内部統制 / リスクマネジメント

2023.03.31

ENISA 「クラウド・サイバーセキュリティ市場分析 2023」と「サイバーセキュリティ市場分析手法の更新」

こんにちは、丸山満彦です。

ENISAがクラウドセキュリティについての市場分析報告書とサイバーセキュリティ市場分析手法の更新版を公表していますね。。。

 

⚫︎ ENISA

プレス...

・2023.03.27 Every Cloud Cybersecurity Market has a Silver Lining

Every Cloud Cybersecurity Market has a Silver Lining クラウド・サイバーセキュリティの市場には、必ず銀の裏地がある
The European Union Agency for Cybersecurity (ENISA) publishes a cybersecurity market analysis of the cloud and an updated version of the cybersecurity market analysis framework. 欧州連合サイバーセキュリティ機関(ENISA)は、クラウドのサイバーセキュリティ市場分析およびサイバーセキュリティ市場分析フレームワークの更新版を発表する。
ENISA focused its market analysis on the cloud cybersecurity market following the strong demand from internal and external stakeholders and in light of the importance of cybersecurity in this market segment in the Digital Single Market. ENISAは、内外の関係者からの強い要望を受け、またデジタル単一市場におけるこの市場セグメントにおけるサイバーセキュリティの重要性に鑑み、クラウド・サイバーセキュリティ市場に焦点を当てて市場分析を実施した。
ENISA seeks to provide market information and facilitate market developments to help “improve the conditions for the functioning of the internal market” and “foster a robust European cybersecurity industry and market” as foreseen in the ENISA’s Single Programming Document 2023-2025. ENISAは、ENISAの単一計画文書2023-2025で予見されている「域内市場の機能に関する条件の改善」と「強固な欧州サイバーセキュリティ産業および市場の育成」を支援するために、市場情報の提供と市場開発の促進を目指している。
The cybersecurity market analysis served as a testbed of the ENISA Cybersecurity Market Analysis Framework (ECSMAF) to further improve on the original version. The ECSMAF built additional synergies across lateral ENISA cybersecurity areas of interest including the ENISA’s EU cybersecurity index under development, operational cooperation and research. サイバーセキュリティ市場分析は、ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)のテストベッドとして機能し、オリジナル版をさらに改善した。ECSMAFは、開発中のENISAのEUサイバーセキュリティ指標、運用協力、研究など、ENISAのサイバーセキュリティの関心分野を横断してさらなるシナジーを構築した。
Why a cloud cybersecurity market analysis? なぜクラウド・サイバーセキュリティの市場分析なのか?
Market analysis is key to understanding trends and assessing potential issues at stake in terms of demand and supply. 市場分析は、トレンドを理解し、需要と供給の面で問題となっている潜在的な問題を評価するための鍵となる。
This analysis provides an insight into the needs and requirements of consumers in terms of cloud cybersecurity products, services and processes. Moreover, it can provide additional highlights regarding the role of other important market players, such as regulators and research & development. この分析により、クラウド・サイバーセキュリティの製品、サービス、プロセスに関する消費者のニーズと要件についての洞察が得られます。さらに、規制当局や研究開発など、他の重要な市場プレイヤーの役割に関する追加的なハイライトを提供することができます。
Key findings? 主な調査結果
Observations made include the following: 以下のようなことがわかった:
・The provision of services concerning cloud cybersecurity is a challenge to assess because many demand-side stakeholders are using security services from the same companies that also provide cloud services, as a kind of ‘bundled offering’. This makes it difficult to distinguish the components specifically related to cybersecurity; ・クラウド・サイバーセキュリティに関するサービスの提供は、多くの需要側の関係者が、一種の「バンドル提供」として、クラウドサービスも提供している同じ会社のセキュリティサービスを利用しているため、評価するのが難しい。このため、サイバーセキュリティに特化したコンポーネントを区別することは困難である;
・Inconsistencies emerged in the perception between supply and demand. Scoring high as a threat with supply-side respondents, misconfigurations stand as potential gaps, the largest one being between perceived and managed threats. On the demand side, this gap is not as big for this specific threat, but becomes significant when it comes to insecure application programming interfaces (APIs);  ・供給と需要の間で認識に矛盾が生じた。供給側の回答者が脅威として高く評価したのは、潜在的なギャップとして設定ミスがあることで、最大のものは、認識されている脅威と管理されている脅威の間にある。需要側では、このギャップはこの特定の脅威についてはそれほど大きくはないが、安全でないアプリケーション・プログラミング・インターフェース(API)に関しては大きくなっている; 
・Driven by an applications appetite, secure mobile cloud computing, fog computing, edge computing and secure cloud architectures account for around 40% of the survey respondents and they emerge as the most relevant research topics in the interest of the supply and demand stakeholders alike; ・アプリケーションへの意欲に後押しされ、安全なモバイルクラウドコンピューティング、フォグコンピューティング、エッジコンピューティング、安全なクラウドアーキテクチャが調査回答者の約40%を占め、需要と供給の関係者が同様に関心を持つ最も関連性の高い研究テーマとして浮上している;
・Scarcity of skills emerges as the most relevant barrier for the adoption of cloud cybersecurity. ・クラウド・サイバーセキュリティの導入に最も関連する障壁として、スキルの不足が浮かび上がっている。
The Digital Single Market holds the promise of growth as it continues offering a silver lining to cloud cybersecurity regardless of the background and the business model of the providers that seek to endeavour in it. デジタル単一市場は、クラウド・サイバーセキュリティに取り組むプロバイダーのバックグラウンドやビジネスモデルに関係なく、クラウド・サイバーセキュリティに明るい兆しを与え続け、成長を約束するものである。
What’s new in the revamped cybersecurity market analysis framework? 刷新されたサイバーセキュリティ市場分析フレームワークの新機能は?
The ENISA Cybersecurity Market Analysis Framework (ECSMAF) guides the development of the analysis of a vertical cybersecurity market segment that comes under scrutiny. ENISA Cybersecurity Market Analysis Framework(ECSMAF)は、精査の対象となるサイバーセキュリティの垂直市場セグメントの分析開発をガイドするものである。
Along the lines of the empirical analysis instigated by the Cloud Cybersecurity Market Analysis, the original ECSMAF has been enhanced (ECSMAF V2.0). In the updated version, the steps to take to perform a cybersecurity market analysis were simplified and further explained to improve clarity and usability. For eager seekers of further guidance, clarifications by way of annexes were added to this purpose. クラウド・サイバーセキュリティ市場分析で始まった実証分析の流れに沿って、オリジナルのECSMAFが強化されました(ECSMAF V2.0)。今回のバージョンアップでは、サイバーセキュリティ市場分析の手順を簡略化し、より分かりやすく、より使いやすく説明した。さらなるガイダンスを熱心に求める人のために、附属書による説明も追加されました。
ENISA received valuable support from the stakeholders involved, including the respondents to the survey, and the contribution of the ENISA Ad Hoc Working Group on Cybersecurity Market Analysis. ENISAは、アンケート回答者を含む関係者の貴重な支援と、ENISA Ad Hoc Working Group on Cybersecurity Market Analysisの貢献を受けている。
Further information さらに詳しい情報
Cloud Cybersecurity Market Analysis – ENISA report 2023 クラウド・サイバーセキュリティの市場分析 - ENISAレポート 2023
Updated ENISA Cybersecurity Market Analysis Framework – ENISA report 2023 ENISAサイバーセキュリティ市場分析フレームワークを更新 - ENISAレポート2023年版
EU Cybersecurity Market Analysis – IoT in Distribution Grids – ENISA report 2022 EUサイバーセキュリティ市場分析 - 配電網におけるIoT - ENISAレポート2022年版

 

レポート

・2023.03.27 Cloud Cybersecurity Market Analysis

Cloud Cybersecurity Market Analysis クラウド・サイバーセキュリティの市場分析
The present European Union Agency for Cybersecurity (ENISA) report is an analysis of the cloud cybersecurity market, planned for in ENISA’s Work Programme 2022 ( ) under activity O.7.1., ‘Market analysis on the main trends in the cybersecurity market on both the demand side and the supply side’. The selection of this segment for this year’s cybersecurity market analysis is the result of a poll carried out with the involvement of multiple stakeholders, both outside and within ENISA. The criteria used for the prioritisation of the collected proposals were the size of the relevant market, the importance and criticality of the market for businesses of all sizes, relevance of the sector to EU policy, relevance to research and relevance to regulatory activities. 今回の欧州連合サイバーセキュリティ機関(ENISA)のレポートは、ENISAのワークプログラム2022( )で計画されている活動O.7.1「サイバーセキュリティ市場の需要側と供給側の両方における主要動向に関する市場分析」で、クラウドサイバーセキュリティ市場の分析を行うものである。今年のサイバーセキュリティ市場分析のためにこのセグメントを選択したのは、ENISAの内外を問わず、複数の関係者が参加して実施した投票の結果である。集まった提案の優先順位付けに用いられた基準は、関連市場の規模、あらゆる規模の企業にとっての市場の重要性・重要性、EU政策との関連性、研究との関連性、規制活動との関連性である。

 

・[PDF]

20230331-54911

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The present European Union Agency for Cybersecurity (ENISA) report is an analysis of the cloud cybersecurity market, planned for in ENISA’s Work Programme 2022 [2] under activity O.7.1., ‘Market analysis on the main trends in the cybersecurity market on both the demand side and the supply side’. The selection of this segment for this year’s cybersecurity market analysis is the result of a poll carried out with the involvement of multiple stakeholders, both outside and within ENISA. The criteria used for the prioritisation of the collected proposals were the size of the relevant market, the importance and criticality of the market for businesses of all sizes, relevance of the sector to EU policy, relevance to research and relevance to regulatory activities.  今回の欧州連合サイバーセキュリティ機関(ENISA)のレポートは、ENISAのワークプログラム2022([1])の活動項目O.7.1「需要側と供給側の両方におけるサイバーセキュリティ市場の主要動向に関する市場分析」で計画されている、クラウドサイバーセキュリティ市場に関する分析である。今年のサイバーセキュリティ市場分析のためにこのセグメントを選択したのは、ENISAの外部と内部の両方の複数の利害関係者が関与して実施した投票の結果である。集まった提案の優先順位付けに用いられた基準は、関連市場の規模、あらゆる規模の企業にとっての市場の重要性・重要性、EU政策との関連性、研究との関連性、規制活動との関連性である。
For this analysis, ENISA has performed primary research, that is, a survey involving the main stakeholder types of the cloud computing ecosystem by means of dedicated questionnaires. The quantitative information from the survey has been validated via qualitative information obtained through open-source information, as well as by means of quality assurance by various external experts, including the members of the ENISA Ad Hoc Working Group on Cybersecurity Market Analysis.  この分析のために、ENISAは一次調査、つまり専用のアンケートによってクラウドコンピューティングのエコシステムの主要なステークホルダーを対象とした調査を実施しました。調査から得られた定量的情報は、オープンソース情報から得られた定性的情報、およびENISA Ad Hoc Working Group on Cybersecurity Market Analysisのメンバーを含む様々な外部専門家による品質保証によって検証されている。
By collecting information from various stakeholder types of the cloud ecosystem, we were in the position to assess stakeholder-specific perspectives on cloud cybersecurity. Differences among stakeholder perspectives are key to understand differences in viewpoints, requirements, capability levels, perceptions about threats and challenges, compliance, etc. These variating views are – in many cases – indicative of potential market trends, market barriers, market and research gaps, skill shortages, the existence of market niches, etc. The conclusions of this report capture many of these topics, in particular the following ones.  クラウドエコシステムの様々なステークホルダーから情報を収集することで、クラウドサイバーセキュリティに対するステークホルダー固有の視点を評価する立場にありました。ステークホルダーの視点の違いは、視点、要件、能力レベル、脅威や課題に関する認識、コンプライアンスなどの違いを理解する上で重要である。こうした見解の違いは、多くの場合、潜在的な市場動向、市場の障壁、市場や研究のギャップ、スキル不足、市場のニッチの存在などを示している。本報告書の結論は、これらのトピックの多くを捉えており、特に以下のトピックが重要である。
• Market characteristics and market trends. A variety of cybersecurity market characteristics and market trends are presented, including manageability of offered cybersecurity functions, technical integration options for various cybersecurity functions, the role of data privacy, consolidation of on-premises and off-premises security (see Section 8.1).  - 市場の特徴と市場動向 提供されるサイバーセキュリティ機能の管理性、様々なサイバーセキュリティ機能の技術的統合オプション、データプライバシーの役割、オンプレミスとオフプレミスのセキュリティの統合など、様々なサイバーセキュリティ市場の特性と市場動向が示されている(セクション8.1参照)。
• Market barriers. Factors leading to difficulties in the market adoption of cloud computing services have been identified, in particular variating perceptions about the level of threat management by various cybersecurity functions, lack of cybersecurity skills in most of the stakeholders of the cloud ecosystem, the reduced level of adoption of cybersecurityrelated certifications, low availability of standards and intellectual property rights (IPRs), as well as distortions in the flow of vulnerability and incident information among the cloud stakeholders (see Section 8.3).  - 市場の障壁。クラウドコンピューティングサービスの市場導入を困難にしている要因として、特に、様々なサイバーセキュリティ機能による脅威管理のレベルに関する認識の相違、クラウドエコシステムの関係者の多くにおけるサイバーセキュリティスキルの不足、サイバーセキュリティ関連認証の採用レベルの低下、標準規格や知的財産権(IPRs)の利用しにくさ、クラウド関係者の間での脆弱性や事故情報の流れにおける歪み、が指摘されている(セクション 8.3 参照)。
• Market gaps. Various gaps in the cloud cybersecurity market emerge through mismatches in deployment of cybersecurity functions between the demand side and supply side. The market gaps are rooted in concerns about the management of various threats and unclear distributions responsibilities about the implementation and maintenance of cloud cybersecurity functions (see Section 8.2).  - 市場のギャップ クラウド・サイバーセキュリティ市場における様々なギャップは、需要側と供給側の間のサイバーセキュリティ機能の展開のミスマッチによって生じている。この市場ギャップは、様々な脅威の管理に関する懸念や、クラウドサイバーセキュリティ機能の実装と維持に関する分配責任の不明瞭さに根ざしている(8.2項参照)。
• Research and innovation. Some clear indications about the importance of zero-trust architectures, the use of privacy enhancing technologies and the impact of cloud technology in artificial intelligence, 5G and quantum computing make these topics excellent candidates for research and deployment actions (see Section 8.4).  - 研究・イノベーション。ゼロトラストアーキテクチャの重要性、プライバシー強化技術の利用、人工知能、5G、量子コンピューティングにおけるクラウド技術の影響など、いくつかの明確な示唆があり、これらのテーマは研究・展開活動の優れた候補となる(セクション8.4参照)。
• Future market projections. A number of reflections regarding the future paths for the development of the supply of cloud cybersecurity services have been formulated. These are mainly attempts to properly orchestrate cybersecurity services, where different approaches will be implemented, depending on the nature of cloud suppliers (for example hyperscalers and cloud enablers) (see Section 8.5).  - 将来の市場予測。クラウド・サイバーセキュリティ・サービスの供給の発展のための将来の道筋に関する多くの考察が策定されている。これらは主にサイバーセキュリティサービスを適切にオーケストレーションするための試みであり、クラウド供給者の性質(例えばハイパースケーラーやクラウドイネイブラー)に応じて異なるアプローチが実施されるであろう(セクション8.5を参照)。
Besides the analyses and conclusions presented in this document, there is some additional material in this work that may be interesting for a number of stakeholders. This includes collected raw data, developed questionnaires, details of the various stakeholder perceptions, scoping information, as well as the tools and processes used. ENISA is open to share any kind of information resulting from this cybersecurity market analysis with interested stakeholders.  本書で提示した分析と結論の他に、多くのステークホルダーにとって興味深い追加資料がある。これには、収集した生データ、開発したアンケート、様々なステークホルダーの認識の詳細、スコープ情報、さらには使用したツールやプロセスなどが含まれる。ENISAは、このサイバーセキュリティ市場分析から得られたあらゆる種類の情報を、関心のある利害関係者と共有することに前向きである。

[2]  https://www.enisa.europa.eu/publications/corporate-documents/enisa-single-programming-document2022-2024, accessed November 2022. 

 

目次...

1. INTRODUCTION 1. 序文
1.1. SCOPING OF THE CLOUD CYBERSECURITY ANALYSIS 1.1. クラウドサイバーセキュリティ分析のスコーピング
1.2. INFORMATION ON PERFORMED DATA COLLECTION 1.2. 実施されたデータ収集に関する情報
1.3. STRUCTURE OF THIS REPORT 1.3. 本報告書の構成
2. CHARACTERISTICS OF THE CLOUD CYBERSECURITY ECOSYSTEM 2. クラウド・サイバーセキュリティ・エコシステムの特徴
2.1. CLOUD ECOSYSTEM 2.1. クラウドエコシステム
2.1.1. Cloud Computing Stakeholder Types 2.1.1. クラウドコンピューティングのステークホルダーの種類
2.2. CLOUD MODELS AND ATTRIBUTES 2.2. クラウドモデルと属性
2.2.1. Service Models 2.2.1. サービスモデル
2.2.2. Deployment Models 2.2.2. デプロイメント・モデル
2.2.3. Cloud Essential Attributes 2.2.3. クラウド必須属性
2.3. CYBERSECURITY PRODUCTS AND SERVICES RELATED TO CLOUD COMPUTING 2.3. クラウドコンピューティングに関連するサイバーセキュリティ製品・サービス
2.4. CLOUD COMPUTING CYBERSECURITY CHALLENGES 2.4. クラウドコンピューティング・サイバーセキュリティの課題
2.5. THREAT EXPOSURE OF CLOUD COMPUTING 2.5. クラウドコンピューティングの脅威エクスポージャー
3. DEMOGRAPHICS OF INVOLVED STAKEHOLDER TYPES 3. 関係するステークホルダーのデモグラフィック
3.1. DEMAND SIDE: THE PROFILE OF CLOUD USERS 3.1. 需要側: クラウドユーザーのプロファイル
3.2. SUPPLY SIDE: THE PROFILE OF CLOUD PROVIDERS 3.2. 供給側: クラウドプロバイダーのプロファイル
3.3. REGULATORY BODIES 3.3. 規制機関
3.4. RESEARCH AND DEVELOPMENT ORGANISATIONS 3.4. 研究開発組織
3.5. INTERESTING OBSERVATIONS: CLOUD DEMOGRAPHICS 3.5. 興味深い見解である: クラウドデモグラフィックス
4. CLOUD USAGE PATTERNS AND REQUIREMENTS 4. クラウド利用形態と要件
4.1. CLOUD USAGE PATTERNS 4.1. クラウド利用形態
4.2. CLOUD CYBERSECURITY REQUIREMENTS 4.2. クラウドサイバーセキュリティ要件
4.3. INTERESTING OBSERVATIONS: CLOUD USAGE PATTERNS AND REQUIREMENTS 4.3. 興味深い観察 クラウドの使用パターンと要件
5. THREATS, CHALLENGES AND CAPABILITIES 5. 脅威、課題、能力
5.1. CLOUD CYBERSECURITY: THREATS, CHALLENGES AND CAPABILITIES 5.1. クラウドサイバーセキュリティ:脅威、課題、能力
5.1.1. Cloud Cybersecurity Threats: Multiplicity of Perception within All Stakeholder Types 5.1.1. クラウドサイバーセキュリティの脅威: すべてのステークホルダー・タイプにおける多様な認識
5.1.2. Cybersecurity Challenges and Level of Implementations 5.1.2. サイバーセキュリティの課題と実装のレベル
5.2. INCIDENTS AND VULNERABILITIES 5.2. インシデントと脆弱性
5.3. INTERESTING OBSERVATIONS: THREATS, CHALLENGES AND CAPABILITIES 5.3. 興味深い観察 脅威、課題、能力
6. ROLE OF REGULATION AND CERTIFICATION 6. 規制と認証の役割
6.1. TYPES OF REGULATORY ACTIVITIES IN CLOUD CYBERSECURITY 6.1. クラウドサイバーセキュリティにおける規制活動の種類
6.2. THE ROLE OF CERTIFICATION IN CLOUD CYBERSECURITY 6.2. クラウドサイバーセキュリティにおける認証の役割
6.3. INTERESTING OBSERVATIONS: ROLE OF REGULATION AND CERTIFICATION 6.3. 興味深い観察 規制と認証の役割
7. CLOUD CYBERSECURITY MARKET TRENDS 7. クラウドサイバーセキュリティ市場動向
7.1. CLOUD CYBERSECURITY MARKET EVOLUTION 7.1. クラウドサイバーセキュリティ市場進化
7.2. CLOUD CYBERSECURITY DRIVERS AND BARRIERS 7.2. クラウドサイバーセキュリティの推進要因と障壁
7.3. CLOUD CYBERSECURITY INNOVATION AREAS 7.3. クラウド・サイバーセキュリティ・イノベーション領域
7.4. INTERESTING OBSERVATIONS: CLOUD CYBERSECURITY MARKET TRENDS 7.4. 興味深い見解である: クラウド・サイバーセキュリティの市場動向
8. CONCLUDING REMARKS 8. 結語
8.1. CONCLUSIONS ON MARKET CHARACTERISTICS AND TRENDS 8.1. 市場特性およびトレンドに関する結論
8.2. CONCLUSIONS EMERGING FROM VARIATING PERCEPTIONS AND POTENTIAL GAPS 8.2. さまざまな認識と潜在的なギャップから生まれる結論
8.3. CONCLUSIONS ON MARKET BARRIERS 8.3. 市場バリアに関する結論
8.4. CONCLUSIONS ON RESEARCH AND INNOVATION TOPICS 8.4. 研究・イノベーションのテーマに関する結論
8.5. FURTHER CONSIDERATIONS AND PROJECTIONS 8.5. さらなる考察と予測
9. ΑNNEX A: CLOUD CYBERSECURITY MARKET ANALYSIS QUESTIONNAIRE 9. 附属書A:クラウド・サイバーセキュリティ市場分析アンケート
10.ANNEX B: SCOPING CRITERIA OF THE CLOUD CYBERSECURITY MARKET ANALYSIS 10.附属書B:クラウド・サイバーセキュリティ市場分析のスコープ基準

 

分析手法の更新...

・2023.03.27 ENISA Cybersecurity Market Analysis Framework (ECSMAF) -V2.0

・[PDF]

20230331-62712

 

 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.03 ENISA サイバーセキュリティ市場分析をするためのディスカッション

・2022.04.11 ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

 

 

| | Comments (0)

2023.03.30

大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書

こんにちは、丸山満彦です。

2022.10.04にランサムウェア攻撃で被害にあった、大阪急性期・総合医療センター が、情報セキュリティインシデント調査委員会報告書を公表していますね。。。

医療業務の事業継続についても、評価が高かったのですが、報告書もよくできているように思います。委員長は、猪俣先生です。。。お疲れ様でしたです。。。委員には、LACの西本さん(2000年に京都の会社で生じたインシデント対応をお願いした時からの付き合いです。。。)や医療関係経営者、医療システムの有識者、法律家等と、委員も本物ならば、業務、法律、システムとそれらをつなげられる方とバランスも良く、良い報告書ができるでしょう。。。という感じですね。。。

 

⚫︎ 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター

・2023.03.28 情報セキュリティインシデント調査委員会報告書について

報告書...

・[PDF] 情報セキュリティインシデント調査委員会報告書 [downloaded]

20230330-75800 

 

・[PDF] 情報セキュリティインシデント調査委員会報告書概要版 [downloaded]

20230330-81332 

 

 

 

| | Comments (0)

欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

こんにちは、丸山満彦です。

欧州警察機構 (Europol) がChatGPTなどの大規模言語モデルの犯罪利用に関して議論をし、報告書を公表していますね。。。はやい。。。

最近、クライアントと話をしていると、ChatGPTなどの大規模言語モデルの利用について話になります。大体の場合、

  1. 社会がどう変わるのかという話
  2. 普及に伴う悪影響についての話

に大別されますが、Europolの報告書は後者に関する話となりますね。。。

ちなみに、ChatGPTなどの大規模言語モデルの普及により、職がなくなるとか、社会のあり方が変わるという話がありますが、幹の話をすると、人間が新しい技術(道具)の普及の速度に合わせて「いかに道具」をうまく使いこなすのか?という話だと思います。

自動車が普及した時に衰退した産業、新たにできた産業や拡大した産業がありましたよね。。。電卓が普及した時に、算盤産業は影響を受け、算盤が得意な人の競争優位が薄れましたよね。。。パソコンが普及して、タイプライター産業、ワープロ産業が衰退し、でも社会が大きくかわりましたよね。。。インターネット普及で、、、スマホが普及して使えない人が、、、といろいろありますが、それぞれの技術を普及により社会が変わっていくが、社会における人間の役割は一定あるということだと思います。

今回は影響範囲が広そうですし、変化のスピードも早そうです。そこが大きなポイントかもしれません。。。人間が普及の速度に合わせていかにうまくChatGPTなどの大規模言語モデルを利用するか?ということだと思います。

そういう意味で(特に後者の意味で)、Europolの報告書は参考になることがあると思います。

 

⚫︎ Europol

・2023.03.27 The criminal use of ChatGPT – a cautionary tale about large language models

The criminal use of ChatGPT – a cautionary tale about large language models ChatGPTの犯罪利用-大規模言語モデルに関する注意事項
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across Europol to explore how criminals can abuse large language models (LLMs) such as ChatGPT, as well as how it may assist investigators in their daily work.  ChatGPTに対する社会的関心の高まりを受け、欧州警察機構イノベーション・ラボは、ChatGPTのような大規模言語モデル(LLM)を犯罪者がいかに悪用するか、また、捜査官の日常業務にいかに役立つかを探るため、欧州警察機構の専門家を集めて多数のワークショップが開催された。 
Their insights are compiled in Europol’s first Tech Watch Flash report published today. Entitled ‘ChatGPT - the impact of Large Language Models on Law Enforcement’, this document provides an overview on the potential misuse of ChatGPT, and offers an outlook on what may still be to come.  これらの知見は、本日発表されたユーロポールのテックウォッチ・フラッシュ・レポートにまとめられている。ChatGPT - the impact of Large Language Models on Law Enforcement」と題された本書は、ChatGPTが悪用される可能性について概観し、今後何が起こるかについての見通しを示している。 
The aim of this report is to raise awareness about the potential misuse of LLMs, to open a dialogue with Artificial Intelligence (AI) companies to help them build in better safeguards, and to promote the development of safe and trustworthy AI systems.  本報告書の目的は、LLMの悪用の可能性について認識を高め、人工知能(AI)企業がより良い安全策を構築できるよう対話を開始し、安全で信頼できるAIシステムの開発を促進することにある。 
A longer and more in-depth version of this report was produced for law enforcement only.  本レポートは、法執行機関向けにのみ、より長く、より詳細なバージョンが作成されている。 
What are large language models?  大規模言語モデルとは何か? 
A large language model is a type of AI system that can process, manipulate, and generate text.  大規模言語モデルは、テキストを処理、操作、生成することができるAIシステムの一種である。 
Training an LLM involves feeding it large amounts of data, such as books, articles and websites, so that it can learn the patterns and connections between words to generate new content.  LLMのトレーニングには、書籍、記事、ウェブサイトなどの大量のデータを与え、単語間のパターンやつながりを学習させ、新しいコンテンツを生成させることが含まれる。 
ChatGPT is an LLM that was developed by OpenAI and released to the wider public as part of a research preview in November 2022. ChatGPTは、OpenAIが開発したLLMで、2022年11月に研究プレビューの一環として広く一般に公開された。
The current publicly accessible model underlying ChatGPT is capable of processing and generating human-like text in response to user prompts. Specifically, the model can answer questions on a variety of topics, translate text, engage in conversational exchanges (‘chatting’), generate new content, and produce functional code.  現在公開されているChatGPTの基礎となるモデルは、ユーザーのプロンプトに応じて人間のようなテキストを処理・生成することが可能である。具体的には、さまざまなトピックに関する質問への回答、テキストの翻訳、会話のやり取り(「チャット」)、新しいコンテンツの生成、機能コードの生成などが可能である。 
The dark side of Large Language Models 大規模言語モデルのダークサイド
As the capabilities of LLMs such as ChatGPT are actively being improved, the potential exploitation of these types of AI systems by criminals provide a grim outlook. ChatGPTのようなLLMの能力が向上するにつれ、この種のAIシステムが犯罪者に悪用される可能性があり、厳しい見通しを示している。
The following three crime areas are amongst the many areas of concern identified by Europol’s experts:  Europolの専門家が指摘する多くの懸念事項の中には、次の3つの犯罪分野が含まれている: 
Fraud and social engineering: ChatGPT’s ability to draft highly realistic text makes it a useful tool for phishing purposes. The ability of LLMs to re-produce language patterns can be used to impersonate the style of speech of specific individuals or groups. This capability can be abused at scale to mislead potential victims into placing their trust in the hands of criminal actors. 詐欺とソーシャルエンジニアリング:ChatGPTは、非常にリアルなテキストを起草できるため、フィッシング目的のツールとしても有効である。LLMが言語パターンを再現する能力は、特定の個人または集団の発話スタイルになりすますために利用できる。この機能を大規模に悪用することで、潜在的な被害者を欺き、犯罪者の手に信頼を委ねることができる。
Disinformation: ChatGPT excels at producing authentic sounding text at speed and scale. This makes the model ideal for propaganda and disinformation purposes, as it allows users to generate and spread messages reflecting a specific narrative with relatively little effort. 偽情報: ChatGPTは、本物そっくりのテキストを高速かつ大規模に作成することに優れている。そのため、特定のシナリオを反映したメッセージを比較的少ない労力で作成・拡散することができ、プロパガンダや偽情報の作成に最適なモデルである。
Cybercrime: In addition to generating human-like language, ChatGPT is capable of producing code in a number of different programming languages. For a potential criminal with little technical knowledge, this is an invaluable resource to produce malicious code.  サイバー犯罪:ChatGPTは、人間のような言語を生成するだけでなく、多くの異なるプログラミング言語のコードを生成することができる。技術的な知識のない潜在的な犯罪者にとって、これは悪意のあるコードを作成するための貴重なリソースとなる。 
As technology progresses, and new models become available, it will become increasingly important for law enforcement to stay at the forefront of these developments to anticipate and prevent abuse.  技術が進歩し、新しいモデルが利用可能になるにつれ、法執行機関はこれらの開発の最前線に立ち、悪用を予測・防止することがますます重要になるだろう。 
Read Europol’s recommendations and the full findings of the report here. ユーロポールの提言と報告書の全内容はこちらから参照のこと。
*** ***
Important notice: The LLM selected to be examined in the workshops was ChatGPT. ChatGPT was chosen because it is the highest-profile and most commonly used LLM currently available to the public. The purpose of the exercise was to observe the behaviour of an LLM when confronted with criminal and law enforcement use cases. This will help law enforcement understand what challenges derivative and generative AI models could pose. 重要事項: ワークショップで検討されるLLMはChatGPTに決定した。ChatGPTが選ばれたのは、現在公開されているLLMの中で最も知名度が高く、最も一般的に使用されているからである。この演習の目的は、犯罪や法執行機関のユースケースに直面したときのLLMの挙動を観察することでした。これにより、法執行機関は、派生的・生成的なAIモデルがどのような課題をもたらすかを理解することができる。
*** ***
About the Europol Innovation Lab  ユーロポール・イノベーション・ラボについて 
The Europol Innovation Lab helps the European law enforcement community to make the most of emerging technologies by finding synergies and developing innovative solutions to improve the ways in which they investigate, track and disrupt terrorist and criminal organisations. The Lab leads several research projects and coordinates the development of investigative tools with national law enforcement authorities.  ユーロポール・イノベーション・ラボは、欧州の法執行機関が、テロ組織や犯罪組織の捜査、追跡、破壊の方法を改善するために、相乗効果を見出し、革新的なソリューションを開発することで、新興技術を最大限に活用できるよう支援している。ラボは、いくつかの研究プロジェクトを主導し、各国の法執行当局と捜査ツールの開発を調整している。 
Read more about the Lab’s work. ラボの活動についてはこちらを参照のこと。

 

・2023.03.27 ChatGPT - the impact of Large Language Models on Law Enforcement

ChatGPT - the impact of Large Language Models on Law Enforcement ChatGPT-大規模言語モデルが法執行に及ぼす影響
Large Language Models (LLMs) such as ChatGPT are undergoing rapid advances and have now entered the mainstream. This marks a significant step forward for machine learning, as it shows its ability to handle both mundane tasks and complex creative tasks. The developments with LLMs hold potential implications for all industries, including criminal ones. So what does this mean for law enforcement? ChatGPTのような大規模言語モデル(LLM)は、急速な進歩を遂げ、今や主流になりつつある。これは、機械学習が、ありふれたタスクと複雑な創造的タスクの両方に対応できることを示すものであり、機械学習の重要な前進を意味する。LLMを用いた開発は、犯罪を含むすべての産業に潜在的な影響を与えます。では、法執行機関にとってどのような意味があるのだろうか。
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across the organisation to explore how criminals can abuse LLMs, as well as how it may assist investigators in their daily work. This Tech Watch Flash report analyses the findings of these sessio・s and includes key information for law enforcement as they continue to scan for new and emerging technologies that affect their work. ChatGPTに対する社会的関心の高まりを受け、Europol Innovation Labは、犯罪者がLLMをどのように悪用するか、また、捜査官の日常業務にどのように役立つかを探るため、組織内の主題専門家を集めて多くのワークショップを開催した。この Tech Watch Flash レポートでは、これらのセッションで得られた知見を分析し、法執行機関が自分たちの業務に影響を与える新しい技術や新興の技術をスキャンし続ける際の重要な情報を掲載している。
In Tech Watch Flash reports, Europol’s Innovation Lab, often working side-by-side with other law enforcement agencies and operational partners, presents analyses of new technologies that could affect the work of law enforcement.  Tech Watch Flashレポートでは、欧州警察機構(Europol)のイノベーション・ラボが、他の法執行機関やオペレーション・パートナーと共同で、法執行機関の業務に影響を与える可能性のある新技術の分析結果を紹介している。 

 

・[PDF] ChatGPT - the impact of Large Language Models on Law Enforcement

20230330-42136

 

目次...

INTRODUCTION 序文
BACKGROUND: LARGE LANGUAGE MODELS AND CHATGPT 背景:大規模言語モデルとChatGPT
SAFEGUARDS, PROMPT ENGINEERING, JAILBREAKS セーフガード、プロンプトエンジニアリング、ジェイルブレイク
CRIMINAL USE CASES 犯罪ユースケース
 Fraud, impersonation, and social engineering  不正行為、なりすまし、ソーシャルエンジニアリング
 Cybercrime  サイバー犯罪 
IMPACT AND OUTLOOK 影響と見通し
RECOMMENDATIONS 提言
CONCLUSION 結論

 

仮訳..

INTRODUCTION  序文 
The release and widespread use of ChatGPT – a large language model (LLM) developed by OpenAI – has created significant public attention, chiefly due to its ability to quickly provide ready-to-use answers that can be applied to a vast amount of different contexts.  OpenAIが開発した大規模言語モデル(LLM)であるChatGPTの公開と普及は、膨大な数の異なる文脈に適用可能な、すぐに使える回答を素早く提供する能力によって、大きな社会的関心を呼んでいる。
These models hold masses of potential. Machine learning, once expected to handle only mundane tasks, has proven itself capable of complex creative work. LLMs are being refined and new versions rolled out regularly, with technological improvements coming thick and fast. While this offers great opportunities to legitimate businesses and members of the public it also can be a risk for them and for the respect of fundamental rights, as criminals and bad actors may wish to exploit LLMs for their own nefarious purposes.  このようなモデルには、大きな可能性が秘められている。機械学習は、かつてはありふれた作業しかできないと思われていたが、複雑な創造的作業にも対応できることが証明された。LLMは、定期的に改良され、新しいバージョンが展開され、技術的な改善がどんどん進んでいる。このことは、合法的な企業や一般市民にとって大きなチャンスである一方、犯罪者や悪質な行為者がLLMを悪用しようとする可能性があり、彼らや基本的権利の尊重にとってリスクとなる可能性がある。
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across the organisation to explore how criminals can abuse LLMs such as ChatGPT, as well as how it may assist investigators in their daily work. The experts who participated in the workshops represented the full spectrum of Europol’s expertise, including operational analysis, serious and organised crime, cybercrime, counterterrorism, as well as information technology.  ChatGPTに対する社会的関心の高まりを受け、ユーロポール・イノベーション・ラボは、犯罪者がChatGPTのようなLLMをどのように悪用するか、また、捜査官の日常業務にどのように役立つかを探るため、組織内の専門家による多数のワークショップを開催した。ワークショップに参加した専門家は、オペレーション分析、重大組織犯罪、サイバー犯罪、テロ対策、情報技術など、欧州警察機構(Europol)の全専門分野を網羅している。
Thanks to the wealth of expertise and specialisations represented in the workshops, these hands-on sessions stimulated discussions on the positive and negative potential of ChatGPT, and collected a wide range of practical use cases. While these use cases do not reflect an exhaustive overview of all potential applications, they provide a glimpse of what is possible.  ワークショップに参加した専門家の豊富な専門知識により、これらの実践的なセッションは、ChatGPTのプラスとマイナスの可能性についての議論を刺激し、幅広い実用的なユースケースを収集した。これらのユースケースは、すべての潜在的なアプリケーションを網羅するものではないが、何が可能かを垣間見ることができるものである。
The objective of this report is to examine the outcomes of the dedicated expert workshops and to raise awareness of the impact LLMs can have on the work of the law enforcement community. As this type of technology is undergoing rapid progress, this document further provides a brief outlook of what may still be to come, and highlights a number of recommendations on what can be done now to better prepare for it.  本報告書の目的は、専用の専門家ワークショップの成果を検証し、LLMが法執行機関の業務に与える影響について認識を高めることにある。この種の技術は急速に進歩しているため、本書ではさらに、今後何が起こるかを簡単に展望し、それに備えるために今何ができるかについて、多くの推奨事項を強調している。
Important notice: The LLM selected to be examined in the workshops was ChatGPT. ChatGPT was chosen because it is the highest-profile and most commonly used LLM currently available to the public. The purpose of the exercise was to observe the behaviour of an LLM when confronted with criminal and law enforcement use cases. This will help law enforcement understand what challenges derivative and generative AI models could pose.  重要なお知らせである: 今回のワークショップで検討されたLLMはChatGPTである。ChatGPTが選ばれた理由は、現在公開されているLLMの中で最も知名度が高く、最も一般的に使用されているからである。この演習の目的は、犯罪や法執行機関のユースケースに直面したときのLLMの挙動を観察することでした。これにより、法執行機関は、派生的・生成的なAIモデルがどのような課題をもたらすかを理解することができる。
A longer and more in-depth version of this report was produced for law enforcement consumption only.   本レポートは、法執行機関向けに、より長く、より深いバージョンで作成されている。 
BACKGROUND: LARGE LANGUAGE MODELS AND CHATGPT  背景:大規模言語モデルとChatGPT
 Artificial Intelligence   人工知能
Artificial Intelligence (AI) is a broad field of computer science that involves creating intelligent  machines that can perform tasks that typically require human-level intelligence, such as understanding natural language, recognizing images, and making decisions. Al encompasses various subfields, including machine learning, natural language processing, computer vision, robotics, and expert systems.  人工知能(AI)は、コンピュータサイエンスの広い分野で、自然言語の理解、画像の認識、意思決定など、通常人間レベルの知能を必要とするタスクを実行できる知的マシンを作ることを目的としている。機械学習、自然言語処理、コンピュータビジョン、ロボット工学、エキスパートシステムなど、さまざまな分野がある。
Neural Networks   ニューラルネット  
Neural Networks, also known as Artificial Neural Networks (ANN), are computing systems inspired by the structure and function of the human brain. They consist of interconnected nodes or neurons that are designed to recognize patterns and make decisions based on input data.  ニューラルネットワークは、人工ニューラルネットワーク(ANN)とも呼ばれ、人間の脳の構造と機能にヒントを得たコンピューティングシステムである。ニューラルネットワークは、相互に接続されたノードまたはニューロンで構成され、入力データに基づいてパターンを認識し、意思決定を行うよう設計されている。
Deep learning  深層学習
Deep Learning is a subfield of machine learning that involves training artificial neural networks, which are computing systems inspired by the structure and function of the human brain, to recognize patterns and make decisions based on large amounts of data. Deep Learning has been particularly successful in fields such as image recognition, natural language processing, and speech recognition.  深層学習は、機械学習の一分野であり、人間の脳の構造と機能にヒントを得たコンピューティングシステムである人工ニューラルネットワークを訓練し、大量のデータに基づいてパターンを認識し意思決定を行うものである。ディープラーニングは、画像認識、自然言語処理、音声認識などの分野で特に成功を収めている。
Supervised/unsupervised learning  教師あり/教師なし学習 
Supervised Learning is a type of machine learning that involves training a model using labeled data, where the desired output is already known. The model learns to make predictions or decisions by finding patterns in the data and mapping input variables to output variables.  教師あり学習は、機械学習の一種で、目的の出力がすでに分かっているラベル付きデータを使ってモデルを学習させるものである。モデルは、データのパターンを見つけ、入力変数を出力変数に対応付けることによって、予測や決定を行うことを学習する。
Unsupervised Learning is a type of machine learning that involves training a model using unlabeled data, where the desired output is unknown. The model learns to identify patterns and relationships in the data without being given specific instructions, and is often used for tasks such as clustering, anomaly detection, and dimensionality reduction.  教師なし学習は、機械学習の一種で、ラベルのないデータを使ってモデルを学習するものである。このモデルは、特定の指示を受けることなく、データのパターンと関係を識別することを学習し、クラスタリング、異常検出、次元削減などのタスクによく使用される。
Definitions provided by ChatGPT.  ChatGPTが提供する定義
ChatGPT is a large language model (LLM) that was developed by OpenAI and released to the wider public as part of a research preview in November 2022. Natural language processing and LLMs are subfields of artificial intelligence (AI) systems that are built on deep learning techniques and the training of neural networks on significant amounts of data. This allows LLMs to understand and generate natural language text.   ChatGPTは、OpenAIが開発し、2022年11月にリサーチプレビューの一環として広く一般に公開された大規模言語モデル(LLM)である。自然言語処理とLLMは、人工知能(AI)システムのサブフィールドであり、深層学習技術や、大量のデータに対するニューラルネットワークのトレーニングに基づいて構築されている。これにより、LLMは自然言語のテキストを理解し生成することができる。 
Over recent years, the field has seen significant breakthroughs due in part to the rapid progress made in the development of supercomputers and deep learning algorithms. At the same time, an unprecedented amount of available data has allowed researchers to train their models on the vast input of information needed.   近年、スーパーコンピューターや深層学習アルゴリズムの開発が急速に進んだこともあり、この分野は大きなブレークスルーを見せている。同時に、かつてないほど大量の利用可能なデータにより、研究者は必要とされる膨大な情報の入力に対してモデルを訓練することができるようになった。 
The LLM ChatGPT is based on the Generative Pre-trained Transformer (GPT) architecture. It was trained using a neural network designed for natural language processing on a dataset of over 45 terabytes of text from the internet (books, articles, websites, other text-based content), which in total included billions of words of text.  LLM ChatGPTは、Generative Pre-trained Transformer(GPT)アーキテクチャをベースにしている。インターネット上のテキスト(書籍、記事、ウェブサイト、その他のテキストベースのコンテンツ)から45テラバイトを超えるデータセットを対象に、自然言語処理用に設計されたニューラルネットワークを用いて訓練され、合計で数十億語のテキストを含んでいる。
The training of ChatGPT was carried out in two phases: the first involved unsupervised training, which included training ChatGPT to predict missing words in a given text to learn the structure and patterns of human language. Once pre-trained, the second phase saw ChatGPT fine-tuned through Reinforcement Learning from Human Feedback (RLHF), a supervised learning approach during which human input helped the model learn to adjust its parameters in order to better perform its tasks.   ChatGPTのトレーニングは2つのフェーズで行われた。1つ目は教師なしトレーニングで、与えられたテキストに欠けている単語を予測し、人間の言語の構造とパターンを学ぶためにChatGPTをトレーニングすることを含んでいる。第2段階では、人間のフィードバックによる強化学習(RLHF)により、ChatGPTの微調整を行いた。これは教師あり学習で、人間の入力により、モデルがより良いタスクを実行するためにパラメータを調整することを学習する。 
The current publicly accessible model underlying ChatGPT, GPT-3.5, is capable of processing and generating human-like text in response to user prompts. Specifically, the model can answer questions on a variety of topics, translate text, engage in conversational exchanges (‘chatting’), and summarise text to provide key points. It is further capable of performing sentiment analysis, generating text based on a given prompt (i.e. writing a story or poem), as well as explaining, producing, and improving code in some of the most common programming languages (Python, Java, C++, JavaScript, PHP, Ruby, HTML, CSS, SQL). In its essence, then, ChatGPT is very good at understanding human input, taking into account its context, and producing answers that are highly usable.   現在公開されているChatGPTの基盤モデルであるGPT-3.5は、ユーザーのプロンプトに応答して人間のようなテキストを処理・生成することが可能である。具体的には、様々なトピックに関する質問への回答、テキストの翻訳、会話のやり取り(チャット)、重要なポイントを示すテキストの要約などを行うことができる。さらに、感情分析、プロンプトに基づくテキスト生成(物語や詩の作成)、一般的なプログラミング言語(Python、Java、C++、JavaScript、PHP、Ruby、HTML、CSS、SQL)によるコードの説明、作成、改良が可能である。つまり、ChatGPTは、人間の入力を理解し、その文脈を考慮した上で、ユーザビリティの高い答えを出すことに長けているのである。 
In March 2023, OpenAI released for subscribers of ChatGPT Plus its latest model, GPT4. According to OpenAI, GPT-4 is capable of solving more advanced problems more accurately[1] . In addition, GPT-4 offers advanced API integration and can process, classify, and analyse images as input. Moreover, GPT-4 is claimed to be less likely to respond to requests for ‘disallowed content’ and more likely to produce factual responses than GPT-3.5 . Newer versions with greater functionalities and capabilities are expected to be released as the development and improvement of LLMs continues.  2023年3月、OpenAIはChatGPT Plusの加入者向けに、その最新モデルであるGPT4をリリースした。OpenAIによると、GPT-4は、より高度な問題をより正確に解くことができる[1]ようになったとのことである。また、GPT-4は高度なAPI連携を実現し、入力された画像を処理、分類、分析することができる。さらに、GPT-4はGPT-3.5と比較して、「許可されないコンテンツ」のリクエストに反応する可能性が低く、事実に基づいたレスポンスを生成する可能性が高いとされている。今後もLLMの開発・改良が進み、より高機能・高性能な新バージョンのリリースが期待される。
Limitations  制限事項 
Still, the model has a number of important limitations that need to be kept in mind. The most obvious one relates to the data on which it has been trained: while updates are made on a constant basis, the vast majority of ChatGPT’s training data dates back to September 2021. The answers generated on the basis of this data do not include references to understand where certain information was taken from, and may be biased. Additionally, ChatGPT excels at providing answers that sound very plausible, but that are often inaccurate or wrong[3][ 4]. This is because ChatGPT does not fundamentally understand the meaning behind human language, but rather its patterns and structure on the basis of the vast amount of text with which it has been trained. This means answers are often basic, as the model struggles with producing advanced analysis of a given input[5] . Another key issue relates to the input itself, as often, the precise phrasing of the prompt is very important in getting the right answer out of ChatGPT. Small tweaks can quickly reveal different answers, or lead the model into believing it does not know the answer at all. This is also the case with ambiguous prompts, whereby ChatGPT typically assumes to understand what the user wants to know, instead of asking for further clarifications.  しかし、このモデルには、留意すべき重要な限界がいくつかある。最も明白なのは、学習させたデータに関するものである。更新は恒常的に行われているが、ChatGPTの学習データの大部分は2021年9月に遡ります。このデータに基づいて生成された回答は、特定の情報がどこから取得されたかを理解するための参照を含んでおらず、バイアスがかかっている可能性がある。さらに、ChatGPTは、非常にもっともらしく聞こえるが、不正確または間違っていることが多い回答を提供することを得意としている[3 ][4]。これは、ChatGPTが人間の言葉の意味を根本的に理解しているわけではなく、訓練された膨大な量のテキストに基づいて、そのパターンや構造を理解しているためである。つまり、与えられた入力に対して高度な分析を行うことに苦労しているため、回答は基本的なものになることが多いのである[5]。ChatGPTから正しい答えを引き出すには、プロンプトの正確な言い回しが非常に重要である。ちょっとした工夫で、すぐに違う答えを導き出したり、答えがわからないと思わせてしまったりすることがある。これは曖昧なプロンプトの場合も同様で、ChatGPTは通常、さらなる説明を求める代わりに、ユーザーが知りたいことを理解していると仮定する。
Finally, the biggest limitation of ChatGPT is self-imposed. As part of the model’s content moderation policy, ChatGPT does not answer questions that have been classified as harmful or biased. These safety mechanisms are constantly updated, but can still be circumvented in some cases with the correct prompt engineering. The following chapters describe in more detail how this is possible and what implications arise as a result.   最後に、ChatGPTの最大の限界は、自ら招いたものである。このモデルのコンテンツモデレーションポリシーの一環として、ChatGPTは有害またはバイアスと分類された質問には答えない。これらの安全機構は常に更新されているが、それでも正しいプロンプトエンジニアリングで回避できる場合もある。次の章では、どのようにしてこれが可能なのか、またその結果どのような影響が生じるのかについて、より詳細に説明する。 
SAFEGUARDS, PROMPT ENGINEERING, JAILBREAKS  セーフガード、プロンプトエンジニアリング、ジェイルブレイク 
Given the significant wealth of information to which ChatGPT has access, and the relative ease with which it can produce a wide variety of answers in response to a user prompt, OpenAI has included a number of safety features with a view to preventing malicious use of the model by its users. The Moderation endpoint assesses a given text input on the potential of its content being sexual, hateful, violent, or promoting selfharm, and restricts ChatGPT’s capability to respond to these types of prompts[6][7].  ChatGPTがアクセスできる情報は非常に豊富であり、ユーザーのプロンプトに対して様々な回答を比較的容易に生成できることから、OpenAIはユーザーによる悪意のある利用を防止するために、多くの安全機能を搭載している。モデレーションエンドポイントは、入力されたテキストが性的、憎悪的、暴力的、または自傷行為を助長する内容である可能性を評価し、ChatGPTがこれらのタイプのプロンプトに応答する機能を制限する[6][7]。
1_20230330045501
Many of these safeguards, however, can be circumvented fairly easily through prompt engineering. Prompt engineering is a relatively new concept in the field of natural language processing; it is the practice of users refining the precise way a question is asked in order to influence the output that is generated by an AI system. While prompt engineering is a useful and necessary component of maximising the use of AI tools, it can be abused in order to bypass content moderation limitations to produce potentially harmful content. While the capacity for prompt engineering creates versatility and added value for the quality of an LLM, this needs to be balanced with ethical and legal obligations to prevent their use for harm.  しかし、これらのセーフガードの多くは、プロンプトエンジニアリングによってかなり簡単に回避することができる。プロンプトエンジニアリングは、自然言語処理の分野では比較的新しい概念で、AIシステムが生成する出力に影響を与えるために、ユーザーが質問の正確な方法を改良することを指する。プロンプトエンジニアリングは、AIツールを最大限に活用するために有用かつ必要な要素であるが、コンテンツモデレーションの制限を回避するために悪用され、潜在的に有害なコンテンツが生成される可能性がある。プロンプト・エンジニアリングの能力は、LLMの品質に汎用性と付加価値をもたらするが、有害な用途での使用を防ぐための倫理的・法的義務とのバランスを取る必要がある。
LLMs are still at a relatively early stage of development, and as improvements are made, some of these loopholes are closed[8] . Given the complexity of these models, however, there is no shortage of new workarounds being discovered by researchers and threat actors. In the case of ChatGPT, some of the most common workarounds include the following:  LLMはまだ比較的初期の開発段階であり、改良が進めば、こうした抜け穴のいくつかが塞がれる[8]。しかし、これらのモデルの複雑さを考えると、研究者や脅威行為者によって発見される新しい回避策に事欠きません。ChatGPTの場合、最も一般的な回避策には以下のようなものがある: 
► Prompt creation (providing an answer and asking ChatGPT to provide the corresponding prompt);  ►プロンプトの作成(答えを提供し、対応するプロンプトを提供するようChatGPTに依頼する); 
► Asking ChatGPT to give the answer as a piece of code or pretending to be a fictional character talking about the subject;  ►ChatGPTにコードの一部として答えを与えるよう依頼したり、架空のキャラクターがそのテーマについて話しているふりをする; 
► Replacing trigger words and changing the context later;  ►トリガーワードを置き換えて、後で文脈を変更する; 
► Style/opinion transfers (prompting an objective response and subsequently changing the style/perspective it was written in);  ►スタイル/オピニオントランスファー(客観的な回答を促し、その後に書かれたスタイル/パースペクティブを変更すること); 
► Creating fictitious examples that are easily transferrable to real events (i.e. by avoiding names, nationalities, etc.).  ►現実の出来事に容易に移行できるような架空の例を作る(名前や国籍などを避けるなど)。
Some of the most advanced and powerful workarounds are sets of specific instructions aimed at jailbreaking the model. One of these is the so-called ‘DAN’ (‘Do Anything Now’) jailbreak, which is a prompt specifically designed to bypass OpenAI’s safeguards and lead ChatGPT to respond to any input, regardless of its potentially harmful nature. While OpenAI quickly closed this particular loophole, new and ever more complex versions of DAN have emerged subsequently, all designed to provide jailbreak prompts that can navigate through the safety mechanisms built into the model[9] . As of the time of writing of this report, no functional DAN was available.   最も高度で強力な回避策は、モデルを脱獄させることを目的とした特定の命令セットである。これは、OpenAIのセーフガードを回避するために特別に設計されたプロンプトで、ChatGPTは、潜在的に有害な性質に関係なく、あらゆる入力に反応するようになる。OpenAIはこの特別な抜け穴をすぐに閉鎖したが、その後、DANの新しい、より複雑なバージョンが出現し、すべてモデルに組み込まれた安全機構を通過できる脱獄プロンプトを提供するように設計されている[9]。本レポートの執筆時点では、機能的なDANは存在しない。 
CRIMINAL USE CASES  犯罪の使用例 
The release of GPT-4 was meant not only to improve the functionality of ChatGPT, but also to make the model less likely to produce potentially harmful output. Europol workshops involving subject matter experts from across Europol’s array of expertise identified a diverse range of criminal use cases in GPT-3.5. A subsequent check of GPT4, however, showed that all of them still worked. In some cases, the potentially harmful responses from GPT-4 were even more advanced.  GPT-4のリリースは、ChatGPTの機能を向上させるだけでなく、潜在的に有害な出力を生成する可能性を低くすることを意図している。ユーロポールの専門家が参加するワークショップでは、GPT-3.5で多様な犯罪ユースケースが確認された。しかし、その後GPT4で確認したところ、すべてのケースで動作することがわかりました。場合によっては、GPT-4の有害な可能性のある対応がさらに進んでいることもあった。
ChatGPT excels at providing the user with ready-to-use information in response to a wide range of prompts. If a potential criminal knows nothing about a particular crime area, ChatGPT can speed up the research process significantly by offering key information that can then be further explored in subsequent steps. As such, ChatGPT can be used to learn about a vast number of potential crime areas with no prior knowledge, ranging from how to break into a home, to terrorism, cybercrime and child sexual abuse. The identified use cases that emerged from the workshops Europol carried out with its experts are by no means exhaustive. Rather, the aim is to give an idea of just how diverse and potentially dangerous LLMs such as ChatGPT can be in the hands of malicious actors.  ChatGPTは、様々なプロンプトに対して、すぐに使える情報をユーザーに提供することに長けている。犯罪に巻き込まれる可能性のある人が、ある犯罪地域について何も知らない場合、ChatGPTは重要な情報を提供し、その後のステップでさらに調べることができるため、調査プロセスを大幅にスピードアップすることができる。このように、ChatGPTは、家庭への侵入方法からテロ、サイバー犯罪、児童性的虐待に至るまで、膨大な数の潜在的犯罪領域について、予備知識なしで学ぶために使用することができる。ユーロポールが専門家と行ったワークショップから生まれたユースケースは、決して網羅的なものではない。むしろ、ChatGPTのようなLLMが悪意ある行為者の手にかかると、どれほど多様で潜在的に危険なものになり得るかを示すことが目的である。
While all of the information ChatGPT provides is freely available on the internet, the possibility to use the model to provide specific steps by asking contextual questions means it is significantly easier for malicious actors to better understand and subsequently carry out various types of crime.  ChatGPTが提供する情報はすべてインターネット上で自由に入手できるが、文脈に沿った質問をすることで具体的な手順を示すことができるため、悪意のある行為者が様々な犯罪をより理解し、実行することが非常に容易になっている。
Fraud, impersonation, and social engineering  詐欺、なりすまし、ソーシャルエンジニアリング 
ChatGPT’s ability to draft highly authentic texts on the basis of a user prompt makes it an extremely useful tool for phishing purposes. Where many basic phishing scams were previously more easily detectable due to obvious grammatical and spelling mistakes, it is now possible to impersonate an organisation or individual in a highly realistic manner even with only a basic grasp of the English language.  ChatGPTは、ユーザーからのプロンプトをもとに本人認証の高い文章を作成することができるため、フィッシング詐欺に非常に有効なツールとなっている。以前は、文法やスペルミスが目立つため、基本的なフィッシング詐欺の多くは簡単に見破ることができましたが、今では英語の基本的な知識しかなくても、非常にリアルな方法で組織や個人になりすますことが可能である。
Critically, the context of the phishing email can be adapted easily depending on the needs of the threat actor, ranging from fraudulent investment opportunities to business e-mail compromise and CEO fraud[10] . ChatGPT may therefore offer criminals new opportunities, especially for crimes involving social engineering, given its abilities to respond to messages in context and adopt a specific writing style. Additionally, various types of online fraud can be given added legitimacy by using ChatGPT to generate fake social media engagement, for instance to promote a fraudulent investment offer.  また、フィッシングメールの文脈は、詐欺的な投資機会からビジネスメールの漏洩やCEO詐欺まで、脅威者のニーズに応じて容易に変更することができる[10]。そのため、ChatGPTは、文脈に応じたメッセージへの対応や特定の文体を採用する能力を備えており、特にソーシャルエンジニアリングを伴う犯罪において、犯罪者に新たな機会を提供する可能性がある。また、ChatGPTを利用して偽のソーシャルメディアエンゲージメントを生成することで、さまざまなタイプのオンライン詐欺に正当性を持たせることができる(例えば、詐欺的な投資案件を宣伝するためなど)。
To date, these types of deceptive communications have been something criminals would have to produce on their own. In the case of mass-produced campaigns, targets of these types of crime would often be able to identify the inauthentic nature of a message due to obvious spelling or grammar mistakes or its vague or inaccurate content. With the help of LLMs, these types of phishing and online fraud can be created faster, much more authentically, and at significantly increased scale.  これまで、このような欺瞞的なコミュニケーションは、犯罪者が自ら作り出す必要があった。大量生産されたキャンペーンの場合、スペルミスや文法ミス、曖昧で不正確な内容から、この種の犯罪のターゲットがメッセージの真偽を見極めることができることが多い。LLMを使えば、このようなフィッシングやオンライン詐欺を、より早く、より本物に近い形で、しかも大幅に規模を拡大して作成することができる。
The ability of LLMs to detect and re-produce language patterns does not only facilitate phishing and online fraud, but can also generally be used to impersonate the style of speech of specific individuals or groups. This capability can be abused at scale to mislead potential victims into placing their trust in the hands of criminal actors.  LLMの言語パターンの検出と再作成能力は、フィッシングやオンライン詐欺を容易にするだけでなく、一般的に特定の個人やグループのスピーチスタイルを模倣するために使用することができる。この機能は、潜在的な被害者を欺き、犯罪者の手に信頼を委ねるために、大規模に悪用される可能性がある。
In addition to the criminal activities outlined above, the capabilities of ChatGPT lend themselves to a number of potential abuse cases in the area of terrorism, propaganda, and disinformation. As such, the model can be used to generally gather more information that may facilitate terrorist activities, such as for instance, terrorism financing or anonymous file sharing.  上記の犯罪行為に加え、ChatGPTの機能は、テロリズム、プロパガンダ、偽情報の分野でも多くの潜在的な悪用ケースに適している。例えば、テロ資金調達や匿名のファイル共有など、テロ活動を促進する可能性のある情報をより多く収集するために使用することが可能である。
ChatGPT excels at producing authentic sounding text at speed and scale. This makes the model ideal for propaganda and disinformation purposes, as it allows users to generate and spread messages reflecting a specific narrative with relatively little effort. For instance, ChatGPT can be used to generate online propaganda on behalf of other actors to promote or defend certain views that have been debunked as disinformation or fake news[11] .  ChatGPTは、スピードとスケールで本人認証のあるテキストを作成することに優れている。そのため、特定のシナリオを反映したメッセージを比較的少ない労力で生成・拡散することができ、プロパガンダや偽情報の作成に最適なモデルである。例えば、ChatGPTは、偽情報やフェイクニュースとして否定された特定の見解を促進または擁護するために、他のアクターに代わってオンラインプロパガンダを生成するために使用することができる[11]。
These examples provide merely a glimpse of what is possible. While ChatGPT refuses to provide answers to prompts it considers obviously malicious, it is possible – similar to the other use cases detailed in this report – to circumvent these restrictions. Not only would this type of application facilitate the perpetration of disinformation, hate speech and terrorist content online - it would also allow users to give it misplaced credibility, having been generated by a machine and, thus, possibly appearing more objective to some than if it was produced by a human[12] .  これらの例は、何が可能かを垣間見ることができるに過ぎません。ChatGPTは、明らかに悪意があると思われるプロンプトへの回答を拒否しているが、本レポートで詳述した他のユースケースと同様に、これらの制限を回避することは可能である。このようなアプリケーションは、偽情報、ヘイトスピーチ、テロリストのコンテンツをネット上で拡散させるだけでなく、機械によって生成されたため、人間が生成した場合よりも客観的に見える可能性があるとして、ユーザーに誤った信頼性を与えることも可能になる[12]。
Cybercrime  サイバー犯罪 
In addition to generating human-like language, ChatGPT is capable of producing code in a number of different programming languages. As with the other use cases, it is possible to generate a range of practical outputs in a matter of minutes by entering the right prompts. One of the crime areas for which this could have a significant impact is cybercrime. With the current version of ChatGPT it is already possible to create basic tools for a variety of malicious purposes. Despite the tools being only basic (i.e. to produce phishing pages or malicious VBA scripts), this provides a start for cybercrime as it enables someone without technical knowledge to exploit an attack vector on a victim’s system.  ChatGPTは、人間のような言語を生成するだけでなく、多くの異なるプログラミング言語のコードを生成することが可能である。他の使用例と同様に、適切なプロンプトを入力することで、数分のうちにさまざまな実用的なアウトプットを生成することが可能である。これが大きな影響を与える可能性のある犯罪分野のひとつに、サイバー犯罪がある。ChatGPTの現バージョンでは、さまざまな悪意のある目的のための基本的なツールを作成することがすでに可能である。このツールは基本的なもの(フィッシングページや悪意のあるVBAスクリプトの作成など)であるにもかかわらず、専門知識を持たない人が被害者のシステム上で攻撃ベクトルを悪用できるため、サイバー犯罪のきっかけになる。
This type of automated code generation is particularly useful for those criminal actors with little to no knowledge of coding and development. Critically, the safeguards preventing ChatGPT from providing potentially malicious code only work if the model understands what it is doing. If prompts are broken down into individual steps, it is trivial to bypass these safety measures.  このような自動コード生成は、コーディングや開発に関する知識がほとんどない犯罪者にとっては特に有効である。重要なことは、ChatGPTが悪意のあるコードを提供することを防ぐセーフガードは、モデルが何をしているかを理解している場合にのみ機能するということである。プロンプトが個々のステップに分割されている場合、これらの安全対策をバイパスすることは些細なことである。
While the tools produced by ChatGPT are still quite simple, the active exploitation of it by threat actors provides a grim outlook in view of inevitable improvements of such tools in the coming years. In fact, ChatGPT’s ability to transform natural language prompts into working code was quickly exploited by malicious actors to create malware. Shortly after the public release of ChatGPT, a Check Point Research blog post of December 2022 demonstrated how ChatGPT can be used to create a full infection flow, from spear-phishing to running a reverse shell that accepts commands in English[13] .  ChatGPTが作成したツールはまだ非常にシンプルであるが、脅威行為者によって積極的に利用されていることから、今後数年間でこのようなツールの改善が避けられないことを考えると、厳しい見通しを立てることができる。実際、ChatGPTの自然言語プロンプトを動作するコードに変換する機能は、悪意のあるアクターによってマルウェアを作成するためにすぐに悪用された。ChatGPTの一般公開後まもなく、2022年12月のCheck Point Researchのブログ記事で、スピアフィッシングから英語でのコマンドを受け付けるリバースシェルの実行まで、ChatGPTを使用して完全な感染フローを作成できることが示された[13]。
The capabilities of generative models such as ChatGPT to assist with the development of code is expected to further improve over time. GPT-4, the latest release, has already made improvements over its previous versions and can, as a result, provide even more effective assistance for cybercriminal purposes. The newer model is better at understanding the context of the code, as well as at correcting error messages and fixing programming mistakes. For a potential criminal with little technical knowledge, this is an invaluable resource. At the same time, a more advanced user can exploit these improved capabilities to further refine or even automate sophisticated cybercriminal modi operandi.  ChatGPTのような生成モデルがコードの開発を支援する機能は、時間の経過とともにさらに向上することが予想される。最新版のGPT-4は、すでに以前のバージョンよりも改良されており、その結果、サイバー犯罪の目的に対してより効果的な支援を提供することができるようになった。新型は、コードの文脈を理解し、エラーメッセージを修正し、プログラミングミスを修正することに優れている。技術的な知識の乏しい潜在的な犯罪者にとって、これは貴重なリソースとなる。同時に、より高度なユーザーは、これらの向上した機能を利用して、高度なサイバー犯罪の手口をさらに洗練させたり、自動化したりすることも可能である。
IMPACT AND OUTLOOK  影響と展望 
The use cases outlined in this report provide merely a glimpse of what LLMs such as ChatGPT are capable of today, and hint at what may still be to come in the near future. While some of these examples are basic, they provide starting points that, with the underlying technology expected to improve, can become much more advanced and as a result dangerous. Other use cases, such as the production of phishing emails, humanlike communication and disinformation, are already worryingly sophisticated. These, too, are expected to become even more authentic, complex, and difficult to discern from human-produced output. Efforts aimed at detecting text generated by AI-models are ongoing and may be of significant use in this area in the future. At the time of writing of this report, however, the accuracy of known detection tools was still very low[14] .  本レポートで紹介した使用例は、ChatGPTのようなLLMが今日できることのほんの一端に過ぎず、近い将来に何が起こるかを示唆するものである。これらの事例のいくつかは基本的なものであるが、基礎技術の向上により、より高度で危険なものになる可能性のある出発点を示している。フィッシングメールの作成、人間そっくりのコミュニケーション、偽情報など、他の使用例はすでに心配になるくらい洗練されている。これらもまた、より本物らしく、より複雑で、人間が作成したものと見分けがつきにくいものになると予想される。AIモデルによって生成されたテキストを検出することを目的とした取り組みが進行中であり、将来的にこの分野で重要な役割を果たすかもしれない。しかし、この報告書の執筆時点では、既知の検出ツールの精度はまだ非常に低い[14]。
One of the greatest impacts of this type of technology revolves around the concept of ‘explorative communication’, that is to say the possibility to quickly gather key information on an almost limitless array of subjects by asking simple questions. Being able to dive deeper into topics without having to manually search and summarise the vast amount of information found on classical search engines can speed up the learning process significantly, enabling a much quicker gateway into a new field than was the case previously.  この種の技術がもたらす最も大きな影響のひとつは、「探索的コミュニケーション」、つまり、簡単な質問をすることによって、ほとんど無限のテーマについて重要な情報を素早く収集することができる、という概念にある。従来の検索エンジンから得られる膨大な情報を手作業で検索し、要約することなく、トピックを深く掘り下げることができれば、学習プロセスを大幅にスピードアップし、新しい分野への入門を従来よりもはるかに早めることができる。
The impact these types of models might have on the work of law enforcement can already be anticipated. Criminals are typically quick to exploit new technologies and were fast seen coming up with concrete criminal exploitations, providing first practical examples mere weeks after the public release of ChatGPT.  このようなモデルが法執行機関の業務に与える影響は、すでに予想されている。犯罪者は通常、新しい技術を利用するのが早く、ChatGPTの一般公開からわずか数週間で最初の実用例を提供し、具体的な犯罪利用を思いつくのが早く見られました。
As the workshops demonstrated, safeguards put in place to prevent the malicious use of ChatGPT can easily be circumvented through prompt engineering. As the limiting rules put in place by creators of these types of models are put in place by humans, they require input from subject matter experts to ensure that they are effective. Organisations tasked with preventing and combatting crimes such as those that may result from the abuse of LLMs should be able to help improve these safeguards. This includes not only law enforcement, but also NGOs working in areas such as protecting the safety of children online.  ワークショップで示されたように、ChatGPTの悪意ある利用を防ぐために設けられたセーフガードは、迅速なエンジニアリングによって容易に回避される可能性がある。この種のモデルの作成者が設定した制限ルールは、人間が設定したものであるため、その効果を保証するためには、専門家の意見が必要である。LLMの悪用に起因するような犯罪の予防と対策に取り組む組織は、こうした保護措置の改善に貢献することができるはずである。これには、法執行機関だけでなく、オンライン上の子どもの安全保護などの分野で活動するNGOも含まれる。
In response to some of the public pressure to ensure that generative AI models are safe, Partnership on AI (PAI), a research non-profit organisation, established a set of guidelines on how to produce and share AI-generated content responsibly[15] . These guidelines were signed up to by a group of ten companies, including OpenAI, pledging to adhere to a number of best practices. These include informing users that they are interacting with AI-generated content (i.e. through watermarks, disclaimers, or traceable elements). To what extent this will prevent practical abuse such as outlined in this report is unclear. In addition, questions remain as to how the accuracy of content produced by generative AI models can effectively be ensured, and how users can understand where information comes from in order to verify it.  AI生成モデルの安全性を確保しようという世論の圧力に応え、研究非営利団体であるPartnership on AI(PAI)は、AI生成コンテンツを責任を持って制作・共有する方法に関する一連のガイドラインを制定した[15]。このガイドラインは、OpenAIを含む10社のグループによって署名され、多くのベストプラクティスを遵守することを誓約している。その中には、AIが生成したコンテンツに触れていることをユーザーに知らせる(透かし、免責事項、追跡可能な要素など)ことも含まれている。これによって、本レポートで説明したような現実的な悪用がどの程度防げるかは不明である。また、AIが生成するコンテンツの正確性をどのように担保するのか、ユーザーが情報の出所を理解し、検証することができるのか、疑問が残ります。
At the same time, the European Union is finalising legislative efforts aimed at regulating AI systems under the upcoming AI Act. While there have been some suggestions that general purpose AI systems such as ChatGPT should be included as high risk systems, and as a result meet higher regulatory requirements, uncertainty remains as to how this could practically be implemented.  一方、欧州連合(EU)では、AIシステムの規制を目的とした「AI法」の制定に向けた法整備が進められている。ChatGPTのような汎用AIシステムもハイリスクシステムに含まれ、その結果、より高い規制要件を満たすべきだという意見もあるが、これが実際にどのように実施されるかは不透明なままである。
The already-seen impact for law enforcement, and the inevitability that the technology will improve, raises the questions of what the future looks like for LLMs. Relatively soon after ChatGPT grew into an internet sensation, Microsoft announced an investment of USD 10 billion into ChatGPT in January 2023. Very quickly after, the company presented first efforts at integrating LLM services into the company’s various applications, notably as a new version of the search engine Bing[16] . At the same time, other competitors such as Google have announced the release of their own conversational AI[17] , called BARD, with others likely to follow. This raises the questions of how much more powerful these types of models may become with the backing of major tech companies, as well as how the private sector aims to address the abuse scenarios outlined in this report.   法執行機関への影響はすでに確認されており、技術の向上は避けられないことから、LLMの将来はどうなるのかという疑問が投げかけられている。ChatGPTがインターネット上で話題になった比較的すぐ後、マイクロソフトは2023年1月にChatGPTに100億米ドルを投資することを発表した。その後すぐに、同社はLLMサービスを同社の様々なアプリケーションに統合する最初の取り組みを発表し、特に検索エンジンのBingの新バージョンとして発表した[16]。同時に、Googleなどの競合他社は、BARDと呼ばれる独自の会話型AIのリリースを発表しており[17]、他の競合他社も追随する可能性がある。このことは、大手ハイテク企業の支援によって、この種のモデルがどれほど強力になるのか、また、民間企業が本レポートで説明した悪用シナリオにどのように対処することを目指しているのかという疑問を提起している。 
Going forward, the universal availability of large language models may pose other challenges as well: the integration of other AI services (such as for the generation of synthetic media) could open up an entirely new dimension of potential applications. One of these include multimodal AI systems, which combine conversational chat bots with systems that can produce synthetic media, such as highly convincing deepfakes, or include sensory abilities, such as seeing and hearing[18] . Other potential issues include the emergence of ‘dark LLMs’, which may be hosted on the dark web to provide a chat bot without any safeguards, as well as LLMs that are trained on particular – perhaps particularly harmful – data. Finally, there are uncertainties regarding how LLM services may process user data in the future – will conversations be stored and potentially expose sensitive personal information to unauthorised third parties? And if users are generating harmful content, should this be reported to law enforcement authorities?  今後、大規模な言語モデルの普遍的な利用が可能になると、他の課題も発生する可能性がある。他のAIサービス(合成メディアの生成など)との統合により、まったく新しい次元の潜在的なアプリケーションを開拓することができる。例えば、会話型のチャットボットと、説得力のあるディープフェイクなどの合成メディアを生成するシステムや、視覚や聴覚などの感覚的な能力を持つシステムを組み合わせたマルチモーダルAIシステムなどがその一つである[18]。その他の潜在的な問題としては、ダークウェブ上でホストされ、安全対策なしにチャットボットを提供する「ダークLLM」の出現や、特定の(おそらく特に有害な)データに基づいて訓練されたLLMがある。最後に、LLMサービスが将来的にどのようにユーザーデータを処理するかについては、不確実性がある - 会話が保存され、権限のない第三者に機密性の高い個人情報を公開する可能性があるのか?また、ユーザーが有害なコンテンツを生成している場合、これを法執行機関に報告する必要があるのだろうか。
RECOMMENDATIONS  提言
As the impact of LLMs such as ChatGPT is expected to grow in the near future, it is crucial that the law enforcement community prepares for how its positive and negative applications may affect their daily business. While the workshops with Europol’s diverse set of experts focused on identifying potentially malicious use cases of ChatGPT that are already possible today, the purpose was also to extract some of these key findings and identify a number of recommendations on how law enforcement can ensure better preparedness for what may still be to come.  ChatGPTのようなLLMの影響は近い将来大きくなると予想されるため、法執行機関は、その正負の適用が日常業務にどのような影響を与えるかについて準備することが極めて重要である。ユーロポールの多様な専門家とのワークショップでは、現在すでに可能なChatGPTの悪意のある使用例を特定することに焦点を当てましたが、その目的は、これらの重要な発見をいくつか抽出し、法執行機関がまだ来るかもしれないものに対してより良い準備を確保する方法に関するいくつかの推奨事項を特定することでもあった。
► Given the potential harm that can result from malicious use of LLMs, it is of utmost importance that awareness is raised on this matter, to ensure that any potential loopholes are discovered and closed as quickly as possible.  ►LLMの悪意ある使用から生じる潜在的な被害を考えると、この問題に対する認識を高め、潜在的な抜け穴を発見し、できるだけ早く閉鎖することが最も重要である。
► LLMs have a real impact that can be seen already. Law enforcement agencies need to understand this impact on all potentially affected crime areas to be better able to predict, prevent, and investigate different types of criminal abuse.  ►LLMは、すでに目に見える形で実際の影響を及ぼしている。法執行機関は、潜在的に影響を受けるすべての犯罪領域におけるこの影響を理解し、さまざまなタイプの犯罪的虐待を予測、防止、調査する能力を高める必要がある。
► Law enforcement officers need to start developing the skills necessary to make the most of models such as ChatGPT. This means understanding how these types of systems can be leveraged to build up knowledge, expand existing expertise and understand how to extract the required results. This will imply that officers need to be able to assess the content produced by generative AI models in terms of accuracy and potential biases.  ►法執行機関は、ChatGPTのようなモデルを最大限に活用するために必要なスキルの開発に着手する必要がある。これは、この種のシステムをどのように活用して知識を蓄積し、既存の専門知識を拡張し、必要な結果を引き出す方法を理解することを意味する。つまり、役員は、生成AIモデルによって生成されたコンテンツを、正確さと潜在的なバイアスの観点から評価できるようになる必要があるということである。
► As the technology sector makes significant investments into this area, it is critical to engage with relevant stakeholders to ensure that relevant safety mechanisms remain a key consideration that are constantly being improved.   ►テクノロジー部門がこの分野に多大な投資を行う中、関連する安全機構が常に改善される重要な検討事項であり続けることを保証するために、関連する利害関係者と関わることが重要である。 
► Law enforcement agencies may want to explore possibilities of customised LLMs trained on their own, specialised data, to leverage this type of technology for more tailored and specific use, provided Fundamental Rights are taken into consideration. This type of usage will require the appropriate processes and safeguards to ensure that sensitive information remains confidential, as well as that any potential biases are thoroughly investigated and addressed prior to being put into use.   ►法執行機関は、基本的人権を考慮した上で、この種の技術をよりカスタマイズされた特定の用途に活用するために、独自の特殊なデータに基づいて訓練されたカスタマイズLLMの可能性を模索することを望むかもしれない。このような利用には、機密情報の機密性を確保し、潜在的なバイアスを徹底的に調査して対処するための適切なプロセスと保護措置が必要である。 
CONCLUSION  結論 
This report aims to provide an overview of the key results from a series of expert workshops on potential misuse of ChatGPT held with subject matter experts at Europol. The use cases detailed provide a first idea of the vast potential LLMs already have, and give a glimpse of what may still be to come in the future. ChatGPT is already able to facilitate a significant number of criminal activities, ranging from helping criminals to stay anonymous to specific crimes including terrorism and child sexual exploitation.   本報告書は、欧州警察機構(Europol)の専門家によるChatGPTの悪用可能性に関する一連のワークショップで得られた主要な結果の概要を提供することを目的としている。ユースケースは、LLMが持つ膨大な可能性を示すとともに、将来的に何が起こりうるかを垣間見ることができるものである。ChatGPTはすでに、犯罪者の匿名性の確保から、テロや児童の性的搾取を含む特定の犯罪に至るまで、相当数の犯罪行為を促進することができる。 
While some of the output is still quite basic, upcoming iterations of this and other models are only going to improve on what is already possible. The next iterations of LLMs will have access to more data, be able to understand and solve more sophisticated problems, and potentially integrate with a vast range of other applications. At the same time, it will be crucial to monitor potential other branches of this development, as dark LLMs trained to facilitate harmful output may become a key criminal business model of the future. This poses a new challenge for law enforcement, whereby it will become easier than ever for malicious actors to perpetrate criminal activities with no necessary prior knowledge.   一部の出力はまだ非常に基本的なものであるが、このモデルや他のモデルの今後の反復は、すでに可能なことをさらに改善することになるだろう。LLMの次の世代は、より多くのデータにアクセスし、より高度な問題を理解し解決できるようになり、他の膨大なアプリケーションと統合できる可能性がある。同時に、有害な出力を促進するように訓練された闇のLLMが、将来の重要な犯罪ビジネスモデルになる可能性があるため、この開発の別の可能性を監視することが極めて重要になる。このことは法執行機関にとって新たな課題であり、悪意のある行為者が必要な予備知識を持たずに犯罪行為を行うことがこれまで以上に容易になることを意味する。 
As technology progresses, and new models become available, it will become increasingly important for law enforcement to stay at the forefront of these developments to anticipate and prevent abuse, as well as to ensure potential benefits can be taken advantage of. This report is a first exploration of this emerging field. Given the rapid pace of this technology, it remains critical that subject matter experts take this research further and dive deeper if they are to grasp its full potential.  技術が進歩し、新しいモデルが利用可能になるにつれ、法執行機関は、悪用を予測・防止し、潜在的な利益を確実に利用できるよう、こうした開発の最前線に立ち続けることがますます重要になるだろう。本報告書は、この新しい分野を初めて調査したものである。この技術が急速に発展していく中で、その可能性を最大限に引き出すためには、専門家がこの研究をさらに進め、深く掘り下げていくことが重要である。

 

[1] OpenAI 2023, GPT-4, accessible at https://openai.com/product/gpt-4
[2] Open AI 2023, GPT-4 System Card, accessible at https://cdn.openai.com/papers/gpt-4-system-card.pdf
[3] Engineering.com 2023, ChatGPT Has All the Answers – But Not Always the Right Ones, accessible at https://www.engineering.com/story/chatgpt-has-all-the-answers-but-not-always-the-right-ones.
[4] Vice 2022, Stack Overflow Bans ChatGPT For Constantly Giving Wrong Answers, accessible at https://www.vice.com/en/article/wxnaem/stack-overflow-bans-chatgpt-for-constantly-giving-wrong-answers.
[5] NBC News 2023, ChatGPT passes MBA exam given by a Wharton professor, accessible at https://www.nbcnews.com/tech/tech-news/chatgpt-passes-mba-exam-wharton-professor-rcna67036
[6] OpenAI 2023, New and improved content moderation tooling, accessible at https://openai.com/blog/new-andimproved-content-moderation-tooling/
[7] OpenAI 2023, New and improved content moderation tooling, accessible at https://openai.com/blog/new-andimproved-content-moderation-tooling/
[8] OpenAI 2023, ChatGPT – Release Notes, accessible at https://help.openai.com/en/articles/6825453-chatgpt-releasenotes
[9] The Washington Post 2023, The clever trick that turns ChatGPT into its evil twin, accessible at https://www.washingtonpost.com/technology/2023/02/14/chatgpt-dan-jailbreak/
[10] WithSecure 2023, Creatively malicious prompt engineering, accessible at https://labs.withsecure.com/publications/creatively-malicious-prompt-engineering
[11] NewsGuard 2023, Misinformation Monitor: January 2023, accessible at https://www.newsguardtech.com/misinformation-monitor/jan-2023/
[12] Fortune 2023, It turns out that ChatGPT is really good at creating online propaganda: ‘I think what’s clear is that in the wrong hands there’s going to be a lot of trouble’, accessible at https://fortune.com/2023/01/24/chatgpt-open-aionline-propaganda/. 
[13] Check Point 2023, OPWNAI: AI that can save the day or hack it away, accessible at https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/
[14] The Conversation 2023, We pitted ChatGPT against tools for detecting AI-written text, and the results are troubling, accessible at https://theconversation.com/we-pitted-chatgpt-against-tools-for-detecting-ai-written-text-and-theresults-are-troubling-199774
[15] Partnership on AI 2023, The Need for Guidance, accessible at https://syntheticmedia.partnershiponai.org/?mc_cid=6b0878acc5&mc_eid=c592823eb7#the_need_for_guidance
[16] Microsoft 2023, Introducing the new Bing, accessible at https://www.bing.com/new
[17] Google 2023, An important step on our AI journey, accessible at https://blog.google/technology/ai/bard-google-aisearch-updates/https://blog.google/technology/ai/bard-google-aisearch-updates/
[18] MIT Technology Review 2021, AI armed with multiple senses could gain more flexible intelligence, accessible at https://www.technologyreview.com/2021/02/24/1018085/multimodal-ai-vision-language/

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.03.14 米国商工会議所 人工知能報告書

・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集

・2023.03.08 米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

・2023.01.27 NIST AIリスクフレームワーク

・2022.12.05 日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

・2022.11.11 NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.08.19 NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

・2022.07.31 スタンフォード大学 AI監査のアイデア募集 賞金総額は約1000万円 (^^) (2022.07.11)

・2022.07.21 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.17 AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.20 米国 商務省 国家AI諮問委員会に27名を任命

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2022.03.20 米国 ピュー研究所 AIと人間強化についての調査

・2022.02.08 米国 下院 アルゴリズム説明責任法案 2022

・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク

・2021.12.23 米国 購買担当職員に対するAIトレーニング法が上院を通過

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.31 米国 CSET AI安全性の主要概念:概要

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.09.12 2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官

・2020.08.21 NISTはAIに自己説明を求める?(説明可能な人工知能の4原則)

・2020.06.15 カーネギーメロン大学 ソフトウェア研究所 AIエンジニアリングのリスク管理の視点

・2020.05.04 米国国防省と人工知能(戦略と倫理)

 

日本

2022.08.31 産総研 「機械学習品質マネジメントガイドライン 第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)

2022.08.09 経済安全保障関係 「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について(報告)」のサイバーセキュリティ関係...

2022.07.26 総務省 AIネットワーク社会推進会議 「報告書2022」

2022.05.02 内閣府 AI戦略2022 (2022.04.22)

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

・2022.02.17 総務省 「AIを用いたクラウドサービスに関するガイドブック」の公表+AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

中国...

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.04.25 中国 人工知能白書 2022 (2022.04.12)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

 

 

英国...

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.19 イングランド銀行 「第2回調査 英国の金融業界における機械学習」とディスカッションペーパー「人工知能と機械学習」についての意見募集 (2022.10.11)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.09.24 英国 国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

 

欧州他...

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.01.08 ノルウェー 個人データ保護局 AI利用における透明性についての報告書 (2022.12.21)

・2022.12.21 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

・2022.05.05 フランス CNIL AIについてのリンク集 (2022.04.05)

・2022.04.20 AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

・2021.12.15 ENISA 機械学習アルゴリズムの保護

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

・2021.09.09 紹介 AIインシデントデータベース

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.28 EU Ethics Guidelines for Trustworthy AI(信頼できるAIのためのEU倫理ガイドライン)

・2020.02.27「AI倫理に関する現状」芳田千尋氏

 

 

| | Comments (0)

米国 CISA サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表 (2023.03.21)

こんにちは、丸山満彦です。

CISAが、サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表していますね。。。CSFベースに並び替えたもののようです。私も知らなかったのですが、使えそうな気もするので今からちょっと見てみます(^^;;

パフォーマンス目標をステークホルダーとコミュニケーションをとりながら設定し、測定していこうというのであれば、すごく論理的で美しい(けど、実行は大変かも...)ですね。。。

 

Model Component モデル・コンポーネント Component Description コンポーネントの説明
Outcome 成果 The ultimate security outcome that each CPG strives to enable. 各 CPG が実現しようとする究極のセキュリティ成果。
TTP/Risk Addressed TTP/リスクへの対応 Either (a) the primary set of MITRE ATT&CK TTPs or (b) the set of organizational risks that would be rendered less likely or impactful if the goal is implemented. (a) MITRE ATT&CK TTP の主要なセット、又は (b) 目標が実施された場合に可能性又は影響が少なくなる組織リスクのセットのいずれか。
Security Practice セキュリティの実践 The mitigation(s) that organizations should implement to achieve the outcome and reduce the impact of the TTP or risk. 結果を達成し、TTP またはリスクの影響を軽減するために、組織が実施すべき緩和策(複数可)。
Scope 適用範囲 The set or subset of assets to which organizations should apply the security practice. 組織がセキュリティ対策を適用すべき資産の集合またはサブセット。
Recommended Action 推奨される行動 Example approaches to help organizations progress toward achievement of the performance goal, based on input from CISA's collaborative stakeholder process. These actions will be updated regularly as new threats and defenses are identified. CISAのステークホルダーとの共同作業プロセスからの情報に基づいて、組織がパフォーマンス目標の達成に向けて前進するのを支援するアプローチの例。これらのアクションは、新たな脅威と防御策が特定された場合に、定期的に更新される予定である。
MST CSF Reference MST CSFの参照 The CSF subcategory that most closely relates to the security practice. セキュリティ対策に最も密接に関連する CSF のサブカテゴリ。

 

⚫︎Cybersecurity & Infrastractre Security Agency: CISA

・2023.03.21 CISA Releases Updated Cybersecurity Performance Goals

CISA Releases Updated Cybersecurity Performance Goals CISA、サイバーセキュリティ成果目標の更新版を発表
Today, we published stakeholder-based updates to the Cybersecurity Performance Goals (CPGs). Originally released last October, the CPGs are voluntary practices that businesses and critical infrastructure owners can take to protect themselves against cyber threats. The CPGs have been reorganized, reordered and renumbered to align closely with NIST CSF functions (Identify, Protect, Detect, Respond, and Recover) to help organizations more easily use the CPGs to prioritize investments as part of a broader cybersecurity program built around the CSF.  本日、当庁は、サイバーセキュリティ・パフォーマンス・ゴール(CPGs)のステークホルダー・ベースの更新を発表した。昨年10月に発表されたCPGは、企業や重要インフラの所有者がサイバー脅威から身を守るために取ることができる自主的な取り組みである。CPGは、NIST CSFの機能(特定、保護、検知、対応、回復)と密接に連携するよう、再編成、並び替え、番号付けが行われ、組織がより簡単にCPGを利用して、CSFを中心とした幅広いサイバーセキュリティプログラムの一部として投資の優先順位を決定できるようになった。 
CISA urges stakeholders to review and learn more by visiting Cross-Sector Cybersecurity Performance Goals. CISAは、関係者が分野横断サイバーセキュリティ成果目標を参照し、詳細を確認するよう促している。

 

Cross-Sector Cybersecurity Performance Goals

Cross-Sector Cybersecurity Performance Goals 分野横断サイバーセキュリティ・パフォーマンス・ゴール
Overview 概要
In July 2021, President Biden signed a National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems.  2021年7月、バイデン大統領は、重要インフラ制御システムのサイバーセキュリティの改善に関する国家安全保障覚書に署名した。 
This memorandum required CISA, in coordination with the National Institute of Standards and Technology (NIST) and the interagency community, to develop baseline cybersecurity performance goals that are consistent across all critical infrastructure sectors. These voluntary cross-sector Cybersecurity Performance Goals (CPGs) are intended to help establish a common set of fundamental cybersecurity practices for critical infrastructure, and especially help small- and medium-sized organizations kickstart their cybersecurity efforts.    この覚書は、CISAが米国国立標準技術研究所(NIST)および省庁間コミュニティと連携して、すべての重要インフラ部門に一貫したサイバーセキュリティの基本性能目標を策定することを要求した。このセクター横断的なサイバーセキュリティ性能目標(CPG)は、重要インフラの基本的なサイバーセキュリティ対策の共通セットを確立することを目的としており、特に中小規模の組織がサイバーセキュリティへの取り組みを開始する際に役立つ。   
The CPGs are a prioritized subset of information technology (IT) and operational technology (OT) cybersecurity practices that critical infrastructure owners and operators can implement to meaningfully reduce the likelihood and impact of known risks and adversary techniques. The goals were informed by existing cybersecurity frameworks and guidance, as well as the real-world threats and adversary tactics, techniques, and procedures (TTPs) observed by CISA and its government and industry partners. By implementing these goals, owners and operators will not only reduce risks to critical infrastructure operations, but also to the American people.   CPGは、情報技術(IT)および運用技術(OT)サイバーセキュリティの優先的なサブセットで、重要インフラの所有者および運営者が、既知のリスクや敵の手法の可能性と影響を有意に低減するために実施できるものである。この目標は、既存のサイバーセキュリティの枠組みやガイダンス、およびCISAとその政府・産業界のパートナーが観察した現実世界の脅威や敵の戦術、技術、手順(TTPs)から得たものである。これらの目標を実施することで、所有者と運用者は重要インフラの運用だけでなく、米国民に対するリスクも軽減することができる。  
The first version of the CPGs was published in October 2022. Since that time, CISA received feedback from multiple sectors across the stakeholder community, requesting that the goals be represented in a manner that was more easily traceable to the NIST Cybersecurity Framework (CSF). To that end, CISA has reorganized the goals according to the related NIST CSF functions (Identify, Protect, Detect, Respond, and Recover). It is important to note that several goals map to multiple functions, and – as previously stated – implementation of a given CPG does not necessarily constitute complete fulfillment of the referenced NIST CSF subcategory. A more comprehensive summary of the changes between the previous and current versions of the CPGs is available in the document itself. CPGの最初のバージョンは、2022年10月に公表されました。それ以来、CISAはステークホルダー・コミュニティの複数のセクターからフィードバックを受け、NISTサイバーセキュリティフレームワーク(CSF)とより容易に追跡可能な方法で目標を表現することを要求した。そのため、CISAは、NIST CSFの関連機能(特定、保護、検知、対応、回復)に従って目標を再編成した。いくつかの目標は複数の機能に対応しており、前述のとおり、あるCPGを実施しても、参照するNIST CSFのサブカテゴリーを完全に満たすとは限らないことに留意することが重要である。CPG の前バージョンと現バージョンの間の変更点のより包括的な要約は、文書自体に記載されている。
The CPGs are intended to be: CPG は、以下のことを意図している:
・A baseline set of cybersecurity practices broadly applicable across critical infrastructure with known risk-reduction value.    ・重要インフラに広く適用され、リスク低減の価値が知られているサイバーセキュリティ対策の基本セット。   
・A benchmark for critical infrastructure operators to measure and improve their cybersecurity maturity.    ・重要インフラ事業者がサイバーセキュリティの成熟度を測定し、改善するためのベンチマークとなる。   
・A combination of recommended practices for IT and OT owners, including a prioritized set of security practices.    ・IT および OT の所有者に推奨されるプラクティスを組み合わせたもので、優先順位の高いセキュリティプラクティスを含む。   
・Unique from other control frameworks as they consider not only the practices that address risk to individual entities, but also the aggregate risk to the nation.     ・個々の事業体のリスクに対応するプラクティスだけでなく、国家の総体的なリスクも考慮しているため、他の管理フレームワークとは一線を画している。    
The CPGs are: CPGは以下の通りである:
・Voluntary: The National Security Memorandum does not create new authorities that compel owners and operators to adopt the CPGs or provide any reporting regarding or related to the CPGs to any government agency.    ・自主的なものである: 国家安全保障に関する覚書は、所有者や運営者にCPGの採用を強制したり、CPGに関する報告を政府機関に提供したりするような新たな権限を設けるものではありません。   
・Not Comprehensive. They do not identify all the cybersecurity practices needed to protect national and economic security and public health and safety. They capture a core set of cybersecurity practices with known risk-reduction value broadly applicable across sectors.      ・包括的でない。CPGは、国家および経済の安全保障と公衆の健康と安全を守るために必要なすべてのサイバーセキュリティの実践を特定するものではありません。CPGは、セクターを問わず広く適用できる、リスク低減効果が知られているサイバーセキュリティ対策の中核をなすものである。     
As directed by President Biden’s NSM, the CPGs are intended to supplement the  National Institute of Standards and Technology's (NIST) Cybersecurity Framework (CSF). バイデン大統領のNSMの指示により、CPGは米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)を補完することを目的としている。
for organizations seeking assistance in prioritizing investment toward a limited number of high-impact security outcomes, whether due to gaps in expertise, resources, or capabilities or to enable focused improvements across suppliers, vendors, business partners, or customers.       CPGは、専門知識、リソース、能力の不足のため、あるいはサプライヤー、ベンダー、ビジネスパートナー、顧客の間で集中的な改善を行うために、影響力の大きい限られた数のセキュリティ成果に向けて投資の優先順位を決める支援を求める組織向けのものである。      
In an effort to accelerate adoption of essential actions to improve cybersecurity across the nation’s critical infrastructure providers, the CPGs recommend an abridged subset of actions to help organizations prioritize their security investments.   CPGは、国内の重要インフラ事業者におけるサイバーセキュリティの向上に不可欠なアクションの採用を促進するため、組織がセキュリティ投資の優先順位を決めるのに役立つアクションの一部を簡略化して推奨している。  
    Full background on the CPGs, their formation, the model, relation to existing standards, and how they should be used is fully outlined in the document.      CPGの背景、形成、モデル、既存の標準との関係、およびCPGの使用方法については、この文書で完全に説明されている。 

 

・[PDF] CPG Report

20230329-175409

 

 

・[PDF] CISA CPG Checklist

20230329-182025

 

・[XLSX] Complete CPGs Matrix/Spreadsheet

 

 

 

| | Comments (0)

2023.03.28

EU データ法が欧州議会で本会議で可決 (2023.03.14)

こんにちは、丸山満彦です。

EUのデータ法が欧州議会の本会議で可決されたようですね。。。

 

European Parliament

プレス...

・2023.03.14 Data Act: MEPs back new rules for fair access to and use of industrial data

Data Act: MEPs back new rules for fair access to and use of industrial data データ法: 欧州議会、産業データへの公正なアクセスと利用のための新ルールを支持
・Innovation increasingly relies on data ・イノベーションはますますデータに依存する
・Legislation clarifies who can access data and on what terms ・誰がどのような条件でデータにアクセスできるかを明確にする法制化
・It will empower a wider range of private and public entities to share data ・より広範な民間および公共団体がデータを共有できるようになる。
・MEPs want to preserve incentives for businesses to invest in data generation ・欧州議会は、企業がデータ生成に投資するためのインセンティブを維持したいと考えている
The “Data Act” aims to boost innovation by removing barriers obstructing access by consumers and businesses to data. 「データ法」は、消費者や企業によるデータへのアクセスを阻害する障壁を取り除くことで、イノベーションを促進することを目的としている。
The draft legislation, adopted on Tuesday 14 March, would contribute to the development of new services, in particular in artificial intelligence where huge amounts of data are needed for algorithm training. It can also lead to better prices for after-sales services and repairs of connected devices. 3月14日(火)に採択されたこのドラフト法案は、特にアルゴリズム学習に膨大なデータを必要とする人工知能において、新しいサービスの開発に貢献するものである。また、コネクテッドデバイスのアフターサービスや修理の価格改善にもつながる。
The volume of data generated by humans and machines is increasing exponentially and becoming a critical factor for innovation by businesses and by public authorities (e.g. shaping of smart cities). This kind of data is said to have become “the new oil”. 人間や機械が生み出すデータ量は指数関数的に増加し、企業や公的機関(スマートシティの形成など)がイノベーションを起こすための重要な要素になってきている。このようなデータは、「新しい石油」になったと言われている。
The data act establishes common rules governing the sharing of data generated by the use of connected products or related services (e.g. the internet of things, industrial machines) to ensure fairness in data sharing contracts. データ法は、接続された製品や関連サービス(モノのインターネット、産業機械など)の使用によって生成されるデータの共有を管理する共通のルールを確立し、データ共有契約の公平性を確保するものである。
80% of data not used 80%のデータが利用されていない
MEPs adopted measures to allow users access to the data they generate, as 80% of industrial data collected are never used, according to the European Commission. They also want to ensure contractual agreements are at the centre of business-to-business relationships. 欧州委員会によると、収集された産業データの80%は利用されることがないため、欧州議会は、ユーザーが生成したデータへのアクセスを可能にする措置を採択した。彼らはまた、企業間関係の中心に契約上の合意があることを望んでいる。
Companies would be able decide what data can be shared, and the manufacturer could choose not to make certain data available “by design”. When companies draft their data-sharing contracts, the law will rebalance the negotiation power in favour of SMEs, by shielding them from unfair contractual terms imposed by companies in a significantly stronger bargaining position. 企業は、どのようなデータを共有できるかを決めることができるようになり、メーカーは、特定のデータを「設計上」利用できないようにすることもできる。企業がデータ共有契約をドラフトする際、この法律は、著しく強い交渉力を持つ企業が課す不当な契約条件から中小企業を保護することで、交渉力のバランスを中小企業側に有利に調整することになる。
Protecting trade secrets and avoiding unlawful data transfer 企業秘密の保護と違法なデータ転送の回避
The text also defines how public sector bodies can access and use data held by the private sector that are necessary in exceptional circumstances or emergencies, such as floods and wildfires. また、洪水や山火事などの例外的な状況や緊急時に必要な、民間企業が保有するデータへの公的機関のアクセスや利用方法についても規定されている。
MEPs also strengthened provisions to protect trade secrets and avoid a situation where increased access to data is used by competitors to retro-engineer services or devices. They also set stricter conditions on business-to-government data requests. また、欧州議会は、企業秘密を保護し、データへのアクセスの増加によって競合他社がサービスや機器の改造に利用するような事態を避けるための規定を強化した。また、企業から政府へのデータ要求に関する条件もより厳しく設定された。
Finally, the data act would facilitate switching between providers of cloud services, and other data processing services, and introduce safeguards against unlawful international data transfer by cloud service providers. 最後に、データ法は、クラウドサービスやその他のデータ処理サービスのプロバイダー間の切り替えを容易にし、クラウドサービスプロバイダーによる違法な国際データ転送に対するセーフガードを導入するものである。
Quote 引用
“The Data Act will be an absolute game changer providing access to an almost infinite amount of high-quality industrial data. Competitiveness and innovation are part of its DNA,” said lead MEP Pilar del Castillo Vera (EPP, ES). 主任欧州議会議員Pilar del Castillo Vera(EPP、ES)は「データ法は、ほぼ無限にある高品質の産業データへのアクセスを提供する、絶対的なゲームチェンジャーとなる。競争力とイノベーションは、そのDNAの一部である」と、述べている。
Next steps 次のステップ
The text was adopted with 500 votes to 23, with 110 abstentions. MEPs are now ready to enter into negotiations with the Council on the final shape of the law. この文書は500票対23票で採択され、110の棄権があった。欧州議会は今後、法律の最終的な形について理事会との交渉に入る準備が整った。

 

法案

European-parliament

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.15 欧州 データ法案 欧州議会議員は産業データへの公正なアクセスと利用のための新ルールを支持

・2022.03.01 欧州委員会 データ法の提案

 

参考...

・2023.03.16 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.4-5)

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

 

データガバナンス法案

・2021.12.05 欧州 欧州議会とEU加盟国間でデータガバナンス法について政治的合意 (欧州データガバナンス法成立が近づきましたね。。。)

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

・2020.11.29 EU データガバナンス法案

 

 

| | Comments (0)

2023.03.26

経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

こんにちは、丸山満彦です。

経済産業省のサイバーセキュリティ経営ガイドラインVer 3.0が公表されましたね。。。


経済産業省では、サイバー攻撃の多様化・巧妙化に伴い、サイバーセキュリティ対策における企業等の経営者のさらなるリーダーシップの発揮などが求められていること等を踏まえ、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項等をまとめた「サイバーセキュリティ経営ガイドライン」を改訂しました。

1.背景・趣旨

経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項及び経営者が情報セキュリティ対策を実施する上での責任者となるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)等に指示すべき事項をまとめたサイバーセキュリティ経営ガイドラインを策定し、その普及を行ってまいりました。

昨今、サイバー攻撃は多様化・巧妙化しており、また、サプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の推進の必要性が高まっているなど、各企業等においては、組織幹部が自らの果たすべき役割を認識した上で、リーダーシップを発揮し、更なる対策の強化や適切に対応することなどが求められております。

こうした現状等を踏まえ、有識者や関係者を交えた研究会を開催し、そこでの検討を踏まえ、サイバーセキュリティ経営ガイドラインの改訂を行いました。

2.改訂のポイント

有識者からの御意見やパブリックコメントにおける御意見等を踏まえ、主に以下の内容について改訂を行っています。

  • 経営者が認識すべき3原則について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性等の追加・修正を行いました。
  • 指示5について、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しやクラウド等最新技術とその留意点などについて、追記・修正を行いました。
  • 指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施等について追記・修正を行いました。
  • 指示9について、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについて追記・修正を行いました。
  • 指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることや ステークホルダーへの情報開示について追記・修正を行いました。
  • その他、全体的な見直しを行いました。

また、本改訂に合わせて、独立行政法人情報処理推進機構(IPA)において、サイバーセキュリティの実践状況をセルフチェックで可視化いただける「サイバーセキュリティ経営可視化ツール」(Excel版、Ver2.0)への改訂を行っております。


委員になっているので、個人的な見解ですが、すこしコメントをつけたいと思います。。。

まずは、この経営ガイドラインが上場企業はじめ多くの企業が参照するガイドとなっていることを踏まえ、委員は真剣な議論をしたし、事務局、経済産業省等は、経営者や投資家、海外政府機関への非公式のヒアリング等も実施して意見を聞いて、より良いものになろうと努力しました。。。

もちろん、参考の状況を踏まえて安全保障的な観点も視野にいれていますが、全ての企業が等しく安全保障上の観点を考慮するという話でもないため、例えば、サプライチェーンマネジメントに関するリスクマネジメントや、コンプライアンス上の一環として、安全保障上の観点を重視しなければならない企業はそうするという構造になっています。

共助の考え方としてのインシデント情報の共有についても、ガイドが公表されていますので、それを踏まえた記述をしています。

あと、多くのポイントでステークホルダーとのコミュニケーションが強調されています(有事も平時も)。平時のコミュニケーションについては投資家に対するリスク開示の重要性の強調も含まれます。多くの投資家、経営者がサイバーリスクが企業経営上の重要なリスクと認識している昨今、サイバーリスクについても適切な開示が有価証券報告書、ESG報告書等において必要だろうという話です。

私はバブル末期に社会人になり、社会人になってから日本の社会というのはほぼ成長できていない、失われた30年の中で仕事をしてきています。いわば、失われた30年に責任を負う一人でもあると思っています。では、なぜこの30年、日本は成長できなかったか... すでにいろいろな識者が述べていますし、唯一の理由があるわけでもないでしょう。ただ、新たな産業を興せなかったという点を見てみると、チャレンジができていないというおとがあるのだろうと思います。で、なぜチャレンジができないか?その一つの理由として、リスクに向き合わなかったからではないかと思っています。

日本でも新たなことにチャレンジをしようという話はあります。ただ、多くの場合それは失敗し、叩かれ、萎縮効果となり、新たなチャレンジをしようという意欲が失われていったのかもしれません。新たなことに対しては失敗はつきものなのですが、失敗しないように、失敗しても説明がつき、次に繋げられるようにするという意味での、リスクマネジメントが十分にできていなかったのではないかと思うんですよね。。。リスクの話をすると、ネガティブととられたりして、みんなリスクについて見て見ぬふりをしていたのではないか?と思うんですよね。。。

リスクに向き合うというのが重要なのだろうと思います。

そういうこともあり、サイバーについても経営者はリスクと向き合い、ステークホルダーにリスクを説明していく、というのは重要なことだろうと思っています。

 

ということで。。。

 

経済産業省

・2023.03.24 「サイバーセキュリティ経営ガイドライン」を改訂しました

・[PDF] サイバーセキュリティ経営ガイドライン Ver 3.0

20230326-42148

 

経済産業省のサイバーセキュリティ政策全般については、こちら...

サイバーセキュリティ政策

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

・2022.06.16 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)

・2022.03.30 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

 

 

 

| | Comments (0)

2023.03.25

総務省 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集

こんにちは、丸山満彦です。

個人情報保護法のガイドラインは個人情報保護委員会ができてから、乱立しなくなったのですが、業法の規制が別途法律で上乗せされる場合などでは業界ガイドラインというのは残っています。。。その一つが電気通信事業。。。

で、総務省から「電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集」が公表されていますね。。。

電気通信事業法の改正に伴う変更で、「第4章 特定利用者情報の適正な取扱い」及び「第5章 外部送信に係る利用者に関する情報の取扱い」が新設されていますね。。。

総務省

・2023.03.24 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集


1 改正の背景

 総務省は、電気通信事業を取り巻く環境変化を踏まえ、電気通信サービスの円滑な提供及びその利用者の利益の保護を図るため、「電気通信事業法の一部を改正する法律案」を第208回国会に提出しました。可決成立の後、令和4年6月17日(金)に電気通信事業法の一部を改正する法律(令和4年法律第70号。以下「改正法」といいます。)が公布されたところです。

 総務省は、「特定利用者情報の適正な取扱いに関するワーキンググループ」(主査:大橋弘 東京大学副学長・大学院経済学研究科教授)及び「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」(主査:宍戸常寿 東京大学大学院法学政治学研究科教授)において、ガイドライン及びその解説について、改正法の施行に伴い改正が必要となる事項等の検討を行い、改正案を作成しました。

2 改正の概要

 ガイドラインにおいて、「第4章 特定利用者情報の適正な取扱い」及び「第5章 外部送信に係る利用者に関する情報の取扱い」を新設するとともに、その他必要とされる規定の整理を行いました。

3 意見募集対象

  • 「電気通信事業における個人情報保護に関するガイドライン」(令和4年個人情報保護委員会・総務省告示第4号)の改正案(新旧対照表)(別紙1のとおり)
  • 「電気通信事業における個人情報保護に関するガイドラインの解説」の改正案(新旧対照表)(別紙2のとおり)

 

・[PDF] 「電気通信事業における個人情報保護に関するガイドライン」(令和4年個人情報保護委員会・総務省告示第4号)の改正案(新旧対照表)

 

20230325-35435

 

・[PDF] 「電気通信事業における個人情報保護に関するガイドラインの解説」の改正案(新旧対照表)

20230325-35715

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集

10年以上遡って(^^)...

・2011.10.18 総務省 確定 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案

・2010.08.02 総務省 一部改正 電気通信事業における個人情報保護に関するガイドライン

・2010.05.28 総務省 パブコメ 電気通信事業における個人情報保護に関するガイドライン及び解説

・2009.09.10 総務省 パブコメ 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案

・2007.09.14 総務省 確定 電気通信事業における個人情報保護に関するガイドライン第26条の解説改訂版

・2007.07.14 総務省 パブコメ 「電気通信事業における個人情報保護に関するガイドライン第26条解説改訂案」

・2005.09.27 総務省 「電気通信事業における個人情報保護に関するガイドライン」の改訂案に係る意見募集結果

・2005.08.10 総務省 意見募集 電気通信事業における個人情報保護に関するガイドライン

・2005.08.06 総務省 通信の秘密及び個人情報の漏えい事案に関する株式会社エヌ・ティ・ティ・ドコモに対する措置

・2005.04.29 総務省(報道資料) 個人情報の流出事案に関する株式会社エヌ・ティ・ティ・ドコモに対する措置

・2005.03.02 政府ガイドライン名称・告示番号

 

| | Comments (0)

2023.03.24

米国 FTC クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集

こんにちは、丸山満彦です。

米国のFTC(連邦取引委員会)が、クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集をおこなっていますね。。。

競争」に関する事項10問、「セキュリティ」に関する事項10問の合わせて、20問の質問事項があります。。。

こういう意見募集の仕方もありですね。。。これならウェブホームでもできそうですね。。。

 

U.S. Federal Trade Commission

・2023.03.22 FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security

FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security FTC、競争とデータセキュリティに影響を与える可能性のあるクラウドコンピューティング・プロバイダーのビジネス慣行に関するコメントを募集中
Agency staff seek comment on cloud computing impact on specific industries including healthcare, finance, transportation, e-commerce and defense クラウドコンピューティングが医療、金融、運輸、電子商取引、防衛など特定の産業に与える影響について意見を求める。
The Federal Trade Commission staff are seeking information on the business practices of cloud computing providers including issues related to the market power of these companies, impact on competition, and potential security risks. 連邦取引委員会のスタッフは、クラウドコンピューティングプロバイダーの市場力、競争への影響、潜在的なセキュリティリスクに関する問題を含め、クラウドコンピューティングプロバイダーのビジネス慣行に関する情報を求めている。
In a Request for Information, FTC staff are seeking information about the competitive dynamics of cloud computing, the extent to which certain segments of the economy are reliant on cloud service providers, and the security risks associated with the industry’s business practices. In addition to the potential impact on competition and data security, FTC staff are also interested in the impact of cloud computing on specific industries including healthcare, finance, transportation, e-commerce, and defense. FTCのスタッフは、Request for Informationの中で、クラウドコンピューティングの競争力学、経済の特定の分野がクラウドサービスプロバイダーに依存している程度、業界の商習慣に関連するセキュリティリスクに関する情報を求めている。FTCのスタッフは、競争やデータセキュリティへの潜在的な影響に加え、ヘルスケア、金融、輸送、電子商取引、防衛などの特定の業界におけるクラウドコンピューティングの影響にも関心を持っている。
“Large parts of the economy now rely on cloud computing services for a range of services,” said Stephanie T. Nguyen, the FTC’s Chief Technology Officer. “The RFI is aimed at better understanding the impact of this reliance, the broader competitive dynamics in cloud computing, and potential security risks in the use of cloud.” FTCの最高技術責任者であるStephanie T. Nguyenは、以下のようにのべている。「現在、経済の大部分は、さまざまなサービスにおいてクラウドコンピューティングサービスに依存している。今回のRFIは、この依存の影響、クラウドコンピューティングにおける広範な競争力学、クラウド利用における潜在的なセキュリティリスクをよりよく理解することを目的としている。」
Cloud computing, which is used by a wide range of industries for on-demand access to data storage, servers, networks, and more, is increasingly central to many areas of the economy. The agency has brought several cases against companies that failed to implement basic security safeguards to protect data they stored on third-party cloud computing services including recent cases involving the alcohol delivery platform Drizly and education technology provider Chegg. The FTC has also issued guidance to businesses on steps they can take to secure and protect data stored in the cloud. The RFI will allow the agency to gather more information and insights on cloud computing as a whole. データストレージ、サーバー、ネットワークなどへのオンデマンドアクセスのために幅広い産業で利用されているクラウドコンピューティングは、経済の多くの分野でますます中心的な存在になっている。FTCは、アルコール配送プラットフォームDrizlyや教育技術プロバイダーCheggに関する最近の事例を含め、第三者のクラウドコンピューティングサービスに保存するデータを保護するための基本的なセキュリティ保護措置を実施しなかった企業に対して、いくつかの訴訟を起こしている。また、FTCは、クラウドに保存されたデータを安全に保護するために企業が講じるべき措置に関するガイダンスを発表している。今回のRFIにより、同機関はクラウドコンピューティング全体に関するより多くの情報と洞察を収集することができる。
Among the topics the FTC is seeking comment on include: FTCがコメントを求めているテーマには、以下のようなものがある:
・the extent to which particular segments of the economy are reliant on a small handful of cloud service providers; ・経済界の特定の分野が、少数のクラウドサービスプロバイダーにどの程度依存しているか;
・the ability of cloud customers to negotiate their contracts with cloud providers or are experiencing take-it-or-leave it standard contracts; ・クラウド利用者がクラウドプロバイダーと契約交渉する能力、または標準的な契約を締結していること;
・incentives providers offer customers to obtain more of their cloud services from a single provider; ・プロバイダーが顧客に提供する、より多くのクラウドサービスを単一のプロバイダーから取得するためのインセンティブ;
・the extent to which cloud providers compete on their ability to provide secure storage for customer data; ・クラウドプロバイダーが顧客データの安全な保存を提供する能力でどの程度競争するか;
・the types of products or services cloud providers offer based on, dependent on, or related to artificial intelligence; and the extent to which those products or services are proprietary or provider agnostic; and ・クラウドプロバイダーが提供する、人工知能に基づく、依存する、または関連する製品またはサービスの種類、およびそれらの製品またはサービスが独自またはプロバイダーに依存しない程度、および
・the extent to which cloud providers identify and notify their customers of security risks related to security design, implementation, or configuration. ・クラウドプロバイダーが、セキュリティ設計、実装、構成に関連するセキュリティリスクをどの程度特定し、顧客に通知しているか。
The public will have until May 22, 2023 to submit a comment. Comments will be posted to Regulations.gov after they are submitted. 一般市民は、2023年5月22日までにコメントを提出することができる。コメントは提出後、Regulations.govに掲載される予定である。
Staff from across the FTC’s Office of Technology, Bureau of Competition, and Bureau of Consumer Protection are collaborating on this effort. この取り組みには、FTCの技術局、競争局、消費者保護局を横断するスタッフが協力している。
The Federal Trade Commission works to promote competition, and protect and educate consumers. You can learn more about consumer topics and report scams, fraud, and bad business practices online at ReportFraud.ftc.gov. Follow the FTC on social media, read our blogs and subscribe to press releases for the latest FTC news and resources. 連邦取引委員会は、競争を促進し、消費者を保護・教育するために活動している。ReportFraud.ftc.govでは、消費者トピックについて詳しく学び、詐欺、詐欺、悪質な商習慣をオンラインで報告することができる。FTCの最新ニュースやリソースを入手するには、ソーシャルメディアでFTCをフォローし、ブログを読み、プレスリリースを購読すること。
Press Release Reference 参照
FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People ・FTC、250万人分の個人情報を流出させたセキュリティ障害でオンラインアルコール市場に対する命令を確定
FTC Finalizes Order with Ed Tech Provider Chegg for Lax Security that Exposed Student Data ・FTC、セキュリティが甘く学生データが流出したEd TechプロバイダーCheggに最終命令を下す

 

Reaulations.gov

・2023.03.22 Solicitation for Public Comments on the Business Practices of Cloud Computing Providers

・[PDF]

20230324-80455


質問部分...

Solicitation for Public Comments on the Business Practices of Cloud Computing Providers  クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集について 
The staff of the Federal Trade Commission is inviting public comments about the practices of Cloud Computing Providers and their impact on end users, customers, companies, and other businesses across the economy. FTC staff is studying a wide array of issues related to market power, business practices affecting competition, and potential security risks. Staff is also interested in cloud computing with respect to specific industries, including but not limited to healthcare, finance, transportation, eCommerce, and defense. For these specific sectors or more broadly, are there particular market dynamics shaping business practices that affect competition and consumer protection in cloud computing services? If so, what influences are shaping these market dynamics?  連邦取引委員会のスタッフは、クラウド・コンピューティング・プロバイダーの慣行と、それがエンドユーザー、顧客、企業、および経済界全体のその他のビジネスに与える影響についてパブリックコメントを募集している。FTCスタッフは、市場支配力、競争に影響を与えるビジネス慣行、潜在的なセキュリティ・リスクに関する幅広い問題を研究している。また、ヘルスケア、金融、運輸、電子商取引、防衛など、特定の産業に関するクラウドコンピューティングにも関心を寄せている。これらの特定分野、またはより広範な分野において、クラウドコンピューティングサービスの競争と消費者保護に影響を与えるビジネス慣行を形成する特定の市場力学が存在するか?もしそうなら、どのような影響がこれらの市場力学を形成しているのか?
Questions  質問 
Market Power and Business Practices Affecting Competition  市場パワーと競争に影響を与えるビジネス慣行 
1.     What are the different layers of cloud computing (e.g., infrastructure, platform, software)? To what extent do cloud providers specialize within a layer or operate at multiple layers?    1.     クラウドコンピューティングの様々なレイヤー(例:インフラ、プラットフォーム、ソフトウェア)とは何か?クラウドプロバイダーは、どのレイヤーに特化しているか、あるいは複数のレイヤーで事業を展開しているか?  
2.     Do cloud providers continue to invest sufficient resources in research and development?  In which areas are cloud providers investing in most heavily, and why?  Are there areas in which cloud providers have not invested sufficient resources, and if so, why?   2.     クラウドプロバイダーは、研究開発に十分な資源を投入し続けているか? クラウドプロバイダーはどの分野に最も多く投資しているか、またその理由は何か? クラウドプロバイダーが十分なリソースを投資していない分野はあるか、またその場合はなぜか? 
3.     What are the competitive dynamics within and across the different layers of cloud computing? How does service quality vary between providers operating at one layer vs. providers operating at multiple layers?  3.     クラウドコンピューティングの異なるレイヤー間における競争力学はどのようなものか?1つのレイヤーで運営するプロバイダーと複数のレイヤーで運営するプロバイダーでは、サービス品質にどのような違いがあるのか?
4.     What practices do cloud providers use to enhance or secure their position in any layer of cloud computing? What practices are used by cloud providers that operate at multiple layers to entrench or enhance their position? What are the effects of those practices on competition, including on cloud providers who do not operate at multiple layers?  4.     クラウドプロバイダーは、クラウドコンピューティングのどのレイヤーにおいても、自らの地位を向上させたり、確保したりするためにどのような慣行を用いているのか?複数のレイヤーで事業を展開するクラウドプロバイダーは、自らの地位を確立したり強化したりするために、どのような慣行を用いているのか?そのような慣行は、複数のレイヤーで運用されていないクラウドプロバイダーを含め、競争にどのような影響を与えるか?
5.     To what extent are cloud customers able to negotiate their contracts with cloud providers? To what extent are customers experiencing take-it-or-leave-it standard contracts? How does the ability to negotiate depend on the size of the customer, the sensitivity of the data, the purpose for which the data will be used, or other factors?  5.     クラウド利用者はクラウドプロバイダーとの契約についてどの程度交渉することができるのか?顧客はどの程度、「取るか取らないか」の標準的な契約を経験しているのか?交渉の可否は、顧客の規模、データの機密性、データの使用目的、その他の要因にどのように依存するか?
6.     What incentives are cloud providers offering to customers to obtain more of the cloud services they need from a single provider? Are cloud providers linking, tying, or bundling their cloud services with other services?  6.     クラウドプロバイダーは、顧客が必要とするクラウドサービスの多くを単一のプロバイダーから取得するために、顧客に対してどのようなインセンティブを提供しているか?クラウドプロバイダーは、自社のクラウドサービスを他のサービスと連携させたり、抱き合わせたり、バンドルしたりしているか?
7.     What are the trends in pricing practices used by cloud providers? How have pricing practices made it easier or more difficult for customers of cloud services to understand and control the amount of money they spend on cloud services?  7.     クラウドプロバイダーが採用している価格設定の傾向はどのようなものか?クラウドサービスの顧客がクラウドサービスに費やす金額を理解し、コントロールすることを、価格設定によってどのように容易に、あるいは難しくしているか?
8.     To what extent do cloud providers offer products based on open-source software?    8.     クラウド事業者は、どの程度、オープンソースソフトウェアに基づく製品を提供しているか?  
a)     What is the impact of such offerings on competition?   a) そのような製品の提供は、競争にどのような影響を与えるか? 
b)     How have recent changes to the terms of open-source licenses affected cloud providers’ ability to offer products based on open-source software?  b) オープンソースライセンスの条件に対する最近の変更は、オープンソースソフトウェアに基づく製品を提供するクラウドプロバイダーの能力にどのような影響を与えたか?
9.     What types of products or services do cloud providers offer based on, dependent on, or related to artificial intelligence (AI)? To what extent are AI products or services dependent on the cloud provider they are built on, or are they cloud-agnostic? How does the use of AI affect competition among cloud providers today and into the future?  9.     クラウドプロバイダーは、人工知能(AI)に基づく、依存する、または関連するどのような種類の製品またはサービスを提供しているか?AI製品やサービスは、どの程度、それらが構築されるクラウドプロバイダーに依存しているか、あるいはクラウドに依存しないか?AIの利用は、現在および将来のクラウドプロバイダー間の競争にどのような影響を与えるか?
10.  What barriers (e.g., contractual, technological, or other), if any, exist to offering services that compete with individual services offered by cloud infrastructure providers (e.g., hosted databases, Content Delivery Networks, etc.)? What costs do cloud customers face in:  10.  クラウドインフラプロバイダーが提供する個々のサービス(例:ホスト型データベース、コンテンツデリバリーネットワークなど)と競合するサービスを提供する上で、契約上、技術上、その他の障壁があるとすれば、それはどのようなものであるか?クラウドの顧客は、以下のようなコストに直面する: 
a)     switching software services?   a) ソフトウェア・サービスを切り替えること? 
b)     using multiple cloud providers?  b) 複数のクラウドプロバイダーを利用する場合?
c)     porting their data from one cloud provider to another? How important is data portability to competition and to entry?  c) データをあるクラウドプロバイダーから別のクラウドプロバイダーに移行する場合、どのようなコストがかかるか?データのポータビリティは、競争や参入にとってどの程度重要か?
Security Risks  セキュリティリスク 
11.  To what extent are particular segments of the economy reliant on a small handful of cloud service providers and what are the data security impacts of this reliance?  11.  経済の特定の分野が、どの程度、一握りのクラウドサービスプロバイダーに依存しているか、また、この依存がデータセキュリティに与える影響は何か。
12.  Do cloud providers compete on their ability to provide secure storage for customer data?  Do cloud providers compete on the understandability of the user interface or APIs used to configure security and access features to avoid inadvertent exposure of customer data?  12.  クラウドプロバイダーは、顧客データの安全な保存を提供する能力で競争しているか? クラウドプロバイダーは、顧客データの不用意なエクスポージャーを避けるために、セキュリティやアクセス機能を設定するために使用するユーザーインターフェースやAPIの分かりやすさで競争しているか?
13.  What diligence regarding data security do potential customers conduct when selecting a cloud provider?  13.  潜在的な顧客は、クラウドプロバイダーを選択する際に、データセキュリティに関してどのような注意を払うか?
14.  What representations do cloud providers make to their customers about data security or interoperability? What information do cloud providers provide to potential customers such that potential customers can evaluate the providers’ security measures and interoperability capabilities?  14.  クラウドプロバイダーは、データセキュリティや相互運用性に関して、顧客に対してどのような表明をしているか?クラウド事業者は、潜在的な顧客が事業者のセキュリティ対策や相互運用性を評価できるように、潜在的な顧客にどのような情報を提供しているか?
15.  Do cloud vendors provide types of customers with different information during diligence than they provide to other types of customers? If so, does this vary by contracts or contractual provisions, or by their ability to monitor their performance and security?  15.  クラウドベンダーは、ディリジェンスの際に、ある種の顧客に対して、他のタイプの顧客に提供するのとは異なる情報を提供するか?もしそうなら、それは契約や契約条項によって、あるいは性能やセキュリティを監視する能力によって異なるか?
16.  Under what circumstances do cloud vendors identify security risks related to their customers’ security design or implementation/configuration (e.g., a publicly accessible data store containing personal information) and notify customers of that risk?   16.  クラウドベンダーは、どのような状況下で、顧客のセキュリティ設計又は実装・構成(例えば、個人情報を含む一般にアクセス可能なデータストア)に関連するセキュリティリスクを特定し、そのリスクについて顧客に通知するか。 
a)     How frequently does this occur?  a) これはどれくらいの頻度で発生するのか?
b)     In this scenario, when and how does the vendor notify the customer?  b) このシナリオでは、ベンダーはいつ、どのように顧客に通知するか。
17.  What effect does security-related regulation (e.g., GLBA Safeguards Rule, HIPAA Security Rule, etc.) have on market dynamics?  17.  セキュリティ関連の規制(GLBA Safeguards Rule、HIPAA Security Ruleなど)は、市場力学にどのような影響を与えるか。
18.  Can companies comply with contractual obligations to do due diligence on the security of third party cloud providers to whom they entrust information to ensure that those third party cloud providers implement appropriate security measures, and to monitor third party cloud providers’ security on an ongoing basis? If so, how do companies do this due diligence?   18.  企業は、情報を預ける第三者のクラウドプロバイダーのセキュリティについてデューデリジェンスを行い、その第三者のクラウドプロバイダーが適切なセキュリティ対策を実施していることを確認し、第三者のクラウドプロバイダーのセキュリティを継続的に監視するという契約上の義務を遵守できるか。その場合、企業はどのようにこのデューデリジェンスを行うのか。 
19.  How is responsibility for the security of consumers’ personal information allocated between cloud vendors and cloud customers (e.g., allocated by standardized vendor-provided contract or by custom contract)?    19.  消費者の個人情報のセキュリティに関する責任は、クラウドベンダーとクラウド顧客の間でどのように配分されるか(例えば、ベンダーが提供する標準的な契約によって配分されるか、カスタム契約によって配分されるか)。  
a)     How is this allocation conveyed in specific contractual provisions?  a) 具体的な契約条項の中で、この配分はどのように伝えられているか。
b)     Is this allocation of responsibility clear? If not, why?  b) この責任分担は明確か。そうでない場合、その理由は?
c)     Is this allocation of responsibility effective at protecting the information? Why?  c) この責任分担は、情報の保護に有効か?なぜか?
20.  How is responsibility for responding to a breach of data stored in the cloud or other security incident allocated between cloud vendors and customers (e.g., allocated by standardized vendorprovided contract or by custom contract)?    20.  クラウド上に保存されたデータの漏洩やその他のセキュリティインシデントに対応する責任は、クラウドベンダーと顧客の間でどのように配分されているか(例えば、ベンダーが提供する標準的な契約やカスタム契約によって配分される)。  
a)     How is this allocation conveyed in specific contractual provisions?   a) 具体的な契約条項の中で、この割り当てはどのように伝えられているか。 
b)     Is this allocation of responsibility clear? If not, why?  b) この責任分担は明確か。そうでない場合、その理由は?
c)     Is this allocation of responsibility effective at facilitating prompt and legally-compliant data breach response? Why?  c) この責任分担は、迅速かつ法令に準拠したデータ侵害への対応を促進する上で有効か。なぜか?

| | Comments (0)

厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版(案) の審議(第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料)

こんにちは、丸山満彦です。

厚生労働省の健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループの第16回検討会が開催され、医療情報システムの安全管理に関するガイドライン 第6.0版(案)や医療機関におけるサイバーセキュリティ対策が議論されたようですね。。。

昨年末に意見募集が行われた医療情報システムの安全管理に関するガイドライン 第6.0版の骨子(案)の意見募集結果をうけて、医療情報システムの安全管理に関するガイドライン 第6.0版(案)等について意見募集がおこなわれるようですね。。。

本編は、「概説編」、「経営管理編」、「企画管理編」、「システム運用編」の4つになるようですね。。。読者ごとに分けたいといことなのでしょうが、こういう分け方をしてしまうと、ガイドラインが組織のあり方を規定してしまうようなところもでてくるような気もしていて、わかりやすさとのバランスで難しいなぁと感じていたりします。。。

20230324-63349

出典:参考資料1-3 医療情報システムの安全管理に関するガイドライン 第 6.0 版 概説編(案)

原稿の第5.2版からの大きな変更になりそうで、「第5.2 版→第6.0 版 項目移行対応表(案)」が作成されているのは、よいですね。。。

余談ですが、面白なぁとおもったのは、診療所や個人薬局のような(個人事業者なり)のところ向けの「小規模医療機関等向けガイダンス」(案)でして、名称が「[特集] 小規模医療機関等向けガイダンス 」(案)となっていて、[特集] というのが珍しいなぁと思いました。。。

次の「[特集] 医療機関等におけるサイバーセキュリティ」(案)も [特集] なのですが、こちらはサイバー攻撃に適用した特集ともよめるので、まぁありかなぁと思ったりはします。。。

 

また、医療法に基づく立入検査についても議論がされているようで、、、

20230324-65221

出典:【資料2-2】 医療機関の立入検査の概要

厚生労働省や保健所の職員も忙しくなりそうです。。。立ち入り検査を実行的なものにするためには、検査をする人についてもサイバーセキュリティについての一定の知識が必要となりますから、その教育もまた重要となるでしょうね。。。でないと、お互いに事務作業を増やすだけという(企画した人は満足でしょうが、)意味のないことになってしまいますからね。。。このあたりは、職員研修、増員を含むリソースの見直しもセットでしないといけないでしょうね。。。

 

● 厚生労働省 - 政策について - 審議会・研究会等 - 医政局が実施する検討会等 - 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ 

・2023.03.23 第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料について

 

 

20230324-70011

20230324-70020

20230324-70454

20230324-70034

20230324-70040

20230324-70050

20230324-70056

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.23 厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16)

・2022.04.04 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

・2021.10.08 厚生労働省 意見募集 医療機器のサイバーセキュリティ導入に関する手引書

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

 

 

| | Comments (0)

2023.03.23

OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

こんにちは、丸山満彦です。

AIは人類に大きな影響を及ぼすこと可能性をもっていると思うのですが、影響力を人間社会にどう行使するかで、良い方向にも悪い方向にも影響を与えるということになります(良いとか悪いとかは社会で決めることですから。。。)

そこで、私たちの価値観に照らしてどのように使えば良いのか、良くないのかを決め、その通りに行われているかを影響をうける関係者に知らしめ、その使い方に納得してもらうということが重要なのだろうと思います。。。

 

● OECD Library - Papers - OECD Digital Economy Papers

・2023.02.23 Advancing accountability in AI - Governing and managing risks throughout the lifecycle for trustworthy AI

Advancing accountability in AI AIにおけるアカウンタビリティの高度化
Governing and managing risks throughout the lifecycle for trustworthy AI 信頼できるAIのために、ライフサイクルを通じてガバナンスとリスクマネジメントを行う。
This report presents research and findings on accountability and risk in AI systems by providing an overview of how risk-management frameworks and the AI system lifecycle can be integrated to promote trustworthy AI. It also explores processes and technical attributes that can facilitate the implementation of values-based principles for trustworthy AI and identifies tools and mechanisms to define, assess, treat, and govern risks at each stage of the AI system lifecycle. 本報告書は、信頼できるAIを推進するために、リスクマネジメントのフレームワークとAIシステムのライフサイクルをどのように統合できるかを概観し、AIシステムにおける説明責任とリスクに関する研究と知見を提示する。また、信頼できるAIのための価値観に基づく原則の実施を促進できるプロセスと技術的属性を探り、AIシステムのライフサイクルの各段階におけるリスクを定義、評価、処理、管理するためのツールとメカニズムを特定するものである。
This report leverages OECD frameworks – including the OECD AI Principles, the AI system lifecycle, and the OECD framework for classifying AI systems – and recognised risk-management and due-diligence frameworks like the ISO 31000 risk-management framework, the OECD Due Diligence Guidance for Responsible Business Conduct, and the US National Institute of Standards and Technology’s AI risk-management framework. 本報告書は、OECD AI原則、AIシステムライフサイクル、AIシステムを分類するOECDフレームワークなどのOECDのフレームワークや、ISO31000リスクマネジメントフレームワーク、OECD責任ある企業行動のためのデューディリジェンスガイダンス、米国国立標準技術研究所のAIリスクマネジメントフレームワークなどの公認リスクマネジメントおよびデューディリジェンスのフレームワークを活用している。

 

・[PDF] Advancing accountability in AI - Governing and managing risks throughout the lifecycle for trustworthy AI

20230323-103606

 

Background and objectives  背景と目的 
This report presents research and findings on accountability and risk in AI systems, building on previous OECD work on AI and the work of experts from the OECD.AI network of experts (Annexes A, B and C). This research contributes to understanding the components of the nascent fields of accountability and risk in AI and instigate discussion of their contribution to trustworthy AI. The report leverages OECD frameworks – including the OECD AI Principles, the AI system lifecycle, and the OECD framework for classifying AI systems – and recognised risk-management and due-diligence frameworks like the ISO 31000 risk-management framework, the OECD Due Diligence Guidance for Responsible Business Conduct, and the US National Institute of Standards and Technology’s AI risk-management framework.  本報告書は、AIに関するOECDの過去の研究成果およびOECD.AI専門家ネットワークの専門家の研究成果(附属書A、B、C)を踏まえ、AIシステムにおける説明責任とリスクに関する研究および知見を提示するものである。この研究は、AIにおけるアカウンタビリティとリスクという新しい分野の構成要素を理解し、信頼できるAIへの貢献について議論を促すことに寄与する。本報告書は、OECD AI原則、AIシステムライフサイクル、AIシステム分類のためのOECDフレームワークなどのOECDのフレームワークや、ISO31000リスクマネジメントフレームワーク、OECDデューディリジェンスガイダンス、米国国立標準技術研究所のAIリスクマネジメントフレームワークなどの公認リスクマネジメントおよびデューディリジェンスのフレームワークを活用している。
This report does not provide precise guidance to assess AI risks and impacts, which is the topic of related work undertaken in co-operation with major AI regulatory and standardisation actors. Rather, it:  本報告書は、AIのリスクと影響を評価するための正確なガイダンスを提供するものではなく、これは主要なAI規制および標準化関係者と協力して行われた関連作業のテーマである。むしろ、それは 
1.    Provides a comprehensive overview of how risk-management frameworks and the AI system lifecycle can be integrated to promote trustworthy AI;  1.    リスクマネジメントのフレームワークとAIシステムのライフサイクルをどのように統合すれば、信頼できるAIを推進できるかについて、包括的な概観を提供する; 
2.    Explores processes and technical attributes that can facilitate the implementation of values-based principles for trustworthy AI (such as the OECD AI Principles); and  2.    信頼できるAIのための価値観に基づく原則(OECDのAI原則など)の実施を促進することができるプロセスと技術的特性を探求する。
3.    Identifies tools and mechanisms to define, assess, treat, and govern risks at each stage of the AI system lifecycle.  3.    AIシステムのライフサイクルの各段階におけるリスクを定義、評価、治療、管理するためのツールやメカニズムを特定する。

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
One of the ten OECD AI Principles refers to the accountability that AI actors bear for the proper functioning of the AI systems they develop and use. This means that AI actors must take measures ensure their AI systems are trustworthy – i.e. that they benefit people; respect human rights and fairness; are transparent and explainable; and are robust, secure and safe. To achieve this, actors need to govern and manage risks throughout their AI systems’ lifecycle – from planning and design, to data collection and processing, to model building and validation, to deployment, operation and monitoring.   OECDのAI10原則の1つは、開発・使用するAIシステムが適切に機能するために、AIアクターが負うべき説明責任について言及している。つまり、AIアクターは、そのAIシステムが信頼に足るものであること、すなわち、人々に利益をもたらすこと、人権と公正さを尊重すること、透明で説明可能であること、堅牢で安全であることを保証する措置を取らなければならない。これを実現するために、アクターはAIシステムのライフサイクル全体(計画・設計から、データ収集・処理、モデル構築・検証、展開・運用・モニタリングまで)を通してリスクを管理・統制する必要がある。 
The following four important steps can help to manage AI risks throughout the lifecycle: (1) Define scope, context, actors and criteria; (2) Assess the risks at individual, aggregate, and societal levels; (3) Treat risks in ways commensurate to cease, prevent or mitigate adverse impacts; and (4) Govern the risk management process. Risk management should be an iterative process whereby the findings and outputs of one step continuously inform the others.   以下の4つの重要なステップは、ライフサイクルを通じてAIのリスクを管理するのに役立つ:(1)範囲、コンテキスト、アクター、基準を定義する、(2)個人、集合体、社会レベルでリスクを評価する、(3)悪影響を停止、防止、緩和するために相応の方法でリスクを処理する、(4)リスクマネジメントプロセスを管理する、。リスクマネジメントは、1つのステップで得られた知見やアウトプットが他のステップに継続的に反映されるような反復プロセスであるべきである。 
Defining the scope, context, actors and criteria to evaluate is the first step to managing an AI system’s risks, which differ depending on the use case and the circumstances. The context of an AI system includes its socioeconomic and physical environment and its potential impacts on people and on the planet. Examining an AI system’s context and scope also includes understanding how the system is developed and maintained, including whether a system is built in-house or by a third party. In addition, analysing trade-offs is key to unlocking AI benefits while managing risks and it is also important to consider AI risks against the risks of not using AI in contexts where it can provide key insights.  評価する範囲、文脈、関係者、基準を定義することは、AIシステムのリスクをマネジメントするための最初のステップである。AIシステムのコンテキストには、社会経済的・物理的環境、人々や地球への潜在的な影響などが含まれる。また、AIシステムのコンテキストとスコープを検討することは、システムが社内で構築されているか、第三者によって構築されているかなど、システムがどのように開発され、維持されているかを理解することを含む。さらに、トレードオフを分析することは、リスクをマネジメントしながらAIの利点を引き出すための鍵であり、AIが重要な洞察を提供できる文脈でAIを使用しない場合のリスクと比較して、AIのリスクを検討することも重要である。
Assessing AI risks and impacts means identifying, evaluating and measuring the risks that could affect an AI system’s ability to function as intended and in a trustworthy manner. Several tools can help assess risks, such as tools to indicate system transparency, detect bias, identify privacy violations and assess a system’s security and robustness.   AIのリスクと影響を評価することは、AIシステムが意図したとおりに信頼できる形で機能する能力に影響を与える可能性のあるリスクを特定、評価、測定することを意味する。システムの透明性を示すツール、バイアスを検出するツール、プライバシー侵害を特定するツール、システムのセキュリティと堅牢性を評価するツールなど、いくつかのツールがリスク評価に役立つ。 
Treating the risks should be commensurate to their potential adverse impacts. Risk treatment refers to the techniques designed to cease, prevent, or mitigate problems identified during the assessment of an AI system, considering the likelihood and impact of each risk. Responses can be technical, such as implementing privacy-preserving machine learning frameworks or de-identifying training data, or processrelated, such as requiring documentation of AI model or training data characteristics or ensuring conformity with safety regulations. For risks that cause adverse impacts, redress mechanisms and remedial actions may be required.   リスクの処置は、その潜在的な悪影響に見合ったものであるべきである。リスク処理とは、各リスクの可能性と影響を考慮し、AIシステムの評価中に特定された問題を停止、予防、軽減するために設計された技法を指す。対応には、プライバシーを保護する機械学習フレームワークの実装や訓練データの非特定化などの技術的なものと、AIモデルや訓練データの特性の文書化の要求や安全規制への適合の確保などのプロセスに関するものがある。悪影響を及ぼすリスクについては、救済メカニズムや改善措置が必要となる場合がある。 
Governance underpins the AI risk management process in two ways. First, it provides a layer of scrutiny over the AI risk management process, including through continual monitoring and review, as well as documenting, communicating, and consulting on actions and outcomes. Second, it offers a variety of mechanisms to embed the AI risk management process into broader organisational governance, fostering a culture of risk management both within organisations and across the entire AI value chain.    ガバナンスは、2つの方法でAIリスクマネジメントのプロセスを支えている。第一に、ガバナンスは、継続的なモニタリングとレビュー、行動と結果の文書化、コミュニケーション、コンサルティングなどを通じて、AIリスクマネジメントプロセスに対する監視の層を提供する。第二に、AIリスクマネジメントプロセスをより広範な組織ガバナンスに組み込むための様々なメカニズムを提供し、組織内およびAIバリューチェーン全体にわたってリスクマネジメントの文化を醸成することである。  
•       Monitoring and reviewing is an continual process taking into account the evolving nature of some AI systems and the environments in which they operate. It includes technical components such as verifying that training data is not out-of-date to avoid “data drift”. It also includes non-technical components such as monitoring AI incidents, i.e. cases where AI risks materialised into harm.   ・モニタリングとレビューは、一部のAIシステムの進化する性質と、それらが運用される環境を考慮した継続的なプロセスである。これには、「データ・ドリフト」を避けるために学習データが古くなっていないことを確認するといった技術的な要素が含まれる。また、AIインシデント(AIのリスクが具体化し、被害が発生したケース)を監視するなどの非技術的な要素も含まれる。 
•       Documenting the steps, decisions, and actions conducted during risk management and explaining their rationale can bolster accountability if it enhances transparency and enables human review. It means keeping a log or audit trail that informs functions like auditing, certification, and insurance. Whether the AI system is built in-house or by a third party, documentation and logs should “follow the system” throughout the AI system lifecycle. That is, each party or actor – AI developer, data processor AI vendor and AI deployer – might need to conduct its own assessment and document actions taken to manage risks.  ・リスクマネジメントで実施した手順、決定、行動を文書化し、その根拠を説明することで、透明性が高まり、人によるレビューが可能になれば説明責任を強化することができる。これは,監査、認証、保険などの機能に情報を提供するログや監査証跡を保持することを意味する。AIシステムが社内で構築されたものであれ,第三者によって構築されたものであれ,文書とログはAIシステムのライフサイクルを通じて「システムを追う」べきである。つまり、AI開発者、データ処理者、AIベンダー、AI実装者といった各関係者または行為者は、独自の評価を行い、リスクを管理するために行った行動を文書化する必要があるかもしれない。
•       Communicating that an AI system meets regulatory, governance, and ethical standards is also crucial since the core objective of AI risk management is to ensure AI systems are trustworthy and safe and protect human rights and democratic values. Where appropriate, it is important to verify and communicate that an AI system conforms to and is interoperable with national and international regulations and standards.   ・AIリスクマネジメントの中核的な目的は、AIシステムが信頼性と安全性を確保し,人権と民主主義の価値を守ることであるため、AIシステムが規制,ガバナンス,倫理基準を満たすことを伝えることも重要である。適切な場合には,AIシステムが国内外の規制や基準に適合し、相互運用可能であることを検証し、伝えることが重要である。
•       Consultation about processes and results is a core element of trustworthy AI because everyone directly or indirectly involved in or affected by the development or use of an AI system plays a role in ensuring accountability in the AI ecosystem. All actors should manage risks based on their roles, the context, and following the state-of-the-art. Actors in the AI ecosystem include: (1) the suppliers of AI knowledge and resources providing the inputs (i.e. “from whom?”); (2) the actors actively involved in the design, development, deployment and operation of the AI system (i.e. “by whom?”); (3) the users of the AI system (i.e. “for whom?”); and (4) the stakeholders affected by the AI system, including vulnerable groups (i.e. “to whom?”).   ・AIシステムの開発または使用に直接または間接的に関与し、または影響を受けるすべての人が、AIエコシステムにおける説明責任を確保する役割を果たすため、プロセスと結果に関する協議は、信頼できるAIの中核的要素である。すべてのアクターは、それぞれの役割、文脈に基づき、最先端の技術に従ってリスクマネジメントを行う必要がある。AIエコシステムにおけるアクターには、以下のようなものがある: (1)インプットを提供するAIの知識や資源の供給者(=「誰から」)、(2)AIシステムの設計、開発、展開、運用に積極的に関わるアクター(=「誰が」)、(3)AIシステムのユーザー(=「誰のために」)、(4)弱者層を含むAIシステムの影響を受けるステークホルダー(=「誰に」)。 
•       Embedding a culture of risk management in policies and management systems is needed both across organisations operating AI systems and the AI value chain. A culture of risk management requires strong commitment by organisations’ leadership teams.   ・AIシステムを運用する組織とAIバリューチェーンの両方において、ポリシーとマネジメントシステムにリスクマネジメントの文化を根付かせることが必要である。リスクマネジメントの文化は,組織のリーダーシップチームによる強いコミットメントを必要とする。

 

1. Structural view

01_20230323110801

 

 

2. Functional view

02_20230323110901

 

 

 


 目次、図表...

Table of contents  目次 
Foreword  まえがき 
Acknowledgements  謝辞 
Abstract  概要
Résumé  履歴書 
Übersicht  編集部 
Background and objectives  背景と目的 
Executive summary  エグゼクティブサマリー 
Synthèse  エグゼクティブサマリー 
Zusammenfassung  エグゼクティブサマリー 
1. Introduction  1. 序文 
1.1 The need for trustworthy AI  1.1 信頼されるAIの必要性 
1.2 What is trustworthy AI? 16 1.3 What is accountability in AI?  1.2 信頼できるAIとは?16 1.3 AIにおけるアカウンタビリティとは何か?
2. DEFINE: Scope, context, actors, and criteria  2. 定義:スコープ、コンテキスト、アクター、クライテリア 
2.1 Scope  2.1 スコープ 
2.2 Context  2.2 コンテクスト 
2.3 Actors  2.3 アクター
2.4 Criteria  2.4 規準
3. ASSESS: Identify and measure AI risks  3. 評価:AIリスクを特定し、測定する 
3.1 Benefiting people and the planet  3.1 人と地球のためになること 
3.2 Human-centred values and fairness  3.2 人間中心の価値観と公平性 
3.3 Transparency and explainability  3.3 透明性・説明可能性 
3.4 Robustness, security, and safety  3.4 ロバスト性、セキュリティ、安全性 
3.5 Interactions and trade-offs between the values-based Principles  3.5 価値観に基づく原則の間の相互作用とトレードオフ 
4. TREAT: Prevent, mitigate, or cease AI risks  4. 脅威:AIリスクを予防、軽減、停止させる。
4.1 Risks to people and the planet  4.1 人と地球へのリスク 
4.2 Risks to human-centred values and fairness  4.2 人間中心の価値観と公正さへのリスク 
4.3 Risks to transparency and explainability  4.3 透明性・説明可能性へのリスク 
4.4 Risks to robustness, security, and safety  4.4 堅牢性、セキュリティ、安全性に対するリスク 
4.5 Anticipating unknown risks and contingency plans  4.5 未知のリスクの予期とコンティンジェンシープラン 
5. GOVERN: Monitor, document, communicate, consult and embed  5. 統治:監視、文書化、コミュニケーション、協議、定着化 
5.1 Monitor, document, communicate and consult 44 5.2 Embed a culture of risk management  5.1 監視、文書化、伝達、相談 44 5.2 リスクマネジメントの文化を根付かせる。
6. Next steps and discussion  6. 次のステップとディスカッション 
Annex A. Presentations relevant to accountability in AI from the OECD.AI network of experts  附属書 A. OECD.AI専門家ネットワークによるAIにおける説明責任に関連するプレゼンテーション 
Annex B. Participation in the OECD.AI Expert Group on Classification and Risk  附属書 B. OECD.AI分類とリスクに関する専門家グループへの参加 
Annex C. Participation in the OECD.AI Expert Group on Tools and Accountability  附属書 C. OECD.AI ツールおよび説明責任に関する専門家グループへの参加 
References  参考文献 
   
FIGURES 
Figure 1.1. High-level AI risk-management interoperability framework  図1.1. ハイレベルなAIリスクマネジメントの相互運用性フレームワーク 
Figure 1.2. Sample uses of the high-level AI risk management interoperability framework  図1.2. ハイレベルなAIリスクマネジメント相互運用性フレームワークの使用例 
Figure 2.1. Actors in an AI accountability ecosystem  図2.1. AIアカウンタビリティ・エコシステムのアクター 
Figure 3.1. UK Information Commissioner’s Office (ICO) qualitative rating for data protection  図3.1. 英国情報コミッショナー事務所(ICO)のデータ保護に関する定性評価 
Figure 3.2. Mapping of algorithms by explainability and performance 35 Figure 5.1. Trade-off between information concealed and auditing detail by access level  図3.2. 説明可能性と性能によるアルゴリズムのマッピング 35 図5.1. アクセスレベルによる、隠された情報と監査の詳細さのトレードオフ 
   
TABLES 
Table 2.1. Sample processes and technical attributes per OECD AI Principle  表2.1. OECD AI原則に基づくプロセスおよび技術的属性の例 
Table 3.1. Examples of documentation to assess transparency and traceability at each phase of the AI system lifecycle  表3.1. AIシステムライフサイクルの各段階における透明性・トレーサビリティを評価するための文書例 
Table 4.1. Approaches to treating risks to people and the planet  表4.1. 人と地球へのリスクを扱うためのアプローチ 
Table 4.2. Approaches to treating bias and discrimination  表4.2. バイアスや差別を扱うためのアプローチ 
Table 4.3. Approaches to treating risks to privacy and data governance  表4.3. プライバシーとデータガバナンスに対するリスクを扱うためのアプローチ 
Table 4.4. Approaches to treating risks to human rights and democratic values  表4.4. 人権や民主的価値に対するリスクを扱うためのアプローチ 
Table 4.5. Approaches to treating risks to transparency and explainability  表4.5. 透明性・説明可能性へのリスクを扱うためのアプローチ 
Table 4.6. Approaches to treating risks to robustness, security, and safety  表4.6. 堅牢性、セキュリティ、安全性に対するリスクを処理するためのアプローチ 
Table 5.1. Characteristics of AI auditing and review access levels  表5.1. AI監査・レビューアクセスレベルの特徴 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.03.14 米国商工会議所 人工知能報告書

・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集

・2023.03.08 米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

・2023.01.27 NIST AIリスクフレームワーク

・2022.12.05 日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

・2022.11.11 NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.08.19 NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

・2022.07.31 スタンフォード大学 AI監査のアイデア募集 賞金総額は約1000万円 (^^) (2022.07.11)

・2022.07.21 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.17 AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.20 米国 商務省 国家AI諮問委員会に27名を任命

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2022.03.20 米国 ピュー研究所 AIと人間強化についての調査

・2022.02.08 米国 下院 アルゴリズム説明責任法案 2022

・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク

・2021.12.23 米国 購買担当職員に対するAIトレーニング法が上院を通過

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.31 米国 CSET AI安全性の主要概念:概要

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.09.12 2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官

・2020.08.21 NISTはAIに自己説明を求める?(説明可能な人工知能の4原則)

・2020.06.15 カーネギーメロン大学 ソフトウェア研究所 AIエンジニアリングのリスク管理の視点

・2020.05.04 米国国防省と人工知能(戦略と倫理)

 

日本

2022.08.31 産総研 「機械学習品質マネジメントガイドライン 第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)

2022.08.09 経済安全保障関係 「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について(報告)」のサイバーセキュリティ関係...

2022.07.26 総務省 AIネットワーク社会推進会議 「報告書2022」

2022.05.02 内閣府 AI戦略2022 (2022.04.22)

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

・2022.02.17 総務省 「AIを用いたクラウドサービスに関するガイドブック」の公表+AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

中国...

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.04.25 中国 人工知能白書 2022 (2022.04.12)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

 

 

英国...

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.19 イングランド銀行 「第2回調査 英国の金融業界における機械学習」とディスカッションペーパー「人工知能と機械学習」についての意見募集 (2022.10.11)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.09.24 英国 国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

 

欧州他...

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.01.08 ノルウェー 個人データ保護局 AI利用における透明性についての報告書 (2022.12.21)

・2022.12.21 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

・2022.05.05 フランス CNIL AIについてのリンク集 (2022.04.05)

・2022.04.20 AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

・2021.12.15 ENISA 機械学習アルゴリズムの保護

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

・2021.09.09 紹介 AIインシデントデータベース

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.28 EU Ethics Guidelines for Trustworthy AI(信頼できるAIのためのEU倫理ガイドライン)

・2020.02.27「AI倫理に関する現状」芳田千尋氏

 

 

| | Comments (0)

より以前の記事一覧