「IoT・5G セキュリティ総合対策 2020」について

総務省サイバーセキュリティタスクフォースから、「IoT・5G セキュリティ総合対策 2020」が公表されていますので、ちょっとメモします。

これは、2019年の「IoT・5G セキュリティ総合対策」の改訂版ということになります。2019年版が、

①5G の開始に伴う新たなセキュリティ上の懸念
② サプライチェーンリスクの管理の重要性
③ Society5.0 の実現に向けた適切なデータの流通・管理の重要性
④ サイバーセキュリティにおける AI の利活用の重要性
⑤ 大規模な量子コンピュータの実用化の可能性
⑥ 大規模な国際イベント等の開催

としていたのに

① COVID-19 への対応を受けたセキュリティ対策の推進

② 5G の本格開始に伴うセキュリティ対策の強化

③ サイバー攻撃に対する電気通信事業者のアクティブな対策の実現

④ 我が国のサイバーセキュリティ情報の収集・分析能力の向上に向けた産
学官連携の加速

という2020年段階での新たな課題を加えて、改定されたところです。

「Ⅲ 情報通信サービス・ネットワークの個別分野のセキュリティに関する具体的施策」

  •   (1)IoT のセキュリティ対策
  • (2)5G のセキュリティ対策
  • (3)クラウドサービスのセキュリティ対策
  • (4)スマートシティのセキュリティ対策
  • (5)トラストサービスの制度化と普及促進
  • (6)無線 LAN のセキュリティ対策
  • (7)重要インフラとしての情報通信分野等のセキュリティ対策
  • (8)地域の情報通信サービスのセキュリティの確保
  • (9)テレワークシステムのセキュリティ対策
  • (10)電気通信事業者による高度かつ機動的なサイバー攻撃対策の実現

「Ⅳ 横断的施 策」

  • (1)研究開発の推進
  • (2)人材育成・普及啓発の推進
  • (3)国際連携の推進
  • (4)情報共有・情報開示の促進

という項目で整理がされています。

個別の政策については、総務省のここの政策として、それぞれで、議論されているところです。

個人的には、政府機関等の情報システムにおけるクラウドサービスの調達に関しては、「政府情報システムのためのセキュリティ評価制度」(通称 ISMAP: Information system Security Management and Assessment Program)を抑えておきたいと考えています。

 

 

E.Jensen 「武力紛争における『ディープフェイク』適法か?」を読む

エリック・ジェンセン教授の「「武力紛争における『ディープフェイク』適法か?」(“DEEPFAKES” AND THE LAW OF ARMED CONFLICT: ARE THEY LEGAL?)という論文がTwitterで気になったので、すこし読んでみることにしました。

この最初が、仮の例になっています。


「上官、これを見てください。上層部からこのビデオを受信しました」 司令官は通信の専門家の机に 向かって歩いて行った。 モニターに青の共和国の国防参謀長からのビデオメッセージがあった

「レッドランド軍から降伏を仲介した。 降伏を完了するために、1時間以内に前線に接近すると予想される。 降伏の一環として、我々は兵士たちに身を引かせ、敵対的な活動を控えることを約束しました。武器を下ろして(stand down)レッドランド軍を受け入れる準備をしてください」

司令部テントではすぐに歓声が上がった。彼らの部隊はレッドランド軍からの激しい攻撃を受けており、アズールの街の防御陣地から撤退せざるを得ない状況に追い込まれていた。

「それが本物であることを確認できるか?」 司令官は通信の専門家に尋ねた。

「それは本物であることを示しています。 通信手段を変えて連絡を取ろうとしましたが、通じません」と通信の専門家は答えた。

ニュースは急速に広まっていった。司令官は、兵士や避難場所から出てきた民間人が外の通りで祝杯をあげているのを聞くことができた。司令部に別の報告が入ってきた。「司令官、前哨地からの報告によると、レッドランドの大部隊がゆっくりと街に近づいてきています。我々は何をすべきか?」

数時間後、レッドランド軍が都市に入り、突然、ブルー・リパブリックの兵士に暴力的な攻撃を開始した後、ブルー・リパブリックの司令官がレッドランド軍の司令官の前に立った。彼が予想されていた降伏について怒りに満ちた質問をすると、レッドランド軍の司令官は歓喜を抑えられなかった。「ああ、国防参謀長がわれわれが降伏を発表した時の捏造ビデオのことですか?自分が見たものを全て信じてはいけない」と彼は笑って、兵士たちに合図して、青い共和国の司令官を連れて行くように指示した。


この論文では、ディープフェイクの実際の例を紹介しています。

オバマ大統領のディープフェイク(AIで進化する「フェイク動画」と、それに対抗するAIの闘いが始まった(動画あり))

ブレクジットの際のディープフェイクビデオ

武力紛争時におけるディープフェイクの利用について論じています。

武力紛争の法律で禁止されているディープフェイクの使用はほとんどありませんが、卑怯な使用(perfidious use )は違法です。民衆を恐怖に陥れたり、一定の注意義務に違反することを意図した他の使用もまた、法律に違反するでしょう。

ジュネーブ諸条約の付属議定書 37条は

背信行為により敵を殺傷し又は捕らえることは、禁止する。武力紛争の際に適用される国際法の諸規則に基づく保護を受ける権利を有するか又は保護を与える義務があると敵が信ずるように敵の信頼を誘う行為であって敵の信頼を裏切る意図をもって行われるものは、背信行為を構成する。

としています。一方「奇計(Ruses of war )」は、禁止されません。この典型的な例としては

軍の動きや軍事物資を操作するための司令官からのディープフェイクされた通信は、 単なる奇計に過ぎない。同様に、不正確な情報を含むディープフェイクされたビデオは、軍事作戦の実施に重大な影響を与える可能性がありますが、これもまた単なる奇計です。

とされています。

このような伝統的な枠組みのディープフェイクについての宛は目をみたあとに、文民に対するインパクトを見ていきます。

上記議定書57条1項は

軍事行動を行うに際しては、文民たる住民、個々の文民及び民用物に対する攻撃を差し控えるよう不断の注意を払う

とされています。また、51条2項は

文民たる住民それ自体及び個々の文民は、攻撃の対象としてはならない。文民たる住民の間に恐怖を広めることを主たる目的とする暴力行為又は暴力による威嚇は、禁止する

とされています。

上のシナリオにおいて、文民が、ディープフェイクの情報によって安全地域からでて、それが結果として、文民が捕獲されたりすれば、レッドランド国の行為は、不断の注意義務に違反することになります。国家は、武力紛争においてディープフェイクを利用するのにさいしては、武力紛争法を遵守しなければならないとされます。

解決策としては、候補として、禁止、プラットフォームフィルター、アリバイ、透かし(ウォーターマーク)、認証基盤などが考えられます。

—-

ということで、武力紛争時におけるディープフェイクの利用についての検討でした。ユス・イン・ベロの応用ということになります。その意味で、従来の議論の適用という意味になり、それほど、新規というわけではありません。

アップデートのお知らせ「新型コロナウイルス対プライバシー-コンタクトトレーシングと法」Kindle出版

Kindele出版で好評発売中 また、学術的にも取り上げていただいております「新型コロナウイルス対プライバシー-コンタクトトレーシングと法」ですが

8月16日づけてアップデートいたしました。今回のアップデートの部分は、

  • 第1章2 基本的な仕組み 2.7 グーグルとアップルの枠組について7月31日の発表を追加
  • 2章 1 欧州の動向 1.3 EUにおける相互流用性のために 以下を追加
  • 同2 イギリス 2.3  グーグル・アップル方式の採用 以下を追加
  • 同3 オーストラリア アプリに関する法的整備については、改正法の制定をもとに、全面的に書き換え
    をしています。

いずれのアップデート部分も重要なものと考えております。世界の動向について、興味のある方にとっては、きわめて重要な情報かと思います。

お読みいただけると幸いです。

アマゾンのご案内は、こちらです。

 

 

機密共有「ファイブ・アイズ」と連携意欲 河野防衛相

「機密共有「ファイブ・アイズ」と連携意欲 河野防衛相」という記事がでています。

ここでポイントとなるのは、

日本は民間人も含めて情報漏洩の恐れがないと認められた人に機密性の高い情報の閲覧を限る「セキュリティー・クリアランス(適格性評価)」と呼ばれる制度がない。

ということかと思います。これについて、わが国の特定秘密保護法11条は、

特定秘密の取扱いの業務は、当該業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該特定秘密を保有させ、若しくは提供する行政機関の長又は当該業務を行わせる警察本部長が直近に実施した次条第一項又は第十五条第一項の適性評価(略)において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(略)でなければ、行ってはならない。

としています。この適正評価は、同法11条2項ですが、

適性評価は、適性評価の対象となる者(以下「評価対象者」という。)について、次に掲げる事項についての調査を行い、その結果に基づき実施するものとする。
一特定有害活動(公になっていない情報のうちその漏えいが我が国の安全保障に支障を与えるおそれがあるものを取得するための活動、核兵器、軍用の化学製剤若しくは細菌製剤若しくはこれらの散布のた及びテロリズム(政治上その他の主義主張に基づき、国家若しくは他人にこれを強要し、又は社会に不安若しくは恐怖を与える目的で人を殺傷し、又は重要な施設その他の物を破壊するための活動をいう。同表第四号において同じ。
)との関係に関する事項(評価対象者の家族(配偶者(略)、父母、子及び兄弟姉妹並びにこれらの者以外の配偶者の父母及び子をいう。以下この号において同じ。)及び同居人(家族を除く。)の氏名、生年月日、国籍(過去に有していた国籍を含む。)及び住所を含む。)
二犯罪及び懲戒の経歴に関する事項
三情報の取扱いに係る非違の経歴に関する事項
四薬物の濫用及び影響に関する事項

五精神疾患に関する事項
六飲酒についての節度に関する事項
七信用状態その他の経済的な状況に関する事項

となっています。が、民間企業の関係者については、このような定めはないです。

一方、米国ですが、米国のセキュリティクリアランス制度は、歴史的には、1947年のNational Security Actに始まりました。それ以降、各省庁においてそれぞれのセキュリティクリアランスプログラムが様々に確立されていったところ、1993年、異なるセキュリティクリアランスプログラムを統一化し、その誤用・濫用を防止する目的のために、大統領令第12829号 が発令され、それによってアメリカ合衆国国家産業安全保障計画 (NISP) が策定されました。NISPは民間事業者の政府機密情報へのアクセスを管理するものである。NISPの規則・規制は、アメリカ合衆国国家産業安全保障計画実施マニュアル (NISPOM) において説明されています。

その後、2009年12月、機密区分された国家安全保障情報(Classified National Security Information) に関する大統領令第13526号によって、合衆国政府のセキュリティクリアランス手続が整理されました。基本となる機密情報のレベルは、上から、「機密(top secret)」、「極秘(secret)」及び「秘(confidential)」 の3類型この大統領令第13526号により、NISPによって簡素化・合理化が図られていたクリアランス制度は再度拡充・補強され、時間の経過とともに縦割りの弊害が生じていた。

そうした中、2013年2月13日、オバマ大統領によって、「重要インフラのサイバーセキュリティを改善する」という趣旨の大統領令(Executive Order—Improving Critical Infrastructure Cybersecurity ) が発令され、再びクリアランス制度の整理が図られることとなったという経緯がありました。

その一方で、実際の情報としては「管理された格付け情報(CUI)」があって、これは、①機密指定されていない情報ではあるものの、②一般市民への情報公開が原則的に制限される情報として運用されてきました。現在、この仕組みは、CMMCで整理が進んでいるみたいです。

我が国においても、まずは、セキュリティクリアランスの仕組み自体について、民間企業に対して、どう導入していくのか、という問題が出てくることになります。

中国 米「クリーン・ネットワーク」政策、中国発アプリ・クラウドも排除 

米「クリーン・ネットワーク」政策、中国発アプリ・クラウドも排除という記事がでています。 https://www.epochtimes.jp/p/2020/08/60622.html

コンセプトは、

トランプ政権の中国共産党などの悪質な行為者による攻撃的な侵入から、国民のプライバシーや企業の最重要情報を含む国の資産を守るための包括的なアプローチ

をいいます。国務省のホームページは、こちらです。このコンセプトは、

クリーン・ネットワークは、国際的に認められたデジタル・トラスト・スタンダードに基づいています。これは、信頼できるパートナーの連合体の上に構築され、急速に変化するグローバル市場の技術と経済性に基づいた、複数年にわたる全政府の永続的な戦略の実行を表しています。

このデジタル・トラスト・スタンダードというのは、

2020年5月、国務省の要請を受けて、戦略国際問題研究センター(CSIS)は、アジア、欧州、米国の企業や研究センターから25名の専門家グループを集め、電気通信機器サプライヤーの信頼性を評価するための基準を策定しました。これらの「電気通信ネットワークとサービスにおけるセキュリティと信頼のための基準」は、プラハ提案と欧州連合の5Gツールボックスの作業を補完するものです。これらの基準は、政府やネットワークの所有者やオペレータに、信頼性とセキュリティを判断するための追加ツールを提供しています。

プラハ提案というのについても、ここで説明がなされています。

2019年5月、欧州連合(EU)、北大西洋条約機構(North Atlantic Treaty Organization)、産業界の代表者とともに、世界30カ国以上の政府関係者が、各国が5Gベンダーの評価の一部としなければならない重要な国家安全保障、経済、商業上の考慮事項についての議論に参加しました。チェコの会議議長が発表した5Gセキュリティに関するプラハ提案は、各国が5Gインフラの設計、建設、管理を行う際に考慮すべき勧告と原則のセットとなっています。

でもって、プラハ提案(2019年5月3日)の原文は、こちら。

プラハ提案の内容は、

議長は、5Gや将来のネットワークのロールアウトに向けて、4つのカテゴリーに分けて以下のような提案を提案している。

として

A ポリシ

  • レジリエンスとセキュリティも心にデザインされること
  • 法とポリシが、透明性と公平性に導かれるべきこと
  • 供給者の影響リスクが考慮されること

B 技術

  • 脆弱性評価およびリスク対抗措置を定期的に行うべきこと
  • 供給者のリスク評価は、すべての関連する要素を評価すること
  • 技術的脆弱性がある場合に限らないことを考慮にいれること
  • 5Gに伴う技術的変更を考慮にいれること
  • 利用者(政府、運営者、製造業者等)は、製品のサービスに影響を与える製造物・ソフトウエアの生産地・経歴(prigree)について情報を与えられるべきこと

C 経済

  • 通信機器の多様で活気のある(vibrant)市場とサプライチェーンが、セキュリティと経済的レジリエンスにとって重要であること
  • 研究開発への堅固な投資の重要性
  • 通信ネットワークは、公開され、透明性をもって資金が供給されるべきこと
  • 5Gネットワークや提供者に対する国家のインセンティブ等は、公平性、商業的合理性、公開性・透明性などの原則を尊重すること
  • 通信ネットワークとその提供者は、所有・組織のガバナンス構成において透明性を有していること、

D セキュリティ、プライバシーおよびレジリエンス

  • 業界におけるすべての利害関係者は、セキュリティとレジリエンスを促進すること
  • 経験とベストプラクティスの共有が促進されるべきこと
  • ベンダとネットワーク技術のセュリティとリスク評価は、法の支払い、セキュリティ環境などを考慮に入れること
  • リスクマネジメントの枠組は、古城データ保護原則に従うこと

がうたわれています。

8月5日のポンペオ国務長官の宣言は、このクリーンネットワークプログラムをクリーンキャリア、キリーンストア、クリーンアプリ、クリーンクラウド、クリーンケーフルに拡大するということになります。

なお、クリーンパス(通路)については、4月29日に既に明らかにされています

 

 

トランプ氏、TikTok・微信との取引を禁止 大統領令

「トランプ氏、TikTok・微信との取引を禁止 大統領令」という記事がでています。BBCは、こちら。IT meadiaは、こちら。

これは、8月6日にだされた大統領令です。原文は、こちら

翻訳は、--

国際緊急経済大国法(50 U.S.C. 1701 et seq.)(IEEPA)、国家緊急事態法(50 U.S.C. 1601 et seq.)、および米国法典第3章301条を含むアメリカ合衆国の憲法および法律により、大統領としての私に与えられた権限により。

私、ドナルド・J・トランプアメリカ合衆国大統領は、2019年5月15日の大統領令13873(情報通信技術とサービスのサプライチェーンの確保)で宣言された情報通信技術とサービスのサプライチェーンに関して、国家的な緊急事態に対処するために追加の措置を講じる必要があることを認める。 具体的には、中華人民共和国(中国)の企業が開発・所有するモバイルアプリケーションの米国内での拡散は、米国の国家安全保障、外交政策、経済を脅かし続けています。 現時点では、特に1つのモバイルアプリケーションであるTikTokがもたらす脅威に対処しなければなりません。

中国企業のByteDance Ltd.が所有する動画共有モバイルアプリケーション、TikTokは、米国で1億7500万回以上、世界で10億回以上ダウンロードされていると報告されています。 TikTokは、位置情報や閲覧履歴、検索履歴などのインターネットやその他のネットワーク活動情報など、ユーザーからの膨大な情報を自動的に取得します。 このデータ収集は、中国共産党がアメリカ人の個人情報や専有情報(personal and proprietary information)にアクセスすることを可能にし、中国が連邦政府の職員や請負業者の居場所を追跡したり、脅迫のために個人情報の書類を作成したり、企業スパイ活動を行うことを可能にする恐れがあります。

TikTokはまた、中国共産党が政治的に敏感であると判断したコンテンツ、例えば香港での抗議活動や中国のウイグル人やその他のイスラム教徒の少数民族への扱いに関するコンテンツを検閲していると言われています。 また、このモバイルアプリケーションは、TikTokの動画が2019年新型コロナウイルスの起源についての論破された陰謀論を広めた場合など、中国共産党に利益をもたらすディスインフォメーションキャンペーンに利用される可能性があります。

これらのリスクは現実です。 国土安全保障省、運輸保安局、米軍はすでに連邦政府の携帯電話でのTikTokの使用を禁止しています。 インド政府は最近、TikTokやその他の中国製モバイルアプリケーションの使用を国内全域で禁止しました。インドの電子情報技術省は声明の中で、「ユーザーのデータを盗んで、インド国外にあるサーバーに不正な方法で密かに送信している」と主張しています。 アメリカの企業や組織は、TikTokのデバイスへの搭載を禁止し始めている。 米国は国家安全保障を守るために TikTokの所有者に対して 積極的な行動を取らなければなりません

よって、私はここに命令する。

第1条 (a) 本命令の日から45日を経過した時点から、適用法で認められている範囲内で、以下の行為を禁止する。(a.k.a. Zìjié Tiàodòng)、中国北京のByteDance Ltd.(別名:Zìjié Tiàodòng)またはその子会社との間で、本命令の第1条(c)項に基づき商務長官(長官)が特定した利害関係を有する者、または米国の司法権の対象となる財産に関するあらゆる取引。

(b) 本項第(a)項の禁止事項は、法令または本命令に基づいて発行される規制、命令、指示、ライセンスに規定されている場合を除き、また本命令の日付以前に締結された契約、ライセンスまたは許可にかかわらず適用されます。

(c) 本命令の日付から45日後、長官は本項第(a)項の対象となる取引を特定するものとする。

第 2 条 (a) 米国人による、または米国内での、本命令に定められた禁止事項を回避または回避し、回避または回避の目的を持ち、違反を引き起こし、または違反しようとする取引は禁止されている。

(b) この命令に定める禁止事項のいずれかに違反するために結成された共謀は禁止される。

第3条 この命令の目的のために この命令の目的のために

(a) 「人」とは、個人または団体を意味する。
(b) 「事業体」とは、政府または政府の機関、パートナーシップ、協会、信託、ジョイントベンチャー、法人、グループ、サブグループ、その他の組織(国際組織を含む)を意味する。

(c) 「米国人」とは、米国市民、永住外国人、米国の法律に基づいて組織された団体、または米国内の司法権(外国支部を含む)、または米国内の人を意味する。

第 4 項。 大臣は、規則や規制の採択を含む行動を取り、IEEPA によって付与されたすべての権限を、この命令を実施するために必要なものとして使用する権限を与えられています。 大臣は、適用法に基づき、これらの機能のいずれかを商務省に再委任することができます。 米国のすべての省庁は、本命令を実施するために、権限の範囲内ですべての適切な措置を講じるものとする。

第5項 総則 (a) 本令のいかなる規定も、以下の事項を損なうものではなく、また、以下の事項に影響を与えるものではない。

(i) 執行部局、機関、またはその長に法律で付与された権限

(ii) 予算、行政、立法案に関する管理予算局長の機能。

(b) この命令は、適用される法律と一致し、かつ、予算の利用可能性を条件として実施されるものとする。

(c) 本命令は、米国、その部局、機関、事業体、その役員、職員、代理人、またはその他の者に対して、いかなる当事者も、法律上または衡平法上、実質的または手続き上の権利または利益を行使できるようにすることを意図したものではなく、また、いかなる権利または利益を創出するものでもない。

---

また、同日 WeChatの脅威に対する大統領令にも署名をしています。原文は、こちら

さらに8月14日に、トランプ大統領は、上記ByteDance Ltdが、musical.ly社を合併するのに関して、大統領令を出しています。原文は、こちら

---

憲法および合衆国法、1950 年国防生産法の第 721 条、改正(第 721 条)、50 U.S.C. 4565 を含む、大統領としての私に与えられた権限により、以下のように命令する。

第1条 事実認定 (a) ケイマン諸島の法律に基づいて設立された有限責任免除企業であるByteDance Ltd.(以下「ByteDance」)が、ケイマン諸島の法律に基づいて設立された有限責任免除企業であるMusical.ly(以下「Musical.ly」)の全持分を取得することにより、米国の国家安全保障を損なう恐れのある行動を取る可能性があると私に思わせる信頼できる証拠がある。 買収の結果、ByteDanceはTikTokアプリケーションをMusical.lyのソーシャルメディアアプリケーションと統合し、単一の統合ソーシャルメディアアプリケーションを作成した。

(b) 第721条および国際緊急経済大国法(50 U.S.C. 1701 et seq)以外の法律の規定は、私の判断では、この問題で国家安全保障を保護するための十分かつ適切な権限を私に与えていない。

第 2 条 命令され、許可された措置。 本命令の第 1 項に記載された知見に基づき、第 721 条(f)項に記載された要素を適宜考慮し、第 721 条を含む適用法の下での私の権限に基づき、私はここに命令する。

(a) ByteDanceによるMusical.lyの買収の結果としての取引で、Musical.lyまたはその資産のいずれかが、米国内の州際通商におけるMusical.lyの活動(以下「米国におけるMusical.ly」)の促進または支援、またはそれに関連して使用される限りにおいて、Musical.lyまたはその資産のいずれかが、Musical.lyの活動の支援または支援に使用されること。)はここに禁止される。ByteDanceによる米国内におけるMusical.lyの権益の所有も、ByteDanceを通じて直接または間接的に、またはByteDanceの子会社、関連会社、中国の株主を通じて行われたかどうかに関わらず、禁止される。

(b) この命令を実行するために、本命令の日付から90日以内に、30日を超えない範囲で延長されない限り、米国外国投資委員会(CFIUS)が課す書面による条件に基づき、ByteDance、その子会社、関連会社、および中国の株主は、以下のすべての権益および権利を売却するものとする。

  1. 場所を問わず、ByteDance の米国における TikTok アプリケーションの運営を可能にする、またはサポートするために使用される、あらゆる有形または無形の資産または財産(場所を問わず)。
  2.  米国内のTikTokアプリケーションまたはMusical.lyアプリケーションのユーザーから得た、または派生したデータ。 バイトダンスは、売却の際に直ちに、第2条(a)および第2条(b)に基づき要求される措置を完全かつ恒久的に実施するために必要なすべての措置が完了したことを、CFIUSに書面で証明するものとする。

(c) バイトダンスは、売却の際に直ちに、第2条(b) (ii) に基づき売却が義務付けられているすべてのデータおよびそのコピーを破棄したことを、CFIUS に書面で証明するものとする。

(d) バイトダンスは、第2条(b)に基づく第三者への売却または譲渡を完了してはならない。

  1.  ByteDance が書面で CFIUS に、意図した受取人または購入者を通知するまで。
  2.  第2項(d)(i)の通知から10営業日が経過し、CFIUSがByteDanceに対して異議申立書を発行していない場合。 CFIUS が売却または譲渡の提案を審査する際に考慮する要素として、買い手または譲受人が米国市民であるか、または米国市民が所有しているか、ByteDance、またはその役員、従業員、株主との直接的または間接的な契約、財務、家族関係、雇用、その他の緊密かつ継続的な関係を持っているかどうか、そして本命令の遵守をサポートする意思と能力があることを示すことができるかどうか、などが挙げられる。 さらに、CFIUS は、提案された売却または譲渡が、米国の国家安全保障を損なう恐れがあるか、または本命令の目的を損なう恐れがあるかどうか、また、売却が CFIUS が満足し、その裁量で、米国での TikTok アプリケーションの運用を可能にしたり、サポートしたりするために使用されているすべての有形または無形の資産または財産を完全に処分する効果があるかどうかを検討することができます。

(e) 本命令の日から、ByteDanceが第2項(b)に基づきCFIUSに売却の証明書を提出するまで、ByteDanceとデラウェア州の法人であるTikTok Inc.は、本命令に準拠していることを週単位でCFIUSに証明し、第2項(b)に記載されている権益と権利を売却するための努力の内容と、残りの行動の完了予定時期を記載するものとする。

(f) 本命令を回避または回避する目的で、またはその効果を持つ目的で締結された、または使用された取引またはその他の装置はすべて、本命令を遵守していることを証明するものではない。

--

この大統領令については、「トランプ大統領、中国ByteDanceにTikTokの米事業を90日以内に売却せよとの大統領令」という記事で説明がなされています。

FIRSTのトラフィック・ライト・プロトコル

情報セキュリティの世界においてコンフィデンシャルな情報を、だれにどのようにつたえるか、というのは、非常大きな問題になっています。

サイバー脅威に関するデータとして共有されるべきデータとその交換については、例えば、MITRE社のTAXIIのシステムを提案していたりします。

ここで、「情報共有の促進を目的に作られた。TLP は機密情報を確実に適切な組織または人に共有するために使われる一連の標示」というのが、トラフィック・ライト・プロトコル(TLP)になります。FIRSTというインシデントレスポンスのフォーラムがこのプロトコルの標準と利用のガイダンスの日本語版を公表しています。ドキュメントはこちらです。

この仕組みは、「シンプルかつ直感的に示し、より高頻度かつ効果的な連携を円滑にするための仕組み」であて、情報の管理表示や機密殿区分をしめすものではないこと、情報共有を容易にすることに最適化されていること、発信者は、受信者が、このプロトコルを理解し、そのガイダンスに従うことを確実にする責任をもつこと、受信者がこのプロトコルの指定より広い範囲に共有する場合は、明示的な許可を売る必要があることなどが触れられています。

2 は、利用方法で、電子メールの場合と、文書の場合とが記載されています。

3では、定義としてRed、Amber、Green、Whiteのそれぞれの意味が記載されています。

英国情報コミッショナーのAIとデータ保護のガイダンス

英国の情報コミッショナー(ICO)がAIとデータ保護のガイダンスを公表しており、ブログで記事が出ています。

ブログは、こちら

ICOは、5月5日に「「コロナウイルス公衆衛生緊急時におけるICOの規制アプローチ」というドキュメントを公表しており

私たちは、私たちの行動が組織に与える可能性のある経済的・資源的負担の影響を考慮し、柔軟なアプローチで対応します。
– 私たちは、公衆衛生上の緊急事態からの回復に向けて、企業や公的機関を最大限に支援する準備ができています。

としてきたところです。このドキュメントを公表したブログで、デンハム情報コミッショナーは、今後、

  1. 公共の利益の保護:私たちは、市民や企業に最も害や苦痛を与える可能性の高い情報権の問題に焦点を当てています。
  2. 責任あるデータ共有を可能にする: 共有ができないことから生じるリスクへの対応を含め、公共の利益のためにデータが責任を持って、信頼を持って共有できるようにします。
  3. 侵入的で破壊的な技術の監視:私たちはプライバシーを確実に保護しながら、イノベーションを可能にし、経済をサポートします。

としました。

そして、

1. 弱い立場にある市民を守る
2. 中小企業を含む経済成長とデジタル化の支援
3.適切なサーベイランスの形成
COVID-19の中期的なプライバシーと情報権利への影響について、コンタクトトレース、テスト、その他の新たなサーベイランス問題を含めて、高いレベルの認識と洞察力を維持しています。

4. AIにおけるグッドプラクティスを可能にする
私たちは、消費者製品からサーベイランスアプリケーションまで、デジタル経済全体でのAIの使用にプライバシーへの配慮が設計されていることを保証するために、COVID-19に対応したAIの継続的な開発と使用を準備し、形成しています。

5. 透明性を可能にする
6 事業継続性の維持:復旧に備えた新しい働き方の開発

という事項を掲げています。そこで、「AIにおけるグッドプラクティスを可能にする」という課題のための一つとして、掲げられたのがこのガイダンスということになります。

このガイダンスは、

このガイダンスには、この技術の使用によって引き起こされたり、悪化したりするリスクを軽減するために、組織が使用できるベストプラクティスと技術的手段に関する推奨事項が記載されています。これは、現在のAIの実践を反映したものであり、実際に適用可能です。

というものです。

ガイダンスは、こちらです。

序分きエグゼクティブサマリを機械翻訳します。

-----

序文

このガイダンスを読んでいる人なら誰もが、AI の革新性、機会、社会への潜在的な価値については強調する必要はないでしょう。

また、個人データの処理を不透明なアプローチやアルゴリズムを持つ複雑なコンピュータ・システムに移行させる技術の使用に伴う様々なリスクを強調する必要もないでしょう。

このガイダンスは、組織がデータ保護の観点から特に生じるリスクを軽減し、そのようなプロジェクトが提供できる利益を見失うことなく、データ保護の原則がAIプロジェクトにどのように適用されるかを説明するのに役立ちます。

データ保護の基本的な問題は、最も複雑なAIプロジェクトであっても、どのような新しいプロジェクトでも同じであるということは、以下のページで特に注目すべき点です。データは公正、合法、透明性を持って使用されているか?人々は自分のデータがどのように使用されているかを理解しているか?データはどのように安全に保管されているか?

例えば、説明責任の法的原則は、顧客の連絡先詳細の単純な登録を実行しているか、将来の消費者の需要を予測するために高度なAIシステムを運用しているかにかかわらず、組織が個人データの処理から生じるリスクを説明することを要求しています。

ガイダンスのいろいろな面は、AIプロジェクトを実行している人にとって、メモワールのような役割を果たすべきである。データ保護の影響評価や意思決定を文書化することが要求事項とされることに驚きはないはずです。ガイダンスは、この作業にどのようにアプローチするのが最善かについてのサポートと方法論を提供している。

法律の他の側面については、より深く考える必要がある。例えば、データの最小化は、大規模なデータセットからどのような情報が必要かを機械学習が結論づけるシステムとは相容れないように思われるかもしれません。しかし、ガイダンスが示しているように、これは、かならずしも対立するものではなく、組織が目的に必要な個人データのみを確実に処理できるようにするための技術がいくつかあります。

同様に、処理の透明性、差別の緩和、自動化された意思決定の可能性に関する個人の権利の確保は、難しい問題を提起する可能性があります。これらの側面は、2020年5月にアラン・チューリング研究所とともに発表された既存のガイダンス「AIガイダンスによる意思決定の説明」によって補完されています。

これらの困難な分野に共通している要素、そしておそらくは、早い段階での成果となることは、データ保護を検討することの価値です。リスクの軽減は設計段階で行わなければなりません。プロジェクトの最終段階においてコンプライアンスをボルトで後付けすることは、快適なコンプライアンスや実用的な製品につながることはほとんどありません。このガイダンスは、データAIのアプローチを利用している人々に最終的に利益をもたらすような形で、コンプライアンスとの早期の関わりを伴うものでなければなりません。

私たちの社会におけるAIの開発と使用は成長し、進化しており、長い旅の初期段階にあるように感じます。私たちは、この基礎となるガイダンスを基にして、AIの開発とプライバシーへの影響に焦点を当て、AIを開発・利用する人々にデザインによるプライバシーを促進するツールを提供し続けていきたいと思います。

最後に、この文書の執筆者の一人であるルーベン・ビンズ教授の優れた仕事ぶりに感謝の意を表して終わりにしたい。Binns 教授は、AI の優れた実践を可能にするという戦略的優先事項の一環として、この複雑な分野の理解を深めることを目的としたフェローシップ制度の一環として ICO に参加しました。ビンズ教授がオックスフォード大学のコンピュータサイエンス准教授としてのキャリアを継続されることを祈念しています。

----

エグゼクティブサマリ

人工知能(AI)の応用は、私たちの生活の多くの側面にますます浸透しています。私たちは、AIがもたらす明確なメリットだけでなく、個人の権利や自由を脅かすリスクも理解しています。

そこで私たちは、データ保護コンプライアンスのベストプラクティスに焦点を当てた、AI監査のためのフレームワークを開発しました。このフレームワークは、AIアプリケーションを監査し、個人データを公正に処理するための明確な方法論を提供します。これは、以下の内容で構成されています。

  • 監査と調査で使用する監査ツールと手順。
  • AIとデータ保護に関するこの詳細なガイダンス
  • 組織が独自のAIシステムのコンプライアンスを監査する際に、より実践的な支援を提供することを目的としたツールキットです(近日公開予定)。

このガイダンスは、2つの対象者を対象としています。

  • データ保護責任者(DPO)、顧問弁護士、リスク管理者、上級管理職、ICO の監査人など、コンプライアンスに重点を置いている人、および
  • 機械学習の専門家、データサイエンティスト、ソフトウェア開発者やエンジニア、サイバーセキュリティやITリスク管理者を含むテクノロジーの専門家

を対象としています。
このガイダンスでは、データ保護の観点からAIがもたらす権利と自由に対するリスクをどのように評価できるか、また、それらを軽減するために実施できる適切な対策を明確にしています。

データ保護と「AI 倫理」は重複しますが、このガイダンスは、AI の使用のための一般的な倫理原則や設計原則を提供するものではありません。データ保護の原則に対応しており、以下のように構成されています。

  • パート1では、データ保護の影響評価(DPIA)を含む、AIにおける説明責任とガバナンスを扱う。
  • パート2では、合法的な根拠、AIシステムのパフォーマンスの評価と改善、潜在的な差別の緩和など、公正で合法的かつ透明性のある処理を取り上げています。
  • パート3では、データの最小化とセキュリティを取り上げています。
  • パート4では、自動化された意思決定に関連する権利を含む個人の権利の遵守をカバーしています。

説明責任の原則は、データ保護を遵守し、あらゆるAIシステムでその遵守を実証する責任を負わせるものです。AIのコンテキストでは、アカウンタビリティは以下のことを要求します。

  • システムのコンプライアンスに責任を持つこと。
  • システムのリスクを評価し、軽減する
  • システムがどのように準拠しているかを文書化して実証し、行った選択を正当化する。

使用する予定のシステムの DPIA の一部として、これらの問題を考慮する必要があります。個人データを処理するAIシステムを使用する場合、大多数のケースでは、DPIAを完了することが法的に求められていることに注意してください。DPIAは、個人データを処理するためにAIシステムを使用する方法と理由、そして潜在的なリスクは何かを検討する機会を提供します。

また、管理者と処理者の関係を特定し、理解するために注意を払う必要があります。これは、AIサプライチェーンに一般的に関与する様々な種類の処理の複雑さと相互依存性に起因しています。

AIシステムに関連して、データ保護の権利とその他の基本的権利との間で必要なバランスを取るためには、必然的に競合する様々な考慮事項や利益を考慮する必要があります。設計段階では、これらが何であるかを特定し、評価する必要があります。そして、処理の目的や個人の権利や自由にもたらすリスクとの関連で、それらをどのように管理するかを決定する必要があります。ただし、AIシステムが個人データを処理する場合は、基本的なデータ保護原則を常に遵守しなければならず、この要件を「取引」することはできないことに注意する必要があります。

AI を使用して個人データを処理する場合は、それが合法的、公正、透明性のあるものであることを確認しなければなりません。これらの原則を遵守することは、AIの文脈では困難な場合があります。

AIシステムは、既知のセキュリティリスクを悪化させ、管理をより困難にする可能性があります。また、データ最小化の原則を遵守することも困難になります。

AIが増加させる可能性のある2つのセキュリティリスクは、以下の可能性です。

  • AIシステムを訓練するためにしばしば必要とされる大量の個人データの損失や誤用。
  • 新たなAI関連のコードやインフラの導入に伴って導入されるソフトウェアの脆弱性。

デフォルトでは、AIの開発と配備のための標準的なプラクティスには、大量のデータを処理することが含まれています。これは、データ最小化の原則を遵守できないリスクがある。データの最小化と効果的なAIの開発と配備の両方に役立つ技術がいくつか存在する。

AIシステムが開発・展開される方法は、個人データが異常な方法で管理・処理されることが多いことを意味します。このため、個人の権利がいつ、どのようにこのデータに適用されるかを理解することが難しくなり、個人が権利を行使するための効果的なメカニズムを実装することが難しくなる可能性があります。

----

あとは、個別で論じられています。

総論的には、AIの戦略的重要性、定義、他のICOの報告との関係などが注目かと思われます。

説明責任の意義のガイダンスでは、リスクアプローチの手法、影響評価の概念と手法、管理者(コントローラー)の重要性、トレードオフのマネージメントなどの論点が触れられています。

AIシステムの取扱いの適法性、公平性、透明性を確かにするためには、のガイダンスでは、どのようにそれら原則が適用されるのか、目的をどのように特定するのか、統制的な正確性についてどのようにするのか、偏見や差別のリスクをどう評価するのか、という議論がなされています。

AIにおけるセキュリティやデータ最小化の議論もあります。セキュリティリスクが何か、AIモテルに適用されるプライバシー攻撃、どのようなステップでリスクを管理するのか、データ最小化等の手法の活用が論じられています。

具体的な攻撃手法として「モデル反転攻撃」と「メンバーシップ推論攻撃」があげられています。

これからの防護のためのステップのガイダンス等もなされていて、参考になります。が、詳細は、また、別の機会に。

AIシステムにおける個人の権利を確実にするために、というガイダンスが最後になります。

このガイダンスは、AIライフサイクルにおける適用、特に、トレーニング段階における個人の権利の問題、アウトプットにおける権利の問題、モデル自体における個人の権利の問題などがあり、それぞれに対する議論が展開されています。それぞれ興味深い問題ですが、詳しく検討するのは、また、別の機会になるかと思います。

---

数年前のSF映画のAI問題から、現実の技術としてのAI技術の個別の問題へと問題が現実化しているのがわかります。このガイダンスは、参考文献へのリンクも充実しているので、この問題について興味を持つ人の必読ガイダンスといえるようにみえます。

北朝鮮のサイバー攻撃、国連安保理も対象に 専門家パネル報告書

「北朝鮮のサイバー攻撃、国連安保理も対象に 専門家パネル報告書」という記事がでています(8月4日 日経新聞)。

https://www.nikkei.com/article/DGXMZO62283360U0A800C2FF8000/

AP通信の記事をもとにしたNY Timesの記事は、こちら

内容的には、最終の報告書が明らかにされるが、

そこでは、サイバー攻撃を安保理の理事国や専門家パネルにも向けている実態がわかった。

というものです。

この専門家パネル報告書というのは、国連安保理の決議1874(2009)によってに設けられた専門家パネルになります。決議の和訳は、こちらです。

制裁委員会自体は、決議0718(2006)によるものです。

専門家委員会は、いままでに、北朝鮮の国連安保理決議違反についての報告をなしています

このテーマに関連する議論の経過についてのノートは、すでに公表されています

CCD CoEの分析のノートは、こちらです

ノートのサイバーの部分を訳出すると

パネルによると、北朝鮮は、安保理加盟国の国連代表(S/2020/151、パラグラフ115~116)、制裁委員会、専門家パネル(同上、パラグラフ117~118)など、サイバー手段を用いてさまざまな主体や個人を標的にしている。インドの宇宙研究機関とクダンクラム原子力発電所(同書、パラグラフ119)、韓国の大宇造船海洋工学有限公司(同書、パラグラフ119 Ltd. S/2018/171, para.121)では特に、これらに対するサイバー攻撃は武器禁輸に関する制裁違反の可能性があるとの見方を示した。

北朝鮮はまた、世界中の銀行や暗号通貨取引所を標的とし、暗号通貨のマイニング(S/2019/691、パラ66)や暗号ジャッキング(S/2019/691、パラ67)を行っている。最もよく知られている事例は、2016年のバングラデシュ銀行のサイバー強盗事件であり、その間に8100万ドルの送金に成功した(S/2019/171、パラ.112)、2017年のWannaCryランサムウェア攻撃であり、150カ国の20万台以上のコンピュータに影響を与え、北朝鮮に広く帰属するとされた(S/2019/171、p.49、n.106、パラ.114、S/2019/691、パラ.64~65)。パネルが調査中の事例の包括的なリストは、S/2019/691の附属書21に掲載されている。パネルは、サイバー攻撃によってもたらされた収入の総額を約20億ドルと推定し(S/2019/691、パラグラフ57)、このような収入が北朝鮮の大量破壊兵器(WMD)計画の資金源となっていることを指摘している。同書は、「安全保障理事会は、今後の追加制裁措置の草案を作成する際には、北朝鮮のサイバー手段による制裁回避に明確に対処することを検討する」よう勧告している(S/2020/151, para.184)。そのための追加制裁措置には、「電信、無線、その他の通信手段の完全または部分的な中断」(国連憲章第41条)が含まれる可能性がある。

となっています。

報告書の性質からいって、制裁の実際の適用と、それに対する制裁逃れの実態についての報告書になるかと考えられて、サイバーの部分は、その一部になりそうですが、北朝鮮の実態は、ニュースバリューがあると考えられるのかと思います。

最終報告書においては、上述の部分についてのサイバー攻撃の事実が認定されて、それらが北朝鮮の制裁逃れという認定がなされることになるものと考えられます。

ちなみ米国のアラートは、こちらです。

 

米司法省、中国人ハッカーを起訴–新型コロナの研究などを狙う

「米司法省、中国人ハッカーを起訴–新型コロナの研究などを狙う」という記事がでています。

FBIのプレスリリースは、こちらです。

起訴状は、こちら

LI Xiaoyu (李啸宇)と DONG Jiazhi (董家志)が起訴されています。

起訴状の序では、ともに、工科大学の電子工学のクラスメイトであったこと、侵入などのトレーニングを積んでいたこと、最近は、新型コロナウイルスのワクチン、対処、検査技術の会社の脆弱性を検査していること、被会の会社は、世界中に及んでいることが記載されています。また、データを窃取するのみではなく、中国の国家安全省とともに、その援助をうけて、自らの利益としたこと、も明らかにされています。また、窃取された情報には、軍事衛星プログラム、軍事無線ネットワークシステム、マイクロウェーブやレーザシステム、対科学兵器システムの情報などがあるとされています。

あとは、訴因1(無権限アクセス・損傷の共謀)などで具体的な日時、手法が記載れています。webシェルの利用などが起訴状記載されています。2014年12月から、2020年まで13の被害会社が記載されていて、被害者13は、日本の医療機器メーカーの米国子会社とのことです。なお、海外の被害者の状態も被害者14から、被害者25まで記載されています。

訴因2は、営業秘密の窃取の共謀、同3は、無権限アクセス、同4は、電信詐欺の共謀、同5から11は、身元窃取です。