「通信の秘密」にコメントする前に気をつけたいこと

昨年来、なにかあると「通信の秘密」という言葉に関連して、報道されることが多くなってきました。

例えば、

(1)ISPによるブロッキングが、憲法の「通信の秘密」の規定に違反するおそれ

(2)NHKによる「総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も 」報道 (どうも、NHKの報道は消えていますね)

(3)捜査当局が、スマホからのデータ抽出は、「電話やメールの内容は憲法が定める「通信の秘密」に当たる。」

とかです。

個人的には、これらが、法的にきちんとした分析に基づいて「通信の秘密」という用語を用いてるのかなという疑念をもっています。

この点で、注意すべきことは、憲法における「通信の秘密」と電気通信事業法における「通信の秘密」が法律の概念としては、あって、それぞれの関係が不明であること、しかしながら、憲法の教科書では、ほとんど、同一であるとされる記述が一般であることです。

この点については、明確な検討がなされていないどいうことがいえるわけです。ただし、憲法の教科書の一般的なアプローチからは、憲法の通信の秘密も、(電気通信事業法と同じで)国内の遠隔通信に関して、電気通信事業者の取扱中にかかる通信に関する秘密を念頭において議論されているということになります。
(有線通信や無線通信はちょっとおきます)

ここで、電気通信事業者の取扱中というのは、「発信者が通信の発した時点から受信者がその通信を受けるまでの間をいい、電気通信事業者の管理支配下にある状態のものをさします」( 電気通信振興会 逐条解説 35ページ)。

例えば、スマホでいえば、そのスマホ内に物理的に保存されているデータは、利用者の管理支配下にあることになります。(利用者の宅内にある自営端末(略)は、「電気通信事業者の取扱中」とはなりえない)ちなみに、この物理的にどこで支配が変わるのか、というのが、責任分界点ですね。

なので、少なくても一般的な電気通信事業法の概念からいくと、例えば、改正NICT法での調査が、「通信の秘密」に違反するおそれとかいわれると?とおもうわけです。
(そもそも、根拠規定で、違法性が阻却されているだろうというのは、さておいてですが)

さらに、この話は、いま一つ、突っ込みがあるわけです。実は、逐条解説をみると、「蓄積機能を有する自営端末において、すでに蓄積された情報を事後に検閲する場合(略)などは、(電気通信事業法3条、4条-高橋の補充です 原文は3条)禁止している行為ではないものの、憲法21条2項および有線電気通信法9条違反に該当する行為となりうる」(35ページ)と記載されています。

なので、そのレベルで、解釈論をなしているのであれば、(2)および(3)は、嘘とはいえないということになります。もっとも、(2)および(3)ともに法的な根拠があってなしている行為なので、そもそも違法とは考えられないという根本的な問題をなぜに無視するのか、という当たり前の問題が残ることになります。

NICT法によるアクセスの総務省令による基準

ここ数日の報道の関係で、去年の7月に書いた「NICT法改正と不正アクセス禁止法」という記事が、ある程度、アクセスいただいているようです。

その段階では、はっきりしてしないかったことがらに具体的なアクセスの基準があるわけです。この点については、昨年に、省令がでていてはっきりしますので、その点をメモしておきたいと思います。(というか、省令がなかなかひっかからないので、その所在のメモです)

省令の名称は、「国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)附則第八条第四項第一号及びび第九条の規定に基づき、国立研究開発法人情報通信研究機構法附則第八条第四項第一号に規定する総務省令で定める基準及び第九条に規定する業務の実施に関する計画に関する省令」(総務省令61号)(平成30年11月1日)です。

概要は、こちら

省令本体は、こちらです。

1条は、(識別符号の基準)
一 字数八以上であること。
二 これまで送信型対電気通信設備サイバー攻撃のために用いられたもの、同一の文字のみ又は連続した文字のみを用いたものその他の容易に推測されるもの以外のものであること。

2条は実施計画
2項は、「機構が作成する実施計画には、次に掲げる事項を記載しなければならない。」として、業務従事者の氏名・所属部署・連絡先(1号)、IPアドレスその他設備に関する事項(2号)、識別符号の方針及び当該方針に基づき入力する識別符号(3号)、対象のIPアドレス等(4号)、ログ等のセキュリティ管理措置その他(5号)、その他
です。

とりあえず解説のメモもでているようです。

ちなみに、通信の端末に保存されているデータから、通信先がわかったとしても、それは、「電気通信事業者の取扱中にかかる通信」とはいえない(例によって宅内ね)ので、通信の秘密というのは、ミスリーディングのような気がするんですけどね。

 

トラストサービスフォーラムinベルリン Day2 その1 後半

次は、「PKIは、どのくらい使われるか(How much PKI is in:PSD2; eIDAS; GDPR)」というArno Fiedler( Nimbus)さんの話です。欧州の規範を利用してeIDASを実装するという趣旨での話です。スライドは、こちらです。

欧州は、現在、デジタル単一市場を目指しており、決済については、SEPA(単一決済エリア)が目指されていることになります。
ここで、特に、決済サービス指令2(PSD2)のための技術的標準をみることになります。
ちなみに、決済サービス指令2の 本文はこちら)で、についての簡単な説明についてはこちらです。

関連する規定としては、

第29条トレーサビリティ

決済サービス提供者は、決済サービスユーザー、他の決済サービスプロバイダー、および商人を含む他の企業の間で確立された通信セッションが、タイムスタンプなどに依拠するように、確かにしなければならない

第34条 証明書

識別のために、(略) 支払いサービス提供者は、規則(EU)No 910/2014の第3条(30)に記載されているような電子シールのための、または第3条(39)第35条に記載されているようなウェブサイトの認証のための認定証明書に依拠しなければならない。

通信セッションのセキュリティ

1 ./ インターネットによるデータ交換に際して、データの機密性および完全性を保護するために、強力で広く認識されている暗号化技術を使用して、各通信セッションを通して通信相手間で安全な暗号化が適用される

とされています。
また、GDPRにおいては、32条の仮名化、32条の取扱の安全措置が、関連してることになります。
eIDAS要件では、5条(データ取扱および保護)、13条(責任および証明の責任)、15条(ユニバーサルアクセス)、16条(罰則)、19条(セキュリティ要件)がかかわってきます。
最後に、欧州のeIDとがブルーワンダーになるようにということで、プレゼンは、終了です。

次は、Andrea Röck(Universign, ETSI STF 524 expert)さんの「ETSIの電子署名と署名検証サービス」(ETSI ESI and Signature Validation Services)というプレゼンです。スライドは、こちら
基本的な内容は、(1)eIDASにおける標準のアップデート(2)署名検証サービスです。
(1)eIDASにおける標準のアップデート
最初にフレームワークは、こちらです。

アップデートされたものとしては、CA Policy Requirements: EN 319 411-1/2、決済サービス指令2のもとでの適格証明書のアップデート、リモート署名に関して、信頼しうるシステムのためのCEN(欧州標準化委員会)標準(EN規格については、こちらhttps://rnavi.ndl.go.jp/research_guide/entry/theme-honbun-400383.php )、生成のプロトコルとコンポーネント要件、内容配達証明、長期保存、トラストリスト、監査要件の補充、機械による取扱の様式があります。具体的なものは、スライドにあげられています。また、最後に、欧州のトラストサービスについての国際的承認の話がでています。

個人的には、「決済サービス指令2(PSD2) のもとでの適格証明書のアップデート」と「欧州のトラストサービスについての国際的承認」が気になるところです。

PSD2については、委任規則が本人確認等についての細かい点を定めています。

具体的には、「2015/2366(EU)指令における強力な利用者識別および通信の一般かつ安全なオープンな標準に関する委員会委任規則(Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication )」になります。この委任規則の本文は、こちらでみれます。

また、欧州のトラストサービスについての国際的承認」においては、「Study report on Global Acceptance of EU Trust Services」(‘DTR/ESI-000123)があげられています。スケジュールをみることができますが、まだ、早期案の作成中のようです。また、ワークショップがふれられていて、ターゲットとして日本が最初にあがっているのは、興味深いところです。

(2)署名検証
「ETSI STF 524」(特別タスクフォース 524)ですが、これは、2016年に始まり、三つのドキュメントがでています。
TS 119 102-2: Validation Report(https://www.etsi.org/standards-search#search=TS119102-2
TS 119 441: Policy Requirements for TSPs Providing Signature Validation Services(https://www.etsi.org/deliver/etsi_ts/119400_119499/119441/01.01.01_60/ts_119441v010101p.pdf
TS 119 442: Protocol for Signature Validation Services (https://portal.etsi.org/webapp/WorkProgram/Report_WorkItem.asp?WKI_ID=47246
あと、関連のドキュメントもあります。

Matthias Wiedenhorst (TÜVIT)は、「監査報告の苦闘(The struggleofauditreporting)」です。スライドは、こちら

eIDAS3条(18)による適合性評価機構が、国家評価機構としてなす組織は、実質的に唯一であるということになる。

評価の一般的なマトリックスは、TR 119 000, V1.2.1により、 ETSI EN 319シリーズが、トラストサービスプロバイダの監査についてのひとつの欧州の標準ということになる。
しかしながら、監査報告の枠組みについては、いろいろな枠組みが存在することになります。

まずは、ENISAのトラストサービスの適合性評価ガイドライン(Conformity assessment of Trust Service Providers – Technical guidelines on trust services)。(https://www.enisa.europa.eu/publications/tsp-conformity-assessment

ETSI TS 119 403-2 V1.1.1 (2018-07)(https://www.etsi.org/deliver/etsi_ts/119400_119499/11940302/01.01.01_60/ts_11940302v010101p.pdf
ETSI TS 119 403-3(https://docbox.etsi.org/esi/Open/Latest_Drafts/ESI-0019403-3v007-for-public.pdf

結局、ひとつの様式にするのは、現実的ではないとして、誰が、問題点を解決するのであろうかという問いがなされます。

適合性評価機関委員会(ACAB-c)か、FESA(トラストサービス提供者への監督機関フォーラム)か、または、EUか、ということになります。

トラストサービスフォーラムinベルリン Day2 その1前半

CA Day – Wednesday, 24 October 2018

Kim Nguyenさんの簡単なWelcomeのあと、Sławomir Górniak (ENISA)さんの「サイバーセキュリティパッケージと新しいENISAの役割」(The Cybersecurity Package and the new role of ENISA)の講演です。スライドはこちらです。

ENISAは、サイバーセキュリティ法のもとで、サイバーセキュリティ庁として改組されることになり、その説明になります。
個人的には、2010年に調査の関係でクレタ島を訪問したのが記憶にのこっています。

ENISAは、欧州共同体の能力向上、政策立案、専門的分析等をその行動としています。
2017年のユンカー大統領が、サイバーセキュリティ庁としてサイバー攻撃に対抗するということをいったのが、その最初になります。映像は、こちらです。その際のプレスリリースは、こちら

Cyber Security Package 2018は、Day1でも簡単にでてきました。サイバーセキュリティ法関係のドキュメント関係は、こちらです。
サイバーセキュリティ法提案、サイバーセキュリティ戦略、プループリント、「NISの最大利用」コミュニケを考えることができます。

サイバーセキュリティ法(「ENISA(サイバーセキュリティ庁)と情報/通信技術のサイバーセキュリティ認証に関する規則」案)は、こちらです。)

2018年12月11日に、議会と理事会、委員会は、政治的に合意にいたっています(https://ec.europa.eu/commission/news/cybersecurity-act-2018-dec-11_en)。

同法は、6つの目的をもっています。具体的には、
1 EUおよび加盟国レベルでの能力と備えの向上
2 利害関係者の協力と調整を改善する
3 加盟国の行動を補完するためのEUレベルの能力の向上
4 EUにおけるサイバーセキュリティ意識の促進
5 サイバーセキュリティ保証の透明性の向上
6 認証スキームの細分化を避ける
になります。

この提案は、二つのパートからなりたっています。タイトル2は、ENISA-「EUサイバーセキュリティ庁」(3条から42条)で、一方、タイトル3は、サイバーセキュリティ認証枠組み(43条以下)です。より、強制的な政策が必要であることから、適切な資源があって、永続的な立場を与えるということで、ENISAの役割を強化する必要があったわけです。
より強靱なENISAは、法律と政策の任務、能力構築、運営協力、市場と認証、意識向上、研究とイノベーション、国際協力を課題とするわけです。

前者は、ENISAを強化し、補強するもので、特に、政策策定と実施の役割、 業務協力の役割 – ブループリント、 研究資金プログラムへの参加の点について変更が加えられています。

後者は、「EUレベルのサイバーセキュリティ認証の枠組み」であって、 候補スキームの作成におけるENISAの役割、 「欧州サイバーセキュリティ認証グループ」のためにENISAが提供する事務局的支援が述べられています。

後者についてみていきましょう。認証については、

「「特定の要件を満たしていることの証明と公正な第三者認証の提供」もしくは、「「定義された一連の基準規格に対する独立した認定機関による製品、サービス、およびプロセスの正式な評価、および適合性を示す証明書の発行」という定義がなされています。もともとは、コモンクライテリアによってさだめられていたところです。各国における相互承認は、SOG-IS(情報システムセキュリティ上級グループ-)による相互承認協定によっています(https://www.sogis.org/)。

EU戦略の全体像との関係については、Day1のとおりです。

この枠組みの特徴は、国家ICTセキュリティ認証イニシアチブによる断片化を回避、相互承認を促進する、保証レベル(基本、実質、高)を定義する、手順を簡素化し、IT製品とサービスの展開にかかる時間とコストを削減する、ヨーロッパの製品とサービスの競争力と品質を向上させる、購入するICT製品やサービスに対するユーザーの自信を高めるの特徴を有しています。

提案された枠組みにおける重要な要素は、範囲(過程、製品、サービス)、参照される標準、適合性評価機関のためのサイバーセキュリティ要件、申し込み者によって適合性評価機関に提供される情報、マーク・ラベル利用/証明書の条件、適合性に関するモニタリングルール、脆弱性報告のルール、証明書の内容(機関、開示、相互承認)です。

外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明

「外務省とNISC、「APT10」グループのサイバー攻撃に警戒表明」という記事がでています。

外務談話は、こちらです。

NISC注意喚起は、こちらです。

まず、APT10が、国際法的に、どのように位置づけられるのか、ということになります。

まず、このような攻撃が、国家に帰属する行為であることがポイントになります。国家の帰属については、タリンマニュアル2.0の規則17「非国家主体によってなされたサイバー作戦は、次の場合に国家に帰属する(以下、略)」という原則が適用されることになります。「中国・天津にある公安当局と連動して」というのが、そこになります。

でもって、同規則32の解説によると「データ入手を目的として他国のサイバー・インフラにハッキングした所、そのインフラの機能が停止した場合」主権侵害になります。この案件では、そのレベルだったと認定されれば、主権侵害となり、これら一連の行為は、中国の国際的違法行為ということになります。この場合、同規則20によって、国家は「対抗措置(性質上サイバーであるか否かを問わないをとる権限を有する」とされます。

本件は、上記国際的違法行為を認定しているかは、微妙に思えますが、外交としての責任決定(アトリビューション)を行っているとなると思います。

ところで、これが異例か、ということになります。アメリカでは、前から行っています(ソニーピクチャー事件のオバマコメント やWannaCry、NotPetya事件でのコメント)。

外務省も「中国を拠点とするAPT10といわれるサイバー攻撃グループに関して声明文を発表しました。我が国としても,サイバー空間の安全を脅かすAPT10の攻撃を強い懸念をもって注視してきており,サイバー空間におけるルールに基づく国際秩序を堅持するとの今般のこれらの国の決意を強く支持します。」となっており、上の外交としての、帰属表明・非難となっているように思えます。

その意味で、国際的な規範が、国家の実行によって明らかになってきている、というような気がします。

—12月22日 追記—

でもって、「上記国際的違法行為を認定しているかは、微妙に思えます」としました。これは、中谷ほか「サイバー攻撃の国際法-タリンマニュアルの解説」に依拠して、エントリを書いたわけです。そこでは、機能の停止が主権侵害の要件とされています。でもって、情報の取得のみで主権侵害ではないのか、ということになります。タリンマニュアル2.0オリジナルを読んだところ、規則32のコメント6以下のところでは、種々の場合について、多数説において主権侵害と解される場合などが論じられています。この件についていえば、多数説レベルだと機能喪失(コメント6)、人権侵害(コメント6)、被侵害国内での活動を伴う場合(コメント9)、計画全体が、武力の行使の予備行為の場合(コメント10)などで主権侵害を認めている。また、少数説は、重大性(コメント8-合意に達しない)があれば、主権侵害と考えます。

 

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声

トラストサービスの報告の途中で、ちょっとコメントを挟んでしまいます。

“ウイルスのプログラム” 公開で罰金刑 研究者から疑問の声というNHKのニュースがあります。

司法が判断するのは、当然だとしても、その段階で技術的な正確な評価がシステム的にはいってこないというのは、問題かもしれません。検察庁も、やっと人をITまわりのところに出向させるようになってきているのですが、それをうまくシステム的にいくところまでもっていってほしいです。

ということで、米国の2001年段階(17年前)の状況をみてみましょう。

司法省の捜索・差押マニュアルからです)

(1)連邦の区の段階では、どの連邦検察官事務所にも、コンピュータ電気通信コーディネーター(以下「CTC」)として任命された連邦検察官補が、少なくとも一人は、配置されていた。

CTC は、コンピュータ関連の犯罪の広範囲にわたるトレーニングを受けて、自己の地区の内で捜索・差押マニュアルでカバーされる話題に関連する専門的技術を提供することを主たる責務としています。

(2)ワシントンDC の米国司法省の刑事課の中のいくつかのセクションがコンピュータ関連の分野に専門的技術を持っている。
ここらへんは、我が国も結構、専門的な技術のレベルでは、準備が整っているようにみえるのですが、どうでしょうか。

(3)コンピュータ犯罪と知的財産セクション(以下「CCIPS」)が常設されている。
一般の執務時間中は、少なくとも2 人のCCIPS 法務官が、捜査官と検察官に対してコンピュータ犯罪の事案で起こる他の事柄と同様に捜索・差押等の話題について質問に答え、支援を提供すべく勤務している。
捜索・差押マニュアルには、「CCIPS の代表番号は(202)514-1026 である。執務時間後は、ジャスティス・コマンドセンター(202)514-5000を通じてCCIPS に連絡をとることができる。」という記載があります。

ということなので、必要なのは、システム的に完備することのような気がします。
個人的には、技術者と司法が協力すべきだ、といってみても仕方がないような気がします。

2018年米国サイバー戦略をどう見るのか

結局、メディアのような「サイバー兵器を使いやすくなる」とか、「攻撃的対処も可能に」「先制攻撃の権限拡大」とか、威勢のいい表現は、見つけることができませんでした。

むしろ、文言を見ていくと、同盟国とのインテリジェンスをも活用した攻撃の責任帰属の確定とその公的アナウンスによって、外向的手法で、安全なネットワークを構築していこうという実務的な手法の強調が重要視されていると私は、読んでみました。

ソニーピクチャーズでのオバマ大統領のTVインタビュー、NotPetyaでのアナウンスメントと、サイバー戦略としての継続性をみるわけです。

メディアの論調としては、異なりますが、Law & Policyの専門の分析がどのように分析をしているのか、ちょっと聞いてみたいところです。

 

米国サイバー戦略の分析(柱4)

ピラーIV:アメリカの影響力を先進させる

この柱は、米国がインターネットのイノベーションの多くを生んだものと見ていること、国際的なサイバー問題のためのリーダーシップをとっていることにふれています。目的としては、長期にわたる公開性、相互流用性、セキュリティ、信頼性を保持することといっています。

この柱は、「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」と「国際サイバーキャパシティを構築する」から成り立っています。

「オープンで、相互運用可能で、信頼性が高く、安全なインターネットを促進する」においては、産業革命以来の比類なき発展がなされていること、人権・基本権をめぐる争いがおきていること、米国は、オープンで、相互運用可能で、信頼性が高く、安全なインターネットを守り、促進するという原則にたつこと、というだとされています。

優先行動として

  • 「インターネットの自由を守り、促進する」
  • 「同様の国、産学官、市民社会との連携」
  • 「インターネットガバナンスのマルチステークホルダーモデルを推進する」
  • 「相互運用可能で信頼性の高い通信インフラストラクチャ/インターネット接続を促進する」
  • 「米国の企業のための市場の促進と維持」

があげられています。

「国際サイバーキャパシティを構築する」は、パートナーに防衛し、米国を援助する能力を供えさせ、より広い外交、経済、安全保障の目標達成に貢献すること、これを通じて、戦略的パートナーシップを構築すること、アメリカの影響力を構築するのち重要であること、などが述べられています。

このために優先してなすべき行動としては、「サイバーキャパシティビルディングの取り組みを強化する」があげられ、ここでは、同盟国・パートナー国のサイバー能力の強化と相互運用性の強化が述べられています。

米国サイバー戦略の分析(柱3)

柱3は、「強さを通して平和を保つ」です。
これは、さらに、「責任ある国家行動の規範によるサイバー安定性の向上」と「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」にわけて論じられます。

「責任ある国家行動の規範によるサイバー安定性の向上」では、「世界的なサイバー規範の遵守を奨励する」ことが優先事項であるとされています。国際法と責任ある国家の行動についての自主的な拘束力のない規範は、それを遵守することによってサイバースペースでの予測可能性や安定性を促進することが述べられています。

「サイバースペースで許容されない行動の帰属を明らかにし、抑止する」では、この意味が「悪意あるサイバー行動に対して防止、対応、抑止のためのすべての道具が利用可能である。これは、外交、情報、軍事(キネティックおよびサイバー)、経済的、諜報、帰属の公表、法執行能力を含む」ものとされています。
この表現でもって、トランプ政権は、サイバー反撃を許容するように、政策を変更したと報道されているようです。
私は、個人的には、オバマ政権からのポリシを変更するものではない、と認識しています。

  • このための優先事項としては、客観的/協調的なインテリジェンスによるリード・制裁を課す・サイバー抑止イニシアチブを構築する・悪意のあるサイバーインパクトと情報操作があげられています。
    「客観的/協調的なインテリジェンスによるリード」においては、情報コミュニティは、悪意ある行為の特定と帰属決定にすべてのサイバーインテリジェンスを用いて世界をリードしていること、この結果は、世界のパートナーと共有されること、が強調されています。

(コメント)行為者の特定は、identificationで、それが、どこの責任になるかを決定するのが、attributionという用語になっています。この点は、私のブログエントリでふれてますが、特定にアトリビューションを用いる用語法に対する私の違和感は、英語でも、正しかったようです。
あと、インテリジェンスコミニュティによる行為者特定の重要性は、NotPetyaのエントリでもふれました(Kaljulaidエストニア大統領のキーノートです)ので、その実務を念頭においた用語ですね。

  • 「制裁を課す」将来の悪事を抑止するために、迅速かつ透明性のある制裁(consequences)を課すこと、世界のパートナーと協同していることが論じられています。
  • 「サイバー抑止イニシアチブを構築する」制裁の実行は、同様のマインドをもった国家の同盟のもとでなされるときには、インパクトがあって、強いメッセージとなること、米国は、国際的なサイバー抑止力イニシアチブを開始するつもりであること、そのイニシアチブは、インテリジェンスの共有・責任帰属決定の支え・責任ある行動の公の指示表明・悪事行為者に対する共同での制裁実行を含むものであること、が述べられています。

(コメント)トランプ政権が「攻撃を最優先」にしたという評価は、この文章を正面からみるときに、誤解を招くものといえるでしょう。というか、実務的な活動をしらない「誤報」ということができます。責任帰属決定を公にして、行為者に対する抑止とするという実務的な対応が、重視されていること、NotPetya対応が、法と政策の観点からは、きわめてリーディングケースであったことが評価されるべきだったと思います。
日本だと、NotPetyaは、スルーされがちなのですが、そこを評価するのが、プロだと思います。

  • 「悪意のあるサイバーインパクトと情報操作」これは、選挙過程への海外勢力の介入に対しての対応になります。外国政府・民間企業・アカデミアとともに、市民の権利・自由を守りながら、適切なツールを用いて対抗していくことかが述べられています。

米国サイバー戦略の分析(柱2)

柱2は、「アメリカの繁栄を促進する」です。
これは、さらに、「活気あふれるデジタル経済を育む」「米国の独創性を育んで保護する」「優秀なサイバーセキュリティ人材を育成する」からなりたっています

「活気あふれるデジタル経済を育む」ための優先的な行動としては、適応可能でセキュアなテクノロジー市場にインセンティブを与える・革新の優先順位付け・次世代インフラへの投資・国境を越えたデータの自由な流れを促進する・新興技術における米国のリーダーシップを維持する・フルライフサイクルサイバーセキュリティを促進するがあげられています。

  • 「適応可能でセキュアなテクノロジー市場にインセンティブを与える」というのは、セキュアの技術を採用するための市場の障害を克服し、ベストプラクティスを促進する戦略を発展させるために連邦政府が努力するということです。
  • 「革新の優先」は、サイバー脅威を減少させるイノベーティブな能力を発展、共有、構築するのに障害となる政策的障害を排除しようということです。
  • 「次世代インフラへの投資」について、次世代技術(5G、AI、量子コンピューティングなど)の技術の進展のために連邦政府は、協力するということです。
  • 「国境を越えたデータの自由な流れを促進する」については、国家安全の名のもとに、データローカライゼーションや規制の強化をはかる国家が増加しているのに対して米国企業の競争力を減退させるとし、オープンで自由な情報の流通に努力するとしています。
  • 「新興技術における米国のリーダーシップを維持する」においては、米国のサイバーセキュリティのイノベーションを押し進め、堅固な世界的なセキュリティ市場における障害を減少させるとしています。
  • 「フルライフサイクルサイバーセキュリティを促進する」については、システムの脆弱性を減少させ、攻撃が柔軟に回復させるものとし、さらに、テスト、訓練し、運用のベストプラクティスを発展されるとしています。さらに、調整された脆弱性公表、クラウド(crowd)ソースのテストなどのイノベーティブな評価を促進させるとしています。

「米国の独創性を育んで保護する」は、さらに、米国における外国資本による投資と運用の見直しのためのメカニズムの更新・強力でバランスの取れた知的財産保護システムを維持する・アメリカのアイデアの機密性と完整性を守る、という優先事項があげられています。

  • 「米国における外国資本による投資と運用の見直しのためのメカニズムの更新」については、電気通信ネットワークが国民生活にとって重要であることから、FTCのライセンスの基準を見直すものとしています。
  • 「強力でバランスの取れた知的財産保護システムを維持する」については、特許、登録商標、著作権の知的の国際的な保護システムを発展させ、敵国が米国の調査と発展を、不当な方法で利得するのを防止するとしています。
  • 「アメリカのアイデアの機密性と完整性を守る」については、いままで、他国が、違法にアイディアなどを奪われてきており、それに対抗するよう努力するとされています。

「優秀なサイバーセキュリティ人材を育成する」においては「才能のパイプラインを構築し維持する」「アメリカの労働者のスキルアップと教育機会の拡大」「連邦のサイバーセキュリティ労働力を強化する」「エグゼクティブ・オーソリティを使用して才能を強調し報酬を与える」が優先事項であるとされています。