内部統制 / リスクマネジメント

2022.07.03

経済産業省 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」

こんにちは、丸山満彦です。

経済産業省(製造産業局自動車課、商務情報政策局情報産業課)の車載用半導体サプライチェーン検討WGが、中間報告「自動車サプライチェーンの強靭化に向けた取組」を公表していますね。。。

製造においては特定部品の不足が産業全体に影響にするわけですから、それがその国の基幹産業の場合は重要となってきますね。。。

しかし、かつては産業のコメと言われて世界に半導体を供給していた国が、ファブレス、ファウンドリの領域では米国、台湾勢に抑えられてしまい、国としても根本的解決になるような方法を持てなくなってしまったのかもしれませんね。。。

見極めの悪さか、判断力の悪さか、経営の意思決定が遅れ、没落していったのかもしれませんね。。。

経済産業省

・2022.07.01 車載用半導体サプライチェーン検討WG 中間報告「自動車サプライチェーンの強靭化に向けた取組」を公表しました


中間報告「自動車サプライチェーンの強靭化に向けた取組」の概要

(1)車載用半導体の安定調達に向けた取組
〇生産計画の提示方法の改善
半導体メーカーの予見性向上を図るため、自動車メーカーからサプライヤーに提示する生産計画の改善を実施(期間の長期化、情報粒度・提示頻度の向上等)。

〇半導体の製品・工程変更手続の標準化
調達先の複線化や切替えを効率化するため、半導体の素材変更等の際に必要となる製品・工程変更手続において、自動車メーカーごとの品質評価プロセスを標準化し評価期間を短縮。

(2)自動車サプライチェーンの強靭化に向けた方向性
自動車メーカーが平時からサプライチェーンリスクを分析し、コストとリスクのバランスを考慮しつつ、柔軟かつ強固なサプライチェーンの構築を目指す。この際、個社で解決できない課題については、業界横断での取組や政府のサポートを得つつ、進めていく。

〇サプライチェーンリスク評価
・社内外のデータベース・分析ツールの活用を進めることで、サプライチェ-ンの構造把握を効率的に実施。
・一部のサプライヤーは自社の競争情報である等の理由で取引先情報を開示していないという現状を踏まえ、情報開示に理解を得られるよう平時から関係を強化。
・カーボンフットプリントの計算等の社会的要請を背景とした自動車産業の横断的なデータ連携基盤の構築も見据え、情報流通のあり方について検討。

〇サプライチェーンリスク対応
・リスクの高い部素材については、代替調達先の事前評価やコスト面も考慮しつつ在庫の積み増しを検討。
・車両電子プラットフォームの高度化や、旧世代の半導体の生産撤退リスク等を考慮し、中長期的な半導体戦略を構築。
・部素材産業のカーボンニュートラル実現に向けた支援によって国内生産基盤を維持。その上で撤退が避けられない場合には、特定国への依存を回避する形で調達先の複線化について検討。


 

・[PDF] 自動車サプライチェーンの強靱化に向けた取組

20220703-35736

 


 

参考

● 株式会社日立ハイテク - みんなの試作広場

半導体入門講座

| | Comments (0)

2022.07.02

中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が「個人情報の越境移転に関する標準契約条項(意見募集案)」を公表し、意見募集をしていますね。。。

国家互联网信息办公室(国家サイバースペース管理局)

2022.06.30 国家互联网信息办公室关于《个人信息出境标准合同规定(征求意见稿)》 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)

 

内容は、、、

个人信息出境标准合同规定 個人情報の越境移転に関する標準的契約条項
(征求意见稿) (意見募集案)
第一条 为了规范个人信息出境活动,保护个人信息权益,促进个人信息跨境安全、自由流动,根据《中华人民共和国个人信息保护法》,制定本规定。 第1条 個人情報の流出活動を規制し、個人情報の権益を保護し、国境を越えた個人情報の安全かつ自由な流通を促進するため、「中華人民共和国個人情報保護法」に基づき、本規定を制定する。
第二条 个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第(三)项,与境外接收方订立合同向中华人民共和国境外提供个人信息的,应当按照本规定签订个人信息出境标准合同(以下简称“标准合同”)。 第2条 個人情報処理事業者は、中華人民共和国個人情報保護法第38条第1項第3号に基づき、海外の受取人に対し個人情報を提供する契約を締結する場合、これらの規定に基づき、個人情報の越境移転に関する標準契約(以下「標準契約」という)を締結するものとする。
个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。 その他、個人情報の越境移転に関して、個人情報取扱事業者と海外の受取人との間で締結される契約は、本標準契約に抵触しないものとする。
第三条 依据标准合同开展个人信息出境活动,应坚持自主缔约与备案管理相结合,防范个人信息出境安全风险,保障个人信息依法有序自由流动。 第3条 標準契約に基づいて個人情報の越境移転を行う場合、独立した契約と記録管理の組み合わせを遵守し、個人情報の越境移転セキュリティリスクを防止し、法律に従って個人情報の秩序と自由な流れを確保しなければならない。
第四条 个人信息处理者同时符合下列情形的,可以通过签订标准合同的方式向境外提供个人信息: 第4条 個人情報取扱事業者は、次の各号にも該当する場合は、標準契約によって個人情報を国外に提供することができる。
(一)非关键信息基础设施运营者; (一)非重要情報インフラ事業者。
(二)处理个人信息不满100万人的; (二)100万人未満の個人情報を取り扱うもの
(三)自上年1月1日起累计向境外提供未达到10万人个人信息的; (三) 前年の1月1日からの国外への個人情報の提供の累計が10万人に達しないとき。
(四)自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 (四) 前年の1月1日以降、外国への機微な個人情報の提供の累計が1万人に達しない場合。
第五条 个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,重点评估以下内容: 第5条 個人情報取扱事業者は、個人情報を国外に提供する前に、以下の要素に着目して、個人情報保護に与える影響について事前に評価を行うものとする。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (一)個人情報取扱事業者及び海外受取事業者の個人情報の取扱いの目的、範囲及び方法の適法性、正当性及び必要性について。
(二)出境个人信息的数量、范围、类型、敏感程度,个人信息出境可能对个人信息权益带来的风险; (二) 越境移転される個人情報の量、範囲、種類及び機密性、並びに個人情報の越境移転に起因する個人情報の権利及び利益に対する起こり得る危険性
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全; (三) 海外の受取人が負う責任及び義務並びにその責任及び義務を履行するための管理及び技術的な措置並びに能力が国外に持ち出される個人情報の安全を保障することができるかどうか。
(四)个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等; (四) 越境後の個人情報の漏えい、破壊、改ざん、不正使用等のリスク、個人が個人情報の権利・利益を守るための手段が開かれているか等
(五)境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响; (五) 海外の受取人の国または地域における個人情報保護に関する政策や規制が標準契約の履行に与える影響。
(六)其他可能影响个人信息出境安全的事项。 (六) その他、個人情報の越境の安全性に影響を与える事項。
第六条 标准合同包括以下主要内容: 第6条 標準契約書の主な内容は次のとおりである。
(一)个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等; (一) 個人情報の処理者及び海外受取人の氏名、住所、連絡先等の基本情報。
(二)个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等; (二)越境する個人情報の目的、範囲、種類、機密性、数量、方法、保管期間、保管場所等
(三)个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等; (三) 個人情報取扱事業者及び海外受取事業者の個人情報保護に関する責任及び義務並びに個人情報等の持ち出しに伴い発生し得る安全上のリスクを防止するために講じた技術的及び管理的措置。
(四)境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响; (四) 海外の受取人の国または地域における個人情報保護に関する政策や規制が、この契約条件の遵守に与える影響。
(五)个人信息主体的权利,以及保障个人信息主体权利的途径和方式; (五) 個人情報主体の権利、及び個人情報主体の権利を保護する方法・手段
(六)救济、合同解除、违约责任、争议解决等。 (六) 救済措置、契約の解除、契約不履行責任、紛争解決等
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。备案应当提交以下材料: 第7条 個人情報取扱事業者は、標準契約書の発効日から10営業日以内に、所在地の省内インターネット情報部門に契約書を提出しなければならない。 記録のため、以下の資料を提出すること。
(一)标准合同; (一)標準契約。
(二)个人信息保护影响评估报告。 (二) 個人情報保護に関する影響評価報告書。
个人信息处理者对所备案材料的真实性负责。标准合同生效后个人信息处理者即可开展个人信息出境活动。 個人情報取扱事業者は、提出された資料の真偽について責任を負うものとする。 個人情報処理事業者は、標準契約の効力発生後、個人情報の越境移転を行うことがでる。
第八条 在标准合同有效期内出现下列情况之一的,个人信息处理者应当重新签订标准合同并备案: 第8条 個人情報処理事業者は、標準契約の有効期間中に次の各号の一に該当する事由が生じたときは、標準契約を再締結し、これを届け出るものとする。
(一)向境外提供个人信息的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点和境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; (一) 海外の受取人に提供する個人情報の利用目的、範囲、種類、機密性、数量、方法、保管場所及び海外受取人による個人情報の利用及び取扱いの変更、又は国外での個人情報の保管期間の延長。
(二)境外接收方所在国家或者地区的个人信息保护政策法规发生变化等可能影响个人信息权益的; (二) 海外の受取人の所在する国または地域の個人情報保護方針および規則の変更で、個人情報の権利・利益に影響を及ぼす可能性があるもの。
(三)可能影响个人信息权益的其他情况。 (三) その他個人情報の権利利益に影響を及ぼす可能性のある事情。
第九条 参与标准合同备案的机构和人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 第9条 標準契約書の提出に関わる機関および職員は、職務遂行上知り得た個人のプライバシー、個人情報、商業上の秘密および業務上の機密を法律に従い守秘し、他人に開示し、または違法に使用してはならない。
第十条 任何组织和个人发现个人信息处理者违反本规定的,有权向省级以上网信部门投诉、举报。 第10条 個人情報取扱事業者が本規定に違反していると認める組織または個人は、省レベル以上のインターネット情報部門に苦情または通報する権利を有する。
第十一条 省级以上网信部门发现通过签订标准合同的个人信息出境活动在实际处理过程中不再符合个人信息出境安全管理要求的,应当书面通知个人信息处理者终止个人信息出境活动。个人信息处理者应当在收到通知后立即终止个人信息出境活动。 第11条 省レベル以上のインターネット情報部門は、標準契約の締結による個人情報越境移転が、実際の処理過程で個人情報越境移転の安全管理のための要件を満たさなくなったと判断した場合、個人情報加工業者に書面により通知し、個人情報越境移転を中止させなければならない。 個人情報処理事業者は、通知を受けた後、直ちに個人情報の越境移転を停止する。
第十二条 个人信息处理者按照本规定与境外接收方签订标准合同向境外提供个人信息,出现以下情形之一的,由省级以上网信部门依照《中华人民共和国个人信息保护法》的规定,责令限期改正;拒不改正或者损害个人信息权益的,责令停止个人信息出境活动,依法予以处罚;构成犯罪的,依法追究刑事责任。 第12条 個人情報取扱事業者が、本規定に基づき海外の受取人と標準契約を締結し、個人情報を国外に提供する場合、省レベル以上のインターネット情報部門は、「中華人民共和国個人情報保護法」の規定に基づき、一定期間内に是正を命ずる。また、是正せず個人情報の権利・利益を損害した場合は、個人情報越境移転行為の停止を命じ、法律に基づき処罰する。 刑事責任は、法律に従って調査される。
(一)未履行备案程序或者提交虚假材料进行备案的; (一) 申告手続きに従わず、または虚偽の申告資料を提出した場合。
(二)未履行标准合同约定的责任义务,侵害个人信息权益造成损害的; (二)標準契約で合意した責任義務を履行せず、個人情報の権利利益を侵害し、損害を与えた場合。
(三)出现影响个人信息权益的其他情形。 (三) その他個人情報の権利利益に影響を及ぼす場合。
第十三条 本规定自___年___月___日起施行。 第13条 この規定は、○月○日から施行する。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.07.06 中国のデータセキュリティ法案

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

 


 

越境移転関係

・2022.06.23 個人情報保護委員会「個人情報保護委員会の国際戦略」の公表

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連..

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

・2022.03.08 経済産業省 データの越境移転に関する研究会 報告書 (2022.02.28)

・2021.11.21 欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

・2021.07.04 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表

時代は少し遡り...

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

 

 

| | Comments (0)

デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。

こんにちは、丸山満彦です。

デジタル庁が、デジタル社会推進標準ガイドラインを公表していますが、そこにセキュリティに関するドキュメントが4つ、データ連携に関するドキュメントが1つ追加されましたね。。。

デジタル庁の「次世代セキュリティアーキテクチャ検討会」委員をしておりまして、こういうガイドラインが充実していけば良いと思っております。。。

● デジタル庁資料 - デジタル社会推進標準ガイドライン

 

セキュリティに関するドキュメント

ドキュメント名 本文
[PDF]
統合版[ZIP] 最終改定 ドキュメントの位置づけ 概要
DS-200 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン 2,145KB 4,151KB 2022.06.30 Informative 情報システムに対して効率的にセキュリティを確保するためには、情報システムの企画から運用まで一貫したセキュリティ対策(セキュリティ・バイ・デザイン)を実施する必要がある。本文書はシステムライフサイクルにおけるセキュリティ対策を俯瞰的にとらえるため、各工程でのセキュリティ実施内容、要求事項を記載するとともに、関係者の役割を定義する。
DS-210 ゼロトラストアーキテクチャ適用方針 774KB 981KB 2022.06.30 Informative クラウドサービスの利活用拡大や、リモートワーク等の業務環境の変化に伴い、従来の境界型のセキュリティモデルだけでは、近年の高度化したサイバー攻撃を完全に予防・防御することは困難になってきており、ゼロトラストな考え方の適用が求められている。本文書は、ゼロトラスト・アーキテクチャを適用するための基本方針を説明するとともに、導入時の留意事項について述べる。
DS-211 常時リスク診断・対処(CRSA)アーキテクチャ 1,073KB 1,491KB 2022.06.30 Informative ゼロトラストアーキテクチャの環境下において、安定且つ安全なサービス提供を実現するためには、政府全体のサイバーセキュリティリスクを早期に検知し、低減する事が必要となる。本文書は、この活動を継続的に実施するための、情報収集・分析を目的としたプラットフォームのアーキテクチャについて説明する。
DS-221 政府情報システムにおける脆弱性診断導入ガイドライン 1,078KB 1,292KB 2022.06.30 Informative 政府情報システムにおいてサイバーレジリエンスを確保するためには、脆弱性診断を実施することが重要である。本文書は、最適な脆弱性診断を選定、調達できるようにするための、脆弱性導入に係る基準とその指針について説明する。


データ連携に関するドキュメント

ドキュメント名 本文
[PDF]
統合版
[ZIP]
最終改定 ドキュメントの位置づけ 概要
DS-400 政府相互運用性フレームワーク(GIF)   34,884KB 2022.06.30 Informative データの利活用、連携がスムースに行える社会を実現するための技術的体系として、「政府相互運用性フレームワーク(Government Interoperability Framework)」(GIF​)を提供する。当フレームワークを利用してデータを整備することで、拡張性が高く、連携が容易なデータを設計することが可能。

 

Digital




Continue reading "デジタル庁 デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。"

| | Comments (0)

2022.06.30

日本公認会計士協会 国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見について

こんにちは、丸山満彦です。

日本公認会計士協会が国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見を公表していますね。。。

監査法人系の会社によるコンサルティング業務のIT関連ビジネスについての独立性(自己レビュー等)に関係する内容も含まれていますね。。。米国のPCAOBはさらに厳しい規則を課しています。。。

 

日本公認会計士協会

・2022.06.27 国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見について

・[PDF] 本文(日本語)

20220630-62125

 

なお、元になったのは、、、

International Ethics Standards Board for AccountantsTECHNOLOGY: ETHICS & INDEPENDENCE CONSIDERATIONS

・2022.02.18 PROPOSED TECHNOLOGY-RELATED REVISIONS TO THE CODE

・[PDF] Proposed Technology-related Revisions to the Code

Phpthumb_generated_thumbnail

 

国際基準とPCAOBの独立性の比較も参考になりますね。。。

・2022.05.06 (press) IESBA STAFF RELEASES BENCHMARKING REPORT COMPARING THE INTERNATIONAL INDEPENDENCE STANDARDS WITH U.S. SEC AND PCAOB INDEPENDENCE RULES

・2022.05.06 SUMMARY: BENCHMARKING THE INTERNATIONAL INDEPENDENCE STANDARDS

Thumbnail

| | Comments (0)

2022.06.29

メタバースのシステム構成論(佐藤一郎教授の資料 at 総務省 情報通信法学研究会AI分科会(令和4年度第1回会合))

こんにちは、丸山満彦です。

昨日は、欧州議会のThink Tankによるメタバース:機会、リスク、政策への影響について載せましたが、今日は総務省情報通信法学研究会AI分科会(令和4年度第1回会合)の佐藤一郎教授(構成員)のメタバースのシステム構成論です。。。

技術進歩とともに、できることが増えることにより、その結果は良い面にも悪い面にも影響を及ぼす、だからどのような政策が必要かというのが昨日の話ですが、そもそも技術の限界はどのようなものかというのが、今回の佐藤先生の資料から見えてくる部分もあるように思います。

これは読む価値があると思います。。。

個人的には、技術進歩により変わってきている一つの要素に没入感があると思います。演算速度、通信速度が高まり、現実に近い画像解像度、音質を3D的に表現しつつ他人とインタラクティブにコミュニケーションができるようになったきたということですね。。。(と言っても、視覚と聴覚だけですが。。。)

それ以外は既に歴史を振り返って検証すればわかることが多いのではないかと思っています。。。(それも佐藤先生の資料にありますが、、、)

そういう意味では、健康や心理的な側面の検討をより進める必要があるのかもしれません。。。

そして当面は、仮想社会ができても、現実社会との紐付けからは逃れられないようにする必要があるようのではないかと思います。つまり、KYC的なものは必要ということになると思います。。。(人類が仮想空間で過ごす時間が現実空間で過ごす時間より増えても、KYC的なものが必要なのは変わらないのであれば、常に必要ということかもしれない。)

ということで、当面の利用は、少人数による管理された環境下(例えば企業内でのコミュニケーション、会員間でのゲームやシミュレーション等)で使われるのが現実的なのかもしれません。。。

とはいえ、プラットフォーマの手数料も含めたシステム開発費、運用費の負担に比した利用のメリットがどれだけあるのか???ということを現実的に突き詰めていく頃には、どのようなものが残っているのかというのは興味があります。。。(もちろん、技術進歩により、同じ性能における開発費や運用費も下がっていくでしょうし。。。)

 

総務省  - 情報通信法学研究会 Fig1_20220629050001

・2022.06.29 情報通信法学研究会AI分科会(令和4年度第1回会合) 

[PDF] 資料1         佐藤構成員発表資料

20220629-45813


[PDF] 資料2         成原構成員解説資料
[PDF] 参考資料1 情報通信法学研究会開催要綱
[PDF] 参考資料2 情報通信法学研究会分科会構成
[PDF] 参考資料3 学術雑誌『情報通信政策研究』第6巻第1号の特集について


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

 

| | Comments (0)

2022.06.28

JIPDEC 将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~

こんにちは、丸山満彦です。

一般財団法人 日本情報経済社会推進協会 (JIPDEC) が、情報セキュリティ対策を行うためのエッセンスを紹介したガイドブック「将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~」を新たにまとめ、発行していますね。。。

12ページでコンパクトにまとめられているということですかね。。。

主なポイントは以下のとおりとのことです。。。



■ テレワークによる職場環境やクラウドサービス活用を含むシステム変更等によって変化するリスクにどう対応するかを解説
■ 情報セキュリティにおけるガバナンスの重要性を解説
■ デジタルトランスフォーメーション(DX)推進に即したセキュリティ対策の考え方を紹介


 

● JIPDEC

・2022.06.27 JIPDEC クラウドサービス提供&利用のリスク対応を解説したガイドブックを発行 - 今、そして将来の脅威にどう対応する?ISO規格をもとにISMS構築のエッセンスを解説!

・[PDF] 将来の脅威に対応できるISMS 構築のエッセンス ~クラウドセキュリティに役立つISO 規格~ 

20220628-51355

 

目次...

1 はじめに
2
目的に沿った運用にするには
 2.1
ガバナンス
 2.2
リスクマネジメント
 2.3
運用時の注意事項
3
効果的な仕組みづくりのために ~ISMS 適合性評価制度の活用~
4
おわりに


 

 

| | Comments (0)

欧州議会 Think Tank メタバース:機会、リスク、政策への影響

こんにちは、丸山満彦です。

欧州議会のThink Tankが、メタバースをめぐる、機会、リスク、政策への影響について考察したレポートを公表していますね。。。

メタバースというか、仮想現実、拡張現実を利用し、没入感を高めたデジタル環境において、人間社会にどのようなチャンスとリスクがあるのか、それを踏まえてどのような政策が必要かを考察している資料ですね。。。

さすが欧州ですね。日本ではここまで踏み込んで検討していないでしょうね。。。

 

European Parliament - Think Tank

・2022.06.24 Metaverse: Opportunities, risks and policy implications

Metaverse: Opportunities, risks and policy implications メタバース:機会、リスク、政策への影響
One of the most talked about concepts in modern technology, the metaverse can be described as an immersive and constant virtual 3D world where people interact by means of an avatar to carry out a wide range of activities. Such activities can range from leisure and gaming to professional and commercial interactions, financial transactions or even health interventions such as surgery. While the exact scope and impact of the metaverse on society and on the economy is still unknown, it can already be seen that the metaverse will open up a range of opportunities but also a number of risks in a variety of policy areas. Major tech companies are scaling up their metaverse activities, including through mergers and acquisitions. This has given impetus to a debate on how merger regulations and antitrust law should apply. Business in the metaverse is expected to be underpinned largely by cryptocurrencies and non-fungible tokens, raising issues of ownership, misuse, interoperability and portability. Furthermore, the huge volume of data used in the metaverse raises a number of data protection and cybersecurity issues (e.g. how to collect user consent or protect avatars against identity theft). There is considerable scope for a wide range of illegal and harmful behaviours and practices in the metaverse environment. This makes it essential to consider how to attribute responsibility, inter alia, for fighting illegal and harmful practices and misleading advertising practices, and for protecting intellectual property rights. Moreover, digital immersion in the metaverse can have severe negative impacts on health, especially for vulnerable groups, such as minors, who may require special protection. Finally, the accessibility and inclusiveness of the metaverse remain areas where progress has still to be made in order to create an environment of equal opportunities. 現代技術で最も話題になっている概念の一つであるメタバースは、人々がアバターによって交流し、様々な活動を行う没入型かつ恒常的な仮想3D世界と表現することができる。このような活動は、レジャーやゲームから、専門家や商人との交流、金融取引、あるいは手術などの健康介入に至るまで、多岐にわたる。メタバースが社会や経済に及ぼす正確な範囲や影響はまだ不明だが、メタバースがさまざまな政策分野において、さまざまな機会をもたらすと同時に、多くのリスクをもたらすことはすでに確認されている。大手ハイテク企業は、M&Aを含め、メタバース活動を拡大している。このため、合併規制や独禁法の適用をどうするかという議論に弾みがついている。メタバースにおけるビジネスは、主に暗号通貨や非ファンジブルトークンに支えられ、所有権、不正使用、相互運用性、ポータビリティの問題が生じると予想される。さらに、メタバースで使用される膨大なデータは、多くのデータ保護とサイバーセキュリティの問題を提起する(例えば、利用者の同意を収集する方法、ID盗難からアバターを保護する方法など)。メタバース環境では、さまざまな違法・有害な行動や行為が行われる可能性がかなりある。このため、特に違法・有害な行為や誤解を招くような広告手法との戦い、および知的財産権の保護について、どのように責任を帰属させるかを検討することが不可欠である。さらに、メタバースにおけるデジタルへの没入は、特に特別な保護を必要とする未成年者などの脆弱な集団にとって、健康に深刻な悪影響を及ぼす可能性がある。最後に、メタバースのアクセシビリティと包摂性は、機会均等の環境を作るために、依然として進展が必要な領域である。

 

検討している内容は、次の7分野で、

o Competition  o 競争
o Data protection o データ保護
o Liabilities o 負債
o Financial transactions o 金融取引
o Cybersecurity  o サイバーセキュリティ 
o Health o 健康
o Accessibility and inclusiveness o アクセシビリティと包摂性

それぞれ、課題、考えられる政策的影響を分析しています。

非常に参考になると思います。

 

・2022.06.24 [PDF] Metaverse - Opportunities, risks and policy implications

20220628-43121

内容は、、、

Continue reading "欧州議会 Think Tank メタバース:機会、リスク、政策への影響"

| | Comments (0)

2022.06.27

日本公認会計士協会 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表

日本公認会計士協会が、経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表していますね。。。

興味深いです!!!

 

日本公認会計士協会 (JICPA)

・2022.06.27 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」の公表について

・[PDF] 本文

20220627-155943

 

目次


総論
1.本研究資料の作成の背景
2.本研究資料の作成の前提事項

会計不正の動向
1.会計不正の公表会社数
2.会計不正の類型と手口
3.会計不正の主要な業種内訳
4.会計不正の上場市場別の内訳
5.会計不正の発覚経路
6.会計不正の関与者
7.会計不正の発生場所
8.会計不正の不正調査体制の動向
9.会計不正と内部統制報告書の訂正の関係

【参考】会計不正の定義


 

今年+過去分

2022.06.27  経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」 PDF
2021.07.29  経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」 PDF
2020.07.17 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」 PDF
2019.06.19  経営研究調査会研究資料第6号「上場会社等における会計不正の動向(2019年版)」 PDF
2018.05.16  経営研究調査会研究資料第5号「上場会社等における会計不正の動向」 PDF

 


 

まるちゃんの情報セキュリティティ日記

・2021.07.31 日本公認会計士協会 経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」を公表

・2020.07.20 日本公認会計士協会 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」を公表

| | Comments (0)

ドイツ BSI TR-03161 ヘルスケア分野でのアプリケーション等に対するセキュリティ要求事項

こんにちは、丸山満彦です。

ドイツが、ヘルスケア分野のアプリケーションについてのセキュリティ要求事項を「モバイルアプリケーション (TR-03161-1)」 、「ウェブアプリケーション (TR-03161-2)」 、「バックグラウンドシステム (TR-03161-3)」に分けて公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

プレス...

・2022.06.23 Bundesamt für Sicherheit in der Informationstechnik BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen

BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen BSI、デジタルヘルス・アプリケーションのセキュリティに関する技術指針を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Im Rahmen unterschiedlicher explorativer Projekte konnte das BSI in den letzten Jahren Erkenntnisse über den aktuellen Stand der IT-Sicherheit im Gesundheitswesen gewinnen. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). ドイツ連邦情報セキュリティ局 (BSI) は、ヘルスケア分野のアプリケーションに対するセキュリティ要件を発表しました。BSIは、さまざまな探索的プロジェクトの枠組みの中で、近年のヘルスケア分野におけるITセキュリティの現状について知見を得ることができました。メーカーやオペレーターに予防策を提供できるよう、ヘルスケア分野のさまざまなアプリケーションのサブエリアについて、セキュリティ要件が作成されています。本技術指針は、モバイルアプリケーション (TR-03161-1) 、ウェブアプリケーション (TR-03161-2) 、バックグラウンドシステム (TR-03161-3) の要件をいくつかのパートに分けて構成しています。
Die Anforderungen basieren auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Unter Berücksichtigung der stark fortschreitenden Digitalisierung im Gesundheitswesen und des sich wandelnden Standes der Technik, pflegt das BSI weiterhin einen regelmäßigen Austausch mit Vertretern der Industrie und den zuständigen Behörden. Die sich hieraus ergebenden Erkenntnisse werden im Rahmen einer jährlichen Evaluierung der TR berücksichtigt und in Form von Anpassungen und Erweiterungen mit aufgenommen. 要件は、ヘルスケアにおける現状と、BSIのさまざまなプロジェクトで得られた知見に基づいています。さらに、BSIの観点からは、産業界との定期的な交流や、連邦医薬品・医療機器研究所 (BfArM) 、連邦データ保護・情報自由委員会 (BfDI) の関与の結果であると言えるでしょう。BSIは、急速に進むヘルスケア分野のデジタル化とその状況の変化を考慮し、産業界や所轄官庁の代表者と定期的な交流を続けています。その結果得られた知見は、毎年行われるTRの評価で考慮され、適応や拡張の形で盛り込まれます。
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. 記載されたセキュリティ要件に適合していることを証明するために、BSI は TR に従った認証手続きを提供します。
Digitale Gesundheitsanwendungen (DiGA) nach § 33 a SGB V und digitale Pflegeanwendungen (DiPA) nach § 40 a SGB XI können grundsätzlich als Anwendungen im Gesundheitswesen gewertet werden. Eine Anerkennung der Zertifizierung nach TR für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem BfArM. 33 a SGB Vによるデジタルヘルスアプリケーション (DiGA) と40 a SGB XIによるデジタルケアアプリケーション (DiPA) は、基本的にヘルスケア分野におけるアプリケーションとして評価することができる。満たすべき安全要件の証明として、SGB V §139 e 10 項に関する DiGA および SGB XI §78 a 7 項に関する DiPA の TR による認証の承認は、BfArM の責任です。

 

 

・2022.06.23 BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen BSI TR-03161 ヘルスケア分野でのアプリケーションに対する要求事項
Gegenstand der Technischen Richtlinie 技術指針の対象
Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH]. 連邦保健省によると、欧米の医療制度は大きな課題に直面しています。高齢者や慢性疾患患者が増え、高価な医療技術革新に費用がかかり、構造的に弱い地方に医療を提供しなければならないのです[BMG-EHI]。ヘルスケア・アプリケーションは、このような課題をよりよく解決するために役立ちます。これらは、「患者の治療とケア」を支援し、「現代の情報通信技術 (ICT) が提供する可能性を利用する」ことを一般的な目的としています[BMG-EH]。
Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern. 技術ガイドライン (TR) ファミリーは、ヘルスケア分野のアプリケーションメーカーを対象としています。また、機密性の高いデータを処理・保管するアプリケーションのガイドラインとしても考慮できる。
Zielsetzung der Technischen Richtlinie 技術指針の目的
Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt. 職場、家庭環境、個人、公共交通機関など、生活のあらゆる場面でデジタル化が着実に進行しています。すでに2018年には、インターネット利用者が40億人を突破しています。現在、世界の人口76億人のうち、3分の2が携帯電話を使用しています。30億人以上の人々がソーシャルネットワークを利用し、10件中9件はスマートフォンから利用しています ([GDR18]を参照) 。このような動きは、ヘルスケア分野でも続いており、「セルフトラッキング」の流れに加え、一度収集した医療データの効率的な活用が求められています。特に医療分野では、場所や時間に関係なく自分の医療データにアクセスできるのは便利なことです。この場合、アプリケーションには、脈拍や睡眠リズムの記録、投薬計画、医療処方箋や証明書など、機密性の高い個人情報が保存されます。ユーザーを対応するサービスに接続し、通信ノードとして機能する。エンドデバイスが危険にさらされると、意図せずユーザーのデジタルライフ全体が明らかになり、高額な金銭的損害につながる可能性があるのです。適切なセキュリティ基準を遵守することで、このような事態をより困難なものとし、場合によっては防ぐことができます。開発段階であっても、メーカーはアプリケーションが個人情報やその他の機密情報をどのように処理し、保存し、保護するかについて、非常に責任ある計画を立てる必要があります。
Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. ITセキュリティは、基本的に3つの保護目標を追求しています。機密性、完全性、可用性。
Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben. 特に、ヘルスケア分野のアプリケーションでは、これらの要件への適合が重要です。特に医療分野では、意図せず公開された健康データの機密性は永遠に失われます。この場合、患者は補償を受けることができるが、強制的な開示は元に戻すことができません。また、意図せずして健康データが開示されると、社会的・職業的に大きな影響を及ぼし、好ましくない結果になることもあります。万が一、攻撃者が第三者の機密データを操作し、その完全性を侵害した場合、治療の意思決定、ひいては本人の健康に大きな影響を与える可能性があります。
Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. この技術ガイドラインファミリーは、アプリケーション開発者が安全なソリューションを作成するためのガイドとして機能することを目的としています。
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート1:モバイルアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート2:ウェブアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme BSI TR-03161 ヘルスケアアプリケーションの要件 - Part 3: バックグラウンドシステム
Biometrie bei mobilen Gesundheitsanwendungen モバイルヘルスアプリケーションにおけるバイオメトリクス
Neue mobile Gesundheitsanwendungen sehen unter anderem auch eine biometrische Benutzerauthentisierung vor. Allerdings weist der Markt eine hohe Zahl an biometrischen Komponenten für mobile Endgeräte auf, welche sich in Performanz und Fälschungssicherheit deutlich unterscheiden. Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Smartphones für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, will das BSI biometrische Authentifikationssysteme auf Smartphones prüfen und im Frühjahr 2022 eine initiale Whitelist geeigneter Geräte veröffentlichen, welche danach in regelmäßigen Abständen aktualisiert werden wird. Eine Verwendung biometrischer Authentisierungsmethoden wird nur für Geräte in dieser Whitelist zulässig sein, alle anderen werden sich auf die klassischen PIN/Passwort-Verfahren beschränken müssen. モバイルヘルスの新しいアプリケーションには、バイオメトリクスによるユーザー認証が含まれます。しかし、市場にはモバイル機器用の生体認証部品が数多く存在し、その性能や偽造防止性能は大きく異なっているのが現状です。BSIは、モバイルヘルスアプリケーション用のスマートフォンにおける生体認証手順が十分な信頼性を達成できるよう、スマートフォンにおける生体認証システムのテストを行い、2022年春に適切なデバイスの初期ホワイトリストを公開し、その後定期的に更新する予定です。生体認証の使用は、このホワイトリストに登録された機器にのみ許可され、それ以外の機器では従来のPIN/パスワードによる認証に限定されます。
Die Anforderungen für diese Prüfung ergeben sich aus der - derzeit im Finalisierungs- und Veröffentlichungsprozess befindlichen - Technischen Richtlinie TR-03161-1 (Anhang C). Hersteller von Endgeräten, die an einer Listung ihrer Endgeräte in dieser Whitelist interessiert sind, werden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge werden die konkreten Prüfanforderungen sowie nähere Informationen zum Prüfprozess bereitgestellt. Die Prüfung besteht dabei im Wesentlichen aus zwei Komponenten. Zunächst benötigt das BSI eine Herstellererklärung, die dokumentiert, dass das jeweilige Endgerät die näher bezeichneten Anforderungen erfüllt und wie diese Prüfung seitens des Hersteller erfolgt ist. Diese Herstellererklärung wird dann im BSI auf Plausibilität geprüft. Darüber hinaus behält sich das BSI eine stichprobenartige praktische Kontrolle der Endgeräte vor. 本テストの要求事項は、現在最終版として発行されている技術指針 TR-03161-1  (Annex C) から導き出されたものです。このホワイトリストへの掲載を希望するエンドデバイスの製造者は、BSI に連絡することが望まれる。本講座では、具体的なテスト要件に加え、テストプロセスに関するより詳細な情報を提供します。このテストは、基本的に2つの要素で構成されています。まず、BSIは、それぞれのエンドデバイスが指定された要件を満たしていること、そしてこのテストが製造者によってどのように実施されたかを文書化した製造者の宣言を要求しています。この製造者の宣言は、BSIでもっともらしいかどうかチェックされる。さらに、BSI は、エンドデバイスのランダムな実地チェックを行う権利を留保します。
Endgeräte werden in die Whitelist aufgenommen, soweit die Angaben in der Herstellererklärung plausibel sind und - sofern einschlägig - eine etwaige stichprobenartige Prüfung des jeweiligen Endgeräts keine Zweifel an der Herstellererklärung aufgeworfen hat. Erfolgt die stichprobenartige Kontrolle nach der initialen Listung des Endgerätes in der Whitelist, kann ein negatives Prüfergebnis zur Entfernung dieses Gerätes von der Whitelist führen. Jeder Eintrag in der Whitelist beinhaltet die Hersteller- und Modellbezeichnung, die zugelassene biometrische Modalität und die ggf. notwendige Konfiguration für ein als geeignet eingestuftes Gerät. Weitere Informationen werden nicht veröffentlicht. Insbesondere ist nicht geplant, eine Art „Blacklist“ mit solchen Geräten, die die Anforderungen nicht erfüllen, zu veröffentlichen. 端末機器は、製造者の宣言に記載されている情報が妥当であり、かつ (該当する場合) 各端末機器のランダムチェックで製造者の宣言に疑義が生じない場合に、ホワイトリストに掲載されます。ホワイトリストにエンドデバイスを最初に登録した後にランダムチェックを実施した場合、テスト結果がよくなければ、このデバイスをホワイトリストから削除することができます。ホワイトリストの各項目には、メーカー名とモデル名、承認された生体認証モダリティ、適切と判断されたデバイスに必要な設定 (ある場合) が含まれています。それ以外の情報は公開されません。特に、要件を満たさないそのような機器の「ブラックリスト」のようなものを公表する予定はない。
Der gesamte Prüf- und Veröffentlichungsprozess erfolgt seitens des BSI unter Wahrung der Vertraulichkeit. Den Herstellern wird zudem - sowohl im Falle einer Aufnahme ihrer Endgeräte in die Whitelist als auch im Falle einer Ablehnung - unter angemessener Fristsetzung Gelegenheit zur Stellungnahme gegeben werden. テストと公表の全プロセスは、BSIが機密を保持しながら実施します。さらに、製造者は、合理的な期間内に、ホワイトリストにエンドデバイスを含める場合と拒否する場合の両方について、意見を述べる機会を与えられます。
Aufgrund des dargestellten Prüfprozesses erhebt die Whitelist keinen Anspruch auf Vollständigkeit. Aus der fehlenden Listung eines Endgerätes in der Whitelist kann somit nicht zwingend der Schluss gezogen werden, dass dieses Gerät die Prüfanforderungen nicht erfüllt. 上記のような審査のため、ホワイトリストが完全であるとは言えません。ホワイトリストに含まれていないからといって、必ずしもテスト要件を満たしていないとは限りません。

 

モバイル版 T1

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

20220627-141320

ウェブアプリケーション版 T2

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

20220627-141339

バックグラウンドシステム版 T3

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

20220627-141353

 

目次は共通項目が多いので、、、

     -1 -2  -3
1 Einleitung 1 はじめに
1.1 Gegenstand der Technischen Richtlinie 1.1 技術指針の主題
1.2 Zielsetzung der Technischen Richtlinie 1.2 技術指針の目的
1.3 Übersicht der Technischen Richtlinie 1.3 技術指針の概要
1.3.1 Methodik 1.3.1 方法論
1.3.2 Begriffe 1.3.2 用語の説明
2 Überblick der Sicherheitsanforderungen an Anwendungen im Gesundheitswesen 2 ヘルスケアアプリケーションに求められるセキュリティ要件の概要
2.1 Anwendungskonzepte auf mobilen Endgeräten 2.1 モバイル端末におけるアプリケーションの概念
2.1.1 Native-Anwendungen 2.1.1 ネイティブアプリケーション
2.1.2 Hybride Ansätze 2.1.2 ハイブリッド・アプローチ
2.2 Web-Anwendungen 2.2 ウェブアプリケーション
2.3 Hintergrundsysteme 2.3 バックグラウンド・システム
2.3.1 Selbst gehostete Systeme 2.3.1 セルフホストシステム
2.3.2 Extern gehostete Systeme 2.3.2 外部からホストされるシステム
2.3.3 Cloud Computing 2.3.3 クラウドコンピューティング
2.4 Security Problem Definition 2.4 セキュリティ問題の定義
2.4.1 Annahmen 2.4.1 前提条件
2.4.2 Bedrohungen 2.4.2 脅威
2.4.3 Organisatorische Sicherheitspolitiken 2.4.3 組織的なセキュリティポリシー
2.4.4 Restrisiken 2.4.4 残留リスク
3 Prüfaspekte für Anwendungen im Gesundheitswesen 3 ヘルスケアアプリケーションのためのテストの側面
3.1 Prüfaspekte 3.1 テスト面
3.1.1 Prüfaspekt (1): Anwendungszweck 3.1.1 テスト側面  (1) :適用目的
3.1.2 Prüfaspekt (2): Architektur 3.1.2 テスト側面  (2) :アーキテクチャ
3.1.3 Prüfaspekt (3): Quellcode 3.1.3 テスト側面  (3) :ソースコード
3.1.4 Prüfaspekt (4): Drittanbieter-Software 3.1.4 テスト側面  (4) :サードパーティソフトウェア
3.1.5 Prüfaspekt (5): Kryptographische Umsetzung 3.1.5 テスト側面  (5) :暗号化実装
3.1.6 Prüfaspekt (6): Authentifizierung 3.1.6 テスト側面  (6) :認証
3.1.7 Prüfaspekt (7): Datensicherheit 3.1.7 テスト側面  (7) :データセキュリティ
3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen 3.1.8 テスト側面  (8) :有償リソース
3.1.9 Prüfaspekt (9): Netzwerkkommunikation 3.1.9 テスト側面  (9)  :ネットワーク通信  
3.1.10 Prüfaspekt (10): Plattformspezifische Interaktionen 3.1.10 テスト側面  (10)  :プラットフォーム固有のインタラクション  
3.1.9 Prüfaspekt (9): Netzwerksicherheit 3.1.9 テスト側面 (9) :ネットワークセキュリティ    
3.1.10 Prüfaspekt (10): Organisatorische Sicherheit
3.1.10 テスト側面 (10) :組織的なセキュリティ    
3.1.11 Prüfaspekt (11): Resilienz 3.1.11 テスト側面  (11)  :回復力  
4 Prüfschritte einer Anwendung im Gesundheitswesen 4. ヘルスケアアプリケーションのテストステップ
4.1 Anforderungen an die Prüfung 4.1 テスト要件
4.2 Protokollierung der Ergebnisse 4.2 結果の記録
4.3 Testcharakteristika 4.3 テスト特性
4.3.1 Testcharakteristik zu Prüfaspekt (1): Anwendungszweck 4.3.1 テスト側面  (1)  に対するテスト特性:適用目的
4.3.2 Testcharakteristik zu Prüfaspekt (2): Architektur 4.3.2 テスト側面  (2)  のテスト特性:アーキテクチャ
4.3.3 Testcharakteristik zu Prüfaspekt (3): Quellcode 4.3.3 テスト側面  (3)  のテスト特性:ソースコード
4.3.4 Testcharakteristik zu Prüfaspekt (4): Drittanbieter-Software 4.3.4 テスト側面  (4)  :サードパーティソフトウェアに関するテスト特性
4.3.5 Testcharakteristik zu Prüfaspekt (5): Kryptographische Umsetzung 4.3.5 テスト側面  (5)  のテスト特性:暗号化実装
4.3.6 Testcharakteristik zu Prüfaspekt (6): Authentifizierung 4.3.6 テスト側面  (6)  のテスト特性:認証
4.3.7 Testcharakteristik zu Prüfaspekt (7): Datensicherheit 4.3.7 テスト側面  (7)  に対するテスト特性:データセキュリティ
4.3.8 Testcharakteristik zu Prüfaspekt (8): Kostenpflichtige Ressourcen 4.3.8 テスト側面  (8)  のテスト特性:有償リソース
4.3.9 Testcharakteristik zu Prüfaspekt (9): Netzwerkkommunikation 4.3.9 テスト側面 (9) のテスト特性:ネットワーク通信
4.3.10 Testcharakteristik zu Prüfaspekt (10): Plattformspezifische Interaktionen 4.3.10 テスト側面 (10) :プラットフォーム固有のインタラクションに関するテスト特性
4.3.11 Testcharakteristik zu Prüfaspekt (11): Resilienz 4.3.11 テスト側面 (11) のテスト特性:弾力性 (Resilience  
5 Sicherheitsstufen und Risikoanalyse 5 セキュリティレベルとリスク分析
Anhang A: Schutzbedarf sensibler Datenelemente 附属書A:機密データ要素の保護要件
Anhang B: Begutachtungsperspektive 附属書B:評価の視点
B.1. Primäres Designziel B.1. 設計の主目的
B.2. Schutzmechanismen B.2. 保護機構
B.3. Sichere Entwicklung B.3. 安全な開発
B.4. Authentifizierung B.4. 認証
B.5. Sicherheit der Kommunikation B.5. 通信セキュリティ
B.6. Weitere Prüfthemen B.6. その他のテストトピック
Anhang C: Anforderungen an biometrische Authentifizierungs- und Verifizierungsverfahren für Anwendungen im Gesundheitswesen 附属書C:ヘルスケアアプリケーションのためのバイオメトリクス認証および検証方法に関する要求事項    
C.1.  Anforderungen an die Leistung und an die Erkennung von Präsentationsangriffen biometrischer Systeme auf mobilen Endgeräten C.1. モバイル機器上の生体認証システムの性能とプレゼンテーション攻撃検知の要件    
C.1.1. Begriffe C.1.1. 用語    
C.1.2. [GEN] Allgemeine Anforderungen C.1.2 [GEN] 一般要求事項    
Abkürzungsverzeichnis 略語一覧
Literaturverzeichnis 参照情報

 

参考になるBSIのページ...

eHealth – Cyber-Sicherheit im Gesundheitswesen

eHealth – Cyber-Sicherheit im Gesundheitswesen eHealth - ヘルスケア分野でのサイバーセキュリティ
Der Bereich eHealth befasst sich mit der Digitalisierung im Gesundheitswesen. Er wird thematisch in verschiedene Abschnitte aufgeteilt. Zum einen geht es um die elektronische Gesundheitskarte (eGK) und die dazugehörige Telematikinfrastruktur (TI) und zum anderen um die Cyber-Sicherheit von in Deutschland eingesetzter Medizintechnik. eHealthの分野では、ヘルスケア分野のデジタル化を扱っています。テーマ別に分かれています。一方では、電子健康保険証 (eGK) と関連するテレマティクスインフラ (TI) を扱い、他方では、ドイツで使用されている医療技術のサイバーセキュリティを扱っています。
Moderne Gesundheitsversorgung: digital und sicher 現代の医療:デジタルとセキュア
Medizinische Versorgung in Deutschland wird allen zu Teil. Sie ist ein Gradmesser für den Wohlstand, die Stärke und Solidarität in einer Gesellschaft. Das Gesundheitswesen in unserem Land gilt weltweit als eines der besten – auch, weil es in vielen Bereichen digitalisiert ist. Die elektronische Patientenakte, die Messung, Speicherung und Auswertung von Gesundheitsdaten per App oder die Video-Sprechstunde sind Beispiele für digitale Technologien, die derzeit die deutsche Gesundheitswirtschaft verändern. Von der Digitalisierung profitieren alle Akteure im Gesundheitswesen – von den Patientinnen und Patienten über die Kliniken und Arztpraxen bis hin zu den Krankenkassen. Digitale Gesundheitsfürsorge kann das Leben der Menschen erleichtern, lange Wege und Wartezeiten minimieren und im Krankheits- oder Notfall schnell helfen. ドイツの医療は誰でも受けられます。社会の繁栄、力強さ、連帯感を測る尺度である。我が国の医療制度は世界でもトップクラスと言われていますが、それは多くの分野でデジタル化されているからです。電子患者ファイル、アプリによる健康データの測定・保存・評価、ビデオ診察などは、現在ドイツの医療業界を変えつつあるデジタル技術の一例です。患者から診療所、医師会、医療保険会社まで、医療システムのすべてのプレーヤーがデジタル化の恩恵を受けています。デジタルヘルスケアは、人々の生活をより快適にし、長時間の移動や待ち時間を最小限に抑え、病気や緊急事態の際には迅速に対応することができます。
Doch alle Vorteile von eHealth sind ohne Informationssicherheit nicht denkbar. Denn die Digitalisierung erhöht auch im Gesundheitswesen das Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen. Wozu das führen kann, belegen zahlreiche Vorfälle der letzten Monate und Jahre: Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben. しかし、eヘルスがもたらすすべてのメリットは、情報セキュリティなしには考えられません。また、デジタル化により、医療分野におけるITセキュリティ事故やサイバー攻撃のリスクも高まっています。ここ数カ月、数年にわたる数々の事件は、このことが何をもたらすかを示しています。病院が緊急操業に入らなければならなくなったり、何百万という患者の機密データが盗まれたり、パスワード保護なしで長期間にわたってインターネット上で一般公開されたりしています。また、インスリンポンプ、患者用モニター、人工呼吸器など、ネットワーク接続された医療機器の脆弱性が繰り返し報告されています。その故障や権限のない第三者による操作は、緊急時に患者の健康、生命、身体に対して直ちに影響を与える可能性があります。
Sichere Digitalisierung gestalten 安全なデジタル化の設計
All diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten. Auch deshalb gehören Einrichtungen des Gesundheitswesens zu den Kritischen Infrastrukturen in Deutschland. Als zentrales Kompetenzzentrum für Informationssicherheit in Deutschland übernimmt das BSI Verantwortung als Gestalter einer sicheren Digitalisierung in diesem für die Gesellschaft so wichtigen Bereich. 現代社会は、このような事件ばかりではいられない。ドイツで医療施設が重要インフラとされる理由のひとつがこれです。BSIは、ドイツにおける情報セキュリティの中央コンピテンスセンターとして、社会にとって重要なこの分野の安全なデジタル化の形成者としての責任を担っています。
Mit dem IT-Sicherheitsgesetz von 2015 hat das BSI die Zuständigkeit als Aufsichtsbehörde für Betreiber Kritischer Infrastrukturen (KRITIS) auch im Sektor Gesundheitswesen erhalten. Kritische Infrastrukturen im Gesundheitswesen sind beispielsweise Krankenhäuser und Kliniken mit mehr als 30.000 stationären Behandlungsfällen pro Jahr oder Pharmahersteller mit mehr als 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr. 2015年のITセキュリティ法により、BSIは医療分野でも重要インフラ (CRITIS) の運用者の監督官庁としての責任を担うことになりました。ヘルスケア分野の重要インフラとは、例えば、年間3万件以上の入院患者を抱える病院や診療所、年間465万個以上の医薬品を上市している製薬会社などを指します。
Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wesentlichen Beitrag bei der Gestaltung der großen Digitalisierungsprojekte im Gesundheitswesen. Das BSI befasst sich mit der Weiterentwicklung der elektronischen Gesundheitskarte, mit dem Notfalldatenmanagement und dem elektronischen Medikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit, mit der elektronischen Patientenakte, mit der Telematikinfrastruktur sowie der IT-Sicherheit von Medizinprodukten, beispielweise mit dem Projekt ManiMed - Manipulation von Medizinprodukten. Das BSI hat auch dafür gesorgt, dass die Corona-Warn-App des Bundes ein hohes Maß an Informationssicherheit bietet – nicht zuletzt ein wesentlicher Faktor für die hohe Akzeptanz der App in der Bevölkerung. 連邦政府のサイバーセキュリティ当局として、BSIはヘルスケア分野における主要なデジタル化プロジェクトの形成に大きく貢献しています。BSIは、電子健康カード、緊急時データ管理、薬物療法セキュリティに関連した電子投薬計画、電子患者ファイル、テレマティクス・インフラ、医療機器のITセキュリティのさらなる開発に取り組んでおり、例えば、ManiMedプロジェクト (医療機器の操作性) などがあります。BSIは、連邦政府のコロナ警報アプリが高いレベルの情報セキュリティを提供することを保証しており、このことが、同アプリが国民に高いレベルで受け入れられている重要な要因であることは言うまでもありません。
Das BSI leistet einen wesentlichen Beitrag zur sicheren Digitalisierung im Gesundheitswesen. Davon profitieren Kliniken, Ärztinnen und Ärzte ebenso wie die Patientinnen und Patienten. BSIは、ヘルスケア分野における安全なデジタル化に大きく貢献しています。これは、クリニック、医師、患者さんのいずれにもメリットがあります。
ARNE SCHÖNBOHM, PRÄSIDENT DES BSI アルネ・シェーンボーム (BSI会長)
Das BSI unterstützt in den IT-Anwendungsfeldern im Gesundheitsbereich mit Vorgaben, Sicherheitsstandards in Form von Technischen Richtlinien oder IT-Grundschutz-Bausteinen sowie konkreter Hilfestellung und Beratung für Behörden und Unternehmen, um schnell praktikable und zugleich sichere Anwendungen zu realisieren. Wichtig ist dabei die enge Zusammenarbeit des BSI mit Partnern wie der gematik, dem Bundesministerium für Gesundheit (BMG), dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV). BSIは、医療分野のITアプリケーション分野において、実用的であると同時に安全なアプリケーションを迅速に実装するために、仕様、技術ガイドラインやIT-Grundschutzビルディングブロックの形式によるセキュリティ標準、当局や企業に対する具体的な支援やアドバイスなどのサポートを提供しています。ここでは、BSIとgematik、連邦保健省 (BMG) 、連邦データ保護・情報自由委員会 (BfDI) 、連邦医薬品・医療機器研究所 (BfArM) 、全国法定保険医協会 (KBV) 、全国法定保険歯科医協会 (KZBV) といったパートナーとの密接な連携が重要な意味をもっています。

 

 

| | Comments (0)

2022.06.26

英国 国防AI戦略 (2022.06.15)

こんにちは、丸山満彦です。

英国国防省が、国防AI戦略を公表していました。。。

よくできているように見えますね。。。

英国は、政策決定の枠組みが決まっているので、品質よく政策が策定、実行されるところもあるのでしょうかね。。。

 

U.K. Government - Defence and armed forces

・2022.06.15 Policy paper Defence Artificial Intelligence Strategy

Defence Artificial Intelligence Strategy

 

国防省のAIについてのビジョンは、

Our vision is that, in terms of AI, we will be the world’s most effective, efficient, trusted and influential Defence organisation for our size. 私たちのビジョン:AIという観点から、私たちの規模で、世界で最も効果的、効率的、信頼され、影響力のある国防組織になること。

4つの目標その具体的な活動...

Objective 1: Transform Defence into an ‘AI ready’ organisation. 目標1:国防を「AIに対応できる」組織へ変革する。
Actions to achieve objective 1: Upskill leaders and workforce, recruit key talent; address policy challenges; modernise digital, data and technology enablers. 目標1を達成するための行動:リーダーと労働力を強化し、重要な人材を採用し、政策の課題に対処し、デジタル、データ、技術のイネーブラを近代化する。
Objective 2: Adopt and exploit AI at pace and scale for Defence advantage. 目標2:国防の優位性のために、ペースと規模に応じてAIを導入し、活用する。
Actions to achieve objective 2: Organise for success; Exploit near and longer-term opportunities; Systematic experimentation; Collaborate internationally. 目標2を達成するための行動:成功のための組織化、短期および長期の機会の活用、体系的な実験、国際的な協力。
Objective 3: Strengthen the UK’s defence and security AI ecosystem. 目標3:英国の防衛・安全保障AIエコシステムを強化する。
Actions to achieve objective 3: Build confidence and clarify requirements; Address commercial barriers; Incentivise engagement and co-creation; Support business growth. 目的3を達成するための行動:信頼を築き、要件を明確にする;商業的障壁に対処する;関与と共同創造にインセンティブを与える;ビジネスの成長を支援する。
Objective 4: Shape global AI developments to promote security, stability and democratic values. 目標4:安全保障、安定、民主主義の価値を促進するために、グローバルなAIの発展を形成する。
Actions to achieve objective 4: Champion responsible global AI development; Promote security and stability; Develop future security policy. 目的4を達成するための行動:責任あるグローバルなAI開発を支持し、安全保障と安定を促進し、将来の安全保障政策を発展させる。

Fig1_20220626050801出典:U.K. Defence Artificial Intelligence Strategy

 

期待される成果とガバナンス

The four outcomes of AI adoption for Defence: Decision Advantage, Efficiency, Unlock New Capabilities, Empower the Whole Force. 国防のためのAI導入の4つの成果:意思決定の優位性、効率性、新しい能力の解放、全軍の能力強化
The Governance of AI in Defence: There is no single overall owner for AI in Defence. Every business unit and Function has an important role to play if we are to achieve our goals. 国防におけるAIのガバナンス:国防におけるAIの全体的な所有者は一人ではありません。目標を達成するためには、すべてのビジネスユニットとファンクションが重要な役割を担っています。
MOD Head Office: Set AI policy and strategy, define capability targets, direct strategic programmes and ensure overall coherence. 国防省 本部:AI政策と戦略を設定し、能力目標を定め、戦略的プログラムを指示し、全体的な一貫性を確保する。
Business units / Functional Leads: Pursue the forms of AI most relevant to them, guided by this Strategy and direction from Head Office. ビジネスユニット/ファンクショナルリード:この戦略と本部の指示に基づき、各自に最も適したAIの形態を追求する。
Strategic Command: Ensure strategic and operational integration across the warfighting domains. 戦略的コマンド:戦域を越えた戦略的・作戦的統合を確保する。
Overall strategic coherence is managed jointly by the Defence AI and Autonomy Unit (DAU) and the Defence AI Centre (DAIC). The DAU sets strategic policy frameworks governing development, adoption and use of AI. The DAIC is the focal point for AI R&D and technical issues. 全体的な戦略の一貫性は、国防AI・自律化ユニット(DAU)と国防AIセンター(DAIC)が共同で管理する。DAUは、AIの開発、採用、使用を管理する戦略的な政策枠組みを設定する。DAICは、AIの研究開発と技術的な問題の中心的な役割を果たす。

Fig2_20220626053101

出典:U.K. Defence Artificial Intelligence Strategy

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 The global technology context 1.1 世界のテクノロジー事情
1.1.1 The significance of Artificial Intelligence 1.1.1 人工知能の重要性
1.1.2 AI threats 1.1.2 AIの脅威
1.1.3 AI Competition 1.1.3 AIとの競争
1.2 Our response 1.2 私たちの対応
1.3 Ambitious, safe and responsible use of AI 1.3 野心的で安全かつ責任あるAIの使用
1.3.1 Our commitment as a responsible AI user 1.3.1 責任あるAIユーザーとしての私たちのコミットメント
1.3.2 Our commitment to our people 1.3.2 私たちの社員に対するコミットメント
2 Transform into an ‘AI Ready’ organisation 2 「AI Ready」な組織への変革
2.1 Culture, skills and policies 2.1 文化、スキル、ポリシー
2.1.1 Strategic planning for Defence AI skills 2.1.1 国防AIスキルのための戦略的計画
2.1.2 Applying the brightest minds to the AI challenge 2.1.2 AIへの挑戦のための優秀な頭脳の適用
2.1.3 AI leadership at all levels 2.1.3 全レベルでのAIリーダーシップ
2.1.4 Upskilling our workforce 2.1.4 労働力のアップスキル
2.1.5 Diversity and Inclusion 2.1.5 多様性と包括性
2.1.6 Policy, process and legislation 2.1.6 政策、プロセス、法規制
2.2 Digital, data and technology enablers 2.2 デジタル、データ、テクノロジーのイネーブラー
2.2.1 Trusted, coherent and reliable data 2.2.1 信頼できる、一貫性のある、信頼できるデータ
2.2.2 Computing power, networks and hardware 2.2.2 コンピューティングパワー、ネットワーク、ハードウェア
2.2.3 The Defence AI Centre (DAIC) 2.2.3 国防AIセンター(DAIC)
2.2.4 Technical assurance, certification and governance 2.2.4 技術保証、認証、ガバナンス
3 Adopt and Exploit AI at Pace and Scale for Defence Advantage 3 防衛の優位性のために、ペースと規模でAIを採用し、利用する
3.1 Organising for success 3.1 成功のための組織化
3.2 Our approach to delivery 3.2 配信へのアプローチ
3.3 Promoting pace, innovation and experimentation 3.3 ペース、イノベーション、実験の促進
3.3.1 Securing our AI operational advantage 3.3.1 AI運用の優位性の確保
3.4 Working across Government 3.4 政府全体との連携
3.5 International capability collaboration 3.5 国際的な能力協力
3.5.1 Key AI partnerships 3.5.1 主要なAIパートナーシップ
4 Strengthen the UK’s Defence and Security AI Ecosystem 4 英国の国防・安全保障AIエコシステムの強化
4.1 The UK’s AI strengths 4.1 英国のAIの強み
4.1.1 Defence’s role in spurring technological innovation 4.1.1 技術革新を促進するための国防の役割
4.2 Partnership on the basis of trust 4.2 信頼を基礎としたパートナーシップ
4.3 Clearly communicating our AI requirements, intent and expectations 4.3 AIの要件、意図、期待を明確に伝えること
4.4 Addressing barriers to frictionless collaboration 4.4 摩擦のないコラボレーションへの障壁に対処する
4.4.1 Information age acquisition and procurement policy 4.4.1 情報化時代の取得・調達政策
4.5 Incentivising engagement and co-creation 4.5 エンゲージメントと共創のインセンティブを与える
4.5.1 Understanding and reflecting market forces 4.5.1 市場の力を理解し反映させる
4.5.2 Talent exchange 4.5.2 タレント交換
4.5.3 Simplifying access to Defence assets 4.5.3 国防資産へのアクセスの簡素化
4.5.4 Promoting co-creation 4.5.4 共同創作の促進
4.5.5 Business support services 4.5.5 ビジネス支援サービス
5 Shape Global AI Developments to Promote Security, Stability and Democratic Values 5 安全保障、安定、民主的価値観を促進するためのグローバルな AI 開発の形成
5.1 Shape the global development of AI in line with UK goals and values 5.1 英国の目標と価値観に沿ったAIの世界的な発展を形作る
5.1.1 Promote safe and responsible military development and use 5.1.1 安全で責任ある軍事開発と利用を促進する
5.1.2 Influence the global development of AI technologies 5.1.2 AI技術の世界的な発展に影響を与える
5.2 Promote security and stability 5.2 安全保障と安定の促進
5.2.1 Counter-proliferation and arms control 5.2.1 拡散対策と軍備管理
5.2.2 Protecting critical technologies 5.2.2 重要技術の保護
5.2.3 Build confidence and minimise risk 5.2.3 信頼の構築とリスクの最小化
5.3 Develop future security policy 5.3 将来の安全保障政策の策定
5.3.1 AI, strategic systems and deterrence 5.3.1 AI、戦略的システム、抑止力
6 Strategy implementation and beyond 6 戦略の実施とその後
6.1 Priorities 6.1 優先順位
6.2 Leadership and governance 6.2 リーダーシップとガバナンス
6.3 Looking ahead 6.3 今後の展望

 

・[PDF] Defence Artificial Intelligence Strategy

20220626-53536

 

ブログの記事も参考になります。

U.K. GovernmentCentre for Data Ethics and Innovation Blog

・2022.06.15 Enabling the responsible use of AI in defence by

 

 

| | Comments (0)

より以前の記事一覧