IoT

2024.12.08

CISA サイバーレジリエンスを強化する: 米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察 (2024.11.21)

こんにちは、丸山満彦です。

CISAが、米国の重要インフラ部門組織に対して、CISAレッドチームが実施したアセスメントからの洞察を公表していますね...

Mitigation(緩和策)の部分に

重要インフラ組織のシステムに財弱性(内部統制の不備といってもよいと思います)があるが、それは、、、

CISAは、安全でないソフトウェアがこれらの欠陥の多くの根本原因であり、エンドユーザーに責任が及ぶべきでないことを認識し、ソフトウェア製造事業者に以下のことを実施するよう促している:

ということで、

  • ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティを組み込む。

  • デフォルトのパスワードをなくす。ソフトウェアにデフォルトのパスワードをプロバイダしてはならない。デフォルトパスワードをなくすには、インストールと構成の際に、管理者が強力なパスワードを設定するよう要求する [CPG 2.B]。

  • 一つのセキュリティ管理が侵害されても、システム全体が侵害されないように製品を設計する。例えば、危殆化したアカウントの影響を軽減するために、デフォルトでユーザ特権を狭く設定し、ACL を採用する。これにより、悪意のあるサイバー行為者が特権をエスカレートさせ、横展開がより困難になる。

  • 特権ユーザーに対してMFA(理想的にはフィッシングに強いMFA)を義務付けMFAをオプトインではなくデフォルトの機能にする。

  • システムをデフォルトでセキュアにすることに重点を置き、ハードニング・ガイドのサイズを小さくする。このシナリオでは、レッドチームは、特権アカウントの列挙を可能にする Windows Server 2012 のデフォルト設定に気づいた。

 

  • 重要なこと:製造事業者は、ハードニング・ガイドを解釈する時間、専門知識、および認識を持つ輸入事業者に依存するのではなく、製品に組み込まれた日常的なナッジを実装する必要がある。

といっています。。。

事業者で発生しているサイバーインシデントの多くの原因は、しょぼいベンダーのシステムのせいで、ベンダーはまともにシステムつくれや...といっているようにも聞こえます。個人の感想です(^^)

この雰囲気からすると、ベンダーが開発したシステムの脆弱性について、場合によっては厳しく対応をしていくようになるかもしれませんね...

 

それから、重要インフラのシステムについては、(止められないという問題があるかもしれませんが...)レッドチームアセスメントはデフォルトdえするという方がよさそうですね...

 

CISA

・2024.11.21 Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization

Alert Code: AA24-326A

 

Enhancing Cyber Resilience: Insights from CISA Red Team Assessment of a US Critical Infrastructure Sector Organization サイバーレジリエンスを強化する: 米国の重要インフラ部門組織のCISAレッドチームアセスメントからの洞察
Executive Summary エグゼクティブサマリー
The Cybersecurity and Infrastructure Security Agency (CISA) conducted a red team assessment (RTA) at the request of a critical infrastructure organization. During RTAs, CISA’s red team simulates real-world malicious cyber operations to assess an organization’s cybersecurity detection and response capabilities. In coordination with the assessed organization, CISA is releasing this Cybersecurity Advisory to detail the red team’s activity—including their tactics, techniques, and procedures (TTPs) and associated network defense activity. Additionally, the advisory contains lessons learned and key findings from the assessment to provide recommendations to network defenders and software manufacturers for improving their organizations’ and customers’ cybersecurity posture. サイバーセキュリティ・インフラセキュリティ庁(CISA)は、重要インフラ組織の要請を受けてレッドチーム評価(RTA)を実施した。RTAの間、CISAのレッドチームは、組織のサイバーセキュリティ検知・対応能力を評価するために、実際の悪意あるサイバー操作をシミュレートする。アセスメントを受けた組織と連携して、CISA はこのサイバーセキュリティ勧告を発表し、レッドチームの活動(戦術、技術、手順(TTP)、関連するネットワーク防御活動を含む)を詳述する。さらに、本アドバイザリーには、アセスメントから得られた教訓や重要な発見が含まれており、ネットワーク防御者やソフトウェア製造事業者に対し、組織や顧客のサイバーセキュリティ態勢を改善するための推奨事項を提示している。
Within this assessment, the red team (also referred to as ‘the team’) gained initial access through a web shell left from a third party’s previous security assessment. The red team proceeded to move through the demilitarized zone (DMZ) and into the network to fully compromise the organization’s domain and several sensitive business system (SBS) targets. The assessed organization discovered evidence of the red team’s initial activity but failed to act promptly regarding the malicious network traffic through its DMZ or challenge much of the red team’s presence in the organization’s Windows environment. このアセスメントの中で、レッドチーム(「チーム」とも呼ぶ)は、サードパーティが以前に行ったセキュリティアセスメントから残されたウェブシェルを通じて最初のアクセスを得た。レッドチームは、非武装地帯(DMZ)を通過してネットワークに侵入し、組織のドメインと複数の機密業務システム(SBS)を完全に侵害した。アセスメントを受けた組織は、レッドチームの最初の活動の証拠を発見したが、DMZを通過する悪意のあるネットワーク・トラフィックに関して迅速に行動することができず、組織のWindows環境におけるレッドチームの存在に異議を唱えることもできなかった。
The red team was able to compromise the domain and SBSs of the organization as it lacked sufficient controls to detect and respond to their activities. The red team’s findings illuminate lessons learned for network defenders and software manufacturers about how to respond to and reduce risk. レッドチームは、彼らの活動を検知し対応するための十分な管理体制を欠いていたため、組織のドメインとSBSを侵害することができた。レッドチームの調査結果は、ネットワーク防御者とソフトウェア製造事業者にとって、リスクへの対応とリスク軽減のための教訓となった。
・Lesson Learned: The assessed organization had insufficient technical controls to prevent and detect malicious activity. The organization relied too heavily on host-based endpoint detection and response (EDR) solutions and did not implement sufficient network layer protections. ・教訓:アセスメントを受けた組織は、悪意のある活動を防止・検知するための技術的コントロールが不十分であった。この組織は、ホストベースのエンドポイント検知・対応(EDR)ソリューションに過度に依存し、十分なネットワーク層の防御を実装していなかった。
・Lesson Learned: The organization’s staff require continuous training, support, and resources to implement secure software configurations and detect malicious activity. Staff need to continuously enhance their technical competency, gain additional institutional knowledge of their systems, and ensure they are provided sufficient resources by management to have the conditions to succeed in protecting their networks. ・教訓:この組織のスタッフは、安全なソフトウェア設定を実装し、悪意のある活動を検知するために、継続的なトレーニング、サポート、およびリソースを必要としている。職員は継続的に技術的能力を向上させ、機構に関する知識を深め、経営陣からネットワーク保護に成功するための十分なリソースを提供されるようにする必要がある。
・Lesson Learned: The organization’s leadership minimized the business risk of known attack vectors for the organization. Leadership deprioritized the treatment of a vulnerability their own cybersecurity team identified, and in their risk-based decision-making, miscalculated the potential impact and likelihood of its exploitation. ・教訓:この組織のリーダーシップは、組織にとって既知の攻撃ベクトルによるビジネスリスクを最小化した。リーダーシップは、自分たちのサイバーセキュリティチームが特定した脆弱性の扱いの優先順位を下げ、リスクベースの意思決定において、その脆弱性が悪用された場合の潜在的な影響と可能性を誤って計算した。
To reduce risk of similar malicious cyber activity, CISA encourages critical infrastructure organizations to apply the recommendations in the Mitigations section of this advisory to ensure security processes and procedures are up to date, effective, and enable timely detection and mitigation of malicious activity. 同様の悪意あるサイバー活動のリスクを低減するため、CISA は重要インフラ組織に対し、セキュリティ・プロセスと手順が最新かつ効果的で、悪意ある活動のタイムリーな検知と緩和を可能にするよう、本アドバイザリの緩和セクションの推奨事項を適用することを推奨する。
This document illustrates the outsized burden and costs of compensating for insecure software and hardware borne by critical infrastructure owners and operators. The expectation that owners and operators should maintain the requisite sophisticated cyber defense skills creates undue risk. Technology manufacturers must assume responsibility for product security. Recognizing that insecure software contributes to these identified issues, CISA urges software manufacturers to embrace Secure by Design principles and implement the recommendations in the Mitigations section of this advisory, including those listed below: この文書は、重要インフラの所有者と運用者が負担する、安全でないソフトウェアとハードウェアを補償するための過大な負担とコストを示している。所有者や運用者が必要な高度なサイバー防御スキルを維持すべきとの期待は、過度のリスクを生み出す。技術製造事業者は、製品セキュリティに対する責任を負わなければならない。安全でないソフトウェアがこれらの特定された問題の一因であることを認識し、CISA はソフトウェア製造事業者に対し、セキュア・バイ・デザインの原則を受け入れ、以下に列挙するものを含め、この勧告の緩和セクションにある勧告を実施するよう促す:
・Embed security into product architecture throughout the entire software development lifecycle (SDLC). ・ソフトウェア開発ライフサイクル(SDLC)全体を通じて、製品アーキテクチャにセキュリティを組み込む。
・Eliminate default passwords. ・デフォルトのパスワードをなくす。
・Mandate MFA, ideally phishing-resistant MFA, for privileged users and make MFA a default, rather than opt-in, feature. ・特権ユーザには MFA(理想的にはフィッシングに強い MFA)を義務付け、MFA をオプトインではなくデフォルトの機能にする。

 

・[PDF]

20241208-23135

 

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Technical Details 技術的詳細
Phase I: Red Team Cyber Threat Activity 第一段階 レッドチームのサイバー脅威活動
Overview 概要
Initial Access 初期アクセス
Linux Infrastructure Compromise Linux インフラの侵害
Local Privilege Escalation and Credential Access ローカル特権の昇格とクレデンシャル・アクセス
Linux Command and Control Linux コマンドと制御
Lateral Movement and Persistence 横展開と永続性
Windows Domain Controller Compromise Windows ドメイン コントローラの侵害
Windows Command and Control Windows コマンドと制御
Post-Exploitation Activity: Gaining Access to SBSs 悪用後の活動: SBS にアクセスする
Admin Workstations 管理ワークステーション
Additional Host and Other Subnets 追加のホストおよびその他のサブネット
Corporate Workstations of Critical Infrastructure Administrators and Operators 重要インフラの管理者とオペレーターの企業ワークステーション
Command and Control コマンド・アンド・コントロール
Defense Evasion and Victim Network Defense Activities 防御回避と被害者ネットワーク防御活動
Phase II: Red Team Measurable Events Activity フェーズ II: レッドチームの測定可能イベント活動
Lessons Learned and Key Findings 教訓と主な発見
Lesson Learned: Insufficient Technical Controls 教訓 不十分な技術的コントロール
Lesson Learned: Continuous Training, Support, and Resources 教訓 継続的なトレーニング、サポート、リソース
Lesson Learned: Business Risk 教訓 ビジネスリスク
Additional Findings 追加発見事項
Noted Strengths 指摘された強み
Mitigations 緩和策
Network Defenders ネットワーク・ディフェンダー
Software Manufacturers ソフトウェア製造事業者
Validate Security Controls セキュリティ・コントロールの妥当性確認
Resources リソース
Appendix: MITRE ATT&CK Tactics and Techniques 附属書 MITRE ATT&CK の戦術とテクニック

 

 

 

| | Comments (0)

2024.11.25

欧州 ENISA NIS投資報告書 2024

こんにちは、丸山満彦です。

ENISAが、Network and Information Security Investments Report 2024を公表していますね...

2020年から初めて今年で5年目ですね...

NIS2の施行も始まりましたし、サイバーセキュリティがますます注目されますね...今年の調査からNIS2であらたに規制対象となる産業分野も調査しているようですね...

情報セキュリティ支出は増加ている一方、IT部門の従業員に占める情報っセキュリティ専任者の割合は4年連続で低下しているようですね...特に技術的な専門知識を必要とする職務の充足に苦労しているとのこと...特に中小企業...

日本もそうですが、欧州も同じですね...きっと米国も...

事業体の90%が、来年はサイバー攻撃の量、コストが増加すると予想しているようです...

 

EU及びその諸国が政策を立案する際の参考にするために、行なっているようです。今年で5年目!

EUもグローバルの比較データが欲しいと思うので(一部は組み込まれていますが、、、)、日本も政策立案の際には必要となるのでしょうから、調整をして同じ調査をしても良いように思うんですけどね。。。どうかしら。。。

日本って政策立案についての定量的な分析を十分にせずに、一部の、政府職員、政治家、一部有識者?、それらの取り巻き?の思い、思いつきできまってしまうことが多くないでしょうかね。。。もう少し定量データ等を取り入れたらどうでしょうかね。。。

IPAが情報セキュリティ白書をだしていますが、読み物だけでなく、経年データのあるデータ編があると良いと思うんですよね...

 

ENISA

プレス...

・2024.11.21 Navigating cybersecurity investments in the time of NIS 2

Navigating cybersecurity investments in the time of NIS 2 NIS 2の時代にサイバーセキュリティ投資をナビゲートする
The latest report of the European Union Agency for Cybersecurity (ENISA) aims to support policy makers in assessing the impact of the current EU cybersecurity framework, and particularly the NIS 2 Directive, on cybersecurity investments and the overall maturity of organisations in scope. 欧州連合サイバーセキュリティ機関(ENISA)の最新報告書は、現在のEUサイバーセキュリティの枠組み、特にNIS 2指令がサイバーセキュリティ投資と対象組織の全体的な成熟度に与える影響を評価し、政策立案者を支援することを目的としている。
The fifth iteration of the NIS Investments report provides key insights into how organisations in scope of the NIS 2 Directive allocate their cybersecurity budgets, build their capabilities, and mature in line with the Directive’s provisions, while also exploring global cybersecurity trends, workforce challenges, and the impact of AI.  NIS投資報告書の第5版では、NIS 2指令の適用範囲にある組織がどのようにサイバーセキュリティ予算を配分し、能力を構築し、指令の規定に沿って成熟しているかについて重要な洞察を提供するとともに、世界のサイバーセキュリティの動向、労働力の課題、AIの影響についても探求している。
The report further provides insights into the readiness of entities to comply with new requirements introduced by key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, while also exploring the challenges they face.   本報告書はさらに、事業体が直面する課題を探りながら、主要な水平法(CRAなど)や分野別法(DORA、NCCSなど)によって導入された新たな要件を遵守するための準備態勢についての洞察を提供している。
The EU Agency for Cybersecurity Executive Director, Juhan Lepassaar, highlighted: “The NIS 2 Directive signifies a turning point in Europe's approach to cybersecurity. Within a fast evolving and complex threat landscape, the proper implementation of the NIS 2 requires adequate investments and especially into the new sectors which fall under the scope of the updated Directive. The ENISA NIS Investments report provides evidence-based feedback to policymakers and stakeholders regarding NIS-driven investments. These insights are essential for informed decision-making and addressing potential hurdles and gaps in cybersecurity policy implementation.”  EUサイバーセキュリティ機関のジュハン・レパサー事務局長は、次のように強調した: 「NIS 2指令は、サイバーセキュリティに対する欧州のアプローチの転換点を意味する。急速に進化する複雑な脅威の状況の中で、NIS 2を適切に実施するためには、適切な投資が必要であり、特に更新された指令の範囲に含まれる新しいセクターへの投資が必要である。ENISA NIS投資報告書は、NIS主導の投資に関して、政策立案者や利害関係者にエビデンスに基づくフィードバックを提供する。これらの洞察は、十分な情報に基づいた意思決定や、サイバーセキュリティ政策の実施における潜在的なハードルやギャップに対処するために不可欠である」。
The 2024 edition features a significant enhancement compared to previous versions, as it extends the survey sample to include sectors and entities that are in scope of NIS 2. Through this approach, this report provides a pre-implementation snapshot of relevant metrics for the new sectors and entities under NIS 2, laying a foundation for future assessments of the impact of NIS 2. Additionally, it includes a sectorial deep dive in the Digital infrastructure and Space sectors.  2024年版の特徴は、NIS 2の対象となる事業体やセクターを調査対象に加えたことである。 このアプローチにより、本報告書は、NIS 2の対象となる新たなセクターや事業体に関する関連指標の導入前スナップショットを提供し、NIS 2の影響に関する将来のアセスメントの基礎を築く。 さらに、デジタルインフラと宇宙セクターのセクター別深堀り調査も含まれている。
Data were collected from 1350 organisations from all EU Member States covering all NIS2 sectors of high criticality, as well as the manufacturing sector.  データは、製造事業者だけでなく、重要度の高いNIS2の全分野をカバーする全EU加盟国の1350組織から収集された。
Key findings  主な調査結果 
Information security now represents 9% of EU IT investments, a significant increase of 1.9 percentage points from 2022, marking the second consecutive year of growth in cybersecurity investment post-pandemic.  EUのIT投資に占める情報セキュリティの割合は9%となり、2022年から1.9ポイントの大幅な伸びを示し、パンデミック以降2年連続でサイバーセキュリティへの投資が増加している。
In 2023, median IT spending for organisations rose to EUR 15 million, with information security spending doubling from EUR 0.7 million to EUR 1.4 million.  2023年には、組織のIT支出の中央値は1,500万ユーロに上昇し、情報セキュリティ支出は0.7百万ユーロから1.4百万ユーロに倍増する。
For the fourth consecutive year, the percentage of IT  Full Time Equivalents (FTEs) dedicated to information security has declined, from 11.9% to 11.1%. This decrease may reflect recruitment challenges, with 32% of organisations—and 59% of SMEs—struggling to fill cybersecurity roles, particularly those requiring technical expertise. This trend is especially notable given that 89% of organisations expect to need additional cybersecurity staff to comply with NIS2.  IT部門のフルタイム従業員(FTE)に占める情報セキュリティ専任者の割合は4年連続で低下し、11.9%から11.1%になった。この減少は、サイバーセキュリティの職務、特に技術的な専門知識を必要とする職務の充足に苦労している組織が32%、中小企業が59%に上るという、採用上の課題を反映している可能性がある。89%の組織がNIS2に準拠するためにサイバーセキュリティ担当者の増員を必要としていることを考えると、この傾向は特に注目に値する。
New NIS2 sectors are comparable in cybersecurity spending to existing NIS Directive entities, with their investments largely focused on developing and maintaining baseline cybersecurity capabilities. Emerging areas, such as post-quantum cryptography, receive limited attention with only 4% of surveyed entities investing and 14% planning future investments.  新規のNIS2セクターは、既存のNIS指令事業体と同程度のサイバーセキュリティ支出を行っており、その投資は主に基本的なサイバーセキュリティ能力の開発と維持に集中している。耐量子暗号のような新分野への注目度は低く、調査対象事業体のわずか4%が投資し、14%が将来の投資を計画しているにすぎない。
The majority of organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2. Notably, a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%).   大半の事業体は、NIS 2に準拠するためにサイバーセキュリティ予算の単発的または恒久的な増加を見込んでいる。注目すべきは、相当数の事業体が必要な追加予算を要求できないことであり、その割合は特に中小企業(34%)で高い。 
90% of entities expect an increase in cyberattacks next year, in terms of volume, costliness or both. Despite that, 74% focus their cybersecurity preparedness efforts internally, with much lower participation in national or EU-level initiatives. This gap underscores a critical area for improvement, as effective cross-border cooperation in managing large-scale incidents can only be achieved at these higher levels.  事業体の90%が、来年はサイバー攻撃の量、コスト、またはその両方が増加すると予想している。にもかかわらず、74%はサイバーセキュリティ対策に社内で注力しており、国やEUレベルのイニシアティブへの参加はかなり低い。このギャップは、大規模なインシデントに対処するための効果的な国境を越えた協力は、これらのより高いレベルでしか達成できないため、改善すべき重要な領域であることを強調している。
Overall awareness among in-scope entities is encouraging, with 92% being aware of the general scope or specific provisions of the NIS 2 Directive. However, a notable percentage of entities in certain new NIS 2 sectors remain unaware of the Directive, suggesting a potential need for increased awareness campaigns by the national competent authorities.  対象事業体の全体的な認知度は高く、92%がNIS 2指令の一般的な範囲または特定の規定を知っている。しかし、特定の新しいNIS 2セクターの事業体では、依然としてこの指令を知らない事業体の割合が目立っており、各国の所轄官庁による認知度向上キャンペーンの潜在的な必要性を示唆している。
Entities in sectors already covered by NIS outperform those newly included under NIS 2 across various cybersecurity governance, risk, and compliance metrics. Similarly, entities in new NIS 2 sectors show lower engagement and higher non-participation rates in cybersecurity preparedness activities. This highlights the positive impact the NIS Directive has had on the sectors already in scope; and creates anticipation for the impact NIS 2 will have on the new sectors.  すでにNISの対象となっているセクターの事業体は、さまざまなサイバーセキュリティガバナンス、リスク、コンプライアンスの指標において、新たにNIS 2の対象となったセクターを上回っている。同様に、新たにNIS 2の対象となった事業体では、サイバーセキュリティ対策活動への参加率が低く、不参加率が高い。このことは、NIS指令がすでに対象となっているセクターにプラスの影響を与えていることを浮き彫りにしており、NIS 2が新たなセクターに与える影響への期待を高めている。
Through the years, the series of the NIS Investments report provide a rich historical dataset which, building on this year’s foundation, will allow us to gain insights into the effect of NIS 2 on new entities within its scope.   長年にわたり、NIS投資報告書のシリーズは豊富な歴史的データセットを提供しており、今年の基礎の上に、NIS 2がその範囲内の新たな事業体に与える影響についての洞察を得ることができるだろう。 
Further Information  詳細情報 
NIS Investments Report 2024  NIS投資報告書2024
NIS Investments Report 2023 — ENISA  NIS投資報告書2023 - ENISA
NIS Investments 2022 — ENISA  NIS投資報告書2022 - ENISA
Cybersecurity Investment: Spotlight on Vulnerability Management — ENISA  サイバーセキュリティ投資: 脆弱性管理に注目 - ENISA

 

・2024.11.21 NIS Investments 2024

NIS Investments 2024 NIS投資 2024
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本レポートは、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の導入前のスナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 本報告書の第5版では、NIS 2のすべての重要度の高いセクターと製造事業者を対象に、EU全27加盟国の1350組織のデータを紹介している。

 

・[PDF]

20241125-01614

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序文
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2. 情報セキュリティの動態と展望
2.1 INFORMATION SECURITY SPENDING 2.1 情報セキュリティ支出
2.1.1 Forecast spending on information security and risk management 2.1.1 情報セキュリティとリスクマネジメントへの支出の見通し
2.1.2 Information security spending 2.1.2 情報セキュリティ支出
2.2 CYBERSECURITY PRIORITIES 2.2 サイバーセキュリティの優先事項
2.2.1 Investment Priorities 2.2.1 投資の優先順位
2.2.2 Third-Party Cyber Risk Management 2.2.2 サードパーティサイバーリスク管理
2.3 CYBERSECURITY WORKFORCE CHALLENGES 2.3 サイバーセキュリティ人材の課題
2.3.1 Information security staffing 2.3.1 情報セキュリティ人材の確保
2.3.2 Talent scarcity and impacts 2.3.2 人材不足とその影響
2.4 IMPACT OF ARTIFICIAL INTELLIGENCE (AI) 2.4 人工知能(AI)の影響
2.4.1 Cybersecurity of AI and AI for cybersecurity 2.4.1 AIのサイバーセキュリティとサイバーセキュリティのためのAI
2.5 CYBERSECURITY INCIDENTS AND VULNERABILITIES 2.5 サイバーセキュリティのインシデントと脆弱性
2.5.1 Cybersecurity incidents 2.5.1 サイバーセキュリティ事件
2.5.2 Vulnerabilities 2.5.2 脆弱性
3. INFORMATION SECURITY INVESTMENTS 3. 情報セキュリティ投資
3.1 METHODOLOGY 3.1 方法論
3.2 SPENDING ON INFORMATION SECURITY 3.2 情報セキュリティへの支出
3.2.1 IT spending 3.2.1 IT投資
3.2.2 IS spending 3.2.2 IS投資
3.2.3 IS spending as a share of IT spending 3.2.3 IT支出に占めるIS支出の割合
3.2.4 Investment in post-quantum cryptography (PQC) 3.2.4 耐量子暗号(PQC)への投資
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティとNISの人員配置
3.3.1 IT FTEs 3.3.1 IT FTE
3.3.2 IS FTEs 3.3.2 IS FTE
3.3.3 IS FTEs as a share of IT FTEs 3.3.3 IT FTEに占めるIS FTEの割合
3.3.4 Security domains with difficulties in hiring 3.3.4 採用が困難なセキュリティ領域
3.3.5 Staffing evolution to comply with the DORA 3.3.5 DORAに対応するための人員配置の変遷
3.3.6 Staffing evolution to comply with the cybersecurity network code for electricity 3.3.6 電力のサイバーセキュリティネットワークコードに準拠するための人員配置の変遷
4. NIS 2 DIRECTIVE READINESS 4. NIS 2指令の準備
4.1 NIS 2 AWARENESS 4.1 NIS 2に対する認識
4.2 MOST CHALLENGING NIS 2 REQUIREMENTS 4.2 最も困難なNIS 2要件
4.3 NIS 2 BUDGET ARRANGEMENTS 4.3 NIS 2予算の取り決め
4.4 STAFFING EVOLUTION TO COMPLY WITH NIS2 4.4 NIS2に準拠するためのスタッフの進化
5. CYBERSECURITY GOVERNANCE AND RISK MANAGEMENT 5. サイバーセキュリティガバナンスとリスクマネジメント
5.1 LEADERSHIP INVOLVEMENT IN CYBERSECURITY 5.1 リーダーシップによるサイバーセキュリティへの関与
5.2 CYBERSECURITY RISK MANAGEMENT FOR THIRD PARTIES 5.2 サードパーティのサイバーセキュリティリスクマネジメント
5.3 IT/OT PRODUCTS SECURITY 5.3 IT/OT製品のセキュリティ
5.4 PERCEIVED CYBER-RISK MANAGEMENT MATURITY 5.4 認知されたサイバーリスクマネジメントの成熟度
5.5 PERCEIVED NETWORK AND INFORMATION SECURITY MATURITY 5.5 ネットワークと情報セキュリティの成熟度の認識
5.6 INFORMATION SHARING 5.6 情報共有
5.7 CYBER RESILIENCE ACT (CRA) 5.7 サイバーレジリエンス法(CRA)
5.8 EU CYBERSECURITY CERTIFICATION 5.8 EUサイバーセキュリティ認証
6. CYBER ATTACK EXPECTATIONS AND PREPAREDNESS 6. サイバー攻撃に対する期待と準備
6.1 CYBER ATTACK EXPECTIONS 6.1 サイバー攻撃への期待
6.2 PERCEIVED CYBER-ATTACK DETECTION AND RESPONCE CAPABILITY MATURITY 6.2 サイバー攻撃の検知と対応能力の成熟度の認識
6.3 PARTICIPATION TO CYBERSECURITY PREPAREDNESS INITIATIVES 6.3 サイバーセキュリティ対策への参加
7. SECTORAL ANALYSIS: DIGITAL INFRASTRUCTURE 7. セクター別分析:デジタルインフラ
7.1 DIGITAL INFRASTRUCTURE SERVICES 7.1 デジタルインフラサービス
7.2 TELECOMMUNICATION SERVICES 7.2 電気通信サービス
7.3 SCOPE OF OPERATIONS 7.3 業務範囲
7.4 INCIDENT NOTIFICATION OBLIGATIONS 7.4 インシデント通知義務
7.5 CYBERSECURITY FRAMEWORKS 7.5 サイバーセキュリティの枠組み
7.6 CYBERSECURITY SERVICES 7.6 サイバーセキュリティサービス
7.7 HIGH RISK VENDORS 7.7 リスクの高いベンダー
8. SECTORAL ANALYSIS: SPACE 8. セクター別分析:宇宙
8.1 SPACE ENTITIES PROFILE 8.1 宇宙事業体のプロフィール
8.2 COTS (COMMERCIAL OFF THE SHELF) USAGE 8.2 COT(市販品)の使用状況
8.3 SECURITY OF COTS PRODUCTS 8.3 市販製品のセキュリティ
8.4 USE OF CLOUD SERVICES 8.4 クラウドサービスの利用
8.5 USE OF 3RD PARTY SUPPLIERS 8.5 第三者サプライヤーの利用
8.6 CYBERSECURITY POSTURE STRENGTHENING 8.6 サイバーセキュリティ態勢の強化
9. COMPARING SMES AND LARGE ENTERPRISES 9. 中小企業と大企業の比較
10.CONCLUSIONS 10.結論
11.ANNEX A – DEMOGRAPHICS 11.附属書 A - 人口統計
12.ANNEX B – DEFINITIONS 12.附属書 B - 定義
12.1MEDIAN AND AVERAGE DEFINITIONS 12.1 中央値と平均値の定義
12.2CAGR DEFINITION 12.2 CAGRの定義
12.3SME DEFINITION 12.3 SMEの定義
12.4MAPPING OF ECSF PROFILES TO SECURITY DOMAINS 12.4 セキュリティ・ドメインへのECSFプロファイルのマッピング

 

エグゼクティブサマリーと序文...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2.  本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティフレームワークの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本報告書は、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の実施前スナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。
This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. As the past couple of years have been characterised by a proliferation of the EU cybersecurity policy framework with the introduction of key horizontal (e.g. CRA) and sectorial (e.g. DORA, NCCS) legislation, the report provides insights into the readiness of entities to comply with these new requirements, as well as into the challenges they face. Moreover, a sectorial deep dive was conducted for entities in the Digital infrastructure and Space sectors. Key findings from the report include: 本報告書の5回目となる今回は、製造事業者に加え、重要度の高いNIS 2の全分野をカバーするEU加盟国全27カ国の1350組織のデータを紹介する。ここ数年、EUのサイバーセキュリティ政策の枠組みは、重要な水平法(CRAなど)および分野別法(DORA、NCCSなど)の序文が導入され、その拡散が特徴となっている、 本報告書は、事業体がこれらの新たな要件に準拠するための準備態勢や直面する課題についての洞察を提供している。さらに、デジタルインフラと宇宙分野の事業体について、分野別の深堀りを行った。本レポートの主な調査結果は以下の通りである:
• Organisations earmark 9,0% of their IT investments for Information Security, a significant increase of 1.9 percentage points compared to last year.  - 組織はIT投資の9.0%を情報セキュリティに充てており、昨年と比較して1.9ポイントの大幅増となった。
• Organisations allocate 11,1% of their IT FTEs for information security a decrease of 0,8% compared to last year, despite the overall increase in cybersecurity spending and the fourth year in a row where a decrease in this metric is observed.  - サイバーセキュリティへの支出が全体的に増加しているにもかかわらず、組織はIT FTE数の11.1%を情報セキュリティに割り当てており、昨年と比較して0.8%減少している。
• 89% of organisations will require more cybersecurity staff to comply with NIS 2, primarily in the cybersecurity architecture and engineering (46%) and cybersecurity operations (40%) domains. - 組織の89%は、NIS 2に準拠するために、サイバーセキュリティ・アーキテクチャとエンジニアリング(46%)とサイバーセキュリティ・オペレーション(40%)を中心に、より多くのサイバーセキュリティ・スタッフを必要としている。
• Organisations will also need additional FTEs to comply with other horizontal (CRA - 85%) or vertical (DORA - 84%; NCCS - 81%) cybersecurity legislation.  - 組織はまた、他の水平的(CRA - 85%)または垂直的(DORA - 84%、NCCS - 81%)サイバーセキュリティ法制に準拠するために、FTEを追加する必要がある。
• Most organisations anticipate a one-off or permanent increase in their cybersecurity budgets for compliance with NIS 2 though a substantial number of entities will not be able to ask for the required additional budget, a percentage that is especially high for SMEs (34%).  - ほとんどの事業体は、NIS 2に準拠するためにサイバーセキュリティ予算が単発的または恒久的に増加すると見込んでいるが、必要な追加予算を要求できない事業体も相当数あり、その割合は特に中小企業で高い(34%)。
• 51% of surveyed organisations reported that their leadership participates in dedicated cybersecurity training a 2% increase compared to last year. - 調査対象となった組織の51%が、自社のリーダーシップがサイバーセキュリティの専門トレーニングに参加していると回答した。
• Sectors previously covered by NIS reported higher perceived maturity in cyberrisk management (6.8 vs. 6.2), network and information security arrangements (7 vs. 6.3), and cyber-attack detection and response capability (7.1 vs. 6.3) compared to new sectors.  - 以前NISの対象であったセクターは、新しいセクターと比較して、サイバーリスク管理(6.8対6.2)、ネットワークと情報セキュリティの取り決め(7対6.3)、サイバー攻撃の検知と対応能力(7.1対6.3)において、より高い成熟度を認識していると報告した。
• Sectors newly covered by the NIS 2 Directive in most cases lag behind sectors already covered by it in areas such as participation in information-sharing initiatives (60% non-participation), participation in cybersecurity preparedness initiatives, controls to establish trust in supply chain (20% implicitly trust it).  - 情報共有イニシアティブへの参加(60%が不参加)、サイバーセキュリティ準備イニシアティブへの参加、サプライチェーンにおける信頼確立のための管理(20%が暗黙のうちに信頼している)といった分野では、ほとんどの場合、新たにNIS 2指令の対象となったセクターは、すでに対象となったセクターに遅れをとっている。
• Only 4% of organisations have already invested in Post-Quantum Cryptography, while 68% of respondents indicated that they will not invest in QSC.  - 耐量子暗号に投資済みの組織はわずか4%で、回答者の68%は耐量子暗号には投資しないと回答している。
• 90% of entities expect an increase in cyberattacks in the coming year. Despite this, participation in cybersecurity preparedness initiatives is predominantly internal, with 74% of organisations engaging in such activities within their own companies. - 事業体の90%が、来年はサイバー攻撃が増加すると予想している。にもかかわらず、サイバーセキュリティ対策への参加は主に社内で行われており、74%の組織が社内でそのような活動に従事している。
1. INTRODUCTION 1. 序文
This report is the fifth edition of the NIS Investments study published by the ENISA to understand how the Directive concerning measures for a high common level of security of network and information systems across the Union (NIS Directive) 1 has impacted the cybersecurity investments, cybersecurity strategy and cybersecurity posture of organisations in scope, and what is the respective projected impact of the Directive on measures for a high common level of cybersecurity across the Union (NIS 2 Directive) 2 which replaced the NIS Directive as of October 2024.  本報告書は、ENISAが発表したNIS投資調査の第5版であり、欧州連合全体におけるネットワークと情報システムの高度な共通レベルのセキュリティ対策に関する指令(NIS指令)1が、対象組織のサイバーセキュリティ投資、サイバーセキュリティ戦略、サイバーセキュリティ態勢にどのような影響を与えたか、また、2024年10月時点でNIS指令に代わる欧州連合全体における高度な共通レベルのサイバーセキュリティ対策に関する指令(NIS 2指令)2が、それぞれどのような影響を及ぼすと予測されるかを把握することを目的としている。
The NIS 2 Directive which, during the time of this study, is being transposed across the EU (European Union), represents a significant update to the previous NIS Directive. It expands the scope of the NIS Directive to cover a wider range of organisations and imposes more stringent cybersecurity requirements. These changes are likely to have a significant impact on how entities in scope allocate their cybersecurity budgets and manage their risks.  本調査の期間中、EU(欧州連合)全域に適用されるNIS 2指令は、従来のNIS指令の大幅な更新を意味する。NIS指令の適用範囲が拡大され、より広範な組織が対象となり、より厳しいサイバーセキュリティ要件が課される。これらの変更は、対象事業体のサイバーセキュリティ予算の配分やリスクマネジメントに大きな影響を与える可能性が高い。
As the implementation of the NIS 2 Directive is under progress, it will be essential to monitor its effectiveness and assess its impact on the cybersecurity posture of organisations across the EU. The insights provided in this report can serve as a valuable baseline for future analysis and inform policy decisions related to cybersecurity.  NIS 2指令の施行は現在進行中であり、その有効性を監視し、EU全域の組織のサイバーセキュリティ態勢に与える影響を評価することが不可欠である。本報告書でプロバイダが提供する洞察は、今後の分析のための貴重なベースラインとして役立ち、サイバーセキュリティに関連する政策決定に情報を提供することができる。
To ensure representative results, a total of 1,350 organisations were surveyed across 27 EU Member States, hence 50 organisations per Member State. Additional information on the demographics of the survey is available in Annex A. This report collects data from entities already in scope of the NIS Directive as well as entities that will be in scope of NIS 2. The terms “organisations” or “entities” will be used throughout chapters 3 – 9 to refer to surveyed entities.  代表者を確実にするため、EU加盟国27カ国で合計1,350団体、つまり1加盟国あたり50団体を調査した。本報告書では、すでにNIS指令の適用範囲にある事業体およびNIS 2の適用範囲となる事業体からデータを収集している。第3章から第9章を通じて、調査対象事業体を指す場合は「組織」または「事業体」という用語を使用する。
For this study, entities from all sectors of high criticality (listed in Annex I of NIS 2 Directive) and the manufacturing sector (listed in Annex II of NIS 2 Directive) have been surveyed. This year’s report also provides a more in-depth analysis for entities in the Digital Infrastructure and Space sectors.  本調査では、臨界性の高いすべてのセクター(NIS 2指令の附属書Iに記載)と製造セクター(NIS 2指令の附属書IIに記載)の事業体を調査した。今年の報告書では、デジタルインフラと宇宙分野の事業体についても、より詳細な分析を行っている。
The target audience of this report is EU and national policymakers. It is part of a series designed to produce historical datasets to track the development of key indicators – such as information security (IS) budgets – over time. These reports also assess how policy influences these indicators, providing insights and evidence to inform policy decisions. This work is part of ENISA’s Cybersecurity Policy Observatory (CSPO) activities. 本報告書の対象読者はEUおよび各国の政策立案者である。本報告書は、情報セキュリティ(IS)予算などの主要指標の経年変化を追跡するためのヒストリカル・データセットを作成することを目的としたシリーズの一部である。また、これらの報告書では、政策がこれらの指標にどのような影響を与えるかをアセスメントし、政策決定に役立つ洞察とエビデンスを提供している。この作業は、ENISAのサイバーセキュリティ政策観測所(CSPO)活動の一環である。

 

・2023.11.16 NIS Investments Report 2023 [PDF]

・2022.11.23 NIS Investments 2022 [PDF]

・2021.11.17 NIS Investments Report 2021 [PDF]

・2020.11.11 NIS Investments Report 2020 [PDF]

 

NIS Investments 2024 NIS投資 2024
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how the NIS Directive has influenced cybersecurity investments and overall maturity of organisations in scope. As 2024 is the year of the transposition of NIS 2, this report also intends to capture a pre-implementation snapshot of the relevant metrics for new sectors and entities in scope of NIS 2 to help future assessments of the impact of NIS 2. This fifth iteration of the report presents data from 1350 organisations from all 27 EU Member States covering all NIS 2 sectors of high criticality, as well as the manufacturing sector. 本報告書の目的は、NIS指令が対象組織のサイバーセキュリティ投資と全体的な成熟度にどのような影響を与えたかに関するデータを通じて、特に政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するための証拠を提供することである。2024年はNIS 2の移行の年であるため、本レポートは、NIS 2の適用対象となる新たなセクターや事業体に関する関連指標の導入前のスナップショットを取得し、NIS 2の影響に関する将来のアセスメントに役立てることも意図している。 本報告書の第5版では、NIS 2のすべての重要度の高いセクターと製造事業者を対象に、EU全27加盟国の1350組織のデータを紹介している。
NIS Investments Report 2023 NIS投資報告書2023
This report aims at providing policy makers with evidence to assess the effectiveness of the existing EU cybersecurity framework specifically through data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how the NIS Directive has influenced this investment. This fourth iteration of the report presents data from 1,080 OES/DSPs from all 27 EU Member States. 本報告書は、ネットワークと情報システムのセキュリティに関する欧州連合指令(NIS指令)で特定された Operators of Essential Services(OES)およびDigital Service Providers(DSP)がサイバーセキュリティ予算をどのように投資しているか、またNIS指令がこの投資にどのような影響を与えたかに関するデータを通じて、政策立案者に既存のEUサイバーセキュリティの枠組みの有効性を評価するためのエビデンスを提供することを目的としている。本報告書の第4版では、EU加盟国全27カ国の1,080のOES/DSPのデータを紹介している。
NIS Investments 2022 2022年のNIS投資
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. 本報告書は、欧州連合(EU)のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOES(Operators of Essential Services)とDSP(Digital Service Providers)がサイバーセキュリティ予算をどのように投資しているか、またこの投資がNIS指令の影響をどのように受けているかに関するデータを収集したENISAのNIS投資報告書の3回目の改訂版である。さらに、関連するダイナミクスをより深く理解するために、ガートナーのセキュリティデータと世界およびEUで観察された洞察を通じて、世界のサイバーセキュリティ市場の動向を紹介している。今年の報告書では、EU全27加盟国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする過去のデータセットを提供できるようになった。さらに、エネルギー分野と保健分野については、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、ISに費やされるIT予算の割合など、絶対的な数値の多くが、昨年と比較して大幅に減少しているようだ。これは、調査サンプルの構成や、部門別ディープダイブによりエネルギー部門と保健医療部門のOESの割合が高くなったことに起因すると考えられるが、COVID-19が各予算に与えた影響などマクロ経済環境も影響している。
NIS Investments Report 2021 2021年NIS投資報告書
Following the 2020 NIS Investment publication, this report covers all 27 EU Member States and offering additional insights into the allocation of NIS budgets of OES/DSP, the economic impact of cybersecurity incidents and the organisation of cybersecurity in these operators. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. In this second edition, additional and complementary questions were asked to the surveyed organisations. Overall, 48.9 % of surveyed organisations acknowledge a very significant or significant impact of the NIS Directive on their information security (IS). 2020年のNIS投資報告書に続き、本報告書ではEU加盟国27カ国すべてをカバーし、OES/DSPのNIS予算の配分、サイバーセキュリティインシデントが及ぼす経済的影響、これらの事業者のサイバーセキュリティ組織に関するさらなる洞察を提供する。さらに、関連するダイナミクスをよりよく理解するために、ガートナーのセキュリティデータと世界およびEUで観察された洞察を通じて、世界のサイバーセキュリティ市場の動向を示している。この第2版では、調査対象組織に対して追加的・補足的な質問を行った。全体として、調査対象組織の48.9%が、NIS指令が自社の情報セキュリティ(IS)に与える影響が非常に大きい、または大きいと認識している。
NIS Investments Report 2020 NIS投資報告書2020
Four years after the NIS Directive entered into force and two years after the transposition by Member States into their national laws, this report presents the findings of a survey of 251 organisations across five EU Member States (France, Germany, Italy, Spain and Poland) with regards to NIS investments. The report depicts and analyses how OES and DSPs spend their information security budget and provides indications as to how this spending has been influenced by the introduction of the NIS Directive. The results of this NIS survey were correlated with Gartner security data and insights observed globally and in the EU in order to better understand the current NIS Directive adoption dynamics and impact on related investments. NIS指令の発効から4年、加盟国による国内法への移管から2年を経て、本報告書はEU加盟5カ国(フランス、ドイツ、イタリア、スペイン、ポーランド)の251組織を対象に実施したNIS投資に関する調査結果をまとめたものである。報告書は、OESとDSPが情報セキュリティ予算をどのように使っているかを描き、分析し、この支出がNIS指令の序文によってどのような影響を受けたかを示している。このNIS調査の結果は、現在のNIS指令導入の動きと関連投資への影響をよりよく理解するために、ガートナーのセキュリティデータおよび世界とEUで観察された洞察と関連づけられた。

 

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

| | Comments (0)

欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)

こんにちは、丸山満彦です。

脆弱性報告義務、IoTセキュリティの認証制度とか話題のサイバーレジリエンス法ですが、2024.10.10に欧州理事会で採択され、2024.11.20にEur-Lexに掲載されたので、20日後の2024.12.10に発効ということですかね...

全面適用は36ヶ月後なので、2027.12.10ということになりますね...ただし、脆弱性報告義務は21ヶ月後ですから、2026.09.20ということですかね...

 

EUR - Lex

・2024.11.20 Regulation (EU) 2024/2847 of the European Parliament and of the Council of 23 October 2024 on horizontal cybersecurity requirements for products with digital elements and amending Regulations (EU) No 168/2013 and (EU) No 2019/1020 and Directive (EU) 2020/1828 (Cyber Resilience Act) (Text with EEA relevance)
 

・EN [HTEML][PDF]

20241124-213140

 

CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter 第1条 対象
Article 2 Scope 第2条 適用範囲
Article 3 Definitions 第3条 定義
Article 4 Free movement 第4条 自由な移動
Article 5 Procurement or use of products with digital elements 第5条 デジタル要素を含む製品の調達または使用
Article 6 Requirements for products with digital elements 第6条 デジタル要素を含む製品の要件
Article 7 Important products with digital elements 第7条 デジタル要素を含む重要な製品
Article 8 Critical products with digital elements 第8条 デジタル要素を含む重要製品
Article 9 Stakeholder consultation 第9条 利害関係者の協議
Article 10 Enhancing skills in a cyber resilient digital environment 第10条 サイバーレジリエンスデジタル環境における技能の向上
Article 11 General product safety 第11条 一般的な製品安全
Article 12 High-risk AI systems 第12条 ハイリスクAIシステム
CHAPTER II OBLIGATIONS OF ECONOMIC OPERATORS AND PROVISIONS IN RELATION TO FREE AND OPEN-SOURCE SOFTWARE 第2章 経済的事業者の義務およびフリーソフトウェアおよびオープンソースソフトウェアに関する規定
Article 13 Obligations of manufacturers 第13条 製造事業者の義務
Article 14 Reporting obligations of manufacturers 第14条 製造事業者の報告義務
Article 15 Voluntary reporting 第15条 自主報告
Article 16 Establishment of a single reporting platform 第16条 単一通報プラットフォームの設立
Article 17 Other provisions related to reporting 第17条 報告に関するその他の規定
Article 18 Authorised representatives 第18条 認定代表者
Article 19 Obligations of importers 第19条 輸入事業者の義務
Article 20 Obligations of distributors 第20条 頒布事業者の義務
Article 21 Cases in which obligations of manufacturers apply to importers and distributors 第21条 製造事業者の義務が輸入事業者及び頒布事業者に適用される場合
Article 22 Other cases in which obligations of manufacturers apply 第22条 製造事業者の義務が適用されるその他の場合
Article 23 Identification of economic operators 第23条 経済的事業者の特定
Article 24 Obligations of open-source software stewards 第24条 オープンソースソフトウェアのスチュワードの義務
Article 25 Security attestation of free and open-source software 第25条 フリー・オープンソースソフトウェアのセキュリティ認証
Article 26 Guidance 第26条 ガイダンス
CHAPTER III CONFORMITY OF THE PRODUCT WITH DIGITAL ELEMENTS 第3章 デジタル要素を含む製品の適合性
Article 27 Presumption of conformity 第27条 適合の推定
Article 28 EU declaration of conformity 第28条 EU適合宣言
Article 29 General principles of the CE marking 第29条 CEマーキングの一般原則
Article 30 Rules and conditions for affixing the CE marking 第30条 CEマーキングの貼付に関する規則及び条件
Article 31 Technical documentation 第31条 技術文書
Article 32 Conformity assessment procedures for products with digital elements 第32条 デジタル要素を含む製品の適合性評価手続き
Article 33 Support measures for microenterprises and small and medium-sized enterprises, including start-ups 第33条 新興企業を含む零細企業及び中小企業に対する支援措置
CHAPTER IV NOTIFICATION OF CONFORMITY ASSESSMENT BODIES 第4章 適合性評価団体の届出
Article 35 Notification 第35条 届出
Article 36 Notifying authorities 第36条 認定機関
Article 37 Requirements relating to notifying authorities 第37条 認定機関に関する要件
Article 38 Information obligation on notifying authorities 第38条 認定機関の情報義務
Article 39 Requirements relating to notified bodies 第39条 被認証団体に関する要求事項
Article 40 Presumption of conformity of notified bodies 第40条 被認定団体の適合性の推定
Article 41 Subsidiaries of and subcontracting by notified bodies 第41条 被認定団体の子会社及び被認定団体による下請け業務
Article 42 Application for notification 第42条 届出の申請
Article 43 Notification procedure 第43条 通知手続き
Article 44 Identification numbers and lists of notified bodies 第44条 被認定団体の識別番号及びリスト
Article 45 Changes to notifications 第45条 届出の変更
Article 46 Challenge of the competence of notified bodies 第46条 被認定団体の権限の挑戦
Article 47 Operational obligations of notified bodies 第47条 被認定団体の運営上の義務
Article 48 Appeal against decisions of notified bodies 第48条 被認定団体の決定に対する異議申し立て
Article 49 Information obligation on notified bodies 第49条 被認証団体に対する情報義務
Article 50 Exchange of experience 第50条 経験の交換
Article 51 Coordination of notified bodies 第51条 被認定団体の調整
CHAPTER V MARKET SURVEILLANCE AND ENFORCEMENT 第5章 市場監視及び執行
Article 52 Market surveillance and control of products with digital elements in the Union market 第52条 組合市場におけるデジタル要素を含む製品の市場監視および管理
Article 53 Access to data and documentation 第53条 データおよび文書へのアクセス
Article 54 Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk 第54条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品に関する国レベルでの手続
Article 55 Union safeguard procedure 第55条 連邦セーフガード手続
Article 56 Procedure at Union level concerning products with digital elements presenting a significant cybersecurity risk 第56条 サイバーセキュリティ上の重大なリスクをもたらすデジタル要素を含む製品に関する欧州連合レベルでの手続
Article 57 Compliant products with digital elements which present a significant cybersecurity risk 第57条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含む製品の準拠
Article 58 Formal non-compliance 第58条 正式な不遵守
Article 59 Joint activities of market surveillance authorities 第59条 市場監視当局の共同活動
Article 60 Sweeps 第60条 掃討
CHAPTER VI DELEGATED POWERS AND COMMITTEE PROCEDURE 第6章 委任された権限および委員会の手続き
Article 61 Exercise of the delegation 第61条 委任の行使
Article 62 Committee procedure 第62条 委員会の手続き
CHAPTER VII CONFIDENTIALITY AND PENALTIES 第7章 守秘義務と罰則
Article 63 Confidentiality 第63条 守秘義務
Article 64 Penalties 第64条 罰則
Article 65 Representative actions 第65条 代表者行動
CHAPTER VIII TRANSITIONAL AND FINAL PROVISIONS 第8章 経過措置および最終規定
Article 66 Amendment to Regulation (EU) 2019/1020 第66条 規則(EU)2019/1020の改正
Article 67 Amendment to Directive (EU) 2020/1828 第67条 指令(EU)2020/1828の改正
Article 68 Amendment to Regulation (EU) No 168/2013 第68条 規則(EU)No 168/2013の改正
Article 69 Transitional provisions 第69条 経過規定
Article 70 Evaluation and review 第70条 評価および審査
Article 71 Entry into force and application 第71条 発効及び適用
ANNEX 附属書
ANNEX I ESSENTIAL CYBERSECURITY REQUIREMENTS 附属書 I サイバーセキュリティに関する必須要件
Part I Cybersecurity requirements relating to the properties of products with digital elements 第 I 部 デジタル要素を含む製品の特性に関するサイバーセキュリティ要件
Part II Vulnerability handling requirements 第 II 部 脆弱性ハンドリング要件
ANNEX II INFORMATION AND INSTRUCTIONS TO THE USER 附属書 II  使用者に対する情報及び指示
ANNEX III IMPORTANT PRODUCTS WITH DIGITAL ELEMENTS 附属書 III  デジタル要素を含む重要な製品
ANNEX IV CRITICAL PRODUCTS WITH DIGITAL ELEMENTS 附属書 IV デジタル要素を含む重要製品
ANNEX VI SIMPLIFIED EU DECLARATION OF CONFORMITY 附属書 VI 簡易 EU 適合宣言書
ANNEX VII CONTENT OF THE TECHNICAL DOCUMENTATION 附属書 VII 技術文書の内容
ANNEX VIII CONFORMITY ASSESSMENT PROCEDURES 附属書 VIII 適合性評価手順
Part I Conformity assessment procedure based on internal control (based on module A) 第 I 部 内部統制に基づく適合性評価手順(モジュール A に基づく)
Part II EU-type examination (based on module B) 第 Ⅱ 部 EUタイプ審査(モジュールBに基づく)
Part III Conformity to type based on internal production control (based on module C) 第 III 部 内部製造管理に基づく型式への適合(モジュール C に基づく)
Part IV Conformity based on full quality assurance (based on module H) 第 IV 部 完全な品質保証に基づく適合性(モジュール H に基づく)

 

全文の対比は、こちら...

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

サイバーレジリエンス法、セッキュリティ認証... 

・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183: 製造者及び製品に対するサイバーレジリエンス要件(一般要求事項、SBOM、脆弱性報告)

・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)


・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。


 

SBOMなど...

・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)

・2024.05.26 中国 TC260 意見募集 国家標準「ネットワークセキュリティ技術ソフトウェア部品表 (SBOM) データフォーマット」案 (2024.05.16)

・2024.03.14 IPA NIST SP 800-161 rev.1 システム及び組織におけるサプライチェーンのサイバーセキュリティリスクマネジメントのプラクティスの翻訳 (2024.01.31)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項

・2023.11.09 米国 CISA 脆弱性悪用可能性交換情報の発行時期

・2023.09.26 米国 CISA サプライチェーンリスクマネジメント(SCRM)のためのハードウェア部品表フレームワーク(HBOM)

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

Continue reading "欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)"

| | Comments (0)

2024.11.24

欧州 改正製造物責任指令、官報に掲載 (2024.11.18)

こんにちは、丸山満彦です。

欧州の製造物責任指令が官報に掲載されていますね...AI時代を踏まえて、AIやサイバーセキュリティについての言及もありますよね...

まぁ、AIを搭載し学習しつづける製品や、未知の脆弱性の存在が否定できない製品が想定されるので、製造事業者というのは、単純にほいほいと製品を上市できないですよね...

------

(32) 相互に接続された製品の普及を反映するため、製品の安全性のアセスメントでは、例えばスマートホームシステムのように、他の製品が当該製品に及ぼす合理的に予見可能な影響を考慮すべきである。また、上市後または使用開始後に新しい機能を学習または獲得する能力が製品の安全性に及ぼす影響も、製品のソフトウェアと基礎となるアルゴリズムが製品の危険な挙動を防止するように設計されているという正当な期待を反映するために考慮されるべきである。その結果、予期せぬ挙動を起こす可能性のある製品を設計した製造事業者は、危害をもたらす挙動に対して引き続き責任を負うべきである。デジタル時代において、上市後も多くの製品が製造事業者の管理下にあるという事実を反映するため、製品の安全性のアセスメントでは、製品が製造事業者の管理下から離れた瞬間も考慮されるべきである。また、製品が安全関連のサイバーセキュリティ要件を満たしていない場合など、サイバーセキュリティの脆弱性を理由に欠陥があると認定されることもある。

(40) 製品は、アップグレードを含むソフトウェアの変更によって修正を行うことができるように設計することができるため、ソフトウェアの更新またはアップグレードによって行われる修正には、他の方法で行われる修正に適用されるのと同じ原則が適用されるべきである。ソフトウェアの更新やアップグレードによって、あるいはAIシステムの継続的な学習によって、実質的な改変が行われた場合、その改変が実際に行われた時点で、実質的に改変された製品が市場で入手可能になった、あるいは使用開始されたとみなされるべきである。

(48) 国内裁判所は、被告が情報を開示したにもかかわらず、特に事案の技術的または科学的な複雑さのために、請求人が欠陥性もしくは因果関係、またはその両方を証明することが過度に困難である場合には、製品の欠陥性または損害と欠陥性の因果関係、またはその両方を推定すべきである。そのような場合は、事案のすべての状況を考慮して、それを行うべきである。このような場合、国内法で要求されるような通常の標準的な立証基準を課すことは、しばしば高度の蓋然性を要求することになり、補償を受ける権利の実効性を損なうことになる。したがって、製造事業者は専門的知識を有し、負傷者よりも十分な知識を有していることを考慮し、また、立証責任の逆転を回避しつつリスクの公平な配分を維持するために、請求者が欠陥の立証に困難を伴う場合は、製品に欠陥があった可能性が高いことのみを、請求者が因果関係の立証に困難を伴う場合は、製品の欠陥が損害の原因である可能性が高いことのみを立証することを要求すべきである。技術的または科学的な複雑性は、様々な要素を考慮して、各国の裁判所がケースバイケースで判断すべきである。それらの要素には、革新的な医療機器のような製品の複雑な性質、機械学習のような使用される技術の複雑な性質、請求人が分析すべき情報やデータの複雑な性質、医薬品や食品と健康状態の発症との関連や、立証するためには請求人がAIシステムの内部構造を説明する必要があるような関連など、因果関係の複雑な性質が含まれるべきである。過度の困難性のアセスメントも、各国の裁判所がケースバイケースで行うべきである。請求者は過度の困難を証明するための論拠を提供すべきであるが、そのような困難の証明は要求されるべきではない。例えば、AIシステムに関する請求において、裁判所が過度の困難性が存在すると判断するためには、請求人はAIシステムの具体的な特性や、その特性が因果関係の立証をどのように困難にしているのかを説明する必要はないはずである。被告は、過度の困難性の存在を含め、請求のすべての要素について争う可能性を有するべきである。

(50) 上市または使用開始の瞬間は、通常、製品が製造事業者の管理を離れた瞬間であり、頒布事業者にとっては、製品を市場で入手可能にした瞬間である。したがって、製造事業者は、損害の原因となった欠陥が、製品を上市または使用開始した時点では存在しなかったか、または欠陥がその時点以降に存在するようになった可能性が高いことを証明する場合、責任を免除されるべきである。しかし、デジタル技術により、製造事業者は製品を上市または使用開始した時点を超えて管理することができるため、アップデートやアップグレード、機械学習アルゴリズムなど、製造事業者の管理下にあるソフトウェアや関連サービスの結果として、その時点以降に発生した欠陥については、製造事業者は引き続き責任を負うべきである。このようなソフトウエアや関連サービスは、製造事業者が供給している場合、または製造事業者が許可している場合、あるいはサードパーティが供給することを同意している場合には、製造事業者の管理下にあるとみなされるべきである。例えば、スマートテレビがビデオアプリケーションを含むと表示されているにもかかわらず、ユーザーがテレビ購入後にサードパーティーのウェブサイトからアプリケーションをダウンロードする必要がある場合、テレビの製造者は、ビデオアプリケーションの製造者とともに、ビデオアプリケーションの欠陥によって生じた損害について、たとえその欠陥がテレビが上市された後に生じたとしても、引き続き責任を負うべきである。

(51) 製品の欠陥が、サイバーセキュリティの脆弱性に対処し、製品の安全性を維持するために必要なソフトウ ェアの更新やアップグレードの欠如に起因する場合、経済的事業者が、製品を上市または使用開始した後 に欠陥が生じたことを証明することによって責任を回避する可能性は制限されるべきである。そのような脆弱性は、本指令の意味における損害を引き起こすような形で製品に影響を及ぼす可能性がある。欧州議会及び理事会規則(EU)2017/745(16)などに基づき、製品のライフサイクル全体を通じて製品の安全性を確保するための製造者のEU法上の責任を考慮すると、製造者は、製品の欠陥が、進化するサイバーセキュリティリスクに対応して製品の脆弱性に対処するために必要なソフトウェアセキュリティアップデートまたはアップグレードを供給しなかったことに起因する場合、その欠陥製品に起因する損害に対する責任を免除されるべきではない。このような責任は、当該ソフトウェアの供給やインストールが製造事業者の管理の及ばない場合、例えば製品の所有者が製品の安全レベルを確保または維持する目的で供給されたアップデートやアップグレードをインストールしない場合などには適用されるべきではない。本指令は、製品のアップデート又はアップグレードを提供する義務を課すものではない。

(55) 第三者が製品のサイバーセキュリティの脆弱性を悪用するなど、潜在的な責任を負う経済的事業者以外の者の作為・不作為が、製品の欠陥に加えて、被った損害の原因に寄与する状況が生じ得る。消費者保護の観点から、例えば脆弱性によって製品に欠陥があり、一般消費者が期待するよりも製品の安全性が低い場合、第三者によるそのような作為または不作為の結果として、経済的事業者の責任を減免すべきではない。ただし、損害を受けた者自身が過失により損害の原因に寄与した場合、例えば、損害を軽減または回避できたであろう経済的事業者が提供した更新プログラムやアップグレードを、損害を受けた者が過失によりインストールしなかった場合などには、経済的事業者の責任を減免することが可能であるべきである。

-----

条文の目次...

CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter and objective 第1条 主題および目的
Article 2 Scope 第2条 適用範囲
Article 3 Level of harmonisation 第3条 調和のレベル
Article 4 Definitions 第4条 定義
CHAPTER II SPECIFIC PROVISIONS ON LIABILITY FOR DEFECTIVE PRODUCTS 第2章 欠陥製品に対する責任に関する具体的規定
Article 5 Right to compensation 第5条 補償を受ける権利
Article 6 Damage 第6条 損害
Article 7 Defectiveness 第7条 瑕疵担保責任
Article 8 Economic operators liable for defective products 第8条 欠陥製品に対する経済的事業者の責任
Article 9 Disclosure of evidence 第9条 証拠の開示
Article 10 Burden of proof 第10条 立証責任
Article 11 Exemption from liability 第11条 責任の免除
CHAPTER III GENERAL PROVISIONS ON LIABILITY 第3章 責任に関する一般規定
Article 12 Liability of multiple economic operators 第12条 複数の経済的事業者の責任
Article 13 Reduction of liability 第13条 責任の軽減
Article 14 Right of recourse 第14条 求償権
Article 15 Exclusion or limitation of liability 第15条 責任の排除または制限
Article 16 Limitation period 第16条 制限期間
Article 17 Expiry period 第17条 無効期間
CHAPTER IV FINAL PROVISIONS 第4章 最終規定
Article 18 Derogation from development risk defence 第18条 開発リスク防御からの免除
Article 19 Transparency 第19条 透明性
Article 20 Evaluation 第20条 評価
Article 21 Repeal and transitional provision 第21条 撤廃および経過措置
Article 22 Transposition 第22条 移植
Article 23 Entry into force 第23条 施行
Article 24 Addressees 第24条 宛先

 

 

EUR-Lex

・2024.11.18 Directive (EU) 2024/2853 of the European Parliament and of the Council of 23 October 2024 on liability for defective products and repealing Council Directive 85/374/EEC (Text with EEA relevance)

 

2024/2853 18.11.2024 2024/2853 18.11.2024
DIRECTIVE (EU) 2024/2853 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL 2024年10月23日付欧州議会および欧州理事会指令(EU)2024/2853
of 23 October 2024 2024年10月23日
on liability for defective products and repealing Council Directive 85/374/EEC 欠陥製品責任に関する欧州議会および理事会指令85/374/EECを廃止する。
(Text with EEA relevance) (EEA関連文書)
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, 欧州議会および欧州連合理事会は
Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof, 欧州連合の機能に関する条約、特にその第114条に留意する、
Having regard to the proposal from the European Commission, 欧州委員会の提案を考慮する、
After transmission of the draft legislative act to the national parliaments, 立法草案が各国議会に送付された後、欧州委員会の意見を考慮する、
Having regard to the opinion of the European Economic and Social Committee (1), 欧州経済社会委員会(1)の意見を考慮する、
Acting in accordance with the ordinary legislative procedure (2), 通常の立法手続きに従って行動する(2)、
Whereas: 以下の通りである:
(1) In order to improve the proper functioning of the internal market, it is necessary to ensure that competition is not distorted and that the movement of goods is not obstructed. Council Directive 85/374/EEC (3) lays down common rules on liability for defective products with the aim of removing divergences between the legal systems of Member States that may distort competition and affect the movement of goods within the internal market. Greater harmonisation of the common rules on liability for defective products laid down in that Directive would further contribute to the achievement of those objectives, while entailing an increased degree of protection of consumers’ and other natural persons’ health or property. (1)域内市場の適切な機能を改善するためには、競争が歪められず、物品の移動が妨げられないようにすることが必要である。理事会指令85/374/EEC(3)は、競争を歪め、域内市場内の商品の移動に影響を及ぼす可能性のある加盟国の法制度間の乖離を取り除くことを目的として、欠陥製品の責任に関する共通規則を定めている。同指令に規定された欠陥製品責任に関する共通規則の調和が進めば、消費者やその他の自然人の健康や財産の保護の程度が高まる一方で、これらの目的の達成にさらに貢献することになる。
(2) Liability without fault on the part of economic operators remains the sole means of adequately addressing the problem of fair apportionment of risk inherent in modern technological production. (2) 経済的事業者の側に過失のない責任は、現代の技術生産に内在するリスクの公正な配分の問題に適切に対処する唯一の手段であり続ける。
(3) Directive 85/374/EEC has been an effective and important instrument, but it would need to be revised in light of developments related to new technologies, including artificial intelligence (AI), new circular economy business models and new global supply chains, which have led to inconsistencies and legal uncertainty, in particular as regards the meaning of the term ‘product’. Experience gained from applying that Directive has also shown that injured persons face difficulties obtaining compensation due to restrictions on making compensation claims and due to challenges in gathering evidence to prove liability, especially in light of increasing technical and scientific complexity. That includes compensation claims in respect of damage related to new technologies. The revision of that Directive would therefore encourage the roll-out and uptake of such new technologies, including AI, while ensuring that claimants enjoy the same level of protection irrespective of the technology involved and that all businesses benefit from more legal certainty and a level playing field. (3) 指令85/374/EECは効果的で重要な輸入事業者であったが、人工知能(AI)、新しい通達経済ビジネスモデル、新しいグローバルサプライチェーンなど、新技術に関連する発展、特に「製品」という用語の意味に関して矛盾や法的不確実性をもたらしていることに鑑み、改正する必要がある。また、同指令の適用から得られた経験から、特に技術的・科学的な複雑さが増す中、損害賠償請求の制限や、賠償責任を証明する証拠の収集が困難なため、損害を被った人が賠償金を得ることが困難であることが明らかになっている。これには新技術に関する損害賠償請求も含まれる。従って、同指令の改正は、AI を含むそうした新技術の普及と導入を奨励すると同時に、請求者が関係する技術に関係なく同レベルの保護を享受し、すべての企業がより法的確実性と公平な競争条件から恩恵を受けることを保証するものである。
(4) A revision of Directive 85/374/EEC would be needed in order to ensure coherence and consistency with product safety and market surveillance legislation at Union and national level. In addition, there is a need to clarify basic notions and concepts to ensure coherence and legal certainty and a level playing field in the internal market, and to reflect the recent case law of the Court of Justice of the European Union. (4) 欧州連合レベルおよび各国レベルの製品安全および市場監視法制との一貫性と整合性を確保するためには、指令85/374/EECの改正が必要である。加えて、域内市場における一貫性と法的確実性、公平な競争条件を確保し、欧州連合司法裁判所の最近の判例を反映させるために、基本的な概念や概念を明確にする必要がある。
(5) Considering the extensive nature of the amendments that would be required in order for Directive 85/374/EEC to remain effective and in order to ensure clarity and legal certainty, that Directive should be repealed and replaced with this Directive. (5) 指令85/374/EECが有効であり続けるために必要となる改正の広範な性質を考慮し、明確性と法的確実性を確保するために、当該指令は廃止され、本指令に置き換えられるべきである。
(6) In order to ensure that the Union’s product liability regime is comprehensive, no-fault liability for defective products should apply to all movables, including software, including when they are integrated into other movables or installed in immovables. (6) 組合の製造物責任体制が包括的であることを保証するため、欠陥製品に対する無過失責任は、ソフトウェアを含むすべての動産に適用されるべきである。
(7) Liability for defective products should not apply to damage arising from nuclear accidents, in so far as liability for such damage is covered by international conventions ratified by Member States. (7) 原子力事故に起因する損害については、加盟国が批准した国際条約によってその賠償責任がカバーされている限り、欠陥製品に対する賠償責任を適用すべきではない。
(8) In order to create a genuine internal market with a high and uniform level of protection of consumers and other natural persons, and to reflect the case law of the Court of Justice of the European Union, Member States should not, in respect of matters within the scope of this Directive, maintain or introduce provisions that are more stringent or less stringent than those laid down in this Directive. (8) 消費者及びその他の自然人を高水準かつ統一的に保護する真の域内市場を創設するため、及び欧州連合司法裁判所の判例を反映させるため、加盟国は、本指令の範囲内の事項に関して、本指令に規定されているものより厳しい、または緩やかな規定を維持または導入すべきではない。
(9) Under the national law of Member States, an injured person could have a claim for damages on the basis of contractual liability or on grounds of non-contractual liability that does not involve the manufacturer’s liability for the defectiveness of a product as established in this Directive. This concerns for example liability based on a warranty or on fault or strict liability of operators for damage caused by the properties of an organism resulting from genetic engineering. Such national law provisions, which serve to attain, inter alia, the objective of effective protection of consumers and other natural persons, should remain unaffected by this Directive. (9) 加盟国の国内法に基づき、損害を被った者は、契約責任に基づく損害賠償請求、または本指令に定める製品の欠陥に対する製造事業者の責任を伴わない非契約責任を理由とする損害賠償請求を行うことができる。これは例えば、遺伝子組換えによって生じた生物の特性によって生じた損害に対する保証責任や過失責任に基づく責任、あるいは事業者の厳格責任に関わるものである。このような国内法の規定は、特に消費者及びその他の自然人を効果的に保護するという目的を達成するために役立つものであり、本指令の影響を受けないままであるべきである。
(10) In certain Member States, injured persons are entitled to make claims for damage caused by pharmaceutical products under a special national liability system, with the result that effective protection of natural persons in the pharmaceutical sector is already achieved. The right to make such claims should remain unaffected by this Directive. Furthermore, amendments to such special liability systems should not be precluded as long as they do not undermine the effectiveness of the system of liability provided for in this Directive or its objectives. (10) 一部の加盟国では、傷害を受けた者は、特別な国家賠償責任制度に基づき、医薬品に起因する損害の賠償を請求する権利を有しており、その結果、医薬品分野における自然人の効果的な保護がすでに達成されている。このような請求を行う権利は、本指令の影響を受けるべきではない。さらに、このような特別な賠償責任制度の改正は、本指令に規定された賠償責任制度の有効性やその目的を損なわない限り、妨げられるべきでない。
(11) Compensation schemes outside the context of liability regimes, such as national health systems, social security schemes or insurance schemes, fall outside the scope of this Directive and should therefore not be precluded. For example, some Member States have schemes in place to provide compensation in respect of pharmaceutical products that cause harm without being defective. (11) 国民保健制度、社会保障制度、保険制度など、賠償責任制度の枠外にある補償制度は、本指令の適用範囲外であるため、排除すべきではない。例えば、一部の加盟国は、欠陥がなくても害をもたらす医薬品に関して補償を提供する制度を設けている。
(12) Decision No 768/2008/EC of the European Parliament and of the Council (4) lays down common principles and reference provisions intended to apply in all sectoral product legislation. In order to ensure consistency with that Decision, certain provisions of this Directive, in particular the definitions, should be aligned therewith. (12) 欧州議会および理事会の決定第768/2008/EC号(4)は、すべての分野の製品法規に適用することを意図した共通原則と参照規定を定めている。同決定との整合性を確保するため、本指令の一部の規定、特に定義を同決定に合わせる必要がある。
(13) Products in the digital age can be tangible or intangible. Software, such as operating systems, firmware, computer programs, applications or AI systems, is increasingly common on the market and plays an increasingly important role for product safety. Software is capable of being placed on the market as a standalone product or can subsequently be integrated into other products as a component, and it is capable of causing damage through its execution. In the interest of legal certainty, it should be clarified in this Directive that software is a product for the purposes of applying no-fault liability, irrespective of the mode of its supply or usage, and therefore irrespective of whether the software is stored on a device, accessed through a communication network or cloud technologies, or supplied through a software-as-a-service model. Information is not, however, to be considered a product, and product liability rules should therefore not apply to the content of digital files, such as media files or e-books or the mere source code of software. A developer or producer of software, including AI system providers within the meaning of Regulation (EU) 2024/1689 of the European Parliament and of the Council (5), should be treated as a manufacturer. (13) デジタル時代の製品には有形無形のものがある。オペレーティングシステム、ファームウェア、コン ピュータプログラム、アプリケーション、AI システムなどのソフトウェアは、市場でますます一般的になり、製品安全にとってますます重要な役割を果たすようになっている。ソフトウェアは単体で上市されることもあれば、コンポーネントとして他の製品に組み込まれることもあり、その実行によって損害を与える可能性がある。法的確実性の観点から、無過失責任を適用する目的では、ソフトウェアはその供給形態や使用形態に関係なく、したがってソフトウェアがデバイスに保存されているか、通信ネットワークやクラウド技術を通じてアクセスされているか、Software-as-a-Serviceモデルを通じて供給されているかに関係なく、製品であることが本指令で明確にされるべきである。しかし、情報は製品とはみなされず、製造物責任の規定は、メディアファイルや電子書籍などのデジタルファイルのコンテンツや、ソフトウェアの単なるソースコードには適用されない。欧州議会および理事会規則(EU)2024/1689(5)の意味におけるAIシステムプロバイダを含むソフトウェアの開発者または生産者は、製造事業者として扱われるべきである。
(14) Free and open-source software, whereby the source code is openly shared and users can freely access, use, modify and redistribute the software or modified versions thereof, can contribute to research and innovation on the market. Such software is subject to licences that allow anyone the freedom to run, copy, distribute, study, change and improve the software. In order not to hamper innovation or research, this Directive should not apply to free and open-source software developed or supplied outside the course of a commercial activity, since products so developed or supplied are by definition not placed on the market. Developing or contributing to such software should not be understood as making it available on the market. Providing such software on open repositories should not be considered as making it available on the market, unless that occurs in the course of a commercial activity. In principle, the supply of free and open-source software by non-profit organisations should not be considered as taking place in a business-related context, unless such supply occurs in the course of a commercial activity. However, where software is supplied in exchange for a price, or for personal data used other than exclusively for improving the security, compatibility or interoperability of the software, and is therefore supplied in the course of a commercial activity, this Directive should apply. (14) ソースコードがオープンに共有され、ユーザーが自由にソフトウェアやその修正版にアクセスし、使用、修正、再配布できるフリー・オープンソースソフトウェアは、市場における研究やイノベーションに貢献することができる。このようなソフトウェアは、誰でも自由に実行、コピー、配布、研究、変更、改善を行うことができるライセンスの対象となる。技術革新や研究の妨げにならないよう、本指令は、商業活動の範囲外で開発または提供されたフリーソフトウェアやオープンソースソフトウェアには適用すべきではない。このようなソフトウェアの開発または貢献は、市場で入手可能なものと理解すべきではない。そのようなソフトウェアをオープンリポジトリでプロバイダとして提供することは、それが商業活動の過程で発生しない限り、市場で入手可能とみなされるべきではない。原則として、非営利団体によるフリー・オープンソースソフトウェアの供給は、商業活動の過程で行われない限り、ビジネスに関連した文脈で行われるものとはみなされるべきではない。ただし、対価と引き換えにソフトウェアが提供される場合、または専らソフ トウェアのセキュリティ、互換性、相互運用性を改善する目的以外で使用される個人 データと引き換えにソフトウェアが提供される場合、したがって商業活動の一環としてソ フトウェアが提供される場合には、本指令が適用されるべきである。
(15) Where free and open-source software supplied outside the course of a commercial activity is subsequently integrated by a manufacturer as a component into a product in the course of a commercial activity and is thereby placed on the market, it should be possible to hold that manufacturer liable for damage caused by the defectiveness of such software but not the manufacturer of the software because the manufacturer of the software would not have fulfilled the conditions of placing a product or component on the market. (15) 商業活動の過程外で供給されたフリーでオープンソースなソフトウェアが、その後製造事業者 によって商業活動の過程で製品にコンポーネントとして統合され、それによって上市された場 合、当該ソフトウェアの欠陥によって生じた損害については当該製造事業者に責任を負わせ ることが可能であるが、ソフトウェアの製造事業者は製品またはコンポーネントを上市する条件を満たしていないことになるため、責任を負わないものとする。
(16) Whereas digital files as such are not products within the scope of this Directive, digital manufacturing files, which contain the functional information necessary to produce a tangible item by enabling the automated control of machinery or tools, such as drills, lathes, mills and 3D printers, should be considered to be products in order to ensure the protection of natural persons in cases where such files are defective. For example, a defective computer-assisted-design file used to create a 3D-printed good that causes harm should give rise to liability under this Directive, where such a file is developed or supplied in the course of a commercial activity. For the avoidance of doubt, it should be clarified that raw materials, such as gas and water, and electricity are products. (16) デジタルファイルそのものは本指令の範囲内の製品ではないが、ドリル、旋盤、フライス盤、3D プリンタなど、機械や工具の自動制御を可能にして有形物品を製造するために必要な機能情報を含むデジタル製造ファイルは、当該ファイルに欠陥がある場合に自然人の保護を確保するために製品とみなされるべきである。例えば、危害をもたらす 3D プリント製品の作成に使用される欠陥のあるコンピュータ支援設計ファ イルは、当該ファイルが商業活動の過程で開発または提供された場合、本指令に基づく責任を生じ るべきである。疑義を避けるため、ガスや水などの原材料や電気は製品であることを明確にすべきである。
(17) It is becoming increasingly common for digital services to be integrated into, or inter-connected with, a product in such a way that the absence of the service would prevent the product from performing one of its functions. While this Directive should not apply to services as such, it is necessary to extend no-fault liability to such integrated or inter-connected digital services as they determine the safety of the product just as much as physical or digital components. Those related services should be considered components of the product into which they are integrated or with which they are inter-connected where they are within the control of the manufacturer of that product. Examples of related services include the continuous supply of traffic data in a navigation system, a health monitoring service that relies on a physical product’s sensors to track the user’s physical activity or health metrics, a temperature control service that monitors and regulates the temperature of a smart fridge, or a voice-assistant service that allows one or more products to be controlled by using voice commands. Internet access services should not be treated as related services, since they cannot be considered as part of a product within a manufacturer’s control and it would be unreasonable to make manufacturers liable for damage caused by shortcomings in internet access services. Nevertheless, a product that relies on internet access services and fails to maintain safety in the event of a loss of connectivity could be found to be defective under this Directive. (17) デジタルサービスが製品に統合されたり、相互接続されたりして、そのサービスがなければ 製品がその機能の一つを果たせなくなるような状況はますます一般的になってきている。本指令はそのようなサービスには適用されるべきではないが、そのような統合または相互接続されたデジタルサービスは、物理的またはデジタルコンポーネントと同様に製品の安全性を決定するため、無過失責任を拡大する必要がある。これらの関連サービスは、その製品の製造事業者の管理下にある場合、それらが統合されている、あるいは相互に接続されている製品の構成要素とみなされるべきである。関連サービスの例としては、ナビゲーションシステムにおける交通データの継続的な供給、物理的製品のセンサーに依存してユーザーの身体活動や健康指標を追跡する健康モニタリングサービス、スマート冷蔵庫の温度を監視・調整する温度制御サービス、音声コマンドを使用して1つ以上の製品を制御できるようにする音声アシスタントサービスなどがある。インターネット・アクセス・サービスは、製造事業者の管理下にある製品の一部とは見なされず、インターネット・アクセス・サービスの欠陥によって生じた損害について製造事業者に責任を負わせるのは不合理であるため、関連サービスとして扱うべきではない。とはいえ、インターネット接続サービスに依存し、接続性が失われた場合の安全性を維持できない製品は、本指令に基づき欠陥があると認定される可能性がある。
(18) Related services and other components, including software updates and upgrades, should be considered to be within the manufacturer’s control where they are integrated into, or inter-connected with, a product, or supplied, by the manufacturer or where the manufacturer authorises or consents to their integration, inter-connection or supply by a third party, for example where the manufacturer of a smart home appliance consents to the provision by a third party of software updates for the manufacturer’s appliance or where a manufacturer presents a related service or component as part of the product even though it is supplied by a third party. A manufacturer should not be considered to have consented to integration or inter-connection merely by providing for the technical possibility of integration or inter-connection or by recommending certain brands or by not prohibiting potential related services or components. (18) ソフトウェアの更新やアップグレードを含む関連サービスやその他のコンポーネントは、製造事業者によ って製品に統合されるか、製品に相互接続されるか、製品に供給される場合、または製造事業者が 第三者による統合、相互接続、供給を許可または同意する場合、例えば、スマート家電の製造事業者が 第三者による製造事業者の家電製品のソフトウェア更新の提供を同意する場合、または製造事 業者が第三者によって供給されているにもかかわらず製品の一部として関連サービスやコンポー ネントを提示する場合、製造事業者の管理下にあるとみなされるべきである。製造事業者は、単に統合や相互接続の技術的可能性を提供したり、特定のブランドを推奨したり、潜在的な関連サービスやコンポーネントを禁止しないことによって、統合や相互接続に同意したとみなされるべきではない。
(19) Once a product has been placed on the market, it should be considered to remain within the manufacturer’s control where the manufacturer retains the ability to supply software updates or upgrades itself or via a third party. (19) 製品が上市された後、製造事業者がソフトウェアの更新やアップグレードを自ら又はサードパーティを通じ て供給する能力を保持している場合、その製品は製造事業者の管理下にあると考えられる。
(20) In recognition of the growing relevance and value of intangible assets, the destruction or corruption of data, such as digital files deleted from a hard drive, should also be compensated for, including the cost of recovering or restoring those data. The protection of natural persons necessitates compensation being available for material losses resulting not only from death or personal injury, such as funeral or medical expenses or lost income, and from damage to property, but also for destruction or corruption of data. Destruction or corruption of data does not automatically result in a material loss if the victim is able to retrieve the data at no cost, such as where a back-up of the data exists or the data can be downloaded again, or an economic operator restores or recreates temporarily unavailable data, for example in a virtual environment. Destruction or corruption of data is distinct from data leaks or breaches of data protection rules, and, consequently, compensation for infringements of Regulation (EU) 2016/679 (6) or (EU) 2018/1725 (7) of the European Parliament and of the Council or Directive 2002/58/EC (8) or (EU) 2016/680 (9) of the European Parliament and of the Council is not affected by this Directive. (20) 無形資産の重要性と価値が高まっていることを認識し、ハードドライブから削除されたデジタ ルファイルなどのデータの破壊や破損についても、それらのデータの回復や復元にかかる費用 を含めて補償すべきである。自然人の保護には、葬儀費用や医療費、逸失利益などの死亡や個人的傷害、財産の損害だけでなく、データの破壊や破損によって生じた物質的損失についても補償が必要である。例えば、データのバックアップが存在する場合、データを再度ダウンロードできる場合、経済的事業者が仮想環境などで一時的に利用できなくなったデータを復元または再作成する場合などである。データの破壊または破損は、データの漏えいまたはデータ保護規則の違反とは区別され、その結果、欧州議会および理事会の規則(EU)2016/679(6 )または(EU)2018/1725(7 )または欧州議会および理事会の指令2002/58/EC(8 )または(EU)2016/680(9 )の違反に対する補償は、本指令の影響を受けない。
(21) In the interest of legal certainty, this Directive should clarify that personal injury includes medically recognised and medically certified damage to psychological health that affects the victim’s general state of health and could require therapy or medical treatment, taking into account, inter alia, the International Classification of Diseases of the World Health Organization. (21) 法的確実性の観点から、本指令は、人身傷害には、特に世界保健機関(WHO)の国際疾病分類 を考慮して、被害者の一般的な健康状態に影響を及ぼし、治療または医学的処置を必要とする可能性の ある、医学的に認められ、医学的に認定された精神的健康に対する損害が含まれることを 明確にすべきである。
(22) In line with this Directive’s objective of making compensation available only to natural persons, damage to property used exclusively for professional purposes should not be compensated under this Directive. In order to address a potential risk of litigation in an excessive number of cases, the destruction or corruption of data that are used for professional purposes, even if not exclusively so, should not be compensated for under this Directive. (22) 自然人のみが補償を受けられるようにするという本指令の目的に沿って、専ら業務上の目的に使用される財産に対する損害は、本指令に基づき補償されるべきではない。過剰な件数の訴訟リスクの可能性に対処するため、専らでないにせよ、業務目的に使用されるデータの破壊や破損は、本指令の下では補償されるべきではない。
(23) While Member States should provide for full and proper compensation for all material losses resulting from death or personal injury, or from damage to or destruction of property, and destruction or corruption of data, the rules on calculating compensation should be laid down by Member States. Furthermore, compensation for non-material losses resulting from damage covered by this Directive, such as pain and suffering, should be provided in so far as such losses can be compensated for under national law. (23) 加盟国は、死亡や個人傷害、財産の損害や破壊、データの破壊や破損に起因するすべての物的損失について完全かつ適切な補償を提供すべきであるが、補償の計算規則は加盟国が定めるべきである。さらに、本指令の対象となる損害に起因する非物質的損失、例えば痛みや苦しみに対す る補償は、かかる損失が国内法の下で補償され得る限りにおいてプロバイダが提供され るべきである。
(24) Types of damage other than those provided for in this Directive, such as pure economic loss, privacy infringements or discrimination, should not by themselves trigger liability under this Directive. However, this Directive should not affect the right to compensation for any damage, including non-material, under other liability regimes. (24) 純粋な経済的損失、プライバシーの侵害、識別的損害など、本指令に規定されているも の以外の損害の種類は、それ自体で本指令に基づく責任を誘発すべきではない。しかし、本指令は他の責任制度に基づく、非物質的なものを含むあらゆる損害に対する補償の権利に影響を及ぼすべきではない。
(25) In order to protect natural persons, damage to any property owned by a natural person should be compensated for. Since property is increasingly used for both private and professional purposes, it is appropriate to provide for compensation for damage to such mixed-use property. In light of this Directive’s objective of protecting natural persons, property used exclusively for professional purposes should be excluded from its scope. (25) 自然人を保護するため、自然人が所有する財産に対する損害は補償されるべきである。不動産が私的な目的と職業的な目的の両方に使用されることが増えているため、そのような複合用途の不動産に対する損害賠償を規定することは適切である。自然人を保護するという本指令の目的に照らせば、専ら職業目的に使用される財産はその範囲から除外されるべきである。
(26) This Directive should apply to products placed on the market or, where relevant, put into service in the course of a commercial activity, whether in return for payment or free of charge, for example products supplied in the context of a sponsoring campaign or products manufactured for the provision of a service financed by public funds, since that mode of supply nonetheless has an economic or business character. The concept of ‘putting into service’ is relevant for products that are not placed on the market prior to their first use, as can be the case for lifts, machinery or medical devices. (26) 本指令は、当該供給形態が経済的又は事業的性格を有しているにもかかわらず、例えばスポン サーキャンペーンに関連して供給される製品や公的資金によって賄われるサービスの提供のた めに製造される製品など、支払の対価であるか無償であるかを問わず、商業活動の過程で上市され た製品又は関連する場合には使用される製品に適用されるべきである。使用開始」の概念は、リフト、機械、医療機器のように、最初の使用前に上市されない製品に関連する。
(27) In so far as national law so provides, the right to compensation for injured persons should apply both to direct victims, who suffer damage directly caused by a defective product, and to indirect victims, who suffer damage as a result of the direct victim’s damage. (27) 国内法に規定がある限り、負傷者に対する補償の権利は、欠陥製品によって直接損害を被った直接被害者と、直接被害者の損害の結果として損害を被った間接被害者の両方に適用されるべきである。
(28) Taking into account the increased complexity of products, of business models and of supply chains, and considering that the aim of this Directive is to ensure that consumers and other natural persons can easily exercise their right to obtain compensation in the event of damage caused by defective products, it is important that Member States ensure that competent consumer protection authorities or bodies provide all relevant information to affected consumers to enable them to effectively exercise their right to compensation in accordance with this Directive. In doing so, it is appropriate that Member States have regard to existing obligations concerning cooperation between national authorities responsible for enforcing consumer protection law, in particular the obligations under Regulation (EU) 2017/2394 of the European Parliament and of the Council (10). It is important that national consumer protection authorities or bodies regularly exchange any relevant information that they become aware of and closely cooperate with market surveillance authorities. Member States can also encourage the competent consumer protection authorities or bodies to provide information to consumers to enable them better to exercise their right to compensation in accordance with this Directive effectively. (28) 製品、ビジネスモデル、サプライチェーンが複雑化していることを考慮し、また、本指令の目 的が、消費者及びその他の自然人が欠陥製品による損害の場合に補償を受ける権利を容易に行使で きるようにすることであることを考慮すると、加盟国は、影響を受ける消費者が本指令に従っ て補償を受ける権利を効果的に行使できるように、管轄の消費者保護当局または団体がすべ ての関連情報を提供することを確保することが重要である。その際、加盟国は、消費者保護法の施行を担当する各国当局間の協力に関する既存の義務、特に欧州議会及び理事会の規則(EU)2017/2394(10)に基づく義務を考慮することが適切である。各国の消費者保護当局または団体は、把握した関連情報を定期的に交換し、市場監視当局と緊密に協力することが重要である。加盟国はまた、管轄の消費者保護当局または団体に対し、消費者が本指令に従って補償を受ける権利を効果的に行使できるよう、消費者への情報提供を奨励することができる。
(29) This Directive does not affect the various means of seeking redress at national level, whether through court proceedings, non-court solutions, alternative dispute resolution or representative actions under Directive (EU) 2020/1828 of the European Parliament and of the Council (11) or under national collective redress schemes. (29) 本指令は、欧州議会及び理事会指令(EU) 2020/1828(11)に基づく裁判手続、裁判外解決、裁判外紛争解決、代表者訴訟、または国内集団救済制度に基づく国内レベルでの救済を求める様々な手段に影響を及ぼすものではない。
(30) In order to protect the health and property of natural persons, the defectiveness of a product should be determined by reference not to its fitness for use but to the lack of the safety that a person is entitled to expect or that is required under Union or national law. The assessment of defectiveness should involve an objective analysis of the safety that the public at large is entitled to expect and not refer to the safety that any particular person is entitled to expect. The safety that the public at large is entitled to expect should be assessed by taking into account, inter alia, the intended purpose, reasonably foreseeable use, presentation, objective characteristics and properties of the product in question, including its expected lifespan, as well as the specific requirements of the group of users for whom the product is intended. Some products, such as life-sustaining medical devices, entail an especially high risk of causing damage to people and therefore give rise to particularly high safety expectations. In order to take such expectations into account, it should be possible for a court to find that a product is defective without establishing its actual defectiveness, where it belongs to the same production series as a product already proven to be defective. (30) 自然人の健康と財産を保護するため、製品の欠陥性は、その使用に対する適合性ではなく、人が期待する権利がある、または欧州連合法もしくは国内法の下で要求される安全性の欠如を参照して決定されるべきである。欠陥のアセスメントは、一般大衆が期待する安全性の客観的分析を含むべきであり、特定の人が期待する安全性に言及すべきではない。一般大衆が期待する権利を有する安全性は、特に、意図された目的、合理的に予見可能な使用方法、表示、予想される寿命を含む当該製品の客観的特性および特性、ならびに製品が意図される使用者グループの特定の要件を考慮して評価されるべきである。生命を維持する医療機器のような一部の製品は、人に損害を与えるリスクが特に高いため、特に高い安全性への期待が生じる。このような期待を考慮するため、すでに欠陥があると証明された製品と同じ製造シリーズに属する製品については、実際の欠陥性を立証することなく欠陥があると裁判所が認定することが可能であるべきである。
(31) The assessment of defectiveness should take into account the presentation of the product. However, warnings or other information provided with a product cannot be considered sufficient to make an otherwise defective product safe, since defectiveness should be determined by reference to the safety that the public at large is entitled to expect. Therefore, liability under this Directive cannot be avoided simply by listing all conceivable side effects of a product. When determining the defectiveness of a product, reasonably foreseeable use also encompasses misuse that is not unreasonable under the circumstances, such as the foreseeable behaviour of a user of machinery resulting from a lack of concentration or the foreseeable behaviour of certain user groups such as children. (31) 欠陥性のアセスメントは、製品のプレゼンテーションを考慮に入れるべきである。しかし、欠陥性は一般大衆が期待する権利がある安全性を参照して決定されるべきであり、製品とともに提供される警告やその他の情報は、そうでなければ欠陥のある製品を安全にするのに十分であるとは考えられない。従って、本指令に基づく責任は、製品の考えられる副作用をすべて列挙するだけでは回避できない。製品の欠陥性を判断する場合、合理的に予見可能な使用には、集中力の欠如に起因する機械の使用者の予見可能な行動や、子供など特定の使用者グループの予見可能な行動など、状況下で不合理ではない誤用も含まれる。
(32) In order to reflect the increasing prevalence of inter-connected products, the assessment of a product’s safety should take into account the reasonably foreseeable effects of other products on the product in question, for example within a smart home system. The effect on a product’s safety of any ability to learn or acquire new features after it is placed on the market or put into service should also be taken into account to reflect the legitimate expectation that a product’s software and underlying algorithms are designed in such a way as to prevent hazardous product behaviour. Consequently, a manufacturer that designs a product with the ability to develop unexpected behaviour should remain liable for behaviour that causes harm. In order to reflect the fact that in the digital age many products remain within the manufacturer’s control after being placed on the market, the moment in time a product leaves the manufacturer’s control should also be taken into account in the assessment of a product’s safety. A product can also be found to be defective on account of its cybersecurity vulnerability, for example where the product does not fulfil safety-relevant cybersecurity requirements. (32) 相互に接続された製品の普及を反映するため、製品の安全性のアセスメントでは、例えばスマートホームシステムのように、他の製品が当該製品に及ぼす合理的に予見可能な影響を考慮すべきである。また、上市後または使用開始後に新しい機能を学習または獲得する能力が製品の安全性に及ぼす影響も、製品のソフトウェアと基礎となるアルゴリズムが製品の危険な挙動を防止するように設計されているという正当な期待を反映するために考慮されるべきである。その結果、予期せぬ挙動を起こす可能性のある製品を設計した製造事業者は、危害をもたらす挙動に対して引き続き責任を負うべきである。デジタル時代において、上市後も多くの製品が製造事業者の管理下にあるという事実を反映するため、製品の安全性のアセスメントでは、製品が製造事業者の管理下から離れた瞬間も考慮されるべきである。また、製品が安全関連のサイバーセキュリティ要件を満たしていない場合など、サイバーセキュリティの脆弱性を理由に欠陥があると認定されることもある。
(33) In order to reflect the nature of products whose very purpose is to prevent damage, such as a warning mechanism like a smoke alarm, the assessment of the defectiveness of such a product should take into account its failure to fulfil that purpose. (33) 煙感知器のような警告機構など、損害を防止することそのものが目的である製品の性質を反映す るため、そのような製品の欠陥のアセスメントでは、その目的が果たされていないことを考慮す べきである。
(34) In order to reflect the relevance of product safety and market surveillance legislation for determining the level of safety that a person is entitled to expect, it should be clarified that relevant product safety requirements, including safety-relevant cybersecurity requirements, and interventions by competent authorities, such as issuing product recalls, or by economic operators themselves, should be taken into account in the assessment of defectiveness. Such interventions should, however, not in themselves create a presumption of defectiveness. (34) 人が期待する権利のある安全性のレベルを決定するための製品安全及び市場監視に関する法律の関連性を反映させるために、安全関連サイバーセキュリティ要件を含む関連製品安全要件、及び製品リコールの発行などの所轄当局による介入、又は経済的事業者自身による介入を欠陥性のアセスメントに考慮すべきであることを明確にすべきである。ただし、こうした介入は、それ自体が欠陥の推定を生むものであってはならない。
(35) In the interests of consumer choice and in order to encourage innovation, research and easy access to new technologies, the existence or subsequent placing on the market of a better product should not in itself lead to the conclusion that a product is defective. Similarly, the supply of updates or upgrades for a product should not in itself lead to the conclusion that a previous version of the product is defective. (35) 消費者の選択の利益のため、また、技術革新、研究、新技術への容易なアクセスを奨励するため、より優れた製品の存在やその後の上市は、それ自体で製品に欠陥があるという結論を導くべきではない。同様に、製品のアップデートやアップグレードの提供は、それ自体で旧バージョンの製品に欠陥があるという結論を導くべきではない。
(36) The protection of natural persons requires that any manufacturer involved in the production process can be held liable, in so far as a product or a component supplied by that manufacturer is defective. This includes any person who presents themselves as the manufacturer by putting, or authorising a third party to put, their name, trademark or other distinguishing feature on a product, since by doing so that person gives the impression of being involved in the production process or of assuming responsibility for it. Where a manufacturer integrates a defective component from another manufacturer into a product, an injured person should be able to seek compensation for the same damage both from the manufacturer of the product and from the manufacturer of the component. Where a component is integrated into a product outside the control of the manufacturer of that product, an injured person should be able to seek compensation from the component manufacturer where the component itself is a product under this Directive. (36) 自然人の保護では、製造過程に関与する製造事業者は、その製造事業者が供給した製品または部品に欠陥がある限り、責任を問われる可能性がある。これには、製品に自己の名称、商標その他の識別機能を付すこと、または付すことをサードパーティに許可することによって、製造事業者であることを示す者が含まれる。製造事業者が他の製造事業者の欠陥部品を製品に組み込んだ場合、損害を被った者は、製品の製造事業者と部品の製造事業者の両方に対して、同じ損害の賠償を求めることができるはずである。部品が当該製品の製造事業者の管理外で製品に組み込まれた場合、その部品自体が本指令に基づく製品である場合、損害を受けた者は部品の製造事業者に補償を求めることができるはずである。
(37) In order to ensure that injured persons have an enforceable claim for compensation where a manufacturer of a product is established outside the Union, it should be possible to hold the importer of that product and the authorised representative of the manufacturer, appointed in relation to specified tasks under Union legislation, for example under product safety and market surveillance legislation, liable. Market surveillance has shown that supply chains sometimes involve economic operators whose novel form means that they do not fit easily into traditional supply chains under the existing legal framework. Such is the case, in particular, with fulfilment service providers, which perform many of the same functions as importers but which might not always correspond to the traditional definition of importer in Union law. Fulfilment service providers play an increasingly significant role as economic operators, enabling and facilitating access to the Union market for products from third countries. That shift in relevance is already reflected in the product safety and market surveillance framework, in particular Regulations (EU) 2019/1020 (12) and (EU) 2023/988 (13) of the European Parliament and of the Council. Therefore, it should be possible to hold fulfilment service providers liable, but given the subsidiary nature of their role, they should be liable only where no importer or authorised representative is established in the Union. In the interests of channelling liability in an effective manner towards manufacturers, importers, authorised representatives and fulfilment service providers, it should be possible to hold distributors liable only where they fail to promptly identify a relevant economic operator established in the Union. (37) 製品の製造者が域外に設立されている場合、負傷者が強制力のある賠償請求を行えるようにするため、当該製品の輸入事業者及び、例えば製品安全や市場監視に関する法令に基づき、域内法令に基づく特定業務に関して任命された製造者の公認代表者の責任を問えるようにすべきである。市場監視の結果、サプライチェーンには経済的事業者が関与している場合があり、その斬新な形態は、既存の法的枠組みのもとでは伝統的なサプライチェーンに容易になじまないことを意味している。特に、フルフィルメント・サービス・プロバイダーは、輸入事業者と同じ機能の多くを果たすが、EU法における伝統的な輸入者の定義には必ずしも当てはまらない場合がある。フルフィルメント・サービス・プロバイダーは、経済的事業者としてますます重要な役割を果たすようになり、第三国からの製品のEU市場へのアクセスを可能にし、促進している。このような関連性の変化は、製品安全および市場監視の枠組み、特に欧州議会および理事会規則(EU)2019/1020(12)および(EU)2023/988(13)にすでに反映されている。したがって、フルフィルメント・サービス・プロバイダの責任を問うことは可能であるが、その役割の補助的性質を考慮すると、輸入事業者または公認代表者が域内に設立されていない場合にのみ責任を負うべきである。製造事業者、輸入事業者、公認代理人、およびフルフィルメント・サービス・プロバイダーに対して効果的な方法で責任を負わせるという観点から、頒布事業者は、域内に設立された関連経済的事業者を速やかに特定できなかった場合にのみ責任を負うことが可能であるべきである。
(38) Online selling has grown consistently and steadily, creating new business models and new actors in the market, such as online platforms. Regulation (EU) 2022/2065 of the European Parliament and of the Council (14) and Regulation (EU) 2023/988 regulate, inter alia, the responsibility and accountability of online platforms with regard to illegal content, including in relation to the sale of products. When online platforms perform the role of manufacturer, importer, authorised representative, fulfilment service provider or distributor in respect of a defective product, they should be subject to the same liability as such economic operators. Where online platforms play a mere intermediary role in the sale of products between traders and consumers, they are covered by a conditional liability exemption under Regulation (EU) 2022/2065. However, Regulation (EU) 2022/2065 provides that online platforms that allow consumers to conclude distance contracts with traders are not exempt from liability under consumer protection law where they present the product or otherwise enable the specific transaction in question in a way that would lead an average consumer to believe that the product is provided either by the online platform itself or by a trader acting under its authority or control. In keeping with that principle, where online platforms so present the product or otherwise enable the specific transaction, it should be possible to hold them liable in the same way as distributors under this Directive. Therefore, provisions of this Directive relating to distributors should apply analogously to such online platforms. That means that such online platforms should be liable only where they present the product or otherwise enable the specific transaction in a way that would lead an average consumer to believe that the product is provided either by the online platform itself or by a trader acting under its authority or control, and only where the online platform fails to promptly identify a relevant economic operator established in the Union. (38) オンライン販売は一貫して着実に成長しており、オンライン・プラットフォームのような新しいビジネスモデルや新しいアクターを市場に生み出している。欧州議会および理事会規則(EU) 2022/2065(14)および規則(EU) 2023/988は、特に、製品の販売に関連するものを含め、違法なコンテンツに関するオンライン・プラットフォームの責任と説明責任を規制している。オンラインプラットフォームが欠陥製品に関して製造事業者、輸入事業者、公認代表者、履行サービスプロバイダーまたは頒布事業者の役割を果たす場合、そのような経済的事業者と同じ責任を負うべきである。オンラインプラットフォームが取引業者と消費者間の製品販売において単なる仲介的役割を果たす場合、規則(EU) 2022/2065に基づく条件付責任免除の対象となる。しかし、規則(EU) 2022/2065は、消費者が取引者と遠隔契約を締結することを可能にするオンラインプラットフォームが、製品を提示するか、または、その製品がオンラインプラットフォーム自体またはその権限または管理の下で行動する取引者によって提供されると平均的な消費者に信じさせるような方法で問題の特定の取引を可能にする場合、消費者保護法の下で責任を免除されないと規定している。この原則に従い、オンラインプラット フォームがそのように製品を提示するか、さもなければ特定の取引を可能にする場合、本指令に基づ く頒布事業者と同じ方法で責任を問うことができるはずである。したがって、頒布事業者に関する本指令の規定は、当該オンラインプラットフォームに類推適用されるべきである。つまり、当該オンラインプラットフォームは、平均的消費者が当該製品がオンラインプラットフォーム自体又はその認可若しくは管理の下で行動する取引業者によって提供されていると信じるような方法で製品を提示し、又はその他の方法で特定の取引を可能にする場合にのみ、また、当該オンラインプラットフォームが域内に設立された関連経済的事業者を速やかに特定できなかった場合にのみ、責任を負うべきである。
(39) In the transition from a linear to a circular economy, products are designed to be more durable, reusable, repairable and upgradable. The Union is also promoting innovative and sustainable forms of production and consumption that prolong the functionality of products and components, such as remanufacturing, refurbishment and repair, as set out in the communication of the Commission of 11 March 2020 entitled ‘A new Circular Economy Action Plan – For a cleaner and more competitive Europe’. When a product is substantially modified and is thereafter made available on the market or put into service, it is considered to be a new product. Where the modification is made outside the control of the original manufacturer, it should be possible to hold the person that made the substantial modification liable as a manufacturer of the modified product, since under relevant Union law that person is responsible for the product’s compliance with safety requirements. Whether a modification is substantial should be determined on the basis of criteria laid down in relevant Union and national product safety law, including Regulation (EU) 2023/988. Where no such criteria are laid down in respect of the product in question, modifications that change the original intended functions of the product or affect its compliance with applicable safety requirements or change its risk profile should be considered to be substantial modifications. Where a substantial modification is carried out by the original manufacturer, or within its control, and where such a substantial modification makes the product defective, that manufacturer should not be able to avoid liability by arguing that the defectiveness came into being after it placed the product on the market or put it into service. In the interests of a fair apportionment of risk in the circular economy, an economic operator that makes a substantial modification, other than the original manufacturer, should be exempted from liability if that economic operator can prove that the damage is related to a part of the product not affected by the modification. Economic operators that carry out repairs or other operations that do not involve substantial modifications should not be subject to liability under this Directive. (39) 線形経済から循環経済への移行において、製品はより耐久性があり、再利用可能で、修理可能で、アップグレード可能であるように設計されている。欧州連合はまた、2020年3月11日付けの欧州委員会のコミュニケーション「新たな循環経済行動計画-よりクリーンで競争力のある欧州のために」に示されているように、再製造、改修、修理など、製品や部品の機能を長持ちさせる革新的で持続可能な生産と消費の形態を推進している。製品に大幅な改造が施され、その後市場で入手可能になったり、使用されるようになった場合、それは新製品とみなされる。改造が元の製造事業者の管理外で行われた場合、関連するEU法の下では、その製造事業者が製品の安全要求事項への適合に責任を負うため、大幅な改造を行った者を改造製品の製造事業者として責任を問うことができるはずである。実質的な変更かどうかは、規則(EU)2023/988を含む、関連するEUおよび各国の製品安全法に定められた規準に基づいて決定されるべきである。当該製品に関してそのような規準が定められていない場合、製品の当初の意図された機能を変更する、または適用される安全要求事項への適合に影響を与える、またはリスクプロファイルを変更するような改変は、実質的な改変とみなされるべきである。実質的な改造が元の製造事業者によって、またはその管理範囲内で行われ、そのような実質的な改造によって製品に欠陥が生じた場合、その製造事業者は、製品を上市または使用開始した後に欠陥が生じたと主張することによって責任を免れることはできないはずである。通達経済におけるリスクの公平な配分のためには、製造事業者以外の、大幅な改造を行った経済的事業者は、その損害が改造の影響を受けていない製品の一部に関連していることを証明できれば、責任を免れるべきである。実質的な改造を伴わない修理その他の作業を実施する経済的事業者は、本指令に基づく責任を負うべきでない。
(40) Since products can be designed in a manner that allows modifications to be made through changes to software, including upgrades, the same principles should apply to modifications made by way of a software update or upgrade as apply to modifications made in other ways. Where a substantial modification is made through a software update or upgrade, or due to the continuous learning of an AI system, the substantially modified product should be considered to be made available on the market or put into service at the time that modification is actually made. (40) 製品は、アップグレードを含むソフトウェアの変更によって修正を行うことができるように設計することができるため、ソフトウェアの更新またはアップグレードによって行われる修正には、他の方法で行われる修正に適用されるのと同じ原則が適用されるべきである。ソフトウェアの更新やアップグレードによって、あるいはAIシステムの継続的な学習によって、実質的な改変が行われた場合、その改変が実際に行われた時点で、実質的に改変された製品が市場で入手可能になった、あるいは使用開始されたとみなされるべきである。
(41) Where victims fail to obtain compensation because no person is held liable under this Directive or because the liable persons are insolvent or have ceased to exist, Member States can use existing national sectoral compensation schemes or establish new ones under national law to appropriately compensate injured persons who suffered damage caused by defective products. It is for Member States to decide whether such compensation schemes are funded in whole or in part from public or private revenue. (41) 本指令に基づき責任を負う者がいないため、または責任を負う者が支払不能であるか消滅しているため、被害者が補償を得ることができない場合、加盟国は欠陥製品により損害を被った負傷者を適切に補償するため、既存の国内部門別補償制度を利用するか、または国内法に基づき新たな補償制度を設立することができる。このような補償制度の全部または一部を公的資金で賄うか民間資金で賄うかは加盟国が決めることである。
(42) In light of the imposition on economic operators of liability irrespective of fault, and with a view to achieving a fair apportionment of risk, a person that claims compensation for damage caused by a defective product should bear the burden of proving the damage, the defectiveness of a product and the causal link between the two, in accordance with the standard of proof applicable under national law. Persons claiming compensation for damage are, however, often at a significant disadvantage compared to manufacturers in terms of access to, and understanding of, information on how a product was produced and how it operates. That asymmetry of information can undermine the fair apportionment of risk, in particular in cases involving technical or scientific complexity. It is therefore necessary to facilitate claimants’ access to evidence to be used in legal proceedings. Such evidence includes documents that have to be created ex novo by the defendant by compiling or classifying the available evidence. In assessing the request for disclosure of evidence, national courts should ensure that such access is limited to that which is necessary and proportionate, inter alia, to avoid non-specific searches for information that is not relevant to the proceedings and to protect confidential information, such as information falling within the scope of legal professional privilege and trade secrets in accordance with Union and national law, in particular Directive (EU) 2016/943 of the European Parliament and of the Council (15). Taking into consideration the complexity of certain types of evidence, for example evidence relating to digital products, it should be possible for national courts to require such evidence to be presented in an easily accessible and easily understandable manner, subject to certain conditions. (42) 過失にかかわらず経済的事業者に責任を課すことに鑑み、また、リスクの公正な配分を達成する観点から、欠陥製品に起因する損害の賠償を請求する者は、国内法に適用される証明標準に従って、損害、製品の欠陥、および両者の因果関係を証明する責任を負うべきである。しかし、損害賠償を請求する者は、製品がどのように製造され、どのように作動するかという情報へのアクセスやその理解という点で、製造事業者に比べて著しく不利な立場に置かれることが多い。このような情報の非対称性は、特に技術的・科学的な複雑さを伴うケースでは、リスクの公平な配分を損なう可能性がある。したがって、法的手続きに使用する証拠への請求者のアクセスを容易にすることが必要である。このような証拠には、入手可能な証拠をまとめたり分類したりして、被告が独自に作成しなければならない文書も含まれる。証拠開示請求のアセスメントにおいて、各国裁判所は、特に、訴訟手続に関連しない情報の非特定的な検索を回避し、EU法及び国内法、特に欧州議会及び理事会指令(EU)2016/943(15)に従い、法律専門家の秘匿特権及び企業秘密の範囲に属する情報などの秘密情報を保護するために、当該アクセスが必要かつ比例的なものに限定されることを確保すべきである。例えばデジタル製品に関連する証拠など、ある種の証拠の複雑さを考慮し、一定の条件に従って、各国の裁判所が当該証拠を容易にアクセスでき、かつ理解しやすい方法で提示することを要求することは可能であるべきである。
(43) This Directive harmonises rules on disclosure of evidence only in so far as such matters are regulated by it. Matters not regulated by this Directive include rules on disclosure of evidence with regard to: pre-trial procedures; how specific a request for evidence must be; third parties; cases of declaratory actions; and sanctions for non-compliance with the obligation to disclose evidence. (43) 本指令は、当該事項が本指令によって規制される限りにおいてのみ、証拠開示に関する規則を調和させる。本指令で規制されていない事項には、公判前手続き、証拠開示請求の具体的内容、サードパーティ、宣言的訴えの場合、証拠開示義務の不履行に対する制裁などに関する証拠開示規則が含まれる。
(44) In light of the fact that defendants might need access to evidence at the disposal of the claimant in order to counter a claim for compensation under this Directive, defendants should also have the possibility of accessing evidence. Similar to a disclosure request made by the claimant, when assessing the request of the defendant for disclosure of evidence, national courts should ensure that such access is limited to that which is necessary and proportionate, inter alia, to avoid non-specific searches for information that is not relevant to the proceedings and to protect confidential information. (44) 本指令に基づく損害賠償請求に対抗するために、被告が請求者の手元にある証拠へのアクセス を必要とする可能性があるという事実に鑑み、被告も証拠へのアクセスの可能性を有するべきであ る。請求者が行う開示請求と同様に、被告の証拠開示請求をアセスメントする際、各国裁判所は、特に訴訟手続きに関連しない情報の非特定的な検索を回避し、秘密情報を保護するために、当該アクセスが必要かつ比例的なものに限定されることを確保すべきである。
(45) In respect of trade secrets as defined in Directive (EU) 2016/943, national courts should be empowered to take specific measures to ensure the confidentiality of trade secrets during and after the proceedings, while achieving a fair and proportionate balance between the interests of the trade secret holder with regard to secrecy and the interests of the injured person. Such measures should include at least measures to restrict access to documents containing trade secrets or alleged trade secrets and to restrict access to hearings to a limited number of people, or allowing access only to redacted documents or transcripts of hearings. When deciding on such measures, it is appropriate that national courts take into account the need to ensure the right to an effective remedy and to a fair trial, the legitimate interests of the parties and, where appropriate, of third parties, and potential harm for either of the parties to a dispute, and, where appropriate, for third parties, which results from the granting or rejection of such measures. (45) 指令(EU)2016/943 で定義されている営業秘密に関しては、各国裁判所は、秘密保持に関する営業秘密保有者の利益と損害を受けた者の利益との間で公正かつ比例的なバランスを達成しつつ、訴訟中及び訴訟後に営業秘密の秘密保持を確保するための特定の措置を講じる権限を付与されるべきである。このような措置には、少なくとも、営業秘密又は営業秘密とされるものを含む文書へのアクセス を制限する措置、審理へのアクセスを限られた人数に制限する措置、又は冗長化された文書若しくは審 議会の記録へのアクセスのみを許可する措置が含まれるべきである。このような措置を決定する場合、各国の裁判所は、実効的な救済を受ける権利及び公正な裁判を受ける権利を確保する必要性、当事者及び適切な場合には第三者の正当な利益、並びに紛争当事者のいずれか及び適切な場合には第三者にとって、このような措置の付与又は却下によって生じる潜在的な損害を考慮することが適切である。
(46) It is necessary to alleviate the claimant’s burden of proof provided that certain conditions are fulfilled. Rebuttable presumptions of fact are a common mechanism for alleviating a claimant’s evidential difficulties and allowing a court to base the existence of defectiveness or of a causal link on the presence of another fact that has been proven while preserving the rights of the defendant. In order to provide an incentive to comply with the obligation to disclose information, national courts should presume the defectiveness of a product where a defendant fails to comply with such an obligation. Many mandatory safety requirements have been adopted in order to protect consumers and other natural persons from the risk of harm, including under Regulation (EU) 2023/988. In order to reinforce the close relationship between product safety rules and liability rules, non-compliance with such requirements should also result in a presumption of defectiveness. That includes cases in which a product is not equipped with the means to log information about the operation of the product as required under Union or national law. The same should apply in the case of obvious malfunction, such as a glass bottle that explodes in the course of reasonably foreseeable use, since it is unnecessarily burdensome to require a claimant to prove defectiveness when the circumstances are such that its existence is undisputed. Reasonably foreseeable use covers the use for which a product is intended in accordance with the information provided by the manufacturer or economic operator placing it on the market, the ordinary use as determined by the design and construction of the product, and use which can be reasonably foreseen where such use could result from lawful and readily predictable human behaviour. (46) 一定の条件が満たされることを条件に、請求人の立証責任を軽減する必要がある。事実の反証可能な推定は、請求人の立証上の困難を軽減し、裁判所が被告の権利を保持しつつ、立証された別の事実の存在に基づいて瑕疵の存在や因果関係の存在を根拠づけることを可能にする一般的なメカニズムである。情報開示義務を遵守するインセンティブを与えるため、各国の裁判所は、被告がそのような義務を遵守しない場合、製品の欠陥性を推定すべきである。規則(EU)2023/988を含め、消費者やその他の自然人を危害のリスクから保護するために、多くの強制的安全要件が採用されている。製品安全規則と賠償責任規則との密接な関係を強化するため、このような要求事項への不遵守は欠陥の推定にもつながるはずである。これには、EU法または国内法で義務付けられている、製品の動作に関する情報を記録する手段を製品が備えていない場合も含まれる。合理的に予見可能な使用の過程で爆発したガラス瓶のような明らかな故障の場合も同様であるべきである。なぜなら、瑕疵の存在に議論の余地がないような状況であるにもかかわらず、瑕疵の立証を請求者に要求するのは不必要に負担が大きいからである。合理的に予見可能な使用とは、製造事業者または上市する経済的事業者が提供する情報に従って製品が意図される使用、製品の設計および構造によって決定される通常の使用、および、そのような使用が合法的かつ容易に予測可能な人間の行動から生じ得る場合に合理的に予見され得る使用を対象とする。
(47) Where it has been established that a product is defective and the kind of damage that occurred is, based primarily on similar cases, typically caused by the defectiveness in question, the claimant should not be required to prove the causal link and its existence should be presumed. (47) 製品に欠陥があることが立証され、発生した損害の種類が、主に類似の事例に基づいて、当該欠陥に起因する典型的なものである場合、請求人は因果関係を立証する必要はなく、その存在は推定されるべきである。
(48) National courts should presume the defectiveness of a product or the causal link between the damage and the defectiveness, or both, where, notwithstanding the defendant’s disclosure of information, it would be excessively difficult for the claimant, in particular due to the technical or scientific complexity of the case, to prove the defectiveness or the causal link, or both. They should do so taking into account all the circumstances of the case. In such cases, imposing the usual standard of proof as required under national law, which often calls for a high degree of probability, would undermine the effectiveness of the right to compensation. Therefore, given that manufacturers have expert knowledge and are better informed than the injured person, and in order to maintain a fair apportionment of risk while avoiding a reversal of the burden of proof, that claimant should be required to demonstrate, where the claimant’s difficulties relate to proving defectiveness, only that it is likely that the product was defective, or, where the claimant’s difficulties relate to proving the causal link, only that the defectiveness of the product is a likely cause of the damage. Technical or scientific complexity should be determined by national courts on a case-by-case basis, taking into account various factors. Those factors should include the complex nature of the product, such as an innovative medical device; the complex nature of the technology used, such as machine learning; the complex nature of the information and data to be analysed by the claimant; and the complex nature of the causal link, such as a link between a pharmaceutical or food product and the onset of a health condition or a link that, in order to be proven, would require the claimant to explain the inner workings of an AI system. The assessment of excessive difficulties should also be made by national courts on a case-by-case basis. While a claimant should provide arguments to demonstrate excessive difficulties, proof of such difficulties should not be required. For example, in a claim concerning an AI system, the claimant should, for the court to decide that excessive difficulties exist, neither be required to explain the AI system’s specific characteristics nor how those characteristics make it harder to establish the causal link. The defendant should have the possibility of contesting all elements of the claim, including the existence of excessive difficulties. (48) 国内裁判所は、被告が情報を開示したにもかかわらず、特に事案の技術的または科学的な複雑さのために、請求人が欠陥性もしくは因果関係、またはその両方を証明することが過度に困難である場合には、製品の欠陥性または損害と欠陥性の因果関係、またはその両方を推定すべきである。そのような場合は、事案のすべての状況を考慮して、それを行うべきである。このような場合、国内法で要求されるような通常の標準的な立証基準を課すことは、しばしば高度の蓋然性を要求することになり、補償を受ける権利の実効性を損なうことになる。したがって、製造事業者は専門的知識を有し、負傷者よりも十分な知識を有していることを考慮し、また、立証責任の逆転を回避しつつリスクの公平な配分を維持するために、請求者が欠陥の立証に困難を伴う場合は、製品に欠陥があった可能性が高いことのみを、請求者が因果関係の立証に困難を伴う場合は、製品の欠陥が損害の原因である可能性が高いことのみを立証することを要求すべきである。技術的または科学的な複雑性は、様々な要素を考慮して、各国の裁判所がケースバイケースで判断すべきである。それらの要素には、革新的な医療機器のような製品の複雑な性質、機械学習のような使用される技術の複雑な性質、請求人が分析すべき情報やデータの複雑な性質、医薬品や食品と健康状態の発症との関連や、立証するためには請求人がAIシステムの内部構造を説明する必要があるような関連など、因果関係の複雑な性質が含まれるべきである。過度の困難性のアセスメントも、各国の裁判所がケースバイケースで行うべきである。請求者は過度の困難を証明するための論拠を提供すべきであるが、そのような困難の証明は要求されるべきではない。例えば、AIシステムに関する請求において、裁判所が過度の困難性が存在すると判断するためには、請求人はAIシステムの具体的な特性や、その特性が因果関係の立証をどのように困難にしているのかを説明する必要はないはずである。被告は、過度の困難性の存在を含め、請求のすべての要素について争う可能性を有するべきである。
(49) In the interest of a fair apportionment of risk, economic operators should be exempted from liability if they can prove the existence of specific exonerating circumstances. They should not be liable where they can prove that a person other than themselves caused the product to leave the manufacturing process against their will or that compliance with legal requirements was precisely the reason for the product’s defectiveness. (49) リスクの公平な配分の観点から、経済的事業者は、特定の免責事由の存在を証明できる場合には、責任を免除されるべきである。経済事業者は、自分以外の者が意に反して製品を製造工程から離脱させたこと、または法的要件の遵守がまさに製品の欠陥の理由であったことを証明できる場合には、責任を負うべきでない。
(50) The moment of placing on the market or putting into service is normally the moment when a product leaves the control of the manufacturer, while for distributors it is the moment when they make the product available on the market. Manufacturers should therefore be exempted from liability where they prove that it is probable that the defectiveness that caused the damage did not exist when they placed the product on the market or put it into service or that the defectiveness came into being after that moment. However, since digital technologies allow manufacturers to exercise control beyond the moment of placing the product on the market or putting into service, manufacturers should remain liable for defectiveness that comes into being after that moment as a result of software or related services within their control, be it in the form of updates or upgrades or machine-learning algorithms. Such software or related services should be considered to be within the manufacturer’s control where they are supplied by that manufacturer or where that manufacturer authorises them or otherwise consents to their supply by a third party. For example, if a smart television is presented as including a video application, but the user is required to download the application from a third party’s website after the purchase of the television, the television manufacturer should remain liable, alongside the manufacturer of the video application, for damage caused by any defectiveness of the video application, even though the defectiveness came into being only after the television was placed on the market. (50) 上市または使用開始の瞬間は、通常、製品が製造事業者の管理を離れた瞬間であり、頒布事業者にとっては、製品を市場で入手可能にした瞬間である。したがって、製造事業者は、損害の原因となった欠陥が、製品を上市または使用開始した時点では存在しなかったか、または欠陥がその時点以降に存在するようになった可能性が高いことを証明する場合、責任を免除されるべきである。しかし、デジタル技術により、製造事業者は製品を上市または使用開始した時点を超えて管理することができるため、アップデートやアップグレード、機械学習アルゴリズムなど、製造事業者の管理下にあるソフトウェアや関連サービスの結果として、その時点以降に発生した欠陥については、製造事業者は引き続き責任を負うべきである。このようなソフトウエアや関連サービスは、製造事業者が供給している場合、または製造事業者が許可している場合、あるいはサードパーティが供給することを同意している場合には、製造事業者の管理下にあるとみなされるべきである。例えば、スマートテレビがビデオアプリケーションを含むと表示されているにもかかわらず、ユーザーがテレビ購入後にサードパーティーのウェブサイトからアプリケーションをダウンロードする必要がある場合、テレビの製造者は、ビデオアプリケーションの製造者とともに、ビデオアプリケーションの欠陥によって生じた損害について、たとえその欠陥がテレビが上市された後に生じたとしても、引き続き責任を負うべきである。
(51) The possibility for economic operators to avoid liability by proving that the defectiveness came into being after they placed the product on the market or put it into service should be restricted when a product’s defectiveness consists in the lack of software updates or upgrades necessary to address cybersecurity vulnerabilities and maintain the safety of the product. Such vulnerabilities can affect the product in such a way that it causes damage within the meaning of this Directive. In recognition of manufacturers’ responsibilities under Union law for the safety of products throughout their lifecycle, such as under Regulation (EU) 2017/745 of the European Parliament and of the Council (16), manufacturers should also not be exempted from liability for damage caused by their defective products when the defectiveness results from their failure to supply the software security updates or upgrades that are necessary to address those products’ vulnerabilities in response to evolving cybersecurity risks. Such liability should not apply where the supply or installation of such software is beyond the manufacturer’s control, for example where the owner of the product does not install an update or upgrade supplied for the purpose of ensuring or maintaining the level of safety of the product. This Directive does not impose any obligation to provide updates or upgrades for a product. (51) 製品の欠陥が、サイバーセキュリティの脆弱性に対処し、製品の安全性を維持するために必要なソフトウ ェアの更新やアップグレードの欠如に起因する場合、経済的事業者が、製品を上市または使用開始した後 に欠陥が生じたことを証明することによって責任を回避する可能性は制限されるべきである。そのような脆弱性は、本指令の意味における損害を引き起こすような形で製品に影響を及ぼす可能性がある。欧州議会及び理事会規則(EU)2017/745(16)などに基づき、製品のライフサイクル全体を通じて製品の安全性を確保するための製造者のEU法上の責任を考慮すると、製造者は、製品の欠陥が、進化するサイバーセキュリティリスクに対応して製品の脆弱性に対処するために必要なソフトウェアセキュリティアップデートまたはアップグレードを供給しなかったことに起因する場合、その欠陥製品に起因する損害に対する責任を免除されるべきではない。このような責任は、当該ソフトウェアの供給やインストールが製造事業者の管理の及ばない場合、例えば製品の所有者が製品の安全レベルを確保または維持する目的で供給されたアップデートやアップグレードをインストールしない場合などには適用されるべきではない。本指令は、製品のアップデート又はアップグレードを提供する義務を課すものではない。
(52) In the interests of a fair apportionment of risk, economic operators should be exempted from liability if they prove that the state of scientific and technical knowledge, determined with reference to the most advanced level of objective knowledge accessible and not to the actual knowledge of the economic operator in question, during the period in which the product was within the manufacturer’s control, was such that the existence of the defectiveness could not be discovered. (52) リスクの公平な配分の観点から、経済的事業者は、製品が製造事業者の管理下にあった期間中、当該経済的事業者の実際の知識ではなく、アクセス可能な客観的知識の最先端レベルを参照して決定された科学的・技術的知識の状態が、欠陥の存在を発見できないようなものであったことを証明した場合、責任を免除されるべきである。
(53) Situations can arise in which two or more parties are liable for the same damage, in particular where a defective component is integrated into a product that causes damage. In such a case, the injured person should be able to seek compensation both from the manufacturer that integrated the defective component into its product and from the manufacturer of the defective component itself. In order to ensure the protection of natural persons, all parties should be held liable jointly and severally in such situations. (53) 特に、欠陥のある部品が損害を与える製品に組み込まれている場合など、2者以上の当事者が同じ損害について責任を負う状況が生じうる。このような場合、損害を受けた者は、欠陥部品を製品に組み込んだ製造事業者と欠陥部品自体の製造事業者の両方に対して補償を求めることができるはずである。自然人の保護を確実にするため、このような状況では、すべての当事者が連帯して責任を負うべきである。
(54) A high degree of innovation is particularly necessary in the software sector. With a view to supporting the innovative capacity of microenterprises and small enterprises that manufacture software, it should be possible for such enterprises to contractually agree with manufacturers that integrate their software into a product that the latter will not seek recourse from the software manufacturer in the event of a defective software component causing harm. Such contractual agreements, already used in some Member States, should be allowed, since the manufacturer of the product as a whole is in any event liable for any defectiveness in the product, including in components. However, liability towards an injured person should never be limited or excluded by such a contractual agreement. (54) ソフトウェア分野では、高度なイノベーションが特に必要である。ソフトウェアを製造する零細企業や小規模企業の革新的能力を支援する観点から、そのような企業が、自社のソフトウェアを製品に統合する製造事業者との間で、欠陥のあるソフトウェア部品が損害を引き起こした場合に、後者がソフトウェア製造者に損害賠償を求めないことを契約上合意することを可能にすべきである。このような契約上の合意は、加盟国の一部ですでに採用されているが、コンポーネントも含め、製品の欠陥については、いずれにせよ製品全体の製造事業者が責任を負うことになるため、認められるべきである。しかし、負傷者に対する責任は、そのような契約上の合意によって決して制限されたり排除されたりすべきではない。
(55) Situations can arise in which the acts and omissions of a person other than a potentially liable economic operator contribute, in addition to the defectiveness of the product, to the cause of the damage suffered, such as a third party exploiting a cybersecurity vulnerability of a product. In the interests of consumer protection, where a product is defective, for example due to a vulnerability that makes the product less safe than the public at large is entitled to expect, the liability of the economic operator should not be reduced or disallowed as a result of such acts or omissions by a third party. However, it should be possible to reduce or disallow the economic operator’s liability where injured persons themselves have negligently contributed to the cause of the damage, for example where the injured person negligently failed to install updates or upgrades provided by the economic operator that would have mitigated or avoided the damage. (55) 第三者が製品のサイバーセキュリティの脆弱性を悪用するなど、潜在的な責任を負う経済的事業者以外の者の作為・不作為が、製品の欠陥に加えて、被った損害の原因に寄与する状況が生じ得る。消費者保護の観点から、例えば脆弱性によって製品に欠陥があり、一般消費者が期待するよりも製品の安全性が低い場合、第三者によるそのような作為または不作為の結果として、経済的事業者の責任を減免すべきではない。ただし、損害を受けた者自身が過失により損害の原因に寄与した場合、例えば、損害を軽減または回避できたであろう経済的事業者が提供した更新プログラムやアップグレードを、損害を受けた者が過失によりインストールしなかった場合などには、経済的事業者の責任を減免することが可能であるべきである。
(56) The objective of protecting natural persons would be undermined if it were possible to limit or exclude an economic operator’s liability through contractual provisions. Therefore no contractual derogations should be permitted. For the same reason, it should not be possible for provisions of national law to limit or exclude liability, such as by setting financial ceilings on an economic operator’s liability. (56) 契約条項によって経済的事業者の責任を制限または排除することが可能であれば、自然人を保護するという目的は損なわれる。したがって、契約上の免除は許されるべきではない。同じ理由から、経済的事業者の責任に金銭的上限を設けるなどして、国内法の規定が責任を制限または排除することは可能であってはならない。
(57) Given that products age over time and that higher safety standards are developed as the state of science and technology progresses, it would not be reasonable to make manufacturers liable for an unlimited period of time for the defectiveness of their products. Therefore, liability should be subject to a reasonable length of time, namely 10 years from the placing on the market or putting into service of a product (the ‘expiry period’), without prejudice to claims pending in legal proceedings. In order to avoid unreasonably restricting the possibility of compensation for damage caused by a defective product, the expiry period should be extended to 25 years in cases where the symptoms of a personal injury are, according to medical evidence, slow to emerge. (57) 製品は時間の経過とともに古くなり、科学技術の進歩に伴ってより高い安全標準が開発されることを考えれば、製造事業者に製品の欠陥について無制限に責任を負わせることは妥当ではない。したがって、法的手続きに係属中の請求を害することなく、製品の上市または使用開始から10年という合理的な期間(「有効期間」)に責任を負わせるべきである。欠陥のある製品に起因する損害に対する補償の可能性を不当に制限することを避けるため、医学的証拠によれば人身傷害の症状の出現が遅い場合には、有効期間を25年に延長すべきである。
(58) Since substantially modified products are essentially new products, a new expiry period should start to run after a product has been substantially modified and has subsequently been made available on the market or put into service, for example as a result of remanufacturing. Updates or upgrades that do not amount to a substantial modification of the product should not affect the expiry period that applies to the original product. (58) 実質的に変更された製品は本質的に新しい製品であるため、例えば再製造の結果として、製品が実質的に変更され、その後市場で入手可能になった後、または使用されるようになった後に、新たな有効期間が開始されるべきである。製品の実質的な変更に相当しない更新やアップグレードは、元の製品に適用される有効期限に影響を及ぼすべきではない。
(59) The possibility provided for in this Directive whereby an economic operator that proves that the state of scientific and technical knowledge at the time when a product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such as to enable the existence of a defect to be discovered can avoid liability, the so-called ‘development risk defence’, could be deemed in certain Member States to limit unduly the protection of natural persons. It should therefore be possible for a Member State to derogate from that possibility by introducing new measures, or amending existing measures, to extend liability in such situations to specific types of products if it is deemed necessary, proportionate and justified by public interest objectives, such as those set out in the Treaty on the Functioning of the European Union, namely public policy, public security and public health. To ensure transparency and legal certainty for economic operators operating across the Union, the use of such a derogation from the development risk defence should be notified to the Commission, which should then inform the other Member States. In order to facilitate a coherent approach across Member States and consistency with the objectives of this Directive, the Commission should be able to issue non-binding opinions on the proposed measures or amendments. In order to allow time for the issuing of an opinion, a Member State proposing such measures or amendments should hold the proposed measures or amendments in abeyance for six months following their notification to the Commission, unless the Commission issues an opinion earlier. Such an opinion should be issued after close cooperation between the Member State concerned and the Commission, taking into account the views of other Member States, if any. In the interest of legal certainty and to facilitate continuity of arrangements established under Directive 85/374/EEC, it should also be possible for a Member State to maintain existing derogations from the development risk defence in its legal system. (59) 本指令に規定されている、製品が上市または使用開始された時点、または製品が製造事業者の 管理下にあった期間における科学的および技術的知識の状態が、欠陥の存在を発見できるような ものではなかったことを証明する経済的事業者が責任を回避できる可能性、いわゆる「開発リスク の防御」は、特定の加盟国では自然人の保護を不当に制限するものと見なされる可能性がある。したがって、加盟国は、欧州連合の機能に関する条約に規定されているような公益目的、すなわち公共政策、公共の安全および公衆衛生が必要であり、比例的であり、かつ正当化されるとみなされる場合には、そのような状況における責任を特定の種類の製品に拡大するための新たな措置を導入するか、既存の措置を修正することによって、その可能性を緩和することができるようにすべきである。EU域内で活動する経済的事業者の透明性と法的確実性を確保するため、このような開発リスク条項の適用除外の利用は欧州委員会に通知されるべきであり、欧州委員会はそれを他の加盟国に通知すべきである。加盟国間の首尾一貫したアプローチを促進し、本指令の目的との整合性を図るため、欧州委員会は提案された措置または修正について拘束力のない意見を発表できるようにすべきである。意見書を発行するための時間を確保するため、かかる措置または改正を提案する加盟国は、欧州委員会が早期に意見書を発行しない限り、欧州委員会への通知後6ヶ月間は、提案された措置または改正を保留すべきである。このような意見は、関係加盟国と欧州委員会が緊密に協力し、他の加盟国の見解がある場合にはそれを考慮した上で出されるべきである。法的確実性の観点から、また指令85/374/EECに基づき確立された取決めの継続性を促進するため、加盟国は自国の法制度における開発リスク防御の既存の適用除外を維持することも可能でなければならない。
(60) In order to facilitate the harmonised interpretation of this Directive by national courts, Member States should be required to publish final court judgments on product liability under this Directive, meaning those judgments that cannot be, or can no longer be, appealed. In order to limit the administrative burden, Member States should be required only to publish judgments of national courts of appeal or of the highest instance. (60) 各国裁判所による本指令の調和された解釈を促進するため、加盟国は本指令に基づく製造物責任に関 する最終判決(上訴できないか、上訴できなくなった判決を意味する)を公表することが義務付け られるべきである。管理上の負担を制限するため、加盟国は国内控訴裁判所または最高裁判所の判決のみを公表するよう義務付けられ るべきである。
(61) To increase the understanding of how this Directive is applied at national level, for the benefit of, inter alia, the public, legal practitioners, academics and Member States, the Commission should set up and maintain an easily accessible and publicly available database containing the relevant judgments as well as references to relevant judgments delivered by the Court of Justice of the European Union. (61) この指令が国内レベルでどのように適用されているかについての理解を深めるため、特に一般市民、法律家、学者、加盟国のために、欧州委員会は、関連する判決および欧州連合司法裁判所が下した関連判決への参照を含む、容易にアクセス可能で一般に利用可能なデータベースを設置し、維持すべきである。
(62) The Commission should carry out an evaluation of this Directive. Pursuant to paragraph 22 of the Interinstitutional Agreement of 13 April 2016 on Better Law-Making (17), that evaluation should be based on the five criteria of efficiency, effectiveness, relevance, coherence and value added and should provide the basis for impact assessments of possible further measures. In its evaluation report, the Commission should provide the methodology for the calculations used in its evaluation. It is important that the Commission gather all relevant information in a way that avoids overregulation and an administrative burden for Member States and economic operators, using information from all relevant and reliable sources, including Union institutions, bodies, offices and agencies, national competent authorities and internationally recognised bodies and organisations. (62) 欧州委員会は本指令の評価を実施すべきである。より良い法作りに関する2016年4月13日の機関間合意(17)の第22項に従い、その評価は効率性、有効性、関連性、首尾一貫性、付加価値の5つの規準に基づくべきであり、可能な追加措置の影響アセスメントの基礎を提供すべきである。評価報告書において、欧州委員会は評価に使用した計算の方法論を提供すべきである。欧州委員会は、加盟国および経済的事業者にとって過度な規制や事務的負担とならないような方法で、関連するすべての情報を収集することが重要である。その際、欧州連合の機構、機関、事務所、機関、各国の所轄官庁、国際的に認められた機関や組織など、あらゆる関連する信頼できる情報源からの情報を利用する。
(63) For reasons of legal certainty, this Directive does not apply to products placed on the market or put into service before 9 December 2026. It is therefore necessary to provide for transitional arrangements in order to ensure continued liability under Directive 85/374/EEC for damage caused by defective products which have been placed on the market or put into service before that date. (63) 法的確実性の理由から、本指令は 2026 年 12 月 9 日より前に上市または使用開始された製品には適用されない。したがって、その日より前に上市または使用開始された欠陥製品に起因する損害について、指令 85/374/EEC に基づく責任の継続を確保するために、経過措置を定めることが必要である。
(64) Since the objectives of this Directive, namely to ensure the functioning of the internal market, undistorted competition and a high level of protection for natural persons, cannot be sufficiently achieved by the Member States due to the Union-wide nature of the market in goods but can rather, by reason of the harmonising effect of common rules on liability, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality, as set out in that Article, this Directive does not go beyond what is necessary in order to achieve those objectives, (64) 本指令の目的、すなわち、域内市場の機能、歪みのない競争、および自然人に対する高水準の保護を確保することは、商品市場の同盟国全体の性質により加盟国によって十分に達成されるものではなく、責任に関する共通規則の調和効果により、むしろ同盟国レベルでよりよく達成されるため、同盟国は、欧州連合条約第5条に定める補完性の原則に従い、措置を採用することができる。同条に定める比例原則に従い、本指令はこれらの目的を達成するために必要な範囲を超えるものではない、
HAVE ADOPTED THIS DIRECTIVE: は本指令を採択した:
CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter and objective 第1条 主題および目的
This Directive lays down common rules on the liability of economic operators for damage suffered by natural persons and caused by defective products, and on compensation for such damage. 本指令は、自然人が被った、欠陥製品に起因する損害に対する経済的事業者の責任、および当該損害の補償に関する共通の規則を定めるものである。
The objective of this Directive is to contribute to the proper functioning of the internal market while ensuring a high level of protection of consumers and other natural persons. 本指令の目的は、消費者およびその他の自然人の高水準の保護を確保しつつ、域内市場の適切な機能に貢献することである。
Article 2 Scope 第2条 適用範囲
1. This Directive shall apply to products placed on the market or put into service after 9 December 2026. 1. 本指令は、2026 年 12 月 9 日以降に上市または使用開始される製品に適用されるものとする。
2. This Directive does not apply to free and open-source software that is developed or supplied outside the course of a commercial activity. 2. 本指令は、商業活動の範囲外で開発または提供されるフリーソフトウェアおよびオープンソースソフトウェアには適用されない。
3. This Directive does not apply to damage arising from nuclear accidents in so far as liability for such damage is covered by international conventions ratified by Member States. 3. 本指令は、加盟国が批准した国際条約によって当該損害に対する責任がカバーされる限りにおいて、原子力事故から生じる損害には適用されない。
4. This Directive does not affect: 4. 本指令は以下の事項に影響を及ぼさない:
(a) the applicability of Union law on the protection of personal data, in particular Regulation (EU) 2016/679 and Directives 2002/58/EC and (EU) 2016/680; (a) 個人データの保護に関する連邦法、特に規則 (EU) 2016/679 および指令 2002/58/EC および (EU) 2016/680 の適用法;
(b) any right which an injured person has under national rules concerning contractual liability or concerning non-contractual liability on grounds other than the defectiveness of a product as provided for in this Directive, including national rules implementing Union law; (b) 本指令に規定される製品の欠陥以外の理由による契約責任に関する国内規則又は非契約責任に関する国内規則に基づき、損害を被った者が有するあらゆる権利(組合法を実施する国内規則を含む);
(c) any right which an injured person has under any special liability system that existed in national law on 30 July 1985. (c) 1985 年 7 月 30 日に国内法に存在した特別な責任制度に基づき、傷害を受けた者が有する権利。
Article 3 Level of harmonisation 第3条 調和のレベル
Member States shall not maintain or introduce, in their national law, provisions diverging from those laid down in this Directive, including more stringent or less stringent provisions, to achieve a different level of protection for consumers and other natural persons, unless otherwise provided for in this Directive. 加盟国は、本指令に別段の定めがある場合を除き、消費者及びその他の自然人に対する異なる保護レベルを達成するために、より厳格な規定またはより厳格でない規定を含め、本指令に定める規定と異なる規定を国内法に維持または導入してはならない。
Article 4 Definitions 第4条 定義
For the purposes of this Directive, the following definitions apply: 本指令の目的には、以下の定義が適用される:
(1) ‘product’ means all movables, even if integrated into, or inter-connected with, another movable or an immovable; it includes electricity, digital manufacturing files, raw materials and software; (1) 「製品」とは、他の動産または不動物と一体化されている、または相互に接続されている場合であっても、すべての動産を意味し、電気、デジタル製造ファイル、原材料およびソフトウェアを含む;
(2) ‘digital manufacturing file’ means a digital version of, or digital template for, a movable which contains the functional information necessary to produce a tangible item by enabling the automated control of machinery or tools; (2) 「デジタル製造ファイル」とは、機械または工具の自動制御を可能にすることにより有形物品を製造するために必要な機能情報を含む、動産のデジタルバージョンまたはデジタルテンプレートをいう;
(3) ‘related service’ means a digital service that is integrated into, or inter-connected with, a product in such a way that its absence would prevent the product from performing one or more of its functions; (3) 「関連サービス」とは、デジタルサービスのうち、そのサービスがなければ製品の1つまたは複数の機能の実行が妨げられるような形で製品に組み込まれ、または製品に相互に接続されているものをいう;
(4) ‘component’ means any item, whether tangible or intangible, raw material or related service, that is integrated into, or inter-connected with, a product; (4) 「構成部品」とは、有形、無形、原材料、関連サービスの如何を問わず、製品に組み込まれ、 または製品と相互に接続されるあらゆる物品をいう;
(5) ‘manufacturer’s control’ means that: (5) 「製造事業者の管理」とは、以下を意味する:
(a) the manufacturer of a product performs or, with regard to actions of a third party, authorises or consents to: (a)製品の製造事業者が、次のことを行うか、またはサードパーティーの行為に関して、許可または同意する:
(i) the integration, inter-connection or supply of a component, including software updates or upgrades; or (i) コンポーネントの統合、相互接続又は供給(ソフトウェアの更新又はアップグレードを含む。
(ii) the modification of the product, including substantial modifications; (ii) 実質的な変更を含む、製品の変更;
(b) the manufacturer of a product has the ability to supply software updates or upgrades, themselves or via a third party; (b)製品の製造事業者は、自社で、またはサードパーティを通じて、ソフトウェアの更新またはアップグレードを供給する能力を有する;
(6) ‘data’ means data as defined in Article 2, point (1), of Regulation (EU) 2022/868 of the European Parliament and of the Council (18); (6) 「データ」とは、欧州議会及び理事会規則(EU) 2022/868(18)の第2条(1)に定義されるデータをいう;
(7) ‘making available on the market’ means any supply of a product for distribution, consumption or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge; (7) 「市場で入手可能」とは、商業活動の過程において、有償であるか無償であるかを問わず、EU市場での流通、消費又は使用のために製品を供給することをいう;
(8) ‘placing on the market’ means the first making available of a product on the Union market; (8) '上市'とは、EU市場で製品を最初に入手可能にすることをいう;
(9) ‘putting into service’ means the first use of a product in the Union in the course of a commercial activity, whether in return for payment or free of charge, in circumstances in which that product has not been placed on the market prior to its first use; (9) 「使用開始」とは、商業活動の過程において、有償であるか無償であるかを問わず、その製品が最初に使用される前に上市されていない状況において、その製品が連合域内で最初に使用されることをいう;
(10) ‘manufacturer’ means any natural or legal person who: (10) 「製造事業者」とは、自然人または法人をいう:
(a) develops, manufactures or produces a product; (a) 製品を開発、製造または生産する;
(b) has a product designed or manufactured, or who, by putting their name, trademark or other distinguishing features on that product, presents themselves as its manufacturer; or (b) 製品を設計もしくは製造させる者、または当該製品に自己の名称、商標もしくはその他の識別機能を付すことにより、当該製品の製造事業者であることを示す者。
(c) develops, manufactures or produces a product for their own use; (c) 自己使用のために製品を開発、製造または生産する;
(11) ‘authorised representative’ means any natural or legal person established within the Union who has received a written mandate from a manufacturer to act on that manufacturer’s behalf in relation to specified tasks; (11) 「公認代表者」とは,特定業務に関して製造事業者に代わって行動することを製造事業者から書面で委任された,域内に設立された自然人又は法人をいう;
(12) ‘importer’ means any natural or legal person who places a product from a third country on the Union market; (12) 「輸入事業者」とは,第三国からの製品を上市する自然人又は法人をいう;
(13) ‘fulfilment service provider’ means any natural or legal person offering, in the course of a commercial activity, at least two of the following services: warehousing, packaging, addressing and dispatching of a product, without having ownership of that product, excluding postal services as defined in Article 2, point (1), of Directive 97/67/EC of the European Parliament and of the Council (19), parcel delivery services as defined in Article 2, point (2), of Regulation (EU) 2018/644 of the European Parliament and of the Council (20), and any other postal services or freight transport services; (13) 「フルフィルメントサービスプロバイダ」とは,商業活動の過程において,次のサービスのうち少なくとも 2 つを提供する自然人又は法人をいう: 欧州議会及び理事会指令 97/67/EC (19)の第2条第(1)項に定義される郵便サービス、欧州議会及び理事会規則 (EU) 2018/644 (20)の第2条第(2)項に定義される小包配達サービス、及びその他の郵便サービス又は貨物輸送サービスを除く;
(14) ‘distributor’ means any natural or legal person in the supply chain who makes a product available on the market, other than the manufacturer or importer of that product; (14) 「頒布事業者」とは、製品の製造事業者又は輸入事業者以外の、製品を市場で入手可能にするサプライチェーンにおける自然人又は法人をいう;
(15) ‘economic operator’ means a manufacturer of a product or component, a provider of a related service, an authorised representative, an importer, a fulfilment service provider or a distributor; (15) 「経済的事業者」とは、製品または部品の製造事業者、関連サービスのプロバイダ、公認代表者、輸入事業者、フルフィルメント・サービス・プロバイダまたはディストリビュータをいう;
(16) ‘online platform’ means online platform as defined in Article 3, point (i), of Regulation (EU) 2022/2065; (16) 「オンラインプラットフォーム」とは、Regulation (EU) 2022/2065の第3条(i)に定義されるオンラインプラットフォームをいう;
(17) ‘trade secret’ means trade secret as defined in Article 2, point (1), of Directive (EU) 2016/943; (17) 「営業秘密」とは、指令(EU)2016/943の第2条(1)に定義される営業秘密をいう;
(18) ‘substantial modification’ means a modification of a product after it has been placed on the market or put into service: (18) 「実質的変更」とは、上市又は使用開始後の製品の変更をいう:
(a) that is considered substantial under relevant Union or national rules on product safety; or (a)製品安全に関する関連するEU又は国内規則の下で実質的とみなされるもの、又は
(b) where relevant Union or national rules on product safety lay down no threshold on what is to be considered a substantial modification, that: (b)製品安全に関する関連するEU規則又は国内規則が、何を実質的な変更とみなすかについての閾値を定めていない場合、次のものをいう:
(i) changes the product’s original performance, purpose or type, without that change having been foreseen in the manufacturer’s initial risk assessment; and (i) その変更が製造事業者の最初のリスクアセスメントで予見されることなく、製品の当初の性能、目的、または型式を変更すること。
(ii) changes the nature of the hazard, creates a new hazard or increases the level of risk. (ii) ハザードの性質を変更し、新たなハザードを生じさせ、またはリスクのレベルを増加させる。
CHAPTER II SPECIFIC PROVISIONS ON LIABILITY FOR DEFECTIVE PRODUCTS 第2章 欠陥製品に対する責任に関する具体的規定
Article 5 Right to compensation 第5条 補償を受ける権利
1. Member States shall ensure that any natural person who suffers damage caused by a defective product (the ‘injured person’) is entitled to compensation in accordance with this Directive. 1. 加盟国は、欠陥製品によって損害を被った自然人(「損害を被った者」)が本指令に従って補償を受ける権利を有することを保証するものとする。
2. Member States shall ensure that claims for compensation pursuant to paragraph 1 may also be brought by: 2. 加盟国は、第1項に基づく補償請求が以下によっても提起されることを確保するものとする:
(a) a person that succeeded, or was subrogated, to the right of the injured person by virtue of Union or national law or contract; or (a) 組合法もしくは国内法または契約により、損害を受けた者の権利を承継した者、または代位された者。
(b) a person acting on behalf of one or more injured persons by virtue of Union or national law. (b) 組合法又は国内法によって、1人又は複数の被害者を代理する者。
Article 6 Damage 第6条 損害
1. The right to compensation pursuant to Article 5 shall apply in respect of only the following types of damage: 1. 第5条に基づく補償を受ける権利は、次の種類の損害についてのみ適用される:
(a) death or personal injury, including medically recognised damage to psychological health; (a) 死亡又は人身傷害(精神的健康に対する医学的に認められた損害を含む;
(b) damage to, or destruction of, any property, except: (b) 財産に対する損害、または財産の破壊:
(i) the defective product itself; (i) 欠陥製品そのもの;
(ii) a product damaged by a defective component that is integrated into, or inter-connected with, that product by the manufacturer of that product or within that manufacturer’s control; (ii) その製品の製造事業者またはその製造事業者の管理下にある、その製品に組み込まれた、またはその製品と相互に接続された欠陥部品によって損害を受けた製品;
(iii) property used exclusively for professional purposes; (iii) 専ら業務目的に使用される財産;
(c) destruction or corruption of data that are not used for professional purposes. (c) 業務目的に使用されないデータの破壊または破損。
2. The right to compensation pursuant to Article 5 shall cover all material losses resulting from the damage referred to in paragraph 1 of this Article. The right to compensation shall also cover non-material losses resulting from the damage referred to in paragraph 1 of this Article, in so far as they can be compensated for under national law. 2. 第5条に基づく補償を受ける権利は、本条第1項にいう損害に起因するすべての物的損失を対象とする。補償を受ける権利は、国内法に基づき補償され得る限りにおいて、本条第1項にいう損害に起因する非物質的損失も対象とする。
3. This Article does not affect national law relating to compensation for damage under other liability regimes. 3. 本条は、他の責任制度に基づく損害賠償に関する国内法に影響を及ぼさない。
Article 7 Defectiveness 第7条 瑕疵担保責任
1. A product shall be considered defective where it does not provide the safety that a person is entitled to expect or that is required under Union or national law. 1. 製品が、人が期待する権利を有する安全性を提供しない場合、または連合法もしくは国内法の下で要求される安全性を提供しない場合、その製品は欠陥があるとみなされるものとする。
2. In assessing the defectiveness of a product, all circumstances shall be taken into account, including: 2. 製品の欠陥性をアセスメントする際には、以下を含むすべての状況を考慮しなければならない:
(a) the presentation and the characteristics of the product, including its labelling, design, technical features, composition and packaging and the instructions for its assembly, installation, use and maintenance; (a)製品の表示、デザイン、技術的特徴、構成、包装、組み立て、設置、使用、保守に関する説明書など、製品の表示および特性;
(b) reasonably foreseeable use of the product; (b) 合理的に予測可能な製品の使用;
(c) the effect on the product of any ability to continue to learn or acquire new features after it is placed on the market or put into service; (c) 製品が上市または使用開始された後、新しい機能を継続的に学習または習得する能力が製品に及ぼす影響;
(d) the reasonably foreseeable effect on the product of other products that can be expected to be used together with the product, including by means of inter-connection; (d) 相互接続を含め、製品と共に使用されることが予想される他の製品が製品に及ぼす合理的に予見可能な影響;
(e) the moment in time when the product was placed on the market or put into service or, where the manufacturer retains control over the product after that moment, the moment in time when the product left the control of the manufacturer; (e) 製品が上市又は使用開始された時点、又はその時点以降も製造事業者が製品の管理を保持している場合は、製品が製造事業者の管理を離れた時点;
(f) relevant product safety requirements, including safety-relevant cybersecurity requirements; (f) 安全関連サイバーセキュリティ要件を含む、関連する製品安全要件;
(g) any recall of the product or any other relevant intervention relating to product safety by a competent authority or by an economic operator as referred to in Article 8; (g) 所轄認可当局又は第8条にいう経済的事業者による製品のリコール又は製品の安全性に関連するその他の介入;
(h) the specific needs of the group of users for whose use the product is intended; (h) 製品を使用することを意図している使用者グループの特定のニーズ;
(i) in the case of a product whose very purpose is to prevent damage, any failure of the product to fulfil that purpose. (i) 損害を防止することを目的とする製品の場合、製品がその目的を果たせないこと。
3. A product shall not be considered to be defective for the sole reason that a better product, including updates or upgrades for a product, has already been or is subsequently placed on the market or put into service. 3. 製品のアップデートまたはアップグレードを含む、より優れた製品が既に上市されている、またはその後上市もしくは使用開始されたという理由だけでは、製品に欠陥があるとはみなされない。
Article 8 Economic operators liable for defective products 第8条 欠陥製品に対する経済的事業者の責任
1. Member States shall ensure that the following economic operators are liable for damage in accordance with this Directive: 1. 加盟国は、以下の経済的事業者が本指令に従って損害賠償責任を負うことを確保するものとする:
(a) the manufacturer of a defective product; (a) 欠陥製品の製造事業者;
(b) the manufacturer of a defective component, where that component was integrated into, or inter-connected with, a product within the manufacturer’s control and caused that product to be defective, and without prejudice to the liability of the manufacturer referred to in point (a); and (b) 欠陥部品の製造者。当該部品が製造者の管理下にある製品に組み込まれ、または当該製品と相互に接続され、当該製品に欠陥を生じさせた場合、(a)の製造事業者の責任を損なうことなく。
(c) in the case of a manufacturer of a product or a component established outside the Union, and without prejudice to the liability of that manufacturer: (c) EU域外に設立された製品または部品の製造事業者の場合、当該製造事業者の責任を損なうことなく、次のいずれかに該当すること:
(i) the importer of the defective product or component; (i) 欠陥のある製品または部品の輸入事業者;
(ii) the authorised representative of the manufacturer; and (ii) 製造事業者の公認代表者。
(iii) where there is no importer established within the Union or authorised representative, the fulfilment service provider. (iii) 組合内に設立された輸入事業者又は公認代表者がいない場合は、履行サービスプロバイダ。
The liability of the manufacturer referred to in the first subparagraph, point (a), shall also cover any damage caused by a defective component where it was integrated into, or inter-connected with, a product within that manufacturer’s control. 第1号の(a)にいう製造事業者の責任は、欠陥のある部品がその製造事業者の管理下にある製品に組み込まれ、または相互に接続されていた場合に、欠陥のある部品によって生じた損害も対象とする。
2. Any natural or legal person that substantially modifies a product outside the manufacturer’s control and thereafter makes it available on the market or puts it into service shall be considered to be a manufacturer of that product for the purposes of paragraph 1. 2. 製造事業者の管理外の製品に実質的な変更を加え、その後、それを市場で入手可能にし、または使用可能にした自然人または法人は、第1項の適用上、その製品の製造者とみなされる。
3. Member States shall ensure that, where an economic operator from among those referred to in paragraph 1 and established in the Union cannot be identified, each distributor of the defective product is liable where: 3. 加盟国は、第1項にいう経済的事業者のうち組合内に設立された者を特定できない場合、欠陥製品の各頒布事業者が責任を負うことを確保するものとする:
(a) the injured person requests that distributor to identify an economic operator from among those referred to in paragraph 1 and established in the Union, or its own distributor that supplied it with that product; and (a) 損害を被った者が、当該頒布事業者に対し、第1項に規定され、かつ、域内に設立された経済的事業者、または当該製品を供給した自らの頒布事業者を特定するよう要請した場合。
(b) that distributor fails to identify an economic operator or its own distributor, as referred to in point (a), within one month of receiving the request referred to in point (a). (b) 当該頒布事業者が、(a)の要請を受けてから1カ月以内に、(a)の経済的事業者または自社の販売代理店を特定しなかった場合。
4. Paragraph 3 of this Article shall also apply to any provider of an online platform that allows consumers to conclude distance contracts with traders and that is not an economic operator, provided that the conditions set out in Article 6(3) of Regulation (EU) 2022/2065 are fulfilled. 4. 本条第3項は、規則(EU)2022/2065第6条第3項に定める条件を満たすことを条件に、消費者が販売者と遠隔契約を締結できるオンラインプラットフォームのプロバイダであって、経済的事業者でないものにも適用されるものとする。
5. Where victims fail to obtain compensation because none of the persons referred to in paragraphs 1 to 4 can be held liable under this Directive, or because the liable persons are insolvent or have ceased to exist, Member States may use existing national sectoral compensation schemes or establish new ones under national law, preferably not funded by public revenue, to appropriately compensate injured persons who have suffered damage caused by defective products. 5. 第1項から第4項で言及される者のいずれもが本指令に基づき責任を負うことができないため、または責任を負う者が支払不能であるもしくは消滅しているため、被害者が補償を得ることができない場合、加盟国は、欠陥製品によって損害を被った負傷者を適切に補償するために、既存の国内部門別補償制度を利用するか、または国内法に基づき、できれば公的財源を用いない新たな補償制度を設立することができる。
Article 9 Disclosure of evidence 第9条 証拠の開示
1. Member States shall ensure that, at the request of a person who is claiming compensation in proceedings before a national court for damage caused by a defective product (the ‘claimant’) and who has presented facts and evidence sufficient to support the plausibility of the claim for compensation, the defendant is required to disclose relevant evidence that is at the defendant’s disposal, subject to the conditions set out in this Article. 1. 加盟国は、欠陥製品に起因する損害について国内裁判所における手続において補償を請求する者(「請求者」)であって、補償の請求のもっともらしさを裏付けるのに十分な事実および証拠を提示した者の要請があった場合には、被告が、本条に定める条件に従い、被告の手元にある関連証拠を開示することを要求されることを確保する。
2. Member States shall ensure that, at the request of a defendant that has presented facts and evidence sufficient to demonstrate the defendant’s need for evidence for the purposes of countering a claim for compensation, the claimant is required, in accordance with national law, to disclose relevant evidence that is at the claimant’s disposal. 2. 加盟国は、被告が賠償請求に対抗する目的で証拠を必要とすることを示すのに十分な事実および証拠を提示した被告の要請があった場合には、国内法に従って、請求人が自由に入手できる関連証拠を開示するよう要求されることを確保するものとする。
3. Member States shall ensure that the disclosure of evidence pursuant to paragraphs 1 and 2, and in accordance with national law, is limited to what is necessary and proportionate. 3. 加盟国は、第1項および第2項に従い、国内法に従い、証拠の開示が必要かつ比例的なものに限定されることを確保するものとする。
4. Member States shall ensure that, when determining whether the disclosure of evidence requested by a party is necessary and proportionate, national courts consider the legitimate interests of all parties concerned, including third parties, in particular in relation to the protection of confidential information and trade secrets. 4. 加盟国は、当事者によって要求された証拠の開示が必要かつ相当なものであるか否かを判断する際、国内裁判所が、特に秘密情報および企業秘密の保護との関係において、サードパーティを含むすべての関係当事者の正当な利益を考慮することを確保するものとする。
5. Member States shall ensure that, where a defendant is required to disclose information that is a trade secret or an alleged trade secret, national courts are empowered, upon a duly reasoned request of a party or on their own initiative, to take the specific measures necessary to preserve the confidentiality of that information when it is used or referred to in the course of or after the legal proceedings. 5. 加盟国は、被告が営業秘密または営業秘密とされる情報の開示を要求される場合、各国の裁判所が、当事者の正当な理由のある要請に基づいて、または自らのイニシアティブにより、当該情報が訴訟手続の過程またはその後に使用されまたは言及される場合に、当該情報の秘密を保持するために必要な具体的措置をとる権限を有することを確保するものとする。
6. Member States shall ensure that, where a party is required to disclose evidence, national courts are empowered, upon a duly reasoned request of the opposing party or where the national court concerned deems it appropriate and in accordance with national law, to require such evidence to be presented in an easily accessible and easily understandable manner, if such presentation is deemed proportionate by the national court in terms of costs and effort for the required party. 6. 加盟国は、当事者が証拠を開示することを要求される場合、国内裁判所が、相手方当事者の正当な理由のある請求により、または当該国内裁判所が適切であり国内法に従っているとみなす場合には、当該証拠を、容易にアクセス可能で理解しやすい方法で提示することを要求する権限を有することを確保するものとする。
7. This Article does not affect national rules relating to the pre-trial disclosure of evidence, where such rules exist. 7. 本条は、公判前の証拠開示に関する国内規則が存在する場合には、当該国内規則に影響を与えない。
Article 10 Burden of proof 第10条 立証責任
1. Member States shall ensure that a claimant is required to prove the defectiveness of the product, the damage suffered and the causal link between that defectiveness and that damage. 1. 加盟国は、請求者が製品の欠陥、被った損害、および欠陥と損害との間の因果関係を証明することを要求されることを確保するものとする。
2. The defectiveness of the product shall be presumed where any of the following conditions are met: 2. 製品の欠陥は、以下の条件のいずれかが満たされた場合に推定されるものとする:
(a) the defendant fails to disclose relevant evidence pursuant to Article 9(1); (a) 被告が第9条第1項に従って関連証拠を開示しなかった場合;
(b) the claimant demonstrates that the product does not comply with mandatory product safety requirements laid down in Union or national law that are intended to protect against the risk of the damage suffered by the injured person; or (b) 損害を被った者が被った損害のリスクから保護することを意図した、連邦法または国内法に規定された製品安全に関する義務的要件に、製品が準拠していないことを、損害賠償請求者が証明する場合。
(c) the claimant demonstrates that the damage was caused by an obvious malfunction of the product during reasonably foreseeable use or under ordinary circumstances. (c) 損害が、合理的に予見可能な使用中または通常の状況下における製品の明白な誤作動によって生じたことを、請求者が証明する場合。
3. The causal link between the defectiveness of the product and the damage shall be presumed where it has been established that the product is defective and that the damage caused is of a kind typically consistent with the defect in question. 3. 製品の欠陥と損害との因果関係は、製品に欠陥があること、および生じた損害が当該欠陥に典型的に合致する種類のものであることが立証された場合に推定されるものとする。
4. A national court shall presume the defectiveness of the product or the causal link between its defectiveness and the damage, or both, where, despite the disclosure of evidence in accordance with Article 9 and taking into account all the relevant circumstances of the case: 4. 国内裁判所は、第9条に従った証拠の開示にもかかわらず、かつ、事件のすべての関連する状況を考慮に入れた場合、製品の欠陥性又はその欠陥性と損害との間の因果関係、又はその両方を推定する:
(a) the claimant faces excessive difficulties, in particular due to technical or scientific complexity, in proving the defectiveness of the product or the causal link between its defectiveness and the damage, or both; and (a) 請求者が、特に技術的または科学的な複雑さのために、製品の欠陥またはその欠陥と損害との因果関係、あるいはその両方を証明することが過度に困難である場合。
(b) the claimant demonstrates that it is likely that the product is defective or that there is a causal link between the defectiveness of the product and the damage, or both. (b) 請求者が、製品に欠陥がある可能性が高いこと、または製品の欠陥と損害との間に因果関係があること、あるいはその両方を証明すること。
5. The defendant shall have the right to rebut any of the presumptions referred to in paragraphs 2, 3 and 4. 5. 被告は、第2項、第3項および第4項で言及された推定について反論する権利を有する。
Article 11 Exemption from liability 第11条 責任の免除
1. An economic operator as referred to in Article 8 shall not be liable for damage caused by a defective product if that economic operator proves any of the following: 1. 第8条にいう経済的事業者は、欠陥製品によって生じた損害について、その経済的事業者が次のいずれかを証明する場合には、責任を負わない:
(a) in the case of a manufacturer or importer, that it did not place the product on the market or put it into service; (a) 製造事業者または輸入事業者の場合、製品を上市または使用しなかったこと;
(b) in the case of a distributor, that it did not make the product available on the market; (b) 頒布事業者の場合、その製品を市場で入手可能にしなかったこと;
(c) that it is probable that the defectiveness that caused the damage did not exist at the time the product was placed on the market, put into service or, in the case of a distributor, made available on the market, or that that defectiveness came into being after that moment; (c) 製品が上市され、使用され、頒布事業者の場合は市場で入手可能となった時点では、損害の原因となった欠陥が存在しなかったか、またはその欠陥がその時点以降に存在するようになった可能性が高いこと;
(d) that the defectiveness that caused the damage is due to compliance of the product with legal requirements; (d) 損害の原因となった欠陥が、製品の法的要件への適合によるものであること;
(e) that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered; (e) 製品が上市もしくは使用開始された時点、または製品が製造事業者の管理下にあった期間における科学的・技術的知見の客観的状況が、欠陥が発見できるようなものではなかったこと;
(f) in the case of a manufacturer of a defective component, as referred to in Article 8(1), first subparagraph, point (b), that the defectiveness of the product in which that component has been integrated is attributable to the design of that product or to the instructions given by the manufacturer of that product to the manufacturer of that component; (f) 第8条第1項第1号(b)にいう欠陥部品の製造事業者の場合、当該部品が組み込まれた製品の欠陥が、当該製品の設計又は当該製品の製造事業者が当該部品の製造事業者に与えた指示に起因すること;
(g) in the case of a person that modifies a product as referred to in Article 8(2), that the defectiveness that caused the damage is related to a part of the product not affected by the modification. (g) 第8条(2)に規定される製品の改造を行った者の場合、損害の原因となった欠陥が、改造の影響を受けない製品の一部に関連していること。
2. By way of derogation from paragraph 1, point (c), an economic operator shall not be exempted from liability where the defectiveness of a product is due to any of the following, provided that it is within the manufacturer’s control: 2. 第1項(c)の適用除外として、経済的事業者は、製造事業者の管理範囲内であることを条件として、製品の欠陥が以下のいずれかに起因する場合、責任を免除されない:
(a) a related service; (a) 関連サービス;
(b) software, including software updates or upgrades; (b) ソフトウェア(ソフトウェアのアップデートまたはアップグレードを含む;
(c) a lack of software updates or upgrades necessary to maintain safety; (c) 安全性を維持するために必要なソフトウェアの更新またはアップグレードの欠如;
(d) a substantial modification of the product. (d) 製品の大幅な改造。
CHAPTER III GENERAL PROVISIONS ON LIABILITY 第3章 責任に関する一般規定
Article 12 Liability of multiple economic operators 第12条 複数の経済的事業者の責任
1. Without prejudice to national law concerning rights of contribution or recourse, Member States shall ensure that where two or more economic operators are liable for the same damage pursuant to this Directive, they can be held liable jointly and severally. 1. 寄与権または求償権に関する国内法を害することなく、加盟国は、本指令に従って 2 者以上の経済的事業者が同一の損害について責任を負う場合、それらの者が連帯して責任を負うことができるようにするものとする。
2. A manufacturer that integrates software as a component in a product shall not have a right of recourse against the manufacturer of a defective software component that causes damage where: 2. 製品にコンポーネントとしてソフトウェアを統合する製造事業者は、以下の場合、損害の原因となる欠陥のあるソフトウェアコンポーネントの製造事業者に対する求償権を有しないものとする:
(a) the manufacturer of the defective software component was, at the time of the placing on the market of that software component, a microenterprise or a small enterprise, meaning an enterprise that, when assessed together with all of its partner enterprises as defined in Article 3(2) of the Annex to Commission Recommendation 2003/361/EC (21) and linked enterprises as defined in Article 3(3) of that Annex, if any, is a microenterprise as defined in Article 2(3) of that Annex or a small enterprise as defined in Article 2(2) of that Annex; and (a) 欠陥のあるソフトウェア・コンポーネントの製造者が、当該ソフトウェア・コンポーネントを上市した時点で、零細企業または小規模企業(欧州委員会勧告2003/361/EC (21)の附属書第3条(2)に定義されるパートナー企業、および同附属書第3条(3)に定義されるリンク企業がある場合はそのリンク企業のすべてと一緒にアセスメントした場合、同附属書第2条(3)に定義される零細企業または同附属書第2条(2)に定義される小規模企業である企業を意味する)であった場合。
(b) the manufacturer that integrated the defective software component in the product contractually agreed with the manufacturer of the defective software component to waive that right. (b) 製品に欠陥のあるソフトウェア部品を組み込んだ製造事業者が、欠陥のあるソフトウェア部品の製造事業者と、当該権利を放棄することに契約上合意している。
Article 13 Reduction of liability 第13条 責任の軽減
1. Without prejudice to national law concerning rights of contribution or recourse, Member States shall ensure that the liability of an economic operator is not reduced or disallowed where the damage is caused both by the defectiveness of a product and by an act or omission of a third party. 1. 寄与権または求償権に関する国内法を害することなく、加盟国は、損害が製品の欠陥およびサードパーティーの作為または不作為の両方によって生じた場合、経済的事業者の責任が減免されないことを確保するものとする。
2. The liability of an economic operator may be reduced or disallowed where the damage is caused both by the defectiveness of the product and by the fault of the injured person or any person for whom the injured person is responsible. 2. 経済的事業者の責任は、損害が、製品の欠陥と、損害を受けた者又は損害を受けた者が責任を負う者の過失との両方によって生じた場合には、減額又は免除することができる。
Article 14 Right of recourse 第14条 求償権
Where more than one economic operator is liable for the same damage, an economic operator that has compensated the injured person shall be entitled to pursue remedies against other economic operators liable pursuant to Article 8 in accordance with national law. 同一の損害について複数の経済的事業者が責任を負う場合、損害を被った者に賠償した経済的事業者は、国内法に従って、第8条に従って責任を負う他の経済的事業者に対して救済を求める権利を有する。
Article 15 Exclusion or limitation of liability 第15条 責任の排除または制限
Member States shall ensure that the liability of an economic operator pursuant to this Directive is not, in relation to the injured person, limited or excluded by a contractual provision or by national law. 加盟国は、本指令に基づく経済的事業者の責任が、損害を受けた者との関係において、契約上の規定または国内法によって制限または排除されないことを保証するものとする。
Article 16 Limitation period 第16条 制限期間
1. Member States shall ensure that a limitation period of three years applies to the initiation of proceedings to claim compensation for damage falling within the scope of this Directive. The limitation period shall run from the day on which the injured person became aware, or should reasonably have become aware, of all of the following: 1. 加盟国は、本指令の適用範囲に含まれる損害の補償を請求するための手続の開始に 3 年の制限期間が適用されることを保証するものとする。制限期間は、損害を受けた者が以下のすべてを認識した、または合理的に認識すべきであった日から起算するものとする:
(a) the damage; (a) 損害;
(b) the defectiveness; (b) 欠陥;
(c) the identity of the relevant economic operator that can be held liable for that damage under Article 8. (c) 第8条に基づき当該損害について責任を問われうる関連経済的事業者の特定。
2. National law regulating the suspension or interruption of the limitation period referred to in paragraph 1 shall not be affected by this Directive. 2. 第1項で言及される制限期間の停止または中断を規制する国内法は、本指令の影響を受けないものとする。
Article 17 Expiry period 第17条 無効期間
1. Member States shall ensure that an injured person is no longer entitled to compensation pursuant to this Directive upon the expiry of a period of 10 years, unless that injured person has, in the meantime, initiated proceedings against an economic operator that can be held liable pursuant to Article 8. That period shall run from: 1. 加盟国は、損害を被った者が、その間に第8条に従って責任を負うことができる経済的事業者に対して手続を開始した場合を除き、10 年の期間が満了した時点で、本指令に従って補償を受ける権利を喪失することを保証するものとする。当該期間は以下から起算されるものとする:
(a) the date on which the defective product which caused the damage was placed on the market or put into service; or (a) 損害の原因となった欠陥製品が上市または使用された日。
(b) in the case of a substantially modified product, the date on which that product was made available on the market or put into service following its substantial modification. (b) 実質的に変更された製品の場合は、その製品が市場で入手可能となった日、または実質的な変更後に使用可能となった日。
2. By way of exception from paragraph 1, where an injured person has not been able to initiate proceedings within 10 years of the dates referred to in paragraph 1 due to the latency of a personal injury, the injured person shall no longer be entitled to compensation pursuant to this Directive upon the expiry of a period of 25 years, unless that injured person has, in the meantime, initiated proceedings against an economic operator that can be held liable pursuant to Article 8. 2. 第1項の例外として、傷害を受けた者が人身傷害の潜伏期間により第1項で言及される日付から 10 年以内に手続を開始することができなかった場合、当該傷害を受けた者がその間に第8条に従って責任を負うことができる経済的事業者に対して手続を開始していない限り、当該傷害を受けた者は 25 年の期間が経過した時点で本指令に従って補償を受ける権利を失うものとする。
CHAPTER IV FINAL PROVISIONS 第4章 最終規定
Article 18 Derogation from development risk defence 第18条 開発リスク防御からの免除
1. Member States may, by way of derogation from Article 11(1), point (e), maintain in their legal systems existing measures whereby economic operators are liable even if they prove that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered. 1. 加盟国は、第11条(1)の(e)の規定の適用除外により、自国の法制度において、製品が上市もしくは使用開始された時点、または製品が製造事業者の管理下にあった期間における科学的および技術的知見の客観的状態が、欠陥が発見されるようなものではなかったことを証明した場合であっても、経済的事業者が責任を負う現行の措置を維持することができる。
Any Member State wishing to maintain measures in accordance with this paragraph shall notify the text of the measures to the Commission no later than 9 December 2026. The Commission shall inform the other Member States thereof. 本項に基づく措置を維持することを希望する加盟国は、2026年12月9日までに、措置の本文を欧州委員会に通知しなければならない。欧州委員会は、その旨を他の加盟国に通知する。
2. Member States may, by way of derogation from Article 11(1), point (e), introduce or amend in their legal systems measures whereby economic operators are liable even if they prove that the objective state of scientific and technical knowledge at the time the product was placed on the market or put into service or during the period in which the product was within the manufacturer’s control was not such that the defectiveness could be discovered. 2. 加盟国は、第11条第1項(e)の適用除外として、製品が上市もしくは使用開始された時点、または製造事業者の管理下にあった期間における科学的および技術的知見の客観的状態が、欠陥が発見されるようなものではなかったことを証明した場合であっても、経済的事業者が責任を負う措置を自国の法制度に導入または改正することができる。
3. The measures referred to in paragraph 2 shall be: 3. 第2項にいう措置は、次のとおりとする:
(a) limited to specific categories of products; (a) 特定のカテゴリーに限定される;
(b) justified by public interest objectives; and (b) 公益目的によって正当化される。
(c) proportionate in that they are suitable for securing the attainment of the objectives pursued and do not go beyond what is necessary to attain those objectives. (c) 追求される目的の達成を確保するために適切であり、かつ、当該目的を達成するために必要な範囲を超えないという点で、比例的であること。
4. Any Member State wishing to introduce or amend a measure referred to in paragraph 2 shall notify the text of the proposed measure to the Commission and shall provide a justification of how that measure complies with paragraph 3. The Commission shall inform the other Member States thereof. 4. 第2項にいう措置の導入または改正を希望する加盟国は、提案する措置の本文を欧州委員会に通知し、かつ、当該措置がいかに第3項に適合するかについての正当な理由を提出しなければならない。欧州委員会は、その旨を他の加盟国に通知する。
5. The Commission may, within six months of receiving a notification pursuant to paragraph 4, issue an opinion on the text of the proposed measure and the justification for that measure, taking into account any observations received from other Member States. The Member State wishing to introduce or amend that measure shall hold that measure in abeyance for six months following its notification to the Commission, unless the Commission issues its opinion earlier. 5. 欧州委員会は、第4項の規定による通告を受けてから6箇月以内に、他の加盟国から受領した意見を考慮して、提案された措置の本文および当該措置の正当性の根拠に関する意見を発表することができる。当該措置の導入または改正を希望する加盟国は、欧州委員会がそれ以前に意見を発表しない限り、欧州委員会への通告後6ヶ月間、当該措置を保留する。
Article 19 Transparency 第19条 透明性
1. Member States shall publish, in an easily accessible and electronic format, any final judgment delivered by their national courts of appeal or of the highest instance in proceedings launched pursuant to this Directive. The publication of such a judgment shall be carried out in accordance with national law. 1. 加盟国は、本指令に従って開始された手続において、自国の控訴裁判所または最高裁判所が下した最終判決を、容易にアクセス可能な電子形式で公表するものとする。当該判決の公表は国内法に従って行われるものとする。
2. The Commission shall set up and maintain an easily accessible and publicly available database containing the judgments referred to in paragraph 1. 2. 欧州委員会は、第1項で言及された判決を含む、容易にアクセス可能で一般に利用可能なデータベースを設置し、維持するものとする。
Article 20 Evaluation 第20条 評価
The Commission shall by 9 December 2030, and every five years thereafter, evaluate the application of this Directive and submit a report to the European Parliament, to the Council and to the European Economic and Social Committee. Those reports shall include information about the cost and benefits of the transposition of this Directive, a comparison with OECD countries and the availability of product liability insurance. 欧州委員会は、2030年12月9日まで、およびその後5年ごとに、本指令の適用を評価し、欧州議会、理事会、および欧州経済社会委員会に報告書を提出するものとする。これらの報告書には、本指令の移行の費用と便益、OECD加盟国との比較、製造物責任保険の利用可能性に関する情報を含めるものとする。
Article 21 Repeal and transitional provision 第21条 撤廃および経過措置
Directive 85/374/EEC is repealed with effect from 9 December 2026. However, it shall continue to apply with regard to products placed on the market or put into service before that date. 指令85/374/EECは2026年12月9日をもって廃止される。ただし、同日以前に上市または使用開始された製品に関しては、引き続き適用されるものとする。
References to the repealed Directive shall be construed as references to this Directive and shall be read in accordance with the correlation table set out in the Annex. 廃止された指令への言及は本指令への言及と解釈され、附属書に記載された相関表に従って読まれるものとする。
Article 22 Transposition 第22条 移植
1. Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive by 9 December 2026. They shall immediately inform the Commission thereof. 1. 加盟国は、2026年12月9日までに本指令を遵守するために必要な法律、規制および行政規定を発効させるものとする。加盟国は直ちにその旨を欧州委員会に通知するものとする。
When Member States adopt those measures, they shall contain a reference to this Directive or shall be accompanied by such a reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States. 加盟国がこれらの措置を採択する際には、本指令への言及を含めるか、または公式発表の際に当該言及を付すものとする。当該言及の方法は加盟国が定めるものとする。
2. Member States shall communicate to the Commission the text of the main measures of national law which they adopt in the field covered by this Directive. 2. 加盟国は、本指令が適用される分野で採択する国内法の主要な措置の本文を欧州委員会にコミュニケーションするものとする。
Article 23 Entry into force 第23条 施行
This Directive shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. この指令は、欧州連合の官報に掲載された翌日から20日目に発効する。
Article 24 Addressees 第24条 宛先
This Directive is addressed to the Member States. 本指令は加盟国宛である。
Done at Strasbourg, 23 October 2024. 2024年10月23日、ストラスブールにて制定される。
For the European Parliament 欧州議会宛
The President 議長
R. METSOLA R. メトソラ
For the Council 欧州理事会
The President 議長
ZSIGMOND B. P. ジグモンド・B・P

 

1_20241124130001

| | Comments (0)

米国 国防総省 サイバーセキュリティ成熟度モデル認証プログラムの最終規則 (2024.10.15)

こんにちは、丸山満彦です。

少し古くなってしまったのですが、米国国防総省の調達に関連するCMMCの最終規則。。。

日本の企業でも米国国防総省と取引をする会社は気にしないといけないですね...

調達全体の一部の話なので、調達全体の理解がないと、これだけ読んでもわからないことが多いと思いますが、とりあえず...

 

U.S. Department of Defense

・2024.10.11 Cybersecurity Maturity Model Certification Program Final Rule Published

Cybersecurity Maturity Model Certification Program Final Rule Published サイバーセキュリティ成熟度モデル認証プログラムの最終規則が公表される
Today, the final program rule for the Cybersecurity Maturity Model Certification (CMMC) Program was released for public inspection on federalregister.gov and is anticipated to be published in the Federal Register, Tuesday, October 15. 本日、サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの最終規則がfederalregister.govで公開され、10月15日(火)の連邦官報に掲載される予定である。
The purpose of CMMC is to verify that defense contractors are compliant with existing protections for federal contract information (FCI) and controlled unclassified information (CUI) and are protecting that information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats.  CMMCの目的は、防衛請負業者が連邦契約情報(FCI)と管理対象非機密情報(CUI)に対する既存の防御を遵守し、高度持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで情報を保護していることを検証することである。
This rule streamlines and simplifies the process for small-and medium-sized businesses by reducing the number of assessment levels from the five in the original program to three under the new program. この規則は、アセスメント・レベルの数を当初のプログラムの5段階から新プログラムの3段階に減らすことで、中小企業のプロセスを合理化・簡素化するものである。
This final rule aligns the program with the cybersecurity requirements described in Federal Acquisition Regulation part 52.204-21 and National Institute of Standards and Technology (NIST) Special Publications (SP) 800-171 Rev 2 and -172.  It also clearly identifies the 24 NIST SP 800-172 requirements mandated for CMMC Level 3 certification. この最終規則は、連邦調達規則パート 52.204-21 および国立標準技術研究所(NIST)の特別刊行物(SP)800-171 Rev 2 および -172 に記載されているサイバーセキュリティ要件とプログラムを整合させるものである。 また、CMMCレベル3認証に義務付けられている24のNIST SP 800-172要件も明確に識別している。
With the publication of this updated 32 CFR rule, DoD will allow businesses to self-assess their compliance when appropriate. Basic protection of FCI will require self-assessment at CMMC Level 1.General protection of CUI will require either third-party assessment or self-assessment at CMMC Level 2.A higher level of protection against risk from advanced persistent threats will be required for some CUI. This enhanced protection will require a Defense Industrial Base Cybersecurity Assessment Center led assessment at CMMC Level 3. この更新された 32 CFR 規則の公表により、DoD は、適切な場合、企業がそのコンプライアンスを自己評価できるようにする。FCIの基本的な防御には、CMMCレベル1での自己アセスメントが必要となる。CUIの一般的な防御には、サードパーティによるアセスメントかCMMCレベル2での自己アセスメントが必要となる。この強化された防御には、防衛産業基盤サイバーセキュリティ・アセスメント・センターが主導するCMMCレベル3のアセスメントが必要となる。
CMMC provides the tools to hold accountable entities or individuals that put U.S. information or systems at risk by knowingly misrepresenting their cybersecurity practices or protocols, or knowingly violating obligations to monitor and report cybersecurity incidents and breaches.  The CMMC Program implements an annual affirmation requirement that is a key element for monitoring and enforcing accountability of a company's cybersecurity status. CMMCは、サイバーセキュリティの慣行やプロトコルを故意に偽って伝えたり、サイバーセキュリティのインシデントや侵害を監視し報告する義務に故意に違反したりすることによって、米国の情報やシステムをリスクにさらした事業体や個人に責任を問うためのツールを提供する。 CMMCプログラムは、企業のサイバーセキュリティ状況を監視し、説明責任を実施するための重要な要素である年次確認要件を実施している。
With this revised CMMC Program, the Department also introduces Plans of Action and Milestones (POA&Ms).  POA&Ms will be granted for specific requirements as outlined in the rule to allow a business to obtain conditional certification for 180 days while working to meet the NIST standards. このCMMCプログラムの改訂に伴い、同省は行動計画とマイルストーン(POA&M)も導入する。 POA&Mは、NIST標準に適合するよう努力する間、企業が180日間条件付きで認証を取得できるよう、規則に概説された特定の要件に対して付与される。
The benefits of CMMC include: CMMCの利点は以下の通りである:
・Safeguarding sensitive information to enable and protect the warfighter ・機密情報を保護し、戦闘員を有効かつ保護する。
・Enforcing DIB cybersecurity standards to meet evolving threats DIB のサイバーセキュリティ標準を実施し、進化する脅威に対応す・る。
Ensuring accountability while minimizing barriers to compliance with DoD ・requirements ・国防総省の要件に準拠するための障壁を最小限に抑えながら、説明責任を確保する。
・Perpetuating a collaborative culture of cybersecurity and cyber resilience ・サイバーセキュリティとサイバーレジリエンスの協力的な文化を永続させる。
・Maintaining public trust through high professional and ethical standards ・高い専門性と倫理基準を通じて国民の信頼を維持する
The Department understands the significant time and resources required for industry to comply with DoD's cybersecurity requirements for safeguarding CUI and is intent upon implementing CMMC requirements to assess the degree to which they have done so.  The Department would like to thank all the businesses and industry associations that provided input during the public comment period.  Without this collaboration, it would not have been possible to meet our goals of improving security of critical information and increasing compliance with cybersecurity requirements while simultaneously making it easier for small and medium-sized businesses to meet their contractual obligations. 国防総省は、CUIを保護するための国防総省のサイバーセキュリティ要件を遵守するために産業界が多大な時間とリソースを必要としていることを理解しており、CMMCの要件を実施し、その程度を評価することを意図している。 国防総省は、パブリックコメント期間中に意見を提供してくれたすべての企業および業界団体に感謝したい。 このような協力がなければ、重要情報のセキュリティを改善し、サイバーセキュリティ要件への準拠を高めると同時に、中小企業が契約上の義務を果たしやすくするという目標を達成することはできなかっただろう。
Businesses in the defense industrial base should take action to gauge their compliance with existing security requirements and preparedness to comply with CMMC assessments.  Members of the defense industrial base may use cloud service offerings to meet the cybersecurity requirements that must be assessed as part of the CMMC requirement.  The DoD CIO DIB Cybersecurity Program has compiled a list of current resources available at dibnet.dod.mil under DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support. 防衛産業基盤に属する企業は、既存のセキュリティ要件へのコンプライアンスとCMMCアセスメントへの準備態勢を評価するために行動を起こすべきである。 防衛産業基盤のメンバーは、CMMC 要件の一部としてアセスメントされなければならないサイバーセキュリティ要件を満たすために、クラウドサービスを利用することができる。 国防総省 CIO DIB サイバーセキュリティ・プログラムは、dibnet.dod.mil の「DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support」に、現在利用可能なリソースのリストをまとめている。
The DoD's follow-on Defense Federal Acquisition Regulation Supplement (DFARS) rule change to contractually implement the CMMC Program will be published in early to mid-2025.  Once that rule is effective, DoD will include CMMC requirements in solicitations and contracts.  Contractors who process, store, or transmit FCI or CUI must achieve the appropriate level of CMMC as a condition of contract award.  More information on the timing of the proposed DFARS rule can be found at [web]. CMMCプログラムを契約的に実施するためのDoDの国防連邦調達規則補足(DFARS)規則変更は、2025年初頭から半ばにかけて公表される予定である。 この規則が発効すれば、国防総省はCMMCの要件を募集や契約に盛り込むことになる。 FCIまたはCUIを処理、保管、伝送する請負業者は、契約締結の条件として、適切なレベルのCMMCを達成しなければならない。 提案されているDFARS規則の時期に関する詳細は、 [web]
More information on the CMMC Program can be found at [web]. CMMCプログラムに関する詳細は、[web]

 

 

CMMCのウェブページ

U.S. DoD - CIO

Cybersecurity Maturity Model Certification

・・About CMC

 

1_20241124061401

About CMMC  CMMCについて
Cybersecurity is a top priority for the Department of Defense (DoD). The defense industrial base (DIB) faces increasingly frequent, and complex cyberattacks. To strengthen DIB cybersecurity and better safeguard DoD information, the DoD developed the Cybersecurity Maturity Model Certification (CMMC) Program to assess existing DoD cybersecurity requirements. サイバーセキュリティは国防総省(DoD)の最優先課題である。防衛産業基盤(DIB)は、ますます頻繁に、そして複雑なサイバー攻撃に直面している。DIBのサイバーセキュリティを強化し、DoDの情報をより良く保護するために、DoDは既存のDoDサイバーセキュリティ要件を評価するサイバーセキュリティ成熟度モデル認証(CMMC)プログラムを開発した。
Overview of the CMMC Program CMMC プログラムの概要
The CMMC Program aligns with the DoD’s existing information security requirements for the DIB. It is designed to enforce the protection of sensitive unclassified information shared by the Department with its contractors and subcontractors. The program provides the DoD with increased assurance that contractors and subcontractors are meeting the cybersecurity requirements for nonfederal systems processing controlled unclassified information. CMMC プログラムは、DIB に対する DoD の既存の情報セキュリティ要件と整合している。これは、国防総省が請負業者や下請業者と共有する機密性の高い非分類情報の保護を強化するために設計されている。このプログラムにより、国防総省は、請負業者および下請業者が管理対象非機密情報を処理する連邦政府のシステムに対するサイバーセキュリティ要件を満たしていることをより確実に保証することができる。
Key features of the CMMC Program: CMMC プログラムの主な特徴
Tiered Model: CMMC requires companies entrusted with sensitive unclassified DoD information to implement cybersecurity standards at progressively advanced levels, depending on the type and sensitivity of the information. The program also outlines the process for requiring protection of information flowed down to subcontractors. 階層モデル: CMMCは、国防総省の機密情報を預かる企業に対し、情報の種類と機密性に応じて、段階的に高度なレベルのサイバーセキュリティ標準を実施することを求めている。また、このプログラムでは、下請け企業に流される情報の保護を要求するプロセスの概要も示している。
Assessment Requirement: CMMC assessments allow the DoD to verify DIB implementation of existing cybersecurity standards. アセスメント要件: CMMC のアセスメントにより、DoD は既存のサイバーセキュリティ標準の DIB による実施を検証することができる。
Implementation through Contracts: DoD contractors and subcontractors handling sensitive unclassified DoD information must achieve a specific CMMC level as a condition of contract award. 契約による実施: 契約による実施:国防総省の請負業者および下請業者は、機密の非分類国防総省情報を扱う場合、契約締結の条件として特定の CMMC レベルを達成しなければならない。
Protected Information 保護情報
The CMMC model is designed to protect Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) shared with defense contractors and subcontractors during contract performance. CMMCモデルは、契約履行中に防衛請負業者および下請業者と共有される連邦契約情報(FCI)および管理対象非機密情報(CUI)を保護するように設計されている。
・Federal Contract Information (FCI): As defined in section 4.1901 of the Federal Acquisition Regulation (FAR), FCI is “information, not intended for public release, that is provided by or generated for the Government under a contract to develop or deliver a product or service to the Government, excluding information provided by the Government to the public (such as that on public websites) or simple transactional information, such as that necessary to process payments.” ・連邦契約情報(FCI): 連邦調達規則(FAR)のセクション 4.1901 で定義されているように、FCI は、「一般公開を意図していない情報であり、政府に対する製品またはサービスを開発または提供する契約に基づき、政府によって提供される、または政府のために生成される。
・Controlled Unclassified Information (CUI): As outlined in Title 32 CFR 2002.4(h), CUI is “information the Government creates or possesses, or that an entity creates or possesses for or on behalf of the Government, that a law, regulation, or Government-wide policy requires or permits an agency to handle using safeguarding or dissemination controls.” For more information regarding specific CUI categories and subcategories, see the DoD CUI Registry website. ・管理対象非機密情報(CUI): Title 32 CFR 2002.4(h)に概説されているように、CUI は、「政府が作成または保有する情報、あるいは事業体が政府のためにまたは政府を代表して作成または保有する情報であって、法律、規則、または政府全体の方針が、保護管理または普及管理を使用して取り扱うことを機関に要求または許可するもの」である。特定のCUIカテゴリーおよびサブカテゴリーに関する詳細は、DoD CUIレジストリのウェブサイトを参照のこと。
Overview of Assessments アセスメントの概要
The CMMC Program provides assessments at three levels, each incorporating security requirements from existing regulations and guidelines. CMMCプログラムでは、3つのレベルのアセスメントをプロバイダとして提供しており、各レベルには既存の規制やガイドラインのセキュリティ要件が盛り込まれている。
Level 1: Basic Safeguarding of FCI レベル1:FCIの基本的な保護
Requirements: Annual self-assessment and annual affirmation of compliance with the 15 security requirements in FAR clause 52.204-21. 要件 毎年セルフアセスメントを行い、FAR条項52.204-21の15のセキュリティ要件を遵守していることを毎年確認する。
Level 2: Broad Protection of CUI レベル2:CUIの広範な防御
Requirements: 要件:
1. Either a self-assessment or a C3PAO assessment every three years, as specified in the solicitation. 1. セルフアセスメントまたは C3PAO アセスメントのいずれかを、募集要項に指定されたとおりに 3 年ごとに実施すること。
 ・Decided by the type of information processed, transmitted, or stored on the contractor or subcontractor information systems. ・請負業者または下請業者の情報システムで処理、送信、または保存される情報の種類によって決定される。
2. Annual affirmation, verify compliance with the 110 security requirements in NIST SP 800-171 Revision 2. 2. 年1回の確認、NIST SP 800-171 Revision 2 の 110 のセキュリティ要件への準拠を検証する。
Level 3: Higher-Level Protection of CUI Against Advanced Persistent Threats レベル 3:高度な持続的脅威に対する CUI の高レベル防御
Requirements: 要件
1. Achieve CMMC Status of Final Level 2. 1. 最終レベル2のCMMCステータスを達成する。
2. Undergo an assessment every three years by the Defense Contract Management Agency’s Defense Industrial Base Cybersecurity Assessment Center (DIBCAC). 2. 防衛契約管理局の防衛産業基盤サイバーセキュリティアセスメントセンター(DIBCAC)によるアセスメントを 3 年ごとに受ける。
3. Provide an annual affirmation verifying compliance with the 24 identified requirements from NIST SP 800-172. 3. NIST SP 800-172 から識別された 24 の要件への準拠を検証する年次確認書を提出する。
   
CMMC Post-Assessment Remediation: Plans of Actions and Milestones CMMCのアセスメント後の是正: 行動計画とマイルストーン
The CMMC Program allows limited use of Plans of Action and Milestones (POA&Ms). CMMCプログラムでは、行動計画とマイルストーン(POA&M)の限定的な使用を認めている。
・Level 1: POA&Ms are not permitted. ・レベル1:POA&Mは許可されない。
・Level 2 and Level 3: Refer to §170.21 of the 32 CFR CMMC Program final rule for POA&M requirements, including critical requirements that cannot be included in a POA&M. ・レベル2およびレベル3:POA&Mに含めることができない重要な要求事項を含むPOA&Mの要求事項については、32 CFR CMMCプログラム最終規則の§170.21を参照のこと。
A POA&M closeout assessment is a CMMC assessment that evaluates only the NOT MET requirements identified in the initial assessment. The closing of a POA&M must be confirmed by a POA&M closeout assessment within 180 days of the Conditional CMMC Status Date. If the POA&M is not successfully closed out within this timeframe, the Conditional CMMC Status for the information system will expire. POA&Mのクローズアウトアセスメントは、最初のアセスメントで識別されたNOT MET要件のみを評価するCMMCアセスメントである。POA&Mのクローズは、条件付CMMCステータス日から180日以内にPOA&Mクローズアウトアセスメントによって確認されなければならない。この期間内にPOA&Mが正常に終了しなかった場合、情報システムの条件付CMMCステータスは失効する。
・Level 2 Self-Assessment: The POA&M closeout self-assessment shall be performed by the OSA in the same manner as the initial self-assessment. ・レベル2のセルフアセスメント: POA&M クローズアウトセルフアセスメントは、初回のセルフアセスメントと同じ方法で OSA が実施する。
・Level 2 Certification Assessment: The POA&M closeout certification assessment must be performed by an authorized or accredited C3PAO. ・レベル 2 認証アセスメント: POA&M クローズアウト認証アセスメントは、認可または認定された C3PAO が実施しなければならない。
・Level 3 Certification Assessment: The POA&M closeout certification assessment will be performed by DCMA DIBCAC. ・レベル 3 認証アセスメント: POA&M クローズアウト認証アセスメントは、DCMA DIBCAC によって実施される。
CMMC Implementation CMMCの実施
The CMMC Program implementation date is 60 days after the publication of the final Title 48 CFR CMMC acquisition rule. CMMC assessment requirements will be implemented using a four-phase plan over three years. The phases add CMMC Level requirements incrementally, starting with self-assessments in Phase 1 and ending with full implementation of program requirements in Phase 4. This phased approach allows time to train assessors and for companies to understand and implement CMMC assessment requirements. CMMCプログラムの実施日は、Title 48 CFR CMMCの最終取得規則の公表から60日後である。CMMCアセスメント要件は、3年間にわたる4段階計画で実施される。フェーズ1でのセルフアセスメントから始まり、フェーズ4でのプログラム要件の完全実施まで、段階的にCMMCレベルの要件が追加される。この段階的アプローチにより、アセスメント担当者を訓練し、企業がCMMCアセスメント要件を理解し実施するための時間を確保することができる。

 

CMMC Status Source & Number of Security Reqts. Assessment Reqts. Plan of Action & Milestones (POA&M) Reqts. Affirmation Reqts.
Level 1 (Self) 15 required by FAR clause 52.204-21 Conducted by Organization Seeking Assessment (OSA) annually Not permitted After each assessment
  Results entered into the Supplier Performance Risk System (SPRS)   Entered into SPRS
Level 2 (Self)
 
110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012 Conducted by OSA every 3 years Permitted as defined in § 170.21(a)(2) and must be closed out within 180 days After each assessment and annually thereafter
  Results entered into SPRS Final CMMC Status will be valid for three years from the Conditional CMMC Status Date Assessment will lapse upon failure to annually affirm
  CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4   Entered into SPRS
Level 2 (C3PAO)
 
110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012 Conducted by C3PAO every 3 years Permitted as defined in § 170.21(a)(2) and must be closed out within 180 days After each assessment and annually thereafter
  Results entered into CMMC Enterprise Mission Assurance Support Service (eMASS) Final CMMC Status will be valid for three years from the Conditional CMMC Status Date Assessment will lapse upon failure to annually affirm
  CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4   Entered into SPRS
Level 3 (DIBCAC)
  
110 NIST SP 800-171 R2 required by DFARS clause 252.204-7012 Pre-requisite CMMC Status of Level 2 (C3PAO) for the same CMMC Assessment Scope, for each Level 3 certification assessment Permitted as defined in § 170.21(a)(3) and must be closed out within 180 days After each assessment and annually thereafter
24 selected from NIST SP 800-172 Feb2021, as detailed in table 1 to § 170.14(c)(4) Conducted by DIBCAC every 3 years Final CMMC Status will be valid for three years from the Conditional CMMC Status Date Assessment will lapse upon failure to annually affirm
  Results entered into CMMC eMASS   Level 2 (C3PAO) affirmation must also continue to be completed annually
  CMMC Status will be valid for three years from the CMMC Status Date as defined in § 170.4   Entered into SPRS

 

CMMC Status 出典とセキュリティ要求数 アセスメント要件 行動計画&マイルストーン(POA&M)要求事項 アファメーションの必要条件
Level 1
(セルフ)
15 FAR条項52.204-21による要求 アセスメントを求める組織(OSA)により毎年実施される。 許可されない 各アセスメント後
  結果をサプライヤー・パフォーマンス・リスク・システム(SPRS)に入力する。   SPRSに登録される
Level 2
(セルフ)
 
110 DFARS条項252.204-7012により要求されるNIST SP 800-171 R2 3年ごとにOSAが実施する 170.21条(a)(2)で定義されている通り許可され、180日以内に終了しなければならない。 各審査後およびその後毎年アセスメント
  結果はSPRSに入力される 最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。 アセスメントは、毎年確認しなかった時点で失効する。
  CMMCステータスは、§170.4に定義されるCMMCステータス日から3年間妥当性確認される。   SPRSに記載される
Level 2
(C3PAO)
 
110 DFARS 第 252.204-7012 項により要求される NIST SP 800-171 R2 C3PAOにより3年毎に実施される。 170.21条(a)(2)に定義される通り許可され、180日以内に閉鎖されなければならない。 各審査後およびその後毎年アセスメント
  結果はCMMCエンタープライズミッション保証支援サービス(eMASS)に入力される。 最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。 アセスメントは、毎年確認しなかった時点で失効する。
  CMMCステータスは、§170.4に定めるCMMCステータス日から3年間有効である。   SPRSに登録される
Level 3
(DIBCAC)
  
110 DFARS 第 252.204-7012 条により要求される NIST SP 800-171 R2 レベル3の認証審査ごとに、同じCMMCアセスメントスコープでレベル2(C3PAO)のCMMCステータスが前提条件となる。 170.21条(a)(3)に定義される通り許可され、180日以内に終了しなければならない。 各審査後およびその後毎年アセスメント
170.14 条(c)(4)の表 1 に詳述されているように、NIST SP 800-172 Feb2021 から選択された 24 件 DIBCACにより3年毎に実施される。 最終CMMCステータスは、条件付CMMCステータス日から3年間有効である。 アセスメントは、毎年確認しなかった時点で失効する。
  結果はCMMC eMASSに入力される。   レベル2(C3PAO)の確認も毎年継続しなければならない
  CMMCステータスは、§170.4で定義されるCMMCステータス日から3年間有効である。   SPRSに登録される

 

1_20241124073601

 

 

・・CMMC Resources & Documentation

Internal Resources 内部リソース
CMMC 101 Brief CMMC101概要
CMMC Overview Briefing (Audio) CMMC概要説明(音声)
CMMC Model Overview CMMCモデル概要
CMMC Level 1 Scoping Guidance CMMCレベル1ガイダンス
CMMC Level 1 Self-Assessment Guide CMMCレベル1セルフアセスメントガイド
CMMC Level 2 Scoping Guidance CMMCレベル2スコーピング・ガイダンス
CMMC Level 2 Assessment Guide CMMCレベル2アセスメントガイド
CMMC Level 3 Scoping Guidance CMMCレベル3スコーピング・ガイダンス
CMMC Level 3 Assessment Guide CMMCレベル3アセスメントガイド
CMMC Hashing Guide CMMCハッシングガイド CMMCハッシングガイド
External Resources 外部リソース
CMMC Defense Federal Acquisition Regulation Supplement (DFARS) Proposed Rule CMMC 国防連邦調達規則補足(DFARS)提案規則
DFARS Clause 252.204-7012: Safeguarding Covered Defense Information and Cyber Incident Reporting DFARS条項252.204-7012: 対象となる防衛情報の保護およびサイバーインシデントの報告
DFARS Provision 252.204-7019: Notice of NIST SP 800-171 DoD Assessment Requirements DFARS条項252.204-7019:NIST SP 800-171 DoDアセスメント要件の通知
DFARS Clause 252.204-7020: NIST SP 800-171 DoD Assessment Requirements DFARS 規定 252.204-7020: NIST SP 800-171 DoD アセスメント要件
DFARS Clause 252.204-7021: TBD DFARS 条項 252.204-7021: 未定
NIST SP 800-171 Rev. 2: Protecting CUI in Nonfederal Systems NIST SP 800-171 改訂 2 版:連邦政府以外のシステムにおける CUI の保護
NIST SP 800-171A: Assessing Security Requirements for Controlled Unclassified Information NIST SP 800-171A: 管理対象非機密情報のセキュリティ要件のアセスメント
NIST SP 800-172: Enhanced Security Requirements for Protecting Controlled Unclassified Information NIST SP 800-172: 管理対象非機密情報を保護するための拡張セキュリティ要件
NIST SP 800-172A: Assessing Enhanced Security Requirements for Controlled Unclassified Information NIST SP 800-172A: 管理対象非機密情報の拡張セキュリティ要件のアセスメント
DoD CUI Program Website: DoD CUI Program 国防総省CUIプログラムのウェブサイト 国防総省CUIプログラム
Supplier Performance Risk System (SPRS) サプライヤー・パフォーマンス・リスク・システム(SPRS)
CMMC Accreditation Body Website: CMMC Accreditation Body CMMC認定団体ウェブサイト: CMMC認定団体
DODI 5200.48 – Controlled Unclassified Information: DODI 5200.48 DODI 5200.48 - 管理対象非機密情報: DODI 5200.48
DODI 5000.90 – Cybersecurity for Acquisition Decision Authorities and Program Managers: DODI 5000.90 DODI 5000.90 - 取得決定権者及びプログラム管理者のためのサイバーセキュリティ: DODI 5000.90
Executive Order on Improving the Nation’s Cybersecurity (May 12, 2021): Executive Order 国家サイバーセキュリティ向上に関する大統領令(2021年5月12日): 大統領令
Additional Resources その他のリソース
NIST SP 800-53: Security and Privacy Controls for Information Systems and Organizations NIST SP 800-53: 情報システムおよび組織のセキュリティおよびプライバシー管理
NIST Cybersecurity Framework (CSF) NISTサイバーセキュリティ枠組み(CSF)
Cybersecurity & Infrastructure Security Agency (CISA) Resources: CISA Resources サイバーセキュリティ・インフラセキュリティ庁(CISA)リソース: CISA リソース
Federal Risk and Authorization Management Program (FedRAMP) 連邦リスク認可マネジメントプログラム(FedRAMP)
National Defense Industrial Association (NDIA): NDIA Cybersecurity 全米防衛産業協会(NDIA): NDIA サイバーセキュリティ
Defense Acquisition University (DAU): DAU Cybersecurity Courses 国防調達大学(DAU): DAU サイバーセキュリティコース
CMMC Marketplace: CMMC Marketplace CMMCマーケットプレイス CMMCマーケットプレイス
Cybersecurity and Privacy Reference Tool (CPRT) サイバーセキュリティとプライバシーリファレンスツール(CPRT)

 

FAQ

 ・・CMMC FAQs

20241124-64042

ABOUT CMMC  CMMCについて
Q1. What is CMMC trying to address?  Q1. CMMCは何を目指しているのか?
A1. The defense industrial base (DIB) is the target of more frequent and complex cyberattacks.  CMMC is a key component of the Department’s expansive DIB cybersecurity improvement effort.  The program is designed to help ensure that defense contractors and subcontractors are compliant with existing information protection requirements for Federal Contract Information (FCI) and Controlled Unclassified Information (CUI) and are protecting that sensitive unclassified information at a level commensurate with the risk from cybersecurity threats, including advanced persistent threats.  A1. 防衛産業基盤(DIB)は、より頻繁で複雑なサイバー攻撃の標的となっている。CMMCは、国防総省の広範なDIBサイバーセキュリティ改善努力の重要な構成要素である。このプログラムは、防衛請負業者と下請け業者が連邦契約情報(FCI)と管理対象非機密情報(CUI)に対する既存の情報保護要件を遵守し、高度な持続的脅威を含むサイバーセキュリティの脅威からのリスクに見合ったレベルで機密非機密情報を保護していることを確認するのを支援するように設計されている。
Q2. Where can I find the 32 CFR CMMC Program rule?  Q2. 32 CFR CMMCプログラム規則はどこで入手できるか。
A2. The 32 CFR CMMC Program Rule can be found here. ([web] A2. 32 CFR CMMCプログラム規則は、([web])  にある。
Q3. Where can I find the 48 CFR CMMC Acquisition rule?  Q3. 48 CFR CMMC取得規則はどこで入手できるか?
A3. The 48 CFR CMMC Acquisition Rule can be found here. ([web]
A3. 48 CFR CMMC取得規則はここにある。([web]
Q4. Will companies need to comply with CMMC 1.0 after the revised program is implemented?  Q4. 改正プログラム実施後もCMMC 1.0に準拠する必要があるのか。
A4. No, there is only one CMMC Program.  The requirements have been revised since the initial publication, often referred to as “CMMC 1.0”.  A4. CMMCプログラムは1つしかない。要件は、しばしば 「CMMC 1.0 」と呼ばれる最初の発行から改訂されている。
Q5. Why did the DoD initiate rulemaking for CMMC?  Q5. なぜDoDはCMMCのルール作りを開始したのか?
A5. Rulemaking under Title 32 CFR is required to formally establish the DoD CMMC Program in regulation, and separate rulemaking under Title 48 CFR is required to update contractual requirements in the Defense Federal Acquisition Regulation Supplement (DFARS) to implement the program.  A5. DoDのCMMCプログラムを正式に規定するためには、Title 32 CFRに基づく規則制定が必要であり、プログラムを実施するためにDefense Federal Acquisition Regulation Supplement (DFARS)の契約要件を更新するためには、Title 48 CFRに基づく別の規則制定が必要である。
Q6. When will CMMC be required for Department of Defense contracts?  Q6. 国防総省の契約にCMMCが要求されるのはいつからか?
A6. CMMC will be implemented contractually in the DoD when the DFARS clause 252.204-7021 is revised, and 60 days after the 48 CFR rule is published as final in the Federal Register.  A6. CMMCは、DFARS条項252.204-7021が改訂され、48 CFR規則が連邦官報に最終版として掲載されてから60日後に、国防総省において契約上実施される。
Q7. Why did the Department revise CMMC?  Q7. なぜ国防総省はCMMCを改訂したのか?
A7. The Department revised CMMC in response to feedback from industry, Congress, and other stakeholders.  The DoD initiated an internal review of the program to focus on enhancing CMMC by (1) reducing costs, particularly for small businesses; (2) increasing trust in the CMMC assessment ecosystem; and (3) clarifying and aligning cybersecurity requirements to existing federal requirements and commonly accepted standards.  DoD designed the revised CMMC framework to meet these goals, align with FY 2020 congressional guidance.  A7. 国防総省は、産業界、議会、その他の利害関係者からのフィードバックに応じてCMMCを改訂した。DoDは、(1)特に中小企業にとってのコスト削減、(2)CMMCアセスメント・エコシステムに対する信頼の向上、(3)既存の連邦政府要件および一般に受け入れられている標準に対するサイバーセキュリティ要件の明確化および整合化によってCMMCを強化することに重点を置くため、プログラムの内部レビューを開始した。DoDは、これらの目標を達成し、2020年度議会のガイダンスに沿うように、改訂されたCMMC枠組みを設計した。
Q8. How much will it cost to implement CMMC?  Q8. CMMCの導入にはどれくらいの費用がかかるのか。
A8. The cost of implementing CMMC depends on various factors, including the CMMC level, the complexity of the DIB company’s unclassified network, and market forces.  However, costs incurred to meet existing contract requirements for safeguarding information (DFARS 252.204-7012) are not considered part of the CMMC implementation cost.  A8. CMMCの導入コストは、CMMCレベル、DIB企業の非機密ネットワークの複雑さ、市場原理など、さまざまな要因に依存する。ただし、情報保護に関する既存の契約要件(DFARS 252.204-7012)を満たすために発生したコストは、CMMCの導入コストの一部とは見なされない。
Q9. What resources are available to assist companies in complying with DoD cybersecurity requirements?  Q9. DoDのサイバーセキュリティ要件に準拠する企業を支援するために、どのようなリソースが利用可能か?
A9. The DoD provides various no-cost Cybersecurity-as-a-Service resources to reduce barriers to DIB community compliance and support contract cybersecurity efforts.  The DoD CIO DIB Cybersecurity Program has compiled a list of these services that is available at dibnet.dod.mil under DoD DIB Cybersecurity-As-A Service (CSaaS) Services and Support.  A9. 国防総省は、DIB コミュニティのコンプライアンスに対する障壁を減らし、契約のサイバーセキュリティの取り組みを支援するために、さまざまな無償のサイバーセキュリティ・アズ・ア・サービス・リソースを提供している。国防総省 CIO DIB サイバーセキュリティ・プログラムは、これらのサービスのリストをまとめており、dibnet.dod.mil の「DoD DIB Cybersecurity-As-A Service (CSaaS) Services and Support」で入手できる。
CMMC MODEL  CMMC モデル
Q10. How will my organization know what CMMC level is required for a contract?  Q10. 契約に必要な CMMC レベルはどのようにして知ることができるのか。
A10. Once CMMC is implemented, the DoD will specify the required CMMC level in the solicitation and the resulting contract.  A10. CMMCが導入されると、DoDは、募集とその結果の契約に必要なCMMCレベルを指定する。
Q11. What is the relationship between National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171 and CMMC?  Q11. 国立標準技術研究所(NIST)の特別刊行物(SP)800-171とCMMCの関係は?
A11. DoD requires defense contractors’ compliance with NIST SP 800-171 security requirements through inclusion of DFARS clause 252.204-7012 in contracts.  CMMC assessment requirements will be included in DoD solicitations when the revised Title 48 CFR CMMC acquisition rule (DFARS 252.204-7021) becomes effective.  Defense contractors will be required to undergo a self-assessment or a third-party assessment to determine whether that defense contractor has met applicable NIST SP 800-171 requirements.  A11. DoDは、契約にDFARS条項252.204-7012を含めることにより、防衛請負業者がNIST SP 800-171セキュリティ要件に準拠することを要求している。CMMCアセスメント要件は、改正Title 48 CFR CMMC取得規則(DFARS 252.204-7021)が発効した時点で、DoDの募集に含まれることになる。国防請負業者は、該当する NIST SP 800-171 の要件を満たしているかどうかを判断するために、セルフアセスメントまたはサードパーティによるアセスメントを受けることが要求される。
Q12. What is the relationship between National Institute of Standards and Technology (NIST) Special Publication (SP) 800-172 and CMMC?  Q12. 国立標準技術研究所(NIST)の特別刊行物(SP)800-172とCMMCの関係はどのようになっているか。
A12. NIST SP 800-172 provides security requirements designed to address advanced persistent threats and forms the basis for CMMC level 3 security requirements.  Contractors must implement 24 requirements from NIST SP 800-172 when DoD identifies CMMC Level 3 as a contract requirement.  A12. NIST SP 800-172は、高度な持続的脅威に対処するために設計されたセキュリティ要件を提供し、CMMCレベル3セキュリティ要件の基礎を形成する。DoDがCMMCレベル3を契約要件として特定した場合、請負業者はNIST SP 800-172の24の要件を実装しなければならない。
Q13. The CMMC model uses NIST SP 800-171, Revision 2.  Will the Department update the program to use NIST SP 800-171, Revision 3?  Q13. CMMCモデルはNIST SP 800-171、改訂2を使用している。国防総省は、NIST SP 800-171改訂3を使用するようにプログラムを更新するのか。
A13. The Department followed federal rulemaking guidelines when including NIST SP 800-171 Revision 2 in the Title 32 CFR CMMC rule.  The Department will incorporate Revision 3 with future rulemaking.  The Department has issued a class deviation to DFARS clause 252.204-7012 to allow contracting officials to assess against Revision 2 until Revision 3 has been incorporated through rulemaking.  You can find more info on that deviation here A13. 同省は、Title 32 CFR CMMC規則にNIST SP 800-171改訂2を含める際、連邦規則制定ガイドラインに従った。同省は、今後の規則制定で改訂3を取り入れる予定である。同省は、DFARS条項252.204-7012に対するクラス逸脱を発行し、改訂3が規則制定を通じて組み込まれるまで、契約担当者が改訂2に対してアセスメントできるようにしている。この逸脱に関する詳細は、こちらを参照されたい。
Q14. Will prime contractors and subcontractors be required to maintain the same CMMC level?  Q14. 元請けと下請けは同じCMMCレベルを維持する必要があるのか。
A14. No, a lower CMMC level may apply to the subcontractor if the prime only flows down limited information.  Additionally, if a prime contractor requires a CMMC level 3 certification, then a CMMC level 2 certification is the minimum requirement for CUI flowed down to the subcontractor, unless otherwise specified in the contract.  A14. 元請業者が限られた情報しか流さない場合、下請業者にはより低いCMMCレベルが適用される。さらに、元請業者がCMMCレベル3の認定を要求する場合、契約に別段の定めがない限り、CMMCレベル2の認定が下請業者にフローダウンされるCUIの最低要件となる。
Q15. What is the difference between FCI and CUI?  Q15. FCIとCUIの違いは何か?
A15. FCI is any information that is ‘not intended for public release,’ CUI is information that requires safeguarding and may also be subject to dissemination controls.  FCI is defined in FAR clause 52.204-21, and CUI is defined in Title 32 CFR Part 2002.  The Department’s CUI Quick Reference Guide includes additional information on the marking and handling of CUI.  A15. FCIは「一般公開を意図していない」情報であり、CUIは保護が必要な情報であり、また普及管理の対象となる場合もある。FCIはFAR条項52.204-21で定義され、CUIはTitle 32 CFR Part 2002で定義されている。同省のCUIクイック・リファレンス・ガイドには 、CUIのマーキングと取扱いに関する追加情報が記載されている。
Q16. Will the CMMC Program address proper marking of legacy FOUO information and CUI?  Q16. CMMCプログラムは、レガシーFOUO情報やCUIの適切なマーキングに対応するのか?
A16. Marking of legacy FOUO and CUI is outside the purview of the CMMC Program and the CMMC Program makes no change to information marking requirements.  The CUI Program was established federally through Title 32 CFR Part 2002 and within DoD through DoD Instruction 5200.48.  Not all, but some information previously marked as FOUO will qualify as CUI.  Contactors should seek DoD guidance to understand which legacy FOUO information should be marked and controlled as CUI.  A16. レガシーFOUOおよびCUIのマーキングは、CMMCプログラムの権限外であり、CMMCプログラムは情報のマーキング要件に変更を加えない。CUIプログラムは、連邦政府ではTitle 32 CFR Part 2002により、国防総省ではDoD Instruction 5200.48により確立された。すべてではないが、以前はFOUOとしてマークされていた情報の一部は、CUIとして適格となる。接触者は、どのレガシーFOUO情報がCUIとしてマークされ管理されるべきかを理解するために、DoDのガイダンスを求めるべきである。
ASSESSMENTS  アセスメント
Q17. How does my company become a C3PAO?  Q17. どのようにしてC3PAOになるのか?
A17. Interested organizations should refer to the CMMC AB website (currently Cyber AB) for additional information on becoming a candidate C3PAO.  A17. C3PAO候補になるための追加情報については、CMMC ABのウェブサイト(現在はCyber AB)を参照されたい。
Q18. What is the difference between authorized and accredited C3PAOs.  Q18. 認可C3PAOと認定C3PAOの違いは何か。
A18. The only difference between authorization and accreditation is the status of the CMMC Accreditation Body.  Prior to the CMMC AB achieving its full ISO/IEC 17011 compliance, the interim term “authorized” is used for C3PAOs.  A18. 認可と認定の唯一の違いは、CMMC認定団体のステータスである。CMMC ABがISO/IEC 17011への完全な適合を達成する前は、C3PAOに対して暫定的に「認可(authorized)」という用語が使用される。
Q19. How frequently will assessments be required?  Q19. アセスメントの頻度はどの程度か。
A19. Once CMMC is implemented through the Title 48 CFR rule, Level 1 selfassessments will be required on an annual basis and CMMC Levels 2 and 3 will be required every 3 years.  An affirmation of continued compliance is required for all CMMC levels at the time of assessment and annually thereafter.  A19. CMMCがTitle 48 CFR規則を通じて実施されると、レベル1のセルフ評価は年1回、CMMCレベル2と3は3年ごとに必要となる。すべてのCMMCレベルについて、アセスメント時およびその後毎年、遵守継続の確認が必要となる。
Q20. Who will perform independent CMMC assessments?  Q20. 独立したCMMCアセスメントは誰が行うのか?
A20. DoD will only accept CMMC Level 3 assessments provided by the DIBCAC and CMMC Level 2 assessments conducted by an authorized or accredited C3PAO.  C3PAOs shall use only certified CMMC assessors to conduct CMMC assessments.  A20. DoDは、DIBCACが提供するCMMCレベル3のアセスメントと、認可または認定されたC3PAOが実施するCMMCレベル2のアセスメントのみを受け入れる。C3PAOは、認定されたCMMCアセッサーのみを使用してCMMCアセスメントを実施しなければならない。
Q21. Will my organization need to be independently assessed if it does not handle CUI?  Q21. CUIを取り扱わない組織は、独立したアセスメントを受ける必要があるのか。
A21. No, if a DIB company does not process, store, or transmit CUI but does handle FCI, then only a CMMC Level 1 self-assessment would be required.  Contractors are required to safeguard information by inclusion of contract clauses such as FAR 52.20421 (for FCI) or DFARS 252.204-7012 (for CUI).  DoD’s intent under the CMMC Program is to require assessment against the required cybersecurity standards (i.e., NIST SP 800-171) only when safeguarding of CUI is required.  For some CUI, DoD will accept a self-assessment rather than requiring certification based on assessment by a C3PAO or the Government.  A21. DIB 企業が CUI を処理、保管、または送信しないが、FCI を取り扱う場合は、CMMC レベル 1 のセルフアセスメントのみが必要となる。請負業者には、FAR 52.20421(FCI用)またはDFARS 252.204-7012(CUI用)などの契約条項を含めることにより、情報を保護することが求められる。CMMCプログラムにおけるDoDの意図は、CUIの保護が要求される場合にのみ、要求されるサイバーセキュリティ標準(すなわち、NIST SP 800-171)に対するアセスメントを要求することである。一部の CUI については、DoD は、C3PAO またはガバナンスによるアセスメントに基づく認証 を要求するのではなく、セルフアセスメントを受け入れる。
Q22. Will CMMC independent assessments be required for classified systems and / or classified environments within the DIB?  Q22. DIB内の機密システムおよび/または機密環境に対して、CMMCの独立アセスメントは要求されるか?
A22. No, CMMC only applies to DIB contractors’ nonfederal systems unclassified networks that process, store, or transmit FCI or CUI.  A22. いいえ。CMMC は、FCI または CUI を処理、保管、または伝送する DIB 契約者の非フ ェデラル・システム非機密ネットワークにのみ適用されます。
Q23. Will the results of a DIB company’s assessment be made public?  Will the DoD be able to see assessment results?  Q23. DIB 企業のアセスメント結果は公開されるのか。DoD はアセスメント結果を見ることができるか。
A23. No, DIB companies’ assessments will not be made public. However, the DoD will have access to assessment information.  A23. DIB 企業のアセスメントは公開されない。ただし、DoD は評価情報にアクセスできる。
Q24. How much will CMMC certification assessment cost?  Q24. CMMC認証アセスメントの費用はいくらかかるのか。
A24. The cost of a CMMC Level 2 certification assessment will depend upon several factors, including the complexity of the DIB company’s unclassified network for the certification scope, and market forces.  DIBCAC assessments required for CMMC Level 3 certification will be conducted free of charge.  A24. CMMC レベル 2 認証アセスメントの費用は、認証範囲に対する DIB 企業の非機密ネットワークの複雑さ、市場動向など、いくつかの要因に左右される。CMMCレベル3認証に必要なDIBCACアセスメントは、無料で実施される。
Q25. When will we know which requirements are considered "critical" and won't be allowed in a Plan of Actions and Milestones (POA&M)?  Q25. どの要件が「クリティカル」とみなされ、行動計画およびマイルストーン(POA&M)で認められないかは、いつわかるのか。
A25. Critical requirements are identified in the Title 32 CFR CMMC final rule section §170.21.  A25. クリティカルな要求事項は、Title 32 CFR CMMC最終規則§170.21で特定される。
Q26. How would a company deal with operational requirements where full CMMC implementation breaks required information system functionality?  Q26. CMMCを完全に実施することにより、必要な情報システムの機能が損なわれるような運用上の要求事項には、どのように対処するのか。
A26. If an information system is not able to provide adequate information security, DoD CUI should not be processed, stored, or transmitted in or on that system.  A26. 情報システムが適切な情報セキュリティをプロバイダできない場合、DoD CUIをそのシステムで、またはそのシステム上で処理、保存、または伝送すべきではない。
Q27. Can DoD contractors implement NIST SP 800-171 Revision 3?  Q27. 国防総省の請負業者は NIST SP 800-171 改訂 3 版を実装できるか。
A27. Yes, DoD contractors can implement NIST SP 800-171 Revision 3 at will. But the CMMC assessment will still be conducted against NIST SP 800-171 Revision 2 using NIST SP 800-171A (June 2018) per the DoD and CMMC Assessment Methodology.  A27. はい、国防総省の請負業者は NIST SP 800-171 改訂第 3 版を自由に実施することができる。しかし、CMMCアセスメントは、DoDおよびCMMCアセスメント方法論に従って、NIST SP 800-171A(2018年6月)を使用してNIST SP 800-171改訂2に対して実施される。
Q28. What NIST SP 800-171 Revision 2 requirements would have to be implemented that are not covered in NIST SP 800-171 Revision 3?  Q28. NIST SP 800-171 改訂 3 でカバーされていない NIST SP 800-171 改訂 2 のどのような要求事項を実施しなければならないのか。
A28. Full compliance with NIST SP 800-171 Revision 3 does not automatically guarantee compliance with all aspects of NIST SP 800-171 Revision 2. To ensure compliance, contractors need to identify and implement any security requirements, and their assessment objectives, from NIST SP 800-171A (June 2018) that are not covered in NIST SP 800-171 Revision 3. This may include specific security requirements that were revised, removed, or altered in the transition from NIST SP 800-171 Revision 2 to NIST SP 800-171 Revision 3. Furthermore, NIST SP 800-171 Revision 3 includes numerous organization-defined parameters (ODP) – each ODP selection will impact the alignment with the corresponding security requirements or assessment objectives from NIST SP 800-171A (June 2018).  It is important to document and demonstrate compliance with the revision specified in your contract to meet all applicable requirements.  A28. NIST SP 800-171 改訂第 3 版への完全な準拠は、NIST SP 800-171 改訂第 2 版のすべての側面への準拠を自動的に保証するものではない。コンプライアンスを確保するために、請負業者は、NIST SP 800-171改訂3でカバーされていないNIST SP 800-171A(2018年6月)のセキュリティ要件とそのアセスメント目標を特定し、実施する必要がある。これには、NIST SP 800-171改訂2版からNIST SP 800-171改訂3版への移行において改訂、削除、変更された特定のセキュリティ要件が含まれる可能性がある。さらに、NIST SP 800-171改訂3には、多数の組織定義パラメータ(ODP)が含まれており、各ODPの選択は、NIST SP 800-171A(2018年6月)の対応するセキュリティ要求事項又はアセスメント目的との整合に影響を与える。適用されるすべての要件を満たすために、契約で指定された改訂に準拠していることを文書化し、証明することが重要である。
Q29. Does my cloud service provider (CSP) require FedRAMP authorization?  Q29. クラウドサービスプロバイダ(CSP)はFedRAMP認可を必要とするか?
A29. Yes, if the product/service provided by the CSP is used to process, store, or transmit Controlled Unclassified Information (CUI), the Cloud Service Offering (CSO) must meet FedRAMP Moderate, or equivalency requirements as determined by DoD policy at the time of the assessment.  A29. はい。CSPが提供する製品/サービスが管理対象非機密情報(CUI)の処理、保管、送信に使用される場合、クラウド・サービス・オファリング(CSO)はFedRAMP Moderate、またはアセスメント時にDoDポリシーが決定する同等要件を満たさなければならない。
Q30. An OSA stores CUI in a system provided by our Managed Service Provider. It is not a cloud offering. Does the MSP require its own CMMC assessment?  Q30. OSAが、マネージド・サービス・プロバイダーが提供するシステムにCUIを保存している。これはクラウド提供ではない。MSPは独自のCMMCアセスメントを必要とするか。
A30. No, but because CUI is stored in the MSP’s systems, the services provided are in scope for the OSA’s CMMC assessment and shall be assessed as part of the assessment. The MSP must satisfy all security requirements related to the processing, storage, or transmission of CUI. The MSP is not required to have its own CMMC assessment but may elect to perform its own self-assessment or undergo a certification assessment. The MSP’s assessment level and type need to be the same, or above, as the level and type specified in the OSA’s contract with the DoD and cover those assets that are in scope for the OSA’s assessment.  A30. MSPのシステム内にCUIが保管されているため、提供されるサービスはOSAのCMMCアセスメントの対象であり、アセスメントの一環として評価されなければならない。MSPは、CUIの処理、保管、または送信に関連するすべてのセキュリティ要件を 満たさなければならない。MSPは、独自のCMMCアセスメントを受ける必要はないが、独自のセルフアセスメ ントを実施するか、または認証アセスメントを受けることを選択できる。MSP のアセスメント・レベルおよびタイプは、OSA と国防総省との契約で指定されたレベルおよびタ イプと同じかそれ以上である必要があり、OSA のアセスメントの対象となる資産をカバーする。
Q31. We separately outsource our IT support to an MSP and our security tools are managed by a different MSSP.  No CUI is with either vendor. Are they required to be assessed?  Q31. ITサポートをMSPに委託し、セキュリティ・ツールは別のMSPが管理している。どちらのベンダーにもCUIはない。アセスメントが必要か。
A31. In both cases, the MSP and MSSP services provided are both considered ESPs are the services are assessed as a Security Protection Asset Critical.  A31. いずれの場合も、MSPとMSSPが提供するサービスは、いずれもESPとみなされ、そのサービスは「重要なセキュリティ保護資産(Security Protection Asset Critical)」として評価される。
Q32. Our MSP uses cloud tools to collect asset inventory, perform vulnerability scans, administer some assets, etc. Is the MSP a CSP?  Q32. 当社のMSPは、クラウドツールを使用して、資産インベントリの収集、脆弱性スキャンの実行、一部の資産の管理などを行っている。MSPはCSPか。
A32. No. The use of cloud tools to deliver a service does not make the MSP a CSP.  A32. サービスを提供するためにクラウド・ツールを使用したからといって、MSP が CSP になるわけではない。
Q33. Our MSP remotely accesses our on-premises and cloud environments. CUI is stored in both environments. Does the MSP require a CMMC certification?  Q33. 当社のMSPは、オンプレミスとクラウドの環境にリモート・アクセスする。CUIは両方の環境に保存されている。MSPはCMMC認証を必要とするか。
A33. No, as long as CUI is not processed, stored, or transmitted on MSP systems.  A33. MSPのシステム上でCUIが処理、保存、送信されない限り、必要ない。
Q34. We store CUI in the cloud and our MSP administers the environment. Is the MSP a CSP?  Q34. 当社はCUIをクラウドに保管し、MSPがその環境を管理している。MSPはCSPか。
A34. It depends on the relationships between the CSP, the MSP, and the OSA. If the cloud tenant is subscribed/licensed to the OSA (even if the MSP resells the service), then the MSP is not a CSP. If the MSP contracts with the CSP and further modifies the basic cloud service, then the MSP is a CSP and must meet applicable FedRAMP or equivalency requirements. A Cloud Service Provider (CSP) means an external company that provides cloud services based on cloud computing. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.  A34. CSP、MSP、およびOSAの関係による。クラウド・テナントがOSAにサブスクライブ/ライセンスされている場合(MSPがサービスを再販している場合でも)、MSPはCSPではない。MSPがCSPと契約し、基本クラウド・サービスをさらに変更する場合、MSPはCSPであり、適用されるFedRAMPまたは同等の要件を満たさなければならない。クラウド・サービス・プロバイダ(CSP)とは、クラウド・コンピューティングに基づくクラウド・サービスを提供する外部の企業をいう。クラウド・コンピューティングは、構成可能なコンピューティング・リソース(ネットワーク、サー バー、ストレージ、アプリケーション、サービスなど)の共有プールへのユビキタスで便利なオンデマンド のネットワーク・アクセスを可能にするモデルであり、最小限のマネージド・エフォートまたはサービ ス・プロバイダーの相互作用で迅速にプロビジョニングおよび解放できる。
Q35. CUI is processed, stored, and transmitted in a Virtual Desktop Infrastructure (VDI). Are the endpoints used to access the VDI in scope as CUI assets?  Q35. CUIは、仮想デスクトップ基盤(VDI)で処理、保存、転送される。VDIにアクセスするために使用されるエンドポイントは、CUI資産の範囲内か?
A35. An endpoint hosting a VDI client is considered an Out-of-Scope Asset if it is configured to not allow any processing, storage, or transmission of CUI beyond the Keyboard/Video/Mouse sent to the VDI client. Proper configuration of the VDI client must be verified. If the configuration allows the endpoint to process, store, or transmit CUI, the endpoint will be considered a CUI Asset and is in scope of the assessment.  A35. VDIクライアントをホストするエンドポイントは、VDIクライアントに送信されるキーボード/ビデオ/マウスを超えるCUIの処理、保存、送信を許可しないように構成されている場合、範囲外の資産とみなされる。VDIクライアントの適切な構成が検証されなければならない。構成によりエンドポイントがCUIを処理、保存、または送信できる場合、そのエンドポイントはCUIアセスメントとみなされ、アセスメントの対象となる。
IMPLEMENTATION  実装
Q36. How will the DoD implement CMMC?  Q36. DoDはCMMCをどのように実施するのか。
A36. Once the Title 32 CFR CMMC Program rule and the Title 48 CFR CMMC acquisition rule are effective, the DoD will implement CMMC requirements in 4 phases over a three-year period to reduce implementation risk.  The phased implementation plan is intended to address ramp-up issues, provide time to train the necessary number of assessors, and allow companies the time needed to understand and implement CMMC requirements.  It will also minimize financial impacts to defense contractors, especially small businesses, and disruption to the existing DoD supply chain.   A36. Title 32 CFR CMMC Program規則およびTitle 48 CFR CMMC取得規則が発効した後、DoDは、実施リスクを低減するために、3年間で4つのフェーズに分けてCMMC要件を実施する。段階的実施計画は、立ち上げの問題に対処し、必要な数の評価者を訓練する時間を提供し、企業がCMMC要件を理解し実施するのに必要な時間を確保することを意図している。また、防衛請負業者、特に中小企業への財政的影響や、既存の国防総省サプライチェーンへの混乱を最小限に抑える。
Following this phased implementation plan, solicitations and resulting defense contracts involving the processing, storing, or transmitting of FCI or CUI on a nonfederal system will have a CMMC level and assessment type requirement that a contractor must meet to be eligible for a contract award.    この段階的実施計画に従って、連邦政府以外のシステムでFCIまたはCUIを処理、保管、または送信することを含む募集およびその結果としての防衛契約には、契約締結の資格を得るために請負業者が満たさなければならないCMMCレベルおよびアセスメントタイプの要件が設けられる。 
Q37. How can businesses best prepare for CMMC implementation?  Q37. 企業はどのようにCMMC導入の準備をすればよいか。
A37. Whether your company has previously been awarded a DoD contract that includes DFARS clause 252.204-7012 or is brand new to DoD contracting, the best way to prepare for implementation of CMMC is to carefully conduct a self-assessment of your contractor-owned information systems to make sure you have implemented the necessary cybersecurity measures to comply with each requirement of FAR clause 52.204-21 or DFARS clause 252.204-7012.  Review the appropriate security requirements and carefully consider whether they have been implemented to secure any contractor-owned information systems which will be used to process, store, or transmit DoD controlled unclassified information during contract performance.  Before initiating an assessment, take corrective actions to meet any security requirements that necessitate implementation to comply with CMMC requirements. Companies may use cloud service offerings to meet the cybersecurity requirements that must be assessed as part of the CMMC requirement. The DoD CIO DIB Cybersecurity Program has compiled a list of current resources available at dibnet.dod.mil under DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support.  A37. 貴社が過去にDFARS条項252.204-7012を含むDoD契約を締結したことがあるにせよ、DoD契約に新規参入するにせよ、CMMCの実施に備える最善の方法は、FAR条項52.204-21またはDFARS条項252.204-7012の各要件に準拠するために必要なサイバーセキュリティ対策を実施しているかどうかを確認するために、請負業者が所有する情報システムのセルフアセスメントを慎重に実施することである。適切なセキュリティ要件を確認し、契約履行中に国防総省の管理対象非機密情報の処理、保存、送信に使用される請負業者が所有する情報システムのセキュリティ確保が実施されているかどうかを慎重に検討する。アセスメントを開始する前に、CMMC要件に準拠するために実施が必要なセキュリティ要件を満たすための是正措置を講じる。企業は、CMMC 要件の一部として評価されなければならないサイバーセキュリティ要件を満たすために、クラウドサービスを利用することができる。国防総省 CIO DIB サイバーセキュリティ・プログラムは、dibnet.dod.mil の「DoD DIB Cybersecurity-as-a-Service (CSaaS) Services and Support」で利用可能な最新のリソースのリストをまとめている。
Q38. Will CMMC apply to non-U.S. companies?  Q38. CMMCは米国以外の企業にも適用されるのか。
A38. Yes, when CMMC requirements are identified in DoD solicitations, they will apply to all companies performing under the resulting DoD contract.  A38. はい。DoDの募集においてCMMC要件が特定された場合、その結果生じるDoD契約の下で業務を行うすべての企業に適用される。
Q39. Can non-U.S. citizens or organizations be part of the CMMC Ecosystem, e.g., C3PAOs?  Q39. C3PAOなど、米国以外の市民や組織もCMMCエコシステムに参加できるか。
A39. Individuals and organizations that meet all requirements established under the  A39. Title32CFRのCMMCプログラム規則で定められたすべての要件を満たす個人および組織は、CMMCエコシステムの一員となることができる。
Title 32 CFR CMMC Program rule are eligible, as appropriate, to be members of the CMMC Ecosystem, regardless of nationality.  Title 32 CFR CMMC Program Ruleに定められたすべての要件を満たす個人および組織は、国籍に関係なく、CMMCエコシステムのメンバーになる資格がある。
Q40. Do foreign countries need to develop their own assessment and training organizations, then obtain CMMC Program acceptance agreements with the U.S.?  Q40. 外国は、自国のアセスメントおよびトレーニング組織を開発し、その後、米国とCMMCプログラム受入協定を締結する必要があるのか。
A40. No, foreign partners need not establish unique assessment, training, or a nonU.S. based CMMC program; rather, they can use the CMMC program established by the Title 32 CFR CMMC Program rule.  For instance, the Cyber AB may accredit, as appropriate, international organizations that meet all requirements established under the Title 32 CFR CMMC Program rule.  Non-U.S. companies may then choose to use either an approved U.S.-based or foreign-based C3PAO to assess them.  A40. 外国のパートナーは、独自のアセスメント、訓練、または米国をベースとしないCMMCプログラムを確立する必要はない。例えば、サイバーABは、Title 32 CFR CMMC Program規則の下で確立されたすべての要件を満たす国際組織を、必要に応じて認定することができる。その場合、米国以外の企業は、承認された米国を拠点とする C3PAO または外国を拠点とする C3PAO のいずれかを選択して評価を受けることができる。
Q41. Our corporate security team provides our SOC and monitors deployed security tools. They are not a part of our business unit or CAGE code, but we are all employees of the same company. Is the security team/SOC an External Service Provider?  Q41. 当社のコーポレート・セキュリティ・チームがSOCをプロバイダし、展開されているセキュリティ・ツールを監視している。彼らは当社の事業部門やCAGEコードには属していないが、全員が同じ会社の従業員である。セキュリティ・チーム/SOCは外部サービス・プロバイダか。
Possibly. In this context, EXTERNAL can include organizations within the same corporate entity; they do not need to be independent third parties. According to the CMMC Program, Controlled Unclassified Information (CUI) or Security Protection Data (SPD) (e.g., log data, configuration data) must be processed, stored, or transmitted on the External Service Provider (ESP) assets to be considered an ESP (170.4). In this case, the SOC is handling SPD on behalf of the Organizational Subunit (OSA). The organizational structure within the company will determine if the SOC is external to the OSA. Since the SOC is at a different organizational level and is not covered by the same CAGE code, it is likely to be considered an ESP. For the SOC to be considered an ESP during an assessment, a “service description and customer responsibility matrix (CRM)” are required.  It is also possible to assign a CAGE code and include the SOC in the assessment.  その可能性はある。この文脈では、EXTERNAL には同じ事業体内の組織を含めることができる。独立したサードパーティである必要はない。CMMCプログラムによると、管理対象非機密情報(CUI)またはセキュリティ防御データ(SPD)(例えば、ログデータ、構成データ)が、外部サービスプロバイダー(ESP)資産上で処理、保存、または送信されなければ、ESPとみなされない(170.4)。この場合、SOC は組織サブユニット(OSA)に代わって SPD を取り扱う。SOC が OSA の外部であるかどうかは、企業内の組織構造によって決定される。SOC は組織レベルが異なり、同じ CAGE コードの適用を受けないため、ESP とみなされる可能性が高い。アセスメントにおいてSOCがESPとみなされるためには、「サービス内容および顧客責任マトリックス(CRM)」が必要である。CAGE コードを割り当て、SOC をアセスメントに含めることも可能である。

 

 

 

 


 

官報...

Fedral Register

・2024.10.15 Cybersecurity Maturity Model Certification (CMMC) Program

 

仮訳..

.20241124-63330

・[DOCX][PDF]

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

国防総省の委託先の管理の話...

・2024.01.03 米国 国防総省 パブコメ サイバーセキュリティ成熟度認証規則案 (2023.12.26)

・2023.12.11 米国 国防総省 内部監察官室 請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

SP800-53, 171, 172関係...

・2024.11.17 米国 NIST SP 800-172 Rev.3(初公開ドラフト) 管理対象非機密情報保護のための拡張セキュリティ要件

・2024.05.20 米国 NIST SP 800-171 改訂 3 版 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版 管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3(最終ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版(初期公開ドラフト) 管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3(ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

 

| | Comments (0)

2024.11.23

CSA AIリスクマネジメント: 規制の枠を超えて考える

こんにちは、丸山満彦です。

CSAAIリスクマネジメントについての文書を公表しています。。。

この手の文書はたくさん出ていますが、特徴的な点として、附属書として、監査をする際のポイントを記載したものがかなりの分量であることですかね...

ISACAArtificial Intelligence Audit Toolkitを公表していますが、こちらは有料となっていますね...

 

さて、このAIリスクマネジメントの文書ですが、項目によって詳細な説明がある部分と薄い部分とマダラ模様のような気がします...まぁ、必要そうなところを先に分厚くしたのかもしれません...

 

Cloud Security Alliance

・2024.11.13 AI Risk Management: Thinking Beyond Regulatory Boundaries

AI Risk Management: Thinking Beyond Regulatory Boundaries AIリスクマネジメント: 規制の枠を超えて考える
While artificial intelligence (AI) offers tremendous benefits, it also introduces significant risks and challenges that remain unaddressed. A comprehensive AI risk management framework is the only way we can achieve true trust in AI. This approach will need to proactively consider compliance with improvements beyond the regulatory necessities. 人工知能(AI)は多大な恩恵をもたらす一方で、未解決の重大なリスクや課題ももたらす。包括的なAIリスクマネジメントの枠組みは、AIに対する真の信頼を実現する唯一の方法である。このアプローチでは、規制上の必要性を超えた改善によるコンプライアンスを積極的に検討する必要がある。
In response to this need, this publication presents a holistic methodology for impartially assessing AI systems beyond mere compliance. It addresses the critical aspects of AI technology, including data privacy, security, and trust. These audit considerations apply to a wide range of industries and build upon existing AI audit best practices. This innovative approach spans the entire AI lifecycle, from development to decommissioning. このニーズに応えるため、本書では単なるコンプライアンスを超えてAIシステムを公平にアセスメントするための総合的な方法論を提示する。データ・プライバシー、セキュリティ、信頼など、AI技術の重要な側面を取り上げている。これらの監査上の考慮事項は、幅広い業界に適用され、既存のAI監査のベストプラクティスを基礎としている。この革新的なアプローチは、開発から廃止まで、AIのライフサイクル全体に及ぶ。
The first part establishes a comprehensive understanding of the components used to assess AI end-to-end. It shares considerations for a broad range of technologies, enabling critical thinking and supporting risk assessment activities. パート1では、AIをエンド・ツー・エンドで評価するために使用されるコンポーネントの包括的な理解を確立する。広範なテクノロジーに関する検討事項を共有し、批判的思考を可能にし、リスクアセスメント活動を支援する。
The second part consists of appendices with potential questions corresponding to each technology covered in the first section. The questions are not exhaustive, but serve as guidelines to identify potential risks. The aim is to stimulate unconventional thinking and challenge existing assumptions, thereby enhancing AI risk assessment practices and increasing overall trustworthiness in intelligent systems. パート2は、パート2で取り上げた各技術に対応する潜在的な質問事項を記した附属書で構成されている。質問は網羅的なものではなく、潜在的なリスクを特定するためのガイドラインとなるものである。その目的は、型にはまらない思考を刺激し、既存の前提に挑戦することで、AIのリスクアセスメントの実践を強化し、インテリジェントシステム全体の信頼性を高めることにある。
Key Takeaways: 主な要点
・Fundamental concepts, principles, and vocabulary used to assess AI end-to-end ・AIをエンド・ツー・エンドで評価するために使用される基本的な概念、原則、語彙。
・Key metrics used to evaluate an intelligent systems ・インテリジェントシステムの評価に使用される主な指標
・The value of AI trustworthiness beyond regulatory compliance ・規制遵守を超えたAIの信頼性の価値
・How to assess risk during all stages of the AI lifecycle, including development, deployment, monitoring, and decommissioning ・開発、展開、モニタリング、デコミッショニングを含むAIライフサイクルの全ステージにおけるリスクアセスメントの方法
・Key factors that contribute to effective AI governance  ・効果的なAIガバナンスに寄与する主な要因 
・How to comply with global AI regulations such as the General Data Protection Regulation (GDPR) and EU AI Act ・一般データ保護規則(GDPR)やEU AI法などのグローバルなAI規制を遵守する方法
・Specific aspects to consider when evaluating an AI system, including AI infrastructure, sensors, data storage, communication interfaces, control systems, privacy methods, and much more ・AIインフラ、センサー、データ・ストレージ、コミュニケーション・インターフェイス、制御システム、プライバシーの方法など、AIシステムを評価する際に考慮すべき具体的な側面。
・Assessment questions pertaining to the above concepts ・上記概念に関連するアセスメント問題

 

簡単な登録でダウンロードできます...

 

20241123-103607

・[DOCX][PDF] 仮訳

 

目次...

AI Risk Management: Thinking Beyond Regulatory Boundaries AIリスクマネジメント:規制の枠を超えて考える
Introduction 序文
Executive Summary エグゼクティブサマリー
Parts 1 and 2: How They Play Together パート1と2:どのように連携して利用するか
Definitions 定義
AI Resilience: Robustness, Resilience, and Plasticity AIレジリエンス:ロバスト性、レジリエンス、可塑性
Intelligent Systems: AI Systems, AI Agents, and Robots インテリジェント・システム:AIシステム、AIエージェント、ロボット
Accountability, Responsibility, and Liability 説明責任、責任、賠償責任
Assess the Auditor 監査人のアセスメント
AI Governance AIガバナンス
Applicable Laws, Regulations, and Standards 適用法、規制、標準
Use Cases as the Starting Point 出発点としてのユースケース
Infrastructure for Intelligent Systems インテリジェント・システム・インフラ
Data Processing Unit データ処理ユニット
The Role of Sensors センサーの役割
The Role of Data データの役割
The Role of Supply Chains サプライチェーンの役割
Data and Privacy データ・プライバシー
Data and Copyright データと著作権
Data Sources データソース
Organic Versus Synthetic Data 有機データと合成データ
Data Quality データの質
Data Storage データ保管
Networking, Connectivity, and Communication Interfaces ネットワーキング、コネクティビティ、コミュニケーション・インターフェイス
Fog and Cloud Computing フォグ・コンピューティングとクラウド・コンピューティング
Software Components ソフトウェア・コンポーネント
Algorithms, Training Methods, and Models アルゴリズム、トレーニング方法、モデル
Algorithms and Models アルゴリズムとモデル
Frontiers フロンティア
Fine-Tuning and Validation of the Model モデルの微調整と妥当性確認
Overfitting and Generalization オーバーフィットと汎化
Fine-Tuning 微調整
Validation 妥当性確認
Model Robustness and Stability モデルの頑健性と安定性
Ongoing Maintenance 継続保守
Frontiers in Fine-Tuning and Model Validation 微調整とモデル妥当性確認の最前線
Actuators アクチュエーター
Power Supply 電源
User Interfaces ユーザ・インターフェース
Control Systems 制御システム
Safety Systems 安全システム
Security Systems セキュリティ・システム
Advanced Privacy Methods 高度なプライバシー手法
Development and Debugging 開発とデバッグ
End-User Training and Documentation エンドユーザ・トレーニングとドキュメンテーション
Documentation for the End-User エンドユーザ向け文書
(Mandatory) Training and Training Record Keeping for the End-User (義務)エンドユーザに対するトレーニングとトレーニング記録の保管
Deployment and Monitoring 展開とモニタリング
Decommissioning 廃止措置
Conclusion 結論
Appendices 附属書
Appendix 1: Audit Questions “Audit the Auditor” 附属書1:監査の質問 "監査人を監査する"
Appendix 2: Audit Questions “AI Governance” 附属書 2:監査の質問 "AI ガバナンス"
Appendix 3: Audit Questions “Accountability, Responsibility, and Liability” 附属書3:監査の質問 "説明責任、責任、賠償責任"
Appendix 4: Audit Questions “Laws, Regulations, and Standards” 附属書4:監査の質問 "法律、規制、標準"
Appendix 5: Audit Questions “AI Business Case” 附属書5:監査の質問 "AIビジネスケース"
Appendix 6: Audit Questions “AI Infrastructure” 附属書6:監査の質問 "AI インフラ"
Appendix 7: Audit Questions “Sensors” 附属書7:監査の質問 "センサー"
Appendix 8: Audit Questions “Data” 附属書8:監査の質問 "データ"
Appendix 9: Audit Questions “Data Processing Unit” 附属書9:監査の質問 "データ処理ユニット"
Appendix 10: Audit Questions “Data Storage” 附属書 10: 監査の質問 "データ保管"
Appendix 11: Audit Questions “Networking, Connectivity, and Communication Interfaces” 附属書 11:監査の質問 "ネットワーキング、コネクティビティ、コミュニケーション・インターフェイス"
Appendix 12: Audit Questions “Fog and Cloud Computing” 附属書 12:監査の質問 "フォグ・コンピューティングとクラウド・コンピューティング"
Appendix 13: Audit Questions “Software Components” 附属書 13:監査の質問 "ソフトウェア・コンポーネント"
Appendix 14: Audit Questions “Algorithms, Training, and Models” 附属書 14:監査の質問 "アルゴリズム、トレーニング、モデル"
Appendix 15: Audit Questions “Fine-Tuning and Validation” 附属書 15:監査の質問 "微調整と妥当性確認"
Appendix 16: Audit Questions “Actuators” 附属書 16:監査の質問 "アクチュエーター"
Appendix 17: Audit Questions “Power Supplies” 附属書 17:監査の質問 "電源"
Appendix 18: Audit Questions “User Interfaces” 附属書 18:監査の質問 "ユーザ・インターフェース"
Appendix 19: Audit Questions “Control Interfaces” 附属書 19:監査の質問 "コントロール・インターフェイス"
Appendix 20: Audit Questions “Safety Systems” 附属書 20:監査の質問 "安全システム"
Appendix 21: Audit Questions “Security Systems” 附属書 21:監査の質問 "セキュリティ・システム"
Appendix 22: Audit Questions “Development and Debugging” 附属書 22:監査の質問 "開発とデバッグ"
Appendix 23: Audit Questions “End-User Training and Documentation” 附属書 23:監査の質問 "エンドユーザのトレーニングと文書化"
Appendix 24: Audit Questions for “Deployment and Monitoring” 附属書 24:監査の質問 "展開とモニタリング "
Appendix 25: Audit Questions “Decommissioning” 附属書25:監査の質問 "廃止"
Abbreviations and Glossary 略語と用語集
Bibliography 参考文献

 

パワーポイントもあります...

概要レベルを把握するにはこちらが良いかもです...

20241123-103818

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.05 CSA-JC AI ワーキンググループ AIレジリエンス:AIの安全性に関する革命的なベンチマークモデル (2024.09.20) +過去分も...

 

| | Comments (0)

2024.11.19

欧州議会 標準が欧州のデジタル競争力を支える仕組み

こんにちは、丸山満彦です。

欧州議会のシンクタンクが、標準が欧州のデジタル競争力を支える仕組みという短い文書を公表しています。

思えば、社会を統一する際に、通貨や度量衡を揃えるというのは経済の発展のために重要なことなので、古くは秦の始皇帝が、中国大陸を統一したときに度量衡を統一したと言われていますよね。

そして、現在のMKS単位系[wikipedia]も1960年に国際的な標準になったようですね...

そういう意味で、標準は国際社会のインフラになっていくわけですが、そのインフラを抑えるというのは、国際社会を抑えるツールにもなり得るわけですよね...

ということで、標準というのは、「地政学的争点」、つまり安全保障にも関係してくるという話ですね...

なので、その国際標準をつくるチームが強い国が、国際競争上も有利になるということです。日本がどれほど国際標準づくりに力を国として入れているかは知りませんが...(一部の人は理解していて声をあげているように思いますが、派手さがないのと、地元の選挙の票につながらないテーマですからねぇ...)

 

European Parliament - Think Tank

・2024.11.05 How standards support Europe's digital competitiveness

How standards support Europe's digital competitiveness 標準が欧州のデジタル競争力を支える仕組み
Standards are voluntary guidelines, providing technical specifications for products, processes and services. They ensure a certain level of quality, enable interoperability, boost consumer confidence and remove trade barriers. Laws may prescribe standards as a preferred or mandatory requirement for compliance. In the digital sphere, their strategic importance has made them the focus of geopolitical competition. 標準は自主的なガイドラインであり、製品、プロセス、サービスの技術仕様を提供する。標準は一定レベルの品質を保証し、相互運用性を可能にし、消費者の信頼を高め、貿易障壁を取り除く。法律は、標準を遵守するための優先要件または必須要件として規定することができる。デジタル領域では、その戦略的重要性から地政学的競争の焦点となっている。

 

・[PDF]

20241119-53842

 

Why standards?  なぜ標準なのか?
Digital standards ensure that the products we use daily, ranging from WiFi routers to mobile phones, comply with prescribed technical specifications. Standards enable users to communicate with each other using digital technologies, safely and at a lower cost, while companies using them can integrate and compete in the global value chain. For instance, established mobile network standards, such as GSM (the Global System for Mobile Communications) and its successor standards (3G, 4G, 5G, ...), allow a user to phone any other user around the world, regardless of the type of phone. Standards also enable users to browse the worldwide web, to connect Bluetooth devices and, in the European Union, to use a USB-C charger for any mobile phone.  デジタル標準は、WiFiルーターから携帯電話に至るまで、我々が日常的に使用する製品が所定の技術仕様に準拠していることを保証する。標準によって、ユーザーはデジタル技術を使って安全かつ低コストで互いにコミュニケーションできるようになり、標準を使用する企業はグローバルなバリューチェーンで統合し、競争できるようになる。例えば、GSM(グローバル・システム・フォー・モバイル・コミュニケーションズ)やその後継標準(3G、4G、5G...)などの確立されたモバイル・ネットワーク標準は、ユーザーが携帯電話の種類に関係なく、世界中の他のユーザーと通話することを可能にする。標準はまた、ユーザーが世界中のウェブを閲覧したり、ブルートゥース・デバイスを接続したり、欧州連合(EU)ではUSB-C充電器をあらゆる携帯電話に使用したりすることを可能にする。
Standards provide a common language of agreed terms and definitions, they define organisational processes, set metrics for testing and performance, and define quality and safety requirements for products, as well as requirements for compatibility and interoperability. As such, they play an important role in digital industry development, allowing companies to share data and compete on the global markets. By promoting product and service security, building trust in emerging technologies and promoting innovation, they boost competitiveness in the European digital transition. They allow companies to be more efficient, reduce costs and focus their efforts on innovation. Synergies between standardisation, innovation and competitiveness seem to be particularly significant in the digital sector. 標準は、合意された用語と定義の共通言語を提供し、組織のプロセスを定義し、テストと性能の評価基準を設定し、製品の品質と安全性の要件を定義し、互換性と相互運用性の要件も定義する。そのため、デジタル産業の発展において重要な役割を果たし、企業がデータを共有し、グローバル市場で競争することを可能にする。製品やサービスの安全性を促進し、新興技術へのトラストを構築し、イノベーションを促進することで、欧州のデジタル移行における競争力を高める。これにより、企業はより効率的になり、コストを削減し、イノベーションに力を注ぐことができる。標準化、イノベーション、競争力の相乗効果は、デジタル分野で特に顕著であるように思われる。
Real market needs drive standards, industry therefore plays a key role in their development. Moreover, when combined with patents, such as standard essential patents (SEPs), standards generate royalties supporting innovation. Companies have an interest in competing to transform their patents to widely used standards, as this can lead to a financial virtuous circle. Standards are mostly developed by consensus in recognised, standard-setting organisations (SSOs), according to agreed principles. In addition to SSOs, industry consortia, such as the Blu-ray Disc Association, also create standards, which SSO may later publish (e.g. the PDF format). Some segments of the digital sector, such as software development, require a more open industry-oriented approach to standards development.
市場の真のニーズが標準を推進するため、産業界は標準の開発において重要な役割を果たす。さらに、標準必須特許(SEP)などの特許と組み合わせることで、標準はイノベーションを支えるロイヤルティを生み出す。企業は、自社の特許を広く使用される標準に変えるために競争することに関心があり、これは財政的な好循環につながるからである。標準は、そのほとんどが、合意された原則に従って、公認の標準設定機関(SSO)のコンセンサスによって開発される。SSOに加えて、Blu-ray Disc Associationのような業界コンソーシアムも標準を作成し、SSOが後に発行することもある(PDFフォーマットなど)。ソフトウェア開発など、デジタル分野の一部の分野では、標準開発によりオープンな業界指向のアプローチが必要とされている。
EU actors and priorities  EUの関係者と優先事項 
The process of developing European standards in support of reaching the goals of the European digital decade takes place through one of the three European standardisation organisations (ESOs), where stakeholders come together to reach a consensus:
欧州デジタル10年の目標達成を支援する欧州標準の開発プロセスは、3つの欧州標準化機構(ESO)のいずれかを通じて行われ、利害関係者がコンセンサスを得るために集まる: 
CEN (European Committee for Standardisation), an association of national standardisation bodies,  CEN(欧州標準化委員会):各国の標準化団体の連合体 
CENELEC (European Committee for Electrotechnical Standardisation), an association of national electro-technical committees, and CENELEC(欧州電気標準化委員会):各国の電気技術委員会の連合体
ETSI (European Telecommunications Standards Institute), a standards body dealing with telecommunications, broadcasting and other electronic communications networks and services. ETSI(欧州電気通信標準化機構):電気通信、放送、その他の電子通信ネットワークおよびサービスを扱う標準化団体
The High-level forum on European standardisation, a Commission expert group formed by representatives from the ESOs, industry, civil society and academia, steers the development of European standards, including for the digital single market. This structure was requested in the European standardisation strategy (ESS), which stressed the importance of standards in supporting innovation, better addressing the EU's strategic goals and leading on standards-setting to be more competitive at international level.   欧州標準化に関するハイレベルフォーラムは、ESO、産業界、市民社会、学界の代表者で構成される欧州委員会の専門家グループであり、デジタル単一市場向けを含む欧州標準の策定を主導している。この体制は、欧州標準化戦略(ESS)において要請されたものであり、イノベーションを支援し、EUの戦略目標によりよく対応し、国際的な競争力を高めるための標準設定を主導する上で、標準が重要であることを強調している。 
The EU multi-stakeholder platform on ICT standardisation is a specialised advisory expert group on all matters relating to implementation of ICT standardisation policies. Together with the Commission, the group develops an annual rolling plan for ICT standardisation, highlighting ICT standardisation needs. Standards for artificial intelligence have been high on the agenda in recent years, as well as standardisation for cybersecurity (e.g. to support implementation of the Cyber Resilience Act), data economy and data interoperability (e.g. supporting the European digital identity framework). The plan also looks at standardisation beyond 5G, at edge computing and intelligent transport systems.   ICT標準化に関するEUのマルチステークホルダー・プラットフォームは、ICT標準化政策の実施に関連するあらゆる事項に関する専門家グループである。同グループは欧州委員会とともに、ICT標準化に関する年次計画を策定し、ICT標準化の必要性を強調している。近年は、人工知能の標準化が重要な議題となっているほか、サイバーセキュリティ(例えば、サイバーレジリエンス法の実施を支援するため)、データ経済およびデータの相互運用性(例えば、欧州デジタルIDフレームワークを支援するため)の標準化も検討されている。この計画では、5Gの先の標準化、エッジコンピューティング、インテリジェント輸送システムにも注目している。 
Standards for the AI Act  AI法の標準化 
Article 40(2) of the European Union Artificial Intelligence Act (AI Act) oblige the Commission to 'issue, without undue delay, standardisation requests' covering requirements for high-risk AI systems, obligations for providers of general-purpose AI models, and obligations of providers of general-purpose AI models with systematic risk. High-risk AI systems or general-purpose AI models that conform to harmonised standards, shall be presumed to be in conformity with the requirements of the AI Act for high-risk AI systems. The Commission's standardisation request tasked the CEN and CENELEC with delivering the requested standards, including on risk-management systems, quality of data sets, robustness, cybersecurity and transparency, by 30 April 2025. CEN-CENELEC established a Joint Technical Committee for AI and published a work programme, as well as several standards 欧州連合(EU)の人工知能法(AI法)第40条2項は、欧州委員会に対し、高リスクのAIシステムに対する要求事項、汎用AIモデルのプロバイダに対する義務、系統的リスクを伴う汎用AIモデルのプロバイダに対する義務を網羅した「標準化要請を過度の遅滞なく発行する」ことを義務付けている。標準化された基準に適合する高リスクのAIシステムまたは汎用AIモデルは、高リスクのAIシステムに関するAI法の要件に適合していると推定される。欧州委員会の標準化要請は、CENおよびCENELECに対し、2025年4月30日までに、リスクマネジメントシステム、データセットの品質、堅牢性、サイバーセキュリティ、透明性を含む、要請された標準を提供することを課している。CEN-CENELECは、AIに関する合同技術委員会を設立し、作業計画といくつかの標準を発表した。
International dimension  国際的側面 
Standards are instrumental in addressing the challenges and opportunities of digital technologies. Therefore, the United Nations Industrial Development Organization underlines the need for a collaborative process and multi-stakeholder approach in standards development, to circumvent potential monopolies or abuse of dominant market position, and enable equitable digital transformation globally. However, as academics note, international technology standardisation is regarded as a space of geopolitical competition. In addition, the global adoption of digital technologies has intensified competition, especially because SEPs support innovation and benefit royalty holders.   標準は、デジタル技術の課題と機会に対処する上で重要である。そのため、国連工業開発機関は、潜在的な独占や市場支配的地位の乱用を回避し、世界的に公平なデジタル変革を可能にするため、標準開発における協調プロセスとマルチステークホルダー・アプローチの必要性を強調している。しかし、学者が指摘するように、国際的な技術標準化は地政学的競争の場とみなされている。加えて、デジタル技術の世界的な普及は競争を激化させており、特にSEPは技術革新を支援し、ロイヤルティ保有者に利益をもたらしている。 
he United Stated (US), China, and the EU have all recently aligned their standardisation policies with their strategic and political objectives. It seems that the US and China are each seeking technological supremacy and have both adopted a hybrid approach, where governments and the private sector cooperate in shaping international standards. According to experts, the EU seems to be seeking a 'careful equilibrium between competition on the one hand, and continued cooperation with rival states on the other'.   米国、中国、EUは最近、標準化政策をそれぞれの戦略的・政治的目標と整合させている。米国と中国はそれぞれ技術的覇権を求めており、政府と民間部門が協力して国際標準を形成するハイブリッド・アプローチを採用しているようだ。専門家によれば、EUは「一方では競争、他方ではライバル国との継続的な協力の間の慎重な均衡」を模索しているようだ。 
China's policy shift on standardisation took place in 2021. With its new policy, China dropped its top-down approach for a more collaborative public-private model, similar to the US. 5G standardisation was a key moment for China. Academics note the country 'began to challenge the regime of international standards which has been dominated by the US and partially by EU and Japan'. China is seeking to expand its influence in existing SSOs, like the International Telecommunication Union (ITU), but is also working to establish its own standardisation system based on its values, mostly with the Belt and Road Initiative 標準化に関する中国の政策転換は2021年に行われた。新しい政策により、中国はトップダウンのアプローチをやめ、米国と同様、より協力的な官民モデルを採用した。5Gの標準化は中国にとって重要な瞬間だった。学者たちは、中国が「米国と部分的にEUと日本が支配してきた国際標準の体制に挑戦し始めた」と指摘している。中国は、国際電気通信連合(ITU)のような既存のSSOにおける影響力を拡大しようとしているが、主に「一帯一路構想」とともに、自国の価値観に基づく独自の標準化システムの確立にも取り組んでいる。
China's push for 5G standardisation  中国による5G標準化の推進 
Researchers identified China's push for 5G standardisation as an important shift in its standardisation strategy, as it relied on intellectual property rights produced by Chinese technology firms. China managed to be the firstmover 'through aggressive investments and strong state support'. As experts note, this is directly visible in Huawei's presence in the ITU study group on fixed and mobile network protocols. Indeed, Huawei, with government support, has requested the highest number of applications for SEPs for 5G..  研究者は、中国の5G標準化の推進は、中国のテクノロジー企業が生み出した知的財産権に依存しており、標準化戦略における重要な転換であると指摘した。中国は「積極的な投資と強力な国家支援によって」先陣を切ることができた。専門家が指摘するように、これは、固定およびモバイルネットワークプロトコルに関するITU研究グループにおけるファーウェイの存在に直接現れている。実際、ファーウェイは政府の支援を受け、5G向けのSEPを最も多く申請している。
The US shifted its standardisation policy in 2023 from a traditional corporate-led approach toward stronger government engagement to counter China's tech rise. According to experts, the 2023 US National Standards Strategy aims at improving investment, promoting government participation in SSOs, addressing skill shortage and 'protecting the integrity and inclusivity of current standardization practices'. So far, private consortia like the Internet Engineering Task Force have driven US technological dominance. Experts note these consortia remain leading international SSOs in internet and networking standardisation..  米国は2023年、中国の技術台頭に対抗するため、標準化政策を従来の企業主導型から政府関与強化型へと転換した。専門家によると、2023年の米国国家標準化戦略は、投資の改善、SSOへの政府参加の促進、スキル不足への対応、「現在の標準化慣行の完全性と包括性の保護」を目的としている。これまでは、インターネット・エンジニアリング・タスク・フォースのような民間コンソーシアムが米国の技術的優位性を牽引してきた。専門家は、これらのコンソーシアムがインターネットとネットワーキングの標準化における国際的なSSOのリーダーであり続けていると指摘している。
The US and the EU are also trying to counterbalance China's rising influence in setting critical and emerging technologies' standards in the framework of the EU-US Trade and Technology Council (TTC). The TTC addressed this issue in late 2023 in a mapping exercise that identified common features of digital identities, in the context of emerging technologies standards in support of transatlantic cooperation.  米国とEUはまた、EU-米国貿易技術協議会(TTC)の枠組みの中で、重要技術や新興技術の標準設定における中国の影響力の高まりに対抗しようとしている。TTCは2023年後半、大西洋を越えた協力を支援するための新興技術標準の文脈で、デジタル・アイデンティティの共通特徴を特定するマッピング演習でこの問題に取り組んだ。

 

 


 

参考...

まるちゃんの情報セキュリティ気まぐれ日記

米国

・2024.07.31 米国 ホワイトハウス ファクトシート:重要新興技術のための国家標準戦略の実施

・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)

 

中国

・2024.09.21 中国 国家情報化発展報告 (2023) (2024.09.06)

・2024.08.31 中国 2025年までにIoT分野で30以上の新しい国家標準と業界標準を開発する見込み

・2022.08.04 中国 デジタルチャイナ開発報告書(2021年)

・2022.02.20 中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

 

 

| | Comments (0)

2024.11.18

オーストラリア サイバー・インフラセキュリティセンター 重要インフラ年次リスクレビュー 2024 (2024.11.05)

こんにちは、丸山満彦です。

オーストラリアのサイバー・インフラセキュリティセンターが2023年に引き続き「重要インフラ年次リスクレビュー」を公表しています。

  1. サイバー/情報
  2. サプライチェーン
  3. 物理的脅威
  4. 自然災害
  5. 人的脅威

の5つにわけて分析していますね...

 

Australia Cyber and Infrastracture Security Centre; CISC

・2024.11.05 2024 Critical Infrastructure Annual Risk Review

2024 Critical Infrastructure Annual Risk Review 2024 重要インフラ年次リスクレビュー
We are pleased to release the second edition of the Critical Infrastructure Annual Risk Review. We have published this review as part of Critical Infrastructure Security Month. 重要インフラ年次リスクレビューの第 2 版を発表する。我々は、重要インフラ安全保障月間の一環として、このレビューを発表した。
This edition addresses current and emerging risks to Australia’s critical infrastructure. 今回は、オーストラリアの重要インフラに対する現在のリスクと新たなリスクを取り上げる。
Australia’s critical infrastructure is under constant threat from disruption that, if not addressed, could greatly impact the essential services that Australians rely on. 豪州の重要インフラは、もし対策が講じられなければ、豪州国民が依存する重要サービスに大きな影響を及ぼしかねない障害による脅威に常にさらされている。
The latest Annual Risk Review looks at all hazards affecting our national critical infrastructure, including from: 最新の年次リスクレビューでは、以下のような、国の重要インフラに影響を及ぼすあらゆるリスクを取り上げている:
・trusted insiders ・信頼できる内部関係者
・cyber incidents​ ・サイバーインシデント
・supply chain vulnerabilities ・サプライチェーンの脆弱性
・natural hazards. ・自然災害
The review aims to support owners and operators of critical infrastructure develop a better understanding of the risks they face. It also outlines the importance of assessing potential impacts of these risks across each sector. The purpose is to build higher levels of resilience in the delivery of services. このレビューは、重要インフラの所有者や運営者が直面するリスクをよりよく理解することを支援することを目的としている。また、各セクターにおけるこれらのリスクの潜在的影響をアセスメントすることの重要性についても概説している。その目的は、サービス提供においてより高いレベルのレジリエンスを構築することである。
Through this Annual Risk Review, and other guidance to our stakeholders, we will continue to: この年次リスクレビューや、利害関係者に対するその他のガイダンスを通じて、我々は以下を継続する:
・raise our risk tolerance, as well as identify and reduce vulnerabilities in systems, operations and supply chains caused by the vast number of interconnected devices ・リスク許容度を高めるとともに、相互接続された膨大な数の機器に起因するシステム、業務、サプライチェーンの脆弱性を特定し、低減する。
・call out security risks ・セキュリティリスクの喚起
・improve our information sharing capabilities. ・情報共有能力を改善する。
This work supports Australia’s critical infrastructure owners and operators make informed decisions now and into the future. この活動は、オーストラリアの重要インフラ所有者および運用者が、現在および将来にわたって、十分な情報に基づいた意思決定を行えるよう支援するものである。

 

・[PDF] Critical Infrastructure Annual Risk Review - Second Edition November 2024

20241117-235716

 

目次...

Foreword まえがき
About the Cyber and Infrastructure Security Centre サイバー・インフラ・セキュリティ・センターについて
Introduction 序文
Critical Infrastructure Risk and Regulation 重要インフラのリスクと規制
Sector Interdependency セクター間の相互依存
Cyber / Information サイバー/情報
Supply Chain サプライチェーン
Physical 物理的リスク
Natural Hazard 自然災害
Personnel 人的
Looking Ahead 今後の展望

 

トニー・バーク内務大臣兼サイバーセキュリティ担当大臣のまえがき...

Foreword まえがき
I am pleased to introduce the Australian Government’s second edition of the Critical Infrastructure Annual Risk Review, a product that reflects on the breadth of threats and hazards facing Australia’s critical infrastructure, and addresses emerging and persistent risks impacting Australia’s national security and economic stability.  重要インフラ年次リスクレビューは、オーストラリアの重要インフラが直面する広範な脅威と危険を考察し、オーストラリアの国家安全保障と経済的安定に影響を与える新たなリスクと永続的な リスクを取り上げるものである。
This Critical Infrastructure Annual Risk Review serves to support a greater shared understanding of the risks faced by critical infrastructure owners and operators which, if not addressed, could impact the essential services all Australians rely on.  この「重要インフラ年次リスクレビュー」は、重要インフラの所有者と運営者が直面するリスクについての共通理解を深めることを支援するものであり、このリスクに対処しなければ、すべてのオーストラリア国民が依存する重要なサービスに影響を与える可能性がある。
Owners and operators of critical infrastructure need to maintain clear visibility of the extent of risks they face, including from cyber, personnel and physical threats, and from supply chain hazards and natural disasters. This review was designed to reach a diverse audience across all levels of enterprise, government, and the broader community.  重要インフラの所有者と運営者は、サイバー脅威、人的脅威、物理的脅威、サプライチェーンの危険や自然災害など、直面するリスクの程度を明確に把握する必要がある。この見直しは、エンタープライズ、政府、そしてより広範なコミュニティのあらゆるレベルの多様な聴衆に届くように設計された。
This yearsaw a number of cybersecurity incidentsimpact Australia’s critical infrastructure, caused inadvertently through human error or system failure, as well as from malicious activity. The consequences of incidents are increasingly causing enduring impacts beyond the initial disruption leading to longer-lasting disruption to capabilities. The incidents that have impacted Australia this year exemplify the vulnerabilities of interconnected networks and how cascading effects can flow through critical infrastructure dependencies, disrupting critical functions.  この数年、オーストラリアの重要インフラでは、悪意ある行為だけでなく、人為的ミスやシステム障害による不慮のサイバーセキュリティ事故が多発している。インシデントがもたらした影響は、当初の混乱にとどまらず、長期的な機能停止につながる永続的な影響をもたらすことが多くなっている。今年オーストラリアに影響を与えたインシデントは、相互接続されたネットワークの脆弱性と、重要インフラの依存関係を通じてどのように連鎖的な影響が流れ、重要な機能を混乱させるかを例証している。
Conflict and severe weather events have highlighted the vulnerability of domestic and international supply chains to disruptions, impacting supply lines and the availability of critical materials. Ensuring that resilience is built into how critical infrastructure delivers its services has never been more important.  紛争や悪天候は、国内外のサプライチェーンの脆弱性を浮き彫りにし、供給ラインや重要物資の入手に影響を与えた。重要インフラのサービス提供方法にレジリエンスを組み込むことが、かつてないほど重要になっている。
The Cyber and Infrastructure Security Centre collaboratesin the spirit of genuine partnershipswith governments, industry and the broader critical infrastructure community, to safeguard Australia’s critical infrastructure and to help critical infrastructure owners and operators to augment their understanding of the risk environment, while meeting their security obligations. Following extensive collaboration, I have also introduced the Cyber Security Legislative Package to parliament, which serves to address legislative gaps and take the next step to ensure Australia is on track to become a global leader in cybersecurity. Subject to the passage of thislegislation, Australia will have its first standalone Cyber Security Act, and the package will also progress and implement reforms under the Security of Critical Infrastructure Act 2018 (SOCI Act).  サイバー・インフラ・セキュリティ・オペレーションセンターは、政府、産業界、およびより広範な重要インフラ・コミュニティとの真のパートナーシップの精神に基づき、オーストラリアの重要インフラを保護し、重要インフラの所有者および運営者がリスク環境についての理解を深め、同時にセキュリティ義務を果たすことができるよう、協力している。また、広範な協力の結果、私はサイバーセキュリティ立法パッケージを議会に提出した。この立法パッケージは、立法上のギャップに対処し、オーストラリアがサイバーセキュリティのグローバルリーダーになるための次のステップを確実に踏み出すためのものである。この法案が可決されれば、オーストラリア初の独立したサイバーセキュリティ法が制定され、このパッケージは重要インフラ安全保障法2018(SOCI法)の改革も進展させ、実施することになる。
Our industry partners should be applauded for the steps already taken to enhance the security of their critical infrastructure assetsthrough targeted investmentsto recognise and address vulnerabilities, harden theirsystems and secure their data. Through strong industry partnerships, we will enhance risk maturity, meet regulatory obligations and achieve our vision of becoming a world leader in cyber security by 2030.  業界のパートナーは、脆弱性を認識し、対処し、システムを強化し、データを保護するための的を絞った投資を通じて、重要インフラ資産のセキュリティを強化するためにすでに講じられた措置を称賛されるべきである。業界の強力なパートナーシップを通じて、我々はリスクの成熟度を高め、規制上の義務を果たし、2030年までにサイバーセキュリティの世界的リーダーになるというビジョンを達成する。
Together we will build a more secure, prosperous and resilient nation. 私たちは共に、より安全で豊かなレジリエンスある国家を築いていく。

 

 

序文...

Introduction 序文
The second edition of the CISC’s Critical Infrastructure Annual Risk Review outlines the key risk-driven issues that have impacted the security of Australia’s critical infrastructure in 2024. Risk issues for each of the hazard categories outlined in the SOCI Act and accompanying rules for the Critical Infrastructure Risk Management Program (CIRMP) are included in the review.  CISC の重要インフラ年次リスクレビューの第 2 版は、2024 年のオーストラリアの重要イ ンフラのセキュリティに影響を与えたリスク主導型の主要問題の概要を示している。重要インフラ・リスク・マネジメント・プログラム(CIRMP)のSOCI法および付随規則に概説されているハザードカテゴリーごとのリスク問題がレビューに含まれている。
A challenging risk landscape  困難なリスク状況 
In the 2023 edition of the Annual Risk Review we identified that high levels of cyber incidents, instability in global supply chains, ongoing workplace skills shortages and disruption from severe weather events were key areas of concern for the security of Australia’s critical infrastructure. In 2024, this has continued, with an emergence of new risk challenges.  年次リスクレビューの2023年版では、高水準のサイバーインシデント、グローバルサプライチェーンの不安定性、継続的な職場のスキル不足、悪天候による混乱が、オーストラリアの重要インフラの安全にとって懸念される主要分野であることを明らかにした。2024年においても、この状況は続いており、新たなリスク課題が出現している。
Frequent cyber incidents have permeated across all critical infrastructure sectors, causing stoppages or disruptions to the integrity, availability or confidentiality of some infrastructure providers for periods of time.  頻発するサイバーインシデントがすべての重要インフラ部門に浸透し、一部のインフラプロバイダーの完全性、可用性、機密性が一定期間停止または中断する事態を引き起こしている。
Ongoing foreign interference of our critical infrastructure, including the targeting of vulnerable personnel and exploiting of new technology such as artificial intelligence (AI), is a principal security concern. Insider threat and risk management strategies will need to adapt.  脆弱性のある職員を標的にしたり、人工知能(AI)などの新技術を悪用したりするなど、重要インフラに対する継続的な外国からの干渉は、主要なセキュリティ上の懸念である。インサイダーの脅威とリスクマネジメント戦略は適応する必要がある。
The threat of politically motivated violence has elevated, including violence affecting our critical infrastructure. In August 2024, the Australian Security Intelligence Organisation (ASIO) raised the National Terrorist Threat Level to PROBABLE.  政治的な動機による暴力の脅威は、重要インフラに影響を及ぼす暴力を含めて高まっている。2024年8月、オーストラリア安全保障情報機構(ASIO)は、国家テロ脅威レベルを「可能性あり」に引き上げた。
Ongoing global conflicts continue to target critical infrastructure through direct military action and the use of grey zone tactics. Our global supply chains are being frequently disrupted by conflict, trade disputes and natural hazards, which will persist into 2025.  現在進行中の世界的な紛争は、直接的な軍事行動やグレーゾーン戦術の使用を通じて、重要インフラを標的にし続けている。グローバル・サプライチェーンは、紛争、貿易紛争、自然災害によって頻繁に中断され、それは2025年まで続くだろう。
Natural hazards events contributed to widespread service outages across Australia in 2024. Of note, severe storms and wind in Victoria disrupted energy and communication networks, and flooding cut off key supply chains in and out of Western Australia. A changing climate will require changes and resilience built into how critical infrastructure delivers its services. 
自然災害は2024年にオーストラリア全土で広範囲にサービス停止をもたらした。特に、ビクトリア州では激しい暴風雨と風によりエネルギーとコミュニケーションのネットワークが寸断され、西オーストラリア州では洪水により主要なサプライチェーンが寸断された。気候の変化により、重要なインフラがサービスを提供する方法にも変化とレジリエンスが求められる。
Our social and economic interconnectivity and rapid implementation of technologies is changing the nature of threats to national security, and introducing new, unconventional ones.  社会的・経済的な相互接続性とテクノロジーの急速な導入は、国家安全保障に対する脅威の性質を変え、従来とは異なる新たな脅威を導入している。
Challenges exist between and within sectors where there is a wide disparity in security maturity levels, regulation, approaches to information-sharing and disclosure, and where retrofitting new technological efficiencies into legacy infrastructure takes place.  セキュリティの成熟度、規制、情報共有や情報開示のアプローチに大きな格差があり、レガシー・インフラストラクチャに新技術の効率化を後付けするようなセクター間やセクター内に課題が存在する。
National security risk is business risk  国家安全保障リスクはビジネスリスクである 
Incidents affecting critical infrastructure have consequences for national security. We are seeing disruption to capabilities compounded when critical infrastructure is impacted, even if critical operations were not initially targeted or affected.  重要インフラに影響を及ぼすインシデントは、国家安全保障にも影響を及ぼす。重要なインフラが影響を受けると、たとえ重要な業務が当初は標的とされていなかったり、影響を受けていなかったりしても、能力への混乱がさらに深刻化する。
For example, cyber attacks that steal operational or personal information might not immediately disrupt delivery of critical services, but they can create a wider decline in reputation and confidence, not only for the entity impacted but also for other critical infrastructure sectors.  例えば、業務情報や個人情報を盗むサイバー攻撃は、直ちに重要なサービスの提供に支障をきたすことはないかもしれないが、影響を受けた事業体だけでなく、他の重要インフラ部門にも、より広範な評判や信頼の低下をもたらす可能性がある。
Targeting critical infrastructure could be used as a tactic to break down confidence in the nation’s ability to deliver critical services, or even to demonstrate a foreign state’s power to influence public support for conflict or support of allies.  重要インフラを標的にすることは、国家の重要サービス提供能力に対する信頼を失墜させるための戦術として、あるいは紛争や同盟国支援に対する国民の支持に影響を与える外国の力を示すための戦術として利用される可能性がある。
Critical infrastructure providers already manage a wide range of risks to their operations. A focus on national security risk may differ from the way entities have viewed risk in the past (for example, with financial or shareholding interests as a focal point). However, a framing of risk in this context (within existing risk management strategies) will improve Australia’s national security and socioeconomic resilience.  重要インフラプロバイダーは、すでに事業運営上のさまざまなリスクをマネジメントしている。国家安全保障上のリスクに焦点を当てることは、事業体がこれまで行ってきたリスクのとらえ方(例えば、金融や株式保有を中心としたとらえ方)とは異なるかもしれない。しかし、(既存のリスクマネジメント戦略の中で)このような文脈でリスクをとらえることは、オーストラリアの国家安全保障と社会経済のレジリエンスを改善することになる。
Interdependency exposes critical infrastructure to risk outside areas of control  相互依存は重要インフラを管理外のリスクにさらす 
It is easy to presume that our essential goods and services will always be available, and that the processes behind delivery are simple and predictable. When we need water or electricity, we simply turn on the tap or a switch. We tend not to consider the numerous natural and built systems and processes that ensure we get that product or service.  われわれの生活に不可欠な商品やサービスは常に利用可能であり、その提供プロセスは単純で予測可能であると思いがちである。水や電気が必要なとき、私たちは蛇口やスイッチをひねるだけだ。私たちは、その製品やサービスを確実に手に入れるための、自然で構築された多くのシステムやプロセスを考慮しない傾向がある。
We do not have a complete picture of the increasing number of ways the systems we rely on can be disrupted, nor of the full range of processes and end users supported by a product or service.  私たちは、私たちが依存しているシステムがどのように破壊されうるか、また製品やサービスがサポートするプロセスやエンドユーザーの全容を把握できていない。
Interconnectivity delivers measurable benefits, such as more efficiency, less resource use and the ability to automatically correct errors. However, interconnected networks may also involve more threat exposure, more severe consequences, unpredictable system behaviour, and more difficult recovery from disasters.  相互接続性は、効率性の向上、リソースの使用量の削減、エラーの自動修正機能など、測定可能なメリットをもたらす。しかし、相互接続されたネットワークは、より多くの脅威にさらされ、より深刻な結果を招き、予測不可能なシステム動作や災害からの復旧がより困難になる可能性もある。
Some critical infrastructure networks are complex and impossible to model accurately, with complicated global supply chains, energy and communications dependencies and the use of AI and automation in operational decision-making.  重要インフラ・ネットワークの中には、複雑なグローバル・サプライチェーン、エネルギーとコミュニケーションの依存関係、運用上の意思決定におけるAIと自動化の活用など、複雑で正確なモデルが不可能なものもある。
The resilience of infrastructure systems depends on all the connected systems, including third-party systems, and involves critical operational, corporate, physical and digital systems. In heavily interdependent networks it is almost certain that unanticipated failures will occur.  インフラシステムのレジリエンスは、サードパーティーのシステムを含む、接続されたすべてのシステムに依存し、重要な業務システム、企業システム、物理システム、デジタルシステムが関わっている。相互依存の激しいネットワークでは、予期せぬ障害が発生することはほぼ確実である。
We need to expect and prepare for the unexpected.  予期せぬ事態を想定し、それに備える必要がある。
Overview of methodology for cross-sector risk prioritisation  セクター横断的リスク優先順位付けの方法論の概要 
This report introduces a comparative visualisation of cross-sector risk prioritisation for each of the 5 hazard sections: Cyber/Information, Supply Chain, Physical, Natural Hazard and Personnel.  本報告書では、5つのハザードセクションそれぞれについて、セクター横断的なリスクの優先順位付けの比較可視化を紹介する: サイバー/情報」、「サプライチェーン」、「物理的」、「自然災害」、「人的」である。
Each graphic (Figs.2–6) plots the risk issues identified in this report under each hazard category against the CISC’s assessment of plausibility and damage.  各図(図2-6)は、各ハザードカテゴリーにおいて本報告書で特定されたリスク問題を、CISCのもっともらしい可能性と被害のアセスメントに照らしてプロットしたものである。
This may assist critical infrastructure owners and operators in the prioritisation of risk mitigations within and between each type of hazard.  これは、重要インフラの所有者および運用者が、各ハザードの種類内および種類間でリスク低減の優先順位を決める際に役立つと思われる。
This assessment draws on CISC’s insights into the national critical infrastructure risk landscape and reflects an all-hazard approach. It is based on the following components:  このアセスメントは、国の重要インフラのリスク状況に関するCISCの洞察に基づき、オールハザード・アプローチを反映している。以下の要素に基づいている: 
• Plausibility. Reflects risk likelihood, based on CISC’s assessment of a threat or hazard impacting critical infrastructure sectors. Plausibility considers the threat or hazard and also the vulnerability of sectors to that threat or hazard.  ・妥当性。重要インフラ部門に影響を及ぼす脅威またはハザードに関するCISCのアセスメントに基づき,リスクの可能性を反映する。妥当性は,脅威またはハザードと,その脅威またはハザードに対するセクターの脆弱性を考慮する。
• Damage. Reflects CISC’s assessment of the broad consequence for critical infrastructure sectors, based on worst-case impacts that could arise from the threat or hazard. ・損害。脅威またはハザードから生じうる最悪の場合の影響に基づき,重要インフラ部門に対する広範な影響に関するCISCの評価を反映したものである。

 

 

リスクマップ(↑:縦軸が妥当性(可能性)、→:横軸が損害(影響))

1. サイバー/情報

20241118-03117

 THE CYBER / INFORMATION THREAT サイバー脅威/情報脅威
1 Large-scale data breaches  1 大規模なデータ侵害 
2 Pre-positioned cyber threat 2 あらかじめ配置されたサイバー脅威
3 Poor cyber literacy and awareness  3 サイバーリテラシーと意識の低さ 
4 IT/OT/IoT convergence flaws 4 IT/OT/IoTコンバージェンスの欠陥
5 Third-party cyber risk  5 サードパーティによるサイバーリスク 
6 AI augmented cyber threat 6 AIにより強化されるサイバー脅威

 

 

2. サプライチェーン

20241118-03140

THE SUPPLY CHAIN HAZARD サプライチェーン・ハザード
7 Geopolitically driven supply chain disruption  7 地政学的要因によるサプライチェーンの混乱 
8 Restricted availability of critical technology and materials  8 重要な技術や資材の入手制限 
9 Disrupted maritime supply lines 1 9 海上サプライラインの寸断 1
0 Disrupted domestic surface transport  0 国内地上輸送の途絶 
11 Software supply chain risk  11 ソフトウェアサプライチェーンリスク 
12 Critical workforce and skills shortfalls 12 重要な労働力と技能の不足

 

3. 物理的脅威

20241118-03159

THE PHYSICAL THREAT 物理的脅威
13 Foreign interference risk  13 外国からの干渉リスク 
14 Risk from grey zone attack  14 グレーゾーン攻撃によるリスク 
15 Disruption from issue-motivated group activity 15 問題を動機とするグループ活動による混乱
16 Espionage exfiltration of sensitive data  16 機密データのスパイ行為による流出 
17 Sabotage of critical infrastructure  17 重要インフラの妨害工作 
18 Foreign involvement risk 18 外国人の関与リスク

 

 

4. 自然災害

20241118-03217

THE NATURAL HAZARD 自然災害
19 Severe weather event unpreparedness  19 悪天候への準備不足 
20 Wider geographic footprint for severe weather 20 悪天候の地理的フットプリントの拡大
21 Significant disruption from interdependent infrastructure 21 相互依存的なインフラによる重大な混乱
22 Biosecurity breach risk  22 バイオセキュリティ侵害リスク 
23 Extreme space weather event  23 宇宙での異常気象 
24 Increasing impact from extreme heat 24 猛暑による影響の増大

 

5. 人的脅威

20241118-03228

THE PERSONNEL THREAT 人的脅威
25 Foreign cultivation of critical workforce  25 重要な労働力の外国人育成 
26 Insider threat-initiated capability outage  26 内部脅威による能力停止 
27 Unidentified critical worker vulnerability  27 未確認の重要要員の脆弱性 
28 AI augmented social engineering of workforce  28 AIによる労働力のソーシャル・エンジニアリング 
29 Workforce critical skills gaps  29 労働力における重要スキルの格差 
30 Increasing ideological divides in workforce 30 労働力におけるイデオロギー的分裂の拡大

 

 

今後の展望...

Looking Ahead  今後の展望 
The following trends and technology drivers will likely impact the risk profile of our critical infrastructure over the coming years.  以下のようなトレンドとテクノロジードライバーは、今後数年間、重要インフラのリスクプロファイルに影響を与えると思われる。
Rapid technological change is creating skill and staffing shortfalls, including for skilled cyber security professionals.  急速な技術革新により、熟練したサイバーセキュリティの専門家を含め、スキルと人材の不足が生じつつある。
It is likely that the shortage of skilled staff, and the demand for upskilling of staff, will expand in coming years.  熟練した要員の不足と、要員のスキルアップの需要は、今後数年で拡大すると思われる。
For example, the transformation of the energy sector, while rapid, is lagging behind expectations globally. There is already global demand for the new suite of skills required for that work. Accelerated rollout of decarbonising and automation technologies in small and large businesses is very likely to be associated with a step change in exposure to cyber threats.  例えば、エネルギー部門の変革は急速に進んでいるものの、世界的には期待に遅れをとっている。その業務に必要な新しい一連の技能に対する需要は、すでに世界的に高まっている。中小企業や大企業における脱炭素化技術や自動化技術の加速的な普及は、サイバー脅威へのエクスポージャーの段階的な変化につながる可能性が高い。
A lack of suitable staff can lead to short-cutting of security procedures: increasing sourcing from overseas, where vetting may not be possible; accepting lower skilled staff; and increasing reliance on third parties, with a consequent loss in transparency.  適切な要員の不足は、セキュリティ手続きの手抜きにつながる可能性がある。つまり、審査が不可能な海外からの要員調達の増加、低スキルの要員の受け入れ、サードパーティへの依存の増加(結果として透明性が損なわれる)などである。
More and more critical operational decisions will be automated.  より多くの重要な業務上の意思決定が自動化される。
Automation is being rolled out into numerous sectors and in many business activities. Supply chains, customer service, food and grocery manufacturing, warehousing, network operations and other activities are rapidly using automation, including AI.  自動化は多くの部門、多くの事業活動で導入されつつある。サプライチェーン、顧客サービス、食品・食料品製造、倉庫管理、ネットワーク・オペレーションなど、AIを含む自動化が急速に進んでいる。
In the last year, consumer and business AI tools have been rapidly integrated into workflows, and may also be driving faster integration in an industrial and critical infrastructure context. Day-to-day operational decisions can now be made using specialised AI applications.  昨年、コンシューマー向けおよびビジネス向けのAIツールがワークフローに急速に統合され、産業および重要なインフラの文脈でも、より迅速な統合が推進されている可能性がある。日常的な業務上の意思決定は、特殊なAIアプリケーションを使って行うことができるようになった。
More and more operational decisions are being made with AI, or automated using other decision tools (often misunderstood as AI by the public).  より多くの業務上の意思決定がAIで行われ、あるいは他の意思決定ツール(一般にはAIと誤解されがち)を使って自動化されている。
There are both benefits and negatives to automation. In a business-as-usual environment, automation is overwhelmingly positive, but in the case of unanticipated failures or unexpected behaviour automation can obscure diagnosis and limit manual, alternative operations. For example, highly automated warehousing may have very limited function without operational systems.  自動化にはメリットとマイナスの両方がある。通常通りのビジネス環境では、自動化は圧倒的にプラスに働くが、予期せぬ障害や予期せぬ行動の場合、自動化は診断を曖昧にし、手作業による代替オペレーションを制限する可能性がある。例えば、高度に自動化された倉庫は、オペレーション・システムなしでは、その機能が非常に限定される可能性がある。
Supply chain disruptions continue to affect domestic and international supply chains.  サプライチェーンの混乱は、国内および国際的なサプライチェーンに影響を与え続けている。
It is likely that disrupted supply chains will continue to be a feature in years to come. Trade decisions, conflicts, pandemics and natural hazards can affect trade with Australia and disrupt transport routes, with varied consequences for Australia’s critical infrastructure.  サプライチェーンの混乱は今後も続くと思われる。貿易決定、紛争、パンデミック、自然災害は、豪州との貿易に影響を及ぼし、輸送経路を混乱させ、豪州の重要インフラに様々な影響を及ぼす可能性がある。
In recent times shipping has suffered due to disrupted access to both the Suez (due to conflict) and Panama (due to climate) canals. These disruptions have been compounded by congestion at key trading locations. In Australia, flooding has cut off east from west coasts, disrupting the transport of key inputs to critical infrastructure sectors.  最近では、スエズ運河(紛争による)とパナマ運河(気候による)の両方へのアクセスが途絶えたため、海運が被害を受けた。これらの障害は、主要貿易地での混雑によってさらに深刻化している。オーストラリアでは、洪水によって東海岸と西海岸が分断され、重要なインフラ部門への重要な資材の輸送が滞っている。
The race to 6G.  6Gへの競争
6G is the next planned generation of mobile telephony. It is touted to add or extend use cases originally planned for 5G. 6G use cases are likely to make the technology far more critical in an infrastructure context. It is possible 6G will be rolled out commercially by around 2030, but there is ongoing research necessary to achieve its full potential.  6Gは携帯電話の次世代計画である。もともと5Gで計画されていたユースケースの追加や拡張が行われると言われている。6Gのユースケースは、インフラの文脈でこの技術をはるかに重要なものにする可能性が高い。6Gは2030年頃までには商業的に展開される可能性があるが、その潜在能力をフルに発揮するためには現在も研究が必要である。
Some anticipated benefits are improved vehicle to vehicle communication, a more prominent role in pinpointing location, a stronger dependence for industrial processes and automation, and significant growth in wearable healthcare, and other, devices.  予想される利点としては、車車間通信の改善、位置情報の特定におけるより重要な役割、産業プロセスやオートメーションへの依存度の強化、ウェアラブル・ヘルスケアやその他のデバイスの著しい成長などが挙げられる。
While there is attention on improved security for 6G, competition to deliver technology often results in compromises or incomplete functionality at release.  6Gのセキュリティ向上が注目される一方で、技術提供の競争により、リリース時に機能が妥協されたり不完全になったりすることも多い。
Technology that is heavily integrated into previously manual or independent processes risks lowering resilience in the case of disruption.  従来は手作業であったプロセスや独立したプロセスに大きく統合されたテクノロジーは、混乱時のレジリエンスを低下させるリスクがある。
Traceability will present new risk challenges.  トレーサビリティは新たなリスク課題となる。
The supply and transportation of goods often relies on transfers between multiple parties and between different domestic and international jurisdictions. This can make tracing goods from ‘source to sink’ an ongoing challenge.  物品の供給と輸送は、多くの場合、複数の当事者間や、異なる国内・国際司法管轄区間での移転に依存している。このため、「出所から入庫まで」の商品の追跡は、継続的な課題となりうる。
To meet the challenge of transparency, the traceability of goods is being actively improved in some sectors, including the food and grocery sector, in response to food safety and other priorities.  透明性という課題に対応するため、食品・食料品セクターを含むいくつかのセクターでは、食品安全やその他の優先事項に応じて、商品のトレーサビリティが積極的に改善されている。
Interception and modification of goods in supply chains has been demonstrated as a risk, and this risk has the potential to increase due to ongoing global instability and economic pressures. Lower levels of, or disparities in, traceability along supply lines also have the potential to obfuscate interference, including risks of espionage and sabotage.  サプライ・チェーンにおける商品の傍受や改ざんはリスクとして実証されており、このリスクは、世界的な不安定と経済的圧力が続いているため、増大する可能性がある。サプライ・ラインに沿ったトレーサビリティのレベルが低い、あるいは格差がある場合も、スパイ活動や破壊工作のリスクを含め、干渉を難解にする可能性がある。
Technology advancement and implementation is ongoing across the transport sector, with increasing connection, autonomy and control of vehicles. Traceability is likely to also benefit from these technology improvements. Cyber security needs to be a priority as new, highly connected technologies are introduced, with security a key consideration for design and procurement.  輸送セクターでは、技術の進歩と導入が進んでおり、車両の接続、自律性、制御性が高まっている。トレーサビリティも、こうした技術改善の恩恵を受ける可能性が高い。高度に接続された新技術が導入される際には、サイバーセキュリティを優先する必要があり、セキュリティは設計と調達における重要な検討事項となる。
Competition and conflict in space.  宇宙における競争と紛争
Space technology is changing. There has been a huge increase in the number of objects in low earth orbits, an increase in the use of shorter lifespan spacecraft, and ongoing congestion of geosynchronous orbits. There is little doubt that future wars will involve space technology.  宇宙技術は変化している。地球低軌道にある物体の数が大幅に増加し、寿命の短い宇宙船の使用が増え、地軸軌道の混雑が続いている。将来の戦争に宇宙技術が関わってくることは疑いない。
Almost every critical infrastructure sector, and civilian life, relies on space capabilities. Awareness of dependence on space technology is low, even among many operators of critical infrastructure, and has not kept up with the growing use of satellite-enabled capabilities.  ほとんどすべての重要なインフラ部門と市民生活は、宇宙機能に依存している。多くの重要インフラ運営者の間でさえ、宇宙技術への依存に対する意識は低く、衛星対応能力の利用拡大に追いついていない。
With the growing number of launched objects in space, especially into low earth orbit, there is an increasing risk that collisions could cause major service disruption. At the time of writing there were more than 6,800 Starlink objects in space, for a service that began in 2019.  宇宙、特に地球低軌道に打ち上げられる物体の数が増えるにつれ、衝突によってサービスが大きく中断されるリスクが高まっている。本稿執筆時点では、2019年に始まったサービスのために、宇宙には6,800以上のスターリンクがある。
By 2030, China’s competing Qianfan constellation is planning around 13,900 satellites in low earth orbit. There is concern that objects from the Qianfan orbit will fall through other low earth orbits increasing risk of collisions with other satellites, following obsolescence or due to faults.  2030年までに、中国の競合するQianfanコンステレーションは、低軌道上に約13,900個の衛星を計画している。Qianfan軌道の物体が他の低軌道を通過することで、他の衛星との衝突リスクが高まることが懸念されている。
Ongoing moves to onshore or near-shore supply will gradually redraw the transportation map.  オンショアまたはニアショア供給への継続的な動きは、輸送地図を徐々に塗り替えていくだろう。
The concentration of manufacturing and the long supply chains are increasingly recognised as posing a risk to the resilient operation of critical infrastructure. There have been developments in government and the private sector to mitigate this by moving some manufacturing closer to the business customer or consumer.  製造業の集積と長いサプライチェーンは、重要インフラのレジリエンスにリスクをもたらすと認識されつつある。製造事業者の一部を顧客や消費者の近くに移転させることで、これを軽減しようとする政府および民間セクターの動きがある。
These changes will begin to alter the global picture of supply chain resilience and the geographical picture of supply inside and outside Australia. A number of unknowns remain, including concerns about whether local manufacturing will be competitive and the possible consequences for trade relationships.  このような変化は、サプライチェーンのレジリエンスに関する世界的な図式と、オーストラリア内外の供給に関する地理的な図式を変化させ始めるであろう。地元の製造事業者が競争力を持つかどうかの懸念や、貿易関係への影響の可能性など、多くの未知数が残っている。
Sensitivity to supply and the need for resilient supply are especially obvious where limited supply options exist, where geopolitical or business uncertainty is affecting key supplies and where disrupted or congested supply chains are becoming more common. 供給に対する敏感さとレジリエンス供給の必要性は、供給オプションが限られている場合、地政学的またはビジネス上の不確実性が主要供給に影響を及ぼしている場合、サプライチェーンの中断や混雑が一般的になりつつある場合に特に顕著である。

 

 


 

 

ちなみに昨年度...

・2023.11.01 Media Release: First Critical Infrastructure Annual Risk Review highlights issues affecting Australia’s national security

・[PDF] Critical Infrastructure Annual Risk Review - First Edition November 2023

20241118-03052

 

 

| | Comments (0)

2024.11.14

米国 NIST NIST SP 800-232(初期公開ドラフト) 制約されたデバイスのためのAsconベースの軽量暗号標準: 認証された暗号化、ハッシュ、拡張可能な出力機能

こんにちは、丸山満彦です。

2023年2月にIoTなどでの利用を想定した軽量暗号アルゴリズムの標準として、Asconベースの暗号をNISTは採用し、その選定過程を説明するIR 8454を2023年6月に公表しましたが、標準のドラフトとしてSP 800-232の初期公開ドラフトを今回発表したというところですね...

 

● NIST - ITL

・2024.11.08 NIST SP 800-232 (Initial Public Draft) Ascon-Based Lightweight Cryptography Standards for Constrained Devices: Authenticated Encryption, Hash, and Extendable Output Functions

 

NIST SP 800-232 (Initial Public Draft) Ascon-Based Lightweight Cryptography Standards for Constrained Devices: Authenticated Encryption, Hash, and Extendable Output Functions NIST SP 800-232(初期公開ドラフト) 制約されたデバイスのためのAsconベースの軽量暗号標準: 認証された暗号化、ハッシュ、拡張可能な出力機能
Announcement 発表
This draft standard introduces a new Ascon-based family of symmetric-key cryptographic primitives that provides robust security, efficiency, and flexibility. With its compact state and range of cryptographic functions, it is ideal for resource-constrained environments, such as Internet of Things (IoT) devices, embedded systems, and low-power sensors. This standard includes multiple algorithms to meet a wide range of symmetric cryptographic needs, including the Authenticated Encryption with Associated Data (AEAD) scheme Ascon-AEAD128, the hash function Ascon-Hash256, and the Extendable Output Functions (XOFs) Ascon-XOF128 and Ascon-CXOF128. この標準ドラフトは、強固なセキュリティ、効率性、柔軟性を提供する新しいAsconベースの共通鍵暗号プリミティブ・ファミリーを導入する。コンパクトな状態と幅広い暗号機能により、IoTデバイス、組み込みシステム、低消費電力センサーなど、リソースに制約のある環境に最適である。この標準には、AEAD(Authenticated Encryption with Associated Data)方式Ascon-AEAD128、ハッシュ関数Ascon-Hash256、拡張可能出力機能(XOF)Ascon-XOF128およびAscon-CXOF128など、対称暗号の幅広いニーズに対応する複数のアルゴリズムが含まれている。
Abstract 概要
In 2023, the National Institute of Standards and Technology (NIST) announced the selection of the Ascon family of algorithms designed by Dobraunig, Eichlseder, Mendel, and Schläffer to provide efficient cryptography solutions for resource-constrained devices. This decision emerged from a rigorous, multi-round lightweight cryptography standardization process. This standard introduces a new Ascon-based family of symmetric-key cryptographic primitives designed to deliver Authenticated Encryption with Associated Data (AEAD), hash, and Extendable Output Function (XOF) capabilities, namely Ascon-AEAD128, Ascon-Hash256, Ascon-XOF128, and Ascon-CXOF128. The Ascon family is characterized by lightweight permutation-based primitives and provides robust security, efficiency, and flexibility, making it ideal for resource-constrained environments, such as Internet of Things (IoT) devices, embedded systems, and low-power sensors. The family is developed to offer a viable alternative when the Advanced Encryption Standard (AES) may not perform optimally. This draft standard outlines the technical specifications of Ascon-AEAD128, Ascon-Hash256, Ascon-XOF128, and Ascon-CXOF128, and provides their security properties. 2023年、国立標準技術研究所(NIST)は、Dobraunig、Eichlseder、Mendel、Schläfferによって設計されたアルゴリズムのAsconファミリーを、リソースに制約のあるデバイスに効率的な暗号ソリューションを提供するために選択することを発表した。この決定は、複数ラウンドにわたる厳格な軽量暗号の標準化プロセスから生まれた。この標準は、Ascon-AEAD128、Ascon-Hash256、Ascon-XOF128、およびAscon-CXOF128という、AEAD(Authenticated Encryption with Associated Data)、ハッシュ、およびXOF(Extendable Output Function)機能を提供するように設計された、新しいAsconベースの共通鍵暗号プリミティブ・ファミリを導入している。Asconファミリーは、軽量な並べ替えベースのプリミティブを特徴とし、強固なセキュリティ、効率性、柔軟性を提供するため、モノのインターネット(IoT)デバイス、組み込みシステム、低消費電力センサーなど、リソースに制約のある環境に最適である。このファミリーは、AES(Advanced Encryption Standard)が最適な性能を発揮できない場合に、実行可能な代替手段を提供するために開発された。このドラフト標準は、Ascon-AEAD128、Ascon-Hash256、Ascon-XOF128、および Ascon-CXOF128 の技術仕様の概要を示し、それらのセキュリティ特性を提供する。

 

・[PDF] SP.800-232.ipd

20241114-53143

目次...

1. Introduction 1. 序文
2. Preliminaries 2. 予備知識
2.1. Auxiliary Functions 2.1. 補助機能
3. Ascon Permutations 3. Asconの順列
3.1. Internal State 3.1. 内部状態
3.2. Constant-Addition Layer 𝑝𝐶 3.2. 定数加算レイヤー 𝑝𝐶
3.3. Substitution Layer 𝑝𝑆 3.3. 置換レイヤー 𝑝𝑆
3.4. Linear Diffusion Layer 𝑝𝐿 3.4. 線形拡散レイヤー 𝑝𝐿
4. Authenticated Encryption Scheme: Ascon-AEAD128 4. 認証暗号化スキーム: Ascon-AEAD128
4.1. Specification of Ascon-AEAD128 4.1. Ascon-AEAD128の仕様
 4.1.1. Encryption  4.1.1. 暗号化
 4.1.2. Decryption  4.1.2. 復号化
4.2. Implementation Options 4.2. 実装オプション
 4.2.1. Truncation  4.2.1. 切り捨て
 4.2.2. Nonce Masking  4.2.2. ノンスマスキング
4.3. AEAD Requirements 4.3. AEAD要件
4.4. Security Properties 4.4. セキュリティ特性
 4.4.1. Single-Key Setting  4.4.1. シングルキー設定
 4.4.2. Multi-Key Setting  4.4.2. マルチキー設定
 4.4.3. Nonce-Misuse Setting  4.4.3. 不正使用防止設定
5. Hash and Extendable Output Functions 5. ハッシュと拡張可能な出力機能
5.1. Specification of Ascon-Hash256 5.1. Ascon-Hash256 の仕様
5.2. Specification of Ascon-XOF128 5.2. Ascon-XOF128の仕様
5.3. Specification of Ascon-CXOF128 5.3. Ascon-CXOF128の仕様
5.4. Security Strengths 5.4. セキュリティ強度
Appendix A. Implementation Notes 附属書A.実装上の注意事項
A.1. Conversion Functions A.1. 変換機能
A.2. Implementing with Integers A.2. 整数を使った実装
Appendix B. Determination of the Initial Values 附属書B. 初期値の決定

 

序文...

1. Introduction  1. 序文 
This draft standard specifies the Ascon family of algorithms to provide Authenticated Encryption with Associated Data (AEAD), a hash function, and two eXtendable Output Functions (XOFs). The Ascon family is designed to be efficient in constrained environments. The algorithms specified in this standard are as follows:  本標準ドラフトは、AEAD(Authenticated Encryption with Associated Data)、ハッシュ関数、および2つのXOF(eXtendable Output Function)を提供するアルゴリズムのAsconファミリーを規定する。Ascon ファミリーは、制約のある環境において効率的であるように設計されている。本標準で規定されるアルゴリズムは以下の通りである: 
1. Ascon-AEAD128 is a nonce-based authenticated encryption with associated data that provides 128-bit security strength in the single-key setting.  1. Ascon-AEAD128はノンスベースの認証暗号であり、単一鍵設定で128ビットのセキュリティ強度を提供する。
2. Ascon-Hash256 is a cryptographic hash function that produces a 256-bit hash of the input messages, offering a security strength of 128 bits.  2. Ascon-Hash256 は、入力メッセージの 256 ビットのハッシュを生成する暗号ハッシュ関数であり、128 ビットのセキュリティ強度を提供する。
3. Ascon-XOF128 is an XOF, where the output size of the hash of the message can be selected by the user, and the supported security strength is up to 128 bits.  3. Ascon-XOF128 は XOF で、メッセージのハッシュの出力サイズをユーザが選択でき、サポートされるセキュリティ強度は最大 128 ビットである。
4. Ascon-CXOF128 is a customized XOF that allows users to specify a customization string and choose the output size of the message hash. It supports a security strength of up to 128 bits.  4. Ascon-CXOF128 はカスタマイズされた XOF であり、ユーザがカスタマイズ文字列を指定し、メッセージハッシュの出力サイズを選択できる。最大128ビットのセキュリティ強度をサポートする。
Development of the Ascon family. Ascon (version v1) [1] was first submitted to the CAESAR (Competition for Authenticated Encryption: Security, Applicability, and Robustness) in 2014. The submission included two AEAD algorithms: a primary recommendation, Ascon128, with a 128-bit key and the secondary recommendation, Ascon-96, with a 96-bit key. Updated versions v1.1 [2] for Round 2 and v1.2 [3] for Round 3 included minor tweaks, such as reordering the round constants, and the secondary recommendation was updated to Ascon-128a. In 2019, Ascon-128 and Ascon-128a were selected as the first choice for the lightweight authenticated encryption use case in the final portfolio of the CAESAR competition.  Ascon・ファミリーの開発 Ascon(バージョンv1)[1]は、最初にCAESAR(認証暗号化のためのコンペティション)に提出された: Security, Applicability, and Robustness)に2014年に提出された。提出されたものには2つのAEADアルゴリズムが含まれていた。128ビットの鍵を持つ一次推奨のAscon128と、96ビットの鍵を持つ二次推奨のAscon-96である。ラウンド2の更新版v1.1 [2]とラウンド3の更新版v1.2 [3]では、ラウンド定数の並び替えなど細かな調整が行われ、二次勧告はAscon-128aに更新された。2019年、Ascon-128とAscon-128aは、CAESARコンペティションの最終ポートフォリオにおいて、軽量認証暗号のユースケースの第一候補に選ばれた。
NIST Lightweight Cryptography Standardization Process. In 2015, the National Institute of Standards and Technology (NIST) initiated the lightweight cryptography standardization process to develop cryptographic standards suitable for constrained environments in which conventional cryptographic standards (e.g., AES-GCM [4, 5] and the SHA-2 [6] and the SHA-3 [7] hash function families) may be resource-intensive. In February 2023, NIST announced the decision to standardize the Ascon family [8] for lightweight cryptography applications. (For more information, refer to NIST Internal Report (IR) 8268 [9], NIST IR 8369 [10], and NIST IR 8454 [11]).  NIST軽量暗号標準化プロセス。2015年、国立標準技術研究所(NIST)は、従来の暗号標準(例えば、AES-GCM [4、5]、SHA-2 [6]およびSHA-3 [7]ハッシュ関数ファミリー)ではリソースが集中する可能性がある制約環境に適した暗号標準を開発するため、軽量暗号標準化プロセスを開始した。2023年2月、NISTは軽量暗号アプリケーション向けにAsconファミリー[8]を標準化することを決定したと発表した。(詳細については、NIST Internal Report (IR) 8268 [9]、NIST IR 8369 [10]、NIST IR 8454 [11]を参照のこと)。
Differences from the Ascon submission v1.2. The technical differences between this draft standard and the Ascon submission [8] are provided below:  Ascon submission v1.2との相違点。本スタンダードドラフトとAscon提出文書[8]との技術的な相違点を以下に示す: 
1. Permutations. The Ascon submission defined three Ascon permutations having 6, 8, and 12 rounds. This standard specifies additional Ascon permutations by providing round constants for up to 16 rounds to accommodate potential functionality extensions in the future.  1. 順列。Ascon 提出文書では、6、8、12 ラウンドの 3 つの Ascon 順列を定義していた。本標準は、将来の潜在的な機能拡張に対応するため、最大16ラウンドのラウンド定数をプロバイダに提供することで、追加のAscon順列を規定する。
2. AEAD variants. The Ascon submission package defined AEAD variants ASCON-128, ASCON-128a, and ASCON-80pq. This standard specifies the Ascon-AEAD128 algorithm, which is based on ASCON-128a.  2. AEAD 変数。ASCONサブミッションパッケージでは、AEADバリエーションASCON-128、ASCON-128a、ASCON-80pqを定義した。本標準は、ASCON-128a に基づく Ascon-AEAD128 アルゴリズムを規定する。
3. Hash function variants. The Ascon submission defined ASCON-HASH and ASCON-HASHA. This standard specifies Ascon-Hash256, which is based on ASCON-HASH.  3. ハッシュ機能の亜種。Ascon の提出文書では、ASCON-HASH と ASCON-HASHA が定義されている。本標準は、ASCON-HASH に基づく Ascon-Hash256 を規定する。
4. XOF variants. The Ascon submission defined two extendable output functions, ASCONXOF and ASCON-XOFA. This standard specifies Ascon-XOF128, which is based on ASCON-XOF, and a new customized XOF, Ascon-CXOF128.  4. XOFのバリエーション。ASCON は 2 つの拡張出力機能 ASCONXOF と ASCON-XOFA を定義した。本標準は、ASCON-XOF をベースとした Ascon-XOF128 と、新しいカスタマイズ XOF である Ascon-CXOF128 を規定する。
5. Initial values. The initial values of the algorithms are updated to support a new format that accommodates potential functionality extensions.  5. 初期値。アルゴリズムの初期値は、潜在的な機能拡張に対応する新しい形式をサポートするために更新される。
6. Endianness. The endianness has been switched from big endian to little endian to improve performance on little-endian microcontrollers.  6. エンディアン。エンディアンがビッグエンディアンからリトルエンディアンに変更され、リトルエンディアンマイコンでのパフォーマンスが向上した。
7. Truncation and nonce-masking. The implementation options of Ascon-AEAD128 with truncation and nonce-masking have been added.  7. トランケーションとノンスマスキング。Ascon-AEAD128の実装オプションにトランケーションとノンスマスクが追加された。
Main Features of Ascon. The main features of the Ascon family are:  Asconの主な特徴 Asconファミリーの主な特徴は以下の通りである: 
• Multiple functionalities. The same permutations are used to construct multiple functionalities, which allows an implementation of AEAD, hash, and XOF functionalities to share logic and, therefore, have a more compact implementation than functions that were developed independently.  ・多機能。AEAD,ハッシュ,XOFの各機能はロジックを共有するため,個別に開発された機能よりもコンパクトな実装が可能である。
• Online and single pass. Ascon-AEAD128 is online, meaning that the 𝑖-th ciphertext block is determined by the key, nonce, associated data, and the first 𝑖 plaintext blocks. Ascon family members require only a single pass over the data.  ・オンラインかつシングルパスである。Ascon-AEAD128はオンラインであり、𝑖番目の暗号文ブロックが鍵、Nonce、関連データ、最初の𝑖個の平文ブロックによって決定されることを意味する。Asconファミリーはデータに対してシングルパスしか必要としない。
• Inverse-free. Since all of the Ascon family members only use the underlying permutations in the forward direction, implementing the inverse permutations is not needed. This approach significantly reduces implementation costs compared to designs that require inverse operations for decryption.  ・インバースフリーである。Asconファミリーの全メンバーは順方向の順列のみを使用するため,逆方向の順列を実装する必要はない。このアプローチは,復号化のために逆演算を必要とする設計と比較して,実装コストを大幅に削減する。
Organization. Section 2 provides preliminaries, including the notation, basic operations, and auxiliary functions. Section 3 specifies the Ascon permutations for up to 16 rounds. Section 4 specifies the authenticated encryption scheme Ascon-AEAD128, provides some implementation options for truncation and nonce masking, lists the requirements for validation, and provides security properties. Section 5 specifies the hash function Ascon-Hash256 , the XOF function Ascon-XOF128, and the customized Ascon-CXOF128 and describes their security properties. Appendix A provides additional notes and conversion functions for implementations. Appendix B provides additional information regarding the construction of initial values. 構成セクション2では、表記法、基本演算、補助関数を含む前置詞を提供する。セクション3では、最大16ラウンドまでのAsconの順列について述べる。セクション4では、認証暗号化方式 Ascon-AEAD128を規定し、トランケーションとノンスマスキングの実装オプション、妥当性確認の要件、セキュリティ特性を示す。セクション5 では、ハッシュ関数 Ascon-Hash256、XOF 関数 Ascon-XOF128、およびカスタマイズされた Ascon-CXOF128 を規定し、それらのセキュリティ特性を記述する。附属書Aは、実装のための追加的な注意事項と変換機能を提供する。附属書Bは、初期値の構築に関する追加情報を提供する。

 

関連

Lightweight Cryptography

 

 Ascon

Ascon - Lightweight Authenticated Encryption & Hashing

20230212-135609

IPAの軽量暗号に関する資料

 IPA

・2022.04.13 [PDF] 「CRYPTREC 暗号技術ガイドライン(軽量暗号)」 掲載の暗号方式に関する安全性評価の動向調査

20230212-135724

 

・2017.03 [PDF] CRYPTREC 暗号技術ガイドライン (軽量暗号)

20230212-135656

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

Asconファミリー...

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

・2023.06.24 NIST NISTIR 8454 NIST 軽量暗号標準化プロセスの最終ラウンドに関する状況報告書

・2023.02.12 NIST 標準軽量暗号はAsconファミリーから... (2023.02.07)

 

 

 

| | Comments (0)

米国 NIST CSWP 34(初公開ドラフト)テレヘルス・スマートホーム統合におけるサイバーセキュリティとプライバシーリスクの低減: ヘルスケア及び公衆衛生部門のリスクマネジメントのアプローチ

こんにちは、丸山満彦です。

NISTが、テレヘルス・スマートホーム統合におけるサイバーセキュリティとプライバシーリスクの低減: ヘルスケア及び公衆衛生部門のリスクマネジメントのアプローチを公表し、意見募集をしていますね。

● NIST - ITL

・2024.11.06 NIST CSWP 34 (Initial Public Draft) Mitigating Cybersecurity and Privacy Risks in Telehealth Smart Home Integration: Healthcare and Public Health Sector Risk Management Approaches

NIST CSWP 34 (Initial Public Draft) Mitigating Cybersecurity and Privacy Risks in Telehealth Smart Home Integration: Healthcare and Public Health Sector Risk Management Approaches NIST CSWP 34(初公開ドラフト)テレヘルス・スマートホーム統合におけるサイバーセキュリティとプライバシーリスクの低減: ヘルスケア及び公衆衛生部門のリスクマネジメントのアプローチ
Announcement 発表
The National Cybersecurity Center of Excellence (NCCoE) has released for public comment the draft of NIST Cybersecurity White Paper (CSWP) 34, Mitigating Cybersecurity and Privacy Risks in Telehealth Smart Home Integration. The comment period for the draft is now open through January 6, 2025. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NISTサイバーセキュリティ白書(CSWP)34「テレヘルス・スマートホーム統合におけるサイバーセキュリティとプライバシーリスクの低減」のドラフトをパブリックコメント用に公開した。ドラフトに対するコメント募集期間は2025年1月6日までとなっている。
About the White Paper 白書について
Hospital-at-Home (HaH) is a form of telehealth wherein patients receive in-patient care, including clinical care and monitoring, at their place of residence. Healthcare systems have begun incorporating communications interfaces, patient monitors, and other medical devices into the patient’s residence to provide advice and perform clinical care while leveraging the advantages associated with patients receiving treatment in an amenable location. HaH offers several benefits to healthcare delivery organizations (HDOs), including improving patient outcomes, alleviating in-patient bed capacity limits, and providing safety for patients and care team members in infectious scenarios. ホスピタル・アット・ホーム(HaH)は遠隔医療の一形態であり、患者は居住地で臨床ケアやモニタリングを含む入院治療を受ける。医療システムは、患者が快適な場所で治療を受けることに関連する利点を活用しながら、アドバイスを提供し臨床ケアを実行するために、コミュニケーション・インターフェース、患者モニター、その他の医療機器を患者の住居に組み込み始めている。HaHは、医療提供機関(HDO)にとって、患者の転帰改善、入院ベッド数の制限緩和、感染シナリオにおける患者とケアチームメンバーの安全確保など、いくつかのメリットをもたらす。
While these are desirable benefits, HaH introduces privacy and cybersecurity risks by introducing medical-grade equipment and information systems into environments the hospital does not control. This paper examines risks found in HaH deployments when using smart speakers as a representative IoT device and provides recommended steps to address these risks. This paper also describes applying controls that include access control, authentication, continuous monitoring, data security, governance, and network segmentation. これらは望ましいメリットであるが、HaHは病院が管理できない環境に医療グレードの機器や情報システムを導入することで、プライバシーやサイバーセキュリティのリスクをもたらす。本稿では、代表的なIoTデバイスとしてスマートスピーカーを使用した場合のHaH展開に見られるリスクを検証し、これらのリスクに対処するための推奨ステップを示す。また、アクセス制御、認証、セキュリティの継続的なモニタリング、データセキュリティ、ガバナンス、ネットワークセグメンテーションを含む管理者の適用についても説明する。
We Want to Hear from You! ご意見をお聞かせください!
The public comment period for this draft is open until January 6, 2025, at 11:59 P.M. EST. You can view the publication and submit comments by visiting the NCCoE project page. If you have any questions, please email our team at hit_nccoe@nist.gov. このドラフトに対するパブリックコメント期間は、2025年1月6日午後11時59分(米国東部標準時)までである。NCCoEのプロジェクト・ページにアクセスすれば、出版物を閲覧し、コメントを提出することができる。ご質問があれば、hit_nccoe@nist.gov。
Abstract 要旨
In-patient service demands have increased during a time when patients have experienced reduced access to hospital care. Hospital-at-Home (HaH) solutions provide an in-patient care experience for patients, which may result in reduced costs and improved outcomes. While these are desirable benefits, HaH involves privacy and cybersecurity risk by introducing medical device-grade equipment and information systems into environments the hospital does not control, i.e., the patient’s home. Patient homes may include a growing number of Internet of Things (IoT) devices as part of their “smart home” environment. IoT devices may be used as pivot points into a hospital’s information system environment. IoT devices are a novel set of computing devices that do not allow patients or HaH implementors to provision commonly accepted privacy and security practices. This paper examines privacy and cybersecurity risks found in HaH deployments when using smart speakers as a representative IoT device and provides recommended steps to address those risks. This paper describes applying controls that include access control, authentication, continuous monitoring, data security, governance, and network segmentation. 患者の病院での治療へのアクセスが減少している間に、入院患者へのサービス需要は増加している。Hospital-at-Home(HaH)ソリューションは、患者に入院治療を体験させ、コスト削減と改善効果をもたらす。これらは望ましい利点であるが、HaHは、病院が管理しない環境、すなわち患者の自宅に医療機器グレードの機器や情報システムを導入することで、プライバシーやサイバーセキュリティのリスクを伴う。患者の自宅には、「スマートホーム」環境の一部として、ますます多くのモノのインターネット(IoT)機器が含まれる可能性がある。IoTデバイスは、病院の情報システム環境のピボット・ポイントとして使用される可能性がある。IoTデバイスは、患者やHaH実装者が一般的に受け入れられているプライバシーとセキュリティの慣行を提供することを許さない、新しい一連のコンピューティングデバイスである。本稿では、代表的なIoTデバイスとしてスマートスピーカーを使用する場合にHaH展開で見られるプライバシーとサイバーセキュリティのリスクを検証し、それらのリスクに対処するための推奨ステップを提供する。本稿では、アクセス管理、認証、セキュリティの継続的なモニタリング、データセキュリティ、ガバナンス、ネットワークセグメンテーションを含む管理者の適用について説明する。
These practices include steps that the hospital can take to segment HaH equipment and data from other personally owned devices in the patient’s home and implement phishing-resistant authentication. Personally owned devices may be prone to compromise and would affect healthcare systems without appropriate segmentation. Also, voice-enabled technologies may be prone to identity spoofing or permitting unauthorized individuals to access HaH equipment or health information. これらの実践には、病院がHaH機器とデータを患者宅の他の個人所有デバイスからセグメント化し、フィッシング耐性の認証を実装するために取ることができる手順が含まれる。個人所有のデバイスは侵害されやすく、適切なセグメンテーションがなければ医療システムに影響を及ぼす可能性がある。また、音声対応技術は、ID なりすましや、権限のない個人による HaH 機器や医療情報へのアクセスを許してしまう可能性がある。

 

・[PDF] CSWP.34.ipd

20241113-225943

 

Executive Summary  エグゼクティブサマリー 
1. Introduction 1. 序文
2. Telehealth Smart Home Integration Ecosystem 2. 遠隔医療スマートホーム統合エコシステム
3. Smart Home Integration Ecosystem Risk Analysis 3. スマートホーム統合エコシステムのリスク分析
 3.1. Sample Threat Events 3.1. 脅威事象の例
 3.2 Recommended Cybersecurity and Privacy Practices 3.2 推奨されるサイバーセキュリティとプライバシーの慣行
 3.3 Assess Cybersecurity and Privacy Control Coverage 3.3 サイバーセキュリティとプライバシーの管理範囲のアセスメント
4. Security Reference Architecture. 4. セキュリティ・リファレンス・アーキテクチャ
5. Conclusion 5. 結論
References  参考文献 
Appendix A. List of Symbols, Abbreviations, and Acronyms  附属書 A. 記号、略語、頭字語のリスト 

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
Healthcare Delivery Organizations (HDOs) have begun implementing Hospital-at-Home (HaH) programs for select patients. HaH is a form of telehealth wherein patients receive in-patient care, including clinical care and monitoring, at their place of residence. Healthcare systems, often in collaboration with partner organizations, incorporate communication interfaces, patient monitors, and other medical devices into the patient’s residence to provide advice, engage with the patient, and perform clinical care while leveraging the advantages associated with that patient receiving treatment in a location amenable to the patient.  医療提供機関(HDO)は、一部の患者を対象に在宅医療(Hospital-at-Home:HaH)プログラムの導入を開始している。HaHは遠隔医療の一形態であり、患者は居住地で臨床ケアやモニタリングを含む入院治療を受ける。医療システムは、多くの場合、パートナー組織と協力して、患者の住居に通信インターフェイス、患者モニター、その他の医療機器を組み込み、患者が患者にとって快適な場所で治療を受けることに関連する利点を活用しながら、アドバイスを提供し、患者と関わり、臨床ケアを行う。
HaH combines elements found in telehealth solutions with components such as hospital-grade medical devices typically found in in-patient settings. HaH integrates with commercial solutions procured by the patient to enhance their lives. An example of patient-procured solutions includes Internet-of-Things (IoT) devices. This paper uses a smart speaker device as a representative IoT device that may be found in the patient’s home. This paper considers privacy and cybersecurity risks associated with smart speaker inclusion, both as a general IoT device that is not managed by the HDO and as a device that the patient uses to communicate with care providers and retrieve health information.  HaHは、遠隔医療ソリューションに見られる要素と、一般的に入院患者環境で見られる病院グレードの医療機器などのコンポーネントを組み合わせたものである。HaHは、患者の生活を向上させるために、患者が調達した商用ソリューションと統合する。患者が調達したソリューションの例としては、モノのインターネット(IoT)デバイスがある。本稿では、患者の自宅にある代表的なIoTデバイスとして、スマートスピーカーデバイスを使用する。本稿では、HDOによってマネジメントされない一般的なIoTデバイスとして、また患者がケアプロバイダーとのコミュニケーションや健康情報の取得に使用するデバイスとして、スマートスピーカーの組み込みに関連するプライバシーとサイバーセキュリティのリスクを検討する。
Adversaries may use patient-procured IoT devices and network infrastructures as a pivot into an HDO’s environment. The objective of this paper is to examine privacy and cybersecurity risks present in IoT devices, as they exist in the same environment as in-patient-grade medical devices. Both patient-procured and medical devices may have vulnerabilities that cannot be easily addressed through regular patch cycles. This paper examines risks and mitigation approaches.  攻撃者は、患者が調達したIoTデバイスとネットワーク・インフラを、HDOの環境への軸として利用する可能性がある。本稿の目的は、患者用医療機器と同じ環境に存在するIoT機器に存在するプライバシーとサイバーセキュリティのリスクを検証することである。患者が所有するデバイスと医療用デバイスの両方には、定期的なパッチサイクルでは容易に対処できない脆弱性が存在する可能性がある。本稿ではリスクと低減アプローチについて検討する。
This paper uses NIST guidance in framing risks and proposing mitigating controls. The National  本稿では、リスクの枠組みと低減対策の提案において、NISTのガイダンスを使用する。全米の 
Cybersecurity Center of Excellence (NCCoE) healthcare team applies guidance from the  サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のヘルスケア・チームは、米国国立標準技術研究所(NIST)のガイダンスを適用している。
National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0 (CSF 2.0) [1], the NIST Privacy Framework (PF) [2], and NIST Internal Report (NISTIR) 8425 Profile of the IoT Core Baseline for Consumer IoT Products [3] as well as concepts discussed in previous NCCoE practice guides.  国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク 2.0(CSF 2.0)[1]、NISTプライバシーフレームワーク(PF) [2]、NIST内部報告書(NISTIR) 8425 Profile of the IoT Core Baseline for Consumer IoT Products [3]、および以前のNCCoE実践ガイドで議論された概念を適用している。
A core theme found in other NCCoE healthcare-related practice guides and NIST guidance documents, for example, calls upon HDOs to ensure network segmentation between medical devices and other environments. Network segmentation impedes a threat actor’s ability to compromise an endpoint and then promulgate to other devices. Another concern that this paper highlights is the need to limit access to authorized individuals. HaH deployments involve using hospital-grade medical devices in patient’s home environments that have not been designed to host sensitive systems or devices such as medical devices. This paper discusses identity and access controls that assure the HDO that health data are only accessed by authorized individuals and devices.  例えば、他の NCCoE ヘルスケア関連プラクティス・ガイドや NIST のガイダンス文書に見られる中核的なテーマは、医療機器と他の環境との間のネットワー ク・セグメンテーションを確保するよう HDO に求めている。ネットワークのセグメンテーションは、脅威行為者がエンドポイントを侵害し、他のデバイスに拡散する能力を阻害する。本稿が強調するもう一つの懸念は、アクセスを認可された個人に限定する必要性である。HaHの展開では、医療機器のような機密性の高いシステムや機器をホストするようには設計されていない患者の家庭環境で、病院仕様の医療機器を使用することになる。本稿では、健康データが認可された個人および機器によってのみアクセスされることをHDOに保証するIDおよびアクセス管理者について論じる。
HaH is a new mode of care delivery that may improve patient outcomes. HaH allows patients to access the same level of care found in an in-patient setting while in the comfort of their own homes. By implementing the safeguards suggested in this paper, HDOs will reduce their risk profile while providing a valued service to their patients. HaHは、患者の転帰を改善する可能性のある新しいケア提供形態である。HaHにより、患者は快適な自宅にいながら、入院患者と同じレベルのケアを受けることができる。本稿で提案するセーフガードを導入することで、HDOは患者に価値あるサービスを提供しながら、リスクプロファイルを軽減することができる。

 

 

 

| | Comments (0)

より以前の記事一覧