された意思決定は魅力的であるが、これらのシステムには差別的結果をもたらしうるリスクが伴う。例えば、信用調査におけるAI/MLベースの判断システムに現れる有害なバイアスは、不公平な結果をもたらし、個々の申請者に差別などの影響を与え、社会全体に波及し、AIベースの技術やそれに依存する機関への不信につながる可能性がある。AI/MLベースの信用引受アプリケーションとその基盤となるモデルやデータセットは、信用引受パイプラインにMLを使用しようとする企業において、透明性とバイアスの特定および緩和に関する懸念を引き起こする。しかし、MLモデルは、NIST 特別報告書 (SP) 1270, 人工知能におけるバイアスの特定と管理のための標準化に向けて [1] で議論されているように、人間のオペレータによって与えられるドメイン固有の制約なしに「現実世界のドメインに展開されると予想外に悪い動作」を示す傾向にある。同様の問題は、採用や入学試験など、他の文脈でも存在する。 
The heavy reliance on proxies can also be a significant source of bias in AI/ML applications. For example, in credit underwriting an AI system might be developed using input variables such as “length of time in prior employment,” which might disadvantage candidates who are unable to find stable transportation, as a measurable proxy in lieu of the not directly measurable concept of “employment suitability.” The algorithm might also include a predictor variable such as residence zip code, which may relate to other socio-economic factors, indirectly inferring protected attributes, and potentially resulting in the erroneous ranking of certain societal groups lower for receiving credit. This in turn would cause AI/ML systems to contribute to biased outcomes. For further information about how the use of proxies may lead to negative consequences in other contexts, see NIST SP 1270 [1].  また、プロキシへの依存度が高いことも、AI/MLアプリケーションにおけるバイアスの重大な原因となり得る。例えば、信用調査において、「雇用の適性」という直接測定できない概念の代わりに、「前職の期間」のような測定可能な代理変数を使ってAIシステムを開発し、安定した交通手段を見つけられない候補者に不利になる可能性がある。また、アルゴリズムは、居住地の郵便番号などの予測変数を含むかもない。これは、他の社会経済的な要因に関連し、保護された属性を間接的に推測し、特定の社会集団が信用を得るために誤って低くランク付けする結果になる可能性がある。これは、AI/MLシステムが偏った結果をもたらす原因となる。プロキシの使用が他の文脈でどのように否定的な結果をもたらすかについての更なる情報は、NIST SP 1270 [1]を参照すること。 
Bias in AI systems is endemic across many application domains and can lead to harmful impacts regardless of intent. The purpose of this project is to develop domain-specific testing, evaluation, verification, and validation (TEVV) guidance for detecting bias; recommendations for managing and mitigating bias; and recommended practices for human decision makers that interact with AI-based decision systems in the specific context of consumer and small business credit underwriting. These practices can help promote fairer outcomes for those that may currently be negatively impacted by AI-based decision systems—see [1], [2]. In addition, the project aims to study the interactions between bias and cybersecurity, with the goal of identifying approaches which might mitigate risks that exist across these two critical disciplines.  AIシステムにおけるバイアスは、多くのアプリケーション領域で常態化しており、意図に関係なく有害な影響をもたらす可能性がある。このプロジェクトの目的は、バイアスを検出するためのドメイン固有のテスト、評価、検証、およびバリデーション(TEVV)ガイダンス、バイアスを管理および軽減するための推奨事項、ならびに消費者および中小企業の信用査定という特定のコンテキストでAIベースの意思決定システムと対話する人間の意思決定者に対する推奨事項を開発することである。これらの実践は、現在AIベースの意思決定システムから悪影響を受ける可能性のある人々にとって、より公平な結果を促進するのに役立つ。さらに、このプロジェクトは、バイアスとサイバーセキュリティの相互作用を研究し、この2つの重要な分野に存在するリスクを軽減するアプローチを特定することを目的としている。
This project will focus on operational, real-world AI-based decision systems, bias-detection, and bias-mitigation tools. The recommended solution architecture and practices may utilize proprietary vendor products as well as commercially viable open-source solutions. Additionally, the use and application of the NIST Dioptra test platform for testing bias will be investigated with the potential for new extensions providing new insights into the properties of an AI system. The project will include practice descriptions in the form of papers, playbook generation, and implementation demonstrations, which aim to improve the ability and efficiency of organizations to safely and securely deploy AI/ML-based decision-making technology in a specific context of interest. This project will also result in a publicly available NIST AI/ML Practice Guide, a detailed implementation guide of the practical steps needed to implement a reference design that addresses this challenge.  このプロジェクトは、運用可能な実世界のAIベースの意思決定システム、バイアス検出、およびバイアス軽減ツールに焦点を当てる予定である。推奨されるソリューションのアーキテクチャと実践は、独自のベンダー製品だけでなく、商業的に実行可能なオープンソースのソリューションも利用することができる。さらに、バイアスをテストするためのNIST Dioptraテストプラットフォームの使用と応用は、AIシステムの特性に対する新しい洞察を提供する新しい拡張の可能性を持って調査される。このプロジェクトでは、論文の形式による実践の説明、プレイブックの作成、実装のデモンストレーションを行い、組織がAI/MLベースの意思決定技術を特定のコンテキストで安全かつ確実に展開する能力と効率を向上させることを目的としている。また、このプロジェクトは、この課題に対処するリファレンス・デザインの実装に必要な実践的ステップの詳細な実装ガイドである、一般に利用可能なNIST AI/ML実践ガイドを作成する予定である。
Scope  対象範囲 
The initial scope of this project is the consumer and small business credit underwriting use cases. The project will develop appropriate extensions based on third-party tools for automated bias detection and mitigation in this context of interest within the NIST Dioptra test platform. Since fairness metrics are context-specific, it is necessary to develop techniques for identifying metrics and optimizing any tradeoffs within a given real-world context (e.g., credit underwriting) and for contextually assessing gaps in current fairness metrics and processes. The project seeks approaches for how to integrate a variety of contextual factors into the ML pipeline and evaluate how humans reason and make decisions based on model output.  このプロジェクトの最初のスコープは、消費者金融と中小企業の信用調査ユースケースである。このプロジェクトでは、NIST Dioptraテストプラットフォーム内で、この関心事における自動バイアス検出および緩和のためのサードパーティツールに基づく適切な拡張機能を開発する。公平性の指標はコンテキストに依存するため、指標を特定し、与えられた実世界のコンテキスト(例えば、信用引受)内のあらゆるトレードオフを最適化するための技術を開発し、現在の公平性の指標とプロセスのギャップをコンテキストに基づいて評価することが必要である。このプロジェクトでは、様々な文脈的要素をMLパイプラインに統合し、人間がどのように推論し、モデル出力に基づいて意思決定を行うかを評価する方法を模索している。 
Assumptions/Challenges  前提条件/課題 
The following components and assumptions about them are critical for this project:  このプロジェクトでは、以下の構成要素とそれらに関する仮定が重要である。
1.     Dioptra, an extensible framework for AI system testing and evaluation. See the highlevel architecture described in Section 3. We hope to integrate existing tools and capabilities into the Dioptra framework.  1.     Dioptra、AIシステムのテストと評価のための拡張可能なフレームワーク。セクション3で説明されている高レベルのアーキテクチャを参照してください。我々は、既存のツールや機能をDioptraフレームワークに統合することを望んでいる。
2.     Third-party tools for bias detection in context. We are seeking automated tools for unwanted bias detection.  2.     コンテキストにおけるバイアス検出のためのサードパーティツール。不要なバイアス検出のための自動化ツールを求めている。
3.     Test data. We are seeking appropriately defined applicant data, curated by external experts, to be used as test data.  3.     テストデータ。テストデータとして使用する、外部の専門家が監修した適切に定義された応募者データを求めている。
4.     AI/ML models for credit underwriting decisions along with training datasets. We are seeking third-party commercial models from willing collaborators.  4.     信用引受判断のためのAI/MLモデル、およびトレーニングデータセット。協力者の中から、サードパーティの商用モデルを求めている。
5.     Human subjects acting on model output as decision makers in carefully constructed trials for a specific context. 5.     特定の状況下で慎重に構築された試験において、意思決定者としてモデルの出力に基づいて行動する被験者。 
6.     An end-to-end AI/ML-assisted credit underwriting decision system. We are seeking to assemble a context-specific system from components 1 through 5 and evaluate it for detecting harmful impacts stemming from unwanted bias.  6.     エンドツーエンドのAI/ML支援型信用引受意思決定システム。我々は、1~5の構成要素から文脈に応じたシステムを構築し、不要なバイアスに起因する有害な影響を検出するために評価することを求めている。
Background  背景 
NIST developed SP 1270, Towards a Standard for Identifying and Managing Bias in Artificial Intelligence [1], as part of the AI Risk Management Framework [3], which proposes a sociotechnical approach to managing risks from AI-based systems. SP 1270 provides the background for tackling harmful bias within the domain of credit underwriting.  NISTは、AIリスク管理フレームワーク[3]の一環として、SP1270「人工知能におけるバイアスの特定と管理のための標準化に向けて」[1]を開発し、AIベースのシステムからのリスクを管理する社会技術的アプローチを提案している。SP1270は、信用引受の領域内で有害なバイアスに取り組むための背景を提供している。 

 

[1] R. Schwartz et al., Towards a Standard for Identifying and Managing Bias in Artificial Intelligence, NIST Special Publication (SP) 1270, March 2022, 86 pp. Available: https://doi.org/10.6028/NIST.SP.1270.

[2] Equal Credit Opportunity Act. Available: https://www.ftc.gov/legallibrary/browse/statutes/equal-credit-opportunity-act.

[3] AI Risk Management Framework: Second Draft, NIST, August 18, 2022, 36 pp. Available:
https://www.nist.gov/system/files/documents/2022/08/18/AI_RMF_2nd_draft.pdf.

 


NIST- ITL

これは最初に読んでおく方が良いですね。。。ただし、かなりの分量です。。。

Dioptra

こちらも。。。

・2022.03.16 [PDF] NIST SP 1270 Towards a Standard for Identifying and Managing Bias in Artificial Intelligence

20220321-15021

 

 

信用に関する連邦法は...

Federal Trade Commission: FTC

Equal Credit Opportunity Act

 


関連して、

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.19 NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

 

こちらも参考になるかも...

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

・2022.02.08 米国 下院 アルゴリズム説明責任法案 2022


・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.09.24 英国 国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

 

 

 

 

 

| | Comments (0)

2022.11.08

ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

こんにちは、丸山満彦です。

ENISAが2022年版の脅威状況を公開していますね。。。

今年は、なんといってもロシアのウクライナ侵攻がヨーロッパにとっては大きな事件の一つですよね。。。

その影響もあってか、ランサムウェアの被害に加えて、DDoS攻撃のような可用性に影響を及ぼす攻撃が増加したようですね。。。

 

アクターの分類については、次の4つに、

State-sponsored actors 国家支援攻撃者
Cybercrime actors サイバー犯罪者
Hacker-for-hire actors 雇われハッカー
Hacktivists ハクティビスト

 

影響については、次の5つに、

Reputational Impact 風評被害 サイバーインシデントの被害者である企業に対して、ネガティブな報道がなされたり、世間から不利なイメージを持たれたりする可能性
Digital Impact デジタル・インパクト システムの損傷や使用不能、データファイルの破損、データの流出など
Economic Impact 経済的影響 直接的に発生する金銭的損失、重要な資料の紛失や身代金の要求により発生する国家安全保障上の損害など
Physical Impact 物理的影響 従業員、顧客、患者に対するあらゆる種類の傷害や危害
Social Impact)  社会的影響 一般市民への影響、または社会に影響を与える可能性のある広範囲な混乱(例えば、ある国の国民健康システムを混乱させる事件など)

 

攻撃者の動機については、次の4つに、

Monetisation マネタイズ (サイバー犯罪集団が行う)金銭に関連するあらゆる行為
Geopolitics/Espionage 地政学/スパイ活動 知的財産、機密データ、機密データに関する情報を得る(主に国家支援集団により実行される)。 
Geopolitics/Disruption 地政学/破壊 地政学の名目で行われる破壊的行為(主に国家支援集団によって実行される)。
Ideological イデオロギー イデオロギーに裏打ちされた行動(ハクティビズムなど)。

 

に分類しています。

 

● ENISA

プレス発表...

・2022.11.03 Volatile Geopolitics Shake the Trends of the 2022 Cybersecurity Threat Landscape

Volatile Geopolitics Shake the Trends of the 2022 Cybersecurity Threat Landscape 不安定な地政学が2022年のサイバーセキュリティ脅威状況の傾向を揺るがす
With the geopolitical context giving rise to cyberwarfare and hacktivism, alarming cyber operations and malignant cyberattacks have altered the trends of the 10th edition of the Threat Landscape report released today by the European Union Agency for Cybersecurity (ENISA). 地政学的な状況がサイバー戦やハクティビズムを生み出す中、警戒すべきサイバー作戦や悪質なサイバー攻撃により、欧州連合サイバーセキュリティ機関(ENISA)が本日発表した「脅威状況」報告書第10版のトレンドが変化している。
The ENISA Threat Landscape 2022 (ETL) report is the annual report of the EU Agency for Cybersecurity on the state of the cybersecurity threat landscape. The 10th edition covers a period of reporting starting from July 2021 up to July 2022. ENISA 脅威状況 2022(ETL)報告書は、EUサイバーセキュリティ機関がサイバーセキュリティの脅威の状況について毎年発表している報告書である。第10版では、2021年7月から2022年7月までの報告期間を対象としている。
With more than 10 terabytes of data stolen monthly, ransomware still fares as one of the prime threats in the new report with phishing now identified as the most common initial vector of such attacks. The other threats to rank highest along ransomware are attacks against availability also called Distributed Denial of Service (DDoS) attacks. 毎月10テラバイト以上のデータが盗まれているランサムウェアは、新報告書でも依然として主要な脅威の1つであり、フィッシングがそのような攻撃の最も一般的な最初のベクトルであることが確認されている。ランサムウェアと並んで上位にランクされているのが、分散型サービス拒否(DDoS)攻撃と呼ばれる可用性に対する攻撃である。
With more than 10 terabytes of data stolen monthly, ransomware still fares as one of the prime threats in the new report with phishing now identified as the most common initial vector of such attacks. The other threats to rank highest along ransomware are attacks against availability also called Distributed Denial of Service (DDoS) attacks. しかし、地政学的な状況、特にロシアのウクライナ侵攻は、この報告期間中、世界のサイバー領域にとって大きな変化となった。脅威の数は依然として増加しているが、ゼロデイ攻撃やAIを利用した偽情報やディープフェイクなど、より幅広いベクトルが出現していることも確認されている。その結果、より悪質で広範な攻撃が出現し、より大きな被害が発生している。
EU Agency for Cybersecurity Executive Director, Juhan Lepassaar stated that “Today's global context is inevitably driving major changes in the cybersecurity threat landscape. The new paradigm is shaped by the growing range of threat actors. We enter a phase which will need appropriate mitigation strategies to protect all our critical sectors, our industry partners and therefore all EU citizens." EUサイバーセキュリティ庁長官のユーハン・レパサール氏は、次のように述べている。「今日のグローバルな状況は、必然的にサイバーセキュリティの脅威の状況に大きな変化をもたらしている。新たなパラダイムは、脅威の主体が拡大していることによって形成されている。私たちは、すべての重要なセクター、産業界のパートナー、ひいてはすべてのEU市民を守るために、適切な緩和戦略を必要とする段階に入ったのである。」
Prominent threat actors remain the same 脅威の主体には変わりはない
State sponsored, cybercrime, hacker-for-hire actors and hacktivists remain the prominent threat actors during the reporting period of July 2021 to July 2022. 2021年7月から2022年7月の報告期間中、国家による支援、サイバー犯罪、攻撃者に雇われたハッカー、ハクティビストが依然として主要な脅威主体であることに変わりはない。
Based on the analysis of the proximity of cyber threats in relation to the European Union (EU), the number of incidents remains high over the reporting period in the NEAR category. This category includes affected networks, systems, controlled and assured within EU borders. It also covers the affected population within the borders of the EU. 欧州連合(EU)に関連するサイバー脅威の近接性の分析に基づき、NEARカテゴリでは報告期間中、インシデント数が高いままであることがわかる。このカテゴリには、EUの国境内で影響を受けたネットワーク、システム、制御された、保証されたものが含まれる。また、EUの国境内で影響を受けた人々も対象としている。
Threat analysis across sectors 分野横断的な脅威の分析
Added last year, the threat distribution across sectors is an important aspect of the report as it gives context to the threats identified. This analysis shows that no sector is spared. It also reveals nearly 50% of threats target the following categories; public administration and governments (24%), digital service providers (13%) and the general public (12%) while the other half is shared by all other sectors of the economy. 昨年に引き続き、特定された脅威の背景を明らかにするために、セクター間の脅威の分布は報告書の重要な側面となっている。この分析により、どのセクターも被害を免れていないことがわかる。また、脅威の50%近くが、行政および政府(24%)、デジタルサービスプロバイダー(13%)、一般市民(12%)を対象としており、残りの半分は、その他のすべての経済セクターが対象としていることが明らかになっている。
Top threats still standing their grounds 依然として根強い脅威のトップ
ENISA sorted threats into 8 groups. Frequency and impact determine how prominent all of these threats still are. ENISAは、脅威を8つのグループに分類している。これらの脅威は、その頻度と影響度によって、今もなおその勢いが衰えていないことが分かります。
Ransomware: ランサムウェア
60% of affected organisations may have paid ransom demands 被害を受けた組織の60%が身代金要求額を支払った可能性がある。
Malware: マルウェア
66 disclosures of zero-day vulnerabilities observed in 2021 2021年に観測されたゼロデイ脆弱性の公開は66件
Social engineering: ソーシャルエンジニアリング
Phishing remains a popular technique but we see new forms of phishing arising such as spear-phishing, whaling, smishing and vishing フィッシングは依然として人気のある手法であるが、スピアフィッシング、ホワイリング、スミッシング、ビッシングなど、新しい形態のフィッシングが発生している。
Threats against data: データに対する脅威
Increasing in proportionally to the total of data produced データに対する脅威はデータ量に比例して増加
Threats against availability: 可用性に対する脅威
Largest Denial of Service (DDoS) attack ever was launched in Europe in July 2022; 2022年7月に欧州で過去最大のDDoS(サービス拒否)攻撃が発生。
Internet: destruction of infrastructure, outages and rerouting of internet traffic. インターネット:インフラの破壊、停電、インターネットトラフィックの迂回。
Disinformation – misinformation: 偽情報-誤情報
Escalating AI-enabled disinformation, deepfakes and disinformation-as-a-service AIを活用した偽情報、ディープフェイク、偽情報アズ・ア・サービスのエスカレート化
Supply chain targeting: サプライチェーンの標的化
Third-party incidents account for 17% of the intrusions in 2021 compared to less than 1% in 2020 第三者によるインシデントが侵入の17%を占める(2020年は1%未満)。
Contextual trends emerging コンテキストに沿ったトレンドの出現
Zero-day exploits are the new resource used by cunning threat actors to achieve their goals; ・ゼロデイエクスプロイトは、狡猾な脅威主体が目的を達成するために使用する新しいリソースである。
A new wave of hacktivism has been observed since the Russia-Ukraine war. ・ロシア・ウクライナ戦争以降、ハクティビズムの新たな波が観測されている。
DDoS attacks are getting larger and more complex moving towards mobile networks and Internet of Things (IoT) which are now being used in cyberwarfare. ・DDoS攻撃は、モバイルネットワークとモノのインターネット(IoT)に向かってより大きく、より複雑になっており、これらは現在サイバー戦に利用されている。
AI-enabled disinformation and deepfakes. The proliferation of bots modelling personas can easily disrupt the “notice-and-comment” rulemaking process, as well as the community interaction, by flooding government agencies with fake contents and comments. ・AIを利用した偽情報とディープフェイク。 ボットモデリングペルソナの普及は、政府機関に偽のコンテンツやコメントを殺到させ、「通知とコメント」の規則制定プロセスだけでなく、コミュニティの交流も容易に混乱させることができる。
Shifting motivation and digital impact are driving new trends 動機の変化とデジタルインパクトが新たな潮流を生む
An impact assessment of threats reveals 5 types of impact; damages of reputational, digital, economical, physical or social nature. Although for most incidents the impact really remains unknown because victims fail to disclose information or the information remains incomplete. 脅威の影響評価では、風評被害、デジタル被害、経済的被害、物理的被害、社会的被害という5つのタイプの影響が明らかにされている。しかし、被害者が情報を開示しなかったり、情報が不完全であったりするため、ほとんどの事件で実際の被害は不明なままである。
Prime threats were analysed in terms of motivation. The study reveals that ransomware is purely motivated by financial gains. However, motivation for state sponsored groups can be drawn from geopolitics with threats such as espionage and disruptions. Ideology may also be the motor behind cyber operations by hacktivists. 主要な脅威は、動機の観点から分析された。この調査により、ランサムウェアの動機は純粋に金銭的な利益であることが明らかになった。しかし、国家が支援するグループの動機は、スパイ活動や破壊活動などの脅威を伴う地政学から引き出されることがある。また、ハクティビストによるサイバー作戦の背景には、イデオロギーが存在する可能性もある。
Background 背景
The ETL report maps the cyber threat landscape to help decision-makers, policy-makers and security specialists define strategies to defend citizens, organisations and cyberspace. This work is part of the EU Agency for Cybersecurity’s annual work programme to provide strategic intelligence to its stakeholders. ENISA 脅威状況 2022の報告書は、意思決定者、政策立案者、セキュリティ専門家が、市民、組織、サイバースペースを守るための戦略を定義するのに役立つ、サイバー脅威の状況を地図化したものである。この作業は、EUサイバーセキュリティ機関の年次作業プログラムの一部であり、その利害関係者に戦略的な情報を提供するものである。
The report’s content is gathered from open sources such as media articles, expert opinions, intelligence reports, incident analysis and security research reports; as well as through interviews with members of the ENISA Cyber Threat Landscapes Working Group (CTL working group). 本報告書の内容は、メディア記事、専門家の意見、情報報告、インシデント分析、セキュリティ研究報告などのオープンソースや、ENISA Cyber Threat Landscapes Working Group(CTLワーキンググループ)のメンバーへのインタビューを通じて収集されたものである。
The analysis and views of the threat landscape by ENISA is meant to be industry and vendor neutral. Information based on OSINT (Open Source Intelligence) and the work of ENISA on Situational Awareness also helped document the analysis presented in the report. ENISAによる脅威のランドスケープに関する分析および見解は、業界およびベンダーに中立であることを意図している。OSINT(オープンソースインテリジェンス)に基づく情報および状況認識に関するENISAの作業も、本報告書で紹介する分析の文書化に役立った。
Further Information: さらに詳しい情報はこちら
ENISA Threat Landscape 2022 - Infographic ENISA脅威現状2022 - インフォグラフィック
ENISA Threat Landscape Report 2022 ENISA脅威状況報告書2022
ENISA Threat Landscape Report 2021 ENISA脅威状況報告書2021
ENISA Threat Landscape Supply Chain ENISA脅威状況望 サプライチェーン
ENISA Threat Landscape for Ransomware Attacks – May 2021 – June 2022 ENISAランサムウェア攻撃に関する脅威状況 - 2021年5月~2022年6月

 

ENISA Threat Landscape 2022

ENISA Threat Landscape 2022 ENISA脅威状況 2022
This is the tenth edition of the ENISA Threat Landscape (ETL) report, an annual report on the status of the cybersecurity threat landscape. It identifies the top threats, major trends observed with respect to threats, threat actors and attack techniques, as well as impact and motivation analysis. It also describes relevant mitigation measures. This year’s work has again been supported by ENISA’s ad hoc Working Group on Cybersecurity Threat Landscapes (CTL). 本報告書は、サイバーセキュリティの脅威の状況に関する年次報告書「ENISA 脅威状況(ETL)」の第10版にあたる。上位の脅威、脅威、脅威行為者、攻撃手法に関して観察された主要な傾向を特定し、影響や動機の分析も行っている。また、関連する緩和策についても説明している。本年もENISAのサイバーセキュリティ脅威の展望に関するアドホック作業部会(CTL)の支援を受けている。

 

・[PDF] ENISA Threat Landscape 2022

20221108-53120

・[DOCX] 仮訳

 

目次...

1. THREAT LANDSCAPE OVERVIEW 1. 脅威の全体像
2. THREAT ACTOR TRENDS 2. 脅威要因の傾向
3. RANSOMWARE 3. ランサムウェア
4. MALWARE 4. マルウェア
5. SOCIAL ENGINEERING 5. ソーシャルエンジニアリング
6. THREATS AGAINST DATA 6. データに対する脅威
7. THREATS AGAINST AVAILABILITY: DENIAL OF SERVICE 7. 可用性に対する脅威:DoS
8. THREATS AGAINST AVAILABILITY: INTERNET THREATS 8. 可用性に対する脅威:インターネット上の脅威
9. DISINFORMATION- MISINFORMATION 9. 偽情報 - 誤情報
10.SUPPLY CHAIN ATTACKS 10.サプライチェーンへの攻撃
A ANNEX: MAPPING TO MITRE ATT&CK FRAMEWORK 附属書A:Mitre Att&ck フレームワークへのマッピング
B ANNEX: INDICATIVE LIST OF INCIDENTS 附属書B:インシデントの指標となるリスト
C ANNEX: CVE LANDSCAPE 附属書C:CVEランドスケープ
D ANNEX: RECOMMENDATIONS 附属書D:推奨事項

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ENISA過去分...

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

 

脅威状況

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.07.28 ISACA サイバーセキュリティ調査報告2021 Part1 & Part2

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

 

 

| | Comments (0)

2022.11.06

英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

こんにちは、丸山満彦です。

英国政府のデータ倫理・イノベーションセンター(CDEI)が、データ及びAIに対する国民の意識についての経年調査の2回目の報告書を公表していますね。。。

U.K. Government

・2022.11.02 Public attitudes to data and AI: Tracker survey (Wave 2)

 

Public attitudes to data and AI: Tracker survey (Wave 2) データおよびAIに対する国民の意識:トラッカー調査(第2回)
The CDEI has published a report detailing the findings from the second wave of its Public Attitudes Tracker Survey, which monitors how attitudes towards data and AI vary over time, and assesses the drivers of trust in data use. CDEIは、データとAIに対する態度が時系列でどのように変化するかを監視し、データ利用に対する信頼のドライバーを評価する「公共態度トラッカー調査」の第2回の結果を詳述した報告書を発表した。
Details 詳細
The Centre for Data Ethics and Innovation (CDEI) Public Attitudes Tracker Survey monitors how public attitudes towards the use of data and data-driven technologies change over time, as well as assessing the drivers of trust in data use. Building on Wave 1 this second iteration of the survey provides insight into issues including where citizens see the greatest value in data use, where they see the greatest risks, trust in institutions to use data, and preferences for data sharing. This report summarises the second wave (Wave 2) of research and makes comparisons to the first wave (Wave 1). The research was conducted by Savanta ComRes on behalf of the CDEI. データ倫理・イノベーションセンター(CDEI)の公共態度トラッカー調査は、データやデータ駆動型技術の利用に対する国民の態度が時間とともにどのように変化するかを監視し、データ利用に対する信頼の推進要因を評価するものである。本調査は、第1波をベースに、市民がデータ活用に最大の価値を見出す場所、最大のリスクを見出す場所、データ活用のための機関への信頼、データ共有に対する好みなどの問題に関する洞察を提供するものである。本レポートは、第2回調査(Wave 2)の要約と第1回調査(Wave 1)との比較を行っている。 本調査は、CDEIの委託を受け、Savanta ComResが実施したものである。
Key findings 主な調査結果
Health and the economy are perceived as the greatest opportunities for data use. These mirror the areas where the public perceive the biggest issues facing the UK: ‘the economy’ and ‘tax’ have both increased in importance as key issues faced by the UK since the last wave, while health remains a priority issue. 「健康」と「経済」がデータ活用の最大の機会であると認識されている。これらは、国民が英国が直面している最大の問題を認識している分野と一致している。「経済」と「税」は、前回の調査から英国が直面する重要な課題として重要性を増しているが、「健康」は依然として優先度の高い課題である。
Data security and privacy are the top concerns, reflecting the most commonly recalled news stories. UK adults report a slight increase in perceived risks related to data security since December 2021, with ‘data not being held securely/ being hacked or stolen’ and ‘data being sold onto other organisations for profit’ representing the two greatest perceived risks. データのセキュリティとプライバシーは、最もよく想起されるニュースストーリーを反映して、最大の関心事となっている。英国の成人は、2021年12月以降、データセキュリティに関するリスク認識がわずかに増加していると報告しており、「データが安全に保持されていない/ハッキングされたり盗まれたりする」と「データが利益のために他の組織に売却される」が2大リスク認識として挙げられている。
Trust in data actors is strongly related to overall trust in those organisations. While trust in the NHS and academic researchers to use data remains high, a drop in the public’s trust in the government and utility companies and their data practices has been reported since the previous wave. Trust in big technology companies to act in people’s best interest has also fallen since 2021, particularly amongst those who are most positive and knowledgeable about technology. Trust in social media companies remains low. データ関係者への信頼は、それらの組織に対する全体的な信頼と強く関連している。NHSや学術研究者のデータ活用に対する信頼は依然として高いが、政府や電力会社、そのデータ活用に対する国民の信頼は、前回の波から低下していることが報告されている。人々の最善の利益のために行動する大手テクノロジー企業への信頼も2021年以降低下しており、特にテクノロジーに最も肯定的で知識のある人々の間で低下している。ソーシャルメディア企業への信頼は依然として低い。
UK adults do not want to be identifiable in shared data - but will share personal data in the interests of protecting fairness. When it comes to data governance, people want their data to be managed by experts, and for the privacy of their data to be prioritised. 英国の成人は、共有データで個人を特定されることを望んでいない - しかし、公平性を守るためなら個人データを共有する。データガバナンスに関して、人々は自分のデータが専門家によって管理されること、そして自分のデータのプライバシーが優先されることを望んでいる。
While identifiability is the most important criterion driving willingness to share data, the wider UK adult population is willing to share demographic data for the purpose of evaluating systems for fairness towards all groups. The proportion of people who would be comfortable sharing information about their ethnicity, gender, or the region they live in, to enable testing of systems for fairness is 69%, 68% and 61% respectively. In comparison, adults with very low digital familiarity are less comfortable sharing information about their ethnicity (47%), gender or region they live in (both 55%). 識別可能性がデータ共有の意欲を高める最も重要な基準である一方、英国の成人人口は、すべてのグループに対する公正なシステムを評価する目的で、人口統計データを共有することに前向きである。民族、性別、住んでいる地域について、公平性を検証するために情報を共有してもよいと考える人の割合は、それぞれ69%、68%、61%である。一方、デジタルへの親和性が非常に低い成人は、民族(47%)、性別、住んでいる地域(ともに55%)の情報を共有することに抵抗があるようである。
The UK adult population prefers experts to be involved in the review process for how their data is managed. This preference for experts to be involved in decision-making processes related to shared data is stronger among adults with low levels of trust in institutions tested compared to those with high levels of trust. 英国の成人は、自分のデータがどのように管理されるかの検討プロセスに専門家が関与することを希望している。共有データに関連する意思決定プロセスに専門家が関与することを望むこの傾向は、テストされた機関への信頼度が低い成人では、信頼度が高い人に比べてより強くなっている。
People are positive about the added conveniences of AI, but expect strong governance in higher risk scenarios, such as in healthcare and policing. Healthcare is the area in which UK adults expect there to be the biggest changes as a result of AI. 人々は、AIによる利便性の向上には肯定的であるが、医療や警察などリスクの高いシナリオでは強力なガバナンスを期待します。ヘルスケアは、英国の成人がAIの結果として最も大きな変化があると期待している分野である。
Members of the public with very low digital familiarity have low confidence in their knowledge and control over their personal data, with the majority saying that they know little or nothing about how their data is used and collected (76%). Few feel that their data is stored safely and securely (28%). As a result, they are less likely than the wider UK adult population to feel they personally benefit from technology. However, they are reasonably open to sharing data to benefit society, and the majority consider collecting and analysing data to be good for society (57%). デジタルへの親和性が非常に低い一般市民は、自分の個人データに関する知識やコントロールに対する信頼度が低く、大多数が自分のデータがどのように使用・収集されているかについてほとんど知らない(76%)と回答している。また、自分のデータが安全かつセキュアに保管されていると感じている人はほとんどいません(28%)。その結果、英国の成人人口に比べ、テクノロジーから個人的に恩恵を受けていると感じる割合が低くなっている。しかし、社会に役立つデータの共有には積極的で、データの収集と分析は社会にとって良いことだと考えている人が大半である(57%)。
Next steps 次のステップ
The CDEI has published the raw survey data and data tables alongside the report summarising the findings of this iteration of the tracker survey. This survey, alongside other qualitative and quantitative research at CDEI, provides an evidence base which sits at the heart of our work on responsible innovation. For example, the survey’s research findings on demographic data will inform work to support organisations to access demographic data to monitor their products and services for algorithmic bias. To sign up for updates about future waves for the survey, click here. CDEIは、今回のトラッカー調査の結果をまとめた報告書とともに、調査の生データとデータテーブルを公開した。本調査は、CDEIの他の定性・定量調査とともに、責任あるイノベーションに関する我々の活動の中核となるエビデンスベースを提供するものである。例えば、人口統計データに関する本調査の結果は、アルゴリズムによる偏りがないか製品やサービスを監視するために人口統計データにアクセスする組織を支援するための作業に反映される。本調査の今後の波に関する最新情報を入手するには、ここをクリック。

 

報告書...

Public attitudes to data and AI: Tracker survey (Wave 2)

目次...

Contents 目次
1.Foreword 1.まえがき
2.Executive summary 2.エグゼクティブサマリー
3.Overview 3.概要
4.The value of data for society 4.社会にとってのデータの価値
5.Risks related to data and its portrayal in the media 5.データに関するリスクとメディアにおけるその描写
6.Trust in data actors 6.データ利用者への信頼
7.Public preferences for data governance 7.データガバナンスに対する社会的嗜好
8.Public preferences for data sharing 8.データ共有に対する国民の嗜好
9.The future of AI and AI governance 9.AIとAIガバナンスの将来
10.Attitudes of those with very low digital familiarity 10.デジタルへの親和性が極めて低い人の意識
11.Methodology 11.方法論
12.Annex: Regression models 12.附属書:回帰モデル

 

2. Executive summary 2. エグゼクティブサマリー
Below is a summary of the key findings of this Wave 2 report (June - July 2022), and how these findings differ from Wave 1 (November - December 2021): 以下、本Wave2レポート(2022年6月~7月)の主な調査結果、およびWave1(2021年11月~12月)との違いをまとめている。
1. Health and the economy are perceived as the greatest opportunities for data use. 1. 健康と経済がデータ活用の最大の機会として認識されている。
‘Health’ and ‘the economy’ represent the greatest perceived opportunities for data to be used for public benefit. These mirror the areas where the public perceive the biggest issues facing the UK: ‘the economy’ and ‘tax’ have both increased in importance as key issues faced by the UK since the last wave, while health remains a priority issue. In general, UK adults remain broadly optimistic about data use, with reasonably high agreement that data is useful for creating products and services that benefit individuals, and that collecting and analysing data is good for society. Nevertheless, it is important to recognise that differences persist across population groups, with younger people, and those within higher socio-economic grades, seeing various aspects of data use in a more positive light. 「健康」と「経済」は、データが公共の利益のために利用される最大の機会であると認識されていることを表している。これらは、国民が英国が直面している最大の問題を認識している分野を反映している。経済」と「税」は、前回の波から英国が直面する重要な問題として重要性を増しており、「健康」は依然として優先度の高い問題である。一般に、英国の成人はデータ利用について概ね楽観的であり、データは個人の利益となる製品やサービスを生み出すのに有用であり、データの収集と分析は社会にとって良いことであるという点で、かなり高い同意が得られている。しかし、若年層や社会経済的な地位の高い人々は、データ活用の様々な側面をより肯定的に捉えており、人口集団によって違いがあることを認識することが重要である。
2. Data security and privacy are the top concerns, reflecting the most commonly recalled news stories. 2. データのセキュリティとプライバシーが最大の懸念事項であり、最もよく想起されるニュースストーリーを反映している。
UK adults report a slight increase in perceived risks related to data security since December 2021, with ‘data not being held securely / being hacked or stolen’ and ‘data being sold onto other organisations for profit’ representing the two greatest perceived risks. These concerns are reflected in the news stories that people recall about data, resulting in a predominantly negative overall recall. At the same time, the UK adult population expresses low confidence that concerns related to data are being addressed. 英国の成人は、2021年12月以降、データセキュリティに関するリスク認識がわずかに増加しており、「データが安全に保持されていない/ハッキングや盗難にあう」、「データが他の組織に売られて利益を得る」の2つが最も大きなリスク認識となっている。これらの懸念は、人々がデータについて思い出すニュースストーリーにも反映されており、結果として全体的にネガティブな想起が多くなっている。同時に、英国の成人人口は、データに関連する懸念が対処されていることに低い信頼感を示している。
3. Trust in data actors is strongly related to overall trust in those organisations. 3. データ関係者に対する信頼は、それらの組織に対する全体的な信頼と強く関連している。
Trust in actors to use data safely, effectively, transparently, and with accountability remains strongly related to overall trust in those organisations to act in one’s best interests. This is therefore affected by other events which impact on the level of trust in those organisations (such as public discussions about the current energy crisis, and mismanagement of sewage affecting public trust in utility companies). While trust in the NHS and academic researchers to use data remains high, a drop in the public’s trust in the government and utility companies and their data practices has been reported since the previous wave. Trust in big technology companies to act in people’s best interest has also fallen since 2021, particularly amongst those who are most positive and knowledgeable about technology. Trust in social media companies remains low. データを安全に、効果的に、透明性をもって、そして説明責任をもって利用する行為者に対する信頼は、自分の利益のために行動するそれらの組織に対する全体的な信頼と強い関連性を保っている。したがって、これは、それらの組織に対する信頼のレベルに影響を与える他の出来事(現在のエネルギー危機に関する公的な議論や、公益事業会社に対する国民の信頼に影響を与える下水の不始末など)の影響を受けることになる。NHSと学術研究者のデータ活用に対する信頼は依然として高いが、政府と電力会社とそのデータ活用に対する国民の信頼は、前回の波から低下していることが報告されている。人々の最善の利益のために行動する大手テクノロジー企業への信頼も2021年以降低下しており、特にテクノロジーに最も肯定的で知識のある人々の間で低下している。ソーシャルメディア企業への信頼は依然として低い。
4. UK adults do not want to be identifiable in shared data - but will share personal data in the interests of protecting fairness. 4. 英国の成人は、共有データで個人を特定されることを望んでいない - しかし、公平性を守るためなら個人データを共有する。
When it comes to data governance, people want their data to be managed by experts, and for the privacy of their data to be prioritised. ‘Identifiability’ stands out as the most important consideration for an individual to be willing to share data, and UK adults express a clear preference that they are not personally identifiable in data that is shared. People also express a preference for experts to be involved in the decision-making process for data sharing, over a public or self-assessed review. データガバナンスに関して、人々は自分のデータが専門家によって管理されること、そして自分のデータのプライバシーが優先されることを望んでいる。個人がデータを共有する際に最も重要視されるのは「識別可能性」であり、英国の成人は、共有されるデータから個人を特定できないようにすることを明確に希望している。また、データ共有の意思決定プロセスには、公開レビューや自己評価よりも、専門家が関与することを希望していることが示されている。
While identifiability is the most important criterion driving willingness to share data, the wider UK adult population is willing to share demographic data for the purpose of evaluating systems for fairness towards all groups. The proportion of people who would be comfortable sharing information about their ethnicity, gender, or the region they live in, to enable testing of systems for fairness is 69%, 68% and 61% respectively. In comparison, adults with very low digital familiarity are less comfortable sharing information about their ethnicity (47%), gender or region they live in (both 55%). 識別可能性がデータ共有の意欲を高める最も重要な基準である一方、英国の成人人口は、すべてのグループに対して公平なシステムを評価する目的で、人口統計データを共有することを望んでいる。民族、性別、住んでいる地域に関する情報を、システムの公平性を検証するために共有してもよいと考える人の割合は、それぞれ69%、68%、61%である。これに対し、デジタルへの親和性が非常に低い成人は、民族(47%)、性別、住んでいる地域(ともに55%)に関する情報を共有することに抵抗があるようである。
5. The UK adult population prefers experts to be involved in the review process for how their data is managed. 5. 英国の成人は、自分のデータがどのように管理されるかの検討プロセスに専門家が関与することを好む。
Out of all types of governance tested, people value the involvement of experts in the review process over the involvement of the public, self-assessed review, or no review, suggesting that the public prefers to delegate decisions around data management to professionals skilled in this field. This preference for experts to be involved in decision-making processes related to shared data is stronger among adults with low levels of trust in institutions tested compared to those with high levels of trust. テストしたすべてのガバナンスの種類のうち、人々は、一般人の関与、自己評価によるレビュー、レビューなしよりも、レビュープロセスへの専門家の関与を重視しており、一般人は、データ管理に関する決定をこの分野に精通した専門家に委ねることを好むことが示唆されている。このように、共有データに関連する意思決定プロセスに専門家が関与することを好む傾向は、テストした機関への信頼度が低い成人の方が、信頼度が高い人と比べてより強くなっている。
6. People are positive about the added conveniences of AI, but expect strong governance in higher risk scenarios. 6. 人々はAIの付加的な利便性には肯定的だが、よりリスクの高いシナリオでは強力なガバナンスを期待する。
The UK adult population has a positive expectation that AI will improve the efficiency and effectiveness of regular tasks. However, public views are split on the fairness of the impact of AI on society, and on the effect AI might have on job opportunities. People have higher demands for governance in AI use cases that are deemed higher risk or more complex, such as in healthcare and policing. Healthcare is the area in which UK adults expect there to be the biggest changes as a result of AI. However, overall AI still ranks fairly low against other societal concerns, signalling this is not yet a front of mind topic or concern for people. 英国の成人人口は、AIが通常の作業の効率と効果を向上させることに肯定的な期待を持っている。しかし、AIが社会に与える影響の公平性や、AIが仕事の機会に与える影響については、国民の意見が分かれている。ヘルスケアや警察など、リスクが高い、あるいはより複雑とされるAIのユースケースにおいて、人々はより高いガバナンスを要求している。ヘルスケアは、英国の成人がAIによって最も大きな変化があると期待している分野である。しかし、全体的なAIは、他の社会的な懸念に対してまだかなり低いランクにあり、これはまだ人々の頭の中にあるトピックや懸念ではないことを示している。
7. Those with very low digital familiarity express concerns about the control and security of their data, but are positive about its potential for society. 7. デジタルへの親和性が非常に低い人は、自分のデータの管理やセキュリティに懸念を示す一方で、社会的な可能性については肯定的である。
Members of the public with very low digital familiarity have low confidence in their knowledge and control over their personal data, with the majority saying that they know little or nothing about how their data is used and collected (76%). Few feel that their data is stored safely and securely (28%). As a result, they are less likely than the wider UK adult population to feel they personally benefit from technology. However, they are reasonably open to sharing data to benefit society, and the majority consider collecting and analysing data to be good for society (57%). デジタルへの親和性が非常に低い人々は、自分の個人データに関する知識やコントロールに対する自信が低く、大多数が自分のデータがどのように使用・収集されているかほとんど知らないと回答している(76%)。また、自分のデータが安全かつセキュアに保管されていると感じている人はほとんどいません(28%)。その結果、英国の成人人口に比べ、テクノロジーから個人的に恩恵を受けていると感じる割合が低くなっている。しかし、社会に役立つデータの共有には寛容で、データの収集や分析は社会にとって良いことだと考えている人が大半である(57%)。

 

・[PDF] Dashboard of key metrics from the tracker survey

20221105-71811

 

・[xlsx] CDEI PADAI Tracker - Wave 2 - CATI - Weighted data tables

・[xlsx] CDEI PADAI Tracker - Wave 2 - CAWI - Weighted data tables

・[xlsx] CDEI PADAI Tracker - Wave-on-Wave (W1-W2) - CAWI - Weighted data tables

・[xlsx] CDEI PADAI Tracker - Wave 2 - CATI - Raw data

・[xlsx] CDEI PADAI Tracker - Wave 2 - CAWI - Raw data

 

 

 


 

Wave1

U.K. Government

・2022.03.30 Public attitudes to data and AI: Tracker survey

・[PDF] Public attitudes to data and AI: Tracker survey

20221105-225709

・ Tracker survey: Polling data

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

Centre for Data Ethics and Innovation’s: CDEI

・2022.08.22 英国政府 データ倫理・イノベーションセンター「自動運転車における責任あるイノベーション」

・2022.06.26 英国 国防AI戦略 (2022.06.15)

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.09.11 英国 Ada Lovelace 協会 「参加型データスチュワードシップ - データの利用に人々を参加させるためのフレームワーク」

・2021.07.19 U.K. プライバシー強化技術:採用ガイド β版 by デジタル・文化・メディア・スポーツ省 データ倫理・イノベーションセンター

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

 

| | Comments (0)

2022.11.04

インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)

こんにちは、丸山満彦です。

インターポール国連地域間犯罪司法研究所オランダ警察世界経済会議が、顔認識技術を利用した捜査について、政策立案者、法執行機関に向けた実用的なガイダンスを作ろうという感じですかね。。。昨年に引き続いてです。。。

原則...

1 Respect for human and fundamental rights  1 人権及び基本的人権の尊重 
2 Necessary and proportional use  2 必要かつ比例的な使用 
3 Human oversight and accountability  3 人間の監視と説明責任 
4 Optimization of system performance  4 システム性能の最適化 
5 Mitigation of error and bias 5 エラーとバイアスの軽減
6 Legitimacy of probe images and reference databases 6 プローブ画像および参照データベースの正当性
7 Integrity of images and metadata 7 画像およびメタデータの完全性
8 Skilled human interface and decision-making 8 熟練したヒューマンインターフェースと意思決定
9 Transparency 9 透明性

 

World Economic Forum - Whitepaper

・2022.11.03 A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations (Revised 2022)

A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations (Revised 2022) 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)
The World Economic Forum’s governance framework for the responsible use of facial recognition in law enforcement investigations addresses the need for a set of concrete guidelines to ensure the trustworthy and safe use of this technology. Following the release of the first draft in October 2021, six law enforcement agencies undertook an exercise to pilot the policy framework in order to review and validate its utility and completeness. 世界経済フォーラムの「法執行における顔認識の責任ある使用のためのガバナンスフレームワーク」は、この技術の信頼できる安全な使用を保証するための一連の具体的なガイドラインの必要性に対処している。2021年10月に最初のドラフトが発表された後、6つの法執行機関が、その実用性と完全性を検討し検証するために、政策フレームワークを試験的に導入する演習を実施した。
Drawing from the feedback and learnings of the pilots, the World Economic Forum has published a revised version of the policy framework that is actionable, relevant and useable in an operational law enforcement context. It includes a set of principles that defines in practical terms what constitutes the responsible use of facial recognition in law enforcement investigations and a self-assessment questionnaire used to support law enforcement agencies in effectively implementing these proposed principles. パイロット版のフィードバックと学習から、世界経済フォーラムは、実用的で関連性が高く、法執行の運用状況において使用可能な政策フレームワークの改訂版を発表した。このフレームワークには、法執行機関の捜査における顔認識の責任ある利用を構成するものを実践的に定義する一連の原則と、法執行機関がこれらの原則案を効果的に実施するのを支援するために用いられる自己評価アンケートが含まれている。

 

・[PDF] A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations INSIGHT REPORT REVISED NOVEMBER 2022

20221104-13238

目次...

Foreword 序文
Introduction はじめに
Methodology 方法論
1 Law enforcement investigations: use cases and definitions 1 法執行機関の調査:ユースケースと定義
2 Principles 2 原則
3 Self-assessment questionnaire 3 自己評価アンケート
Conclusion まとめ
Glossary 用語解説
Contributors 協力者
Endnotes 巻末資料

 

はじめに...

Introduction はじめに
Over the past decade, progress in artificial intelligence (AI) and sensors has fuelled the development of facial recognition technology (FRT) – software capable of matching a human face from a digital image or a video frame against a database of facial images. This has led to its rapid adoption in various industries, including law enforcement, transportation, healthcare and banking.  過去10年間、人工知能(AI)とセンサーの進歩により、顔認識技術(FRT)、つまりデジタル画像やビデオフレームから人間の顔を顔画像のデータベースと照合できるソフトウェアの開発が促進された。このため、法執行機関、交通機関、ヘルスケア、銀行など、さまざまな産業で急速に採用が進んでいる。
The development of FRT presents considerable opportunities for socially beneficial uses. For instance, it can find application in face-unlock mechanisms in mobile devices, in granting access to concerts and sporting events, and in attendance-tracking for employees and students. But it also creates unique challenges. To fully grasp these challenges and the trade-offs they may entail and to build appropriate governance processes, it is necessary to approach FRT deployment by examining specific applications. Indeed, passing through an airport border control with face identification, using face-based advertising in retail or employing facial recognition solutions for law enforcement investigations involves very different benefits and risks.  顔認識技術の開発は、社会的に有益な利用機会を提供するものである。例えば、携帯端末のロック解除、コンサートやスポーツイベントの入場許可、社員や学生の出席管理などに応用できる。しかし、その一方で、ユニークな課題もある。これらの課題やトレードオフを十分に把握し、適切なガバナンスプロセスを構築するためには、具体的なアプリケーションを検討しながら顔認識技術の展開に取り組む必要があります。実際、空港の国境警備を顔認証で通過すること、小売業で顔ベースの広告を使うこと、法執行機関の捜査に顔認証ソリューションを採用することは、全く異なる利益とリスクを伴いる。
To ensure the trustworthy and safe deployment of this technology across domains, the World Economic Forum has spearheaded a global and multistakeholder policy initiative to design robust governance frameworks. The Forum launched the first workstream in April 2019, focusing on flow management applications1 – replacing tickets with facial recognition to access physical premises or public transport, such as train platforms or airports. This workstream was concluded in December 2020 with the release of a tested assessment questionnaire by Tokyo-Narita Airport, an audit framework and a certification scheme co-designed with AFNOR Certification (Association Française de Normalisation).2 In November 2020, the second workstream was launched, focused on the law enforcement context – supporting the identification of a person by comparing a probe image to one or multiple reference databases to advance a police investigation. While law enforcement has been using biometric data, such as fingerprints or DNA, to conduct investigations, FRT is a new opportunity and challenge for law enforcement. 世界経済フォーラムは、この技術の信頼性と安全性を確保するために、グローバルかつマルチステークホルダーによる政策イニシアチブを主導し、強固なガバナンスの枠組みを設計している。フォーラムは2019年4月に最初のワークストリームを立ち上げ、フロー管理アプリケーション1、すなわち鉄道プラットフォームや空港などの物理的な敷地や公共交通機関にアクセスするためにチケットを顔認証に置き換えることに焦点を当てた。このワークストリームは、2020年12月に東京成田空港によるテスト済みの評価アンケート、監査フレームワーク、AFNOR認証(Association Française de Normalisation)と共同設計した認証スキームを発表して終了しました2。2020年11月には、警察による捜査を進めるためにプローブ画像を一つまたは複数の参照データベースと比較して個人の識別をサポートする、法執行機関のコンテキストに焦点を当てた第2のワークストリームが開始された。法執行機関は、これまで指紋やDNAなどのバイオメトリクスデータを利用して捜査を行ってきましたが、顔認識技術は法執行機関にとって新たな機会であると同時に課題でもあります。
In terms of challenges, use by law enforcement raises multiple public concerns, primarily because of the potentially devastating effects of system errors or misuses in this domain. A study conducted in 2019 by the National Institute of Standards and Technology (NIST) showed that, although some facial recognition algorithms had “undetectable” differences in terms of accuracy across racial groups, others exhibit performance deficiencies based on demographic characteristics such as gender and race.3 Law enforcement agencies should be aware of these potential performance deficiencies and implement appropriate governance processes to mitigate them. In doing so, they would limit the risk of false positives or false negatives and possible wrongful arrests of individuals based on outputs from an FRT system. Failure to build in such processes could have dramatic consequences. For example, in 2018 in the United States, an innocent African American man was arrested and held in custody as a result of being falsely identified as a suspect in a theft investigation in which FRT was used.4 In addition to hampering rights such as the presumption of innocence, and the right to a fair trial and due process, the use of FRT by law enforcement agencies can also undermine freedom of expression, freedom of assembly and association, and the right to privacy.5 課題という点では、法執行機関による利用は、主にこの領域でのシステムエラーや誤用がもたらす壊滅的な影響の可能性から、複数の公共の懸念を引き起こします。米国国立標準技術研究所(NIST)が2019年に実施した研究によると、顔認識アルゴリズムの中には、人種間の精度に「検出できない」差があるものもあるが、性別や人種などの人口統計学的特徴に基づいて性能欠陥を示すものもある3。 法執行機関は、こうした潜在的性能欠陥を認識して、それを軽減するための適切なガバナンスプロセスを導入すべきである。そうすることで、顔認識技術 システムからの出力に基づく個人の偽陽性または偽陰性および可能な限りの誤った逮捕のリスクを制限することができる。このようなプロセスを組み込むことに失敗すると、劇的な結果を招く可能性がある。例えば、2018年に米国で、無実のアフリカ系アメリカ人男性が、顔認識技術が使用された窃盗捜査の容疑者として誤認された結果、逮捕・拘束された4。推定無罪、公正な裁判と適正手続を受ける権利などの権利を阻害することに加え、法執行機関による顔認識技術の使用は、表現の自由、集会と結社の自由、プライバシー権を損なう可能性もある5。
These concerns have led to intensified policy activity globally. In the US alone, some local and state governments have banned the use of FRT by public agencies, including law enforcement. Major cities such as San Francisco,6 Oakland7 and Boston8 have adopted such measures. At the state level, Alabama,9 Colorado,10 Maine,11 Massachusetts,12 Virginia13 and Washington14 have all introduced legislation to regulate its use. Finally, at the federal level, various bills15 – including most recently the Facial Recognition Act of 2022, introduced in September 202216 – have been proposed to regulate FRT but none of them has been adopted to this date. このような懸念から、世界的に政策活動が活発化している。米国だけでも、いくつかの自治体や州政府は、法執行機関を含む公的機関による顔認識技術の利用を禁止している。サンフランシスコ6、オークランド7、ボストン8などの主要都市では、このような措置がとられている。州レベルでは、アラバマ州9、コロラド州10、メイン州11、マサチューセッツ州12、バージニア州13、ワシントン州14が、その使用を規制する法律を制定している。最後に、連邦レベルでは、様々な法案15-直近では2022年9月に提出された「2022年顔認識法」16-が顔認識技術規制のために提案されているが、現在までに採択されたものはない。
Furthermore, large US technology companies have also formulated positions on this topic. In the wake of a series of events in 2020 that increased distrust toward police agencies in the US and worldwide, including the Clearview AI controversy,17 IBM announced that it will no longer offer, develop or research FRT, while Microsoft pledged to stop selling FRT to law enforcement agencies in the US until federal regulation was introduced.18 In 2022, Microsoft went further, putting new limits and safeguards on all uses of FRT as part of a broader set of AI principles.19 In 2021, Amazon Web Services (AWS) also extended its moratorium on police use of its platform Rekognition, which it originally imposed in 2020.20 さらに、米国の大手テクノロジー企業もこのテーマに関するポジションを策定している。2020年にクリアビューAI論争17など、米国や世界で警察機関への不信感が高まる出来事が相次いだことを受け、IBMは今後顔認識技術の提供、開発、研究を行わないことを発表し、マイクロソフトは連邦規制が導入されるまで米国内の法執行機関への顔認識技術販売を停止すると公約している18。2022年、マイクロソフトはさらに踏み込んで、より広範なAI原則の一環として、FRTのすべての用途に新たな制限と保護措置を導入した19。2021年には、アマゾンウェブサービス(AWS)も、2020年に課したプラットフォームRekognitionの警察利用に対するモラトリアムを延長している20。
In other jurisdictions, policy-makers are attempting to limit police use of FRT to very specific use cases associated with robust accountability mechanisms to prevent potential errors that may lead to wrongful arrests. That is the direction proposed by the European Commission, which in 2021 released its draft of an Artificial Intelligence Act21 – a comprehensive regulatory proposal that classifies AI applications under four distinct categories of risk subject to specific requirements.22 This proposal includes provisions on remote biometric systems, which include FRT. It states that AI systems intended to be used for the “real-time” and “post” remote biometric identification of natural persons represent high-risk applications and would require an ex ante conformity assessment of tech providers before getting access to the European Union market and an ex post conformity assessment while their systems are in operation. Moreover, “real-time” remote biometric identification systems in publicly accessible spaces for the purpose of law enforcement are prohibited unless they serve very limited exceptions related to public safety (e.g. the prevention of imminent terrorist threats or a targeted search for missing persons). In order to enter into force, however, the European Commission’s proposal will first need to be adopted by the European Union parliament and the Council of the European Union. 他の法域では、政策立案者は、警察のFRTの利用を、誤認逮捕につながる可能性のある誤りを防ぐための強固な説明責任の仕組みに関連した非常に特定のユースケースに限定しようとしている。これは、欧州委員会が2021年に発表した人工知能法21の草案で、AIアプリケーションを特定の要件の対象となる4つの異なるリスク・カテゴリーに分類する包括的な規制案である22。この提案には、FRTを含む遠隔生体認証システムに関する条項が含まれている。この提案は、自然人の「リアルタイム」および「ポスト」遠隔生体認証に使用することを意図したAIシステムは高リスクのアプリケーションであり、EU市場へのアクセスを得る前に技術提供者の事前適合性評価を、システムが運用されている間は事後適合性評価を必要とするとしている。さらに、公共の安全に関する非常に限定的な例外(差し迫ったテロの脅威の防止や行方不明者の捜索など)を除いて、法執行を目的とした公共のアクセス空間での「リアルタイム」遠隔生体認証システムは禁止されている。ただし、発効するためには、まず欧州委員会の提案が欧州連合議会および欧州連合理事会で採択される必要がある。
At the United Nations, a similar approach is emerging, with the Office of the High Commissioner for Human Rights (OHCHR) presenting a report23 in 2021 to the Human Rights Council on the right to privacy in the digital age, in which it recommends banning AI applications that cannot be used in compliance with international human rights law. With specific respect to the use of FRT by law enforcement, national security, criminal justice and border management, the report stated that remote biometric recognition dramatically increases the ability of State authorities to systematically identify and track individuals in public spaces, undermining the ability of people to go about their lives unobserved and resulting in a direct negative effect on the exercise of the rights to freedom of expression, of peaceful assembly and of association, as well as freedom of movement. The report also reiterates calls for a moratorium on the use of remote biometric recognition in public spaces, at least until authorities can demonstrate that there are no significant issues with accuracy or discriminatory impacts, and that these AI systems comply with robust privacy and data protection standards. 国連でも、同様のアプローチが生まれつつあり、人権高等弁務官事務所(OHCHR)は、2021年に人権理事会でデジタル時代のプライバシー権に関する報告書23を提出し、国際人権法を遵守して使用できないAIアプリケーションを禁止するよう勧告している。法執行、国家安全保障、刑事司法、国境管理による顔認識技術の利用に関して、報告書は、遠隔生体認証は、国家当局が公共空間で個人を体系的に特定し追跡する能力を劇的に高め、人々が人知れず生活する能力を損ない、結果として表現の自由、平和集会および結社の権利、ならびに移動の自由の行使に直接悪影響を及ぼすとしている。また、この報告書は少なくとも当局が、精度や差別的影響に大きな問題がなく、これらのAIシステムが強固なプライバシーおよびデータ保護基準に準拠していることを証明できるまでは、公共の場での遠隔生体認証の使用を一時停止するよう再度要求している。

Courts have also started to play an important role in shaping the policy agenda on FRT. In 2021, the São Paulo Court of Justice in Brazil blocked24 the deployment of FRT in the public transport system. This was perceived as a major victory by civil rights organizations that oppose the increasing use of FRT by public agencies. In a similar case in the UK, while the Court of Appeal found that the deployment of automated FRT by the police did have a legal basis for use in common law, its use by the South Wales Police at certain events and public locations was unlawful because it did not sufficiently define who could be on a watch list and where it could be used.25 裁判所も、顔認識技術に関する政策課題の形成に重要な役割を果たし始めている。2021年、ブラジルのサンパウロ裁判所は、公共交通システムへの顔認識技術の配備を阻止24しました。これは、公共機関による顔認識技術の利用拡大に反対する市民権団体による大きな勝利と受け止められた。また、英国では、警察による自動運転顔認識技術の配備はコモンロー上の法的根拠があるとする一方、サウスウェールズ警察による特定のイベントや公共の場での使用は、誰が監視リストに載り、どこで使用できるかが十分に定義されていないため違法であるとした25。
In some countries, governments have adopted a cautious approach. That has been the case in the Netherlands. In 2019, the Minister of Justice and Security addressed a letter to members of parliament informing them about the existing uses of FRT by law enforcement agencies and reaffirming his support for robust governance processes in relation to this sensitive technology.26 Further, he argued that the existing legal framework and safeguards, both technical and organizational, are sufficiently robust to ensure the responsible use of FRT by law enforcement agencies. Nevertheless, he requested additional privacy, ethical and human rights impact assessments before authorizing any further uses or pilots of FRT. 国によっては、政府が慎重なアプローチをとっているところもある。オランダがそうであった。2019年、司法・安全保障大臣は国会議員宛の書簡で、法執行機関による顔認識技術の既存の利用について知らせ、この敏感な技術に関連する強固なガバナンスプロセスへの支持を再確認した26。さらに、既存の法的枠組みおよび技術・組織の両方のセーフガードは、法執行機関による顔認識技術の責任ある利用を保証するには十分強固であると論じた。しかし、顔認識技術 のさらなる利用や試験運用を許可する前に、プライバシー、倫理、人権に関する影響評価を追加するよう要請している。
Despite these developments, most governments around the world continue to grapple with the challenges presented by FRT. The ambition of this work is thus to strengthen their efforts to overcome them, and support law- and policymakers across the globe in designing an actionable governance framework that addresses the key policy considerations raised, such as the necessity of a specific purpose, the performance assessment of authorized solutions, the procurement processes for law enforcement agencies, the training of professionals and the maintenance of the chain of command for emergency situations.  このような進展にもかかわらず、世界中のほとんどの政府は、顔認識技術が提示する課題に取り組み続けている。したがって、この作業の目的は、それらを克服するための努力を強化し、特定の目的の必要性、認可されたソリューションの性能評価、法執行機関の調達プロセス、専門家の訓練、緊急事態の指揮系統の維持など、提起された重要な政策的考察に対処する実行可能なガバナンスの枠組みを設計する上で、世界中の法律家や政策立案者を支援することである。
To achieve this, the World Economic Forum, the International Criminal Police Organization (INTERPOL), the United Nations Interregional Crime and Justice Research Institute (UNICRI) and the Netherlands Police convened a multistakeholder community centred on co-designing a set of principles that outline what constitutes the responsible use of FRT for law enforcement investigations. These principles are accompanied by a self-assessment questionnaire to support law enforcement agencies to design policies surrounding the use of FRT and to review existing policies in line with the proposed principles.  このため、世界経済フォーラム、国際刑事警察機構(INTERPOL)、国連地域間犯罪司法研究所(UNICRI)、オランダ警察は、法執行捜査のための責任ある顔認識技術の使用を構成するものを概説する一連の原則を共同設計することを中心としたマルチステークホルダーコミュニティを開催しました。これらの原則は、法執行機関が顔認識技術の使用を取り巻く政策を設計し、提案された原則に沿って既存の政策を見直すことを支援するための自己評価アンケートが添付されている。
In addition to providing practical guidance and support to law enforcement and policy-makers, this governance framework seeks to inform public debate on the use of FRT at the national, regional and international levels and provide an actionable framework to maximize the benefits of FRT while mitigating its risks.  このガバナンスの枠組みは、法執行機関や政策立案者に実用的な指針や支援を提供することに加え、国、地域、国際レベルでの 顔認識技術 の使用に関する公開討論に情報を提供し、顔認識技術 のリスクを軽減しながらその利益を最大化するための実行可能な枠組み を提供することを目的としている。
While the policy framework proposed in this paper is not the only such policy guidance in this domain, it seeks to present a unique proposal built with an international perspective, incorporating a multistakeholder approach, including law enforcement, industry and civil society, in its development.  本論文で提案する政策フレームワークは、この領域における唯一の政策ガイダンスではないが、その開発に法執行機関、産業界、市民社会を含むマルチステークホルダーアプローチを取り入れ、国際的視野で構築した独自の提案を示そうとするものである。
While law enforcement has been using biometric data, such as fingerprints or DNA, to conduct investigations, FRT is a new opportunity and challenge for law enforcement. 法執行機関は、これまで指紋や DNA などのバイオメトリクスデータを捜査に利用してきたが、 顔認識技術 は法執行機関にとって新たな機会であり課題でもある。
In addition to providing practical guidance and support to law enforcement and policy-makers, this governance framework seeks to inform public debate on the use of FRT. このガバナンスの枠組みは、法執行機関と政策立案者に実用的なガイダンスと支援を提供することに加え、顔認識技術 の使用に関する公的な議論に情報を提供することを目指すものである。

 

  1. World Economic Forum, A Framework for Responsible Limits on Facial Recognition: Use Case: Flow Management, 2020: https://www.weforum.org/whitepapers/a-framework-for-responsible-limits-on-facial-recognition-use-case-flowmanagement (link as of 16/8/21).
  2. World Economic Forum, Responsible Limits on Facial Recognition: Use Case: Flow Management – Part II, 2020: https://www.weforum.org/whitepapers/responsible-limits-on-facial-recognition-use-case-flow-management (link as of 16/8/21).
  3. NISTIR 8280, Face Recognition Vendor Test (FRVT) Part 3: Demographic Effects, 2019: https://www.nist.gov/publications/ face-recognition-vendor-test-part-3-demographic-effects (link as of 16/8/21).
  4. Bobby Allyn, “‘The Computer Got It Wrong’: How Facial Recognition Led to False Arrest of Black Man”, npr, 24 June 2020: https://www.npr.org/2020/06/24/882683463/the-computer-got-it-wrong-how-facial-recognition-led-to-a-false-arrest-in-michig (link as of 18/8/21).
  5. ACLU, The Dawn of Robot Surveillance: AI, Video Analytics and Privacy, 2019: https://www.aclu.org/report/dawn-robot-surveillance (link as of 16/8/21).
  6. Kate Conger, Richard Fausset and Serge F. Kovaleski, “San Francisco Bans Facial Recognition Technology”, New York Times, 14 May 2019: https://www.nytimes.com/2019/05/14/us/facial-recognition-ban-san-francisco.html (link as of 5/10/22).
  7. Sarah Ravani, “Oakland Bans Use of Facial Recognition Technology, Citing Bias Concerns”, San Francisco Chronicle, 16 July 2019: https://www.sfchronicle.com/bayarea/article/Oakland-bans-use-of-facial-recognition-14101253.php (link as of 5/10/22).
  8. Ally Jarmanning, “Boston Lawmakers Vote to Ban Use of Facial Recognition Technology by the City”, npr, 24 June 2020: https://www.npr.org/sections/live-updates-protests-for-racial-justice/2020/06/24/883107627/boston-lawmakers-vote-toban-use-of-facial-recognition-technology-by-the-city (link as of 5/10/22).
  9. Madison Booth, “Senate Passes Bill Limiting Use of AI by Law Enforcement”, Alabama Daily News, 2 February 2022: https://www.aldailynews.com/senate-passes-bill-limiting-use-of-ai-by-law-enforcement/ (link as of 5/10/22).
  10. Hannah Metzger, “Task Force to Assess Use of Facial Recognition by Colorado Law Enforcement, Government”, Colorado Politics, 9 June 2022: https://www.coloradopolitics.com/legislature/task-force-to-assess-use-of-facial-recognitionby-colorado-law-enforcement-government/article_52846144-e83e-11ec-b930-7fe52b4e1214.html (link as of 5/10/22).
  11. ACLU, “Maine Enacts Strongest Statewide Facial Recognition Regulations in the Country”, press release, 30 June 2021: https://www.aclu.org/press-releases/maine-enacts-strongest-statewide-facial-recognition-regulations-country (link as of 5/10/22).
  12. Emma Peaslee, “Massachusetts Pioneers Rules for Police Use of Facial Recognition Tech”, npr, 7 May 2021: https://www.npr.org/2021/05/07/982709480/massachusetts-pioneers-rules-for-police-use-of-facial-recognitiontech?t=1623343113224 (link as of 16/8/21).
  13. Bill Atkinson, “Virginia to Enact Statewide Ban on Facial Recognition Use”, Government Technology, 9 April 2021: https://www.govtech.com/public-safety/virginia-to-enact-statewide-ban-on-facial-recognition-use.html (link as of 16/8/21).
  14. Monica Nickelsburg, “Washington State Passes Landmark Facial Recognition Bill, Reining in Government Use of AI”, GeekWire, 13 March 2020: https://www.geekwire.com/2020/washington-state-passes-landmark-facial-recognition-billreining-government-use-ai/ (link as of 16/8/21).
  15. iapp, “Will There Be Federal Facial Recognition Regulation in the US?”, 11 February 2021: https://iapp.org/news/a/u-sfacial-recognition-roundup/ (link as of 16/8/21).
  16. United States Congressman Ted W. Lieu (D-Los Angeles County), “Reps Ted Lieu, Sheila Jackson Lee, Yvette Clarke, and Jimmy Gomez Introduce Bill to Regulate Law Enforcement Use of Facial Recognition Technology”, Press Release,  29 September 2022 : https://lieu.house.gov/media-center/press-releases/reps-ted-lieu-sheila-jackson-lee-yvette-clarkeand-jimmy-gomez-introduce (link as of 5/10/22).
  17. Kashmir Hill, “The Secretive Company That Might End Privacy as We Know It”, The New York Times, 18 January 2020: https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html (link as of 30/9/2022).
  18. Rebecca Heilweil, “Big Tech Companies Back Away from Selling Facial Recognition to Police. That’s Progress”, Vox, 11 June 2020: https://www.vox.com/recode/2020/6/10/21287194/amazon-microsoft-ibm-facial-recognition-moratoriumpolice (link as of 16/8/21).
  19. Sarah Bird, “Responsible AI Investments and Safeguards for Facial Recognition”, Microsoft, 21 June 2022: https://azure.microsoft.com/en-us/blog/responsible-ai-investments-and-safeguards-for-facial-recognition/ (link as of 23/08/2022).
  20. Amazon, “We Are Implementing a One-Year Moratorium on Police Use of Rekognition”, 10 June 2020: https://www.aboutamazon.com/news/policy-news-views/we-are-implementing-a-one-year-moratorium-on-police-use-ofrekognition (link as of 16/8/21).
  21. EUR-Lex, Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence, 21 April 2021: https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence (link as of 16/8/21).
  22. Jorge Liboreiro, “‘The Higher the Risk, the Stricter the Rule’: Brussels’ New Draft Rules on Artificial Intelligence”, Euronews, 21 April, 2021: https://www.euronews.com/2021/04/21/the-higher-the-risk-the-stricter-the-rule-brussels-newdraft-rules-on-artificial-intellige (link as of 16/8/21).
  23. United Nations, “Artificial Intelligence Risks to Privacy Demand Urgent Action – Bachelet”, 15 September 2021: https://www.ohchr.org/en/2021/09/artificial-intelligence-risks-privacy-demand-urgent-actionbachelet?LangID=E&NewsID=27469 (link as of 12/8/2022).
  24. accessnow, “Privacy Win for 350,000 People in São Paulo: Court Blocks Facial Recognition Cameras in Metro”, 12 May 2021: https://www.accessnow.org/sao-paulo-court-bans-facial-recognition-cameras-in-metro/ (link as of 16/8/21).
  25. Royal Court of Justice, “In the Court of Appeal (Civil Division) on Appeal from the High Court of Justice of Queen’s Bench Division (Administrative Court)”, Case No. C1/2019/2670: https://www.judiciary.uk/wp-content/uploads/2020/08/RBridges-v-CC-South-Wales-ors-Judgment.pdf (link as of 12/8/2022).
  26. Rijksoverheid, “Letter of the Minister of Justice and Security of the Netherlands to MPs to Inform Them About the Use of Facial Recognition Technology by Law Enforcement Agencies” (in Dutch), 20 November 2019: https://www.rijksoverheid. nl/documenten/kamerstukken/2019/11/20/tk-waarborgen-en-kaders-bij-gebruik-gezichtsherkenningstechnologie (link as of 16/8/21).

 

1 Respect for human and fundamental rights  1 人権及び基本的人権の尊重 
1.1  FRT should be used only as part of a lawful investigation, and always only as an investigative lead,  to support the identification of criminals/fugitives, missing persons, persons of interest and victims.  1.1 顔認識技術 は、犯罪者・逃亡者、行方不明者、参考人、被害者の特定を支援するため、合法的な捜査の一部と してのみ、また常に捜査上の手掛かりとしてのみ使用されるべきである。
1.2  The rights provided for within the International Bill of Human Rights and other relevant human rights treaties and laws should always be respected, particularly the right to human dignity, the right to equality and non-discrimination, the right to privacy, the right to freedom of expression, association and peaceful assembly, the rights of the child and older persons, the rights of persons with disabilities, the rights of migrants, the rights of Indigenous people and minorities, and the rights of persons subjected to detention or imprisonment. The use of FRT by law enforcement for investigations should respect these rights and be necessary and proportionate to achieve legitimate policing aims. 1.2 国際人権規約及びその他の関連する人権条約・法律に規定されている権利は、常に尊重されるべきであり、特に、人間の尊厳に対する権利、平等及び非差別に対する権利、プライバシーに対する権利、表現、結社及び平和的集会の自由に対する権利、児童及び高齢者の権利、障害者の権利、移民の権利、先住民及び少数者の権利並びに拘禁又は投獄を受けた者の権利が尊重されなければならない。捜査のための法執行機関による 顔認識技術 の使用は、これらの権利を尊重し、正当な取り締まりの目的を達 成するために必要かつ適切なものでなければならない。
1.3  Any restrictions or limitations to human rights are permissible under international human rights law only if they are necessary and proportionate to achieving a legitimate policing aim and are not applied in an arbitrary manner. These restrictions must be established in law and should correspond to the least intrusive means of pursuing such an aim. 1.3 人権に対するいかなる制限も、国際人権法の下では、正当な取り締まりの目的を達成するために必要かつ適切であり、恣意的に適用されない場合にのみ許される。これらの制限は法律で確立されなければならず、そのような目的を追求するための最も侵襲性の低い手段に対応するものでなければならない。
1.4  Law enforcement agencies should be subject to effective oversight by bodies with enforcement powers in accordance with national laws or policies. Among other things, these or other bodies should have the specific task of hearing and following complaints from citizens and assessing the compliance of law enforcement activities with human and fundamental rights.  1.4 法執行機関は、国内法または政策に従って、執行権限を有する機関による効果的な監視に服するべきである。特に、これらの機関または他の機関は、市民からの苦情を聞き、それに従い、法執行活動が人権および基本的権利を遵守しているかどうかを評価するという具体的な任務を有するべきである。
1.5  Law enforcement agencies should consider setting up an independent ethical oversight committee or assigning the responsibility to periodically review law enforcement officers’ use of FRT to a preexisting body, supporting them in achieving respect for human and fundamental rights. 1.5 法執行機関は、独立した倫理監視委員会の設置や、法執行者による顔認識技術の使用を定期的に審査する責任を既存の機関に委ね、人権および基本的権利の尊重を実現するための支援を行うことを検討する必要がある。
1.6  Individuals should have the right to an effective remedy before an independent and impartial tribunal set up by law against actions concerning the use of FRT.  1.6 個人は、顔認識技術の使用に関する行為について、法律により設置された独立かつ公平な法廷において、効果的な救済を受ける権利を有するべきである。
2 Necessary and proportional use  2 必要かつ比例的な使用 
2.1  The decision to use FRT should always be guided by the objective of striking a fair balance between allowing law enforcement agencies to deploy the latest technologies, which are demonstrated to be accurate and safe, to safeguard individuals and society against security threats, and the necessity  to protect the human rights of individuals.  2.1 顔認識技術 の使用は、法執行機関が、安全保障上の脅威から個人と社会を守るために、正確性 と安全性が実証された最新の技術を導入することと、個人の人権を守る必要性との間の公正 なバランスをとるという目的から、常に導かれるべきものである。
2.2  Law enforcement agencies considering the use of FRT should always provide a documented and justified argument as to why FRT is the chosen option and why alternative options were not chosen.  2.2 顔認識技術 の使用を検討している法執行機関は、なぜ 顔認識技術 が選択されたのか、なぜ代替の選択肢が選択されな かったのかについて、常に文書化された正当な論拠を提供しなければならない。
2.3  The use of FRT by law enforcement agencies, from the request to the use of the outcome of the search, should always be aimed at, and limited to, a single specific goal, necessarily related  to investigative purposes.  2.3 法執行機関による 顔認識技術 の使用は、要請から捜査結果の使用に至るまで、常に捜査目的に必然的に 関連する単一の特定の目標を目的とし、かつそれに限定されるべきであり、顔認識技術 の使用は、法執行 機関によって行われる。
2.4  International, regional and national policies and/or laws should specify for which classes of crimes  or investigations the use of FRT by law enforcement agencies is acceptable and/or lawful.  2.4 国際的、地域的及び国内的な政策及び/又は法律は、法執行機関による 顔認識技術 の使用がどの分類の犯罪又は捜査のために許容及び/又は合法であるかを規定すべきである。
2.5  Acknowledging the right to privacy and other human rights, the collection of images from public and publicly accessible spaces for FRT identification purposes should be done only for a determined list of use cases, in a limited area and for an established processing time period in accordance with relevant national laws or policies.  2.5 プライバシーの権利及びその他の人権を認識し、顔認識技術 識別目的のための公共及び公的に アクセス可能なスペースからの画像の収集は、関連する国内法又は政策に従って、決められた 使用事例のリストに対してのみ、限られた地域及び決められた処理期間において行われるべきである。
2.6  As a consequence of the additional risks involved in the use of real-time FRT, an independent authority responsible for oversight of law enforcement operations (such as the independent ethical oversight committee described in Principle 1.5) should be in charge of authorizing applications for its use and, if there is not enough time, it should be authorized through the chain of command. In such cases, the chain of command should inform the independent authority as soon as possible and not later than 24 hours after authorizing the use, justifying its decision to use real-time FRT and explaining why it considered there was insufficient time to seek its authorization in advance. Law enforcement should use the results of any real-time FRT search only to verify an individual’s identity and conduct additional verifications. All images captured during an operation involving the use of real-time FRT, both the original image and the biometric template, should be deleted from the system, according to the policies governing the storage of live images.  2.6 リアルタイム 顔認識技術 の使用に伴う追加的なリスクの結果として、法執行業務の監督に責任を 持つ独立した当局(原則 1.5 で述べた独立した倫理監督委員会のような)が、その使用申請 の認可を担当し、十分な時間がない場合は、命令系統を通じて認可されるべきである。このような場合、指揮系統は、リアルタイム 顔認識技術 を使用する決定を正当化し、なぜ事前に承認を求めるには時間が足りないと考えたかを説明した上で、使用を承認した後 24 時間以内に、できるだけ早く独立当局に通知すべきである。法執行機関は、個人の身元を確認し、追加の検証を行うためにのみ、リアルタイム 顔認識技術 検索の結果を使用するものとする。リアルタイム 顔認識技術 の使用を含む操作中に捕捉されたすべての画像は、オリジナル画像と生 体測定テンプレートの両方が、ライブ画像の保存を管理する方針に従って、システムから削除され るべきである。
2.7  FRT, and other face analysis technologies, should be used for no purpose other than biometric identification/recognition/verification. The use of FRT to infer ethnicity, gender, sex, age, emotion, opinion, health status, religion and sexual orientation, and the use of FRT for predictive analysis, should not be permitted.  2.7 顔認識技術 及び他の顔分析技術は、生体認証/認識/検証以外の目的では使用されるべきではない。民族、性別、年齢、感情、意見、健康状態、宗教、性的指向を推測するための 顔認識技術 の使用、および予測分析のための 顔認識技術 の使用は、許可されるべきではない。
3 Human oversight and accountability  3 人間の監視と説明責任 
3.1  Lines of responsibility for the outcome of a given use of FRT should be well defined and transparent.  A law enforcement agency should never issue analysis and conclusions from FRT without interpretation by an examiner and oversight by a manager with the right expertise (with the unique exception described in Principle 2.6).  3.1 顔認識技術 の所定の使用の結果に対する責任の所在は、明確に定義され、かつ透明でなければなら ない。 法執行機関は、審査官による解釈と適切な専門知識を有する管理者による監督なしに、 顔認識技術 による分析と結論を決して発行すべきではない(原則 2.6 に記載される固有の例外を除く)。
3.2  The use of FRT should always be conducted by an individual trained as described in Principle 8 (with the exception of situations of emergency as presented in Principle 2.6). The skills of facial experts are critical and necessary to maintain the highest level of accuracy in the identification process.  3.2 顔認識技術 の使用は、常に原則 8 に記載された訓練を受けた個人によって実施されるべきである (ただし、原則 2.6 に示された緊急事態の場合は例外とする)。顔の専門家の技能は、識別プロセスにおいて最高レベルの精度を維持するために重要かつ 必要である。
3.3  A peer review (blind verification or examination by a second expert) should systematically be performed before a result is communicated to the requesting investigation team. The result provided should be consensus-based or, in the event of a lack of consensus, the most conservative conclusion in terms of similarities observed should prevail.  3.3 ピアレビュー(第二の専門家によるブラインド検証又は検査)は、結果が依頼元の調査チー ムに通知される前に、体系的に実施されるべきである。提供される結果は、コンセンサスに基づくものであるべきであり、コンセンサスが得られない場合には、観察された類似性の観点から最も保守的な結論が優先されるべきものである。
3.4 The law enforcement agency should verify that a mechanism exists whereby citizens can file a complaint with or seek redress for any harms before a competent body designated by national authorities.  3.4 法執行機関は、市民が国家当局によって指定された管轄機関に苦情を申し立てたり、損害の救済を求めたりできる仕組みが存在することを確認する必要がある。
3.5  If an individual proposed by an FRT system as a potential candidate is subsequently taken into custody, brought in as a witness or assumes any other official role in a law enforcement process, that person should be informed that he/she was subject to a search using FRT, provided that this would not compromise the investigation. 3.5 顔認識技術 システムによって候補者として提案された個人が、その後拘留されるか、証人として連行 されるか、または法執行プロセスにおいて他の公的役割を担う場合、その人は、捜査を損なわない限 り、顔認識技術 を用いた捜査の対象となったことを知らされる必要がある。
4 Optimization of system performance  4 システム性能の最適化 
4.1  Law enforcement agencies should require vendors to follow FRT standards, such as those set by the International Organization for Standardization (ISO) and the European Committee for Standardization (CEN), to evaluate the performance of their algorithms at the design and deployment stages.  4.1 法執行機関は、国際標準化機構(ISO)や欧州標準化委員会(CEN)が定めたような 顔認識技術 標準に準拠し、設計・導入段階でアルゴリズムの性能を評価するようベンダーに求めるべきであ る。
4.2  Law enforcement agencies should introduce a standardized procurement process in a transparent way, requiring vendors to comply with the above-mentioned standards and to submit their algorithms to large-scale independent audits/testing undertaken against appropriate test standards (lab tests and, if possible, field tests). After evaluating all candidates, agencies should select the provider who can demonstrate the best-performing algorithm. 4.2 法執行機関は、標準化された調達プロセスを透明な形で導入し、ベンダーに上記基準の遵守と、適切なテスト基準(ラボテスト、可能ならフィールドテスト)に対して行われる大規模な独立監査/テストにアルゴリズムを提出することを義務付けるべきである。すべての候補を評価した後、機関は、最も性能の良いアルゴリズムを実証できるプロバイダを選択する必要がある。
4.3  Due diligence with respect to system performance should be undertaken by reference to large-scale independent tests, such as those conducted by NIST in the US. These tests provide a scientifically robust, transparent baseline of performance.  4.3 システム性能に関するデューディリジェンスは、米国の NIST が実施するような大規模な独立試験 を参照することによって実施されるべきである。これらのテストは、科学的に堅牢で、透明性のある性能の基準値を提供する。
4.4  Independent lab tests to validate the performance of the FRT should be designed to model, as closely as practical, the real-world objectives and conditions (including data landscape, operators of the technology, timetables affecting decisions made using the technology, etc.) in which the FRT is applied in practice. 4.4 顔認識技術の性能を検証する独立ラボ試験は、顔認識技術 が実際に適用される実世界の目的及び条件(データ の状況、技術の運用者、技術を用いた意思決定に影響を与えるスケジュール等を含む)を、実際 に近い形でモデル化するように設計されなければならない。
4.5  Law enforcement agencies should notify the technology provider of relevant errors identified in order to have the system reviewed.  4.5 法執行機関は、システムの見直しを行うために、特定された関連する誤りを技術提供者に通知す るべきである。
4.6  To leverage accuracy gains, law enforcement agencies should expect to make, and establish procedures for, regular upgrades or replacement of the FRT. 4.6 正確さの向上を活用するために、法執行機関は、顔認識技術 の定期的なアップグレードまたは交換を予期 し、そのための手順を確立することが望ましい。
5 Mitigation of error and bias 5 エラーとバイアスの軽減
5.1  The risk of error and bias by machines and humans should be mitigated to the greatest extent possible. This should be done through an ex ante and ex post evaluation strategy:  5.1 機械と人間によるエラーとバイアスのリスクは、可能な限り軽減されるべきである。これは、事前及び事後の評価戦略によって行われる必要がある。
5.1.1 Ex ante evaluations: technology providers, and where it applies, technology integrators, should ensure biases and errors are mitigated to the greatest extent possible before the deployment of the system by law enforcement agencies. The level of performance across demographics and the design of the quality management system should be evaluated by an independent third party. This evaluation should be organized by the technology provider and the results made available to law enforcement agencies that procure FRT and to the public for review. Law enforcement agencies that procure FRT should require in their procurement criteria information about the specific metrics the provider uses to gauge bias and other relevant risks. Before deploying FRT systems, law enforcement agencies should set up pilot tests to ensure the system is operating as intended. 5.1.1 事前評価:技術提供者、および適用される場合は技術統合者は、法執行機関によるシステムの配備前に、偏りや誤りが可能な限り軽減されていることを確認する必要がある。人口統計学的なパフォーマンスレベルと品質管理システムの設計は、独立した第三者によって評価されるべきです。この評価は、技術提供者によって整理され、その結果は 顔認識技術 を調達する法執行機関および一般市民がレビューできるようにされるべきであ る。顔認識技術 を調達する法執行機関は、その調達基準の中で、プロバイダーが偏りや他の関連リスクを測 定するために使用する特定の指標に関する情報を要求すべきである。顔認識技術 システムを展開する前に、法執行機関はシステムが意図したとおりに動作していることを確認す るためにパイロットテストを設定するべきである。
To continually improve the quality of the processes and the system’s performance, law enforcement agencies, technology providers and technology integrators should establish an in-service support agreement throughout the entire life cycle of the system. プロセスの品質とシステムの性能を継続的に改善するために、法執行機関、技術プロバイダー、および技術インテグレーターは、システムの全ライフサイクルを通じて、インサービスサポート契約を確立すべきである。
6 Legitimacy of probe images and reference databases 6 プローブ画像および参照データベースの正当性
6.1  Law enforcement agencies should ensure that their processing of probe images and reference databases are compliant with international, regional and national laws and/or policies, which should include storage criteria, purpose limitation, retention period, deletion rules, etc.  6.1 法執行機関は、プローブ画像及び参照用データベースの処理が、保存基準、目的制限、保存期間、削除 規則等を含む国際、地域及び国内法及び/又は政策に準拠していることを確認する必要がある。
6.2  The collection of probe images should be conducted on a legal basis and aimed at a specific purpose.  6.2 プローブ画像の収集は、法的根拠に基づき、かつ、特定の目的に沿って実施されるものとする。
6.3  The reference database(s) used for FRT investigations should always have a legal basis and be used under the authorization of competent authorities. Consequently, reference databases that include data collected without legal basis from the internet, electronic devices or other sources should not be used. 6.3 顔認識技術 調査に使用される参照用データベースは、常に法的根拠を有し、所轄官庁の認可の下 で使用されるべきである。従って、インターネット、電子機器、その他の情報源から法的根拠なく収集された データを含む参照用データベースを使用すべきではない。
6.4  Probe images should not be inserted into the reference database by default. Probe images of unidentified subjects may be stored in a database for further investigation; however, such images should be appropriately labelled (e.g. as an unidentified suspect or unidentified victim) and the reasons for their insertion into the database detailed. Differently labelled categories of image can be stored on the same database but should be logically separated so that facial experts can, with requisite authorizations, independently search the specific categories. Additional care should be afforded to ensure that, if the underlying status justifying the insertion of the probe image into the database (e.g. as an unidentified suspect) changes, the image is removed from the database. 6.4 プローブ画像は、デフォルトで参照データベースに挿入されるべきではない。しかし、そのような画像には適切なラベル付けを行い(例:容疑者不明、被害者不明)、 データベースに挿入する理由を詳細に説明する必要がある。異なるラベルが付けられた画像カテゴリーを同一のデータベースに保存することは可能であるが、顔の専門家が必要な権限を持って、特定のカテゴリーを独立して検索できるように、論理的に分離されるべきである。また、プローブ画像のデータベースへの挿入を正当化する基本的な状態(例えば、未確認容疑者としての状態)が変化した場合、その画像がデータベースから削除されるように、さらなる注意を払う必要がある。
6.5  Exporting images and biometric metadata to public cloud-based FRT that could potentially be outside the local jurisdiction should be prohibited. 6.5 画像及び生体認証メタデータを、現地の管轄区域外にある可能性のあるパブリッククラウドベースの 顔認識技術 にエクスポートすることは、禁止されなければならない。
6.6  Law enforcement agencies should maintain a strict and transparent chain of custody of all images (probe image sets and reference databases) used for FRT. The law enforcement agency should specify, and enforce, clear and transparent rules designating who does and does not have access to the images, and under what circumstances. 6.6 法執行機関は、顔認識技術 に使用される全ての画像(プローブ画像セット及び参照データベース) の厳密かつ透明な保管の連鎖を維持しなければならない。法執行機関は、誰が画像にアクセスでき、できないか、また、どのような状況下でアクセス できるかを指定する明確かつ透明な規則を規定し、実施すべきである。
6.7  Law enforcement agencies should specify well-defined protocols for determining when, and on the basis of what criteria, images are to be deleted from a probe set or a reference database. The law enforcement agency should create, and adhere to, a well-defined and transparent protocol for the disposal of images that have been deleted from a probe set or reference database or are otherwise no longer needed; any such protocol should be designed to protect the privacy of any individuals appearing in the images identified for disposal. 6.7 法執行機関は、いつ、どのような基準に基づいて、プローブセットまたは参照データベースから 画像が削除されるべきかを決定するための、明確に定義されたプロトコルを規定するものとする。法執行機関は、プローブセットまたはレファレンスデータベースから削除された画像、またはその他の点 で不要となった画像を廃棄するための、明確に定義された透明性のあるプロトコルを作成し、これを遵守す べきである。そのようなプロトコルでは、廃棄が確認された画像に登場する個人のプライバシーを保護するよう 設計されなければならない。
6.8  For all solved cases or for cases where the investigation has been concluded, the biometric template of the probe image should be deleted from the FRT system and the original facial image stored for accountability purposes in line with existing national law and policies.  6.8 すべての解決された事件または捜査が終了した事件については、プローブ画像のバ イオメトリックテンプレートは 顔認識技術 システムから削除され、オリジナルの顔画像は既存の国内法および 政策に従って説明責任のために保管されなければならない。
7 Integrity of images and metadata 7 画像およびメタデータの完全性
7.1  Law enforcement agencies should establish standards and thresholds of image quality for reference database images in order to mitigate the risk of errors. Reference database images that do not meet the defined standards and image-quality thresholds should not be used.  7.1 法執行機関は、エラーのリスクを軽減するために、参照データベース画像に対する画質の 基準および閾値を設定する必要がある。定義された基準および画質の閾値を満たさない参照データベース画像は、使用されるべきではない。
7.2  Law enforcement agencies should also establish best practices to evaluate image quality for probe images. Before any search using an FRT system, the facial examiner should conduct a manual assessment of the image to ascertain if the probe image is of a high-enough quality to conduct a facial comparison. If the expert is unable to do so manually, the probe image should be rejected. Although a minimum number of pixels between the eyes is often recommended, care should be taken when using this as a threshold as it is often insufficient to confirm image quality.  7.2 法執行機関は、プローブ画像の画質を評価するためのベストプラクティスも確立すべきである。顔認識技術システムを使用した捜査の前に、顔面検査官は画像の手動評価を実施し、プローブ画像が顔面 比較を実施するのに十分な高品質であるかどうかを確認する必要がある。専門家が手動で評価できない場合、プローブ画像は拒否されるべきです。目と目の間の最小ピクセル数はしばしば推奨されていますが、画質の確認には不十分な場合が多いため、これを閾値として使用する場合は注意が必要です。
7.3  Standards for probe images and reference database images should be identified by each law enforcement agency, taking into account the strength of the algorithm, the results of internal testing of the FRT system, the nature of the use case and any recommendations from the technology provider regarding its specific system. Standards, such as International Civil Aviation Organization (ICAO) photo standards, may serve as guidance for assessing image quality of reference database images. Guidance on best practices for probe images and additional recommendations for reference database images could also be provided by groups such as the Facial Identification Scientific Working Group (FISWG), the European Network of Forensic Science Institutes Digital Imaging Working Group (ENFSIDIWG) and the INTERPOL Facial Experts Working Group (IFEWG).  7.3 プローブ画像および参照データベース画像の標準は、アルゴリズムの強度、顔認識技術 システムの内部テストの結果、ユースケースの性質、および特定のシステムに関する技術提供者からの推奨を考慮に入れて、各法執行機関によって特定されるべきであ る。国際民間航空機関(ICAO)写真規格などの規格は、参照データベース画像の画質評価のガイダンスと して機能することができる。また、顔識別科学作業部会(FISWG)、欧州法科学研究所デジタル画像作業部会(ENFSIDIWG)、インターポール顔専門家作業部会(IFEWG)などのグループにより、プローブ画像に関するベストプラクティスに関する指針や参照データベース画像に関する追加勧告が提供される可能性もある。
7.4  Law enforcement examiners should be aware of the risk of image manipulation, such as morphing and deepfakes, when images come from uncontrolled sources and/or production modes. When suspected, these images should be rejected or processed with extreme precaution. 7.4 法執行機関の検査官は、管理されていない情報源および/または製造方法から得られた画像に ついては、モーフィングやディープフェイクなどの画像操作の危険性を認識すべきである。疑われる場合、これらの画像は拒否されるか、または細心の注意を払って処理されるべ きである。
7.5  Forensic upgrading (e.g. contrast and brightness correction) should comply with existing published guidance or standards (such as by FISWG). 7.5 フォレンジック・アップグレード(例えばコントラストや明るさの補正)は、(FISWG によるような)既存の公表されたガイダンスや標準に準拠すべきである。
7.6  The use of tools for non-forensic upgrading (e.g. pose correction) should be used only during the FRT search phase. If non-forensic upgrading is carried out, the insertion or modification of facial features or geometry on an existing image should be performed with care in order to avoid distortion of the image.  7.6 非フォレンジック・アップグレード(例:姿勢補正)のためのツールの使用は、顔認識技術サーチの段階でのみ使用され るべきである。ノンフォレンジック・アップグレードが実施される場合、既存画像への顔の特徴や形状の 挿入・変更は、画像の歪みを避けるために慎重に実施されるべきである。
7.7  In case of a possible match, and to reach a final conclusion, forensic upgrading of face quality only should be accepted. For reporting purposes, the original image should be presented together with the description of forensic upgrading methods to ensure the auditability and reproducibility of the upgrading process.  7.7 一致の可能性がある場合、および最終的な結論を得るために、顔面画質のみのフォレンジック アップグレードを認めるべきである。報告目的のために、アップグレードプロセスの監査可能性と再現性を確保するため、原画像を フォレンジック・アップグレード方法の説明とともに提示するものとする。
7.8  While processing data, law enforcement agencies should always conduct a proper and verified attribution of identity to photos in the reference dataset, and verify the serial number of photos, their traceability and origin. 7.8 データ処理中、法執行機関は常に参照データセット中の写真への適切かつ検証された帰属を行 い、写真のシリアルナンバー、追跡可能性および出所を検証するべきである。
7.9  The integrity of the reference database should be evaluated regularly, in accordance with the applicable legal framework and best practices. 7.9 参照データベースの完全性は、適用される法的枠組み及びベストプラクティスに従って、 定期的に評価されなければならない。
7.10 Vulnerabilities to hacking and cyberattacks should be identified to ensure robustness and avoid data leaks and data manipulation.  7.10 堅牢性を確保し、データ漏洩やデータ操作を避けるため、ハッキングやサイバー攻撃に対する脆弱性が特定されるべ きである。
8 Skilled human interface and decision-making 8 熟練したヒューマンインターフェースと意思決定
8.1  FRT should be used only by trained persons who follow the procedures ordered through the chain  of command and/or by management.  8.1 顔認識技術は、指揮系統及び/又は経営陣によって命じられた手続きに従う訓練を受けた者のみが使用する ものとする。
8.2  Everybody within the organization, especially the chain of command/management, should understand the capacities and limits of the technology and system used. 8.2 組織内の全員、特に指揮系統/管理者は、使用される技術及びシステムの能力と限界を理解すること。
8.3 Law enforcement agencies that use or intend to use FRT should provide or facilitate training on an ongoing basis and should be informed by the latest research in machine learning and remote biometrics.  8.3 顔認識技術 を使用する、または使用しようとする法執行機関は、継続的に研修を提供または促進し、 機械学習および遠隔生体認証における最新の研究により情報を得るべきである。
8.4  The training (and certification when it applies) of facial experts, and those in the chain of command/ management, should include:  8.4 顔の専門家、および指揮命令系統/管理系統の者の訓練(および適用される場合は認証)には、以下が含まれ るべきである。
8.4.1 Knowledge of and updates of mandatory regulations, laws or policies concerning the use  of biometrics.  8.4.1 生体認証の使用に関する強制的な規制、法律又は政策の知識及びその更新。
8.4.2 Awareness of the risk of biases by the FRT system (anticipation of false positives and false negatives, awareness of differences in performance on various demographics, knowing how to calibrate and adjust the threshold of the system, understanding how to configure the system in the manner appropriate to the specific circumstances and risks of a given use case, and how to fix the length of the candidate lists).  8.4.2 顔認識技術 システムによる偏りのリスクについての認識(偽陽性と偽陰性の予測、様々な人口統計学的パフォーマ ンスの違いについての認識、システムの閾値を校正・調整する方法、与えられたユースケースの特定の状況 とリスクに適した方法でシステムを構成する方法の理解、及び候補リストの長さを修正する方法) 8.4.2 生体認証システムによる偏りのリスクについての認識。
8.4.3 Understanding of the risk of biases by the human agent (overestimation of own capability, risk of over-reliance on technology, blind spots, risk of human bias such as other-race-effect bias).  8.4.3 ヒューマンエージェントによるバイアスのリスクの理解(自身の能力の過大評価、技術への過度の依存のリスク、盲点、他民族効果バイアスなどのヒューマンバイアスのリスク)。
8.4.4 Awareness of the risk of false positives from twins, siblings and other related individuals. 8.4.4 双子、兄弟姉妹、その他の近親者による偽陽性のリスクへの認識。
8.4.5 Awareness of the risk of image manipulation, including data integrity attacks and data morphs, and, when available, the tools to identify them.  8.4.5 データ整合性攻撃やデータモーフを含む画像操作のリスクと、利用可能な場合はそれらを特定する ためのツールについての認識。
8.4.6 How to implement risk-mitigation methodologies (one match vs. differential diagnosis approach, blinding techniques, blind verifications, etc.). 8.4.6 リスク軽減のための方法論(1つの一致と鑑別診断のアプローチ、盲検法、盲検検証など)を 実施する方法。
8.4.7 Understanding of the nature of an investigative lead as the outputs of an FRT search and best practices for verifying the identity of leads generated. 8.4.7 顔認識技術 検索のアウトプットとしての捜査の手がかりの性質、および生成された手がかりの同一性を 検証するためのベストプラクティスを理解する。
8.4.8 Instruction in data governance procedures, including the collection, storage, integrity and traceability of data. 8.4.8 データの収集、保存、完全性、トレーサビリティを含む、データガバナンス手順に関する教示。
8.4.9 How to use tools, when available, that assist examiners in understanding the reasoning behind systems’ decisions/recommendations. 8.4.9 審査官がシステムの決定/勧告の背後にある理由を理解することを支援する、利用可能な場合、ツ ールの使用方法。
8.5  Recognizing that innate capability to recognize faces exists on a spectrum, examiners should be recruited by factoring in performance on face comparison tests, acknowledging that experience and training also matter. 8.5 顔の認識には生得的な能力があることを認識し、審査員は経験と訓練も重要であることを認識した上で、顔の比較テストの成績を考慮して採用されるべきである。
9 Transparency 9 透明性
9.1  Information about the use of FRT by law enforcement agencies should be available to the public. This information should be made available on a permanent basis or on request, and communicated by the appropriate official authorities, be it the law enforcement agency itself or another government entity.  9.1 法執行機関による 顔認識技術 の使用に関する情報は、一般に入手可能であるべきである。この情報は、恒久的にまたは要求に応じて利用可能とされ、法執行機関自体または他の政府機関である適切な公的機関によって伝達されるべきである。
9.2  Law enforcement agencies, or the most appropriate other official authority – with input from the law enforcement agency – should, in line with the applicable laws and policies, make public: 9.2 法執行機関、または最も適切な他の公的機関-法執行機関からの情報とともに-は、適用される法律および政策に沿って、公表すべきである。
9.2.1 A clear definition of the use of FRT for law enforcement investigations, specifying the purpose and objectives, such as to identify criminals/fugitives, persons of interest, missing persons and victims.  9.2.1 犯罪者/逃亡者、参考人、行方不明者及び被害者の特定など、目的と目標を特定した、法執行 調査のための 顔認識技術 使用の明確な定義。
9.2.2 The vendor selected (if applicable) and the name and version of the software.  9.2.2 選択したベンダー(該当する場合)、およびソフトウェアの名称とバージョン。
9.2.3 How they use probe images: procedures and criteria to select, store/not store images and, if stored, for how long.  9.2.3 調査画像の使用方法:画像を選択する手順と基準、保存する/しない、保存する場合はどのくらいの期間保存 するか。
9.2.4 How they use the reference database: procedures to consult the database, criteria to select, store/not store probe images in this reference database and, if stored, for how long; as well as details about whether this database can be used to train or refine other FRT systems or machine learning models in general. 9.2.4 参照データベースの使用方法:データベースを参照する手順、この参照データベースにプローブ 画像を選択する基準、保存する/しない、保存する場合はその期間、またこのデータベースが他の 顔認識技術 システムや機械学習モデル一般の訓練や改良に使用できるかどうかに関する詳細。
9.2.5 The policy regarding the type of data that may be shared with other organizations, including personal data and databases of face images.  9.2.5 個人データや顔画像のデータベースなど、他の組織と共有することができるデータの種類に関する方針。
9.2.6 The name of law enforcement departments or units able to launch searches and view the results of searches.  9.2.6 検索を開始し、検索結果を閲覧することができる法執行部門またはユニットの名称。
9.2.7 The functional title, type of expertise and level of training of individuals using the system. 9.2.7 システムを使用する個人の職務上の肩書き、専門知識の種類、及び訓練レベル。
9.2.8 The process to determine a possible match, namely blind-review or peer-review of possible matches.  9.2.8 一致の可能性を判断するためのプロセス、すなわち一致の可能性のブラインドレビューまたはピアレビュー。
9.2.9 Information about the mechanisms in place (see Principle 1.5) to ensure FRT is used as intended. 9.2.9 顔認識技術 が意図されたとおりに使用されていることを確認するために設置された機構(原則 1.5 参照) に関する情報。
9.2.10 Auditable records of search requests made by law enforcement agencies, such as the number of requests, the number of investigative leads generated and the type of crimes related to these requests.  9.2.10 法執行機関による検索要求の監査可能な記録(要求数、生成された捜査の手がかりの数、およびこれらの要求に関連する犯罪の種類など)。
9.2.11 The results of audits and/or evaluations of the performance of the FRT system conducted by the vendor of the technology and/or by the law enforcement agency. This should include a description of: the design of the evaluation; the data used in the evaluation; and the results (metrics) obtained. 9.2.11 技術のベンダーおよび/または法執行機関によって実施された、顔認識技術システムの性能の監査および/または評価の結果。これは、評価の設計、評価で使用されたデータ、および得られた結果(測定基準)の説明を含むべきであ る。
9.2.12 Information about how an individual can contact the law enforcement agency to submit  a query or complaint concerning its use of FRT. 9.2.12 顔認識技術 の使用に関する質問または苦情を提出するために、個人が法執行機関に連絡する方法 についての情報。
9.2.13 A record of complaints filed by members of the public against the use of the FRT and the law enforcement agency’s response of those formal complaints. 9.2.13 顔認識技術 の使用に対して一般市民が提出した苦情、及びそれらの正式な苦情に対する法執行機関の対応の記録。
9.2.14 Any other information that can be publicly shared without compromising law enforcement investigations and that may be relevant for the public. 9.2.14 法執行機関の調査を損なうことなく公に共有することができ、かつ公衆に関連する可能性のあるその他一切の情報。
9.3  Information made available to the public should be concise, easily accessible, understandable and provided in clear and plain language. Exceptions to this should be permitted only if they are necessary and proportionate to pursue legitimate purposes and in accordance with the law.  9.3 一般に公開される情報は、簡潔で、容易にアクセスでき、理解でき、明確で平易な言葉で提供されるべきである。これに対する例外は、合法的な目的を追求するために必要かつ適切であり、法律に従っている場合にのみ許可されなければならない。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

昨年の報告書

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

 

顔認識

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係



| | Comments (0)

2022.11.01

カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンターが、国家サイバー脅威評価 2023-2024を公表していますね。。。先日、ドイツもよく似た報告書を出していましたが、内容もよく似ているので、民主主義国は同じような状況に置かれているのかも知れませんね。。。

大阪方面の医療機関でのランサムウェアの報道がなされていたりするようですが、やはりランサムウェアの被害は多いようです。。。仕組み化されて犯罪者が利用しやすいようになっているからね。。。犯罪のDX化。。。

ざっくり言えば、ポイントは次の5つですかね。。。

  • ランサムウェア
  • 重要インフラ
  • 国家支援の攻撃者
  • オンライン空間の信頼
  • 革新的な技術

ドイツの報告書と読み比べてみるのも良いかもですね。。。

 

Canadian Centre for Cyber Security

・2022.10.28 National Cyber Threat Assessment 2023-2024

・[PDF

20221101-151137

目次...

About this document  本書について 
Introduction – Cyber threats are evolving  はじめに - サイバー脅威は進化している 
COVID-19 and the cyber threat landscape  COVID-19とサイバー脅威の状況 
Hybrid work and work-from-anywhere broadens the threat surface for individuals and organizations  ハイブリッドワークとどこでも仕事が、個人と組織の脅威の表面を拡大する 
Faster, broader connections and more devices connected to the Internet  より高速で広範な接続と、インターネットに接続するデバイスの増加 
Cybercrime represents a sophisticated threat to Canada  サイバー犯罪は、カナダにとって高度な脅威となっている
Threat actors are attacking targets indirectly, exploiting vulnerabilities in supply chain and Internet infrastructure  脅威の主体は、サプライチェーンやインターネットインフラの脆弱性を突いて、間接的にターゲットを攻撃している
Geopolitical competition in cyberspace puts everyone at risk  サイバー空間における地政学的な競争により、すべての人が危険にさらされている
The global Internet continues to diverge  グローバルなインターネットの分岐が続いている 
Ransomware is a persistent threat to Canadian organizations  ランサムウェアはカナダの組織にとって持続的な脅威
Ransomware enables other malicious cyber threat activity  ランサムウェアは、他の悪意あるサイバー脅威の活動を可能にする
Ransomware affects critical infrastructure  ランサムウェアが重要インフラに与える影響 
The impact of ransomware  ランサムウェアの影響 
Ransomware-as-a-service has made ransomware more accessible and profitable  ランサムウェア・アズ・ア・サービスにより、ランサムウェアはよりアクセスしやすく、収益性の高いものになった
Cybercriminals will continue to adapt their methods to maximize profits  サイバー犯罪者は、今後も利益を最大化するためにその手法を適応させていくだろう
Critical infrastructure is increasingly at risk from cyber threat activity  重要インフラがサイバー脅威から受けるリスクはますます高まっている 
Connected OT increases critical infrastructure’s cyber threat surface  OTの接続により、重要インフラのサイバー脅威の表面が増加 
Critical infrastructure depends on its supply chain  重要インフラは、そのサプライチェーンに依存している 
Cybercriminals target critical infrastructure  サイバー犯罪者が重要インフラを標的にする
State-sponsored actors targeting critical infrastructure  重要インフラを標的とする国家支援型アクター 
State-sponsored cyber threat activity is impacting Canadians  国家が支援するサイバー脅威の活動がカナダ人に影響を及ぼしている 
Foreign states are targeting Canadian individuals  外国がカナダの個人を標的にしている 
State-sponsored threat actors are attempting to compromise Canadians in worldwide, widespread campaigns  国家に支援された脅威者が、世界規模で広範なキャンペーンを展開し、カナダ人を危険にさらそうとしている
States are targeting Canada’s economic value  国家はカナダの経済価値を標的にしている
States are pursuing financial gain via cyber means  国家は、サイバー手段によって経済的利益を追求している
States are using cybercrime tools and activities to avoid attribution  国家は帰属を回避するためにサイバー犯罪のツールや活動を利用している
Cyber threat actors are attempting to influence Canadians, degrading trust in online spaces サイバー脅威者はカナダ人に影響を与えようとし、オンライン空間における信頼を低下させている
Cyber threat actors exploit technology to spread MDM and deceive Canadians  サイバー脅威の主体がテクノロジーを駆使してMDMを広め、カナダ人を欺く 
Foreign actors use MDM to influence international narratives  海外のアクターがMDMを利用して国際的な物語に影響を与える 
Disruptive technologies bring new opportunities and new threats  破壊的なテクノロジーは、新しい機会と新しい脅威をもたらす 
Digital assets are targets and tools for cyber threat actors  デジタルアセットはサイバー脅威者の標的であり、ツールである 
Machine learning automations can be deceived and exploited  機械学習オートメーションは、騙され、悪用される可能性がある 
Quantum computing threatens modern cryptography  量子コンピュータは現代の暗号技術を脅かす 
Conclusion  まとめ 
Endnotes  巻末資料 

 

エグゼクティブサマリー

Executive summary エグゼクティブサマリー
Canadians use the Internet for financial transactions, to connect with friends and family, attend medical appointments and work. As Canadians spend more time and do more on the Internet, the opportunities grow for cyber threat activity to impact their daily lives. There’s been a rise in the amount of personal, business and financial data available online, making it a target for cyber threat actors. This trend towards connecting important systems to the Internet increases the threat of service disruption from cyber threat activity. Meanwhile, nation states and cybercriminals are continuing to develop their cyber capabilities. State-sponsored and financially motivated cyber threat activity is increasingly likely to affect Canadians. In NCTA 2023-24, we have chosen to focus on five cyber threat narratives that we judge are the most dynamic and impactful and that will continue to drive cyber threat activity to 2024. カナダ人は、金融取引、友人や家族との連絡、診療予約、仕事のためにインターネットを利用している。カナダ人がインターネットを利用する時間や行動が増えるにつれて、サイバー脅威の活動が日常生活に影響を与える機会も増えている。個人情報、ビジネス情報、財務情報をオンラインで入手する機会が増えており、サイバー脅威者のターゲットになっている。重要なシステムがインターネットに接続される傾向にあるため、サイバー脅威活動によってサービスが中断される脅威が高まっている。一方、国家やサイバー犯罪者は、サイバー能力を開発し続けている。国家がスポンサーとなり、金銭的な動機で行われるサイバー脅威活動は、カナダ人に影響を与える可能性が高まっている。NCTA 2023-24では、最もダイナミックでインパクトがあり、2024年までサイバー脅威活動を推進し続けると判断される5つのサイバー脅威シナリオに焦点を当てることにした。
Key judgements 主な判断
Ransomware is a persistent threat to Canadian organizations. Cybercrime continues to be the cyber threat activity most likely to affect Canadians and Canadian organizations. Due to its impact on an organization’s ability to function, ransomware is almost certainly the most disruptive form of cybercrime facing Canadians. Cybercriminals deploying ransomware have evolved in a growing and sophisticated cybercrime ecosystem and will continue to adapt to maximize profits. ランサムウェアは、カナダの組織にとって持続的な脅威である。 サイバー犯罪は、カナダ人およびカナダの組織に最も影響を与える可能性の高いサイバー脅威活動であり続けている。ランサムウェアは、組織の機能に影響を与えるため、カナダ人が直面するサイバー犯罪の中で最も破壊的な形態であることはほぼ間違いないだろう。ランサムウェアを展開するサイバー犯罪者は、成長し洗練されたサイバー犯罪のエコシステムの中で進化しており、今後も利益を最大化するために適応を続けていくだろう。
Critical infrastructure is increasingly at risk from cyber threat activity. Cybercriminals exploit critical infrastructure because downtime can be harmful to their industrial processes and the customers they serve. State-sponsored actors target critical infrastructure to collect information through espionage, to pre-position in case of future hostilities, and as a form of power projection and intimidation. However, we assess that state-sponsored cyber threat actors will very likely refrain from intentionally disrupting or destroying Canadian critical infrastructure in the absence of direct hostilities. 重要インフラは、サイバー脅威の活動からますます危険にさらされている。 サイバー犯罪者は、ダウンタイムがその産業プロセスや顧客に害を及ぼす可能性があるため、重要インフラを悪用する。国家による支援は、スパイ行為による情報収集、将来の敵対行為に備えた事前準備、権力誇示と威嚇の一形態として重要インフラを標的としている。しかし、我々は、国家に支援されたサイバー脅威の行為者は、直接の敵対行為がない場合、カナダの重要インフラを意図的に混乱させたり破壊したりすることを控える可能性が非常に高いと評価している。
State-sponsored cyber threat activity is impacting Canadians. We assess that the state-sponsored cyber programs of China, Russia, Iran, and North Korea pose the greatest strategic cyber threats to Canada. State-sponsored cyber threat activity against Canada is a constant, ongoing threat that is often a subset of larger, global campaigns undertaken by these states. State actors can target diaspora populations and activists in Canada, Canadian organizations and their intellectual property for espionage, and even Canadian individuals and organizations for financial gain. 国家が支援するサイバー脅威の活動はカナダ人に影響を与えている。 我々は、中国、ロシア、イラン、北朝鮮の国家主導のサイバー・プログラムがカナダに最大の戦略的サイバー脅威をもたらすと評価している。カナダに対する国家によるサイバー脅威活動は、常に継続する脅威であり、これらの国家によって行われるより大規模でグローバルなキャンペーンの一部であることがよくある。国家の活動家は、カナダの離散定住民(ディアスポラ)や活動家、カナダの組織とその知的財産をスパイ目的で、さらにはカナダの個人と組織を金銭的利益のために標的にすることがある。
Cyber threat actors are attempting to influence Canadians, degrading trust in online spaces. We have observed cyber threat actors’ use of misinformation, disinformation, and malinformation (MDM) evolve over the past two years. Machine-learning enabled technologies are making fake content easier to manufacture and harder to detect. Further, nation states are increasingly willing and able to use MDM to advance their geopolitical interests. We assess that Canadians’ exposure to MDM will almost certainly increase over the next two years. サイバー脅威の行為者は、カナダ人に影響を与え、オンライン空間における信頼を低下させようと試みている。 我々は、サイバー脅威者が誤情報、偽情報、悪意ある情報(MDM)を使用することが、過去2年間で進化していることを確認している。機械学習を使った技術によって、偽のコンテンツを作ることが容易になり、発見することが難しくなっている。さらに、国家は地政学的な利益を推進するためにMDMを利用する意思と能力を高めている。我々は、カナダ人がMDMにさらされる機会が今後2年間でほぼ確実に増加すると評価している。
Disruptive technologies bring new opportunities and new threats. Digital assets, such as cryptocurrencies and decentralized finance, are both targets and tools for cyber threat actors to enable malicious cyber threat activity. Machine learning has become commonplace in consumer services and data analysis, but cyber threat actors can deceive and exploit this technology. Quantum computing has the potential to threaten our current systems of maintaining trust and confidentiality online. Encrypted information stolen by threat actors today can be held and decrypted when quantum computers become available. 革新的な技術は、新しい機会と新しい脅威をもたらす。 暗号通貨や分散型金融などのデジタル資産は、サイバー脅威行為者にとって、悪意のあるサイバー脅威活動を可能にするターゲットであり、ツールでもある。機械学習は、消費者向けサービスやデータ分析において一般的になったが、サイバー脅威行為者はこの技術を欺き、悪用することができる。量子コンピューティングは、オンラインで信頼と機密を維持する現在のシステムを脅かす可能性がある。今日、脅威行為者によって盗まれた暗号化された情報は、量子コンピュータが利用可能になれば、保持され、解読される可能性がある。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

 

| | Comments (0)

より以前の記事一覧