【イギリス】政府、「AIサイバーセキュリティ行動規範」発表。日本も人材連合ICCSWに加盟

　英科学・イノベーション・技術省は1月31日、サイバー攻撃からAIシステムを保護する新たな任意規範として「AIサイバーセキュリティ行動規範」を最終発表した。同時に実践ガイドも発行した。欧州電気通信標準化機構（ETSI）を通じ、グローバル・スタンダードの地位確立を目指す。

　英政府は、以前は企業が自主的にAIの安全性に関する行動規範を策定すべきというスタンスを採っていたが、同省が2023年11月、英国の国家サイバーセキュリティセンターが策定した「安全なAI開発のためのガイドライン」を基に、AI行動規範の原案を発表。2024年5月から8月までパブリックコメントを募集した結果、回答者の80%から支持を得た。

【参考】【イギリス】オンライン安全法成立。AI安全では大手7社がポリシー制定。市場リード狙う（2023年10月31日）

　同行動規範は、開発業者（デベロッパー）、システム・オペレーター、データ・カストディアン、エンドユーザー、影響を受ける法人を想定。設計、開発、実装、保守、エンド・オブ・ライフ（廃棄）の5つの段階をカバーし、全部で13の原則で構成されている。さらに、各原則に細則も設けられ、適用される事業者種別も特定されている。

• 原則1：AIのセキュリティ上の脅威とリスクに対する認識を高める
• 原則2：AIシステムを機能性と性能だけでなく、セキュリティも考慮して設計する
• 原則3：AIシステムに対する脅威を評価し、リスクを管理する
• 原則4：AIシステムに対する人間の責任を可能にする
• 原則5：資産を特定、追跡、保護する
• 原則6：インフラを保護する
• 原則7：サプライチェーンを保護する
• 原則8：データ、モデル、プロンプトを文書化する
• 原則9：適切なテストと評価を実施する
• 原則10：エンドユーザーおよび影響を受ける法人とのコミュニケーションとプロセス
• 原則11：定期的なセキュリティ更新、パッチ、緩和策をメンテナンスする
• 原則12：システムの動作をモニタリングする
• 原則13：適切なデータおよびモデルの廃棄を確保する

　英政府は、サイバーインシデントがもたらす深刻な混乱にもかかわらず、取締役会や経営陣は、理解不足、トレーニング不足、時間不足等の理由により、サイバー問題への対処がうまくいっていないと警告。今回の行動規範策定にとどまらず、サイバーセキュリティ・レジリエンス法の立法手続も進めている。

　英政府は2024年9月、AIサイバーセキュリティ分野に人材不足に対処するための国際会合を開催。そこでの宣言に基づき、今回「国際サイバーセキュリティ人材連合（ICCSW）」を新たに発足した。英国の他、日本、カナダ、シンガポール、ガーナ、アラブ首長国連邦（UAE）のドバイ首長国政府が現在の加盟国となっている。ICCSWは、共通のサイバーセキュリティ・スキル・フレームワークの開発や、トレーニング内容の共有、国際協力の推進等を掲げている。

【参照ページ】World-leading AI cyber security standard to protect digital economy and deliver Plan for Change

株式会社ニューラル サステナビリティ研究所