November 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

2025.11.17

米国国家情報長官室の話...

こんにちは、丸山満彦です。

日本に国家情報局を作るという話がありますが、米国の場合は連邦政府に国家情報長官室（Office of the Director of National Intelligence; ODNI）というのがあり、連邦政府にあるCIAと各省庁配下の情報機関（16機関）の情報、予算等の調整をするという構造になっていますね...

ということで、参考にODNIの紹介...

もともとは、連邦政府に散在している情報機関がそれぞれもっている情報を統合できていれば、9.11のテロを事前に防げたのではないかということから、CIAを含めて情報機関の連携を高めるためにODNIがつくられたようですね...

CIAには情報機関の連携を高める機能があったわけですが、CIAは海外のHUMINT業務もあるので調整機能に対して十分なリソースが当てられていなかったようです。そこで、調整機能はODNIに、HUMINTはCIAに機能分担させたようですね...

インテリジェンスはNational Intelligence Program (NIP) とMilitary Intelligence Program (MIP) の２つのプログラムがあり、NIPは外交・政策・国内安全保障・海外工作などの国家全体のインテリジェンス活動、MIPは軍事作戦に直結するインテリジェンス活動ということになっていて、NIPは国家情報長官が、MIPは国防長官が予算を管理することになっていますね...

活動については公開されていないことは多くありますが、それでも情報公開法に基づく公開や、機密情報も秘密を保持する必要がなくなれば公開されます。

要は、基本的に政府の活動は国民のためであり、透明性が重要であり、基本は公開される。ただし、「国家（ひいては国民）を守るため」に必要に応じて秘密にしておく（隠すためではない）。

国民への説明責任は、すべてを公開にすることではなく、「民主的な監督の仕組みを通じて正当性を担保」することで達成されます...なので国民に納得される手続きを適切に実行して、民主的な監督が確実に行われていることが重要です。

連邦政府には、内部監査部門（Inspector General）がありますが、ODNI等の情報機関についても例外ではなく、ODNI内部監査部門があり、内部監査報告書は公表されています。また、GAOの監査対象ともなっています...

こういうところも、国民の監督が日本よりしっかりとしているのかもしれません...

● Office of the Director of National Intelligence; ODNI

インテリジェンス・コミュニティ指令

・Intelligence Community Directives

ICD 101	Intelligence Community Policy System	インテリジェンス・コミュニティ政策システム
ICD 102	US Persons Principles	米国人原則
ICD 103	Intelligence Enterprise Exercise Program	インテリジェンス・エンタープライズ演習プログラム
ICD 104	NIP Budget Formulation, Execution, and Performance Evaluation	NIP予算策定、執行、および実績評価
ICD 107	Civil Liberties, Privacy, and Transparency	市民的自由、プライバシー、および透明性
ICD 108	Intelligence Community History Programs	インテリジェンス・コミュニティ歴史プログラム
ICD 109	Independent Cost Estimates	独立コスト見積もり
ICD 111	Accountability Reviews	説明責任レビュー
ICD 112	Congressional Notification	議会通知
112 Annex	(Gates Procedures)	（ゲイツ手続き）
ICD 113	Functional Managers	機能管理者
ICD 114	Comptroller General Access to Intelligence Community Information	会計検査院による情報コミュニティ情報へのアクセス
ICD 115	Capability Requirements Process	能力要件プロセス
ICD 116	Intelligence Planning, Programming, Budgeting, and Evaluation System	情報計画・プログラム・予算・評価システム
ICD 117	Outside Employment	外部雇用
ICD 118	IC Continuity Program	情報コミュニティ継続性プログラム
ICD 119	Media Contacts	メディア連絡窓口
ICD 120	IC Whistleblower Protection	情報コミュニティ内部告発者防御
ICD 121	Managing the IC Information Environment	情報コミュニティ情報環境の管理
ICD 122	Services of Common Concern	共通関心事項サービス
ICD 124	Electronic Medical Devices	電子医療機器
ICD 126	Implementation Procedures for the Signals Intelligence Redress Mechanism under Executive Order 14086	大統領令14086に基づく信号情報救済メカニズム実施手順
ICD 127	Preventing and Responding to Workplace Harassment	職場ハラスメントの防止と対応
ICD 128	Employment of Individuals with Disabilities	障害者の雇用
ICD 190	Critical Information (CRITIC)	重要情報 (CRITIC)
ICD 191	Duty to Warn	警告義務
ICD 203	Analytic Standards	分析標準
ICD 204	National Intelligence Priorities Framework	国家情報優先枠組み
ICD 205	Analytic Outreach	分析アウトリーチ
ICD 206	Sourcing Requirements for Disseminated Analytic Products	配布分析製品の情報源要件
ICS 206-01	Publicly Available Information, Commercially Available Information, and Open Source Intelligence	公開情報、市販情報、およびオープンソース情報
ICD 207	National Intelligence Council	国家情報会議
ICD 208	Maximizing the Utility of Analytic Products	分析製品の有用性最大化
ICD 209	Tearline Production and Dissemination	ティアライン生産と配布
ICD 211	Intelligence Community Support to the Committee on Foreign Investment in the United States (CFIUS) Threat Analysis Process	米国外国投資委員会（CFIUS）への情報コミュニティ支援脅威分析プロセス
ICD 302	Document and Media Exploitation	文書・メディア活用
ICD 304	Human Intelligence	ヒューマンインテリジェンス
ICD 310	Coord of Clandestine Human and Human-enabled FI and CI outside the U.S.	米国外における秘密工作員及び人間支援型情報収集・情報分析の調整
ICD 311	Coord of Clandestine Human and Human-enabled FI and CI inside the U.S.	米国内における秘密工作員及び人間支援型情報収集・情報分析の調整
ICD 402	DNI Representatives	国家情報長官（DNI）代表者
ICD 403	Foreign Disclosure and Release of Classified National Intelligence	外国への機密国家情報開示及び公開
ICD 404	Executive Branch Intelligence Customers	行政機関情報顧客
ICD 405	Intelligence Diplomacy	情報外交
ICD 406	Strengthen, Expand, Diversify Intelligence Community Engagements with and Prioritize Work on Non-State Entities	非国家主体との連携強化・拡大・多様化及び優先課題化
ICD 500	Director of National Intelligence, Chief Information Office	国家情報長官、最高情報責任者
ICD 501	Discovery and Dissemination or Retrieval of Information within the Intelligence Community	情報コミュニティ内における情報の発見・普及または回収
ICD 502	Integrated Defense of the Intelligence Community Information Environment	情報コミュニティ情報環境の統合的防衛
ICD 503	IC Information Technology Systems Security Risk Management	情報コミュニティ情報技術システムセキュリティリスクマネジメント
ICD 504	Intelligence Community Data Management	情報コミュニティデータ管理
ICD 505	Artificial Intelligence	人工知能
ICD 602	Human Capital: Intelligence Community Critical Pay Positions	人的資本：情報コミュニティ重要給与職
ICD 610	Competency Library for the IC Workforce	情報コミュニティ要員向け能力ライブラリ
ICD 612	Intelligence Community Core Contract Personnel	情報コミュニティ中核契約職員
ICD 613	Reciprocity for Mandatory Training	義務的訓練の相互主義
ICD 623	Highly Qualified Experts	高度な資格を有する専門家
ICD 630	IC Foreign Language Capability	情報コミュニティの外国語能力
ICD 651	Performance Management System Requirements for the IC Civilian Workforce	情報コミュニティ民間職員向け業績管理システム要件
ICD 655	National Intelligence Awards Program	国家情報表彰プログラム
ICD 656	Performance Management System Requirements for IC Senior Civilians Officers	情報コミュニティ上級民間職員向け業績管理システム要件
ICD 660	IC Civilian Joint Duty Program	情報コミュニティ民間合同勤務プログラム
ICD 700	Protection of National Intelligence	国家情報の保護
ICD 701	Unauthorized Disclosures of Classified National Security Information	機密国家安全保障情報の無断開示
ICD 703	Protection of Classified National Intelligence, Including SCI	SCIを含む国家機密情報の保護
ICD 704	Personnel Security	人事保安
ICD 705	Sensitive Compartmented Information Facilities	機密区画情報施設
ICD 706	Security Standards for Protecting Domestic IC Facilities	国内情報機関施設の保護に関する保安標準
ICD 707	Counterintelligence and Security Support for U.S. Diplomatic Facilities Abroad	在外米国外交施設に対する防諜及び保安支援
ICD 709	Reciprocity for IC Employee Mobility	情報機関職員の異動に関する相互主義
ICD 710	Classification and Control Markings System	機密指定及び管理表示システム
ICD 711	Prepublication Reviews	事前審査
ICD 712	Requirements for Certain Employment Activities by Former Intelligence Community Employees	元情報機関職員による特定の雇用活動に関する要件
ICD 731	Supply Chain Risk Management	サプライチェーンリスクマネジメント
ICD 732	Damage Assessments	損害評価
ICD 750	Counterintelligence Programs	防諜プログラム
ICD 801	Acquisition	調達
ICD 900	Integrated Mission Management	統合任務管理
ICD 906	Controlled Access Programs	アクセス管理プログラム

インテリジェンス・コミュニティ政策指針

・Intelligence Community Policy Guidance

ICPG 101.1	Intelligence Community Directives and Policy Guidance	インテリジェンス・コミュニティ指令及び政策指針
ICPG 101.2	Intelligence Community Standards	インテリジェンス・コミュニティ標準
ICPG 101.3	Intelligence Community Policy Memoranda	インテリジェンス・コミュニティ政策覚書
ICPG 107.1	Requests for Identities of U.S. Persons in Disseminated Intelligence Reports	公開情報報告書における米国人身元情報の開示要請
ICPG 110.2	Preventing and Responding to Workplace Harrassment	職場におけるハラスメントの防止と対応
ICPG 403.1	Criteria for Foreign Disclosure and Release of Classified National Intelligence	外国への機密国家情報開示・公開の規準
ICPG 403.2	Procedures for Foreign Disclosure and Release Requiring Interagency Coordination, Notification, and DNI Approval	外国への開示・公開手続き（省庁間調整、通知、国家情報長官の承認を要するもの）
ICPG 403-3	Criteria and Conditions for Emergency Foreign Disclosure and Release	緊急時の外国への開示・公開の規準と条件
ICPG 403.4	Procedures for Interagency Coordination Prior to Foreign Disclosure and Release to Senior Foreign Officials	外国の高官への開示・公開前の省庁間調整手続き
ICPG 404.1	Federal Partner Access to IC Information Technology Systems	連邦パートナーによるインテリジェンス・コミュニティ情報技術システムへのアクセス
ICPG 500.2	Attribute-Based Authorization and Access Management	属性ベース認証とアクセス管理
ICPG 501.1	Exemption of Information from Discovery	情報開示からの免除
ICPG 501.2	Sensitive Review Board and Information Sharing Dispute Resolution Process	機密審査委員会と情報共有紛争解決プロセス
ICPG 501.3	Subsequent Use of Information	情報の二次利用
ICPG 660.1	Intelligence Community Civilian Joint Duty Program Implementation Guidance	情報コミュニティ民間合同任務プログラム実施指針
ICPG 704.1	Investigative Standards	調査基準
ICPG 704.3	Denials or revocation of Access to SCI	SCIアクセス拒否または取消
ICPG 704.4	Reciprocity (updated 04-06-22)	相互主義（2022年4月6日更新）
ICPG 704.5	Personnel Security Database Scattered Castles	職員のセキュリティデータベース分散型城郭
ICPG 704.6	Conduct of Polygraph Examinations for Personnel Security Vetting	職員身元審査のためのポリグラフ検査の実施
ICPG 710.1	Application of Dissemination Controls: Originator Control	情報流通管理の適用：発信者管理
ICPG 710.2/403.5	Application for Dissemination Controls: Foreign Disclosure and Release Markings	情報流通管理の適用：外国への開示・公開表示
ICPG 801.2	Contracting and Procurement Policy	契約及び調達政策
ICPG 801.3	Acquisition Workforce	調達要員
ICPG 900.2	Crisis Management	危機管理
ICPG 900.3	Mission Posture Change Reporting	任務態勢変更報告
ICPG 906.1	Portfolio Management	ポートフォリオ管理

インテリジェンス・コミュニティ政策覚書

・Intelligence Community Policy Memorandums

ICPM 2005-900-2	DNI National Counterproliferation Center	国家情報長官府拡散防止対策センター
ICPM 2006-100-1	National Intelligence Reserve Corps	国家情報予備軍
ICPM 2007-700-1	Security of Commonwealth Countries' SCI Facilities	英連邦諸国のSCI施設セキュリティ
ICPM 2020-200-1	Intelligence Community Standards and Procedures for Revised or Recalled Intelligence Products	改訂または回収された情報製品に関するインテリジェンス・コミュニティの標準と手順
ICPM 2022-600-02	Intelligence Community Public-Private Talent Exchange	インテリジェンス・コミュニティ官民人材交流プログラム
ICPM 2024-600-03	Modernizing the Intelligence Community Onboarding Process	インテリジェンス・コミュニティ採用プロセスの近代化
ICPM 2024-504-01	Intelligence Community Policy Framework for Commercially Available Information	商用入手可能情報に関するインテリジェンス・コミュニティ政策枠組み
ICPM 2024-900-03	Promoting Accountability for Conflict-Related Sexual Violence	紛争関連性暴力に対する説明責任の促進

ICの予算推移

・IC Budget

U.S. INTELLIGENCE COMMUNITY BUDGET
Fiscal Year	NIP Budget		MIP Budget		Total
Fiscal Year	Requested	Appropriated	Requested	Appropriated	Appropriated
2026	$81.9
2025	$73.4	$73.3	$28.2	$27.8	$101.1
2024	$72.4	$76.5	$29.3	$29.8	$106.3
2023	$67.1	$71.7	$26.6	$27.9	$99.6
2022	$62.3	$65.7	$23.3	$24.1	$89.8
2021	$61.9	$60.8	$23.1	$23.3	$84.1
2020	$62.8	$62.7	$23.0	$23.1	$85.8
2019	$59.9	$60.2	$21.2	$21.5	$81.7
2018	$57.7	$59.4	$20.7	$22.1	$81.5
2017	$54.9	$54.6	$18.5	$18.4	$73.0
2016	$53.9	$53.0	$17.9	$17.7	$70.7
2015	$50.4	$50.3	$16.6	$16.5	$66.8
2014	$52.2	$50.5	$14.6	$17.4	$67.9
2013	$52.6	$49.0	$19.2	$18.6	$67.6
2012	$55.0	$53.9	---	$21.5	$75.4
2011	---	$54.6	---	$24.0	$78.6
2010	---	$53.1	---	$27.0	$80.1
2009	---	$49.8	---	$26.4	$76.2
2008	---	$47.5	---	$22.9	$70.4
2007	---	$43.5	---	$20.0	$63.5
2006	---	$40.9	---	---	---
All figures are in billions of US dollars

関係する18機関

組織	所属連邦省庁	設立	NIP	MIP
海軍情報部 (ONI)	国防総省	1882		X
沿岸警備隊インテリジェンス（CGI）	国土安全保障省	1915	X
情報調査局 (INR)	国務省	1945	X
米国中央情報局 (CIA)	（独立省庁）	1947	X
空軍第 16 部隊	国防総省	1948		X
米国家安全保障局（NSA）/ 中央セキュリティ・サービス（CSS）	国防総省	1952	X	X
米国偵察局（NRO)	国防総省	1961		X
米国国防情報局(DIA)	国防総省	1961	X	X
米国陸軍情報部（MIC)	国防総省	1977		X
インテリジェンス・防諜室（OICI)	エネルギー省	1977	X
海兵隊情報部（MCI）	国防総省	1978		X
全米地理情報局（NGA)	国防総省	1996	X	X
インテリジェンス＆分析事務局（OIA）	財務省	2004	X
インテリジェンス事務局（IB） FBI	法務省	2005	X
国家安全保障情報局 (ONSI)	法務省	2006	X
情報分析室 (I&A)　CISA	国土安全保障省	2007	X
米国宇宙情報センター（NSIC)	国防総省	2020		X

» Continue reading

2025.11.17 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2025.11.16

英国児童性的虐待画像のAI生成を根源から阻止する新法が成立 (2025.11.12)

こんにちは、丸山満彦です。

いわゆる児童ポルノについては、全世界で非常に厳しい対応を行なっています。生成的AIの普及により、より厳しい対応が必要となってきていると言われています。英国では、AIがいわゆる児童ポルノ画像等の作成に悪用されないように法律をつくったようですね...

具体的には、Criminal Justice Billの改正によって行われますね...該当箇所は PART 5 SEXUAL OFFENCES AND OFFENDERS です。。。

● Gov.U.K

・2025.11.12 New law to tackle AI child abuse images at source as reports more than double

New law to tackle AI child abuse images at source as reports more than double	児童性的虐待画像のAI生成を根源から阻止する新法が成立　報告件数は倍増超
・New legislation sees government work with AI industry and child protection organisations to ensure AI models cannot be misused to create synthetic child sexual abuse images.	・新法により政府はAI業界や児童保護団体と連携し、AIモデルが合成児童性的虐待画像の作成に悪用されないよう確保する。
・World-leading legislation sees government work with AI industry and child protection organisations to ensure AI models cannot be misused to create synthetic child sexual abuse images.	・世界をリードする新法により政府はAI業界や児童保護団体と連携し、AIモデルが合成児童性的虐待画像の作成に悪用されないよう確保する。
・Technology Secretary and Home Secretary will have new powers to designate AI developers and charities like the Internet Watch Foundation as authorised testers.	・技術担当大臣と内務大臣は、AI開発者やインターネット監視財団（IWF）のような慈善団体を認定試験機関として指定する新たな権限を持つことになる。
Comes as fresh Internet Watch Foundation (IWF) data shows reports of AI-generated child sexual abuse material have more than doubled in the past year, rising from 199 in 2024 to 426 in 2025.(note)	これは、インターネット監視財団（IWF）の最新データが、AI生成による児童性的虐待素材の報告件数が過去1年で倍増以上となり、2024年の199件から2025年には426件に増加したことを示していることに伴うものである。(注)
Children will be better protected from becoming victims of horrific indecent deepfakes as the government introduces new laws to ensure Artificial Intelligence (AI) cannot be exploited to generate child sexual abuse material.	政府が新たな法律を導入し、人工知能（AI）が児童性的虐待素材の生成に悪用されないよう確保することで、子供たちが恐ろしいわいせつなディープフェイクの被害者となることからより良く防御される。
Data from the Internet Watch Foundation released today (Wednesday 12 November) shows reports of AI-generated child sexual abuse material have more than doubled in the past year, rising from 199 in 2024 to 426 in 2025. (note)	本日（11月12日水曜日）発表されたインターネット監視財団のデータによると、AI生成児童性的虐待素材の通報件数は過去1年で倍増以上となり、2024年の199件から2025年には426件に増加した。(注)
There has also been a disturbing rise in depictions of infants, with images of 0–2-year-olds surging from 5 in 2024 to 92 in 2025. (note)	乳幼児を描いた事例も懸念される増加を示しており、0～2歳児の画像は2024年の5件から2025年には92件に急増した。(注)
Under stringent new legislation, designated bodies like AI developers and child protection organisations, such as the Internet Watch Foundation (IWF), will be empowered to scrutinise AI models, and ensure safeguards are in place to prevent them generating or proliferating child sexual abuse material, including indecent images and videos of children.	新たな厳格な法規制の下、AI開発者やインターネット監視財団（IWF）などの児童保護機関といった指定団体は、AIモデルを精査する権限を与えられ、児童のわいせつ画像や動画を含む児童性的虐待素材の生成や拡散を防ぐ安全対策が講じられていることを確認する。
Currently, criminal liability to create and possess this material means developers can’t carry out safety testing on AI models, and images can only be removed after they have been created and shared online. This measure, one of the first of its kind in the world, ensures AI systems’ safeguards can be robustly tested from the start, to limit its production in the first place.	現在、この素材の作成・所持に対する刑事責任のため、開発者はAIモデルの安全性テストを実施できず、画像は作成・オンライン共有後にしか削除できない。この世界初の取り組みにより、AIシステムの安全対策は最初から厳格にテストされ、そもそも素材の生成を制限できる。
The laws will also enable organisations to check models have protections against extreme pornography, and non-consensual intimate images.	また本法により、組織はモデルが過激なポルノや非同意の親密画像に対する防御機能を備えているか確認できるようになる。
While possessing and generating child sexual abuse material is already illegal under UK law, both real and synthetically produced by AI, improving AI image and video capabilities present a growing challenge.	英国法では既に、実在のものとAI合成の両方を含む児童性的虐待素材の所持・生成は違法だが、AIの画像・動画生成能力の改善は新たな課題をもたらしている。
We know that offenders who seek to create this heinous material often do so using images of real children - both those known to them and those found online - and attempt to circumnavigate safeguards designed to prevent this.	こうした凶悪な素材を作成しようとする犯罪者は、実在する児童の画像（知人からのものやネット上で見つけたもの）を利用し、防止策を回避しようとすることが多い。
This measure aims to make such actions more difficult by empowering companies to ensure their safeguards are effective and to develop innovative, robust methods to prevent model misuse.	本措置は、企業が安全対策を効果的に実施し、モデルの悪用を防ぐ革新的で堅牢な手法を開発できるよう支援することで、こうした行為を困難にすることを目的としている。
Technology Secretary Liz Kendall said:	リズ・ケンドール技術大臣は次のように述べた：
We will not allow technological advancement to outpace our ability to keep children safe.	技術の進歩が児童保護の能力を上回ることは許さない。
These new laws will ensure AI systems can be made safe at the source, preventing  vulnerabilities that could put children at risk.	これらの新法により、AIシステムは根源から安全に設計され、児童にリスクを及ぼす脆弱性が防止される。
By empowering trusted organisations to scrutinise their AI models, we are ensuring child safety is designed into AI systems, not bolted on as an afterthought.	信頼できる組織にAIモデルの精査権限を与えることで、児童保護が後付けではなくAIシステムに組み込まれることを保証する。
Jess Phillips, Minister for Safeguarding and Violence Against Women and Girls, said:	ジェス・フィリップス女性・少女保護・暴力対策担当大臣は次のように述べた：
We must make sure children are kept safe online and that our laws keep up with the latest threats. This new measure will mean legitimate AI tools cannot be manipulated into creating vile material and more children will be protected from predators as a result.	「オンライン上の子どもの安全を確保し、最新の脅威に対応できる法整備が不可欠だ。この新措置により、正当なAIツールが悪質な素材生成に悪用されるのを防ぎ、より多くの子どもを捕食者から守れるようになる」
It comes as new Internet Watch Foundation data also shows the severity of the material has intensified over the past year. Category A content - images involving penetrative sexual activity, images involving sexual activity with an animal, or sadism - rose from 2,621 to 3,086 items, now accounting for 56% of all illegal material compared to 41% last year. (note)	インターネット監視財団（IWF）の最新データも、過去1年間で違法コンテンツの深刻化を示している。カテゴリーAコンテンツ（性器挿入を伴う性行為画像、動物との性行為画像、サディズム画像）は2,621件から3,086件に増加し、全違法コンテンツの56％を占めるようになった（前年比41％）。（注）
Girls have been overwhelmingly targeted, making up 94% of illegal AI images in 2025.(note)	被害者の圧倒的多数は少女であり、2025年の違法AI画像の94%を占めている。（注）
To ensure testing work is carried out safely and securely, the government will also bring together a group of experts in AI and child safety.	安全かつ確実な試験実施を確保するため、政府はAIと児童保護の専門家グループを設置する。
The group will help design the safeguards needed to protect sensitive data, prevent any risk of illegal content being leaked, and support the wellbeing of researchers involved.	同グループは、機密データの防御、違法コンテンツ漏洩リスクの防止、研究者の福祉支援に必要な安全対策の設計を支援する。
These changes, which will be tabled today (Wednesday 12 November) as an amendment to the Crime and Policing Bill, mark a major step forward in safeguarding children in the digital age.	本日（11月12日水曜日）に犯罪・警察法案への修正案として提出されるこれらの変更は、デジタル時代における児童保護の大きな前進を示すものである。
They reflect the government’s commitment to working hand-in-hand with AI developers, tech platforms, and child protection organisations to build a safer online world for children.	これらは、政府がAI開発者、技術プラットフォーム、児童保護団体と協力し、子供たちのためのより安全なオンライン環境を構築するという決意を反映している。
We want the UK to be the safest place in the world to be online, particularly for children, and this includes when using AI Models. This measure aims to help us achieve that goal by making AI models used by the British public safer and more robust at preventing offenders from misusing this exciting technology for criminal activity.	英国を、特に子どもにとって世界で最も安全なオンライン環境とすることを目指している。これにはAIモデルの活用時も含まれる。本措置は、英国国民が利用するAIモデルをより安全かつ強固にし、犯罪者がこの革新的な技術を悪用するのを防ぐことで、その目標達成を支援するものである。
This proactive approach not only protects children from exploitation and re-victimisation but also reinforces public trust in AI innovation - proving that technological progress and child safety can go hand in hand.	この先制的な取り組みは、子どもを搾取や二次被害から防御するだけでなく、AI技術革新への国民の信頼を強化する。技術進歩と子どもの安全は両立し得ることを証明するものだ。
Kerry Smith, Chief Executive of the Internet Watch Foundation (IWF), said:	インターネット監視財団（IWF）のケリー・スミス最高経営責任者は次のように述べた：
We welcome the government’s efforts to bring in new measures for testing AI models to check whether they can be abused to create child sexual abuse. For 3 decades, we have been at the forefront of preventing the spread of this imagery online – we look forward to using our expertise to help further the fight against this new threat.	政府がAIモデルのテスト新基準を導入し、児童性的虐待画像生成への悪用可能性を検証する取り組みを歓迎する。我々は30年にわたり、オンライン上でのこうした画像拡散防止の最前線に立ってきた。この新たな脅威との戦いをさらに進めるため、我々の専門知識を活用できることを楽しみにしている。
AI tools have made it so survivors can be victimised all over again with just a few clicks, giving criminals the ability to make potentially limitless amounts of sophisticated, photorealistic child sexual abuse material. Material which further commodifies victims’ suffering, and makes children, particularly girls, less safe on and off line.	AIツールにより、生存者はわずか数回のクリックで再び被害を受ける可能性が生じている。犯罪者は、洗練された写実的な児童性的虐待素材を潜在的に無限に作成できる能力を得たのだ。こうした素材は被害者の苦しみをさらに商品化し、子どもたち、特に少女たちのオンライン上・現実世界での安全を脅かす。
Safety needs to be baked into new technology by design. Today’s announcement could be a vital step to make sure AI products are safe before they are released.	安全性は設計段階で新技術に組み込まれる必要がある。本日の発表は、AI製品がリリースされる前に安全性を確保するための重要な一歩となり得る。
Notes to editors	編集後記
(note): Internet Watch Foundation research – trends of AI-Generated Child Sexual Abuse Material (CSAM) (data compares January to October 2024 vs January to October 2025)	(注): インターネット・ウォッチ財団調査 – AI生成児童性的虐待素材(CSAM)の動向（データは2024年1月～10月と2025年1月～10月の比較）
・AI reports actioned more than doubled, rising from 199 in 2024 to 426 in 2025.	・AI通報に基づく対応件数は2倍以上に増加し、2024年の199件から2025年は426件となった。
・While the overall number of AI images and videos decreased slightly (6,459 in 2024 to 5,560 in 2025), severity has intensified. Category A content rose from 2,621 to 3,086 items, now accounting for 56% of all illegal material compared to 41% last year.	・AI画像・動画の総数はわずかに減少した（2024年6,459件→2025年5,560件）が、深刻度は増している。カテゴリーAコンテンツは2,621件から3,086件に増加し、全違法素材の56％を占めるようになった（前年は41％）。
・Gender analysis shows girls remain overwhelmingly targeted, making up 94% of illegal AI images in 2025, though there is a small increase in boys appearing. Age profiles reveal a disturbing rise in depictions of infants: images of 0–2-year-olds surged from 5 in 2024 to 92 in 2025, while older age brackets saw reductions.	・性別分析では、少女が依然として圧倒的に標的とされており、2025年の違法AI画像の94％を占める。ただし少年が登場するケースはわずかに増加している。年齢層別では乳幼児描写の急増が懸念される。0～2歳児の画像は2024年の5件から2025年には92件に急増した一方、高年齢層では減少が見られた。
Each ‘report’ the IWF receives refers to a webpage or URL – each of which may contain one, or multiple, images or videos of child sexual abuse. A webpage only needs to contain a single confirmed image or video of child sexual abuse for the IWF to take action to have it removed.	IWFが受理する各「通報」はウェブページまたはURLを指し、それぞれに児童性的虐待画像・動画が1点以上含まれている可能性がある。ウェブページには児童性的虐待の画像や動画が1つでも確認されれば、IWFは削除措置を取る。
The image by image analysis refers to individual images and videos which the IWF has discovered (hence the higher numbers). Each number is an individual image or video – allowing for a more granular break down of age/sex/severity of the abuse in the imagery.	画像ごとの分析とは、IWFが発見した個々の画像や動画を指す（そのため数値は高くなる）。各数値は個別の画像または動画を表し、映像内の虐待の年齢・性別・深刻度をより細かく分析することを可能にする。

ファクトシート...

・2025.07.21 Policy paper Crime and Policing Bill 2025: factsheets

該当箇所

・・Crime and Policing Bill: child sexual abuse material factsheet

法案

・2025.02.25 Collection Crime and Policing Bill 2025

Collection	収集
Crime and Policing Bill 2025	犯罪及び警察法案 2025
Information relating to the Crime and Policing Bill, which was introduced in the House of Commons on 25 February 2025.	2025年2月25日に下院に提出された犯罪及び警察法案に関する情報。
Contents	目次
Ministerial correspondence	大臣間の書簡
Bill factsheets	法案概要書
Impact assessments	影響評価
ECHR Memoranda	欧州人権条約覚書
Keeling Schedules	キールング付則
Delegated powers memoranda	委任権限覚書
Over the last 14 years, community policing has been downgraded, with neighbourhood officers pulled off the beat to fill shortages elsewhere, weakening connections with the communities they serve.<	過去14年間、地域警察活動は格下げされ、地域担当警官は他の部署の人員不足を補うために配置転換され、地域社会とのつながりが弱まった。
Trust in the police has been undermined by failures in vetting and the appalling misconduct of some officers.	警察への信頼は、審査の不備と一部の警官による甚だしい不祥事によって損なわれた。
Powers to combat antisocial behaviour and shoplifting have been weakened, leaving our town centres exposed. The justice system has been allowed to grind to a halt.	反社会的行為や万引きに対抗する権限は弱体化し、町の中心部は無防備な状態に置かれている。司法制度は機能停止に陥るまま放置されてきた。
That is why the government is introducing the Crime and Policing Bill to:	だからこそ政府は犯罪対策・警察法案を導入する。目的は：
・tackle the epidemic of serious violence and violence against women and girls that stains our society	・社会を汚す深刻な暴力と女性・少女への暴力の蔓延に対処すること
・equip police with the powers they need to combat antisocial behaviour, crime and terrorism	・反社会的行為、犯罪、テロ対策に必要な権限を警察に付与すること
This bill supports the government’s Safer Streets Mission to halve knife crime and violence against women and girls in a decade and rebuild public confidence in policing and the criminal justice system.	本法案は政府の「安全な街づくり計画」を支える。10年で刃物犯罪と女性・少女への暴力を半減させ、警察と刑事司法制度への国民の信頼を回復する計画だ。
Measures in the Crime and Policing Bill will take back our streets by:	犯罪・警察法案の措置は、以下の方法で街を取り戻す：
1. Cracking down on crime and antisocial behaviour that blights our streets by:	1. 街を荒廃させる犯罪と反社会的行為への取り締まり強化：
introducing respect orders to better enable police and others to tackle persistent antisocial behaviour	・警察などが持続的な反社会的行為に対処しやすくする「リスペクト命令」の導入
introducing a specific offence of assaulting a retail worker	・小売従業員への暴行を特定の犯罪として規定
repealing section 176 of the Anti-social Behaviour, Crime and Policing Act 2014 which downgraded the police response to so-called low value shop theft	2014年反社会的行為・犯罪・警察法の第176条を廃止する。同条はいわゆる軽微な店舗窃盗に対する警察の対応を格下げしていた
increasing the maximum penalties for offences relating to the sale of weapons whilst introducing a new offence of possessing a bladed article with intent to use unlawful violence	武器販売関連犯罪の最高刑を強化すると同時に、不法な暴力行使を意図した刃物所持の新たな罪を創設する
2. Giving the police the powers they need to better tackle criminal activity by:	2. 警察が犯罪活動に対処するために必要な権限を与える。具体的には：
taking tougher action on drugs through an expansion of drug testing on arrest	逮捕時の薬物検査を拡大し、薬物犯罪への取り締まりを強化する
giving the police the powers they need to tackle theft by creating a new power to enter a premises without a warrant to search for and seize stolen goods, such as phones located using GPS tracking technology	盗難対策のため、令状なしで建物に立ち入り、GPS追跡技術で位置を特定した携帯電話などの盗品を探索・押収する新たな権限を警察に付与する
giving the police greater access to the Driver and Vehicle Licencing Agency database to identify criminals	警察が運転免許・車両登録庁のデータベースにアクセスしやすくし、犯罪者を特定する
banning articles used to commit serious crime such as SIM Farms and electronic devices used in vehicle theft	重大犯罪に使用される物品の禁止（例：SIMファームや車両盗難に用いられる電子機器）
3. Rebuilding public confidence in policing and the wider criminal justice system by:	3. 警察および広範な刑事司法制度に対する国民の信頼を回復するため：
giving chief offices of police forces the right to appeal the result of misconduct boards to the Police Appeals Tribunal	警察本部長に、不祥事審査会の結果を警察上訴審議会に上訴する権利を与える
granting firearms officers subject to criminal proceedings anonymity up to the point of conviction	刑事手続きの対象となる銃器担当警官に対し、有罪判決が確定するまでの間、匿名性を認める
4. Tackling violence against women and girls by:	4. 女性及び少女に対する暴力への取り組み：
strengthening the management of offenders in the community and introduce enhanced notification requirements on registered sex offenders, including a bar of them changing their names where there is a risk of sexual harm	地域社会における犯罪者の管理を強化し、登録された性犯罪者に対する通知要件を強化する。これには、性的危害のリスクがある場合に、性犯罪者が名前を変更することを禁止する措置を含む。
giving victims of stalking the right to know the identity of the perpetrator	ストーキング被害者に、加害者の身元を知る権利を与える。
introducing a new criminal offence of administering a harmful substance (including spiking)	有害物質の投与（スパイク行為を含む）を新たな犯罪として導入する。
5. Protecting children and vulnerable adults by:	5. 子どもや脆弱な立場の成人を防御するため：
implementing recommendations from the Independent Inquiry into Child Sexual Abuse including by introducing a new duty to report child sexual abuse	児童性的虐待に関する独立調査委員会の勧告を実施する。具体的には児童性的虐待の新たな通報義務を導入する
creating new offences of cuckooing and child criminal exploitation	カッコー行為及び児童犯罪的搾取を新たな犯罪として創設する
introducing new offences related to the taking of intimate images without consent	同意なしに親密な画像を撮影する行為に関連する新たな犯罪を導入する
making grooming behaviour a statutory aggravating factor	グルーミング行為を法定の加重要因とする
6. Ensuring the police and intelligence services have the powers they need to protect the British people from terrorism and hostile state threats by:	6. 警察及び情報機関が英国国民をテロ及び敵対的国家の脅威から防御するために必要な権限を確保する。具体的には：
introducing a new youth diversion order, helping to manage the increasing number of young people arrested for terrorism-related activity	・新たな青少年更生命令を導入し、テロ関連活動で逮捕される若者の増加に対応する
implementing other changes to terrorism legislation recommended by the Independent Reviewer of Terrorism Legislation	・テロリズム法独立審査官が提言したその他のテロ関連法改正を実施する
The Crime and Policing Bill in Parliament	議会における犯罪及び警察法案

1_20251115072801

該当法案部分

・[DOCX][PDF]仮対訳

2025.11.16 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.11.15

ユーロポールサイバー犯罪インフラの終焉：1025台のサーバーを摘発

こんにちは、丸山満彦です。

ユーロポールが主導する国際的なサイバー犯罪対策「オペレーション・エンドゲーム」の最新フェーズが2025年11月に実施され、大規模なサイバー犯罪インフラが解体されたようです...

対象となったのは、インフォスティーラー「Rhadamanthys」、リモートアクセストロイの木馬「VenomRAT」、ボットネット「Elysium」といった主要なツール。

作戦の結果、

世界中で1,025台以上のサーバーを停止
20のドメインを押収
「VenomRAT」の主犯格をギリシャで逮捕

このインフラは、数十万人の被害者にマルウェアを感染させ、数百万ユーロ相当の暗号資産ウォレット情報に不正アクセスしたようです...

国際連携、官民連携の成果ですね...

● Europol

・2025.11.13 End of the game for cybercrime infrastructure: 1025 servers taken down

End of the game for cybercrime infrastructure: 1025 servers taken down	サイバー犯罪インフラの終焉：1025台のサーバーを摘発
Operation Endgame’s latest phase targeted the infostealer Rhadamanthys, Remote Access Trojan VenomRAT, and the botnet Elysium	「オペレーション・エンドゲーム」最新フェーズは情報窃取型マルウェア「ラダマンティス」、リモートアクセストロイ「ヴェノムラット」、ボットネット「エリジウム」を標的とした
Between 10 and 13 November 2025, the latest phase of Operation Endgame was coordinated from Europol’s headquarters in The Hague. The actions targeted one of the biggest infostealers Rhadamanthys, the Remote Access Trojan VenomRAT, and the botnet Elysium, all of which played a key role in international cybercrime. Authorities took down these three large cybercrime enablers. The main suspect for VenomRAT was also arrested in Greece on 3 November 2025.	2025年11月10日から13日にかけて、オペレーション・エンドゲーム最新フェーズがハーグの欧州刑事警察機構本部から調整された。今回の作戦は、国際的なサイバー犯罪で重要な役割を果たしていた最大級のインフォスティーラー「ラダマントス」、リモートアクセストロイの木馬「ヴェノムラット」、ボットネット「エリジウム」を標的とした。当局はこれら3つの大規模なサイバー犯罪支援基盤を摘発した。ヴェノムラットの主犯格も2025年11月3日にギリシャで逮捕された。
The infrastructure dismantled during the action days was responsible for infecting hundreds of thousands of victims worldwide with malware. Operation Endgame, coordinated by Europol and Eurojust, is a joint effort between law enforcement and judicial authorities of Australia, Belgium, Canada, Denmark, France, Germany, Greece, Lithuania, the Netherlands, the United Kingdom and the United States to tackle ransomware enablers. More than 30 national and international public and private parties are supporting the actions. Important contributions were made by the following private partners: Cryptolaemus, Shadowserver and RoLR, Spycloud, Cymru, Proofpoint, Crowdstrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD, Trellix and Bitdefender.	作戦期間中に解体されたインフラは、世界中の数十万の被害者をマルウェアに感染させる原因となっていた。欧州刑事警察機構と欧州司法機構が調整する「オペレーション・エンドゲーム」は、ランサムウェア支援組織に対処するため、オーストラリア、ベルギー、カナダ、デンマーク、フランス、ドイツ、ギリシャ、リトアニア、オランダ、英国、米の法執行機関および司法当局による共同作戦である。30以上の国内外の公的・民間組織が本作戦を支援している。以下の民間パートナーが重要な貢献を行った：Cryptolaemus、Shadowserver and RoLR、Spycloud、Cymru、Proofpoint、Crowdstrike、Lumen、Abuse.ch、HaveIBeenPwned、Spamhaus、DIVD、Trellix、Bitdefender。
The coordinated actions led to:	今回の共同作戦により以下の成果が得られた：
・1 arrest in Greece	・ギリシャで1名を逮捕
・11 locations searched (1 in Germany, 1 in Greece, and 9 in the Netherlands)	・11箇所を捜索（ドイツ1箇所、ギリシャ1箇所、オランダ9箇所）
・Over 1 025 servers taken down or disrupted worldwide	・全世界で1,025台以上のサーバーを停止または機能停止
・20 domains seized	・20のドメインを押収
Endgame doesn’t end here – think about (y)our next move	エンドゲームはここで終わらない——我々の次の手を考えよ
The dismantled malware infrastructure consisted of hundreds of thousands of infected computers containing several million stolen credentials. Many of the victims were not aware of the infection of their systems. The main suspect behind the infostealer had access to over 100 000 crypto wallets belonging to these victims, potentially worth millions of euros. Check if your computer has been infected and what to do if so at politie.nl/checkyourhack and haveibeenpwned.com	解体されたマルウェアインフラは、数百万件の盗まれた認証情報を保持する数十万台の感染コンピュータで構成されていた。被害者の多くは自身のシステムが感染していることに気づいていなかった。この情報窃取型マルウェアの主犯格は、被害者10万人以上の暗号通貨ウォレットにアクセス可能で、その価値は数百万ユーロに上る可能性がある。自身のコンピュータが感染しているか確認し、感染していた場合の対処法はpolitie.nl/checkyourhackおよびhaveibeenpwned.comで確認できる。
There were actions aimed at criminal services and their criminal users. These users were directly contacted by the police and asked to share relevant information regarding infostealers via the Operation Endgame Telegram channel. In addition, the failing criminal services are exposed via the Operation Endgame website.	犯罪サービスとその利用者を対象とした措置が実施された。警察は直接これらの利用者に接触し、Operation Endgameテレグラムチャンネルを通じて情報窃取型マルウェアに関する情報を提供するよう要請した。さらに、機能不全に陥った犯罪サービスはOperation Endgameウェブサイトで公開されている。
Command post at Europol to coordinate the operational actions	作戦行動を調整する欧州刑事警察機構の指揮所
Europol facilitated the information exchange and provided analytical, crypto-tracing and forensic support to the investigation. To support the coordination of the operation, Europol organised and coordinated calls with all the countries as well as an operational sprint at its headquarters.	欧州刑事警察機構は情報交換を促進し、捜査に対し分析・暗号通貨追跡・フォレンジック支援を提供した。作戦調整を支援するため、欧州刑事警察機構は全参加国との電話会議を主催・調整するとともに、本部で作戦スプリントを実施した。
Over 100 law enforcement officers from Australia, Canada, Denmark, France, Germany, Greece, the Netherlands and the United States supported the coordination of the operational actions from the command post at Europol. The command post facilitated the exchange of intelligence on seized servers, suspects, and the transfer of seized data. Eurojust also assisted with the execution of a European Arrest Warrant and European Investigation Orders.	オーストラリア、カナダ、デンマーク、フランス、ドイツ、ギリシャ、オランダ、米の100名以上の法執行官が、欧州刑事警察機構の指揮所から作戦行動の調整を支援した。指揮所は押収サーバー、容疑者に関する情報交換、押収データの移送を促進した。欧州司法機構は欧州逮捕令状及び欧州捜査令状の執行を支援した。
Participating authorities	参加機関
EU Member States:	EU加盟国：
・Denmark: Danish Police (Politi)	・デンマーク：デンマーク警察（Politi）
・France: National Police (Police Nationale); Public Prosecutor Office JUNALCO (National Jurisdiction against Organised Crime) Cybercrime Unit; Paris Police Prefecture (Préfecture De Police de Paris)	・フランス：国家警察（Police Nationale）；ジュナルコ検察庁（組織犯罪対策国家管轄部）サイバー犯罪対策部；パリ警視庁（Préfecture De Police de Paris）
・Germany: Federal Criminal Police Office (Bundeskriminalamt), Public Prosecutor General's Office Frankfurt am Main – Cybercrime Office;	・ドイツ：連邦刑事警察庁（Bundeskriminalamt）、フランクフルト・アム・マイン検察庁－サイバー犯罪部
・Greece: Hellenic Police (Ελληνική Αστυνομία)	・ギリシャ：ギリシャ警察（Ελληνική Αστυνομία）
・Lithuania - Lithuanian Criminal Police Bureau (Lietuvos Policijos Departamentas)	・リトアニア：リトアニア刑事警察局（Lietuvos Policijos Departamentas）
・Netherlands: National Police (Politie), Public Prosecution Office (Openbaar Ministerie)	・オランダ：国家警察（Politie）、検察庁（Openbaar Ministerie） (Openbaar Ministerie)
Non-EU Member States:	非EU加盟国：
・Australia: Australian Federal Police	・オーストラリア：オーストラリア連邦警察
・Canada: Royal Canadian Mounted Police; Sûreté du Québec	・カナダ：カナダ王立騎馬警察；ケベック州警察
・The United States: Federal Bureau of Investigation, The Defense Criminal Investigative Service, United States Department of Justice	・米国：連邦捜査局、国防省刑事捜査局、司法省
The press release was updated following publication to correct the involved partners in the operation.	本プレスリリースは公開後に更新され、作戦に関与したパートナー機関が修正された。

オペレーション・エンドゲームのウェブページ

・Operation Endgame

Operation Endgame	オペレーション・エンドゲーム
・Target: Cyber-attacks	・対象：サイバー攻撃
・Coordination: Europol and Eurojust	・調整：欧州刑事警察機構及び欧州司法機構
・Partners: Canada, Denmark, Eurojust, France, Germany, the Netherlands, United Kingdom, United States.	・協力国：カナダ、デンマーク、欧州司法機構、フランス、ドイツ、オランダ、イギリス、米国
・Duration: May 2024 – Ongoing	・期間：2024年5月～現在進行中
Background	背景
While technological innovation has the power to drive positive change, it can just as easily be exploited for malicious purposes. In the wrong hands, these same advancements become powerful tools for cybercrime. One example is the use of botnets by cybercriminals.	技術革新は前向きな変化をもたらす力を持つ一方で、悪意ある目的にも容易に悪用される。悪意ある者の手に渡れば、こうした進歩はサイバー犯罪の強力な道具となる。その一例が、サイバー犯罪者によるボットネットの活用だ。
Botnets are networks of devices that are infected with malware, allowing attackers to take remote control without the owners’ knowledge. These malware infections usually begin with the use of droppers, a type of malicious software designed to install additional malware onto a targeted system.	ボットネットとは、マルウェアに感染したデバイスのネットワークであり、攻撃者が所有者の知らないうちに遠隔操作を可能にする。こうしたマルウェア感染は通常、ドロッパーと呼ばれる悪意のあるソフトウェアの使用から始まる。ドロッパーは標的システムに追加のマルウェアをインストールするよう設計されている。
Droppers are typically deployed in the early stages of an attack, helping criminals bypass security measures and enabling the installation of more dangerous software, such as viruses, ransomware, or spyware.	ドロッパーは攻撃の初期段階で展開されることが多く、犯罪者がセキュリティ対策を回避し、ウイルス、ランサムウェア、スパイウェアなどより危険なソフトウェアのインストールを可能にする。
Objectives	目的
Operation Endgame is part of a series of operations dedicated to disrupting botnets, making it one of the largest operations of its kind.	オペレーション・エンドゲームは、ボットネットの破壊に特化した一連の作戦の一部であり、同種作戦としては最大規模の一つである。
Throughout its lifetime, Europol and the Joint Cybercrime Action Taskforce (J-CAT), continue to support investigations by facilitating information exchange between the authorities involved and providing analytical and forensic support to the investigators.	作戦期間中、欧州刑事警察機構と合同サイバー犯罪対策タスクフォース（J-CAT）は、関係当局間の情報交換を促進し、捜査官に分析・鑑識支援を提供することで、捜査活動を継続的に支援している。
The objectives of Operation Endgame include:	オペレーション・エンドゲームの目的は以下の通りである：
・Disrupting and dismantling infrastructure supporting ransomware attacks.	・ランサムウェア攻撃を支えるインフラの破壊と解体。
・Targeting and neutralising malware used for initial access into victim systems.	・被害システムへの初期アクセスに使用されるマルウェアの標的化と無力化。
・Seizing criminal assets, including cryptocurrency.	・仮想通貨を含む犯罪資産の差し押さえ。
・Following up on leads, helping them to link online personas/ usernames to real-life individuals.	・手がかりを追跡し、オンライン上のペルソナ／ユーザー名を実在の人物と結びつける支援。

2025.11.15 00:00 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2025.11.14

欧州 EDPS AIシステムのリスクマネジメントのためのガイダンス (2025.11.11)

こんにちは、丸山満彦です。

EDPS（欧州データ保護観察機関）は、AIシステムのリスクマネジメントのためのガイダンスを公表していますね...

EDPSの文書なので、EU機構・団体・事務所・機関（EUI）が対象です。AIシステムの開発・調達・展開時にパーソナルデータの処理によって生じるデータ対象者の基本的権利に対するリスクを識別し緩和するための指針を提供するものです。

このガイダンスは、法的に問題がないかどうかを示す指針ではなく、データ保護の観点からリスクを体系的に評価することを促進することを目的としているようですね...

リスクの体系的整理は、ISO 31000:2018 Risk management - Guidelines（日本だとJISQ 31000:2019 リスクマネジメント−指針）によっています...

そしてこのガイダンスは次の文書を補完するものということです...

Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (Text with EEA relevance.)	欧州議会及び理事会による2018年10月23日付規則（EU）2018/1725。欧州連合の機構、団体、事務所及び機関によるパーソナルデータの処理及び当該データの自由な移動に関する自然人の保護、並びに規則（EC）第45/2001号及び決定第1247/2002/EC号の廃止について。（EEA関連テキスト）
Accountability on the ground Part II: Data Protection Impact Assessments & Prior Consultation	現場における説明責任第II部：データ保護影響評価及び事前協議
Generative AI and the EUDPR. Orientations for ensuring data protection compliance when using Generative AI systems. (Version 2)	生成的AIとEUDPR。生成的AIシステム利用時のデータ保護コンプライアンス確保に向けた指針（バージョン2）

● European Data Protection Supervisor; EDPS

・2025.11.11 Guidance for Risk Management of Artificial Intelligence systems

・[DOCX][PDF] 仮訳

目次...

Executive summary	エグゼクティブサマリー
1 Introduction	1 序論
1.1 Objective	1.1 目的
1.2 Scope	1.2 適用範囲
1.3 Audience	1.3 対象読者
2 Risk Management methodology	2 リスクマネジメント手法
3 Understanding the AI lifecycle	3 AIライフサイクルの理解
3.1 Definition of an AI system	3.1 AIシステムの定義
3.2 Lifecycle of an AI system	3.2 AIシステムのライフサイクル
3.3 Procuring an AI system	3.3 AIシステムの調達
4 Interpretability and explainability as sine qua non	4 解釈可能性と説明可能性は不可欠な条件
4.1.1 Risk 1: Uninterpretable or unexplainable AI system	4.1.1 リスク1：解釈不能または説明不能なAIシステム
5 Risks associated to main Data Protection Principles	5 主要なデータ保護原則に関連するリスク
5.1 Principle of fairness	5.1 公正性の原則
5.1.1 Risk 1: Bias caused by the lack of data quality in training personal data	5.1.1 リスク1：訓練用個人データの品質不足によるバイアス
5.1.2 Risk 2: Bias in training personal data	5.1.2 リスク2：トレーニング個人データにおけるバイアス
5.1.3 Risk 3: Overfitting to the training personal data	5.1.3 リスク3：トレーニング個人データへの過学習
5.1.4 Risk 4: Algorithmic bias	5.1.4 リスク4：アルゴリズムバイアス
5.1.5 Risk 5: Interpretation bias	5.1.5 リスク5：解釈バイアス
5.2 Principle of accuracy	5.2 正確性の原則
5.2.1 Legal meaning of accuracy in the EUDPR	5.2.1 EUDPRにおける正確性の法的意味
5.2.2 Statistical meaning of accuracy in AI development	5.2.2 AI開発における正確性の統計的意味
5.2.3 Risk 1: Inaccurate personal data output	5.2.3 リスク1：不正確な個人データの出力
5.2.4 Specific example: Inaccurate output due to data drift and deterioration of input personal data quality	5.2.4 具体例：データドリフトと入力個人データの品質劣化による不正確な出力
5.2.5 Risk 2: Unclear information from the AI system provider	5.2.5 リスク 2: AIシステムプロバイダからの不明確な情報
5.3 Principle of data minimisation	5.3 データ最小化の原則
5.3.1 Risk 1: Indiscriminate collection and storage of personal data	5.3.1 リスク1：個人データの無差別な収集と保存
5.4 Principle of security	5.4 セキュリティの原則
5.4.1 Risk 1: AI system output disclosure of training personal data	5.4.1 リスク1：AIシステムの出力によるトレーニング個人データの開示
5.4.2 Risk 2: Personal data storage and personal data breaches	5.4.2 リスク 2：個人データの保存と個人データ漏えい
5.4.3 Risk 3: Personal data leakage through application programming interfaces	5.4.3 リスク3：アプリケーションプログラミングインターフェース（API）を通じた個人データ漏洩
5.5 Data subject’s rights	5.5 データ対象者の権利
5.5.1 Risk 1: Incomplete identification of the personal data processed	5.5.1 リスク1：処理される個人データの不完全な特定
5.5.2 Risk 2: Incomplete rectification or erasure	5.5.2 リスク2：不完全な訂正または消去
6 Conclusion	6 結論
Annex 1: Metrics	附属書1：評価指標
Annex 2: Overview of concerns and risks	附属書2：懸念事項とリスクの概要
Annex 3: Checklist per phase of the AI lifecycle development	附属書3：AIライフサイクル開発の各段階におけるチェックリスト
Developing and AI system	AIシステムの開発
Procuring an AI system	AIシステムの調達

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
The development, procurement and deployment of AI systems involving the processing of personal data by European Union Institutions, Bodies, Offices and Agencies (EUIs) raises significant risks to data subjects’ fundamental rights and freedoms, including but not limited to privacy and data protection. As the cornerstone of Regulation 2018/1725 (EUDPR),[1] the principle of accountability enshrined in Article 4(2) (for administrative personal data) and Article 71(4) (for operational personal data) requires EUIs to identify and mitigate these risks, as well as to demonstrate how they did so. This is all the more important for AI systems that are the product of intricate supply chains often involving multiple actors processing personal data in different capacities.	欧州連合の機構、団体、事務所及び機関（EUI）によるパーソナルデータの処理を伴うAIシステムの開発、調達及び展開は、プライバシー及びデータ保護を含むがこれらに限定されない、データ対象者の基本的権利及び自由に対する重大なリスクをもたらす。規則2018/1725（EUDPR）の基盤である[1] において、第4条(2)（行政上の個人データ）および第71条(4)（業務上の個人データ）に規定される説明責任の原則は、EUIに対し、これらのリスクを識別・緩和するとともに、その方法を実証することを要求している。これは、複雑なサプライチェーンの産物であるAIシステムにおいて特に重要である。こうしたシステムでは、異なる立場で個人データを処理する複数の主体が関与することが多いからだ。
This Guidance aims to guide EUIs acting as data controllers in identifying and mitigating some of these risks. More specifically, they focus on the risk of non-compliance with certain data protection principles elicited in the EUDPR for which the mitigation strategies that controllers must implement can be technical in nature – namely fairness, accuracy, data minimisation, security and data subjects’ rights. As such, the technical controls listed in this Guidance are by no means exhaustive, and do not exempt EUIs from conducting their own assessment of the risks raised by their specific processing activities. In doing so, it refrains from ranking their likelihood and severity.	本ガイダンスは、データ管理者として行動するEUIが、こうしたリスクの一部を識別・緩和するための指針となることを目的とする。具体的には、EUDPRで規定される特定のデータ保護原則（公平性、正確性、データ最小化、セキュリティ、データ対象者の権利）への非準拠リスクに焦点を当て、管理者が実施すべき緩和策は技術的性質を持つ場合がある。したがって、本ガイダンスに記載された技術的対策は決して網羅的ではなく、EUIが自らの特定の処理活動によって生じるリスクを独自に評価する義務を免除するものではない。また、その際、リスク発生の可能性や深刻度の順位付けは行わない。
First, this document provides an overview of the risk management methodology according to ISO 31000:2018 (Section 2). Second, it outlines the typical development lifecycle of AI systems as well as the different steps involved in their procurement (Section 3). Third, it explores the notions of interpretability and explainability as cross-cutting concerns that condition compliance with all the provisions covered in this Guidance (Section 4). Lastly, it breaks down the four general principles listed above, namely fairness, accuracy, data minimisation and security into specific risks, each of which is then described and paired with technical measures that controllers can implement to mitigate these risks (Section 5).	まず、本文書はISO 31000:2018に基づくリスクマネジメント手法の概要を示す（第2節）。次に、AIシステムの典型的な開発ライフサイクルと調達プロセスにおける各段階を概説する（第3節）。第三に、解釈可能性と説明可能性という概念を、本ガイダンスで扱う全規定への準拠を左右する横断的課題として考察する（第4節）。最後に、前述の4つの一般原則（公平性、正確性、データ最小化、セキュリティ）を具体的なリスクに分解し、各リスクの説明と併せて、管理者がリスク緩和のために実施可能な技術的措置を提示する（第5節）。
The EDPS issues this guidance in his role as a data protection supervisory authority and not in his role as market surveillance authority under the AI Act. This guidance is without prejudice to the Artificial Intelligence Act.	欧州データ保護監督官（EDPS）は、本ガイダンスをAI法に基づく市場監視当局としての役割ではなく、データ保護監督当局としての立場で発行する。本ガイダンスは人工知能法に影響を与えない。
^[1] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC [2018] OJ L295/39 [web]	^[1]欧州議会及び理事会規則（EU）2018/1725（2018年10月23日）欧州連合の機構、団体、事務所及び機関によるパーソナルデータの処理及び当該データの自由な移動に関する自然人の防御、並びに規則（EC）第45/2001号及び決定第1247/2002/EC号の廃止について[2018] OJ L295/39 [web]

2025.11.14 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.11.13

OpenID Japan 「Identity Management for Agentic AI」の翻訳版公開 (2025.11.09)

こんにちは、丸山満彦です。

OpenID Japan が「Identity Management for Agentic AI」の翻訳版公開していますね...はやい...

Agentic AIは、英語のままですかね...原文でもAgentic AIは二箇所しかないですね...表題部分...あとはAI Agentとなっています。

● OpenID Japan

・2025.11.09「Identity Management for Agentic AI」の翻訳版公開

・・[PDF]

目次...

1 AIエージェントは、これまでのエージェントと何が異なるのか？
1.1 AIエージェントの定義
1.2 エージェントは特定の認証と認可を必要とする
1.3 対象の読者層

2 現在のユースケースに対応可能な解決策
2.1 エージェントとそのリソース
2.2 エージェント・プロトコル
2.3 MCP
2.4 認証
2.5 動的クライアント登録
2.6 認可
2.7 エージェントの非同期認証
2.8 AIエージェントのアイデンティティ
2.9 SSOとプロビジョニング
2.10 エージェントのアイデンティティと認可の運用
2.11 監査可能性のギャップを埋める
2.12 ガードレールの設置
2.13 エージェント－エージェント間通信
2.14 当面の解決策のまとめ

3 自律エージェントのアイデンティティと認可の将来的な問題点
3.1 エージェントアイデンティティのアーキテクチャ思想
3.2 認可の委任と信頼の連鎖
3.3 レジストリと外部ツールへの動的接続
3.4 拡張性の高いヒューマン・ガバナンスと同意
3.5 先進的な課題と広範な影響
3.6 経済層：アイデンティティ、ペイメント、金融取引
3.7 パート3 結論

4 堅牢なエージェント認可のユースケース
4.1 高速エージェントと同意疲れ
4.2 非同期実行と永続的権限委譲
4.3 クロスドメイン・フェデレーションと相互運用可能な信頼
4.4 動的エージェントネットワークにおける再帰的委任
4.5 サイバーフィジカル(現実世界と仮想空間が融合した）エージェントの安全システムとしてのIAM
4.6 複数のユーザを代行するエージェント

5 結論

● OpenID

・2025.10.07 New whitepaper tackles AI agent identity challenges

[PDF] Identity Management for Agentic AI

» Continue reading

2025.11.13 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.11.12

日本銀行金融研究所ディープフェイク検知モデルの評価・比較：研究事例を活用する際の留意点と課題

こんにちは、丸山満彦です。

日本銀行金融研究所のディスカッションペーパーシリーズ　2025-J-9に宇根さんの「ディープフェイク検知モデルの評価・比較：研究事例を活用する際の留意点と課題」が掲載されています。宇根さんの論考です...興味深い内容です。

スマートフォンの顔動画による本人確認がAI生成のディープフェイクをどのていど確実に見破れるかということが課題になってきているのだろうと思います。

マルチモーダル大規模言語学習（LLM）による判定は現時点ではまだ精度が低いようですね...学習データ次第ということですかね...

生成AI側も変化が激しい中で、これといった決めてとなる方法というのは現時点では難しいかもしれませんね...しかし、現状を把握しながら、対策を研究し、新しい技術を実装できる状況にしておかないと被害が増えていくかもしれませんね...

対策技術を進歩させるためには、評価の前提、内容、指標等の統一、学習データ、評価データの公開が必要なのかもしれませんね...

● 日本銀行金融研究所

・ディープフェイク検知モデルの評価・比較：研究事例を活用する際の留意点と課題

ディープフェイク検知モデルの評価・比較：研究事例を活用する際の留意点と課題

宇根正志

スマートフォンを用いた金融取引では、顧客の本人確認手段として、顔の動画や静止画による生体認証が採用されるケースがある。こうした生体認証への脅威として、偽の動画を提示してなりすましを試みる攻撃が想定される。最近では、AI・機械学習によるディープフェイクを用いた攻撃の可能性を示唆する研究成果が複数発表され、現実的な脅威として認識する必要性が高まっている。対策としては、機械学習モデルによってディープフェイクを検知する手法の研究が活発化しており、複数の検知モデルを横並びで評価・比較した研究成果も発表されはじめている。こうした動向を踏まえると、今後、生体認証を採用している金融機関は、ディープフェイクによるリスクを評価し、必要に応じて対策を検討することが必要となるであろう。検知モデルの採用を検討する際には、想定されるディープフェイクや検知モデルの評価基準をまず設定し、公開されている評価・比較の研究事例を参照しながら、評価基準と合致したものを選択することが望ましい。また、ディープフェイクに関する技術の進歩が非常に速く、対策の有効性やリスクが時間とともに変化するため、技術動向のフォローやリスクの再評価を継続的に行うことも重要である。

2025.11.12 04:46 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.11.11

欧州欧州委員会 AI生成コンテンツの表示・ラベル付けに関する行動規範の策定作業を開始 (2025.11.05)

こんにちは、丸山満彦です。

欧州委員会が、AI法第50条に関連した透明性要件として、AI生成コンテンツの表示・ラベル付けに関する行動規範の策定作業を開始していますね...機械読み取り可能な形式でコンテンツに埋め込む感じですかね...

中国でも人工智能生成合成内容标识办法（人工知能生成合成コンテンツ識別弁法）で同様の規制が課されていますね（このブログ）...

● European Commission

・2025.11.05 Commission launches work on a code of practice on marking and labelling AI-generated content

Commission launches work on a code of practice on marking and labelling AI-generated content	欧州委員会、AI生成コンテンツの表示・ラベル付けに関する行動規範の策定作業を開始
On 5 November 2025, the Commission launched work on a code of practice on the marking and labelling of AI-generated content.	2025年11月5日、欧州委員会はAI生成コンテンツの表示・ラベル付けに関する行動規範の策定作業を開始した。
Under the AI Act, content such as deepfakes and certain AI-generated text and other synthetic material must be clearly marked as such. This requirement reflects the growing difficulty in distinguishing AI-generated content from authentic, human-produced material.	AI法に基づき、ディープフェイクや特定のAI生成テキスト、その他の合成素材などのコンテンツは、その旨を明確に表示しなければならない。この要件は、AI生成コンテンツと本物の人間が制作した素材との区別がますます困難になっている現状を反映している。
The AI Act sets out transparency requirements for providers and deployers of certain AI systems, including generative and interactive AI. These rules aim to reduce the risk of misinformation, fraud, impersonation, and consumer deception by fostering trust in the information ecosystem.	AI法は、生成的AIや対話型AIを含む特定のAIシステムのプロバイダおよび展開者に対する透明性要件を定めている。これらの規則は、情報エコシステムへの信頼を促進することで、誤情報、詐欺、なりすまし、消費者欺瞞のリスクを低減することを目的としている。
Today's kick-off plenary meeting, bringing together the independent experts appointed by the European AI Office, marks the beginning of an inclusive, seven-month, stakeholder-driven process to draft the code. Independent experts will lead the process, using input from the public consultation and stakeholders selected through an open call.	本日開催されたキックオフ全体会議には欧州AI事務局が任命した独立専門家が集結し、包括的で7ヶ月間にわたるステークホルダー主導の規範策定プロセスの始まりを告げた。独立専門家が主導するこのプロセスでは、公開協議からの意見と公募で選ばれたステークホルダーからの入力を活用する。
The upcoming code of practice on transparency of AI-generated content will be a voluntary instrument to help providers of generative AI systems effectively meet their transparency obligations. It will support the marking of AI-generated content, including synthetic audio, images, video and text, in machine-readable formats to enable detection. The Code will also assist deployers using deepfakes or AI-generated content in clearly disclosing AI involvement, particularly when informing the public on matters of public interest.	AI生成コンテンツの透明性に関する今後の行動規範は、生成的AIシステムプロバイダが透明性義務を効果的に履行するための自主的枠組みとなる。合成音声・画像・動画・テキストを含むAI生成コンテンツを機械可読形式でマーク付けし、検知を可能にする。またディープフェイクやAI生成コンテンツを利用する展開者は、特に公共の利益に関わる事項を公表する際、AI関与を明確に開示するよう支援する。
These obligations will become applicable in August 2026, complementing existing rules such as high-risk AI systems or general-purpose AI models.	これらの義務は2026年8月に適用開始され、高リスクAIシステムや汎用AIモデルなど既存規則を補完する。
Read more information on the Code of Practice on transparency of AI-generated content.	AI生成コンテンツの透明性に関する行動規範の詳細はこちら。

・2025.11.05 Code of Practice on transparency of AI-generated content

Code of Practice on transparency of AI-generated content	AI生成コンテンツの透明性に関する行動規範
Page Contents	ページ内容
Transparency of AI-generated content	AI生成コンテンツの透明性
Scope of the working groups	作業部会の範囲
Drafting process	ドラフトプロセス
Timeline	タイムライン
This Code of Practice aims to support compliance with the AI Act transparency obligations related to marking and labelling of AI-generated content.	本行動規範は、AI生成コンテンツの表示・ラベル付けに関連するAI法の透明性義務の遵守を支援することを目的とする。
Transparency of AI-generated content	AI生成コンテンツの透明性
The obligations under Article 50 of the AI Act (transparency obligations for providers and deployers of generative AI systems) aim to ensure transparency of AI-generated or manipulated content, such as deep fakes. The article addresses risks of deception and manipulation, fostering the integrity of the information ecosystem. These transparency obligations will complement other rules like those for high-risk AI systems or general-purpose AI models.	AI法第50条（生成的AIシステムプロバイダ・展開者に対する透明性義務）は、ディープフェイクなどのAI生成・改変コンテンツの透明性確保を目的とする。同条項は欺瞞・操作リスクに対処し、情報エコシステムの健全性を促進する。これらの透明性義務は、高リスクAIシステムや汎用AIモデルに関する規則を補完する。
To assist with compliance with these transparency obligations, the AI Office has kick started the process of drawing up a code of practice on transparency of AI-generated content. The Code will be drafted by independent experts appointed by the AI Office in an inclusive process. Eligible stakeholders will be involved contribute to the drafting of the Code. If approved by the Commission, the final Code will serve as a voluntary tool for providers and deployers of generative AI systems to demonstrate compliance with their respective obligations under Article 50(2) and (4) AI Act. These obligations pertain to marking and detection of AI generated content and labeling of deep fakes and certain AI generated publications.	これらの透明性義務の遵守を支援するため、AI事務局はAI生成コンテンツの透明性に関する行動規範の策定プロセスを開始した。規範はAI事務局が任命した独立専門家が包括的なプロセスで起草する。適格な利害関係者は規範の起草に参画する。欧州委員会が承認した場合、最終規範は生成的AIシステムのプロバイダ及び展開者が、AI法第50条(2)項及び(4)項に基づく各自の義務（AI生成コンテンツの表示・検知義務、ディープフェイク及び特定AI生成出版物の表示義務）への遵守を示すための自主的ツールとして機能する。
Scope of the working groups	作業部会の範囲
The drafting of the code is centered around 2 working groups, following the structure of the transparency obligations for AI generated content in Article 50.	規範の起草は、第50条のAI生成コンテンツに関する透明性義務の構造に沿い、2つの作業部会を中心に進められる。
Working group 1: Providers	作業部会1：プロバイダ
Focuses on obligations, requiring providers of generative AI systems to ensure:	生成的AIシステムプロバイダに以下の義務を課すことに焦点を当てる：
・Outputs of AI systems (audio, image, video, text) are marked in a machine-readable format and detectable as artificially generated or manipulated.	・生成的AIシステムの出力（音声、画像、動画、テキスト）が機械可読形式で表示され、人工的に生成または操作されたものと検知可能であること。
・The employed technical solutions are effective, interoperable, robust, and reliable as far as technically feasible. These must take into account the specificities and limitations of various types of content, the costs of implementation and the generally acknowledged state of the art, as may be reflected in relevant technical standards.	・採用する技術的解決策は、技術的に実現可能な範囲で効果的、相互運用可能、堅牢かつ信頼性が高いこと。これらは、様々なコンテンツの特性と限界、実装コスト、関連技術標準に反映される可能性のある一般に認められた技術水準を考慮しなければならない。
Working group 2: Deployers	作業部会2：展開者
Focuses on obligations, requiring deployers of generative AI systems to disclose:	生成的AIシステムの展開者に開示を義務付ける事項に焦点を当てる：
Content that is artificially generated or manipulated, constituting a deep fake (image, audio, or video which resembles existing persons, objects, places, entities or events and would falsely appear to a person to be authentic or truthful).	・人工的に生成または操作されたコンテンツ（既存の人物、物体、場所、事業体、事象に似て、人々に本物または真実であると誤認させるディープフェイクとなる画像、音声、動画）。
・AI generated/manipulated text publications informing the public on matters of public interest, unless the publication has undergone a process of human review and is subject to editorial responsibility.	・公共の利益に関わる事項について公衆に情報を提供するAI生成／操作テキスト出版物（ただし、人間による審査プロセスを経て編集責任の対象となっている出版物は除く）。
Both groups will also consider cross-cutting issues, including horizontal requirements for the information to be provided to the natural persons under Article 50(5) and aim to promote cooperation between relevant actors across the value chain to achieve the AI Act’s objectives on transparency of AI-generated content.	両グループはまた、横断的課題（第50条(5)に基づく自然人への情報提供に関する水平的要件を含む）を検討し、AI生成コンテンツの透明性に関するAI法の目的達成に向け、バリューチェーン全体の関係主体間の協力を促進することを目指す。
Each working group will be led by independent chairs and vice-chairs., who are expected to provide strategic leadership and guidance, ensuring that discussions remain focused and productive.	各作業部会は独立した議長と副議長が主導する。彼らは戦略的リーダーシップと指導を提供し、議論が焦点化され生産的であることを確保することが期待される。
Drafting process	ドラフトプロセス
The drafting of the Code involves eligible stakeholders who replied to a public call launched by the AI Office. Within this group are providers of specific generative AI systems, developers of marking and detection techniques, associations of deployers of generative AI systems, civil society organisations, academic experts, and specialised organisation with expertise in transparency and very large online platforms.	行動規範のドラフトには、AI事務局が公募した公募に応じた適格な利害関係者が関与する。このグループには、特定の生成的AIシステムプロバイダ、マーキング・検出技術開発者、生成AIシステム展開者団体、市民社会組織、学術専門家、透明性に関する専門知識を有する専門機関、および超大規模オンラインプラットフォームが含まれる。
In its role as a facilitator, the AI Office also invited international and European observers to join the drawing up of Code of Practice. These organisations did not meet the eligibility criteria of the call, but can still contribute with valuable expertise and submit written input. All participants and observers will be invited to take part in plenary sessions, working group meetings, and thematic workshops dedicated to discussing technical aspects of the Code.	調整役としてのAI事務局は、国際的・欧州のオブザーバーにも行動規範策定への参加を要請した。これらの組織は公募の適格規準を満たさないが、貴重な専門知識を提供し書面による意見提出が可能である。全参加者とオブザーバーは、行動規範の技術的側面を議論する全体会議、作業部会、テーマ別ワークショップへの参加を招請される。
The drafting process will consider:	ドラフトプロセスでは以下を考慮する：
・Feedback from the multi-stakeholder consultation on transparency requirements for certain AI systems	・特定AIシステムの透明性要件に関するマルチステークホルダー協議からのフィードバック
・Expert studies commissioned by the AI Office and input from eligible stakeholders participating in the drawing up of Code of Practice	・AI事務局が委託した専門家研究及び行動規範策定に参加する適格ステークホルダーからの意見
The full exercise is expected to last for 7 months. This timeline allows sufficient time for providers and deployers to prepare for compliance before the rules take effect in August 2026. The transparency obligations in Article 50 AI Act will complement other rules like those for high-risk AI systems or general-purpose AI models.	全プロセスは7ヶ月間を要する見込みである。このタイムラインにより、2026年8月の規則発効前に、プロバイダ及び展開者が遵守準備を整える十分な時間が確保される。AI法第50条の透明性義務は、高リスクAIシステムや汎用AIモデルに関する規則など他の規定を補完するものである。
The Commission will prepare in parallel guidelines to clarify the scope of the legal obligations and addressing aspects not covered by the Code.	欧州委員会は並行してガイドラインを策定し、法的義務の範囲を明確化するとともに、行動規範でカバーされない側面に対処する。
Timeline	タイムライン
The working group meetings and workshops with participants, chairs and vice-chairs will take place between November 2025 and May 2026.	参加者、議長、副議長を交えた作業部会会議及びワークショップは、2025年11月から2026年5月にかけて実施される。
The dates below are indicative and may need to be confirmed (TBC).	以下の日程は暫定であり、確定が必要となる場合がある（TBC）。
25-Sep	2025年9月
Consultation to develop guidelines and Code of Practice on transparent AI systems	透明性のあるAIシステムに関するガイドライン及び行動規範策定のための協議
Call for expression of interest to participate in the Code of Practice	行動規範参加意向表明の募集
25-Oct	2025年10月
Eligibility checks and selection of applications for chairs and vice-chairs	議長・副議長候補の適格性審査及び選考
5-Nov-25	2025年11月5日
Kick-off Plenary	キックオフ総会
Start of the first drafting round	第1次草案作成ラウンド開始
December 2025 (TBC)	2025年12月 (TBC)
Publication of the first draft	第1次ドラフトの公表
January 2026 (TBC)	2026年1月 (TBC)
Working groups meetings	作業部会会議
Start of the second drafting round	第2次ドラフト作成ラウンド開始
March 2026 (TBC)	2026年3月 (TBC)
Publication of the second draft	第2次ドラフトの公表
Start of the final drafting round	最終ドラフト作成ラウンド開始
April 2026 (TBC)	2026年4月 (TBC)
Working groups meetings	作業部会会議
May-June 2026	2026年5月～6月
Closing Plenary	閉会総会
Publication of the final Code of Practice	最終版行動規範の公表

・2025.09.04 Commission launches consultation to develop guidelines and Code of Practice on transparent AI systems

Commission launches consultation to develop guidelines and Code of Practice on transparent AI systems	欧州委員会、透明性のあるAIシステムに関するガイドラインと行動規範策定のための協議を開始
The European Commission will help deployers and providers of generative AI systems to detect and label AI generated or manipulated content.	欧州委員会は、生成的AIシステムの展開者およびプロバイダが、AIによって生成または操作されたコンテンツを検知し、ラベル付けすることを支援する。
This will help to ensure that users are informed when they are interacting with an AI system. To that end, the Commission has launched a consultation to develop guidelines and a code of practice on AI transparency obligations, based on the provisions of the Artificial Intelligence Act (AI Act).	これにより、ユーザーがAIシステムとやり取りする際、その旨が通知されることが保証される。この目的のため、欧州委員会は人工知能法（AI法）の規定に基づき、AI透明性義務に関するガイドライン及び行動規範を策定するための協議を開始した。
The AI Act obliges deployers and providers of generative AI to inform people when they are interacting with an AI system, as well as when they are exposed to emotion recognition or biometric categorisation systems, and to content generated or manipulated by an AI system.	AI法は、生成的AIの展開者及びプロバイダに対し、人々がAIシステムとやり取りしている時、感情認識や生体認証分類システムに晒されている時、またAIシステムによって生成または操作されたコンテンツに晒されている時に、人々に通知することを義務付けている。
The Commission invites providers and deployers of interactive and generative AI models and systems as well as biometric categorisation and emotion recognition systems, private and public sector organisations, academic and research experts, civil society representatives, supervisory authorities and citizens to share their views by 9 October 2025.	欧州委員会は、対話型・生成的AIモデル・システム、生体認証分類システム、感情認識システムのプロバイダ・展開者、官民組織、学術研究専門家、市民社会代表者、監督当局、市民に対し、2025年10月9日までに意見を提出するよう呼びかけている。
The consultation is accompanied by a call for expression of interest, for stakeholders to participate, by 9 October 2025, in the creation of the Code of Practice.	本協議には、2025年10月9日までに実施規範策定への参加を希望する関係者からの関心表明募集が併せて実施される。
The deadline was extended for both the public consultation and the call for expression of interest, from 2 October to 9 October 2025.	パブリックコンサルテーションと参加意向表明の締切は、2025年10月2日から10月9日に延長された。
The AI Act, which entered into force on 1 August 2024, will foster responsible and trustworthy AI development and deployment in the EU. The transparency obligations will be applicable from 2 August 2026.	2024年8月1日に発効したAI法は、EU域内における責任ある信頼性の高いAIの開発・展開を促進する。透明性に関する義務は2026年8月2日から適用される。
Find more information on the AI Act transparency provisions	AI法の透明性規定に関する詳細情報はこちら

・[PDF] Stakeholder consultation on transparency requirements for certain AI systems under Article 50 AI Act

・[DOCX][PDF] 仮訳

ちなみにAI法第50条の内容

CHAPTER IV	第4章
TRANSPARENCY OBLIGATIONS FOR PROVIDERS AND DEPLOYERS OF CERTAIN AI SYSTEMS	特定の人工知能システムのプロバイダ及び展開者に対する透明性義務
Article 50	第50条
Transparency obligations for providers and deployers of certain AI systems	特定の人工知能システムのプロバイダ及び展開者に対する透明性義務
1. Providers shall ensure that AI systems intended to interact directly with natural persons are designed and developed in such a way that the natural persons concerned are informed that they are interacting with an AI system, unless this is obvious from the point of view of a natural person who is reasonably well-informed, observant and circumspect, taking into account the circumstances and the context of use. This obligation shall not apply to AI systems authorised by law to detect, prevent, investigate or prosecute criminal offences, subject to appropriate safeguards for the rights and freedoms of third parties, unless those systems are available for the public to report a criminal offence.	プロバイダは、自然人と直接的に相互作用することを意図したAIシステムが、当該自然人がAIシステムと相互作用していることを認識できるよう設計・開発されることを確保しなければならない。ただし、状況及び使用環境を考慮した上で、合理的によく情報に通じ、注意深く慎重な自然人の観点から明らかな場合はこの限りではない。この義務は、サードパーティの権利及び自由に対する適切な保護措置を条件として、犯罪の検知、防止、調査又は訴追を法律により許可されたAIシステムには適用されない。ただし、当該システムが公衆による犯罪の通報に利用可能な場合はこの限りではない。
2. Providers of AI systems, including general-purpose AI systems, generating synthetic audio, image, video or text content, shall ensure that the outputs of the AI system are marked in a machine-readable format and detectable as artificially generated or manipulated. Providers shall ensure their technical solutions are effective, interoperable, robust and reliable as far as this is technically feasible, taking into account the specificities and limitations of various types of content, the costs of implementation and the generally acknowledged state of the art, as may be reflected in relevant technical standards. This obligation shall not apply to the extent the AI systems perform an assistive function for standard editing or do not substantially alter the input data provided by the deployer or the semantics thereof, or where authorised by law to detect, prevent, investigate or prosecute criminal offences.	2. 合成音声、画像、動画またはテキストコンテンツを生成する汎用AIシステムを含むAIシステムのプロバイダは、AIシステムの出力結果が機械可読形式でマークされ、人工的に生成または操作されたものであることが検知可能であることを確保しなければならない。プロバイダは、技術的に実現可能な範囲で、様々なコンテンツの特性や制約、実装コスト、関連技術標準に反映される一般的な技術水準を考慮し、自社の技術的解決策が効果的、相互運用可能、堅牢かつ信頼性のあるものであることを確保しなければならない。この義務は、AIシステムが標準的な編集のための補助機能を果たす場合、または展開者がプロバイダとして提供する入力データやその意味論を実質的に変更しない場合、もしくは犯罪の検知、防止、調査、起訴のために法律で認められる場合には適用されない。
3. Deployers of an emotion recognition system or a biometric categorisation system shall inform the natural persons exposed thereto of the operation of the system, and shall process the personal data in accordance with Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive (EU) 2016/680, as applicable. This obligation shall not apply to AI systems used for biometric categorisation and emotion recognition, which are permitted by law to detect, prevent or investigate criminal offences, subject to appropriate safeguards for the rights and freedoms of third parties, and in accordance with Union law.	3. 感情認識システムまたは生体認証分類システムの展開者は、当該システムに晒される自然人に対し、システムの運用について通知し、適用される規則（EU）2016/679、規則（EU）2018/1725、指令（EU）2016/680に従って個人データを処理しなければならない。この義務は、サードパーティの権利と自由に対する適切な保護措置を条件とし、かつ連合法に従って、犯罪の検知、防止、調査のために法律で許可されている生体認証分類および感情認識に使用されるAIシステムには適用されない。
4. Deployers of an AI system that generates or manipulates image, audio or video content constituting a deep fake, shall disclose that the content has been artificially generated or manipulated. This obligation shall not apply where the use is authorised by law to detect, prevent, investigate or prosecute criminal offence. Where the content forms part of an evidently artistic, creative, satirical, fictional or analogous work or programme, the transparency obligations set out in this paragraph are limited to disclosure of the existence of such generated or manipulated content in an appropriate manner that does not hamper the display or enjoyment of the work.	4. ディープフェイクを構成する画像、音声、動画コンテンツを生成または操作するAIシステムの展開者は、そのコンテンツが人工的に生成または操作されたものであることを開示しなければならない。この義務は、犯罪の検知、防止、調査または起訴のために法律で認められた使用には適用されない。当該コンテンツが明らかに芸術的、創造的、風刺的、虚構的または類似の著作物もしくは番組の一部を構成する場合、本項に定める透明性義務は、当該著作物の表示または享受を妨げない適切な方法で、生成または操作されたコンテンツの存在を開示することに限定される。
Deployers of an AI system that generates or manipulates text which is published with the purpose of informing the public on matters of public interest shall disclose that the text has been artificially generated or manipulated. This obligation shall not apply where the use is authorised by law to detect, prevent, investigate or prosecute criminal offences or where the AI-generated content has undergone a process of human review or editorial control and where a natural or legal person holds editorial responsibility for the publication of the content.	公共の利益に関する事項について公衆に情報を提供することを目的として公開されるテキストを生成または操作するAIシステムの展開者は、当該テキストが人工的に生成または操作されたものであることを開示しなければならない。この義務は、犯罪の検知、防止、調査または訴追のために法律により使用が許可されている場合、またはAI生成コンテンツが人間のレビューまたは編集管理プロセスを経ており、かつ自然人または法人が当該コンテンツの公開について編集責任を有する場合には適用されない。
5. The information referred to in paragraphs 1 to 4 shall be provided to the natural persons concerned in a clear and distinguishable manner at the latest at the time of the first interaction or exposure. The information shall conform to the applicable accessibility requirements.	5. 第1項から第4項までに規定する情報は、遅くとも最初の相互作用またはエクスポージャーの時点で、関係する自然人に対して明確かつ識別可能な方法で提供されなければならない。当該情報は、適用されるアクセシビリティ要件に適合しなければならない。
6. Paragraphs 1 to 4 shall not affect the requirements and obligations set out in Chapter III, and shall be without prejudice to other transparency obligations laid down in Union or national law for deployers of AI systems.	6. 第1項から第4項までの規定は、第III章に定める要件及び義務に影響を与えず、また、AIシステムの展開者に対してEU法または国内法で定められたその他の透明性義務を害するものではない。
7. The AI Office shall encourage and facilitate the drawing up of codes of practice at Union level to facilitate the effective implementation of the obligations regarding the detection and labelling of artificially generated or manipulated content. The Commission may adopt implementing acts to approve those codes of practice in accordance with the procedure laid down in Article 56 (6). If it deems the code is not adequate, the Commission may adopt an implementing act specifying common rules for the implementation of those obligations in accordance with the examination procedure laid down in Article 98(2).	7. AI事務局は、人工的に生成または操作されたコンテンツの検知及び表示に関する義務の効果的な実施を促進するため、EUレベルでの行動規範の策定を奨励し、促進するものとする。委員会は、第56条(6)に定める手続に従い、当該行動規範を承認するための実施法令を採択することができる。委員会が当該規範が不十分であると判断した場合、第98条(2)に定める審査手続に従い、当該義務の実施に関する共通規則を定める実施法令を採択することができる。

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.16 中国人工知能生成合成コンテンツ識別弁法 (2025.03.14)

2025.11.11 00:00 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

内閣官房「サイバーセキュリティ戦略（案）」に関する意見の募集

こんにちは、丸山満彦です。

なんか忘れているわ。。。とおもっていたら、これでした(^^)

11.04のこのブログでも触れていますが、次のサイバーセキュリティ戦略（案）です...

任意の意見募集ですし、11月23日までと短いんですよね...

● 国家サイバー統括室

・2025.11.07 「サイバーセキュリティ戦略（案）」に関する意見公募要領

１．意見公募の趣旨・目的・背景

　サイバーセキュリティ基本法（平成26年法律第104号）第12条に基づき、政府は、サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るため、サイバーセキュリティに関する基本的な計画（サイバーセキュリティ戦略）を定めることとされています。現在のサイバーセキュリティ戦略は、令和４年９月28日に閣議決定されました。

　今日、デジタル技術は目覚ましい進展と普及を遂げ、サイバー空間は、我々の社会経済に欠かせないインフラとなり、我々に多くの利便をもたらしています。これまで以上にサイバー空間と実空間は密接に融合し、AIや量子技術等の先端技術が、デジタルサービスや産業に大きなインパクトを与えようとしています。

　その一方、このサイバー空間では、サイバー攻撃の脅威も急速に拡大しており、国際情勢が緊迫化し安全保障環境の厳しさが増す中、サイバー攻撃が国民生活・経済活動に深刻かつ致命的な被害を生じさせるリスクは、今後も一層高まっていくと考えられます。サイバー空間のもたらす価値を十二分に享受するために、こうしたリスクに適切に対処していく必要があります。

　このような状況の下、能動的サイバー防御を導入可能とする、重要電子計算機に対する不正な行為による被害の防止に関する法律（令和７年法律第42号。以下「サイバー対処能力強化法」という。）及び重要電子計算機に対する不正な行為による被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律（令和７年法律第43号。サイバー対処能力強化法とあわせて「サイバー対処能力強化法等」という。）が、令和７年５月に成立しました。

　また、同年７月、サイバー対処能力強化法等の一部施行に伴い、内閣総理大臣を本部長とし、全大臣で構成するなどの改組により、新たな体制となったサイバーセキュリティ戦略本部第１回会合（令和７年７月１日）において「新たなサイバーセキュリティ戦略の方向性」が示されました。これを受け、サイバーセキュリティ戦略（案）の検討を進めるともに、同本部の下に設置されたサイバーセキュリティ推進専門家会議において、サイバーセキュリティ戦略（案）等について意見交換を行ってきました。

　これらを踏まえ、「サイバーセキュリティ戦略」の案を作成しましたので、国民の皆様から広く意見を募集いたします。

● e-Gov

・2025.11.07 「サイバーセキュリティ戦略（案）」に関する意見の募集について

・・[PDF] サイバーセキュリティ戦略（案）

・・[PDF] 新たなサイバーセキュリティ戦略（案）の概要 　

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.11.04 国家サイバー統括室サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

・2021.09.28 NISC サイバーセキュリティ戦略本部第31回会合サイバーセキュリティ戦略確定（予算からみるとサイバーセキュリティは経済発展というよりも安全保障？）

» Continue reading

2025.11.11 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in IoT, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

2025.11.10

米国国防総省サイバーセキュリティ成熟度モデル認証（CMMC）自己アセスメントが本日より開始 (2025.11.10)

こんにちは、丸山満彦です。

米国の国防総省（通称戦争省 (Department of War) ）がサイバーセキュリティ成熟度モデル認証（CMMC）のフェーズ１である自己アセスメント実施（Level1、Level2対象）が本日（2025.11.10）から開始されますね...

フェーズ２の認定第三者監査組織（C3PAO）による認証の開始は1年後の2026.11.10からとなります。そして、フェーズ３の政府の国防産業基盤サイバーセキュリティ評価センター（DIBCAC）によるLevel3認証は2年後の2027.11.10からとなり、最終のフェーズ４の完全実施が2028.11.10ということになっていますね...

2010年代の第二期オバマ政権くらいから中国への脅威論が高まります。2015年にほぼ全てのDoD契約にNIST SP800-171の要件の義務付けを行う（自己評価）。トランプ政権となった2018年にDoDのサプライチェーン・セキュリティ強化の必要性が高まり自己評価だけではなく、第三者認証が必要という議論に傾いて行ったように思います。そして、2019年にCMMC1.0のドラフトが公開され、2020年にCMMC1.0の正式版がリリースされました。（この時はLevel1-5の5段階）

2020年にバイデン政権が発足するとCMMC1.0は制度が複雑な上、中小企業も含めて全体を考えると実装が困難で評価コストもかかりすぎるということから、2021年にCMMC1.0の暫定規則の発効が停止され、プログラムの再検討が始まります。2021年11月にCMMC2.0が発表される（Levelが5段階から3段階に簡素化）。

この結果、Level1は15項目の基礎的な事項（サイバーハイジーン）の自己評価、Level2はSP800-171の準拠性に対する民間第三者機関（C3PAO）による第三者評価、Level3はSP800-171+172の一部の準拠性に対する政府評価センター（DIBCAC）による評価という現在の形に落ち着いていますね...

で今日からはLevel1が開始...

● U.S. Department of War - Chief Information Office - CMMC

制度説明...

・about

リソース

・Resources

国防総省による規則...とても長いです...

● Federal Register

・2024.10.15 Cybersecurity Maturity Model Certification (CMMC) Program (32 CFR Part 170 [Docket ID: DoD-2023-OS-0063] RIN 0790-AL49)

過去の私のブログに書いているのでそちらも参考に...

● まるちゃんの情報セキュリティ気まぐれ日記

国防総省の委託先の管理の話...

・2024.11.24 米国国防総省サイバーセキュリティ成熟度モデル認証プログラムの最終規則 (2024.10.15)

・2024.01.03 米国国防総省パブコメサイバーセキュリティ成熟度認証規則案 (2023.12.26)

・2023.12.11 米国国防総省内部監察官室請負業者ネットワーク上の国防総省管理対象非機密情報保護に関するサイバーセキュリティの共通の不備 (2023.12.04)

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証（CMMC）プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

SP800-53, 171, 172関係...

・2024.11.17 米国 NIST SP 800-172 Rev.3（初公開ドラフト）管理対象非機密情報保護のための拡張セキュリティ要件

・2024.05.20 米国 NIST SP 800-171 改訂 3 版非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護とNIST SP 800-171A 改訂3版管理対象非機密情報のセキュリティ要件の評価 (2024.05.14)

・2023.11.13 NIST 意見募集 SP 800-171 Rev.3（最終ドラフト）非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版（初期公開ドラフト）管理対象非機密情報のセキュリティ要件の評価

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3（ドラフト）非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第４版の更新分析、ISO／IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

2025.11.10 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2025.11.09

欧州 ENISA セクター別脅威状況 - 公共行政 (2025.11.06)

こんにちは、丸山満彦です。

ENISAが行政セクターの脅威状況の報告書です、

ハクティビストによる攻撃が増えている
攻撃手法は主にDDoS

ということのようです...

全インシデントの38％がこの行政機関ということのようです...

日本はどうなのかしらね...

日本も継続的に統計データをまとめた方が良いと思うんですよね...一応、情報セキュリティ白書をIPAが出していますけどね...

● ENISA

・2025.11.06 Public administration increasingly targeted by DDoS attacks

Public administration increasingly targeted by DDoS attacks	公共行政部門がDDoS攻撃の標的となるケースが増加
The new report by ENISA highlights how EU public administrations are increasingly targeted by hacktivists, primarily resorting to DDoS attacks.	ENISAの新報告書は、EUの公共行政機関がハクティビストによる標的となるケースが増加しており、主にDDoS攻撃が用いられている実態を明らかにしている。
Set as highly critical under the NIS2 Directive, the public administration sector plays a key role in delivering essential services to European citizens.	NIS2指令において「極めて重要」と位置付けられる公共行政部門は、欧州市民への重要サービス提供において中核的な役割を担っている。
Because it ensures effective governance and delivery of important services to civil society such as education, healthcare, public transportation, etc. public administration is a fundamental sector of the economy.	教育、医療、公共交通など市民社会への重要なサービス提供と効果的なガバナンスを保証するため、公共行政は経済の基盤的セクターである。
However, being newly regulated under the NIS2 Directive, the sector is still developing its cybersecurity resilience as it remains in the early stages of aligning with the requirements. Public administration was therefore assessed as standing in the “risk zone” in the study published in the ENISA NIS360 report. With 38% of all incidents in the latest ENISA cyber threat landscape report, public administration reportedly is the most targeted sector in the EU.	しかし、NIS2指令による新規規制対象となったこのセクターは、要件への適合が初期段階にあるため、サイバーセキュリティレジリエンスの構築が進行中だ。ENISA NIS360報告書で公表された調査では、公共行政は「リスクゾーン」に位置すると評価された。最新のENISAサイバー脅威状況報告書によれば、全インシデントの38%を占める行政機関はEU内で最も標的とされるセクターである。
ENISA Executive Director, Juhan Lepassaar stated: “Cyber-securing public administrations is central to citizens’ welfare and to the good functioning of the single market across the EU. Public administrations provide reliable and effective public services, so it is essential to ensure a high-level of cybersecurity within their wider network of national, regional and local bodies.”	ENISAのユハン・レパサー事務局長は次のように述べている：「行政機関のサイバーセキュリティ確保は、市民の福祉とEU域内単一市場の円滑な機能にとって中核的である。」公共行政機関は信頼性が高く効果的な公共サービスを提供するため、国家・地域・地方団体からなる広範なネットワーク内で高度なサイバーセキュリティを確保することが不可欠である。」
The new analysis offers an overview of 586 publicly reported cyber incidents that occurred in the course of 2024.	新たな分析では、2024年に発生した586件の公開報告済みサイバーインシデントの概要を提示している。
Because they manage high volumes of sensitive data and deliver important services in an increased digitization context, public administrations can be heavily disrupted by cyber incidents. These incidents an also contribute to undermining public trust.	公共行政機関は大量の機密データを管理し、デジタル化が進む環境下で重要なサービスを提供しているため、サイバーインシデントによって深刻な混乱を招く可能性がある。こうしたインシデントは、国民の信頼を損なう要因にもなり得る。
Such threats include Distributed Denial of Service (DDoS) attacks, data-breaches, ransomware and incidents involving social engineering.	脅威には分散型サービス妨害（DDoS）攻撃、データ侵害、ランサムウェア、ソーシャルエンジニアリングを伴うインシデントなどが含まれる。
ENISA’s new sectorial report provides an overview of such threats with the objective to support risk assessment, mitigating measures and relevant policy making.	ENISAの新セクター別報告書は、リスクアセスメント、緩和策、関連政策立案を支援する目的で、こうした脅威の概要を提示している。
Key findings	主な調査結果
Central governments were the most targeted, accounting for 69% of incidents. The majority of incidents targeted the websites of parliaments, ministries and national authorities/agencies, largely skewed by DDoS attacks.	中央政府が最も標的とされ、全インシデントの69%を占めた。大半のインシデントは議会、省庁、国家機関のウェブサイトを標的とし、DDoS攻撃が圧倒的に多かった。
Distributed Denial-of-Service (DDoS) attacks accounted for 60% of all incidents.	分散型サービス拒否（DDoS）攻撃は全インシデントの60%を占めた。
These attacks were typically short-lived and rarely resulted in significant impact. Data breaches and ransomware, even if lower in numbers, were more disruptive.	これらの攻撃は通常短期間で、重大な影響をもたらすことは稀であった。データ侵害やランサムウェアは件数は少ないものの、より大きな混乱を引き起こした。
Threats against data include data breaches (17,4%) or data exposures (1%). Data-related incidents represent the second most frequent threat type recorded against public administration entities in the EU in 2024. Targets notably include employment services, local government platforms, law enforcement portals, and educational systems.	データに対する脅威には、データ侵害（17.4%）やデータエクスポージャー（1%）が含まれる。データ関連のインシデントは、2024年にEUの公共行政機関に対して記録された脅威タイプの中で2番目に多い。標的には特に、雇用サービス、地方政府プラットフォーム、法執行機関ポータル、教育システムが含まれる。
Public administration represents a high-value target for state-nexus intrusion sets mainly due to the strategic value of data collection, for economic or defence purposes. Cyberespionage campaigns in 2024 only accounted for 2.5% of all incidents. Despite being limited in number, their impact on EU Member States’ national security can be significant.	公共行政は、経済的または防衛目的でのデータ収集の戦略的価値から、国家関連侵入グループにとって高価値な標的である。2024年のサイバー諜報活動キャンペーンは全インシデントの2.5%に過ぎなかった。数は限られているが、EU加盟国の国家安全保障への影響は重大となり得る。
Still, hacktivist activities remain the most prevalent in sheer volume. In 2024, hacktivists accounted for nearly 63% of incidents, while cybercrime operators and state-nexus intrusion sets represented approximately 16% and 2.5%, respectively.	それでも、ハクティビスト活動は依然として絶対数で最も多い。2024年にはハクティビストがインシデントの約63%を占め、サイバー犯罪者グループと国家関連侵入グループはそれぞれ約16%、2.5%だった。
Ideologically motivated hacktivist groups mainly seek to draw attention and cause disruption. Targets notably included municipal websites, and ministry portals.	イデオロギーに動機づけられたハクティビスト集団は主に注目を集め、混乱を引き起こすことを目的とする。標的には特に自治体ウェブサイトや省庁ポータルが含まれた。
Despite being observed in fewer incidents, phishing is still a common initial access vector.	インシデント数は少ないものの、フィッシングは依然として一般的な初期侵入経路だ。
The trends identified in the report show that public administrations in the EU are likely to remain the most targeted sector in the short-to-mid- term.	本報告書で確認された傾向から、EUの公共行政機関は短期から中期にかけて最も標的とされる分野であり続ける可能性が高い。
Besides, the surge and increased capacity of AI tools are likely to increase AI-powered social engineering for follow-up malicious activities.	加えて、AIツールの急増と能力向上により、悪意ある活動への追撃手段としてAIを活用したソーシャルエンジニアリングが増加する見込みだ。
Multi-extortion campaigns can have worse adverse effects on service outage of tax portals, e-ID systems, court scheduling— undermining confidence in digital services. Additionally, incidents involving shared systems or service providers show how one single compromise can cascade across multiple public entities.	多重恐喝キャンペーンは、税務ポータル、電子IDシステム、裁判日程管理システムなどのサービス停止に深刻な悪影響を及ぼし、デジタルサービスへの信頼を損なう恐れがある。さらに、共有システムやサービスプロバイダーを巻き込んだインシデントは、単一の侵害が複数の公共機関に連鎖的に広がる可能性を示している。
With public administration sector covered by the NIS2 Directive, acknowledging the sector’s criticality, ENISA sets strategic priorities to enhance its capacity to address those challenges.	NIS2指令が公共行政部門をカバーし、その重要性を認める中、ENISAはこれらの課題に対処する能力強化に向けた戦略的優先事項を設定している。
ecommendation	推奨事項
Actions to be taken largely depends on the threats public administration face and wish to mitigate, such as DDoS attacks, data-related incidents, ransomware or state-nexus campaigns, etc.	実施すべき対策は、公共行政が直面し緩和を望む脅威（DDoS攻撃、データ関連インシデント、ランサムウェア、国家関与型キャンペーンなど）に大きく依存する。
DDoS attacks	DDoS攻撃
ENISA suggests controls enhancing architectural resilience and operational readiness like enrolling critical portals behind content delivery network (CDN) or web application firewall (WAF) with always-on network–application layer protection. Another action is to publish static-fallback sites with Domain Name System (DNS) failover, etc.	ENISAは、コンテンツデリバリー・ネットワーク（CDN）や常時稼働のネットワーク・アプリケーション層保護を備えたWebアプリケーションファイアウォール（WAF）による重要ポータルの登録など、アーキテクチャのレジリエンスと運用準備態勢を強化する対策を示唆している。別の対策として、DNSフェイルオーバーを備えた静的フォールバックサイトの公開などが挙げられる。
Data related threats	データ関連の脅威
Data-related incidents can cause significant disruption to an organisation’s operations. Recommended actions include for instance Multi-Factor Authentication (MFA) to be implemented everywhere with conditional access and Privileged Access Management (PAM).	データ関連のインシデントは組織の業務に重大な混乱を引き起こす可能性がある。推奨される対策には、条件付きアクセスと特権アクセス管理（PAM）を組み合わせた多要素認証（MFA）の全面的な導入などが含まれる。
Ransomware	ランサムウェア対策
Specific controls can be set, such as the deployment of Endpoint Detection and Response (EDR) with behavioural rules and segmenting networks, etc.	行動ルール付きエンドポイント検知・対応（EDR）の展開やネットワークのセグメンテーションなど、具体的な制御を設定できる。
Other recommendations are included in the ENISA NIS360 report, such as:	その他の推奨事項はENISA NIS360報告書に記載されている。例えば：
Build effective remediation capabilities through shared service models;	共有サービスモデルによる効果的な修復能力の構築
Make use of the Cybersecurity Reserve as provided for by the EU Cyber Solidarity Act;	EUサイバー連帯法に基づくサイバーセキュリティ予備軍の活用
Enhanced preparedness & response.	準備態勢と対応能力の強化。
By proactively adopting these strategic priorities and fostering closer collaboration across Member States, public administration bodies in the EU will be better positioned to safeguard critical services and uphold citizen trust in an increasingly volatile cyber threat landscape.	これらの戦略的優先事項を積極的に採用し、加盟国間の緊密な連携を促進することで、EUの行政団体は、ますます不安定化するサイバー脅威環境において、重要サービスを保護し、市民の信頼を維持する態勢をより強固にできる。
FUTHER INFORMATION	追加情報
ENISA Sectorial Threat Landscape: Public Administration 2024	ENISAセクター別脅威状況：行政機関 2024
ENISA 2025 Threat Landscape	ENISA 2025脅威状況
ENISA NIS360 report	ENISA NIS360報告書

・2025.11.06 ENISA Sectorial Threat Landscape - Public Administration

ENISA Sectorial Threat Landscape - Public Administration

ENISAセクター別脅威状況 - 公共行政

This ENISA sectorial threat landscape report provides an overview of the cyber threats faced by the public administration sector in the EU in 2024. Drawing on open-source information, the report highlights the key threats that impacted the sector and provides insights into typical threat types and key adversaries, to support the sector’s ongoing efforts to improve its cybersecurity posture, maturity and resilience.

本ENISAセクター別脅威状況報告書は、2024年にEUの公共行政セクターが直面するサイバー脅威の概要を示す。公開情報に基づき、同セクターに影響を与えた主要脅威を強調し、典型的な脅威の種類と主要な敵対者に関する知見を提供する。これにより、同セクターが継続的に取り組むサイバーセキュリティ態勢、成熟度、レジリエンスの向上を支援する。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

About ENISA	ENISAについて
Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
2. Threat Landscape Overview	2. 脅威状況の概要
3. Primary Threats	3. 主な脅威
3.1 Data-related threats	3.1 データ関連の脅威
3.2 Ransomware	3.2 ランサムウェア
4. Key Adversaries	4. 主な敵対者
4.1 State-nexus intrusion sets	4.1 国家関連侵入セット
4.2 Cybercrime operators	4.2 サイバー犯罪組織
4.3 Hacktivists	4.3 ハクティビスト
5. Outlook	5. 見通し
6. Recommendations	6. 提言
6.1 DDoS-related	6.1 DDoS関連
6.2 Data-related	6.2 データ関連
6.3 Ransomware-related	6.3 ランサムウェア関連
6.4 State-Nexus espionage	6.4 国家関連スパイ活動
6.5 ENISA NIS360 report recommendations	6.5 ENISA NIS360報告書における推奨事項
APPENDIX A: Notable Incidents	附属書A：主なインシデント
FRANCE TRAVAIL BREACH	フランス労働省情報漏洩事件
APT31 ATTRIBUTION FOR FINNISH PARLIAMENT BREACH	フィンランド議会侵害事件におけるAPT31の関与
COMPROMISE OF BELGIAN FOREIGN-AFFAIRS COMMITTEE CHAIR	ベルギー外務委員会委員長への侵害
APT28 MALWARE CAMPAIGN AGAINST POLISH GOVERNMENT NETWORKS	ポーランド政府ネットワークに対するAPT28マルウェアキャンペーン
EUROPOL EPE CREDENTIAL SALE OFFER	欧州刑事警察機構EPE認証情報の販売オファー
EINDHOVEN MUNICIPALITY BSN EXPOSURE	アイントホーフェン市BSNエクスポージャー
NOBELIUM ACTIVITY AGAINST FRENCH DIPLOMATIC TENANTS	ノーベリウムによるフランス外交施設への攻撃
PAYMENT-CARD LEAK AT NATIONAL OBSERVATORY OF ATHENS	アテネ国立天文台における支払いカード情報漏洩
LATVIAN STATE REVENUE SERVICE DDOS OUTAGES	ラトビア国税庁へのDDoS攻撃によるサービス停止
RANSOMWARE AT TIMIȘOARA CITY HALL	ティミショアラ市庁舎におけるランサムウェア
CNOEC WEBSITE SUSPENSION AFTER SERVER COMPROMISE	CNOECウェブサイト、サーバー侵害後に停止
DUTCH POLICE OFFICER-DIRECTORY BREACH	オランダ警察官名簿の漏洩
APPENDIX B	附属書B
ASSESMENT METHODOLOGY	評価方法論

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This ENISA sectorial threat landscape report provides an overview of the cyber threats faced by the public administration sector in the EU in 2024. Drawing on open-source information, the report highlights the key threats that impacted the sector and provides insights into typical threat types and key adversaries, to support the sector’s ongoing efforts to improve its cybersecurity posture, maturity and resilience.	本ENISAセクター別脅威状況報告書は、2024年にEUの公共行政セクターが直面するサイバー脅威の概要を示す。公開情報に基づき、同セクターに影響を与えた主要脅威を指摘し、典型的な脅威の種類と主要な敵対者に関する知見を提供する。これにより、同セクターが継続的に取り組むサイバーセキュリティ態勢、成熟度、レジリエンスの向上を支援する。
Key points identified for the sector include:	このセクターで識別された主なポイントは次の通りだ：
▪ Ransomware incidents constituted 10% of the total, causing some service disruptions.	▪ ランサムウェアインシデントは全体の10％を占め、一部のサービス中断を引き起こした。
▪ Data-related threats, representing almost one in five incidents, targeted sensitive platforms such as employment services and law enforcement portals.	▪ データ関連の脅威は全インシデントの約5分の1を占め、雇用サービスや法執行機関ポータルなどの機密性の高いプラットフォームを標的とした。
▪ Distributed Denial-of-Service (DDoS) attacks, which accounted for nearly two-thirds of incidents, primarily affected ministerial and municipal websites.	▪ 分散型サービス妨害（DDoS）攻撃は全インシデントの約3分の2を占め、主に省庁や自治体のウェブサイトが影響を受けた。
▪ DDoS attacks were the most common threat type, with pro-Russia hacktivist group NoName057(16) responsible for 46% of such attacks. Often linked to geopolitical events, such as EU support for Ukraine, notable spikes in DDoS attacks were observed in July and December.	▪ DDoS攻撃が最も一般的な脅威タイプであり、親ロシア派ハクティビスト集団「NoName057(16)」が同攻撃の46%を担った。EUのウクライナ支援など地政学的イベントと連動し、7月と12月にDDoS攻撃の顕著な急増が確認された。
Data-related threats included breaches and leaks and had significant impacts on public administration entities. Data breaches accounted for 17.4% and data leaks for 1% of collected incidents, with a surge in incidents observed in the last quarter of 2024, accounting for over 40% of all data-related events. Ransomware attacks were prevalent, often involving unauthorised access to sensitive data.	データ関連の脅威には侵害と漏洩が含まれ、公共行政機関に重大な影響を与えた。データ侵害は全インシデントの17.4%、データ漏洩は1%を占め、2024年第4四半期に急増し全データ関連事象の40%以上を占めた。ランサムウェア攻撃も頻発し、機密データへの不正アクセスを伴うケースが多かった。
The public administration sector in the EU faces significant cyber threats from various adversaries, with hacktivism being the most prevalent in sheer volume. In 2024, hacktivists accounted for nearly 63% of incidents, while cybercrime operators and state-nexus intrusion sets represented approximately 16% and 2.5%, respectively.	EUの公共行政部門は様々な敵対者からの重要なサイバー脅威に直面しており、ハクティビズムが絶対数で最も多い。2024年にはハクティビストがインシデントの約63%を占め、サイバー犯罪者グループと国家関連侵入グループはそれぞれ約16%、2.5%を占めた。
Hacktivist activities in 2024 were primarily driven by ideological motivations linked to geopolitical events, such as Russia’s war of aggression against Ukraine. Groups like NoName057(16) and Anonymous Sudan targeted governmental portals and local administrations across EU Member States.	2024年のハクティビスト活動は、ロシアのウクライナ侵略戦争といった地政学的事件に結びついたイデオロギー的動機が主因であった。NoName057(16)やAnonymous Sudanといったグループは、EU加盟国全体の政府ポータルや地方行政機関を標的とした。
Cybercrime operators continued leveraging ransomware-as-a-service (RaaS) models, leading to operational disruptions in the public administration sector in the EU. Ransomware attacks remained opportunistic, with limited volume but notable disruptions. Ransomware incidents represented about 10% of total events. Ransomware-as-a-Service (RaaS) programs were commonly used, with notable strains deployed against the public administration sector in the EU including RansomHub and LockBit3.0.	サイバー犯罪組織は引き続きランサムウェア・アズ・ア・サービス（RaaS）モデルを活用し、EUの公共行政部門に業務混乱をもたらした。ランサムウェア攻撃は機会主義的であり、件数は限定的ながら顕著な混乱を引き起こした。ランサムウェア関連インシデントは全事象の約10％を占めた。RaaSプログラムが広く利用され、EU公共行政部門に対してはRansomHubやLockBit3.0などの著名な亜種が展開された。
State-nexus intrusion sets publicly documented as associated to Russia and China were active in cyberespionage campaigns against the public administration in the EU, notably targeting governmental entities.	ロシアや中国との関連が公に文書化されている国家関連侵入グループは、EUの公共行政機関に対するサイバー諜報キャンペーンで活発に活動し、特に政府機関を標的とした。
Looking forward, given the sector’s low maturity and being identified as a potentially high-value target, the public administration sector in the EU is highly likely to remain a target in the mid-to-long term. Hacktivist-led DDoS activity is expected to persist around noteworthy geopolitical events, while statenexus intrusion sets will probably continue carrying out long-term cyberespionage campaigns. Opportunistic ransomware and data breaches are likely to continue to impact business continuity, and lead to reputational damage.	今後、このセクターの成熟度が低く、潜在的に高価値な標的と識別されていることから、EUの公共行政部門は中長期的に標的であり続ける可能性が高い。ハクティビスト主導のDDoS攻撃は、注目すべき地政学的イベントを契機に継続すると予想される。一方、国家関連侵入グループは長期的なサイバー諜報キャンペーンを継続する可能性が高い。機会主義的なランサムウェア攻撃やデータ侵害は、事業継続に影響を与え、評判の毀損につながる恐れがある。

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.10.05 ENISA 脅威状況 2025 (2025.10.01)

・2025.08.07 ENISA サイバーセキュリティ脅威状況の評価方法 (2025.08.01)

・2025.03.30 欧州ENISA 宇宙脅威状況 2025 (2025.03.26)

・2025.02.23 欧州 ENISA 脅威状況 (2023.01-2024.06)：金融セクター

・2024.09.26 ENISA 脅威状況2024

・2023.12.09 ENISA 戦争と地政学がDoS攻撃に拍車をかけている - DoS攻撃に関する脅威状況

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.03.22 ENISA 輸送セクターのサイバー脅威状況

・2022.12.14 ENISA 外国人による情報操作と干渉（FIMI）とサイバーセキュリティ - 脅威状況

・2022.11.08 ENISA 脅威状況 2022：不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

オーストラリア

・2025.10.24 オーストラリアサイバー脅威年次報告 2024-2025

・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書（2021年7月から2022年6月）

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

カナダ

・2024.11.05 カナダ国家サイバー脅威アセスメント 2025-2026 (2024.10.30)

・2022.11.01 カナダサイバーセキュリティセンター国家サイバー脅威評価 2023-2024

・2022.07.21 カナダサイバーセキュリティセンター「サイバー脅威報告：ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

2025.11.09 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2025.11.08

世界経済フォーラム AIサイバーバブルは今にも崩壊するのだろうか？

こんにちは、丸山満彦です。

世界経済フォーラムの記事が落ち着いた論考なので、ご紹介...

趣旨は、

AIを活用したサイバーセキュリティマーケットは、最近の盛り上がっているものの、経済界からは「バブル崩壊」が訪れるのではないかと懸念されているところもあります...この論考では、それをバブル崩壊ではなく、「調整」と捉え、サイバーリーダーが今後注力すべき3つのポイントを挙げていますね。これが割と落ち着いた内容なので、ご紹介...

国家主権的なレジリエンス: 米国やイスラエルに集中する大手プロバイダーへの依存を減らし、規制が強化される前に技術スタックを多様化すること。
認知的セキュリティ: AIによる詐欺やディープフェイクなどの「認知操作」が最も深刻な脅威の一つと捉え、従来の技術的対策を超えた対策をしていくこと。
セキュリティの基礎: （AIシステムを保護するためにも、）アクセス制御、脆弱性管理といった、長年のサイバーセキュリティの基礎的な原則への継続的な投資が不可欠であること。

サイバーセキュリティは長期的な視点でみることが重要で、短期的な対策に翻弄されずに、強靭で適応性の高い戦略を確立するための基礎的な事項への投資が重要

ということですね...

● World Economic Forum

・2025.10.30 Is the AI-cyber bubble about to burst?

2025.11.08 00:00 in 情報セキュリティ / サイバーセキュリティ, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2025.11.07

経済産業省 JC-STARと英国PSTI法の相互承認に関する覚書に署名 (2025.11.06)

こんにちは、丸山満彦です。

製品サイバーセキュリティの星制度の話。経済産業省と英国の科学・イノベーション・技術省（DSIT）がJC-STARと英国PSTI法の相互承認に関する覚書に署名していましたね...

● 経済産業省

・2025.11.06 JC-STARと英国PSTI法の相互承認に関する覚書に署名しました

...英国PSTI法（Product Security and Telecommunications Infrastructure Act）が要求する技術基準（3要件）と我が国のJC-STAR（「セキュリティ要件適合評価及びラベリング制度」）★1のラベル取得に必要な技術基準の3要件が同等であるとみなす旨に合意する、「IoT製品のためのサイバーセキュリティ制度の相互承認に関する協力覚書」に署名しました。

ということなので、★１を取得していれば、PSTI法の技術基準を満たしていることになるので、日本での活動が英国でも効果を持つということで、JC-STARの活用の意義は大きくなりましたね...

英国に引き続き、フィンランド、ドイツ、シンガポール等との連携も考えられますので、これからの経済産業省の活動にも注目です。奥家審議官、武尾課長も頑張ってくれたのだろうと思います。NICEですね...

・[PDF] MEMORANDUM of COOPERATION BETWEEN THE MINISTRY OF ECONOMY, TRADE, AND INDUSTRY OF JAPAN AND THE DEPARTMENT FOR SCIENCE, INNNOVATION AND TECHNOLOGY OF THE UNITED KINGDOM ON MUTUAL RECOGNITION OF IOT SECURITY REGIMES

MEMORANDUM of COOPERATION BETWEEN THE MINISTRY OF ECONOMY, TRADE, AND INDUSTRY OF JAPAN AND THE DEPARTMENT FOR SCIENCE, INNNOVATION AND TECHNOLOGY OF THE UNITED KINGDOM ON MUTUAL RECOGNITION OF IOT SECURITY REGIMES	日本国経済産業省と英国科学・イノベーション・技術省との間のIoTセキュリティ体制の相互承認に関する協力覚書
The Ministry of Economy, Trade, and Industry of Japan and The Department for Science, Innovation and Technology of the United Kingdom (hereinafter referred to individually as “Participant” and collectively as “Participants")	日本国経済産業省及び英国科学技術革新省（以下、個別に「参加国」、総称して「参加国」という）は、
With the aim of promoting the harmonisation of standards, reducing the costs for manufacturers and improving the security of connected devices in both countries;	両国における接続機器のセキュリティ向上、製造コスト削減、標準の調和促進を目的として、
In order to work towards establishing effective mechanisms for the mutual recognition of IoT devices cyber security regimes established in Japan, and the United Kingdom of Great Britain and Northern Ireland;	日本及びグレートブリテン及び北アイルランド連合王国において確立されたIoT機器のサイバーセキュリティ体制の相互承認に向けた効果的な仕組みの構築を目指すため、
HAVING REGARD to the desirability of establishing high standards for the cyber security of IoT devices;	IoT機器のサイバーセキュリティに関する高標準の基準を確立することが望ましいことを考慮し、
RECOGNISING that mutual recognition of our respective IoT cyber security regimes should promote improvements in trade; HAVE ACCEPTED AS FOLLOWS:	相互のIoTサイバーセキュリティ体制の相互承認が貿易の改善を促進すべきであることを認識し、以下の通り合意する。
PARAGRAPH 1	第1条
Objective	目的
Acting within their powers and responsibilities and in accordance with their national laws and regulations, and in any event insofar as appropriate, the Participants will endeavour to strengthen cooperation in the area of IoT cyber security between the Participants, with the aim of pursuing mutual recognition of the Participants’ respective IoT Cyber Security Schemes, in line with the items of this Memorandum of Cooperation (hereinafter referred to as “this MoC”).	参加国は、その権限と責任の範囲内で、また国内法および規制に従い、かつ、いかなる場合においても適切な範囲で、本協力覚書（以下「本覚書」という）の項目に沿って、参加国のそれぞれの IoT サイバーセキュリティスキームの相互承認を追求することを目的として、参加国間の IoT サイバーセキュリティ分野における協力の強化に努める。
PARAGRAPH 2	第2条
Definitions	定義
The following items and definitions are utilised for the purpose of this MoC:	本 MoC の目的上、以下の項目および定義が用いられる。
1. “Conformity Assessment Procedures” means, in the case of Japan and the UK, the process of determining whether an IoT Product complies with the Requirements;	1. 「適合性評価手続き」とは、日本および英国の場合、IoT 製品が要件に適合しているかどうかを判断するためのプロセスを意味する。
2. “Consistency check” means the process of reviewing a Self-declaration and the information that is provided by the manufacturer in an application, and any included supporting documents to determine whether conformity with the IT security Requirements specified by the Participant is plausibly and comprehensibly assured;	2. 「整合性チェック」とは、自己宣言、製造事業者が申請書で提供する情報、および添付の補足文書を審査し、参加者が指定した IT セキュリティ要件への適合性が、妥当かつ理解可能に保証されているかどうかを判断するプロセスを指す。
3. “Cyber Security Scheme” means, in the case of Japan, the JC-STAR Level 1 scheme. In the case of the UK, the product security regulatory regime created by Part 1 of the Product Security and Telecommunications Infrastructure Act 2022 and Regulations made under that Act;	3. 「サイバーセキュリティ制度」とは、日本の場合、JC-STARレベル1制度を意味する。英国の場合、2022年製品安全・電気通信インフラ法第1部及び同法に基づく規則により創設された製品安全規制制度を意味する。
4. “IoT Products” means, in the case of Japan, the IoT devices including both consumer and industrial products that can be connected directly or indirectly to the internet using IP or Internet Protocol will be covered in the scope of this Scheme, excluding general-purpose IT products to which users can easily alter security measures such as via software (PCs, tablets, smartphones, etc.) specified by the Information-technology Promotion Agency supervised by the Ministry of Economy, Trade, and Industry. In the case of the UK, a product that is within scope of the UK’s Cyber Security Scheme;	4. 「IoT製品」とは、日本の場合、IP（インターネットプロトコル）を用いて直接または間接的にインターネットに接続可能な消費者向け及び産業用製品を含むIoT機器を本スキームの対象範囲とする。ただし、経済産業省所管の情報処理推進機構が指定する、ユーザーがソフトウェア等により容易にセキュリティ対策を改変可能な汎用IT製品（PC、タブレット、スマートフォン等）は除く。英国の場合、英国のサイバーセキュリティスキームの対象となる製品を指す。
5. “Label” means Japan’s JC-STAR-1 Label;	5. 「ラベル」とは、日本のJC-STAR-1ラベルを指す。
6. “Law-Compliant / Compliant with UK’s Law” means compliant with the UK’s product security regulatory regime created by Part 1 of the Product Security and Telecommunications Infrastructure Act 2022 and regulations made under that Act;	6. 「法令適合／英国の法令適合」とは、2022年製品セキュリティ・電気通信インフラ法（Product Security and Telecommunications Infrastructure Act 2022）第1部及び同法に基づく規則により構築された英国の製品セキュリティ規制制度に適合することを指す。
7. “Requirements” means, in the case of Japan, the IT security requirements applicable to the relevant product category set out under the JC-STAR-1; and in the case of the UK, the security requirements and the requirement to have a statement of compliance accompany a IoT Product as required under the UK’s Law; and	7. 「要件」とは、日本の場合、JC-STAR-1に定められた該当製品カテゴリーに適用される情報セキュリティ要件を意味する。英国の場合、セキュリティ要件及び英国法で要求されるIoT製品への適合性声明書の添付要件を意味する。
8. “Self-declaration” means a manufacturer’s statement that declares that an IoT device meets the IT security requirements applicable to the relevant product category for the duration specified in line with the Participant’s Requirements;	8. 「自己宣言」とは、製造事業者が、参加者の要件に基づき指定された期間中、当該IoTデバイスが該当する製品カテゴリーに適用されるITセキュリティ要件を満たすことを宣言する声明を意味する。
PARAGRAPH 3	第3条
Recognition of Label and Law	ラベル及び法の相互承認
1. Each Participant will endeavour to recognise the other Participant’s Cyber Security Scheme as credible.	1.各参加者は、他の参加者のサイバーセキュリティスキームを信頼できるものとして承認するよう努める。
2. A Participant will endeavour to recognise the other Participant’s Cyber Security Scheme as follows:	2. 参加者は、他の参加者のサイバーセキュリティスキームを以下の通り認めるよう努める：
a) An IoT Product that is compliant with the UK’s Law will undergo a simplified application process for obtaining a Label under Japan’s Cyber Security Scheme stipulated by the Information-technology Promotion Agency of Japan by showing the statement of Selfdeclaration of the Law-Compliant IoT Product open to the public online.	a) 英国の法令に適合するIoT製品は、日本の情報処理推進機構が定める日本のサイバーセキュリティスキームにおけるラベル取得申請手続きを簡略化される。その際、法令適合IoT製品の自己宣言書がオンラインで一般公開されていることを示す必要がある。
b) In line with subparagraph (c) below, an IoT Product that has been issued with a Label upon compliance with Japan’s Conformity Assessment Procedures, and also holds a valid label, will be treated as compliant with the UK’s Requirements.	b) 下記(c)項に従い、日本の適合性評価手続に準拠してラベルを発行され、かつ有効なラベルを保持するIoT製品は、英国の要件に準拠しているとみなされる。
c) Recognition of an IoT Product in line with the aims of this MoC does not preclude a product also having to comply with other applicable UK law, such as applicable product safety regulations.	c) 本MoCの目的に沿ったIoT製品の相互承認は、当該製品が他の適用される英国法（適用される製品安全規制など）にも準拠する必要性を排除しない。
3. For the avoidance of doubt, this paragraph does not extend to Labels issued to or compliance with Requirements in relation to an IoT Product pursuant to any mutual recognition arrangement with third parties. Where a Participant is discontent with the decision of the other Participant as to the Labelling or fulfilling Requirements of a IoT device, both Participants will endeavour to resolve this discontent through mutual consultations, and may share relevant information for this purpose. If the Participants are not able to resolve this discontent, the Label of the IoT device and the compliance with Requirements concerned will not be capable of being recognised under subparagraph 2 of Paragraph 3.	3. 疑義を避けるため、本項はサードパーティとの相互承認取決めに基づくIoT製品へのラベル発行または要件適合には適用されない。参加者が他参加者のIoT機器のラベル付けまたは要件達成に関する決定に不満がある場合、双方は協議により解決に努め、この目的で関連情報を共有できる。参加者がこの不満を解決できない場合、当該IoTデバイスのラベル及び関連する要件への適合性は、第3項第2号に基づく承認の対象とはならない。
PARAGRAPH 4	第4条
Forms of cooperation	協力の形態
1. The Participants may exchange information regarding the development of applicable standards, cyber security threats and attack methods on IoT devices, Requirements, and other practices concerning IoT cyber security, and share best practices, as appropriate.	1. 参加者は、適用される標準の開発、IoTデバイスに対するサイバー脅威及び攻撃手法、要件、並びにIoTサイバーセキュリティに関するその他の慣行について情報を交換し、適切であればベストプラクティスを共有することができる。
2. The Participants will endeavour to have a consultation at least once annually to provide updates on their IoT Cyber Security Schemes, laws and corresponding Requirements.	2. 参加者は、各自のIoTサイバーセキュリティスキーム、法令及び対応する要件に関する最新情報を提供するため、少なくとも年1回の協議を行うよう努める。
3. Within the context of this MoC, the Participants will endeavour to collaborate on further developments of their Cyber Security Schemes and laws, where appropriate.	3. 本MoCの枠組みにおいて、参加者は、適切と判断される場合、各自のサイバーセキュリティ制度及び法令のさらなる発展に向けた協力を図る。
4. Relevant documents issued for the purpose of information exchange, verification, provision of evidence and other activities arising from this MoC, if not in English, will be accompanied by translated copies in English, where appropriate and needed.	4. 本MoCに基づく情報交換、検証、証拠提供その他の活動のために発行される関連文書は、英語以外の言語で作成される場合、適切かつ必要に応じて英語訳を添付する。
PARAGRAPH 5	第5条
Funding and Resources	資金及び資源
Any collaborative activity carried out under this MoC, will be subject to the availability of funds and resources of each Participant at the material time. Unless otherwise decided in writing by both Participants, each Participant will bear its own costs and expenses for the conduct of all activities and programmes carried out within the framework of this MoC. Costs and expenses borne by METI would be subject to its budgetary appropriations.	本MoCに基づく共同活動は、実施時点における各参加者の資金及び資源の可用性を条件とする。両参加者による書面による別段の合意がない限り、本MoCの枠組み内で実施される全ての活動及びプログラムの費用は、各参加者が自己負担する。経済産業省が負担する費用は、同省の予算配分に準ずる。
PARAGRAPH 6	第6条
Confidentiality	機密保持
1. The Participants will observe the confidentiality and secrecy of documents, information and other data received from the other Participant during the operation of this MoC, to the extent permitted under their national laws and regulations or international obligations.	1. 参加者は、本MoCの運用中に相手方参加者から受領した文書、情報その他のデータの機密性及び秘密を、自国の法令又は国際的義務が許容する範囲内で遵守するものとする。
2. The Participants will take reasonable and lawful measures to ensure that information provided or generated in line with this MoC is protected and used only for the purposes it was provided and will not be disclosed to any third party without prior written consent of the other Participant, to the extent permitted under their national laws and regulations.	2. 参加者は、本MoCに基づきプロバイダまたは生成された情報が防御され、提供された目的のみに使用され、相手方の事前の書面による同意なしにサードパーティに開示されないよう、自国の法令または国際的義務の範囲内で、合理的かつ合法的な措置を講じる。
3. All information provided or generated in line with this MoC will be safeguarded, used, transmitted, stored and handled in accordance with the Participants’ national laws and regulations or international obligations.	3. 本MoCに基づきプロバイダまたは生成された全ての情報は、参加者の国内法令または国際的義務に従い、保護、使用、伝送、保存及び取り扱われる。
4. The items of this paragraph will remain respected notwithstanding the discontinuation of this MoC.	4. 本項の規定は、本MoCの終了後も引き続き遵守される。
PARAGRAPH 7	第7条
Dispute Settlement	紛争解決
1. The Participants will resolve any disputes or differences arising from the interpretation or implementation of this MoC amicably and in good faith through mutual consultations without reference to any national or international tribunal, or third party for settlement.	1. 参加者は、本覚書の解釈または実施に起因する紛争または相違を、いかなる国内または国際裁判所、またはサードパーティの仲裁機関に付託することなく、相互協議を通じて誠実に友好的に解決するものとする。
2. The items of this paragraph will remain respected notwithstanding the discontinuation of this MoC.	2. 本項の規定は、本覚書の終了後も引き続き遵守されるものとする。
PARAGRAPH 8	第8条
Relationship with national law and international law	国内法および国際法との関係
1. Nothing in this MoC creates or is intended to create any legally binding rights and obligations for either Participant under their national law, or international law.	1. 本合意書は、いずれの参加国に対しても、その国内法または国際法に基づく法的拘束力のある権利及び義務を創設するものではない。
2. This MoC is not eligible for registration under Article 102 of the Charter of the United Nations.	2. 本合意書は、国際連合憲章第102条に基づく登録の対象とはならない。
3. This MoC or any actions taken thereto will not affect the rights and obligations of the Participants under any existing international agreements or conventions to which they are party.	3. 本合意書またはこれに基づくいかなる措置も、参加国が当事国である既存の国際協定または条約に基づく権利及び義務に影響を及ぼさない。
PARAGRAPH 9	第9条
Modifications	変更
This MoC may be modified at any time by mutual written consent of the Participants. Such modification will commence on a date as determined by the Participants and will form an integral part of this MoC.	本MoCは、参加者の書面による合意により随時変更できる。変更は参加者が定める日付から効力を生じ、本MoCの不可分の一部を構成する。
PARAGRAPH 10	第10条
Preservation of Authority of a Participant	参加者の権限の維持
1. Nothing in this MoC will be construed to limit the authority of a Participant to determine, through its legislative, regulatory and administrative measures, the level of protection it considers appropriate for the safety of consumers.	1. 本MoCのいかなる規定も、参加者が立法、規制及び行政措置を通じて、消費者の安全のために適切と考える保護水準を決定する権限を制限するものと解釈されない。
2. Nothing in this MoC will be construed to limit the authority of a Participant to take all appropriate and immediate measures whenever it ascertains that an IoT device:	2. 本MoCのいかなる規定も、参加者がIoT機器が以下のいずれかに該当すると確認した場合、直ちに適切な措置を講じる権限を制限するものと解釈されない。
a) compromises the health or safety of persons;	a) 人の健康または安全を損なう場合
b) does not meet its laws and regulations;	b) 当該参加者の法令・規制を満たさない場合
c) compromises national security; or	c) 国家安全保障を脅かす場合
d) otherwise fails to satisfy its Requirements.	d) その他当該参加者の要件を満たさない場合
PARAGRAPH 11	第11条
Final Items	最終事項
1. The Participants will take appropriate measures to fulfil their responsibilities under this MoC.	1. 参加者は、本MoCに基づく責任を履行するため、適切な措置を講じる。
2. This MoC will commence on 01 – 01 - 2026 and will continue for an initial period of three (3) years, and upon discontinuation of the initial period, this MoC will be automatically renewed for successive periods of three (3) years, unless discontinued by either Participant in line with subparagraph 3.	2. 本MoCは2026年1月1日に発効し、当初3年間の期間を継続する。当初期間終了後、本MoCは第3項に従いいずれかの参加者が終了しない限り、自動的に3年ごとの期間で更新される。
3. Either Participant may discontinue this MoC at any time. A Participant that wishes to do so should inform the other Participant of its intention to discontinue this MoC in writing six (6) months in advance of the intended discontinuation date. Upon discontinuation of this MoC, the Participants will consult to determine how any outstanding matters should be dealt with.	3. いずれの参加機関も、本覚書をいつでも終了させることができる。終了を希望する参加機関は、終了予定日の6か月前までに、書面により相手方参加機関に終了の意思を通知しなければならない。本覚書が終了した場合、参加機関は協議の上、未解決事項の処理方法を決定する。
4. Any contractual obligations to third parties and other Joint Declarations of Intent will remain unaffected.	4. サードパーティに対する契約上の義務及びその他の共同意向表明書は、本覚書終了後も影響を受けない。
5. The foregoing represents the recognitions reached between the Participants on the matters referred to in this MoC.	5. 本覚書に記載された事項に関する参加者の合意内容は、上記のとおりである。
SIGNED in duplicate in the United Kingdom on 5/11/2025 in the English language.	本覚書は2025年11月5日、英国において英語で作成され、2通の原本が署名された。

欧州 EDPB ブラジル向け十分性認定ドラフト：EDPBが意見書を採択

こんにちは、丸山満彦です。

ブラジルの個人データ保護法の欧州との十分性認定についてEDPBがOKを出したようです。この後、欧州理事会、欧州委員会の承認が終われば正式に認定という運びになりますね...

● European Daata Protection Board: EDPB

・2025.11.05 Draft adequacy decision for Brazil: EDPB adopts opinion

Draft adequacy decision for Brazil: EDPB adopts opinion	ブラジル向け十分性認定ドラフト：EDPBが意見書を採択
Brussels, 5 November - During its latest plenary, the EDPB adopted an opinion on the European Commission’s draft decision on the adequate level of protection of personal data in Brazil.* Once adopted, the decision will ensure that personal data can flow freely from Europe to Brazil and that individuals can retain control over their data.	ブリュッセル、11月5日 - EDPBは最新の総会において、欧州委員会が提出したブラジルにおける個人データの保護水準の十分性に関する認定ドラフトについて意見書を採択した。* 本認定が採択されれば、欧州からブラジルへの個人データの自由な流通が保証され、個人は自身のデータに対する管理権を維持できる。
In its opinion, requested by the Commission, the EDPB assesses whether the Brazilian data protection framework and the rules on government access to personal data transferred from Europe provide safeguards essentially equivalent to the ones in EU legislation. The Board positively notes the close alignment with EU legislation and the case law of the Court of Justice of the EU. The EDPB also examines whether the safeguards provided under the legal framework in Brazil are in place and effective.	欧州委員会の要請を受けた本意見書において、EDPBはブラジルのデータ保護枠組み及び欧州から移転された個人データへの政府アクセスに関する規則が、EU法と本質的に同等の保護措置を提供しているかを評価した。委員会はEU法及び欧州司法裁判所の判例との緊密な整合性を肯定的に評価している。EDPBはさらに、ブラジルの法的枠組み下で提供される保護措置が適切に整備され、効果的に機能しているかについても検証した。
“The EDPB welcomes the alignment between Brazil and Europe’s data protection frameworks. This is a pivotal moment that will strengthen legal certainty for organisations and competent authorities transferring personal data from Europe to Brazil.	「EDPBはブラジルと欧州のデータ保護枠組みの整合性を歓迎する。これは欧州からブラジルへ個人データを移転する組織及び管轄当局にとって法的確実性を強化する重要な局面である。
We call on the European Commission to address a few remaining points to ensure the effective protection of individuals’ fundamental rights.”	欧州委員会に対し、個人の基本的権利を効果的に保護するため、残された数点の課題に対処するよう要請する」
EDPB Chair, Anu Talus	EDPB議長　アヌ・タラス
The EDPB also invites the Commission to provide further clarifications and monitor certain areas in relation to Data Protection Impact Assessments (DPIA), the limitations on transparency related to commercial and industrial secrecy, and the rules on onward transfers.	EDPBはまた、欧州委員会に対し、データ保護影響評価（DPIA）、商業・産業上の秘密に関する透明性の制限、および再移転に関する規則に関連する特定の分野について、さらなる明確化と監視を行うよう要請する。
As a general rule, the Brazilian data protection law does not apply to data processed by Brazilian public authorities for the exclusive purposes of public safety, national defence, State security, or the investigation and prosecution of criminal offenses.	原則として、ブラジルのデータ保護法は、公共の安全、国防、国家安全保障、または犯罪の捜査・起訴を専ら目的としてブラジル公的機関が処理するデータには適用されない。
At the same time, the EDPB positively notes that the Brazilian data protection law partially applies to the processing of personal data in the context of criminal investigations and maintenance of public order, as interpreted by the Federal Supreme Court of Brazil in its case-law.	同時に、EDPBは、ブラジルの連邦最高裁判所が判例で解釈したように、刑事捜査及び公共秩序保守の文脈におけるパーソナルデータの処理にブラジルのデータ保護法が部分的に適用されることを肯定的に評価する。
The Board invites the Commission to further specify the applicability of the Brazilian data protection law, as well as the Brazilian Data Protection Authority’s investigatory and corrective powers in relation to law enforcement authorities. Finally, the Board invites the Commission to further clarify the outline of Brazil’s concept of national security.	委員会は、ブラジルデータ保護法の適用範囲、ならびに法執行機関に対するブラジルデータ保護当局の調査権限及び是正権限について、欧州委員会がさらに明確化するよう要請する。最後に、委員会はブラジルにおける国家安全保障の概念の概要について、欧州委員会がさらに明確化するよう要請する。
Note to editors:	編集後記：
* An adequacy decision is a key-mechanism in EU data protection legislation which allows the European Commission to determine whether a third country or an international organisation offers an adequate level of data protection. The European Commission has the power to determine, on the basis of Art. 45 of Regulation (EU) 2016/679 whether a country outside the EU offers an adequate level of data protection.	* 十分性認定は、EUデータ保護法における重要な仕組みであり、欧州委員会が第三国または国際機関が十分なデータ保護水準を提供しているかどうかを判断することを可能にする。欧州委員会は、規則（EU）2016/679第45条に基づき、EU域外の国が十分なデータ保護水準を提供しているかどうかを判断する権限を有する。
The adoption of an adequacy decision involves: 1) a proposal from the European Commission; 2) an opinion of the European Data Protection Board; 3) approval from representatives of EU countries; 4) adoption of the decision by the European Commission.	十分性認定の採択には以下のプロセスが含まれる：1)欧州委員会の提案、2)欧州データ保護会議の意見、3)EU加盟国の代表者の承認、4)欧州委員会による決定の採択.

・2025.11.04 Opinion 28/2025 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data by Brazil

・[PDF]

・[DOCX][PDF] 仮訳

1. INTRODUCTION	1. 序論
2. GENERAL DATA PROTECTION ASPECTS	2. データ保護に関する一般的側面
2.1 Accountability and data governance	2.1 説明責任とデータガバナンス
2.2 Scope and definitions	2.2 適用範囲と定義
2.2.1 Material and territorial scope of the LGPD	2.2.1 LGPDの物質的・地域的適用範囲
2.2.2 Definitions	2.2.2 定義
2.3 Data protection principles and legal bases	2.3 データ保護の原則と法的根拠
2.3.1 Principles of the processing	2.3.1 処理の原則
2.3.2 Security measures and breaches	2.3.2 セキュリティ対策と侵害
2.3.3 Lawfulness of processing	2.3.3 処理の合法性
2.4 Individual rights	2.4 個人の権利
2.5 Restrictions on onward transfers	2.5 転送の制限
2.6 Procedural and enforcement mechanisms	2.6 手続き的・執行的メカニズム
2.6.1 Independent oversight	2.6.1 独立した監督
2.6.2 Redress	2.6.2 救済措置
2.6.3 Sanctions	2.6.3 制裁
3. ACCESS AND USE OF PERSONAL DATA TRANSFERRED FROM THE EUROPEAN UNION BY PUBLIC AUTHORITIES IN BRAZIL	3. ブラジル公的機関による欧州連合からの個人データ移転へのアクセス及び利用
3.1 Access and use by Brazilian public authorities for criminal law enforcement purposes 15	3.1 刑事法執行目的におけるブラジル公的機関によるアクセスと利用
3.1.1 Legal framework in the areas of criminal law enforcement	3.1.1 刑事法執行分野における法的枠組み
3.1.2 Necessity and proportionality	3.1.2 必要性と比例性
3.1.3 Further use of data and onward transfers	3.1.3 データのさらなる利用と第三国への転送
3.1.4 Oversight and Redress	3.1.4 監督と救済
3.2 Access and use by Brazilian public authorities for national security purposes	3.2 国家安全保障目的におけるブラジル公的機関によるアクセス及び利用
3.2.1 Scope of the exemption of art. 4 (III) LGPD and its applicability to criminal offenses against state security	3.2.1 LGPD第4条(III)の適用除外範囲及び国家安全保障に対する犯罪行為への適用性
3.2.2 Legal Framework for national security	3.2.2 国家安全保障に関する法的枠組み
3.2.3 Onward transfers and international agreements	3.2.3 転送と国際協定
3.2.4 Oversight and Redress	3.2.4 監督と救済
4. IMPLEMENTATION AND MONITORING OF THE DRAFT DECISION	4. ドラフト決定案の実施と監視

2025.11.07 00:00 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

オーストラリア取締役会におけるサイバーセキュリティの優先事項 2025-26

こんにちは、丸山満彦です。

オーストラリア信号局（ASD）とオーストラリア会社取締役協会（AICD）が、取締役会で議論すべきサイバーセキュリティの優先事項を公表していますね...

オーストラリアでは上場企業や大企業の取締役会は重要な意思決定と執行の監督、執行役員が日常の業務執行をするというのが一般的だと思います。中小企業では、業務執行とその監督は明確に分けられていないかもしれません。

ちなみに、オーストラリア会社取締役協会は

も公表しているのですね...

この２つがベースで、これに追加して2025−2026は、次の４つを重要なポイントとしてあらたに上げているという感じですかね...

Does your organisation have event logging and threat detection?	貴組織はイベント記録と脅威検知を実施しているか？
How does your organisation manage legacy information technology?	貴組織はレガシーITをどのように管理しているか？
How does your organisation manage its cyber supply chain risk?	貴組織はサイバーサプライチェーンリスクをどのように管理しているか？
Does your organisation have a post-quantum cryptography transition plan?	貴組織は耐量子暗号移行計画を有しているか？

● Australian Institute of Company Directors

・2025.10.30 Cyber security priorities for boards in 2025-26

Cyber security priorities for boards in 2025-26	2025-26年度の取締役会におけるサイバーセキュリティ優先事項
The Australian Signals Directorate (ASD) and the AICD have collaborated to publish cyber security governance guidance targeted at the current cyber threat environment.	オーストラリア信号局（ASD）とAICDは、現在のサイバー脅威環境を対象としたサイバーセキュリティガバナンス指針を共同で公表した。
The cyber threat environment is constantly changing with new and evolving threats posing significant risks to all sizes and types of Australian organisations. Boards play a key role in overseeing the cyber resilience of their organisations, including engaging with management on how the organisation is responding to current threats.	サイバー脅威環境は絶えず変化しており、新たな脅威や進化する脅威が、あらゆる規模・業種のオーストラリア組織に重大なリスクをもたらしている。取締役会は、組織のサイバーレジリエンスを監督する上で重要な役割を担っており、現在の脅威への対応策について経営陣と協議することも含まれる。
This guidance from the ASD and AICD provides an extensive list of threshold and supplementary technical questions for boards to ask of management in four priority areas. Informed by the ASD’s intelligence gathering these priority areas are; implementing effective event logging, managing legacy IT risks, overseeing cyber supply chain risks and preparing for post-quantum cryptography.	ASDとAICDによる本ガイドラインは、4つの重点領域において取締役会が経営陣に問うべき閾値技術質問と補足技術質問の包括的なリストを提供する。ASDの情報収集に基づき特定された重点領域は以下の通りである：効果的なイベント記録の実施、レガシーITリスクの管理、サイバーサプライチェーンリスクの監督、ポスト量子暗号への備え。
We encourage directors to read these questions in conjunction with the Cyber Security Governance Principles (Version 2) and Governing Through a Cyber Crisis publications. These publications provide an overview of the core principles of effective cyber security governance, including allocating roles and responsibilities and preparing for significant cyber and data incidents.	取締役は、これらの質問を「サイバーセキュリティガバナンス原則（第2版）」および「サイバー危機におけるガバナンス」の刊行物と併せて読むことを推奨する。これらの刊行物は、役割と責任の割り当てや重大なサイバー・データインシデントへの備えを含む、効果的なサイバーセキュリティガバナンスの中核原則の概要を提供している。

● Australian Signals Directorate

・2025.10.30 Cyber security priorities for boards of directors 2025-26

Cyber security priorities for boards of directors 2025-26	取締役会におけるサイバーセキュリティの優先事項 2025-26
Introduction	序論
The Australian Signals Directorate (ASD) prevents, disrupts and responds to attacks against Australian organisations every day. Understanding and managing cyber security risks, as with other business risks, is a key responsibility in protecting your organisation, shareholders and customers.	オーストラリア信号局（ASD）は、日々オーストラリアの組織に対する攻撃を防止し、妨害し、対応している。他の事業リスクと同様に、サイバーセキュリティリスクを理解し管理することは、組織、株主、顧客を保護する上での重要な責任である。
The Australian Institute of Company Directors (AICD) mission is to be the independent and trusted voice of governance, building the capability of a community of leaders for the benefit of Australian society. In recent years. The AICD has had a significant focus on educating directors on better practice cyber security and data governance through guidance and education activities.	オーストラリア会社取締役協会（AICD）の使命は、ガバナンスにおける独立かつ信頼される声となり、オーストラリア社会のためにリーダーのコミュニティの能力を構築することである。近年、AICDはガイダンスや教育活動を通じて、取締役に対し優れた実践的なサイバーセキュリティとデータガバナンスを教育することに重点を置いてきた。
Should we be worried about cyber security?	サイバーセキュリティを懸念すべきか？
Today, Australia faces a heightened global cyber threat environment, driven by geopolitical tensions in the Middle East, Ukraine and the Indo-Pacific. Recent global events have shown that organisations must be prepared for state-based actors pre-positioning for disruptive attacks against critical infrastructure and services.	今日、オーストラリアは中東、ウクライナ、インド太平洋地域における地政学的緊張に起因する、世界的なサイバー脅威環境の悪化に直面している。最近の国際情勢は、組織が国家支援アクターが重要インフラやサービスに対する破壊的攻撃を事前に準備している事態に備えねばならないことを示している。
Australia has also endured a number of serious data breaches, compromising organisations and impacting customer trust, the cost of which cannot be understated. Unfortunately, trends are worsening. Malicious actors continue to target Australian organisations of all types and sizes. Espionage, enabled by technology advancements, cost Australia $12.5 billion in FY23–24. Cybercrime costs are also rising across all organisation types and sizes, with a sharp increase for large enterprises.	オーストラリアではまた、組織を危険に晒し顧客の信頼を損なう深刻なデータ侵害が相次いで発生しており、そのコストは過小評価できない。残念ながら、この傾向は悪化している。悪意ある主体は、あらゆる種類・規模のオーストラリア組織を標的とし続けている。技術進歩によって可能となったスパイ活動は、2023-24会計年度にオーストラリアに125億ドルの損害をもたらした。サイバー犯罪による損害も、あらゆる組織タイプ・規模で増加しており、特に大エンタープライズでは急増している。
Where should the focus be in 2025-26?	2025-26年度、焦点はどこに置くべきか？
Boards of directors (boards) play a critical role in overseeing how their organisations maintain and build cyber security capabilities, and in responding to existing and emerging cyber threats.	取締役会（ボード）は、組織がサイバーセキュリティ能力を維持・構築する方法の監督、および既存・新興のサイバー脅威への対応において重要な役割を担う。
In 2025-26, we encourage a focus by boards on the following areas:	2025-26年度、取締役会は以下の領域に焦点を当てることを推奨する：
・Understanding whether technology used or provided to your customers is secure by design and secure by default. These security principles and practices are critical for building modern defensible architectures.	・顧客に提供または使用される技術が「設計段階から安全（Secure by Design）」かつ「デフォルトで安全（Secure by Default）」であるか理解すること。これらのセキュリティ原則と実践は、現代的な防御可能なアーキテクチャ構築に不可欠である。
・Prioritising the defence of your organisation’s most critical assets. Your organisations should operate with a mindset of ‘assume compromise’ and consider which assets or ‘crown jewels’ need the most protection.	・組織の最も重要な資産の防御を優先すること。組織は「侵害を前提とする」姿勢で運営し、どの資産や「最重要資産」が最も保護を必要とするかを検討すべきだ。
Your organisation’s ability to defend and respond can be further enhanced through implementing better practice event logging and threat detection measures, replacing legacy information technology (IT), effectively managing third-party risks, and beginning your post-quantum cryptography transition. However, we cannot forget, nor neglect, the basics. This includes keeping all devices updated and enabling multi-factor authentication, especially for any public-facing services. These heightened areas of focus are in addition to a board’s core elements of effective cyber security, for instance, comprehensive cyber security incident planning and promoting a strong cyber security culture within their organisation.	優れたイベント記録と脅威検知対策の実施、レガシーITの置き換え、サードパーティリスクの効果的な管理、ポスト量子暗号への移行開始を通じて、組織の防御・対応能力はさらに強化できる。しかし、基本を忘れてはならず、また軽視してもならない。これには、すべてのデバイスを最新の状態に保ち、特に一般向けサービスについては多要素認証を有効にすることが含まれる。これらの重点分野は、包括的なサイバーセキュリティインシデント計画や組織内の強力なサイバーセキュリティ文化の促進など、取締役会による効果的なサイバーセキュリティの核心要素に追加されるものである。
What good cyber security governance look likes in 2025-26	2025年から2026年における優れたサイバーセキュリティガバナンスのあり方
The following advice outlines questions boards can ask of management and their organisation to understand its cyber security posture in the 2025-26 cyber threat environment. These questions should be read in conjunction with the AICD and the Cyber Security Cooperative Research Centre’s Cyber Security Governance Principles \| Version 2 and Governing Through a Cyber Crisis - Cyber Incident Response and Recovery for Australian Directors publications. These publications provide an overview of the core principles of effective cyber security governance, including allocating roles and responsibilities and overseeing an effective cyber security strategy.	以下のアドバイスは、2025年から2026年のサイバー脅威環境におけるサイバーセキュリティの態勢を理解するために、取締役会が経営陣や組織に尋ねることができる質問の概要である。これらの質問は、AICD およびサイバーセキュリティ共同研究センターの「サイバーセキュリティガバナンス原則 \| バージョン 2」および「サイバー危機を乗り切る - オーストラリアの取締役のためのサイバーインシデント対応と復旧」の出版物と併せて読むべきである。これらの出版物は、役割と責任の割り当て、効果的なサイバーセキュリティ戦略の監督など、効果的なサイバーセキュリティガバナンスの核心的な原則の概要を提示している。
Taken together, the questions in this publication, and the AICD’s cyber security governance guidance, represent a proactive approach to building cyber security capability in the current cyber threat environment.	この出版物の質問と AICD のサイバーセキュリティガバナンスガイダンスを総合すると、現在のサイバー脅威環境においてサイバーセキュリティ能力を構築するための積極的なアプローチが示されている。
The questions in this publication are divided into two categories:	本出版物の質問は、2 つのカテゴリーに分類される。
・threshold governance questions that assist in determining the cyber security posture of organisations, given the 2025-26 cyber threat environment.	・2025 年から 2026 年のサイバー脅威環境を踏まえ、組織のサイバーセキュリティ態勢の決定に役立つ、しきい値ガバナンスに関する質問。
・supplementary technical questions to understand in greater detail the cyber security controls in place within organisations. These questions may assist directors of a risk or technology committee engage on key controls with senior management, by way of example.	・組織内で実施されているサイバーセキュリティ対策をより詳細に理解するための、補足的な技術的な質問。これらの質問は、例えば、リスク委員会や技術委員会の取締役が、上級管理職と主要な対策について協議する上で役立つかもしれない。
We recognise that for many organisations, particularly small-to-medium enterprises and not-for-profits, it may not be possible to implement all the advice within this publication. However, this advice still enables the board for such entities to ask questions to understand their organisation’s existing cyber security posture and identify areas for improvement.	多くの組織、特に中小企業や非営利団体にとって、本出版物の助言を全て実施することは困難かもしれない。しかし、これらの助言は、そのような事業体の取締役会が自組織の既存のサイバーセキュリティ態勢を理解し、改善すべき領域を識別するための質問を投げかけることを可能にする。
ASD provides cyber security advice specifically written for small business.	ASDは中小企業向けに特別に作成されたサイバーセキュリティ助言を提供している。
The AICD CSCRC Cyber Security Principles also has a dedicated snapshot for directors of smaller organisations.	AICD CSCRCサイバーセキュリティ原則には、小規模組織の取締役向けに特化した概要も存在する。
Contact details	連絡先
If you have any questions regarding this guidance you can write to us or call us on 1300 CYBER1 (1300 292 371).	本ガイダンスに関する質問がある場合は、書面または電話（1300 CYBER1：1300 292 371）にて問い合わせ可能である。

Does your organisation have event logging and threat detection?	貴組織はイベント記録と脅威検知を実施しているか？
The board should understand whether there is an enterprise wide-approach to event logging and threat detection. A rigorous approach to threat detection will improve your organisation’s chances of detecting malicious behaviour within your IT environment.	取締役会は、イベント記録と脅威検知に対するエンタープライズな取り組みの有無を把握すべきである。脅威検知に対する厳格なアプローチは、IT環境内の悪意ある行為の検知を可能にする組織の確率を高める。
In implementing cyber security measures, including event logging and threat detection measures, the board should have visibility of shared responsibilities between service providers and their organisation.	イベントログ記録や脅威検知を含むサイバーセキュリティ対策を実施する際、取締役会はサービスプロバイダと自社組織間の責任分担を可視化すべきである。
ASD provides advice for executives to assist with implementing event logging and threat detection.	ASDは、イベントログ記録と脅威検知の実施を支援するため、経営幹部向けの助言を提供している。
Threshold governance questions	閾値ガバナンスに関する質問
Have we established an event logging policy that includes event log retention, access and review procedures?	イベントログの保存期間、アクセス、レビュー手順を含むイベントログ記録ポリシーを確立しているか？
Have we defined event logging and monitoring responsibilities across teams?	チーム横断的なイベントログ記録・監視責任を定義しているか？
Have we identified all critical systems, applications and devices that require event logging?	イベントログ記録が必要な全ての重要システム、アプリケーション、デバイスを識別しているか？
Supplementary technical questions	補足的な技術的質問
Event logging processes and coverage	イベントログ記録プロセスと対象範囲
Do our cyber security activities align with ASD’s event logging and threat detection guidance?	自社のサイバーセキュリティ活動はASDのイベントログ記録・脅威検知ガイダンスに沿っているか？
Do we collect event logs from network devices, security appliances, operating systems, applications, databases and cloud services?	ネットワーク機器、セキュリティアプライアンス、OS、アプリケーション、データベース、クラウドサービスからイベントログを収集しているか？
Event log configuration and quality	イベントログの設定と品質
Do we configure event logs to capture sufficient detail?	十分な詳細情報を取得するようイベントログを設定しているか？
Do we ensure event logs are time-synchronised across our organisation?	組織全体でイベントログの時間同期を確保しているか？
Do we avoid collecting excessive or irrelevant event logs?	過剰または無関係なイベントログの収集を回避しているか？
Centralised event log management	集中型イベントログ管理
Do we forward event logs to a centralised event logging system?	イベントログを集中型イベントログシステムに転送しているか？
Do we ensure event logs are securely transmitted and stored?	イベントログの安全な伝送と保存を確保しているか？
Do we implement access controls to protect the integrity and confidentiality of event logs?	イベントログの完全性と機密性を防御するアクセス管理を実施しているか？
Threat detection capabilities	脅威検知能力
Do we define and implement detection rules for known cyber threats and anomalies?	既知のサイバー脅威や異常に対する検知ルールを定義し実装しているか？
Do we use threat intelligence feeds to enhance detection rules?	脅威インテリジェンスフィードを活用して検知ルールを強化しているか？
Do we monitor for indicators of compromise and suspicious behaviour?	侵害の兆候や不審な行動を監視しているか？
Alerting and response	アラートと対応
Do we configure alerts for high-risk events	高リスクイベントに対するアラートを設定しているか？
Do we ensure alerts are actionable and routed to appropriate teams?	アラートが実行可能であり、適切なチームにルーティングされることを保証しているか？
Do we integrate alerts into cyber security incident response workflows?	アラートをサイバーセキュリティインシデント対応ワークフローに統合しているか？
Event log analysis	イベントログ分析
Do we conduct regular reviews of event logs for signs of compromise?	侵害の兆候を調べるため、イベントログを定期的にレビューしているか？
Do we use automated tools to correlate events and detect patterns?	イベントを相関分析しパターンを検知する自動化ツールを使用しているか？
Do we performed retrospective analysis after cyber security incidents?	サイバーセキュリティインシデント発生後に事後分析を実施しているか？
Retention and compliance	保持とコンプライアンス
Do we retain event logs for a period consistent with legal and regulatory requirements?	法的・規制要件に沿った期間、イベントログを保持しているか？
Do we ensure event logs are made available for forensic investigations and audits?	フォレンジック調査や監査のためにイベントログが利用可能であることを保証しているか？
Do we have documented event log retention policies?	文書化されたイベントログ保持ポリシーがあるか？
How does your organisation manage legacy information technology?	貴組織はレガシーITをどのように管理しているか？
Legacy IT presents significant and enduring risks to the cyber security posture of your organisation. The board should be aware that weak cyber security measures for legacy IT can increase the likelihood of a cyber security incident, and make any cyber security incident that does occur more impactful.	レガシーITは組織のサイバーセキュリティ態勢に対し、重大かつ持続的なリスクをもたらす。取締役会は、レガシーITに対する脆弱なセキュリティ対策がインシデント発生確率を高め、発生時の影響を拡大させることを認識すべきである。
The most effective method to mitigate the cyber security risk posed by legacy IT is to replace it before it becomes unsupported. Retaining legacy IT within your organisation’s IT environment, especially where adequate compensating measures have not been applied, also presents significant business risks. These include the costs involved in remediating the consequences following a cyber security incident, systems being taken offline, service delivery being disrupted, loss of productivity, potential leakage or loss of data, and loss of public confidence in your organisation.	レガシーITがサポート終了状態になる前に置き換えることが、サイバーセキュリティリスクの緩和につながる最も効果的な方法である。特に適切な補償措置が講じられていない場合、組織のIT環境内にレガシーITを保持することは、重大なビジネスリスクも伴う。これには、サイバーセキュリティインシデント発生後の影響修復コスト、システムの停止、サービス提供の混乱、生産性の低下、データの漏洩・喪失の可能性、組織に対する公衆の信頼喪失などが含まれる。
ASD provides advice for executives to assist with legacy IT management.	ASDは、経営幹部がレガシーIT管理を支援するための助言を提供している。
Threshold governance questions	閾値ガバナンスに関する質問
Have we identified and documented all legacy IT in use?	使用中のレガシーITを全て識別し文書化しているか？
Have we assigned risk ownership responsibility for each piece of legacy IT?	各レガシーITに対するリスク所有責任を割り振っているか？
Have we established a legacy IT risk management strategy aligning with ASD’s guidance?	ASDのガイダンスに沿ったレガシーITリスクマネジメント戦略を確立しているか？
Have we assessed each piece of legacy IT for security vulnerabilities, operational dependencies and business criticality	各レガシーITについて、セキュリティ脆弱性・運用依存関係・業務重要性を評価しているか？
Have we categorised each piece of legacy IT based on risk exposure and impact?	リスクエクスポージャーと影響度に基づき各レガシーITを分類しているか？
Supplementary technical questions	補足的な技術的質問
Compensating measures	補償措置
Do we have compensating measures for when patching legacy IT is not possible?	レガシーITへのパッチ適用が不可能な場合の補償措置は存在するか？
Do we document, and regularly review, compensating measures for their effectiveness?	補償措置の有効性について文書化し、定期的に見直しているか？
Access controls	アクセス制御
Do we restrict access to legacy IT to only those who need it?	レガシーITへのアクセスを必要な者にのみ制限しているか？
Do we log all access to legacy IT?	レガシーITへの全アクセスをログ記録しているか？
Monitoring and incident response	監視とインシデント対応
Do we include legacy IT in our security monitoring and alerting activities?	セキュリティ監視およびアラート活動にレガシーITを含めているか？
Do our cyber security incident response plans account for legacy IT?	サイバーセキュリティインシデント対応計画はレガシーITを考慮しているか？
Do we conduct testing of cyber security incident response playbooks involving legacy IT?	レガシーITを想定したサイバーセキュリティインシデント対応プレイブックのテストを実施しているか？
Vendor support considerations	ベンダーサポートに関する考慮事項
Do we regularly scan for legacy IT that is no longer supported by vendors?	ベンダーによるサポートが終了したレガシーITを定期的にスキャンしているか？
Do we engage vendors for extended support or security advisories if available?	延長サポートやセキュリティアドバイザリが利用可能な場合、ベンダーと連携しているか？
Do we document end of life timelines and vendor support gaps?	サポート終了時期とベンダーサポートの空白期間を文書化しているか？
Transition and decommissioning plans	移行および廃止計画
Do processes for secure data mitigation from legacy IT exist?	レガシーITからの安全なデータ緩和プロセスは存在するか？
Do we maintain a roadmap for replacing or retiring legacy IT?	レガシーITの置換または廃止に向けたロードマップを維持しているか？
Do we prioritise decommissioning legacy IT based on risk and business impact?	リスクと事業影響に基づきレガシーITの廃止を優先しているか？
How does your organisation manage its cyber supply chain risk?	貴組織はサイバーサプライチェーンリスクをどのように管理しているか？
The board should have oversight of how cyber security risk is managed in the cyber supply chain. Suppliers, manufacturers, distributors and retailers involved in products or services used by your organisation will present a cyber supply chain risk for your businesses. Likewise, you will present a cyber supply chain risk to your customers.	取締役会はサイバーサプライチェーンにおけるサイバーセキュリティリスクマネジメントを監督すべきである。貴組織が利用する製品・サービスに関わる供給業者、製造事業者、頒布事業者、小売業者は、貴事業にとってサイバーサプライチェーンリスクとなる。同様に、貴組織も顧客にとってサイバーサプライチェーンリスクとなる。
For Australian Prudential Regulation Authority regulated entities, there are specific obligations set out in prudential standards on the oversight of suppliers and the Security of Critical Infrastructure Act 2018 has obligations that extend across various participants in the critical asset supply chain.	オーストラリア金融規制庁（APRA）の規制対象事業体については、サプライヤーの監督に関する監督標準に特定の義務が定められており、2018年重要インフラセキュリティ法は重要資産サプライチェーンの様々な参加者に義務を課している。
Effective cyber supply chain risk management ensures, as much as possible, the secure supply of products and services throughout their lifetime. This includes their design, manufacture, delivery, maintenance, decommissioning and disposal. Cyber supply chain risk management should form a significant component of your organisation’s overall cyber security strategy.	効果的なサイバーサプライチェーンリスクマネジメントは、製品やサービスのライフサイクル全体（設計、製造事業者、納入、保守、廃止、廃棄を含む）において、可能な限り安全な供給を確保するものである。サイバーサプライチェーンリスクマネジメントは、組織全体のサイバーセキュリティ戦略において重要な構成要素となるべきだ。
ASD provides advice for executives to assist with cyber supply chain risk management.	ASDは、経営陣がサイバーサプライチェーンリスクマネジメントを支援するための助言を提供している。
Threshold governance questions	閾値ガバナンス質問
Have we developed a cyber supply chain risk management policy?	サイバーサプライチェーンリスクマネジメントポリシーを策定したか？
Have we assigned ownership for cyber supply chain risk across procurement, legal and cyber security teams?	調達、法務、サイバーセキュリティ各チームにサイバーサプライチェーンリスクの責任を割り当てたか？
Have we identified all suppliers with access to our systems and data?	自社のシステムやデータにアクセス可能な全サプライヤーを識別したか？
Have we categorised suppliers by criticality and risk exposure?	サプライヤーを重要度とリスクエクスポージャーで分類したか？
Have we assessed suppliers’ cyber security posture using assessments or certifications?	サプライヤーのサイバーセキュリティ態勢をアセスメントや認証を用いて評価したか？
Supplementary technical questions	補足的な技術的質問
Contractual measures	契約上の措置
Do we include cyber security requirements in contracts and service level agreements?	契約やサービスレベル契約にサイバーセキュリティ要件を含めているか？
Do we require suppliers to notify us of breaches, security vulnerabilities or changes in risk?	サプライヤーに侵害、セキュリティ脆弱性、リスク変化の通知を義務付けているか？
Do we require compliance with ASD’s Information security manual (ISM)?	ASDの情報セキュリティマニュアル（ISM）への準拠を要求しているか？
Due diligence	デューデリジェンス
Do we conduct cyber supply chain risk assessments before onboarding suppliers?	サプライヤーの採用前にサイバーサプライチェーンリスク評価を実施しているか？
Do we verify supplier cyber security measures and cyber security incident response capabilities?	サプライヤーのサイバーセキュリティ対策とインシデント対応能力を検証しているか？
Do we ensure suppliers understand and agree to our cyber security expectations?	サプライヤーが自社のサイバーセキュリティ要件を理解し同意していることを確認しているか？
Ongoing monitoring and review	継続的監視とレビュー
Do we monitor supplier performance and compliance with cyber security obligations?	サプライヤーのパフォーマンスとサイバーセキュリティ義務の遵守状況を監視しているか？
Do we review supplier risk profiles periodically?	サプライヤーのリスクプロファイルを定期的に見直しているか？
Do we track and respond to emerging cyber threats affecting our cyber supply chain?	自社のサイバーサプライチェーンに影響する新たなサイバー脅威を追跡し対応しているか？
Third-party access management	サードパーティアクセス管理
Do we limit supplier access to only necessary systems and data?	サプライヤーのアクセスを必要なシステムとデータのみに制限しているか？
Do we implement cyber security measures, such as network segmentation and multi-factor authentication, for supplier access to our systems?	サプライヤーが自社システムにアクセスする際、ネットワークセグメンテーションや多要素認証などのサイバーセキュリティ対策を実装しているか？
Do we monitor and log supplier access to our systems?	サプライヤーの自社システムへのアクセスを監視・記録しているか？
Cyber security incident response and resilience	サイバーセキュリティインシデント対応とレジリエンシー
Do we include cyber supply chain compromise scenarios in our cyber security incident response planning?	サイバーセキュリティインシデント対応計画に、サイバーサプライチェーン侵害シナリオを含めているか？
Do we ensure suppliers have their own cyber security incident response plans and reporting mechanisms?	サプライヤーが独自のサイバーセキュリティインシデント対応計画と報告メカニズムを有していることを確認しているか？
Do we establish communication protocols with suppliers for coordinated responses to cyber supply chain compromises?	サイバーサプライチェーン侵害への協調的対応のため、サプライヤーとの連絡手順を確立しているか？
Does your organisation have a post-quantum cryptography transition plan?	貴組織は耐量子暗号移行計画を有しているか？
The board should be aware that in the near future cryptographically relevant quantum computers will render most contemporary cryptography insecure. This will result in existing secure communications based on current cryptography technology becoming vulnerable to compromise.	取締役会は、近い将来に暗号学的に有効な量子コンピュータが登場し、現代の暗号技術のほとんどが安全でなくなることを認識すべきである。これにより、現行の暗号技術に基づく既存の安全な通信が脆弱性を持つようになる。
As the creation of a cryptographically relevant quantum computer presents new cyber security risks, the board should oversee steps to anticipate future business requirements and dependencies for vulnerable systems during the transition period to post-quantum cryptography standards.	暗号学的に有効な量子コンピュータの出現が新たなサイバーセキュリティリスクをもたらすため、取締役会はポスト量子暗号標準への移行期間中、脆弱なシステムに対する将来の業務要件と依存関係を予測する措置を監督すべきである。
ASD provides advice for executives to assist with the post-quantum cryptography transition.	ASDはポスト量子暗号移行を支援するため、経営幹部向けの助言を提供している。
Threshold governance questions	閾値ガバナンス質問
Have we acknowledged the long-term impact of quantum computing?	量子コンピューティングの長期的な影響を認識しているか？
Have we assessed the potential impact of quantum threats to our systems and data?	量子脅威がシステムとデータに及ぼす潜在的影響を評価したか？
Have we established a post-quantum cryptography transition plan?	耐量子暗号移行計画は策定済みか？
Have we assigned executive and senior management responsibilities for post-quantum cryptography transition planning and readiness?	耐量子暗号移行計画と準備態勢に関する経営陣および上級管理職の責任分担は明確化されているか？
Supplementary technical questions	補足技術的質問
Cryptographic inventory	暗号技術インベントリ
Do we document where cryptography is implemented within our organisation?	組織内で暗号技術が実装されている箇所を文書化しているか？
Do we have an inventory of the cryptographic algorithms, protocols and libraries we use?	使用する暗号アルゴリズム、プロトコル、ライブラリのインベントリは存在するか？
Do we track and record our dependencies on vulnerable cryptographic algorithms?	脆弱な暗号アルゴリズムへの依存関係を追跡・記録しているか？
Vendor and supply chain engagement	ベンダーおよびサプライチェーンとの連携
Do we regularly engage with vendors to understand their post-quantum cryptography transition plans and readiness?	ベンダーと定期的に連携し、ポスト量子暗号への移行計画と準備状況を把握しているか？
Do we require vendors to disclose cryptographic dependencies and upgrade timelines?	ベンダーに対し、暗号依存関係とアップグレードのタイムラインを開示するよう要求しているか？
Do we include post-quantum cryptography considerations in our procurement and contract negotiations with vendors?	ベンダーとの調達および契約交渉において、ポスト量子暗号に関する考慮事項を含めているか？
Transition planning	移行計画
Do we monitor ASD’s advice on planning for post-quantum cryptography?	ポスト量子暗号計画に関するASDの助言を監視しているか？
Do we have a roadmap for migration to quantum-resistant algorithms?	量子耐性アルゴリズムへの移行ロードマップを有しているか？
Testing and validation	テストと妥当性確認
Do we first test quantum-resistant algorithms in non-production environments?	量子耐性アルゴリズムをまず非本番環境でテストしているか？
Do we evaluate performance, interoperability and the security of quantum-resistant algorithms?	量子耐性アルゴリズムの性能、相互運用性、セキュリティを評価しているか？
Policy and compliance	ポリシーとコンプライアンス
Do we have updated cryptography policies that include post-quantum cryptography considerations?	ポスト量子暗号を考慮した更新された暗号ポリシーがあるか？
Do we comply with ASD’s post-quantum cryptography standards?	ASDの耐量子暗号標準に準拠しているか？
Do we track regulatory developments related to post-quantum cryptography?	ポスト量子暗号に関連する規制動向を追跡しているか？

● Australian Institute of Company Directors

・[PDF] Cyber security priorities for boards in 2025-26

● Australian Institute of Company Directors

・2024.11.25 Cyber Security Governance Principles | Version 2

Cyber Security Governance Principles \| Version 2	サイバーセキュリティガバナンス原則｜バージョン2
Version 2 reflects developments in cyber security governance and emerging cyber threats since the Principles initial release in 2022.	バージョン2は、2022年の原則初版発表以降、サイバーセキュリティガバナンスの進展と新たなサイバー脅威を反映している。
Cyber threats are a critical risk for organisations of all sizes. With digital driven strategies, evolving regulation, and increasingly sophisticated cybercrime, cyber security remains a top board priority.	サイバー脅威は、あらゆる規模の組織にとって重大なリスクである。デジタル主導の戦略、進化する規制、高度化するサイバー犯罪により、サイバーセキュリティは引き続き取締役会の最優先課題だ。
Since 2022, the AICD and CSCRC’s Cyber Security Governance Principles (Principles) have set the standard for cyber governance in Australia. They offer a framework for better practice, enhanced resilience, and proactive board oversight.	2022年以降、AICD（オーストラリア会社取締役協会）とCSCRC（サイバーセキュリティ規制・協力センター）の「サイバーセキュリティガバナンス原則」（原則）は、オーストラリアにおけるサイバーガバナンスの標準を定めてきた。これらは、より良い実践、レジリエンスの強化、そして取締役会による積極的な監督のための枠組みを提供する。
This Version 2 covers emerging issues such as digital supply chain risks, data governance and effective cyber incident response and recovery. The Principles feature case studies from corporate leaders including former Telstra CEO, Andy Penn AO and Ventia Services Group Chair, David Moffatt MAICD, along with insights from recent major cyber security incidents. To support directors, the Principles provide practical tools, including tailored questions, governance red flags, and checklists for NFPs and SMEs, helping boards strengthen cyber resilience, improve risk controls, and oversee supplier relationships effectively.	このバージョン2は、デジタルサプライチェーンリスク、データガバナンス、効果的なサイバーインシデント対応と復旧といった新たな課題を取り上げている。原則には、元テルストラCEOアンディ・ペンAOやベンティア・サービス・グループ会長デイビッド・モファットMAICDら企業リーダーの事例研究に加え、最近の重大サイバーセキュリティインシデントからの知見が掲載されている。取締役を支援するため、原則では実践的なツールを提供している。これには、NFP（非営利法人）や中小企業向けの特化型質問、ガバナンス上の危険信号、チェックリストが含まれ、取締役会がサイバーレジリエンシーを強化し、リスク管理を改善し、サプライヤー関係を効果的に監督するのに役立つ。
Download the media release	プレスリリースをダウンロード
Watch the webinar recording	ウェビナー録画を視聴
Watch the expert panel discussion with David Moffatt MAICD, Victoria Weekes FAICD, Rachael Falk MAICD and Christian Gergis GAICD as they unpack the latest updates to the Cyber Security Governance Principles.	デイビッド・モファット MAICD、ビクトリア・ウィークス FAICD、レイチェル・フォーク MAICD、クリスチャン・ガーギス GAICDによる専門家パネルディスカッションを視聴し、サイバーセキュリティガバナンス原則の最新更新内容を解き明かす。
Video	ビデオ

・THE PRINCIPLES

・SNAPSHOT OF THE PRINCIPLES

A Concise Snapshot	簡潔な概要
Cyber Security Governance Principle	サイバーセキュリティガバナンス原則
PRINCIPLE 1: Set clear roles and responsibilities	原則1：明確な役割と責任を設定する
KEY POINTS	主なポイント
1. Defining clear roles and responsibilities is a foundational component of building effective cyber resilience	1. 明確な役割と責任の定義は、効果的なサイバーレジリエンス構築の基盤となる要素である
2. Comprehensive and clear board reporting, including engagement with management and updates on emerging trends, is a key mechanism by which a board can assess the resilience of the organisation	2. 経営陣との連携や新たな動向に関する更新情報を含む、包括的かつ明確な取締役会への報告は、取締役会が組織のレジリエンスを評価する主要な手段である
3. External experts can play a role in providing advice and assurance to directors and identify areas for improvement	3. 外部専門家は取締役への助言・保証提供や改善領域の識別において役割を果たし得る
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. Cyber risk and cyber strategy not featuring regularly on board agendas	1. サイバーリスクとサイバー戦略が取締役会議題に定期的に登場しない
2. Board not annually reviewing skills to ensure that directors have a minimum understanding of cyber security risk	2. 取締役がサイバーセキュリティリスクの最低限の理解を有していることを確認するための年次スキル見直しを実施していない
3. Board reporting on cyber risk is hard to digest and features excessive jargon with a reliance on technical solutions	3. サイバーリスクに関する取締役会報告が理解しにくく、専門用語が過剰で技術的解決策への依存が目立つ
4. Limited or no external review or assurance of cyber risk controls and strategy	4. サイバーリスク管理策と戦略に対する外部レビューや保証が限定的、あるいは存在しない
5. No clear lines of management responsibility for	5. サイバーリスク管理における明確な管理責任ラインが設定されていない
PRINCIPLE 2: Develop, implement and evolve a comprehensive cyber strategy	原則2：包括的なサイバー戦略を策定・実施・進化させる
KEY POINTS	重要ポイント
1. A cyber strategy, proactively overseen by the board, can be a business enabler by identifying opportunities for the organisation to build cyber resilience	1. 取締役会が積極的に監督するサイバー戦略は、組織のサイバーレジリエンス構築機会を特定することでビジネス推進要因となり得る
2. Identifying the key digital assets and data of an organisation, including who has access to these assets, is core to understanding and enhancing cyber capability	2. 組織の主要なデジタル資産とデータ、およびそれらへのアクセス権限者を識別することは、サイバー能力の理解と強化の核心である
3. A robust cyber strategy will account for the importance, and potential risks, associated with key third-party suppliers	3. 堅牢なサイバー戦略は、主要なサードパーティサプライヤーに関連する重要性と潜在リスクを考慮に入れる
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. Lack of formal documentation of the organisation’s approach to cyber security	1. 組織のサイバーセキュリティへの取り組みを正式に文書化していない
2. Limited understanding of the location of key digital assets and data, who has access and how they are protected	2. 主要なデジタル資産やデータの所在、アクセス権限者、防御方法に関する理解が不十分であること
3. The cyber strategy and risk controls are not subject to internal and external evaluation and periodic refinement relative to evolving threats	3. サイバー戦略とリスクマネジメント策が、進化する脅威に対して内部・外部評価や定期的な見直しを受けていないこと
4. Lack of data governance framework to guide how data is collected, held, protected and ultimately destroyed	4. データの収集・保管・防御・最終的な廃棄方法を規定するデータガバナンス枠組みが欠如していること
PRINCIPLE 3: Embed cyber security in existing risk management practices	原則3：既存のリスクマネジメント手法にサイバーセキュリティを組み込む
KEY POINTS	主なポイント
1. Cyber risk is still an operational risk that fits within an organisation’s existing approach to risk management	1. サイバーリスクは依然として運用リスクであり、組織の既存リスクマネジメントアプローチに組み込める
2. While cyber risk cannot be reduced to zero there are a number of accessible and low-cost controls that all organisations can utilise to mitigate the risk	2. サイバーリスクをゼロにすることは不可能だが、全ての組織がリスク緩和に活用できる、入手容易で低コストの管理策が複数存在する
3. The board should regularly assess the effectiveness of cyber controls to account for a changing threat environment, technological developments and the organisation’s capabilities	3. 取締役会は、変化する脅威環境、技術発展、組織の能力を考慮し、サイバー管理策の有効性を定期的に評価すべきである
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. Cyber risk and cyber strategy not reflected in existing risk management frameworks	1. 既存のリスクマネジメント枠組みにサイバーリスクとサイバー戦略が反映されていない
2. High management confidence that cyber risk controls are effective without regular external validation	2. 定期的な外部妥当性確認なしに、サイバーリスク管理策が有効であると経営陣が過信している
3. Over reliance on the cyber security controls of key service providers, such as cloud software providers	3. クラウドソフトウェアプロバイダなど主要サービス提供者のサイバーセキュリティ管理策への過度の依存
4. Cyber security controls and processes of potential vendors are not assessed in the procurement process for key goods and services 5. Prolonged vacancies in key cyber management roles	4. 主要な物品・サービスの調達プロセスにおいて、潜在的なベンダーのサイバーセキュリティ管理策とプロセスが評価されていない5. 主要なサイバー管理職の長期空席
PRINCIPLE 4: Promote a culture of cyber resilience	原則4：サイバーレジリエンスの文化を促進する
KEY POINTS	重要ポイント
1. A truly cyber resilient culture begins at the board and must flow through the organisation and extend to key suppliers	1. 真のサイバーレジリエント文化は取締役会から始まり、組織全体に浸透し主要サプライヤーにまで拡大される必要がある
2. Regular, engaging and relevant training is a key tool to promote a cyber resilient culture, including specific training for directors	2. 定期的かつ参加型で関連性の高い研修は、取締役向けの特定研修を含め、サイバーレジリエント文化を促進する重要な手段である
3. Incentivise and promote strong cyber security practices, including participating in phishing testing and penetration exercises	3. フィッシングテストやペネトレーションテストへの参加を含む、強固なサイバーセキュリティ実践を奨励・推進する
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. Board and executives do not undertake cyber security education nor participate in testing	1. 取締役会と経営陣がサイバーセキュリティ教育を受けず、テストにも参加しない
2. Cyber security is not reflected in the role statements and KPIs of key leaders	2. 主要リーダーの職務記述書やKPIにサイバーセキュリティが反映されていない
3. Communication from leaders does not reinforce the importance of cyber resilience to staff (cyber is seen as an issue only for frontline staff to manage)	3. リーダーからのコミュニケーションが従業員へのサイバーレジリエンシー重要性を強化していない（サイバーは現場スタッフのみが管理すべき問題と見なされている）
4. There is a culture of ‘exceptions’ or workarounds for board and management with respect to cyber hygiene and resilience	4. 取締役会と管理職に対して、サイバー衛生とレジリエンシーに関して「例外」や回避策の文化が存在する
PRINCIPLE 5: Plan for a significant cyber security incident	原則5：重大なサイバーセキュリティインシデントへの計画
KEY POINTS	重要ポイント
1. Directors and management should proactively plan for a significant cyber incident	1. 取締役と管理職は重大なサイバーインシデントに備え、積極的に計画を立てるべきである
2. Simulation exercises and scenario testing are key tools for the board and senior management to understand and refine roles and responsibilities	2. シミュレーション演習とシナリオテストは、取締役会と上級管理職が役割と責任を理解し、改善するための重要なツールである
3. A clear and transparent approach to communications with key stakeholders in a significant cyber incident is critical in mitigating reputational damage and allowing for an effective recovery	3. 重大なサイバーインシデント発生時、主要な利害関係者とのコミュニケーションにおいて明確かつ透明性のあるアプローチは、評判の毀損の緩和および効果的な復旧を可能にする上で極めて重要である
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. The board and senior staff have not undertaken scenario testing or incident simulations to test the Response Plan	1. 取締役会と上級管理職が、対応計画を検証するためのシナリオテストやインシデントシミュレーションを実施していない
2. Likely scenarios and consequences are undocumented with lessons from simulations not being captured	2. 想定されるシナリオと結果が文書化されておらず、シミュレーションからの教訓も記録されていない
3. It is not clear how communications with key stakeholders will be managed in the event of an incident	3. インシデント発生時に主要ステークホルダーとのコミュニケーションをどう管理するかが不明確である
4. No post incident review with board and management	4. 取締役会と経営陣による事後検証が行われていない
Top 10 director questions	取締役が問うべきトップ10の質問
Roles and responsibilities	役割と責任
1. Does the board understand cyber risks well enough to oversee and challenge?	1. 取締役会はサイバーリスクを十分に理解し、監督と検証を行っているか？
2. Who has primary responsibility for cyber security in our management team?	2. 経営陣の中でサイバーセキュリティの主たる責任者は誰か？
Cyber strategy	サイバー戦略
3. Do we understand our current cyber security capability and have a plan to enhance this capability?	3. 現在のサイバーセキュリティ能力を理解し、これを強化する計画はあるか？
4. How does our approach to enhancing cyber security support our broader organisational strategy and strategic initiatives?	4. サイバーセキュリティ強化への取り組みは、組織全体の戦略や戦略的イニシアチブをどう支援するか？
Cyber security risk management	サイバーセキュリティリスクマネジメント
5. Where, and with whom, are our key digital assets and data located?	5. 主要なデジタル資産とデータは、どこに、誰と共有されているか？
6. How regularly does management present to the board or risk committee on the effectiveness of cyber risk controls?	6. 経営陣は、サイバーリスク管理の有効性について、どの程度の頻度で取締役会またはリスク委員会に報告しているか？
Cyber resilient culture	サイバーレジリエントな文化
7. Is cyber security training mandatory across the organisation and is it differentiated by area or role?	7. サイバーセキュリティ研修は組織全体で義務化されているか？また、部署や役職によって差別化されているか？
8. Does the board and senior management reinforce the importance of cyber security and collective responsibility?	8. 取締役会と上級管理職は、サイバーセキュリティの重要性と集団的責任を強調しているか？
Cyber incident planning	サイバーインシデント計画
9. Do we have a cyber incident response plan, including a comprehensive communications strategy, informed by simulation exercises and testing?	9. シミュレーション演習やテストに基づく包括的なコミュニケーション戦略を含む、サイバーインシデント対応計画は存在するのか？
10. Can we access external support if necessary to assist with a significant cyber security incident?	10. 重大なサイバーセキュリティインシデント発生時に、必要に応じて外部支援を利用できるのか？

・SME and NFP Director Checklist

・2024.02.28 Governing Through a Cyber Crisis - Cyber Incident Response and Recovery for Australian Directors

Governing Through a Cyber Crisis - Cyber Incident Response and Recovery for Australian Directors	サイバー危機を乗り切るガバナンス - オーストラリアの取締役のためのサイバーインシデント対応と復旧
Governing Through a Cyber Crisis provides a framework of better practice guidance to assist Australian directors to navigate critical cyber incidents at their organisations. The guidance was developed by the AICD in partnership with the Cyber Security Cooperative Research Centre (CSCRC) and Ashurst.	「サイバー危機を乗り切るガバナンス」は、オーストラリアの取締役が組織で発生した重大なサイバーインシデントに対処するための、より優れた実践ガイダンスの枠組みを提供する。このガイダンスは、AICD がサイバーセキュリティ共同研究センター（CSCRC）およびアッシュアストと提携して作成したものである。
In recent years Australia has seen a wave of prominent cyber security incidents. These incidents have resulted in significant disruption to business operations, the loss of customer data and damage to organisational reputation. The decision making of the board has also been publicly scrutinised.	近年、オーストラリアでは、顕著なサイバーセキュリティインシデントが相次いで発生している。これらのインシデントは、事業運営の大幅な混乱、顧客データの損失、組織の評判の低下をもたらしている。取締役会の意思決定も公に精査されている。
The guidance assists boards and directors with overseeing the effective response and recovery from a material cyber incident and emerge on the other side with a more cyber resilient organisation.	このガイダンスは、取締役会および取締役が、重大なサイバーインシデントに対する効果的な対応と復旧を監督し、よりサイバーレジリエントな組織として再生するのに役立つ。
The resource expands on existing guidance in the AICD CSCRC Cyber Security Governance Principles and has been informed by insight from senior Australian directors, cyber security advisors and government.	このリソースは、AICD CSCRC サイバーセキュリティガバナンス原則の既存のガイダンスを拡張したものであり、オーストラリアの上級取締役、サイバーセキュリティアドバイザー、政府からの知見が反映されている。
The accompanying Snapshot includes a checklist of practical steps for SME and NFP directors in responding to a critical cyber incident. The AICD, CSCRC and Ashurst are committed to updating the guidance as the cyber security threat and regulatory landscape evolves.	付属のスナップショットには、中小企業および非営利団体の取締役が重大なサイバーインシデントに対応するための実践的な手順のチェックリストが含まれている。AICD、CSCRC、アッシュアストは、サイバーセキュリティの脅威や規制環境の変化に応じて、このガイダンスの更新に取り組んでいる。
Download the media release	プレスリリースをダウンロード

・THE PUBLICATION

・THE SNAPSHOT

2025.11.07 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術 | Permalink | Comments (0)
Tweet

2025.11.06

英国データ保護局データ保護執行手続きガイダンスに関する意見募集

こんにちは、丸山満彦です。

英国のデータ保護局（ICO）が英国一般データ保護規則（UK GDPR）、2018年データ保護法（DPA 2018）（総称して「データ保護法」）に基づく権限を行使して調査を実施し、執行措置を講じる際の手続きに関する新たなガイダンスについて意見募集を行っていますね...

2018年の執行以来の実績を踏まえ、調査権限と執行権限の行使方法について透明性と確実性を高めるため、組織に対し我々のアプローチを詳細に提供することを目的としているようです...

また、2025年データ（利用及びアクセス）法（DUAA）への回答が2025年データ（利用及びアクセス）法（DUAA）には、我々の既存権限を改正・追加する規定が含まれている。これには、個人に対し質問への回答を要求する新たな権限、及び組織に対し、特定事項に関する報告書を作成する認可者の手配を要求する新たな権限が含まれる。本ドラフトガイダンスは、DUAAに続くデータ保護法における我々の権限変更を反映したものであり、これらの変更は既に施行されているか、今後数ヶ月以内に施行される見込みである。

● Infromation Commisioner"s Office: ICO

・2025.10.31 ICO consultation on data protection enforcement procedural guidance

ICO consultation on data protection enforcement procedural guidance	ICOによるデータ保護執行手続きガイダンスに関する意見募集
The Information Commissioner’s Office (ICO) is consulting on new guidance about the process we follow when carrying out investigations and taking enforcement action using our powers in the UK General Data Protection Regulation (UK GDPR) and Data Protection Act 2018 (DPA 2018) (together the “data protection legislation”).	情報コミッショナー事務局（ICO）は、英国一般データ保護規則（UK GDPR）および2018年データ保護法（DPA 2018）（総称して「データ保護法」）に基づく権限を行使して調査を実施し、執行措置を講じる際の手続きに関する新たなガイダンスについて意見募集を行っている。
We refer to this new guidance as the data protection enforcement procedural guidance (the ‘guidance’).	この新たなガイドラインを「データ保護執行手続きガイドライン」（以下「本ガイドライン」）と呼称する。
Data protection enforcement procedural guidance - for consultation	データ保護執行手続きガイドライン - 意見募集版
Why have we produced this draft guidance and who is it aimed at?	本ガイドライン案を作成した理由と対象者
The draft guidance explains the process we follow throughout the duration of an investigation, from opening the case and information gathering, through to reaching a decision on whether to use our statutory enforcement powers. It also explains some of the other ways in which we may resolve compliance issues and the limits on our powers.	本ドラフトは、調査開始から情報収集、法的執行権限行使の判断に至るまでの全過程における当庁の手続きを説明する。また、コンプライアンス問題解決の代替手段や権限の限界についても言及する。
We have gained significant experience in using our powers under the data protection legislation since the existing statutory guidance was published in the Regulatory Action Policy in November 2018. The purpose of the new draft guidance is to provide organisations with more detail about our approach to give greater transparency and certainty about how we use our investigatory and enforcement powers.	2018年11月に「規制措置方針」で現行の法定ガイドラインを発表して以来、当庁はデータ保護法に基づく権限行使において豊富な経験を蓄積してきた。新たなドラフトの目的は、調査権限と執行権限の行使方法について透明性と確実性を高めるため、組織に対し我々のアプローチを詳細に提供することである。
The draft guidance is primarily aimed at organisations that process personal data and their advisers. However, it may also be of interest to others who want to understand how we use our statutory powers to investigate and enforce the data protection legislation.	本ドラフトは主に個人データを処理する組織とその顧問を対象とする。ただし、データ保護法規制の調査・執行における法定権限の行使方法を理解したい他の関係者にも参考となる可能性がある。
The draft guidance does not explain the process we follow in relation to the prosecution of criminal offences, except to the extent that it provides statutory guidance on our information gathering powers, which may be used to investigate either a potential infringement of data protection legislation or a criminal offence. Information about our criminal powers is set out in our prosecution policy statement.	本ドラフトは、刑事事件の起訴に関する我々の手順を説明しない。ただし、データ保護法違反の可能性と刑事犯罪のいずれの調査にも使用可能な情報収集権限に関する法定ガイダンスを提供する範囲では例外である。刑事権限に関する情報は、我々の起訴方針声明に記載されている。
What is the status of the draft guidance once finalised?	ドラフトガイダンスは最終決定後、どのような地位を持つのか？
When finalised, the draft guidance will, alongside our Data Protection Fining Guidance, constitute updated statutory guidance about regulatory action that we are required to publish under section 160(1) DPA 2018. It will also contain the statutory guidance about privileged communications we are required to publish under section 133 DPA 2018.	最終決定後、本ドラフトガイダンスは「データ保護罰金ガイダンス」と共に、2018年データ保護法第160条(1)に基づき公表が義務付けられる規制措置に関する更新された法定ガイダンスを構成する。また、2018年データ保護法第133条に基づき公表が義務付けられる特権的コミュニケーションに関する法定ガイダンスも含む。
The draft guidance will replace the existing statutory guidance about information notices, assessment notices, enforcement notices, penalty notices, and privileged communications currently set out in the Regulatory Action Policy published in November 2018. Our Data Protection Fining Guidance has already replaced the guidance in the Regulatory Action Policy on when we consider issuing a penalty notice is appropriate and our approach to determining the amount of any fine.	本ドラフトガイドラインは、2018年11月に公表された「規制措置方針」に現在規定されている情報通知、評価通知、執行通知、罰金通知、および特権通信に関する既存の法定ガイドラインに取って代わるものである。データ保護罰金ガイドラインは既に、「罰金通知の発行が適切と判断される場合」および「罰金額の決定に関する当方のアプローチ」について、規制措置方針内のガイドラインに取って代わっている。
The Data (Use and Access) Act 2025 (DUAA) includes provisions that amend and add to our existing powers. This includes new powers to require individuals to answer questions and to require organisations to make arrangements for an approved person to prepare a report about a specified matter. The draft guidance reflects the changes to our powers in the data protection legislation following the DUAA, which have either come into force or are expected to come into force in the coming months.	2025年データ（利用及びアクセス）法（DUAA）には、我々の既存権限を改正・追加する規定が含まれている。これには、個人に対し質問への回答を要求する新たな権限、及び組織に対し、特定事項に関する報告書を作成する認可者の手配を要求する新たな権限が含まれる。本ドラフトガイダンスは、DUAAに続くデータ保護法における我々の権限変更を反映したものであり、これらの変更は既に施行されているか、今後数ヶ月以内に施行される見込みである。
Will there be new enforcement guidance about PECR and UK eIDAS/EITSET following changes under the DUAA?	DUAAに基づく変更に伴い、PECRおよび英国eIDAS/EITSETに関する新たな執行ガイダンスは発表されるのか？
The DUAA includes provisions that bring our investigatory and enforcement powers under the Privacy and Electronic Communications Regulations 2003 (PECR) and the Electronic Identification and Trust Services for Electronic Transactions Regulations 2016 (EITSET) in relation to potential infringements of UK eIDAS broadly into line with our powers under the data protection legislation (as amended by the DUAA).	DUAAには、2003年プライバシー・電子通信規則（PECR）および2016年電子取引における電子識別・トラストサービス規則（EITSET）に基づく調査・執行権限を、英国eIDAS違反の可能性に関して、データ保護法（DUAA改正後）に基づく権限と概ね整合させる規定が含まれている。
While some differences between the legislative frameworks for enforcement will remain, we propose to take the same approach to the use of our powers in relation to PECR and EITSET as set out in the draft guidance in relation to the data protection legislation. However, we would welcome views on this in response to our consultation, in particular whether there is a preference for consolidated guidance covering all three regimes (noting differences where appropriate) or separate guidance for each regime. For example, the guidance we are consulting on is drafted by reference to concepts within the UK GDPR and DPA 2018, such as ‘controllers’ and ‘processors’, whereas the terminology used in PECR and EITSET differs, even if the powers are broadly similar.	執行に関する法的枠組みには一部相違が残るものの、PECRおよびEITSETに関する権限行使については、データ保護法に関するドラフトガイダンスで示したのと同様のアプローチを取ることを提案する。ただし、この点については意見募集への回答を歓迎する。特に、三つの制度全てを網羅した統合ガイダンス（適切な箇所では相違点を明記）と、各制度ごとの個別ガイダンスのどちらを好むかについて意見を求めたい。例えば、今回協議中のガイダンスは、英国GDPRや2018年データ保護法における「管理者」や「処理者」といった概念を参照して作成されている。一方、PECRやEITSETで使用される用語は、権限が概ね類似しているにもかかわらず異なる。
We are planning to produce and publish separate fining guidance for PECR in due course, in particular to reflect the case law that has developed in the Tribunal in relation to direct marketing cases.	我々は、特にダイレクトマーケティング案件に関する審判所の判例法の発展を反映するため、PECR向けの罰金に関する別個のガイダンスを適宜作成・公表する予定である。
What does the draft guidance cover?	ガイダンス草案の内容は何か？
The draft guidance explains the process we follow when carrying out investigations and taking enforcement action under the data protection legislation. It provides a detailed description of the different stages of our investigations, from the decision to open an investigation through to taking a final decision.	本ドラフトは、データ保護法に基づく調査実施及び執行措置の過程を説明する。調査開始の決定から最終決定に至るまでの各段階を詳細に記述している。
Set out below is a short summary of what the draft guidance covers. The headings match the headings used in the draft guidance itself and reflect how we have structured the consultation questions.	以下にドラフトの主な内容を簡潔に要約する。見出しはドラフト本文と一致し、意見募集項目の構成を反映している。
1. About this guidance	1. 本ガイダンスについて
This section provides an overview of what the draft guidance covers and why we have produced it. It explains the scope of the draft guidance, how we will apply it, and the fact it is primarily aimed at controllers and processors that process personal data within the scope of the data protection legislation.	本節では、草案ガイダンスの対象範囲と作成目的の概要を説明する。草案ガイダンスの適用範囲、適用方法、およびデータ保護法の対象範囲内で個人データを処理する管理者および処理者を主な対象としている事実を説明する。
This section also explains the status of the draft guidance.	また、本ドラフトの法的地位についても説明する。
2. How we decide whether to open an investigation	2. 調査開始の判断基準
This section sets out the sources of potential investigations and the factors we consider when deciding whether to open an investigation. It also explains the other potential outcomes following our initial information gathering, including the other means we might use to resolve the issue.	本節では、調査開始の潜在的な情報源と、調査開始の可否を判断する際に考慮する要素を明示する。さらに、初期情報収集後のその他の潜在的な結果、すなわち問題解決のために用いる可能性のある他の手段についても説明する。
3. What to expect during an investigation	3. 調査中の対応
This section explains what happens when we open an investigation and provides a summary of the process we follow during the course of the investigation.	本節では、調査開始後の流れと、調査過程で従う手順の概要を説明する。
4. Information gathering	4. 情報収集
This section explains how we use our information gathering powers and sets out the statutory guidance we are required to publish in relation to information notices, assessment notices (including approved person reports), and interview notices. It also explains our powers of entry and inspection.	本節では、情報収集権限の行使方法と、情報通知書・アセスメント通知書（承認者報告書を含む）・聴取通知書に関する公表義務のある法定ガイダンスを定める。立入検査権限についても説明する。
5. Limits on our powers of investigation	5. 調査権限の制限
This section explains the limits on our powers of investigation. In addition to setting out the statutory guidance we are required to provide relating to privileged communications, it also covers privilege against self-incrimination, handling confidential information, and determinations relating to processing of personal data for the purpose of journalism or for academic, artistic or literary purposes.	本節では、調査権限の制限について説明する。特権通信に関する法定ガイダンスの提供義務に加え、自己負罪拒否権、機密情報の取り扱い、ジャーナリズム目的または学術・芸術・文学目的でのパーソナルデータの処理に関する判断についても扱う。
6. Deciding on the outcome of an investigation	6. 調査結果の決定
This section explains that we can conclude our investigations in several ways and sets out the potential outcomes. This includes using our statutory enforcement powers if appropriate, as well as the possibility of resolving any issues identified through other means such as providing advice or accepting assurances. The remainder of the guidance then explains the procedure we follow in relation to each of our statutory enforcement powers.	本節では、調査を複数の方法で終結できること、および想定される結果を説明する。これには、適切な場合には法定執行権限を行使すること、また助言の提供や保証の受諾など他の手段で特定された問題を解決する可能性も含まれる。その後、各法定執行権限に関連する手順を説明する。
7. Process for giving warnings	7. 警告発出手続き
This section explains the process we follow when deciding to issue a warning that a controller or processor’s intended processing operations are likely to infringe the data protection legislation.	本節では、データ管理者またはデータ処理者が意図する処理業務がデータ保護法に抵触する可能性があると判断した場合に警告を発出する手続きを説明する。
8. Process for giving reprimands	8. 戒告発出手続き
This section explains the process we follow when deciding to issue a reprimand.	本節では、戒告を発出する決定を行う際の手続きを説明する。
9. Process for giving enforcement notices	9. 執行通知発出手続き
This section explains the process we follow when deciding to issue an enforcement notice. It incorporates the statutory guidance we are required to provide relating to the factors we consider when deciding to give an enforcement notice, the circumstances we would consider it appropriate to issue an urgent enforcement notice, and how we proceed if a person does not comply with an enforcement notice.	本節では、執行通知を発出する決定を行う際に当方が従う手続きを説明する。これには、執行通知発出の判断要素、緊急執行通知発出が適切と判断される状況、および執行通知に従わない場合の対応方法に関する法定ガイダンスが含まれる。
10. Process for giving penalty notices	10. 罰金通知発出手続き
This section explains the process we follow when deciding to issue a penalty notice. It incorporates the statutory guidance we are required to provide relating to when we would consider it appropriate to allow a person to make oral representations, how we proceed if a person does not comply with a penalty notice, and the circumstances when we would consider it necessary to issue the penalty notice as soon as reasonably practicable after the period of six months beginning when the notice of intent was given.	本節では、罰金通知を発行する決定を行う際に当方が従う手続きを説明する。これには、口頭による陳述を認めることが適切と考える場合、罰金通知に従わない場合の対応、および通知の意図が示されてから6か月が経過した後に合理的に実行可能な限り速やかに罰金通知を発行することが必要と考える状況に関する、当方が提供を義務付けられている法定ガイダンスが含まれる。
This guidance should be read alongside the Data Protection Fining Guidance, which explains when we would consider it appropriate to issue a penalty notice and how the amount of the fine is calculated.	本ガイダンスは「データ保護罰金ガイダンス」と併せて読む必要がある。同ガイダンスでは、罰金通知書の発行が適切と判断される場合や罰金額の算定方法について説明している。
11. Settlement procedure	11. 和解手続き
This section sets out our proposed settlement procedure. This applies in cases where we consider that issuing a penalty notice is appropriate. It explains the requirements for agreeing a settlement, which include the party under investigation making an admission about the nature, scope and duration of the infringement and agreeing not to appeal our decision.	本節では、当庁が提案する和解手続きを定める。これは罰金通知書の発行が適切と判断される場合に適用される。和解合意の要件を説明しており、これには調査対象者が違反行為の性質・範囲・期間について認めること、及び我々の決定に対して不服申立てを行わないことに同意することが含まれる。
The guidance makes clear that we decide to settle cases at our discretion and the settlement process does not preclude us from resolving investigations by other means if we consider it appropriate to do so. The proposed procedure is based on our experience in settling investigations with Advanced Computer Software Group and Capita.	本ガイダンスは、和解案件の決定は我々の裁量によるものであり、和解手続きが他の手段による調査解決を妨げるものではないことを明確にしている。提案された手続きは、Advanced Computer Software Group及びCapitaとの調査和解における我々の経験に基づいている。
12. Rights of Appeal	12. 異議申立ての権利
This section explains the rights of appeal against our statutory notices.	本節では、当庁の法定通知に対する異議申立ての権利について説明する。

意見募集のドラフト

・[PDF] Data protection enforcement procedural guidance - for consultation

・[DOCX][PDF] 仮訳

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.10.22 欧州 EDPB 英国の同等性６年間延長 (2025.10.20)

・2025.06.26 英国データ（利用とアクセス）法 (DUAA) 2025 (2025.06.19)

2025.11.06 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in パブコメ | Permalink | Comments (0)
Tweet

2025.11.05

日本、米国、韓国、中国の首脳の会談 (2025.10.24-11.04)

こんにちは、丸山満彦です。

日米首脳会談を皮切りに、ASEANでの非公式も含めた（米中を含む）首脳会談、先日の中露の会談等、慌ただしかったので...

日米ではいろいろな約束がされていますね...外務省のPDFで確認できます...

最後にロシアの首相が中国を訪問していたようですのでそれも(^^)

日米韓

● White House

・2025.10.29 The United States Signs Technology Prosperity Deals with Japan and Korea

The United States Signs Technology Prosperity Deals with Japan and Korea	米国は日本と韓国と技術繁栄協定に調印
As part of President Trump’s trip to Asia, the United States signed Technology Prosperity Deals (TPD) with Japan and Korea, expanding, strengthening, and focusing science and technology collaboration with key allies. Building on the success of the U.S.-United Kingdom TPD signed in September 2025, these bilateral agreements further enable U.S. engagement with Japan and Korea’s unique science and technology ecosystems to align regulatory and standards approaches, accelerate research and development, and strengthen national security.	トランプ大統領のアジア訪問の一環として、米国は日本と韓国と技術繁栄協定（TPD）を締結した。これにより主要同盟国との科学技術協力が拡大・強化・重点化される。2025年9月に締結された米英TPDの成功を踏まえ、これらの二国間協定は、米国が日本と韓国の独自の科学技術エコシステムと連携し、規制や標準のアプローチを調整し、研究開発を加速させ、国家安全保障を強化することをさらに可能にする。
“The Trump Administration is redefining American technological leadership by driving bilateral collaborative partnerships with allies like Japan and Korea. Each Technology Prosperity Deal offers great opportunities to accelerate scientific discovery and lead the world into a new era of innovation driven by the US and our partners,” said Michael Kratsios, Assistant to the President and Director of the White House Office of Science and Technology Policy.	「トランプ政権は日本や韓国といった同盟国との二国間協力関係を推進することで、米国の技術的リーダーシップを再定義している。各技術繁栄協定は科学的発見を加速させ、米国とパートナー国が主導する新たなイノベーション時代へ世界を導く絶好の機会を提供する」と、大統領補佐官兼ホワイトハウス米国科学技術政策局局長マイケル・クラツィオスは述べた。
The U.S.-Japan Technology Prosperity Deal, signed by Director Kratsios and Japanese Minister of State for Science and Technology Policy Onoda Kimi, will deepen cooperation to drive breakthroughs in AI, quantum computing, biotechnology, space, 6G, and fusion energy.	クラツィオス局長と小野田公美科学技術政策担当国務大臣が署名した日米技術繁栄協定は、AI、量子コンピューティング、バイオテクノロジー、宇宙、6G、核融合エネルギーにおけるブレークスルーを推進するため協力を深化させる。
・The U.S.-Japan TPD will advance American interests through coordinated U.S.-Japanese AI exports. This will strengthen technology protections and refocus the partnership between the U.S. Center for AI Standards and Innovation and the Japan AI Safety Institute on metrology and standards innovation.	・日米技術繁栄協定は、日米協調によるAI輸出を通じて米国の利益を推進する。これにより技術保護が強化され、米国AI標準・イノベーションセンターと日本AI安全機構の連携が計量学と標準化イノベーションに再焦点化される。
・The U.S.-Japan TPD also advances joint efforts to secure the innovation ecosystem, with particular focus on research security, resilient biotechnology and pharmaceutical supply chains, and protection of quantum technologies.	・日米技術政策対話（TPD）はまた、研究セキュリティ、強靭なバイオテクノロジー・医薬品サプライチェーン、量子技術の保護に特に焦点を当て、イノベーション・エコシステムの安全確保に向けた共同努力を推進する。
・The U.S.-Japan TPD advances strategic interests of the United States in space, 6G, and fusion technologies with a critical ally in the region.	・日米技術政策対話（TPD）は、この地域の重要な同盟国と共に、宇宙、6G、核融合技術における米国の戦略的利益を推進する。
・・Space: This collaboration recognizes and expands Japan’s commitment to the Artemis program, including future lunar surface exploration missions and development of commercial space capabilities.	・・宇宙分野：本協力は、将来の月面探査ミッションや商業宇宙能力の開発を含むアルテミス計画への日本の取り組みを認識し、拡大するものである。
・・6G: This partnership enables both countries to promote secure and trusted networks.	・・6G：本パートナーシップにより、両国は安全で信頼性の高いネットワークの推進が可能となる。
・・Fusion: This partnership advances American collaboration with Japan’s unique fusion energy facilities, including the JT-60SA tokamak, with goals to support continued development of commercial fusion reactors.	・・核融合：本パートナーシップは、JT-60SAトカマクを含む日本の独自の核融合エネルギー施設との米国の協力を推進し、商業用核融合炉の継続的な開発を支援することを目的とする。
The U.S.-Republic of Korea Technology Prosperity Deal was signed by Director Kratsios and Korean Minister of Science, Information, and Communication Technology Bae Kyung-hoon to affirm the commitment of the two nations to science and technology collaboration.	米韓技術繁栄協定は、クラチオス局長と韓国の裵慶勲（ペ・ギョンフン）科学技術情報通信部長官によって署名され、両国の科学技術協力へのコミットメントを確約した。
・The U.S. will work with Korean counterparts to reduce operational burdens for technology companies and digital application platforms, with particular attention to removing barriers to innovative data hosting architectures.	・米国は韓国の担当機関と連携し、技術企業やデジタルアプリケーションプラットフォームの運用負担軽減に取り組む。特に革新的なデータホスティングアーキテクチャへの障壁除去に注力する。
・The U.S.-Korea TPD will advance American interests with coordinated U.S.-Republic of Korea AI exports, strengthening both countries’ technology protections and enforcement, and refocusing the partnership between the U.S. Center for AI Standards and Innovation and the Korea AI Safety Institute on metrology and standards innovation.	・米韓TPDは、米国と韓国の協調的なAI輸出管理を通じて米国の利益を推進し、両国の技術保護と執行を強化する。また、米国AI標準・イノベーションセンターと韓国AI安全研究所の連携を、計量学と標準イノベーションに再焦点化する。
・The U.S.-Korea TPD also advances combined efforts to secure the innovation ecosystem, with particular focus on research security, resilient biotechnology and pharmaceutical supply chains, and protecting quantum technologies.	・米韓技術・政策対話（TPD）はまた、研究セキュリティ、強靭なバイオテクノロジー・医薬品サプライチェーン、量子技術の保護に特に焦点を当て、イノベーション・エコシステムの安全確保に向けた共同努力を推進する。
・The U.S.-Korea TPD advances strategic interests of the U.S. in space exploration and 6G telecommunications, working to partner with Korea as a critical ally in the region.	・米韓技術・政策対話（TPD）は、宇宙探査と6G通信における米国の戦略的利益を推進し、地域における重要な同盟国として韓国との連携を図る。
・The two nations also agreed to engage in discussions to promote AI education programs, to empower children to flourish in the digital era and prepare future generations for the workplace of tomorrow. These will include participation in the Fostering the Future Together global initiative established by First Lady Melania Trump.	・両国はまた、デジタル時代において子供たちが活躍し、次世代が未来の職場に備えられるよう、AI教育プログラムを推進するための協議を行うことに合意した。これにはメラニア・トランプ大統領夫人が設立した「共に未来を育む」グローバル・イニシアチブへの参加も含まれる。

● 外務省

・2025.10.29 日米韓外相会合

日米

● 首相官邸

・2025.10.28 トランプ米国大統領の訪日についての会見

・2025.10.28 日米首脳会談

・2025.10.24 トランプ米国大統領との電話会談についての会見

● 外務省

・2025.10.28 日米首脳会談、署名式、ワーキング・ランチ

合意の実施　–日米同盟の新たな黄金時代に向けて–（英文（PDF）／和文（仮訳）（PDF））
採掘及び加工を通じた重要鉱物及びレアアースの供給確保のための日米枠組み（英文（PDF）／和文（仮訳）（PDF））
日本国政府とアメリカ合衆国政府との間の造船についての協力に関する覚書
日米間の技術繁栄ディールについての協力に関する覚書
日米間の投資に関する共同ファクトシート（英文（PDF）／和文仮訳（PDF））

● White House

・2025.10.29 Fact Sheet: President Donald J. Trump Drives Forward Billions in Investments from Japan

・2025.10.28 Memorandum of Cooperation Regarding the Technology Prosperity Deal Between the Government of the United States of America and the Government of Japan

・2025.10.27 Implementation of the Agreement Toward a NEW GOLDEN AGE for the U.S.-Japan Alliance

・2025.10.27 United States-Japan Framework For Securing the Supply of Critical Minerals and Rare Earths through Mining and Processing

米韓

・2025.10.29 Fact Sheet: President Donald J. Trump Brings Home More Billion Dollar Deals During State Visit to the Republic of Korea

Fact Sheet: President Donald J. Trump Brings Home More Billion Dollar Deals During State Visit to the Republic of Korea	ファクトシート：ドナルド・J・トランプ大統領、大韓民国公式訪問でさらに数十億ドル規模の契約を獲得
SECURING BILLIONS IN EXPORTS AND INVESTMENTS: Today,President Donald J. Trump completed the final stop of his historic Indo-Pacific trip, securing billions in landmark deals while visiting the Republic of Korea (ROK), including initiatives to support American jobs, further America’s energy dominance, promote American leadership in the technology revolution, and build our maritime partnership.	輸出・投資で数十億ドルを確保：本日、ドナルド・J・トランプ大統領は歴史的なインド太平洋訪問の最終地である大韓民国（ROK）を訪問し、米国雇用支援、エネルギー優位性の強化、技術革命における米国主導の促進、海上パートナーシップ構築を含む画期的な数十億ドル規模の契約を確保した。
・Korean Air will purchase 103 new Boeing aircraft valued at $36.2 billion, supporting up to 135,000 jobs across the United States. To power these new aircraft, Korean Air will also purchase state-of-the-art GE Aerospace engines in a separate deal valued at $13.7 billion.	・大韓航空は362億ドル相当のボーイング社製新型機103機を購入し、米国で最大13万5千人の雇用を支える。これらの新型機を推進するため、大韓航空は別途137億ドル相当の契約でGEエアロスペース社の最新鋭エンジンも購入する。
・The ROK Air Force selected L3Harris Technologies to develop its new Airborne Warning and Control aircraft in a $2.3 billion deal that will support over 6,000 American jobs.	・韓国空軍は新型空中警戒管制機（AWACS）の開発をL3ハリス・テクノロジーズに委託した。契約額は23億ドルで、6,000人以上の米国雇用を支える。
・America’s ReElement Technologies and POSCO International will partner to launch a U.S.-based, vertically integrated rare earth separation, refining, and magnet production complex focused on high-value mobility magnets.	・米国のリエレメント・テクノロジーズとPOSCOインターナショナルは提携し、米国に垂直統合型の希土類分離・精製・磁石生産複合施設を設立する。高付加価値のモビリティ磁石に特化する。
FURTHERING AMERICA’S ENERGY DOMINANCE: The President secured key investments further solidifying the United States’ position as the global energy leader.	米国のエネルギー優位性の強化：大統領は、米国が世界のエネルギーリーダーとしての地位をさらに固めるための重要な投資を確保した。
・The Korea Gas Corporation signed agreements to purchase about 3.3 million tons/year of U.S. LNG via long-term agreements with sellers, including Trafigura and TotalEnergy, through their portfolios and offtake agreements with U.S. LNG producers like Cheniere.	・韓国ガス公社（KOGAS）は、トラフィグラやトタルエナジーなどの販売業者との長期契約、ならびにシェニエールなどの米国LNG生産者とのポートフォリオおよびオフテイク契約を通じて、年間約330万トンの米国産LNGを購入する契約に署名した。
・Centrus Energy Corp, KHNP, and POSCO International Corporation agreed to support the expansion of Centrus’ uranium enrichment capacity in Piketon, Ohio, creating 3,000 jobs in the United States.	・セントラス・エナジー社、韓国水力原子力（KHNP）、ポスコ・インターナショナル社は、オハイオ州ピケトンにおけるセントラスのウラン濃縮能力拡大を支援することで合意し、米国に3,000の雇用を創出する。
・LS Group pledged to invest $3 billion by 2030 in U.S. power-grid infrastructure, including undersea cables, power equipment, and winding wires. LS Cable’s U.S. subsidiary, LS Greenlink, is building a $681 million manufacturing facility in Virginia.	・LSグループは、海底ケーブル、電力機器、巻線などを含む米国電力網インフラに2030年までに30億ドルを投資することを約束した。 LSケーブルの米国子会社であるLSグリーンリンクは、バージニア州に6億8100万ドルの製造施設を建設中だ。
PROMOTING AMERICA’S ADVANTAGE IN THE TECHNOLOGY REVOLUTION: The President strengthened America’s leading role in the digitized economy by boosting investments and jobs in, and access to, U.S. technology.	技術革命における米国の優位性を促進：大統領は、米国技術への投資・雇用創出・アクセス拡大を通じ、デジタル経済における米国の主導的役割を強化した。
・The United States and the ROK are signing a Technology Prosperity Deal to expand bilateral science and technology cooperation with an emphasis on U.S. AI exports, AI standards, AI adoption, research security, 6G, biotech supply chains, and quantum innovation.	・米国と韓国は「技術繁栄協定」に署名し、米国の人工知能（AI）輸出、AI標準、AI導入、研究セキュリティ、6G、バイオテクノロジー供給網、量子イノベーションに重点を置いた二国間科学技術協力を拡大する。
・Amazon will invest $5 billion through 2031 to build the ROK’s cloud infrastructure, helping drive U.S. exports and American AI leadership. This comes on top of Amazon Web Services’ (AWS’) historic cloud-infrastructure investments across 14 APEC economies during the President’s term, totaling $40 billion.	・アマゾンは2031年までに50億ドルを投資し、韓国のクラウドインフラを構築する。これにより米国輸出と米国AI主導権の推進に貢献する。これは、大統領任期中にアマゾン・ウェブ・サービス（AWS）がAPEC14経済圏で実施した総額400億ドルに上る歴史的なクラウドインフラ投資に追加されるものだ。
・NASA’s Artemis II mission will take astronauts around the Moon for the first time since Apollo, and deploy a Korean satellite to measure space radiation.	・NASAのアルテミスIIミッションは、アポロ計画以来初めて宇宙飛行士を月周回軌道に送り、宇宙放射線測定用の韓国衛星を展開する。
・Both countries committed to stabilize and diversify the critical-mineral supply chain through public-private collaboration in the mining and refining of such minerals.	・両国は、鉱物資源の採掘・精製における官民連携を通じ、重要鉱物サプライチェーンの安定化と多様化に取り組むことを約束した。
BUILDING OUR MARITIME PARTNERSHIP: The President has secured from the ROK investments to modernize and expand the capacity of American shipbuilding industries, including through investments in U.S. shipyards and America’s workforce.	海事パートナーシップの構築：大統領は韓国から、米国造船業の近代化と能力拡大に向けた投資を確保した。これには米国造船所と労働力への投資が含まれる。
・HD Hyundai and Cerberus Capital Management will partner on a $5 billion investment program for modernizing American shipyards, strengthening supply chains, and applying new technologies like autonomous navigation, digitalization, and automation.	・HD現代とケルベロス・キャピタル・マネジメントは、米国造船所の近代化、サプライチェーン強化、自律航行・デジタル化・自動化などの新技術導入に向けた50億ドル規模の投資プログラムで提携する。
・Samsung Heavy Industries and Vigor Marine Group will cooperate on naval vessel maintenance, repair, and overhaul (MRO), shipyard automation, and new construction of U.S.-flagged vessels.	・サムスン重工業とヴィガー・マリン・グループは、海軍艦艇の整備・修理・オーバーホール（MRO）、造船所の自動化、米国籍船舶の新造で協力する。
・Hanwha Ocean announced a $5 billion infrastructure plan to strengthen Pennsylvania’s Philly Shipyard workforce and increase its current production capacity by more than ten-fold.	・韓華オーシャンは、ペンシルベニア州フィリー造船所の労働力を強化し、現在の生産能力を10倍以上拡大する50億ドルのインフラ計画を発表した。
REESTABLISHING AMERICAN LEADERSHIP: President Trump’s State Visit to Korea reaffirmed the steadfast alliance between the United States and the ROK, while advancing U.S. economic interests—delivering tangible benefits for the American people.	米国のリーダーシップ再確立：トランプ大統領の韓国公式訪問は、米国と韓国の揺るぎない同盟関係を再確認すると同時に、米国の経済的利益を推進し、米国国民に具体的な利益をもたらした。
・This capstone stop on President Trump’s Asia travels underscored America’s prominent role as the preeminent Pacific power.	・トランプ大統領のアジア歴訪におけるこの集大成的な訪問は、米国が太平洋における卓越した大国としての主導的役割を担っていることを強調した。
・Today’s announcements build on the historic trade victories and infrastructure commitments the President secured while in Japan and Malaysia, bringing billions in investments and thousands of jobs home to America.	・本日の発表は、大統領が日本とマレーシア訪問中に確保した歴史的な貿易上の成果とインフラ投資の約束を基盤としており、数十億ドル規模の投資と数千の雇用を米国にもたらすものである。

日韓

● 首相官邸

・2025.10.30 日韓首脳会談についての会見

● 外務省

・2025.10.30 日韓首脳会談

米中

・2025.11.01 Fact Sheet: President Donald J. Trump Strikes Deal on Economic and Trade Relations with China

Fact Sheet: President Donald J. Trump Strikes Deal on Economic and Trade Relations with China	ファクトシート：ドナルド・J・トランプ大統領、中国との経済・貿易関係で合意
REBALANCING TRADE WITH CHINA: This week in the Republic of Korea, President Donald J. Trump reached a trade and economic deal with President Xi Jinping of China—a massive victory that safeguards U.S. economic strength and national security while putting American workers, farmers, and families first.	中国との貿易再調整：今週、大韓民国においてドナルド・J・トランプ大統領は中国の習近平国家主席と貿易・経済合意に達した。これは米国の経済的強さと国家安全保障を守りつつ、米国の労働者、農家、家族を最優先する画期的な勝利である。
・This historic agreement includes Chinese commitments to:	・この歴史的合意には、中国による以下の約束が含まれる：
・・Halt the flow of precursors used to make fentanyl into the United States.	・・フェンタニル製造の前駆物質の米国流入を停止する。
・・Effectively eliminate China’s current and proposed export controls on rare earth elements and other critical minerals.	・・希土類元素及びその他の重要鉱物に対する中国の現行及び提案中の輸出管理を実質的に撤廃する。
・・End Chinese retaliation against U.S. semiconductor manufacturers and other major U.S. companies.	・・米国の半導体製造事業者及びその他の主要米国企業に対する中国の報復措置を終了する。
・・Open China’s market to U.S. soybeans and other agricultural exports.	・・中国市場を米国産大豆及びその他の農産物輸出に開放する。
CHINESE ACTIONS:	中国の措置：
China will suspend the global implementation of the expansive new export controls on rare earths and related measures that it announced on October 9, 2025.	中国は、2025年10月9日に発表した希土類に関する新たな広範な輸出管理及び関連措置の全世界的な実施を停止する。
China will issue general licenses valid for exports of rare earths, gallium, germanium, antimony, and graphite for the benefit of U.S. end users and their suppliers around the world. The general license means the de facto removal of controls China imposed in April 2025 and October 2022.	中国は、米国の最終ユーザー及び世界中のその供給業者を対象に、希土類、ガリウム、ゲルマニウム、アンチモン、グラファイトの輸出を許可する一般輸出許可証を発行する。この一般輸出許可は、中国が2025年4月と2022年10月に課した規制を事実上撤廃することを意味する。
China will take significant measures to end the flow of fentanyl to the United States. Specifically, China will stop the shipment of certain designated chemicals to North America and strictly control exports of certain other chemicals to all destinations in the world.	中国はフェンタニルの米国流入を阻止するため、重大な措置を講じる。具体的には、特定化学物質の北米向け出荷を停止し、その他特定化学物質の全世界向け輸出を厳格に管理する。
China will suspend all of the retaliatory tariffs that it has announced since March 4, 2025. This includes tariffs on a vast swath of U.S. agricultural products: chicken, wheat, corn, cotton, sorghum, soybeans, pork, beef, aquatic products, fruits, vegetables, and dairy products.	中国は2025年3月4日以降に発表した全ての報復関税を停止する。これには鶏肉、小麦、トウモロコシ、綿花、ソルガム、大豆、豚肉、牛肉、水産物、果物、野菜、乳製品など広範な米国農産物への関税が含まれる。
China will suspend or remove all of the retaliatory non-tariff countermeasures taken against the United States since March 4, 2025, including China’s listing of certain American companies on its end user and unreliable entity lists.	中国は2025年3月4日以降に米国に対して実施した報復的非関税措置を全て停止または撤廃する。これには中国が特定の米国企業をエンドユーザーリスト及び信頼できない事業体リストに掲載した措置も含まれる。
China will purchase at least 12 million metric tons (MMT) of U.S. soybeans during the last two months of 2025 and also purchase at least 25 MMT of U.S. soybeans in each of 2026, 2027, and 2028. Additionally, China will resume purchases of U.S. sorghum and hardwood logs.	中国は2025年最後の2か月間に少なくとも1200万トン（MMT）の米国産大豆を購入し、さらに2026年、2027年、2028年の各年にも少なくとも2500万トンの米国産大豆を購入する。加えて、中国は米国産ソルガム及び広葉樹原木の購入を再開する。
China will take appropriate measures to ensure the resumption of trade from Nexperia’s facilities in China, allowing production of critical legacy chips to flow to the rest of the world.	中国はNexperiaの中国国内施設からの貿易再開を確保するため適切な措置を講じ、重要レガシーチップの生産が世界へ供給されるようにする。
China will remove measures it took in retaliation for the U.S.’s announcement of a Section 301 investigation on China’s Targeting the Maritime, Logistics, and Shipbuilding Sectors for Dominance, and remove sanctions imposed on various shipping entities.	中国は、米国の「中国の海事・物流・造船分野における支配的地位獲得」に関する301条調査発表への報復措置を撤廃し、各種海運事業体への制裁を解除する。
China will further extend the expiration of its market-based tariff exclusion process for imports from the United States and exclusions will remain valid until December 31, 2026.	中国は米国からの輸入事業者に対する市場ベースの関税除外措置の期限をさらに延長し、除外措置は2026年12月31日まで有効とする。
China will terminate its various investigations targeting U.S. companies in the semiconductor supply chain, including its antitrust, anti-monopoly, and anti-dumping investigations.	中国は半導体サプライチェーンにおける米国企業を対象とした各種調査（独占禁止法、反独占法、ダンピング防止法に基づく調査を含む）を終了する。
AMERICAN ACTIONS:	米国措置：
The United States will lower the tariffs on Chinese imports imposed to curb fentanyl flows by removing 10 percentage points of the cumulative rate, effective November 10, 2025, and will maintain its suspension of heightened reciprocal tariffs on Chinese imports until November 10, 2026. (The current 10% reciprocal tariff will remain in effect during this suspension period.)	米国はフェンタニルの流入抑制を目的として課した中国輸入品への関税を、2025年11月10日より累積税率を10％ポイント引き下げる。また中国輸入品に対する強化された報復関税の停止措置を2026年11月10日まで維持する（現行の10％報復関税はこの停止期間中も有効である）。
The United States will further extend the expiration of certain Section 301 tariff exclusions, currently due to expire on November 29, 2025, until November 10, 2026.	米国は、現行で2025年11月29日に期限切れとなる特定セクション301関税除外措置の有効期限を、2026年11月10日までさらに延長する。
The United States will suspend for one year, starting on November 10, 2025, the implementation of the interim final rule titled Expansion of End-User Controls to Cover Affiliates of Certain Listed Entities.	米国は、2025年11月10日より1年間、「特定指定事業体の関連会社を対象とするエンドユーザー管理の拡大」と題する暫定最終規則の実施を停止する。
The United States will suspend for one year, starting on November 10, 2025, implementation of the responsive actions taken pursuant to the Section 301 investigation on China’s Targeting the Maritime, Logistics, and Shipbuilding Sectors for Dominance. In the meantime, the United States will negotiate with China pursuant to Section 301 while continuing its historic cooperation with the Republic of Korea and Japan on revitalizing American shipbuilding.	米国は、中国の「海事・物流・造船分野における支配的地位の確立」に関するセクション301調査に基づく対応措置の実施を、2025年11月10日から1年間停止する。その間、米国はセクション301に基づき中国と交渉を行う一方、大韓民国及び日本との歴史的協力を継続し、米国造船業の活性化を図る。
SECURING ANOTHER WIN FOR THE AMERICAN PEOPLE: This trade and economic deal caps President Trump’s successful trip to Asia, where he delivered a series of historic wins for the American people.	米国国民へのさらなる勝利の確保：この貿易・経済協定は、トランプ大統領のアジア訪問を締めくくるものであり、同大統領は一連の歴史的な成果を米国国民にもたらした。
In Malaysia, President Trump signed Agreements on Reciprocal Trade with Malaysia and Cambodia, and the United States announced joint frameworks for trade negotiations with Thailand and Vietnam. He also signed critical minerals cooperation agreements with Thailand and Malaysia.	マレーシアでは、トランプ大統領はマレーシア及びカンボジアとの相互貿易協定に署名し、米国はタイ及びベトナムとの貿易交渉に関する共同枠組みを発表した。また、タイ及びマレーシアとの重要鉱物協力協定にも署名した。
In Japan, President Trump announced major projects advancing Japan’s previous $550 billion investment commitment to the United States to further revitalize the U.S. industrial base, signed a landmark critical minerals agreement with Japan, secured historic purchases of U.S. energy from Japan, and deepened U.S.-Japan cooperation to combat illegal drug trafficking.	日本では、トランプ大統領は米国産業基盤をさらに活性化させるため、日本が以前約束した5500億ドルの対米投資を推進する主要プロジェクトを発表し、日本との画期的な重要鉱物協定に署名し、日本による米国産エネルギーの歴史的な購入を確保し、違法薬物取引対策における日米協力を深化させた。
In the Republic of Korea, the President secured billions in landmark commitments, including investments to support American jobs, further America’s energy dominance, promote American leadership in the technology revolution, and build the U.S.-Korea maritime partnership.	大韓民国では、大統領は数十億ドル規模の画期的な約束を確保した。これには米国雇用支援投資、米国のエネルギー優位性強化、技術革命における米国主導の促進、日米海洋パートナーシップ構築が含まれる。

● 中華人民共和国

・2025.10.30 习近平同美国总统特朗普在釜山举行会晤

习近平同美国总统特朗普在釜山举行会晤	習近平国家主席とトランプ米大統領が釜山で会談
新华社韩国釜山10月30日电（记者李忠发、郝薇薇）当地时间10月30日，国家主席习近平在釜山同美国总统特朗普举行会晤。	韓国・釜山、10月30日（新華社）― 記者、李中発、郝薇薇 ― 現地時間10月30日、習近平国家主席は釜山でドナルド・トランプ米大統領と会談した。
习近平指出，中美关系在我们共同引领下，保持总体稳定。两国做伙伴、做朋友，这是历史的启示，也是现实的需要。两国国情不同，难免有一些分歧，作为世界前两大经济体，时而也会有摩擦，这很正常。面对风浪和挑战，两国元首作为掌舵人，应当把握好方向、驾驭住大局，让中美关系这艘大船平稳前行。我愿继续同特朗普总统一道，为中美关系打下一个稳固的基础，也为两国各自发展营造良好的环境。	習主席は、我々の共同の指導の下、米中関係は全体として安定を保っている、と述べた。両国は、歴史が要求し、現実が求める通り、パートナーであり友人であるべきだ。両国は国情が異なるため、多少の意見の相違は避けられない。世界最大の2つの経済大国として、時折摩擦が生じることも当然である。嵐や課題に直面した際、両国首脳は舵取り役として、方向性を定め、全体的な状況を把握し、米中関係の着実な進展を確保すべきである。私は、トランプ大統領と引き続き協力し、米中関係の強固な基盤を築き、両国の発展に有利な環境を整えていきたい。
习近平强调，中国经济发展势头不错，今年前三季度增长率达5.2%，对全球的货物贸易进出口增长4%，这是克服内外困难实现的，来之不易。中国经济是一片大海，规模、韧性、潜力都比较大，我们有信心也有能力应对各种风险挑战。中共二十届四中全会审议通过了未来5年的国民经济和社会发展规划建议。70多年来，我们坚持一张蓝图绘到底，一茬接着一茬干，从来没有想挑战谁、取代谁，而是集中精力办好自己的事，做更好的自己，同世界各国分享发展机遇。这是中国成功的重要密码。中国将进一步全面深化改革、扩大对外开放，着力推动经济实现质的有效提升和量的合理增长，推进人的全面发展和全体人民共同富裕，相信这也将为中美合作开辟更广阔空间。	習主席は、中国の経済発展は堅調な勢いを維持しており、今年第1～3四半期の成長率は5.2％、世界の商品貿易の輸入事業者および輸出入は4％増加したと強調した。これらの成果は、内外の困難にもかかわらず達成されたものであり、苦労して得たものである。中国経済は海のようなもので、その規模、レジリエンス、潜在力は非常に大きい。我々は様々なリスクや課題に対処する自信と能力を持っている。中国共産党第20期中央委員会第4回全体会議では、今後5年間の国家経済社会発展計画の提案が審議、採択された。70年以上にわたり、我々は一貫した青写真を堅持し、世代が互いにその努力を積み重ねてきた。我々は決して他国に挑戦したり置き換えたりしようとしたことはない。むしろ自らの内政に専念し、より良い自分を目指すことに注力し、発展の機会を全ての国々と共有してきた。これが中国の成功の鍵である。中国は全面的な改革をさらに深化させ、開放を拡大し、経済の質的改善と量的成長の合理化を図り、個人の全面的な発展と人民全体の共同繁栄を推進する。これにより米中協力のより広い空間が開かれると確信している。
习近平指出，两国经贸团队就重要经贸问题深入交换意见，形成了解决问题的共识。双方团队要尽快细化和敲定后续工作，将共识维护好、落实好，以实实在在的成果，给中美两国和世界经济吃下一颗“定心丸”。中美经贸关系近期经历曲折，也给双方带来一些启示。经贸应该继续成为中美关系的压舱石和推进器，而不是绊脚石和冲突点。双方应该算大账，多看合作带来的长远利益，而不应陷入相互报复的恶性循环。双方团队可以继续本着平等、尊重、互惠的原则谈下去，不断压缩问题清单，拉长合作清单。	習近平は、両国の経済貿易チームが主要な経済貿易問題について深く議論し、懸案事項の解決で合意に達したと指摘した。両チームは速やかにフォローアップの手配を具体化し、この合意を守り実行に移すことで、両国と世界経済に確かな成果をもたらすべきだ。最近の米中経済貿易関係の紆余曲折は双方に教訓を与えた。経済貿易関係は二国間関係の安定化要因であり推進力であるべきで、障害や対立点であってはならない。双方は大局に目を向け、報復の悪循環に陥るより協力の長期的な利益を優先すべきだ。交渉チームは、平等、相互尊重、互恵の原則に基づいて議論を続け、協力の範囲を拡大しながら、問題リストを着実に減らしていくことができる。
习近平强调，对话比对抗好。中美之间各渠道各层级应该保持沟通，增进了解。两国在打击非法移民和电信诈骗、反洗钱、人工智能、应对传染疾病等领域合作前景良好，对口部门应该加强对话交流，开展互利合作。中美在地区和国际舞台也应该良性互动。当今世界还有很多难题，中国和美国可以共同展现大国担当，携手多办一些有利于两国和世界的大事、实事、好事。明年，中国将担任亚太经合组织东道主，美国将主办二十国集团峰会。双方可以相互支持，争取两场峰会都取得积极成果，为促进世界经济增长、完善全球经济治理作出贡献。	習近平氏は、対立よりも対話が望ましいと強調した。相互理解を深めるため、中国と米国のあらゆるレベルでのコミュニケーションチャネルと対話を維持すべきである。不法移民や通信詐欺の取り締まり、マネーロンダリング対策、人工知能、感染症対応などの分野では、協力の見通しが明るい。関連部門は、相互に有益な協力関係を追求するため、対話と交流を強化すべきである。また、中国と米国は、地域および国際的な舞台でも建設的に関わるべきである。今日、世界は多くの課題に直面しており、両国は、両国および国際社会にとって重要かつ実用的で有益な取り組みを共同で推進することにより、大国としての責任を果たすことができる。来年、中国はアジア太平洋経済協力（APEC）首脳会議を、米国はG20サミットを主催する。双方は、これらの会議が良好な成果を上げるよう相互に支援し、それによって世界経済の成長と国際経済ガバナンスの改善に貢献することができる。
特朗普表示，很荣幸同习近平主席会面。中国是伟大国家，习主席是受人尊敬的伟大领导人，也是我多年的好朋友，我们相处非常愉快。美中关系一直很好，将来会更好，希望中国和美国的未来都更加美好。中国是美国最大的伙伴，两国携手可以在世界上做成很多大事，未来美中合作会取得更大成就。中国将举办2026年亚太经合组织领导人非正式会议，美国将举办二十国集团峰会，乐见双方取得成功。	トランプ氏は、習近平国家主席と会談できたことを光栄に思うと述べた。中国は偉大な国であり、習主席は尊敬される偉大な指導者であると同時に、長年の良き友人でもある。我々は非常に良好な関係を築いている。米中関係は常に良好であり、今後もさらに良くなるだろう。中国と米国双方のより明るい未来を願っている。中国は米国にとって最大のパートナーであり、両国は協力することで世界において大きな成果を上げることができる。今後の米中協力は、さらに大きな成功を収めるだろう。中国は2026年のAPEC非公式首脳会議を、米国はG20サミットを主催する。両会議の成功を期待している。
两国元首同意加强双方在经贸、能源等领域合作，促进人文交流。	両首脳は、貿易、経済、エネルギーなどの分野における二国間協力を強化し、人的交流を促進することで合意した。
两国元首同意保持经常性交往。特朗普期待明年早些时候访华，邀请习近平主席访问美国。	両首脳は、定期的な交流を維持することで合意した。トランプ大統領は、来年早々に中国を訪問することを期待しており、習近平国家主席に米国訪問の招待状を贈った。
蔡奇、王毅、何立峰等参加会见。	蔡奇、王毅、何立峰らが会談に同席した。

日中

● 首相官邸

・2025.10.31 日中首脳会談についての会見

● 外務省

・2025.10.31 日中首脳会談

● 中華人民共和国

・2025.10.31 习近平会见日本首相高市早苗

习近平会见日本首相高市早苗	習近平主席が日本の高市早苗首相と会談
新华社韩国庆州10月31日电（记者乔继红马卓言）当地时间10月31日下午，国家主席习近平在韩国庆州出席亚太经合组织第三十二次领导人非正式会议期间应约会见日本首相高市早苗。	新華社通信、韓国・慶州、10月31日（記者・喬吉宏、馬卓彦）現地時間10月31日午後、韓国・慶州で開催された第32回APEC非公式首脳会議に出席中の習近平国家主席は、日本の高市早苗首相の要請に応じ、同首相と会談した。
习近平指出，中日两国一衣带水，互为重要近邻，推动中日关系长期健康稳定发展符合两国人民和国际社会普遍期待。中方愿同日方一道，按照中日四个政治文件确立的原则和方向，维护双边关系政治基础，推进战略互惠关系，致力于构建契合新时代要求的建设性、稳定的中日关系。	習近平主席は、中国と日本は狭い海を隔てた隣国であり、両国関係の長期的な健全かつ安定した発展を促進することは、両国国民と国際社会の共通の願いに合致すると指摘した。中国は日本と共に、日中四つの政治文書で確立された原則と方向性に基づき、二国間関係の政治的基盤を守り、戦略的互恵関係を推進し、新時代の要求に合致する建設的で安定した日中関係を築くよう努力する意思がある。
习近平强调，目前中日关系机遇和挑战并存。希望日本新内阁树立正确对华认知，珍视两国老一辈政治家和各界人士为发展中日关系倾注的心血和努力，坚持中日和平、友好、合作的大方向。一是恪守重要共识。把“全面推进战略互惠关系”、“互为合作伙伴、互不构成威胁”、“以史为鉴、面向未来”等政治共识落到实处。恪守和履行中日四个政治文件就历史、台湾等重大原则问题作出的明确规定，确保中日关系根基不受损、不动摇。“村山谈话”深刻反省日本侵略历史并向受害国道歉，这一精神值得弘扬。二是坚持合作共赢。中共二十届四中全会擘画了“十五五”中国发展蓝图，中日合作具有广阔空间。中日可以加强高端制造、数字经济、绿色发展、财政金融、医疗养老、第三方市场等方面合作，共同维护多边贸易体制和产业链供应链稳定畅通。三是促进民心相通。持续开展政府、政党、立法机构等沟通，深化拓展人文和地方交流，改善国民感情。四是加强多边协作。秉持睦邻友好、平等互利、互不干涉内政原则，践行真正的多边主义，推动构建亚太共同体。五是妥善管控分歧。着眼大局、求同存异、聚同化异，避免让矛盾分歧定义两国关系。	習近平は、現在の日中関係には機会と課題が共存していると強調した。日本の新内閣が中国に対する正しい認識を持ち、両国の先代の政治家や各界の人物が二国間関係の発展に注いだ献身と努力を大切にし、日中平和友好協力の基本路線を堅持することを期待すると述べた。第一に、重要な合意を堅持することが不可欠である。「戦略的互恵関係を全面的に推進する」「互いにパートナーであり脅威とならない」「歴史の教訓を汲み取り未来を見据える」という政治的合意を実践に移さねばならない。歴史や台湾問題といった重大な原則問題に関する四つの日中政治文書に明記された規定を堅持し、実行に移さねばならない。これにより日中関係の基盤が損なわれず、揺るがないようにするのだ。日本の侵略の歴史を深く反省し、被害国に謝罪した「村田声明」は、推進に値する精神を体現している。第二に、ウィンウィンの協力を堅持しなければならない。中国共産党第20期中央委員会第4回全体会議は第15次五カ年計画期間における中国の発展の道筋を示し、日中協力に広大な展望を開いた。両国はハイエンド製造事業者、デジタル経済、グリーン発展、金融・銀行、医療・介護、サードパーティ市場での協力を強化しつつ、多角的貿易体制を共同で守り、産業・供給チェーンの安定と円滑な運営を確保できる。第三に、人的交流を育むことだ。政府間、政党間、立法団体間のコミュニケーションを継続的に強化し、人的交流や地方交流を深化・拡大させ、国民の感情を改善すべきだ。第四に、多国間協力を強化すべきだ。善隣友好、平等、互恵、内政不干渉の原則を堅持し、真の多国間主義を実践し、アジア太平洋共同体の構築を推進すべきだ。第五に、相違点を適切に管理すべきだ。大局に目を向け、共通点を探りながら相違点を保留し、矛盾や相違が二国間関係を定義づけることを避けるべきだ。
高市早苗表示，中国是日本的重要邻国，日中两国对地区和世界和平与繁荣负有重大责任。日方愿同中方保持高层交往，密切各层级交流，加强沟通、增进理解、促进合作，扎实推进两国战略互惠关系，构建建设性、稳定的日中关系。在台湾问题上，日本将坚持1972年日中联合声明中的立场。	高市早苗氏は、中国は日本にとって重要な隣国であり、両国は地域及び世界の平和と繁栄に対して重大な責任を負っていると述べた。日本は中国とのハイレベル交流を維持し、あらゆるレベルでのコミュニケーションを強化し、相互理解を深め、協力を推進し、両国間の戦略的互恵関係を着実に前進させ、建設的で安定した日中関係を構築していく意思がある。台湾問題に関しては、日本は1972年の日中国家関係正常化共同声明で表明した立場を堅持する。
蔡奇、王毅等参加。	蔡奇氏、王毅氏も同席した。

中韓

● 中華人民共和国

・2025.11.01 习近平同韩国总统李在明会谈

习近平同韩国总统李在明会谈	習近平主席、韓国の李在明大統領と会談
新华社韩国庆州11月1日电（记者杜白羽、董雪）当地时间11月1日下午，韩国总统李在明同中国国家主席习近平在庆州博物馆举行会谈。	新華社通信、韓国・慶州、11月1日（記者・杜白宇、董雪）現地時間11月1日午後、韓国の李在明（イ・ジェミョン）大統領は慶州博物館で中国の習近平国家主席と会談した。
11月的庆州，秋意正浓。习近平乘车抵达，韩国礼仪队隆重欢迎。	11月の慶州は秋の美しさに包まれていた。習主席の車列が到着すると、韓国の儀仗兵が厳かに迎えた。
李在明热情迎接习近平。两国元首握手合影。	李大統領は習主席を温かく迎えた。両首脳は握手を交わし、記念撮影に応じた。
习近平同李在明登上检阅台。军乐团奏中韩两国国歌。习近平在李在明陪同下检阅仪仗队。两国元首分别同对方陪同人员握手致意。	習主席と李大統領は観閲台に上がった。軍楽隊が中国と韓国の国家を演奏した。李大統領に付き添われて、習近平主席は儀仗兵を閲兵した。その後、両首脳はそれぞれの随行員と握手を交わした。
欢迎仪式后，两国元首举行会谈。	歓迎式典の後、両首脳は会談を行った。
习近平指出，中韩是搬不走的重要近邻，也是分不开的合作伙伴。建交33年来，两国超越社会制度和意识形态差异，积极推进各领域交流合作，实现了相互成就、共同繁荣。事实证明，推动中韩关系健康稳定发展，始终是符合两国人民根本利益、顺应时代潮流的正确选择。中方重视中韩关系，对韩政策保持连续性、稳定性，愿同韩方加强沟通，深化合作，拓展共同利益，携手应对挑战，推动中韩战略合作伙伴关系行稳致远，为地区和平与发展提供更多正能量。	習近平は、中国と韓国は動かしようのない重要な隣国であり、切っても切れないパートナーであると指摘した。国交樹立から33年、両国は社会制度や思想の相違を超え、各分野での交流と協力を積極的に推進し、互いの成功と繁栄を共に実現してきた。事実が証明しているように、韓国と中国の関係を健全かつ安定的に発展させることは常に正しい選択であり、両国民の根本的利益にかなうと同時に、時代の流れにも合致している。中国は韓国との関係を重視し、対韓政策の継続性と安定性を維持している。中国は韓国とのコミュニケーションを強化し、協力を深化させ、共通利益を拡大し、共に課題に取り組み、中韓戦略的パートナーシップを着実な進展と長期的な発展へと導き、地域の平和と発展にさらなる積極的なエネルギーを注入していく意思がある。
习近平就开辟中韩关系新局面提出4点建议。	習近平は韓国関係に新たな章を開くため四つの提案を提示した。
一是加强战略沟通，夯实互信根基。从长远角度看待中韩关系，在彼此尊重中共同发展，在求同存异中合作共赢。尊重各自社会制度和发展道路，照顾彼此核心利益和重大关切，通过友好协商妥善处理矛盾分歧。用好两国之间的对话渠道和交流机制，为两国关系发展汇聚力量。	第一に、戦略的なコミュニケーションを強化し、相互信頼の基盤を固めること。韓国関係を長期的な視点で捉え、相互尊重による共通の発展を追求し、共通点を探り相違点を保留することでウィンウィンの協力を実現する。互いの社会制度と発展の道を尊重し、互いの核心的利益と重大な懸念事項に配慮し、友好的な協議を通じて矛盾や相違を適切に処理する。両国間の対話チャンネルと交流メカニズムを活用し、二国間関係の発展に力を結集する。
二是深化互利合作，拉紧利益纽带。成就邻居就是帮助自己。中方愿同韩方秉持互利共赢原则，加快推动中韩自由贸易协定第二阶段谈判，深挖人工智能、生物制药、绿色产业、银发经济等新兴领域合作潜力，推动经贸合作提质升级。中韩两国都重视打击网络赌博和电信诈骗，可以在双边和地区层面开展合作，更好维护两国民众生命财产安全。	第二に、互恵協力を深化させ、共通利益の絆を強化する。隣人を助けることは自らを助けることだ。中国は互恵・ウィンウィンの原則に基づき、韓国と共に韓中自由貿易協定第二段階の交渉を加速させる用意がある。人工知能、バイオ医薬品、グリーン産業、シルバー経済などの新興分野における協力の可能性を探り、経済貿易協力の質的向上を推進すべきだ。中国と韓国はともにオンライン賭博や通信詐欺対策に力を入れており、二国間及び地域レベルで協力し、国民の生命と財産の保護をより良く図ることができる。
三是提升国民感情，促进民心相通。对舆论和民意加强引导，多释放正面信息，抑制消极动向。开展健康有益的人文交流，增进相互理解，夯实民意基础。便利人员往来，活跃青少年、媒体、智库、地方等交往，促进两国人民心通意合，为中韩关系健康稳定发展营造良好氛围。	第三に、世論を向上させ、相互理解を深めなければならない。世論と国民感情への指導を強化し、より多くの前向きな情報を発信し、ネガティブな傾向を抑制すべきだ。健全で有益な人的交流を実施し、相互理解を深め、国民の支持基盤を固めるべきだ。人的交流を促進し、若者、メディア、シンクタンク、地方コミュニティ間の交流を活性化させ、両国民の心からの理解を促進し、中韓関係の健全かつ安定的な発展のための良好な雰囲気を醸成すべきだ。
四是密切多边协作，共促和平发展。中方祝贺韩方成功举办亚太经合组织领导人非正式会议，愿以接任亚太经合组织东道主为契机，同各方一道推进亚太自贸区进程和区域经济一体化，共建亚太共同体。中韩双方要共同践行真正的多边主义，维护多边贸易体制，推动国际治理朝着更加公正合理的方向发展。	第四に、多国間協力を強化し、共に平和的発展を推進すべきだ。中国は韓国がAPEC非公式首脳会議を成功裏に開催したことを祝賀し、韓国が今後のAPEC議長国としての役割を活用し、全ての関係国と共にアジア太平洋自由貿易圏の構築と地域経済統合を推進し、共にアジア太平洋共同体を築くことを期待する。中国と韓国は共に真の多国間主義を実践し、多国間貿易体制を守り、国際ガバナンスをより公平で合理的な方向へ導くべきだ。
习近平强调，中共二十届四中全会审议通过了“十五五”规划建议。中国经济基础稳、优势多、韧性强、潜能大，长期向好的支撑条件和基本趋势没有变，将坚定不移扩大高水平对外开放，同世界各国共享发展机遇。	習近平は、中国共産党第20期中央委員会第4回全体会議が第15次五カ年計画の提案を審議・採択したことを強調した。中国経済は堅固な基盤、複数の優位性、強いレジリエンス、膨大な潜在力を有している。持続的成長を支える基本的条件と長期的な好転傾向は変わっていない。中国は高水準の開放を断固として拡大し、全ての国々と発展の機会を分かち合う。
李在明表示，热烈欢迎习近平主席时隔11年再次对韩国进行国事访问，这次访问对韩中关系意义重大。韩中建交以来，各领域互利合作不断深入，有力推动各自经济发展。韩中是邻居，更是密不可分的伙伴。韩方高度重视对华关系，愿同中方共同努力，推动双边友好合作关系得到更大发展。双方要密切高层交往，增进政党、地方交流，妥善处理分歧。中国“十五五”规划明确了未来5年的经济发展方向和重点，韩方愿加强对华互利合作，维护产供链稳定，给两国人民带来更多福祉。韩方愿同中方密切人文交流，改善国民感情。韩方支持中方主办2026年亚太经合组织领导人非正式会议，愿同中方加强国际和地区事务的沟通和协调，共同促进地区和全球的和平发展。	李在明大統領は、11年ぶりの習近平国家主席の韓国公式訪問を温かく歓迎し、これが二国間関係にとって極めて重要だと述べた。国交樹立以来、韓国と中国は様々な分野で互恵協力を深化させ、両国の経済発展を効果的に推進してきた。韓国と中国は隣国であり、切っても切れないパートナーである。韓国側は中国との関係を非常に重視しており、中国と共に二国間の友好協力をさらに発展させることを望む。双方は緊密なハイレベル交流を維持し、政党間・地方間の交流を強化し、相違点を適切に処理すべきである。中国の第15次五カ年計画は今後5年間の経済発展の方向性と重点を明確に定めている。韓国側は中国との互恵協力を強化し、産業・サプライチェーンの安定を維持し、両国民により多くの利益をもたらすことを望む。韓国は中国との人的交流を強化し、市民間の友好関係を育むことを望む。我々は中国が2026年APEC非公式首脳会議を主催することを支持し、国際・地域問題に関する意思コミュニケーションと調整を強化し、地域及び世界の平和と発展を共に推進することを約束する。
会谈后，两国元首共同见证双方经贸、金融、农业、执法、科技等领域合作文本交换仪式。	会談後、両国家元首は貿易、金融、農業、法執行、科学技術などの分野における協力文書の交換を共同で立会した。
当晚，李在明同习近平小范围友好交流，并为习近平举行欢迎宴会。	同日夜、李大統領は習近平国家主席と小規模な親善交流を行い、歓迎晩餐会を主催した。
蔡奇、王毅等参加上述活动。	蔡奇と王毅は上記の行事に出席した。

1_20251105064901

中露

● 中華人民共和国

・2025.11.04 习近平会见俄罗斯总理米舒斯京

习近平会见俄罗斯总理米舒斯京	習近平、ロシアのミハイル・ミシュスティン首相と会談
新华社北京11月4日电（记者孙奕）11月4日上午，国家主席习近平在北京人民大会堂会见俄罗斯总理米舒斯京。	新華社通信、北京、11月4日（記者：孫毅）11月4日の午前、習近平国家主席は北京の人民大会堂で、ロシアのミハイル・ミシュスティン首相と会談した。
习近平指出，今年以来，中俄关系锚定更高水平、更高质量发展目标，在风高浪急的外部环境中笃定前行。维护好、巩固好、发展好中俄关系，是双方的战略抉择。我同普京总统在莫斯科和北京两次会晤，就中俄关系中的战略性、全局性问题深入交流，作出新的谋划和部署。双方要保持密切协调，落实好我同普京总统达成的重要共识，着眼两国和两国人民的根本利益，把中俄合作的蛋糕做好，也为世界和平与发展作出新的更大贡献。	習主席は、今年初め以来、中露関係はより高いレベルと質の高い発展を達成するという目標に支えられ、激動する外部環境の中で着実に前進してきたと指摘した。中露関係の維持・強化・発展は双方の戦略的選択である。モスクワと北京でのプーチン大統領との二度の会談では、中露関係に関する戦略的・包括的課題について深く意見交換し、新たな計画と取り決めを策定した。双方は緊密に連携し、プーチン大統領と私が達成した重要な合意を実行に移すべきだ。両国と両国民の根本的利益に焦点を当て、中露協力のパイを拡大し、世界の平和と発展に新たなより大きな貢献をすべきだ。
习近平强调，双方要稳步扩大相互投资，开展好能源、互联互通、农业、航空航天等传统领域合作；挖掘人工智能、数字经济、绿色发展等新业态合作潜力，打造新的合作增长点；密切人文交流，让两国社会各界更多人士参与到中俄友好合作的事业中来。前不久，中共二十届四中全会审议通过“十五五”规划建议，对中国未来5年经济社会发展作出顶层设计和战略擘画。中国将全面推进中国式现代化，坚定不移推动经济社会高质量发展，扩大高水平对外开放。中方愿同俄方一道，推动中国“十五五”规划同俄罗斯经济社会发展战略更好对接，不断造福两国人民。	習近平は、双方が着実に相互投資を拡大し、エネルギー、インフラ、農業、宇宙などの伝統的分野での協力を効果的に推進すべきだと強調した。人工知能、デジタル経済、グリーン発展などの新興分野における協力の可能性を開拓し、協力の新たな成長点を創出すべきだ。文化交流を強化し、より多くの各界の人々が中露友好協力の大義に参加できるようにすべきだ。つい先日、中国共産党第20期中央委員会第4回全体会議は第15次五カ年計画の提案を審議・採択し、今後5年間の中国の経済社会発展のトップレベル設計と戦略的青写真を示した。中国は中国式現代化を全面的に推進し、高品質な経済社会発展を断固として推進し、高水準の開放を拡大する。中国はロシアと協力し、第15次五カ年計画をロシアの経済社会発展戦略とより良く整合させ、両国人民に継続的な利益をもたらす用意がある。
米舒斯京转达普京总统对习近平主席的亲切问候和良好祝愿。米舒斯京表示，祝贺中共二十届四中全会成功举行，相信中国一定会顺利实现“十五五”规划建议确定的目标，取得更大经济社会发展成就。两国元首今年两次会晤，对俄中关系发展作出战略规划，巩固了俄中全面战略协作伙伴关系。俄方愿同中方一道，落实两国元首达成的重要共识，深化经贸、科技、能源、农业、数字经济等领域合作，密切人文交流，加强多边协调配合，推动两国合作取得更多成果。	ミシュスチヌ首相はプーチン大統領からの温かい挨拶と習主席への祝福を伝えた。中国共産党第20期中央委員会第4回全体会議の成功裏の開催を祝賀し、中国が第15次五カ年計画の目標を成功裏に達成し、より大きな社会経済発展の成果を収めることに確信を示した。両国首脳は今年2度会談し、ロシア・中国関係の発展に向けた戦略的計画を策定し、両国の包括的戦略的協力パートナーシップを強化した。ロシアは中国と共に、両国首脳が達成した重要な合意を実行に移し、貿易・経済・科学技術・エネルギー・農業・デジタル経済などの分野での協力を深化させ、人的交流を強化し、多国間調整・協力を強化し、両国間のより実りある協力を推進していく意思がある。
王毅参加会见。	王毅が会談に同席した。

2025.11.05 06:50 in AI/Deep Learning, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

国家サイバー統括室重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針（案）...第3回サイバー対処能力強化法の施行等に関する有識者会議 (2025.10.30)

こんにちは、丸山満彦です。

国家サイバー統括室が、第3回サイバー対処能力強化法の施行等に関する有識者会議において重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針（案）
が議論されたようですね...

ここは、国家安全保障であり、政府による国民の統制という方向に間違ってもいかないようにすることが重要ですよね...その意図は感じられますが...極左の多い大学時代から極左も極右も権力の集中という意味では同じで、私の頭のなかでは同じ分類として扱っていました(^^)。そういう意味では権威主義か民主主義かというのは、左右（甘党か辛党か）という思想の議論よりも、権力を集中させるかどうか（味が濃いかどうか）という意味でよりわかりやすい（健康によいかどうかという）対比なのかもしれません...

● 国家サイバー統括室 - サイバー対処能力強化法の施行等に関する有識者会議

・2025.10.30 第３回会合

・[PDF] 資料２　重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針（案）

はじめに

第１章重要電子計算機に対する特定不正行為による被害の防止に関する基本的な事項
第１節本法による各種措置を行うこととなった背景・経緯
第２節制度の基本的な考え方
第３節政府内及び事業者等との連携と総合調整
⑴ 政府内の連携と総合調整
⑵ 事業者等との連携
第４節通信の秘密の尊重
第５節基本的な事項に関わる概念・定義の考え方
⑴ 重要電子計算機の定義の考え方
⑵ 機械的情報の考え方

第２章当事者協定の締結に関する基本的な事項
第１節基本的な考え方
第２節当事者協定の締結を推進させるための基本的な事項
⑴ 当事者協定の締結の推進に当たっての考え方
⑵ 当事者協定の締結についての推進方策
第３節当事者協定の締結に関する配慮事項
⑴ 当事者協定の締結に向けた協議に関する配慮事項
⑵ 当事者協定に基づく他目的利用に関する配慮事項

第３章通信情報保有機関における通信情報の取扱いに関する基本的な事項 .
第１節基本的な考え方
第２節通信情報の利用を適切に機能させるための基本的な事項 .
⑴ 通信情報の利用に係る能力構築の考え方
⑵ 電気通信事業者の協力
第３節通信情報の適正な取扱いに関する配慮事項
⑴ 通信の秘密等への十分な配慮
⑵ 通信情報の安全管理措置
⑶ 提供用選別後情報の活用
⑷ サイバー通信情報監理委員会による監理
⑸ 他法令の遵守に関する配慮事項

第４章情報の整理及び分析に関する基本的な事項
第１節基本的な考え方
第２節報告等情報の収集の考え方
⑴ 特定重要電子計算機の届出の考え方
⑵ 特定侵害事象等の報告の考え方
第３節収集した情報の整理及び分析の考え方
⑴ 総合整理分析情報の作成の考え方
⑵ 提供用総合整理分析情報・周知等用総合整理分析情報の作成の考え方
第４節関係機関等への協力の要請
第５節事務の委託に関する考え方

第５章総合整理分析情報の提供に関する基本的な事項
第１節基本的な考え方
第２節総合整理分析情報等の提供先と提供する内容の考え方 .
⑴ 行政機関等に対する情報提供
⑵ 外国の政府等に対する情報提供
⑶ 協議会の構成員に対する情報提供
⑷ 特別社会基盤事業者に対する情報提供
⑸ 電子計算機を使用する者に対する周知等
⑹ 電子計算機等供給者に対する情報提供等、脆弱性情報に係る情報提供.
第３節情報提供に当たっての関係行政機関の連携
第４節情報提供に当たって必要な配慮
第５節安全管理措置
第６節事務の委託に関する考え方

第６章協議会の組織に関する基本的な事項
第１節基本的な考え方
第２節協議会の取組内容・運営方針
第３節協議会で共有されるべき情報・協議する内容
第４節協議会の構成員
第５節安全管理措置

第７章その他重要電子計算機に対する特定不正行為による被害の防止に関し必要な事項 .
第１節制度及び基本方針の見直しに関する事項
第２節官民連携に関する関係省庁・関係機関等との連携等に関する事項
第３節アクセス・無害化措置との連携

・[PDF] 資料３　官民連携の強化に向け今後具体化が必要な論点

今後具体化が必要な論点

特定重要電子計算機の届出やインシデント報告の施行、新協議会の立ち上げに向けては、運用面/技術面で更なる深掘りが必要。この点、基本方針（案）の記載を踏まえ、今後以下のような論点につき、ステークホルダとも意見交換を行いつつ具体化を進める。

１．特定重要電子計算機の考え方について

法第４条における届出や第５条におけるインシデント報告の対象となる特定重要電子計算機について、具体的にどのような機器を対象とすべきか。例えば、近年その脆弱性の悪用事例が多く確認されているVPN装置等のインターネットから直接接続可能な機器（アタックサーフェス）や、その他にどのような類型が必要か。
実際のシステム構成において、インターネットから接続可能な領域と、いわゆる制御系システムを物理的に分離（エアギャップ）している例が見られるが、このような場合の特定重要電子計算機の考え方。
また近年、基幹インフラ事業者においても、その役務提供に当たってクラウドサービスが広く活用されているところ、特定重要電子計算機としてクラウドサービスを利用している場合に、どのように捉えるべきか。

２．特定重要電子計算機の届出について

脆弱性の提供等における活用に当たって、具体的にどのような事項、粒度で届出を求めるべきか。
経済安全保障推進法における特定重要設備の全部又は大部分がクラウドサービスを活用している場合に、届出の対象をどのように考えるべきか。また、ゼロトラストのように、システムの機能保障上重要な機能がクラウドサービスを活用している場合はどうか。
大多数の事業者が通常利用していると考えられ、必ずしもその保有状況を把握せずとも、情報提供を行い得るようなソフトウェアについても届出を求めるか。
経済安全保障推進法の規定に基づく届出が必要な設備について、事業者の負担軽減の観点から、当該届出の内容と本法で届出を求める内容について整理してはどうか。

３．インシデント報告について

法第５条において、「特定侵害事象の原因となり得る事象」についても報告を求めるとしているところ、例えば、具体的な事象の痕跡を認知した場合に報告を求めるといった対応としてはどうか。
報告期限について、インシデント発生時の事業者の対応負担も鑑み、例えば個人情報保護法といった関係法令における報告期限を参考に設定すべきか。
特定重要電子計算機がクラウドサービスを利用している場合、SaaS, PaaS, IaaSそれぞれの責任範囲に基づき、どの利用形態の場合にどのタイミングで報告を求めるか。

４．新協議会について

協議会の組織及び運営に関し必要な事項は、協議会が定める（法第45条第8項）とされているが、今後、基本方針（案）の内容を踏まえて協議会の組織及び運営の具体化を図る上で、特に留意や配慮が必要な事項はあるか。
協議会の構成員は、政府から情報提供を受けることができる一方で、協議会で知り得た秘密を含む情報の適正な管理や資料の提出の求めがあった場合における対応が必要となるなど、一定の負担も生じ得る。構成員の協議会への参画意欲を高め、協議会が官民連携のエコシステムとして効果的に機能するために、運用面での工夫やルール整備等を行う上で、どのような事項を考慮すべきか。
基本方針（案）では、協議会の構成員以外の者に対しても、秘密を含まない情報の提供を行うことで、広く国内のサイバーセキュリティ強化を促し、重要電子計算機に対する特定不正行為による被害防止につなげていくとしている。協議会の活動において、どのように取り組むべきか。

ちなみに第1回の資料３　サイバー対処能力強化法に基づく基本方針の策定に向けて

目次的...

御議論いただきたい事項：その１：重要電子計算機に対する特定不正行為による被害の防止に関する基本的な事項
 本法による各種措置を行うこととなった背景
 政府内の連携と総合調整
 事業者等との連携
 通信の秘密の尊重
 重要電子計算機の定義の考え方
 機械的情報の考え方

御議論いただきたい事項：その２：第13条に規定する当事者協定の締結に関する基本的な事項
 基本的な考え方
 当事者協定の締結に関して配慮すべき事項
　 当事者協定制度の運用に関する配慮事項
　 当事者協定の締結に向けた協議に関する配慮事項
　 当事者協定に基づく他目的利用に関する配慮事項

御議論いただきたい事項：その３：通信情報保有機関における通信情報の取扱いに関する基本的な事項
 基本的な考え方
 通信情報の取扱いに関して配慮すべき事項
　 通信の秘密への十分な配慮
　 安全管理措置についての考え方
　 通信情報の利用に係る機能強化の考え方
　 電気通信事業者の協⼒に関する配慮事項
　 他法令の遵守に関する配慮事項

御議論いただきたい事項：その４：第37条の規定による情報の整理及び分析に関する基本的な事項
 報告等情報の収集の考え方
 収集した情報の整理及び分析の考え方
 関係機関等への協⼒の要請
 事務の委託に関する考え方

御議論いただきたい事項：その５：総合整理分析情報の提供に関する基本的な事項
 総合整理分析情報等の提供先と提供する内容の考え方
総合整理分析情報の提供に関する基本的な事項
 情報提供に当たっての関係行政機関の連携
 守秘義務・安全管理措置の具体的内容
 情報提供に当たって必要な配慮
 事務の委託に関する考え方

御議論いただきたい事項：その６：第45条第１項に規定する協議会の組織に関する基本的な事項
 協議会の趣旨
 協議会の取組内容・運営方針
 協議会で共有されるべき情報・協議する内容
 協議会の構成員
 守秘義務・安全管理措置の具体的内容

御議論いただきたい事項：その７：その他重要電子計算機に対する特定不正行為による被害の防止に関し必要な事項
 基本方針の見直しに関する事項
 官民連携に関する関係省庁・関係機関等との連携等に関する事項

基本方針の策定に係るスケジュール案

【参考】基幹インフラ事業者との意見交換
総論
①特定重要電子計算機の届出（資産届出）について
②特定侵害事象等の報告（インシデント報告）について
③協議会・情報共有について
④情報共有システム（官民連携基盤）について

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.06.08 内閣官房 NISC サイバーセキュリティ戦略本部第43回会合 - インシデント報告様式の統一 (2025.05.29)

・2025.05.17 「重要電子計算機に対する不正な行為による被害の防止に関する法律」とその法律の施行に伴う関係法律の整備等に関する法律が成立しましたね...そして、クリアランス制度がはじまりましたね...(2025.05.16)

・2025.02.08 内閣官房サイバー対処能力強化法案及び同整備法案 (2025.02.07)

2025.11.05 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2025.11.04

国家サイバー統括室サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

こんにちは、丸山満彦です。

日本のサイバーセキュリティ戦略の最新は[PDF]2021年のものですが、その改訂が検討されていますが、2025年版？の案が公表されていますね...

2回目で案がでてきているということは、ほぼ既定路線？

米国の場合は、2023年のサイバーセキュリティ戦略は、2022年の国家安全保障戦略のサイバー領域での実施計画となっていますが、日本のサイバーセキュリティ戦略は単独なんですかね...

● 国家サイバー統括室 - サイバーセキュリティ推進専門家会議

・2025.10.30 第２回会合（令和７年10月30日）

・・[PDF] 資料１　新たなサイバーセキュリティ戦略（案）の概要

・・[PDF] 資料２　サイバーセキュリティ戦略（案）

目次...

I.策定の趣旨・背景

II.本戦略における基本的な考え方

１.確保すべきサイバー空間の在り方及び基本原則

２.サイバー空間を取り巻く情勢認識及び今後の見通し
（１)厳しさを増す国際情勢と国家を背景としたサイバー脅威の増大
（２)社会全体のデジタル化の進展とサイバー脅威の増大
（３)AI、量子技術等の新たな技術革新とサイバーセキュリティに及ぼす影響

３.サイバー空間を取り巻く課題認識及び施策の方向性
（１)深刻化するサイバー脅威に対する防御・抑止
（２)幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上
（３)我が国のサイバー対応能力を支える人材・技術に係るエコシステム形成

III.目的達成のための施策

１.深刻化するサイバー脅威に対する防御・抑止
（１)国が要となる防御・抑止
（２)官民連携エコシステムの形成及び横断的な対策の強化
（３)国際連携の推進・強化

２.幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上
（１)政府機関等におけるサイバーセキュリティ対策の強化
（２)重要インフラ事業者・地方公共団体等におけるサイバーセキュリティ対策の強化
（３)ベンダー、中小企業等を含めたサプライチェーン全体のサイバーセキュリティ及びレジリエンスの確保
（４)全員参加によるサイバーセキュリティの向上
（５)サイバー犯罪への対策

３.我が国のサイバー対応能力を支える人材・技術に係るエコシステム形成
（１)効率的・効果的な人材の育成・確保
（２)新たな技術・サービスを生み出すためのエコシステムの形成
（３)先端技術に対する対応・取組

IV.本戦略の推進体制

官民連携...

（３）我が国のサイバー対応能力を支える人材・技術に係るエコシステム形成

産学官を通じて、サイバーセキュリティ人材の確保・育成・裾野拡大にこれまで以上に注力していく。また、研究・開発から実装・運用まで、産学官の垣根を越えた協働による、国産技術・サービスを核とした、新たな技術・サービスを生み出すエコシステムを形成するとともに、AI や量子技術等の新たな技術革新がもたらすサイバーセキュリティ分野の変革に備え、対応していく。

これについても、関係する各主体の「自律性」「多様な主体の連携」とともに、これまで我が国でサイバーセキュリティ分野での人材・技術が十分育ってこなかったことに鑑み、国がより積極的な役割を果たしていく。

これら施策の実現には、官だけ、民だけ、一国だけで対応することには限界がある。官民連携・国際連携の下、広く国民・関係者の理解を得て、国が対策の要となり、官民一体で我が国のサイバーセキュリティ対策を推進していく。

これにより、厳しさを増すサイバー空間を巡る情勢に切れ目無く対応できる、世界最高水準の強靱さを持つ国家を目指す。

加えて、本戦略に基づき施策を推進するに当たっては、以下の点に留意する。

・我が国全体のサイバーセキュリティ確保のためには、政府機関・重要インフラ事業者等を標的にしたサイバー脅威に対するサイバー安全保障の観点に基づく対応から、個人や企業による主体的・自律的な対策、それを支援する取組に至るまで、切れ目のない取組が必要であり、これらは互いに補いあう関係にある。また、サイバー空間には国境がなく、サイバーセキュリティに係る内外の施策は有機的に連携し推進されるべきものである。本戦略では、これらの必要な施策を切れ目なく一体的・総合的に実施し、施策の実効性を高めることを目指す。

・生成 AI 技術の進展等に伴い、サイバー空間を利用した外国からの偽情報拡散を含む影響工作の脅威の増大が懸念される。この問題は、我が国の健全な民主主義の基盤に影響を及ぼす可能性とともに、サイバー攻撃と連動し展開されるおそれもある。こうした状況を踏まえ、当該問題に係る関係省庁は密接に連携しつつ、我が国のサイバーセキュリティ確保の観点から、本戦略に基づく適切かつ必要な対応を行う。

・これまで述べてきたようなサイバー空間における脅威の実態について、国民の認識と理解を得ることが必要である。国は、サイバー対処能力強化法等に基づく能動的な防御・抑止の措置を含め、国の対応・施策の推進に当たり、関係者と連携しつつ、広く国民の理解と協力を得るよう努めていく

国が対策の要となるのはよいが、官民と上下の関係ではない...ということは政府側が強く意識をした方が良いし、常にそう言い続けておくことが重要ですよね...

要というのは、扇子の骨を留める金具のことですから、バラバラにならないように留めることが重要。取りまとめ役、事務局な立場...

「国がより積極的な役割を果たしていく」≠「国が指示する」

「国がより積極的な役割を果たしていく」＝「国がプレイヤーとして役割を果たす」ということだと思うんですよね...書いている通り...

本当は多様な主体（マルチステークホルダー）をもっと強調してもよいかもですね...

人材育成について...

人材育成については、2003年の経済産業省の情報セキュリティ総合戦略の時から言われている話で（もちろん環境変化があるのは理解しつつも）、必要となる人材ができる限り適時に揃えられる体制（構造、システム）をつくることが重要（もちろん今必要な人材を供給するオペレーションも重要なのですが）ですよね...でないと、いつまでも、人材不足を言い続けながら対策が後手後手になる（サイバーセキュリティ対策が向上しないのを人材不足のせいにしていないか？？？という話もあるしね...）。

案では、

「① 人材フレームワークの整備と効果的な運用」を提案した上で、「② サイバーセキュリティ人材の育成に資する教育や演習・訓練の更なる充実」を以下のように説明しています...

社会人になってから会社が教育するのではなく、学問としてちゃんとサイバーセキュリティを位置付けて、国として（各大学の自主的な努力ではなく）学生を生み出せるようにしていくことが重要なような気がします。昔からそう言ってきています...

② サイバーセキュリティ人材の育成に資する教育や演習・訓練の更なる充実

我が国では、依然として専門知識や実践スキルを備えたサイバーセキュリティ人材の不足が指摘されている。一方、官民において資格制度や研修・演習、学び直しの機会提供等の取組は進展しており、この潮流を加速させ、「質」と「量」の両面で人材の確保・育成を加速させることが重要である。

初等中等教育段階から高等教育、職業訓練、社会人の能力開発、高度専門人材の育成に至るまで、体系的かつ継続的な学びの環境整備が求められる中、基礎的素養（情報リテラシー）から高度な専門性まで段階的に習得できる場の整備を図り、産学官が連携を強化して実践的スキルや最新知見の学習機会を確保する。

具体的には、「数理・データサイエンス・AI 教育プログラム認定制度」を通じた大学や高等専門学校におけるサイバーセキュリティを含む数理・データサイエンス・AI 教育の強化や、「セキュリティ・キャンプ」等の若年層を対象とした高度な技術教育プログラムの推進を図る。若手技術者には、最先端のセキュリティ技術・製品開発に関するカリキュラムを提供し、応用力や実務スキルの習得を支援する。重要インフラ事業者等に向けては、「CYDER」、「CYROP 46」及び「中核人材育成プログラム」等の対処能力向上に資する実践的な演習や演習基盤の提供、トレーニングの機会等を促進し、多様な学びの場を体系的に整備・拡充して、対象者が段階的に活用できる環境を整える。専門的なセキュリティスキルを有していない人材についても、組織内外のセキュリティの専門家と協働する上で必要な知識を習得したプラス・セキュリティ人材 47となれるような学習機会の充実化を図る。また、国家資格である情報処理安全確保支援士については、資格更新時の負担軽減を図りつつ、中小企業のセキュリティ対策支援を含め、活用促進に向けた取組を進めることにより人数の拡大を目指す。さらに、実践的な課題解決能力を養成し次世代人材の早期発掘や国際的な人的ネットワーク形成にも資する CTF（Capture The Flag）について、人材育成上の効果も踏まえ活用する。

このような多様な学びの取組が、人材フレームワークを介して有機的に連携することで、学びの機会が継続的に提供され、それらを通じて得た知識・技能がキャリア形成や活躍の場につながるよう、各種教育・訓練制度を俯瞰しながら、不断の改善を進める。

ちなみに、人材フレームワークは昔からいわれつつ一向にできていないので、そろそろできるのでしょうね。これは非常に重要です。JNSAのSekBok（2021年版）[wikipedia]がありますが、(これをベースにでもよいのですが、)SP800-181 r1、NICE Framework homepage (web) のような（あるいはコピーでもよいかも...）より詳細なものを正式に決める必要があるように思います...

で、大学の教育カリキュラムからリンクできる形になればなおいいですね...

ちなみに現行バージョンのこの図、改めて見るとポイントをよく図示できているように思います...

・2021.09.28 [PDF] サイバーセキュリティ戦略（閣議決定）

・2021.09.28 [PDF] サイバーセキュリティ戦略（閣議決定）の概要

あと、海外のサイバーセキュリティ

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

2025.11.04 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

国家サイバー統括室「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集

こんにちは、丸山満彦です。

国家サイバー統括室から「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集が行われていますね...

● 国家サイバー統括室

・2025.10.30 「サイバーインフラ事業者に求められる役割等に関するガイドライン（案）」に関する意見募集について

サイバーインフラ事業者というのをあらたに定義していますね...

サイバーインフラ事業者とは、サイバーセキュリティ基本法において、サイバー関連事業者（インターネットその他の高度情報通信ネットワ
ークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者）等の責務が規定されている事業者のうち、政府機
関等及び重要インフラ事業者を始め広く社会で活用される情報・通信システム、ソフトウェア製品及び ICT サービスを開発し提供する事
業者並びに当該情報・通信システム等のソフトウェアのライフサイクルとサプライチェーンに関わる事業者をいう

ちなみに、サイバーセキュリティ基本法におけるサイバー関連事業者の定義...

（サイバー関連事業者その他の事業者の責務）

第七条　サイバー関連事業者（インターネットその他の高度情報通信ネットワークの整備、情報通信技術の活用又はサイバーセキュリティに関する事業を行う者をいう。以下同じ。）その他の事業者は、基本理念にのっとり、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努めるものとする。

２　情報システム若しくはその一部を構成する電子計算機若しくはプログラム、情報通信ネットワーク又は電磁的記録媒体（以下この項において「情報システム等」という。）の供給者は、サイバーセキュリティに対する脅威により自らが供給した情報システム等に被害が生ずることを防ぐため、情報システム等の利用者がその安全性及び信頼性の確保のために講ずる措置に配慮した設計及び開発、適切な維持管理に必要な情報の継続的な提供その他の情報システム等の利用者がサイバーセキュリティの確保のために講ずる措置を支援する取組を行うよう努めるものとする。

で、このガイドライン（案）の策定目的は、次のようになっているようです...

サイバーインフラ事業者に求められる役割等について整理・解説することにより、これら事業者によるレジリエンスの向上、及びサイバーセキュリティの根本的確保を促進することを目的とするものである。

ということは、参考資料ということですかね...それ以上でもない...でも、遵守していないままに事故になったら、「どうして守らなかった？」と言われるのですかね... 裁判でも「政府がガイドラインをつくっているのになぜ守らなかった？」ということになるのでしょうかね...

もし、実質的に強制が働くとなると、ガイドラインの無秩序な乱立はさけたいですよね...例えば、NISTのCSFやJISQ27002等を参考に社内規定を作っている組織は確認が必要となりますよね...おそらく、新しいガイドライン（案）の個別要求の95％以上はできているように思うんですよね...でも、チェックする手間が増える...

最近、ガイドラインのようなものが増えるのを見ていると、

・政府（ときには有識者委員）の勉強？のためにつくっているのではないか？

という気がする場合もありますよね...

米国はCSFをベースに組織の戦略、リスク許容度、リソース等を踏まえて優先順位づけを行いプロファイルをつくるという方法を推奨していますがそういう考え方がよいのだろうと思います。日本は元になるものがないので乱立するのですかね...

このままでは日本のためによくないかもしれませんね...

それぞれのガイドラインはそれぞれ知恵を絞って良いものを作ろうとしているし、良いものができているのだろうと思います。しかし、良いもの故に乱立すると事業者側の負担が増える...

安全保障の問題やランサムウェアによる被害の拡大でサイバーセキュリティ業界が活況になっているのはよいのですが、歴史的な経緯も踏まえた連続的な政策をしていかないと、事業者に皺寄せがいく...そんな感じがします...

今回のガイドライン（案）でいえば、諸外国の関連ガイドライン等を参照しているので、その関連ガイドライン等とのマッピングはつけているのでそれはとても良いと思います。でも、標準的なJISQ 27002とのマッピングがあるとさらに良い思います。

サイバーセキュリティの司令塔として作ったはずの国家サイバー統括室ですので、ガイドライン等の統一感をつくる旗振りをもっとしていってよいと思います。司令塔なので目線を上げていきましょうね...

あっ、英語版も作成していて意見対象となっていますね。。。これは非常によいことだと思います。

参考の概要資料

・[PDF] 概要資料【日本語】【English 】

意見募集のガイドライン（案）

・[PDF] サイバーインフラ事業者に求められる役割等に関するガイドライン（案）【日本語】【English】

目次...

1. 総論
1.1. 背景と目的
1.2. ガイドライン（案）の位置付け
1.3. 適用対象
1.4. 役割分担の考え方
1.5. 代表的なユースケース例

2. サイバーインフラ事業者と顧客の責務と役割分担
2.1. 責務と役割分担の考え方
2.2. 責務

3. 責務を果たすための要求事項
3.1. 要求事項の全体像
3.2. 要求事項
（１）セキュアな設計・開発・供給・運用
（２）ライフサイクル管理、透明性の確保
（３）残続する脆弱性の速やかな対処
（４）人材・プロセス・技術の整備
（５）サイバーインフラ事業者・ステークホルダー間の関係強化
（６）顧客によるリスク管理とセキュアなソフトウェアの調達・運用

4. 要求事項の利活用
4.1. 要求事項の要求パッケージ化
4.2. 役割分担に応じた要求事項の適用に関する注意点

5. 参考情報
5.1. 要求事項チェックリスト
5.2. セキュリティインシデントと要求事項との対応関係例
5.3. システムライフサイクルにおける脅威と要求事項の対応関係
5.4. 要求事項に対する取組例
（１）セキュアな設計・開発・供給・運用
（２）ライフサイクル管理、透明性の確保
（３）残続する脆弱性の速やかな対処
（４）人材・プロセス・技術の整備
（５）サイバーインフラ事業者・ステークホルダー間の関係強化
（６）顧客によるリスク管理とセキュアなソフトウェアの調達・運用
5.5. 統一基準群と本ガイドライン（案）との関係
5.6. 重要インフラのサイバーセキュリティに係る安全基準等策定指針と本ガイドライン（案）との関係
5.7. サイバー対処能力強化法と本ガイドライン（案）との関係
5.8. 参照情報
（１）参照情報のリスト
（２）他の標準・ガイドライン等との関係
（３） NIST SP800-218 との対応関係
（４） NSA Software Supply Chain Guidance の 3 文書との対応関係
（５） CISA Secure-by-Design- Shifting the Balance of Cybersecurity Risk との対応関係 .
（６） EU Cyber Resilience Act. ANNEX I/II との対応関係
（７）その他の文書との対応関係
5.9. 用語

6. 本ガイドライン（案）の検討体制

2025.11.04 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in IoT, in 安全保障 | Permalink | Comments (0)
Tweet

2025.11.03

欧州議会 AI法とEUデジタル立法フレームワークの相互作用 (2025.10.30)

こんにちは、丸山満彦です。

EUのAI法はAIが普及する過程で、あらかじめ起こりそな課題を予防すべく制定されたようなところがあり、EUにおけるAIの開発や普及を阻害しているのではないかという批判的な意見もある中で、他のデジタル法制との関係も複雑となっていて、これをどうもときほぐす必要がありそうということで、現在取り組んでいるようですが、今回の欧州議会のシンクタンクからの研究報告もその一環という感じですかね...

この報告書は、AI法とGDPR、データ法、データがバンス法、デジタルサービス法、デジタルマーケット法、サイバーセキュリティ法、サイバーレジリエンス法、NIS2等との重複、欠落、不整合に関する調査をおこなっているものです...

GDPRとDSAのガイドライン、DMAとのガイドライン案がEDPBから公開されていますが、EUのデジタル法制は複雑になりすぎですかね...

● European Parliament - Think Tank

・2025.10.30 Interplay between the AI Act and the EU digital legislative framework

Interplay between the AI Act and the EU digital legislative framework

AI法とEUデジタル立法フレームワークの相互作用

This study explores how the AI Act relates to various other crucial pieces of EU digital legislation, such as the GDPR, the Data Act and the Cyber Resilience Act. It assesses overlaps and gaps between these acts, and shows that, while each of them is individually well targeted, their interplay creates significant regulatory complexity. Finally, it also provides reflections and suggestions for possible evolutions of the AI Act, and of EU digital legislation as a whole, keeping in mind the objective of ensuring that Europe can establish a competitive AI industry. This study was prepared at the request of the ITRE Committee.

本調査は、AI法がGDPR、データ法、サイバーレジリエンス法など、EUの他の重要なデジタル立法とどのように関連しているかを検証する。これらの法律間の重複と空白を評価し、それぞれが個別には的確に標的を定めているものの、相互作用によって規制の複雑さが生じていることを示す。最後に、欧州が競争力のあるAI産業を確立できることを確保するという目的を踏まえ、AI法およびEUデジタル立法全体の発展可能性に関する考察と提言も提供する。本調査はITRE委員会の要請により作成された。

・[PDF] Interplay between the AI Act and the EU digital legislative framework

・[DOCX][PDF] 仮訳

目次...

Abstract	要約
LIST OF ABBREVIATIONS	略語一覧
LIST OF FIGURES	図一覧
LIST OF TABLES	表一覧
EXECUTIVE SUMMARY	エグゼクティブサマリー
1. INTRODUCTION TO THIS STUDY	1. 本研究の概要
1.1. Background	1.1. 背景
1.2. Scope and objectives of this study	1.2. 本研究の範囲と目的
1.3. Methodology and structure of the study	1.3. 研究の方法論と構成
2. A DEEPER LOOK AT THE AI ACT	2. AI法のより深い考察
2.1. Intervention logic of the AI Act – what problem does it set out to resolve?	2.1. AI法の介入論理 – 解決しようとする問題とは？
2.2. Objectives of the AI Act – what does it set out to achieve?	2.2. AI法の目的 – 何を達成しようとするのか？
2.3. Regulatory philosophy of the AI Act – how does it aim to intervene?	2.3. AI法の規制哲学 – どのように介入を目指すのか？
2.4. Global Context and the EU position	2.4. グローバルな文脈とEUの立場
2.5. Summary of the key challenges in the interpretation and application of the AI Act	2.5. AI法の解釈と適用における主要課題の要約
3. THE AI ACT’S INTERPLAY WITH OTHER DIGITAL LEGISLATION	3. AI法と他のデジタル立法の相互作用
3.1. Introduction – a bird’s eye overview of the principal relevant EU digital legislation in the scope of this study	3.1. 序論 ― 本研究の対象となる主要なEUデジタル関連法規の概観
3.2. Analysis of EU digital legislation and the interplay with the AI Act	3.2. EUデジタル立法とAI法の相互作用に関する分析
4. EU LEVEL GOVERNANCE – THE ROLE OF THE AI OFFICE	4. EUレベルでのガバナンス – AI事務局の役割
4.1. Introduction – the AI Office in the AI Act	4.1. 序論 – AI法におけるAI事務局
4.2. Principal role and responsibilities	4.2. 主な役割と責任
4.3. Risks and opportunities for the AI Office	4.3. AI事務局にとってのリスクと機会
5. REFLECTIONS ON FUTURE AI LEGISLATION IN THE EU	5. EUにおける将来のAI立法に関する考察
5.1. Prior considerations on the role and the impact of the AI Act – what is the place of the AI Act in the EU digital legislative landscape?	5.1. AI法の役割と影響に関する事前考察 – EUのデジタル立法環境におけるAI法の位置付けは何か？
5.2. A high-level reflection on the AI Act in the current digital legislative landscape: what are the central recurring problems?	5.2. 現行デジタル立法環境におけるAI法の俯瞰的考察：中心的な反復的問題とは何か？
5.3. A thinking exercise on a future digital legislative landscape – how should ideal EU digital legislation be composed?	5.3. 将来のデジタル立法環境に関する思考実験 - 理想的なEUデジタル立法をどのように構成すべきか？
5.4. Relevance of these reflections to the recommendations in this study	5.4. 本研究の提言に対するこれらの考察の関連性
5.5. Specific recommendations on the basis of this study	5.5. 本研究に基づく具体的な提言
REFERENCES	参考文献
ANNEX - OVERVIEW OF THE AI ACT INTERPLAY WITH EU DIGITAL LEGISLATIONS	附属書 - EUデジタル法規制とAI法の相互関係概要

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
Background	背景
The Artificial Intelligence Act (AI Act), adopted by the European Union in June 2024, marks a pivotal milestone in global technology governance. As the first comprehensive regulatory framework for artificial intelligence, it sits at the heart of the EU’s digital legislative corpus, which has in recent years expanded to include instruments such as the General Data Protection Regulation (GDPR), the Data Act, the Digital Services Act (DSA), the Digital Markets Act (DMA), the Cyber Resilience Act (CRA), and others. While each instrument pursues legitimate and targeted policy aims, questions are increasingly being raised about their combined impact on the competitiveness, coherence, and innovation capacity of the European AI ecosystem.	欧州連合が2024年6月に採択した人工知能法（AI法）は、世界の技術ガバナンスにおける重要な節目となる。人工知能に関する初の包括的な規制フレームワークとして、EUのデジタル立法体系の中核を成す。この体系は近年、一般データ保護規則（GDPR）、データ法、デジタルサービス法（DSA）、デジタル市場法（DMA）、サイバーレジリエンス法（CRA）などの規制手段を包含するように拡大してきた。各規制は正当かつ特定の政策目標を追求しているが、欧州のAIエコシステムの競争力、整合性、革新能力に対する総合的な影響について疑問がますます提起されている。
Aim	目的
This report, commissioned by the European Parliament’s Committee on Industry, Research and Energy (ITRE), explores the interplay between the AI Act and these surrounding legislative instruments. The study assesses whether the EU’s digital legal framework operates as a coherent system or whether it instead introduces overlapping obligations, inconsistencies, or undue burdens that could fragment the internal market and undermine the development of a globally competitive European AI industry. In doing so, it offers short-, medium-, and long-term reflections aimed at reducing regulatory friction while maintaining the EU’s commitment to rights, trust, and safety.	欧州議会産業・研究・エネルギー委員会（ITRE）の委託を受けた本報告書は、AI法とこれら周辺立法措置の相互作用を検証する。本調査は、EUのデジタル法制度が整合性のあるシステムとして機能しているか、あるいは重複する義務、不整合、過度な負担をもたらし、域内市場の分断や世界的に競争力のある欧州AI産業の発展を阻害する可能性があるかを評価する。これにより、EUの権利、信頼、安全へのコミットメントを維持しつつ、規制上の摩擦を軽減するための短期的、中期的、長期的な提言を行う。
Key Findings	主な調査結果
The Regulatory Logic and Structural Challenges of the AI Act	AI法の規制論理と構造的課題
The AI Act is built upon a risk-based logic. It bans certain AI practices, imposes stringent duties on highrisk AI systems, requires transparency for specified use cases, and sets standalone obligations for general-purpose AI models (including those with systemic risk). The regulation draws substantially from the EU’s product safety legislation model (under the New Legislative Framework), while layering on novel requirements related to fundamental rights impact assessments, traceability, and oversight.	AI法はリスクベースの論理に基づいて構築されている。特定のAI実践を禁止し、高リスクAIシステムに厳格な義務を課し、特定の利用事例に対して透明性を要求し、汎用AIモデル（システミックリスクを有するものを含む）に対して独立した義務を設定する。この規制はEUの製品安全法規制モデル（新立法フレームワーク下）を大幅に踏襲しつつ、基本権影響評価、トレーサビリティ、監督に関する新たな要件を重ねている。
Yet, several tensions are evident. Firstly, the Act stretches traditional product safety logic into less determinate domains such as human rights compliance, which may prove difficult to assess using conventional conformity mechanisms. Secondly, the regulation’s applicability to both AI system providers and deployers imposes complex chains of responsibility that may be difficult to navigate, particularly for SMEs or non-specialist users. Thirdly, the definition and classification of high-risk systems rely on Annex-based lists and subjective assessments of harm potential, thereby introducing legal ambiguity. Finally, while the Act purports to promote innovation (through regulatory sandboxes, open-source exemptions, and lighter regimes for non-systemic GPAIs), the overall framework still largely centres on mitigating harms, often through prescriptive obligations.	しかし、いくつかの不整合が明らかである。第一に、同法は従来の製品安全論理を人権遵守といった不確定な領域にまで拡大しており、従来の適合性評価メカニズムでは評価が困難となる可能性がある。第二に、AIシステム提供者と導入者の双方に適用されるため、複雑な責任の連鎖が生じ、特に中小企業や非専門ユーザーにとっては対応が困難となる恐れがある。第三に、高リスクシステムの定義と分類は附属書に基づくリストと危害可能性の主観的評価に依存しており、これにより法的曖昧性が生じている。最後に、同法は（規制サンドボックス、オープンソースの免除、非体系的GPAIに対する緩和された規制を通じて）イノベーションの促進を標榜しているものの、全体的なフレームワークは依然として、しばしば規範的義務を通じて危害の軽減に重点を置いている。
Interactions with Other EU Digital Legislation	他のEUデジタル法規制との相互関係
The AI Act does not operate in isolation. Its obligations frequently overlap with those in adjacent regulatory instruments. The report identifies a number of frictions and challenges in this interplay:	AI法は単独で機能するものではない。その義務は隣接する規制手段の義務と頻繁に重複する。本報告書は、この相互作用における数多くの摩擦と課題を特定している：
GDPR: The AI Act introduces requirements for fundamental rights impact assessments (FRIAs) in cases that often also trigger data protection impact assessments (DPIAs) under the GDPR. These instruments differ in scope, supervision, and procedural requirements, creating duplication and uncertainty. Transparency and logging obligations are also redundant across both regimes. Moreover, there is ambiguity over how controllers and providers should manage rights of access, rectification, and erasure when personal data becomes embedded in complex AI models;	GDPR：AI法は基本権影響評価（FRIA）の要件を導入しているが、これはGDPRに基づくデータ保護影響評価（DPIA）も同時に発動されるケースが多い。両制度は適用範囲、監督機関、手続き要件が異なり、重複と不確実性を生んでいる。透明性確保と記録義務も両制度で重複している。さらに、個人データが複雑なAIモデルに組み込まれた場合、管理者や提供者がアクセス権、訂正権、消去権をどう管理すべきかについて不明確な点がある。
Data Act: While the AI Act governs the design and deployment of AI systems, the Data Act ensures access to and portability of data generated by connected products and services. AI providers may be data holders under the Data Act and simultaneously subject to obligations under the AI Act. The cumulative compliance load is significant, especially in real-world testing or in contexts involving third-country data transfers;	データ法：AI法がAIシステムの設計・導入を規制する一方、データ法は接続製品・サービスが生成するデータへのアクセスとポータビリティを保証する。AI提供者はデータ法上のデータ保有者となり得ると同時に、AI法上の義務も課される。特に実環境テストや第三国データ移転を伴う状況では、累積的なコンプライアンス負担が重大である。
Cybersecurity and the CRA: High-risk AI systems must meet certain cybersecurity standards. These may overlap with those imposed by the Cyber Resilience Act, which introduces mandatory cybersecurity requirements for all digital products. While the CRA provides for presumptions of AI Act compliance where its requirements are met, the partial alignment between the two frameworks leaves room for interpretative uncertainty;	サイバーセキュリティとCRA：高リスクAIシステムは特定のサイバーセキュリティ標準を満たす必要がある。これらは全てのデジタル製品に義務的なサイバーセキュリティ要件を導入するサイバーレジリエンス法（CRA）の標準と重複する可能性がある。CRAはAI法の要件を満たす場合にその準拠を推定する規定を設けているが、両フレームワークの部分的な整合性は解釈上の不確実性を残す。
DSA and DMA: Intermediary services (such as online platforms and search engines) that deploy or provide AI systems and models, e.g., in recommender systems or moderation tools, face increased transparency obligations that may overlap. Very large online platforms and search engines may face simultaneous risk-assessment obligations under the AI Act and the DSA, especially where generalpurpose AI models are provided through the intermediary service. There is also a possibility of overlapping obligations related to AI-generated or manipulated content, both legal and illegal. The AI Act and DSA interplay may also impact intermediary liability and researchers’ access to data. The DMA’s provisions on data access, interoperability, and anti-self-preferencing could be relevant to AI APIs or foundation models offered by gatekeepers. However, AI systems are not yet designated as core platform services under the DMA, limiting the scope of these interactions in practice;	DSAとDMA：AIシステムやモデル（例：レコメンデーションシステムやモデレーションツール）を展開・提供する仲介サービス（オンラインプラットフォームや検索エンジンなど）は、重複する可能性のある透明性義務の強化に直面する。特に汎用AIモデルを仲介サービスを通じて提供する超大規模オンラインプラットフォームや検索エンジンは、AI法とDSAの両方に基づくリスク評価義務を同時に負う可能性がある。また、合法・違法を問わず、AI生成または操作されたコンテンツに関連する義務が重複する可能性もある。AI法とDSAの相互作用は、仲介者の責任や研究者のデータアクセスにも影響を及ぼす可能性がある。DMAのデータアクセス、相互運用性、自己優先禁止に関する規定は、ゲートキーパーが提供するAI APIや基盤モデルに関連し得る。ただし、AIシステムは現時点でDMAのコアプラットフォームサービスに指定されていないため、実務上これらの相互作用の範囲は限定される。
NIS2 Directive: Essential and important entities under NIS2 that develop or deploy AI systems must comply with both cybersecurity requirements and AI-specific risk management frameworks. The overlap is especially pronounced in incident reporting obligations and the governance of supply chain risks.	NIS2指令：NIS2に基づく重要・重要事業体でAIシステムを開発・導入する事業者は、サイバーセキュリティ要件とAI特化型リスク管理フレームワークの両方に準拠しなければならない。特にインシデント報告義務とサプライチェーンリスクのガバナンスにおいて重複が顕著である。
Governance and Institutional Complexity	ガバナンスと制度的複雑性
The AI Act introduces a novel governance architecture centred around the European AI Office (AIO). While the AIO is mandated to supervise GPAIs, support regulatory sandboxes, and coordinate enforcement, its role overlaps with that of existing regulators such as data protection authorities, market surveillance bodies, and the European Data Protection Board.	AI法は欧州AI事務局（AIO）を中心とする新たなガバナンス構造を導入する。AIOは汎用AI（GPAI）の監督、規制サンドボックスの支援、執行調整を任務とするが、その役割はデータ保護当局、市場監視機関、欧州データ保護委員会といった既存規制機関の役割と重複する。
The risk of regulatory fragmentation is non-trivial, particularly in areas where concurrent competences exist without robust coordination mechanisms. Moreover, the AIO’s institutional position within the Commission raises concerns about its operational independence and capacity to fulfil its remit without a dedicated legal personality or ring-fenced resources.	規制の断片化リスクは無視できない。特に、強力な調整メカニズムなしに並行する権限が存在する分野では顕著だ。さらに、AIOが欧州委員会内に位置する制度的立場は、専用の法人格や隔離された資源なしに、その業務上の独立性と任務遂行能力について懸念を生じさせる。
Broader Strategic Considerations	より広範な戦略的考察
The cumulative effect of the EU’s digital legislation, although rooted in legitimate policy goals, risks burdening European AI innovators disproportionately. This is particularly concerning given the relative underperformance of the EU in AI investment and innovation metrics. While the AI Act sets out a vision for human-centric, trustworthy AI, its intersection with other digital laws is not always calibrated for agility, scalability, or global competitiveness.	EUのデジタル関連法規の累積的効果は、正当な政策目標に基づくものの、欧州のAIイノベーターに不均衡な負担を強いるリスクがある。これは、AI投資やイノベーション指標においてEUが相対的に遅れを取っている現状を踏まえると特に懸念される。AI法は人間中心で信頼できるAIのビジョンを掲げるが、他のデジタル法規との交錯は、俊敏性、拡張性、あるいは国際競争力に必ずしも配慮されていない。
The report notes that many of the obligations arising from this regulatory ensemble can be reasonably justified in isolation. However, their simultaneous application to the same actors and use cases often produces duplicative, inconsistent or unclear requirements that deter uptake, delay time to market, and introduce compliance asymmetries across Member States. These burdens may affect domestic SMEs and start-ups more acutely than multinational firms, many of which are headquartered outside the Union and better equipped to absorb compliance costs.	本報告書は、この規制体系から生じる多くの義務は個別に合理的に正当化できると指摘する。しかし、同一の主体やユースケースに対して同時に適用されることで、重複した、不整合した、あるいは不明確な要件が生じ、導入を阻害し、市場投入までの時間を遅らせ、加盟国間でコンプライアンスの不均衡をもたらすことが多い。こうした負担は、多国籍企業（その多くはEU域外に本社を置き、コンプライアンスコストを吸収する能力が高い）よりも、国内の中小企業やスタートアップに深刻な影響を与える可能性がある。
Recommendations	提言
In light of the identified frictions, the study advances several reflections for future legislative and policy development:	特定された摩擦を踏まえ、本調査は将来の立法・政策策定に向けた以下の考察を提示する：
Short-term: Encourage joint guidance and coordinated enforcement practices among supervisory bodies. Promote mutual recognition of assessments (e.g. DPIAs and FRIAs) and harmonised sandbox procedures across Member States;	短期：監督機関間の共同ガイダンスと協調的な執行慣行を促進する。加盟国間で評価（例：DPIAやFRIA）の相互承認と調和されたサンドボックス手続きを推進する。
Medium-term: Consider light-touch legislative amendments to clarify role definitions, streamline overlapping obligations (particularly in fundamental rights and cybersecurity domains), and enhance the executability of rights in AI contexts;	中期：役割定義の明確化、重複する義務（特に基本権とサイバーセキュリティ分野）の合理化、AI環境における権利の行使可能性向上を目的とした、軽微な立法改正を検討すること。
Long-term: Re-examine the EU’s digital regulatory architecture with a view to consolidation, simplification, and strategic coherence. Foster an integrated approach that enables agile compliance for innovators without compromising the Union’s fundamental rights and safety values.	長期的：EUのデジタル規制構造を統合・簡素化・戦略的整合性の観点から再検討する。連合の基本的権利と安全保障の価値を損なうことなく、革新者による機敏なコンプライアンスを可能とする統合的アプローチを促進する。
By refining the interplay between digital legislative instruments, the EU can ensure that its regulatory model not only safeguards its constitutional values but also enables the emergence of a globally competitive and sovereign AI industry.	デジタル立法手段間の相互作用を洗練させることで、EUは自らの規制モデルが憲法上の価値を保護するだけでなく、世界的に競争力のある主権的なAI産業の出現を可能にすることを保証できる。

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.10.14 欧州委員会 EDPB DMAとGPDRの相互作用に関する共同ガイドライン案

・2025.09.16 EDPB DSAとGDPRの相互関係に関するガイドライン (2025.09.12)

2025.11.03 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

英国データ保護局南ウェールズ警察に対する個人情報開示請求の処理における深刻な遅延について是正勧告 (2025.10.09)

こんにちは、丸山満彦です。

英国のデータ保護局が南ウェールズ警察 (SWP) に対する個人情報開示請求 (SAR) の処理における深刻な遅延について是正勧告を出していますね...

日本の個人情報保護委員会も行政機関等（会計検査院を除く）の監視が法律で定められていて、指導及び助言（157条）、勧告（158条）をすることができますよね...

● Information Commissioner’s Office

・2025.10.28 Crack down on police data delays

Crack down on police data delays	警察のデータ遅延を厳しく取り締まる
We have issued an enforcement notice to South Wales Police (SWP) over serious delays in handling subject access requests (SARs).	我々は、個人情報開示請求（SAR）の処理における深刻な遅延について、サウスウェールズ警察（SWP）に執行通知を発出した。
An investigation revealed that between April 2023 - March 2024, SWP only responded to 29% of SARs within the statutory timeframe. We also found that as of August 2025, the force had 352 overdue SARs, with one dating back nearly two years. The ICO has ordered SWP to clear this backlog by June 2026.	調査によれば、2023年4月から2024年3月までの期間において、SWPが法定期間内に対応したSARはわずか29%であった。さらに2025年8月時点で、同警察には352件の未処理SARが存在し、うち1件は約2年前にさかのぼることも判明した。ICOはSWPに対し、2026年6月までにこの未処理案件を解消するよう命じた。
Head of Investigations, Sally Anne Poole, said:	調査責任者サリー・アン・プールは次のように述べた：
“Subject access requests are a cornerstone of data protection law. People have the right to know what information is held about them and how it is used.	「データ保護法において、情報開示請求は基盤となる権利だ。個人は自身に関する情報がどのように保持・利用されているかを知る権利を有する。
“SWP is the largest police force in Wales, providing a policing service to 1.3 million people - all of whom deserve better when it comes to respecting their data rights. Taking action against those who fall short of the law sends a clear message: public bodies must uphold these rights, with delays of this scale being simply unacceptable."	「SWPはウェールズ最大の警察組織であり、130万人に警察サービスを提供しているプロバイダ。データ権利の尊重において、これら全ての人々はより良い対応を受けるに値する。法に満たない者に対して措置を取ることは明確なメッセージとなる：公共団体はこれらの権利を擁護しなければならず、この規模の遅延は到底許容できない」

・2025.10.09 South Wales Police

South Wales Police	サウスウェールズ警察
We issued an enforcement notice to South Wales Police (SWP) over serious delays in handling subject access requests (SARs). Our investigation revealed that between April 2023 - March 2024, SWP only responded to 29% of SARs within the statutory timeframe. We also found that as of August 2025, the force had 352 overdue SARs, with one dating back nearly two years. We ordered SWP to clear this backlog by June 2026.	当機関は、個人情報開示請求（SAR）の処理における深刻な遅延について、サウスウェールズ警察（SWP）に是正勧告を発出した。調査の結果、2023年4月から2024年3月までの期間において、SWPが法定期間内にSARに対応したのはわずか29％であった。また、2025年8月時点で、同警察には352件の未処理SARが存在し、うち1件は約2年前にさかのぼることも判明した。我々はSWPに対し、2026年6月までにこの未処理案件を解消するよう命じた。
South Wales Police Enforcement Notice	サウスウェールズ警察執行通知

・[PDF]

・[DOCX][PDF] 仮訳

個人情報アクセスリクエスト（SAR）（開示請求）のウェブページ

・Subject Access Requests (SAR)

個人向けの説明ウェブページ

・Helping you find our subject access request (SAR) resources

2025.11.03 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2025.11.02

欧州理事会 EUの出入国管理システムの更新 (2025.10.10)

こんにちは、丸山満彦です。

欧州理事会と欧州連合理事会が、EUの出入国管理システムが更新され、デジタル化されたために手続きが簡易となりつつも、セキュリティが強化されていると発表していますね...

新しい運用は2025.10.12からですから、すでに開始されています（まだごく一部のようですが）。すでに新しい運用で欧州を回っている人もいるかもしれませんね...

欧州理事会にわかりやすいウェブがあったので紹介...

● European Council

・2025.10.10 How the entry/exit system works

概要...

概要: シェンゲン域外国境を通過する非EU市民の入出国をデジタルで記録し、従来のパスポート押印に替えて生体照合で本人確認と滞在管理を行う（押印は廃止）
対象者: シェンゲン域外国境を越える全ての非EU国籍者（短期滞在者、最大90日／180日ルールの対象）が対象
適用範囲: 空港・港・陸上の外部国境で運用され、EU加盟国（キプロスとアイルランドの特殊取扱いを含む）およびノルウェー、スイス、アイスランド、リヒテンシュタイン等のシェンゲン協定参加国に適用
収集される情報: 旅券に記載された渡航文書情報、入出国の日時と場所、顔画像と指紋などの生体データ、入国拒否や審査結果に関する記録を電子的に保存（12歳未満の子供の指紋の採取は免除）
登録と照合の流れ: 初回入国時に個人情報と生体情報（顔写真・指紋）を収集してEESに登録し、以降は登録済み渡航者の照合のみで通過可能。
セルフサービス端末: 生体認証対応の渡航文書を保有する渡航者は、セルフサービス端末を利用して速やかに通過できる
運用スケジュールと移行措置: 段階的導入を経て、各参加国で最低1地点が稼働する段階から始まり、最終的な完全運用時には従来の手動押印は終了する想定で移行期間中は押印との併用
期待される効果: 国境通過の効率化と待ち時間短縮、滞在超過者（オーバーステイ）の早期検出、身元詐称の防止（生体照合）、その他EUの情報システムとの連携を通じた域内の安全・治安強化
利用者向け情報: EESは渡航予定の短期訪問者に対して入出国記録に基づく滞在残日数の管理や、入国手続きの要件について事前に案内を行うことを想定

詳細はこちらのウェブページから...

● European Union

・Entry/Exit System (EES)

2025.11.02 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

2025.11.01

サイバー脅威インテリジェンス成熟度モデル (CTI-CMM) 第1.2版 (2025.04.22)

こんにちは、丸山満彦です。

サイバー脅威インテリジェンス成熟度モデルがCTI-CMMという団体から公表されています。

組織を保護するための意思決定を担う人々に有益なサイバー脅威インテリジェンスを適時に提供できるようにするためのものという感じですかね...

米国連邦政府のエネルギー省のサイバーセキュリティ成熟度モデル (Cybersecurity Capability Maturity Model (C2M2)) をベースにし、SP800-53に準拠しているようです...

インテリジェンス全般に言えるかもしれませんが、生成AIとインテリジェンスについてです...

生成AIの登場で、情報収集とある程度の分析が誰にでも簡単にできるようになりましたね...そこでもはやインテリジェンス活動は生成AIで十分ではないか？もはやインテリジェンス部門は不要なのではないか？という意見もでてくると思うのですが、おそらく懸命な皆様はご存知の通り、インテリジェンス部門はより重要となるように思います。

もちろん、いままでの情報収集と簡単な分析というのは、ウェブで学習した生成的AIで一次解答は得られるようになります。ただ、その情報を本当に意思決定に使えるのか？という点についてより本質的な分析が必要になるように思います。

なので、インテリジェンス部門は生成的AIを使いこなしつつも、普段からWeb以外からも積極的に情報を収集し、かつ必要な人脈も構築し、意思決定に資するインテリジェンスを適時に提供できる体制と運用を構築しておく必要があるのだろうと思います。

高市首相が、日本国政府に国家情報局を構築するという発言をしました。米国のNSAに似た組織を想定しているのかもしれません。意思決定者が本当に信頼できるそういうインテリジェンスを提供できる組織というのが、これからはどのような組織にも必要になるのだろうと思います。

● CTI-CMM

・[PDF] CTI-CMM Ver. 1.2

目次...

1. Introduction	1. 序論
1.1. Why Another Model	1.1. なぜ新たなモデルが必要か
1.2. Model Vision and Roadmap	1.2. モデルのビジョンとロードマップ
1.3. Intended Audience	1.3. 対象読者
1.4. Document Organization	1.4. 文書の構成
2. Background	2. 背景
2.1. Maturity Models	2.1. 成熟度モデル
2.2. Model Development Approach	2.2. モデル開発アプローチ
3. Cyber Threat Intelligence Core Concepts	3. サイバー脅威インテリジェンスの核心概念
3.1. Cyber Threat Intelligence	3.1. サイバー脅威インテリジェンス
3.2. CTI Stakeholders	3.2. CTIのステークホルダー
3.3. Strategic, Operational, and Tactical	3.3. 戦略的、運用的、戦術的
3.4. CTI Program Foundations	3.4. CTIプログラムの基盤
3.5. Feedback	3.5. フィードバック
4. How the Model is Organized	4. モデルの構成
4.1. Domains	4.1. ドメイン
4.2. Structure	4.2. 構造
4.3. Maturity Levels	4.3. 成熟度レベル
5. How to Use This Model	5. 本モデルの活用方法
5.1. Step 0: Prepare	5.1. ステップ0：準備
5.2. Step 1: Assess	5.2. ステップ1：アセスメント
5.3. Step 2: Plan	5.3. ステップ2：計画
5.4. Step 3: Deploy	5.4. ステップ3：展開
5.5. Step 4: Measure	5.5. ステップ4：測定
6. CTI Maturity Indicators by Domain	6. ドメイン別CTI成熟度指標
6.1. Asset, Change, and Configuration Management (ASSET)	6.1. 資産・変更・構成管理（ASSET）
6.2. Threat and Vulnerability Management (THREAT)	6.2. 脅威・脆弱性管理（THREAT）
6.3. Risk Management (RISK)	6.3. リスクマネジメント（RISK）
6.4. Identity and Access Management (ACCESS)	6.4. 識別・アクセス管理（ACCESS）
6.5. Situational Awareness (SITUATION)	6.5. 状況認識（SITUATION）
6.6. Event and Incident Response, Continuity of Operations (RESPONSE).	6.6. イベント・インシデント対応、業務継続性（RESPONSE）
6.7. Third-Party Risk Management (THIRD-PARTIES)	6.7. サードパーティリスク管理（THIRD-PARTIES）
6.8. Fraud and Abuse Management (FRAUD)	6.8. 不正・濫用管理（FRAUD）
6.9. Workforce Management (WORKFORCE)	6.9. 労働力管理（WORKFORCE）
6.10. Cybersecurity Architecture (ARCHITECTURE)	6.10. サイバーセキュリティアーキテクチャ（ARCHITECTURE）
6.11. Cybersecurity Program Management (PROGRAM)	6.11. サイバーセキュリティプログラム管理（PROGRAM）
Appendices	附属書
A. Stakeholder Overview	A. ステークホルダー概要
B. Strategic, Operational, and Tactical Overview	B. 戦略的、運用的、戦術的概要
C. NEW CTI Metrics and Measurements	C. 新しいCTI指標と測定
D. NEW CTI Data Source Library	D. 新しいCTIデータソースライブラリ
E. NEW CTI Data Source Matrix	E. 新しいCTIデータソースマトリックス
F. Glossary of Key Terms	F. 重要用語集
Changelog	変更履歴
Acknowledgements	謝辞

11ドメイン...

CTI-CMM Domains	CTI-CMM ドメイン
The CTI-CMM is organized into 11 domains, representing organizational cyber security functions. Within each domain, we identify the function it serves ("Domain Purpose") then how CTI can provide support to this stakeholder ("CTI Mission").	CTI-CMMは11のドメインで構成され、組織のサイバーセキュリティ機能を表現する。各ドメインでは、その機能が担う役割（「ドメインの目的」）を識別し、CTIが当該ステークホルダーにどのように支援を提供できるか（「CTIの使命」）を明示する。
Asset, Change, and Configuration Management (ASSET)	資産・変更・構成管理（ASSET）
Domain Purpose: Manage the organization’s information technology (IT) and operational technology (OT) assets, including hardware, software, and information assets, commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：重要インフラと組織目標に対するリスクに見合った形で、ハードウェア、ソフトウェア、情報資産を含む組織の情報技術（IT）および運用技術（OT）資産を管理する。
CTI Mission: Monitor the organization’s attack surface to rapidly detect at-risk assets and reduce exposures based on the current and anticipated threat landscape.	CTIミッション：組織の攻撃対象領域を監視し、現在の脅威状況と予測される脅威に基づいて、リスクのある資産を迅速に検知し、エクスポージャーを減らす。
Threat and Vulnerability Management (THREAT)	脅威と脆弱性管理（THREAT）
Domain Purpose: Establish and maintain plans, procedures, and technologies to detect, identify, analyze, manage, and respond to cybersecurity threats and vulnerabilities commensurate with the risk to the organization’s infrastructure (such as critical, IT, and operational) and organizational objectives.	ドメイン目標：組織のインフラ（重要インフラ、IT、運用インフラなど）及び組織目標に対するリスクに見合ったサイバーセキュリティ脅威と脆弱性を検知、識別、分析、管理、対応するための計画、手順、技術を確立し維持する。
CTI Mission: Maintain comprehensive and contemporary knowledge of the relevant evolving threat landscape to reduce the organization’s risk against new and emerging adversaries, malware, vulnerabilities, and exploits.	CTIミッション：新たな脅威や新興の敵対者、マルウェア、脆弱性、エクスプロイトに対する組織のリスクを低減するため、関連する進化する脅威環境に関する包括的かつ最新の知識を維持する。
Risk Management (RISK)	リスクマネジメント（RISK）
Domain Purpose: Establish, operate, and maintain an enterprise cyber risk management program to identify, analyze, and respond to cyber risk the organization is subject to, including its business units, subsidiaries, related interconnected infrastructure, and stakeholders.	ドメイン目標：組織が直面するサイバーリスク（事業部門、子会社、関連する相互接続インフラ、利害関係者を含む）を識別、分析、対応するためのエンタープライズサイバーリスク管理プログラムを確立、運用、維持する。
CTI Mission: Align CTI with the organization’s risk management strategies to inform and prioritize risk reduction efforts. Improve risk decisions, assessments, and controls by identifying relevant threats and estimating likelihood and potential impact.	CTIミッション：CTIを組織のリスクマネジメント戦略と整合させ、リスク低減活動の優先順位付けと情報提供を行う。関連する脅威を識別し、発生確率と潜在的な影響を推定することで、リスクに関する意思決定、アセスメント、および統制を改善する。
Identity and Access Management (ACCESS)	アイデンティティおよびアクセス管理（ACCESS）
Domain Purpose: Create and manage identities for entities that may be granted logical or physical access to the organization’s assets. Control access to the organization’s assets commensurate with the risk to critical infrastructure and organizational objectives.	ドメインの目標：組織の資産への論理的または物理的アクセスを許可される可能性のある事業体のアイデンティティを作成し管理する。重要インフラおよび組織目標に対するリスクに見合った形で、組織の資産へのアクセスを統制する。
CTI Mission: Proactively inform identity and access management (IAM) strategies, reduce incident detection times, accelerate remediation, and enable continuous improvements to safeguard critical assets and build resilience against identity-related threats.	CTIミッション：アイデンティティとアクセス管理（IAM）戦略を積極的に情報提供し、インシデントの検知時間を短縮し、修復を加速し、継続的な改善を可能にして、重要資産を保護し、アイデンティティ関連の脅威に対するレジリエンスを構築する。
Situational Awareness (SITUATION)	状況認識（SITUATION）
Domain Purpose: Establish and maintain activities and technologies to collect, monitor, analyze, alarm, report, and use operational, security, and threat information, including status and summary information from the other model domains, to establish situational awareness for both the organization’s operational state and cybersecurity state.	ドメイン目標：組織の運用状態とサイバーセキュリティ状態の両方に対する状況認識を確立するため、他のモデルドメインからの状態および要約情報を含む、運用、セキュリティ、脅威情報の収集、監視、分析、警報、報告、利用を行う活動と技術を確立し維持する。
CTI Mission: Drive threat-informed decision-making for all stakeholders based on the current and forecasted threat landscape relative to the organization. Reduce uncertainty and increase predictability of the threat environment to create a commensurate state of security readiness.	CTIミッション：組織に関連する現在および予測される脅威状況に基づき、全ての関係者に対する脅威情報を踏まえた意思決定を推進する。脅威環境の不確実性を低減し予測可能性を高め、それに見合ったセキュリティ準備態勢を構築する。
Event and Incident Response, Continuity of Operations (RESPONSE)	イベント・インシデント対応、業務継続性（RESPONSE）
Domain Purpose: Establish and maintain plans, procedures, and technologies to detect, analyze, mitigate, respond to, and recover from cybersecurity events and incidents and to sustain operations during cybersecurity incidents commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：重要インフラと組織目標へのリスクに見合ったサイバーセキュリティイベント・インシデントの検知、分析、緩和、対応、復旧、ならびにインシデント発生時の業務維持のための計画、手順、技術を確立・維持する。
CTI Mission: Capture, correlate, prioritize, and enrich intrusion activity in the enterprise environment to create an advantage for incident responders and strengthen the organization’s overall security posture.	CTIミッション：エンタープライズ環境における侵入活動を収集、相関分析、優先順位付け、強化し、インシデント対応者の優位性を創出し、組織全体のセキュリティ態勢を強化する。
Third-Party Risk Management (THIRD-PARTIES)	サードパーティリスク管理（THIRD-PARTIES）
Domain Purpose: Establish and maintain controls to manage the cyber risks arising from suppliers and other third parties commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：サプライヤーやその他のサードパーティから生じるサイバーリスクを、重要インフラと組織目標に対するリスクに見合った形で管理するための統制を確立・維持する。
CTI Mission: Strengthen third-party risk management by continuously monitoring, detecting, assessing, and mitigating potential incidents posed by third-party vendors and suppliers. Enhance vendor risk profile evaluations and prioritization using threat intelligence insights and recommendations.	CTIミッション：サードパーティベンダーやサプライヤーが引き起こす潜在的なインシデントを継続的に監視、検知、評価、緩和することで、サードパーティリスク管理を強化する。脅威インテリジェンスの知見と提言を活用し、ベンダーリスクプロファイルの評価と優先順位付けを向上させる。
Workforce Management (WORKFORCE)	人材管理（WORKFORCE）
Domain Purpose: Establish and maintain plans, procedures, technologies, and controls to create a culture of cybersecurity and to ensure the ongoing suitability and competence of personnel commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：重要インフラと組織目標に対するリスクに見合った、サイバーセキュリティ文化の醸成と、要員の継続的な適格性・能力確保のための計画、手順、技術、統制を確立し維持する。
CTI Mission: Support hardening of the human element of the organization’s attack surface by enhancing workforce management initiatives with insights into adversary tactics and organization-specific risks.	CTIミッション：敵対者の戦術や組織固有のリスクに関する知見を用いて人材管理施策を強化し、組織の攻撃対象領域における人的要素の強化を支援する。
Cybersecurity Architecture (ARCHITECTURE)	サイバーセキュリティアーキテクチャ（ARCHITECTURE）
Domain Purpose: Establish and maintain the structure and behavior of the organization’s cybersecurity architecture, including controls, processes, technologies, and other elements, commensurate with the risk to critical infrastructure and organizational objectives.	ドメイン目標：重要インフラと組織目標に対するリスクに見合った、制御、プロセス、技術、その他の要素を含む組織のサイバーセキュリティアーキテクチャの構造と動作を確立・維持する。
CTI Mission: Support the enterprise-wide effort to develop a robust and resilient IT architecture by providing insights into cyber threats potentially targeting the organization and recommending system and information security practices designed to combat them. This should account for current and emerging threats with such recommendations to include hardening, mitigation, and remediation guidance.	CTIミッション：組織を標的とする可能性のあるサイバー脅威に関する知見を提供し、それらに対抗するためのシステムおよび情報セキュリティ対策を実施することで、強固でレジリエントなITアーキテクチャを構築するエンタープライズ規模の取り組みを支援する。これには、既存および新興の脅威を考慮し、強化策、緩和策、修復策のガイダンスを含む推奨事項を含めるべきである。
Program Management (PROGRAM)	プログラム管理（PROGRAM）
Domain Purpose: Establish and maintain an enterprise cybersecurity program that provides governance, strategic planning, and sponsorship for the organization’s cybersecurity activities in a manner that aligns cybersecurity objectives with both the organization’s strategic objectives and the risk to critical infrastructure.	ドメイン目標：組織のサイバーセキュリティ目標を、組織の戦略目標および重要インフラへのリスクの両方と整合させる方法で、組織のサイバーセキュリティ活動に対するガバナンス、戦略的計画、および支援を提供するエンタープライズのサイバーセキュリティプログラムを確立し維持する。
CTI Mission: Empower informed decision-making for the entire cybersecurity program by aligning CTI operations to the organization’s strategic goals and delivering tailored intelligence inputs to inform cybersecurity decision-making from tactical to strategic levels.	CTIミッション：CTIの運用を組織の戦略目標に整合させ、戦術レベルから戦略レベルまでのサイバーセキュリティ意思決定に資する特化した情報入力を提供することで、サイバーセキュリティプログラム全体の情報に基づいた意思決定を可能にする。
Fraud and Abuse Management (FRAUD)	不正・悪用管理（FRAUD）
Domain Purpose: Shield the organization from malicious digital scams and attacks by hunting for emerging threats, sharing intelligence to strengthen defenses, and guiding response to safeguard data, finances, and reputation. This proactive shield against bad actors fosters a secure online environment for all.	ドメイン目標：新たな脅威の追跡、防御強化のための情報共有、データ・財務・評判を守る対応の指導を通じて、組織を悪意あるデジタル詐欺や攻撃から守る。この悪意ある行為者に対する予防的防御は、全ての人にとって安全なオンライン環境を育む。
CTI Mission: Create awareness around new and emerging trends in fraud and brand protection. Detect, assess, and mitigate fraudulent activities to reduce risk against the organization’s employees, customers, and brand.	CTIミッション：詐欺とブランド保護における新たな動向に関する認識を高める。組織の従業員、顧客、ブランドに対するリスクを低減するため、不正行為を検知、評価、軽減する。

ちょっと整理...

CTI-CMM ドメイン
CTI-CMMは11のドメインで構成され、組織のサイバーセキュリティ機能を表現する。各ドメインでは、その機能が担う役割（「ドメイン目標」）を識別し、CTIが当該ステークホルダーにどのように支援を提供できるか（「CTIミッション」）を明示する。
ドメイン	ドメイン目標	CTIミッション
資産・変更・構成管理（ASSET）	重要インフラと組織目標に対するリスクに見合った形で、ハードウェア、ソフトウェア、情報資産を含む組織の情報技術（IT）および運用技術（OT）資産を管理する。	組織の攻撃対象領域を監視し、現在の脅威状況と予測される脅威に基づいて、リスクのある資産を迅速に検知し、エクスポージャーを減らす。
脅威と脆弱性管理（THREAT）	組織のインフラ（重要インフラ、IT、運用インフラなど）及び組織目標に対するリスクに見合ったサイバーセキュリティ脅威と脆弱性を検知、識別、分析、管理、対応するための計画、手順、技術を確立し維持する。	新たな脅威や新興の敵対者、マルウェア、脆弱性、エクスプロイトに対する組織のリスクを低減するため、関連する進化する脅威環境に関する包括的かつ最新の知識を維持する。
リスクマネジメント（RISK）	組織が直面するサイバーリスク（事業部門、子会社、関連する相互接続インフラ、利害関係者を含む）を識別、分析、対応するためのエンタープライズサイバーリスク管理プログラムを確立、運用、維持する。	CTIを組織のリスクマネジメント戦略と整合させ、リスク低減活動の優先順位付けと情報提供を行う。関連する脅威を識別し、発生確率と潜在的な影響を推定することで、リスクに関する意思決定、アセスメント、および統制を改善する。
アイデンティティおよびアクセス管理（ACCESS）	組織の資産への論理的または物理的アクセスを許可される可能性のある事業体のアイデンティティを作成し管理する。重要インフラおよび組織目標に対するリスクに見合った形で、組織の資産へのアクセスを統制する。	アイデンティティとアクセス管理（IAM）戦略を積極的に情報提供し、インシデントの検知時間を短縮し、修復を加速し、継続的な改善を可能にして、重要資産を保護し、アイデンティティ関連の脅威に対するレジリエンスを構築する。
状況認識（SITUATION）	組織の運用状態とサイバーセキュリティ状態の両方に対する状況認識を確立するため、他のモデルドメインからの状態および要約情報を含む、運用、セキュリティ、脅威情報の収集、監視、分析、警報、報告、利用を行う活動と技術を確立し維持する。	組織に関連する現在および予測される脅威状況に基づき、全ての関係者に対する脅威情報を踏まえた意思決定を推進する。脅威環境の不確実性を低減し予測可能性を高め、それに見合ったセキュリティ準備態勢を構築する。
イベント・インシデント対応、業務継続性（RESPONSE）	重要インフラと組織目標へのリスクに見合ったサイバーセキュリティイベント・インシデントの検知、分析、緩和、対応、復旧、ならびにインシデント発生時の業務維持のための計画、手順、技術を確立・維持する。	エンタープライズ環境における侵入活動を収集、相関分析、優先順位付け、強化し、インシデント対応者の優位性を創出し、組織全体のセキュリティ態勢を強化する。
サードパーティリスク管理（THIRD-PARTIES）	サプライヤーやその他のサードパーティから生じるサイバーリスクを、重要インフラと組織目標に対するリスクに見合った形で管理するための統制を確立・維持する。	サードパーティベンダーやサプライヤーが引き起こす潜在的なインシデントを継続的に監視、検知、評価、緩和することで、サードパーティリスク管理を強化する。脅威インテリジェンスの知見と提言を活用し、ベンダーリスクプロファイルの評価と優先順位付けを向上させる。
人材管理（WORKFORCE）	重要インフラと組織目標に対するリスクに見合った、サイバーセキュリティ文化の醸成と、要員の継続的な適格性・能力確保のための計画、手順、技術、統制を確立し維持する。	敵対者の戦術や組織固有のリスクに関する知見を用いて人材管理施策を強化し、組織の攻撃対象領域における人的要素の強化を支援する。
サイバーセキュリティアーキテクチャ（ARCHITECTURE）	重要インフラと組織目標に対するリスクに見合った、制御、プロセス、技術、その他の要素を含む組織のサイバーセキュリティアーキテクチャの構造と動作を確立・維持する。	組織を標的とする可能性のあるサイバー脅威に関する知見を提供し、それらに対抗するためのシステムおよび情報セキュリティ対策を実施することで、強固でレジリエントなITアーキテクチャを構築するエンタープライズ規模の取り組みを支援する。これには、既存および新興の脅威を考慮し、強化策、緩和策、修復策のガイダンスを含む推奨事項を含めるべきである。
プログラム管理（PROGRAM）	組織のサイバーセキュリティ目標を、組織の戦略目標および重要インフラへのリスクの両方と整合させる方法で、組織のサイバーセキュリティ活動に対するガバナンス、戦略的計画、および支援を提供するエンタープライズのサイバーセキュリティプログラムを確立し維持する。	CTIの運用を組織の戦略目標に整合させ、戦術レベルから戦略レベルまでのサイバーセキュリティ意思決定に資する特化した情報入力を提供することで、サイバーセキュリティプログラム全体の情報に基づいた意思決定を可能にする。
不正・悪用管理（FRAUD）	新たな脅威の追跡、防御強化のための情報共有、データ・財務・評判を守る対応の指導を通じて、組織を悪意あるデジタル詐欺や攻撃から守る。この悪意ある行為者に対する予防的防御は、全ての人にとって安全なオンライン環境を育む。	詐欺とブランド保護における新たな動向に関する認識を高める。組織の従業員、顧客、ブランドに対するリスクを低減するため、不正行為を検知、評価、軽減する。

2025.11.01 00:00 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2025.10.31

米国連邦上院未成年者へのAIコンパニオンの提供禁止法案の提出 (2025.10.28)

こんにちは、丸山満彦です。

連邦上院のJosh Hawley（共和党、ミズーリ州）[wiki]が、Richard Blumenthal（民主党、コネチカット州）[wiki]、Katie Britt（共和党、アラバマ州）[wiki]、Mark Warner（民主党、バージニア州）[wiki]、Chris Murphy（民主党、コネチカット州）[wiki]と共に、GUARD Act（Guardrails for Underage AI Relationships and Deceptive Interactions Act：利用者の年齢検証及び責任ある対話に関するガイドライン法）法案を提出していますね...

このブログでも上院での公聴会の様子（米国上院犯罪・テロ対策小委員会 AIチャットボットの弊害の検証 (2025.09.16)　）について書いていますので、そちらも参考にしてくださいませ...

法案がとおるかどうかはわかりませんが、法律にならなくてもこのような対策をすることは自然と求められてくると思います。議員もガードレールという言葉を使っていますが、社会的に大きな影響を及ぼす技術（例えば、自動車など）には適切なガードレールというのは必要だと思うのですよね...

● Josh Hawley

・2025.10.28 Hawley Introduces Bipartisan Bill Protecting Children from AI Chatbots with Parents, Colleagues

この法案は以下がポイントとなるようです...

The GUARD Act would:	GUARD法は以下のことを行う：
・Ban AI companies from providing AI companions to minors.	・AI企業が未成年者にAIコンパニオンを提供することを禁止する。
・Mandate that AI companions disclose their non-human status and lack of professional credentials for all users	・AIコンパニオンに対し、全てのユーザーに対して非人間的な性質と専門的資格の欠如を開示することを義務付ける。
・Create new crimes for companies which knowingly make available to minors AI companions that solicit or produce sexual content	・未成年者に性的コンテンツを勧誘または生成するAIコンパニオンを故意に提供した企業に対して新たな犯罪を創設する。

法案が通るかどうかはわかりませんが、Josh Hawley上院議員の政治的信条にまさに合致したテーマと政治手法が有効そうな分野なので、力をいれていきますかね...

法案（まだ法案番号はついていません...）

・[PDF]

発表の様子のYouTube...

・2025.10.28 [Youtube] Tune into Senator Hawley’s fight to protect kids online

10分24秒くらいから...

こんな発表や記事も...

● Tech Policy.press

・2025.08.15 New Research Sheds Light on AI ‘Companions’

● MIT Technology Review

・2025.04.08 AI companions are the final stage of digital addiction, and lawmakers are taking aim

有料な記事ですが...

● 日経XTECH

・2025.10.29 AIコンパニオンは人間の「パートナー」になれるか、娯楽を超えて需要拡大

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.09.19 米国上院犯罪・テロ対策小委員会 AIチャットボットの弊害の検証 (2025.09.16)　

2025.10.31 00:00 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

紹介クロスセクター・サイバーセキュリティ法蔦大輔監修森・濱田松本法律事務所

こんにちは、丸山満彦です。

蔦大輔さんが監修で森・濱田松本法律事務所外国法共同事業（サイバーセッキュリティ法研究チーム）著で[amazon]「クロスセクター・サイバーセキュリティ法」が商事法務から出版されていますね...

帯はNTTセキュリティCEOの横浜さん。「圧倒されました。基本用語からAIや宇宙など最先端まで、サイバーセキュリティに関わるリーガルイシューすべてを網羅。現場実務に寄り添った法務解説が満載のデジタル社会ではすべての会社に必携の１冊」

クロスセクターというのが、まさにポイントですね...サイバーセキュリティ単独の法律問題というよりも、実務がサイバーとフィジカルな空間で融合して行われてきているということから、サイバー（デジタル）空間での活動量が増えるとことによる変化が各分野でどのようにおこるのか？という視点でまとめられているように思いました...そういう意味では、ここまで網羅的に書籍をまとめるというのは大変な話で、かつ大手の法律事務所だからこそできたという面はあるかもしれません。。。

No.00 法律（総論）	サイバーセキュリティに関連する様々な法令
第1部主要法分野
No.01 会社法	内部統制システムの構築とランサムウェア対応
No.02 ディスクロージャー	金融商品取引法を中心とするサイバーセキュリティ関連の情報開示
No.03 個人情報保護法	個人データ漏えい等対応における諸論点
No.04 営業秘密保護	機密情報の持ち出し・持込への対応
No.05 独禁法・競争法	サイバーセキュリティ向上のための取組に際して独禁法・競争法上留意すべき事項
No.06 労働法	セキュリティ目的でのモニタリングと雇用管理上の諸論点
No.07 システム開発	裁判例からみるシステムベンダとの関係
No.08 弁護士実務（Column）	弁護士実務におけるセキュリティの重要性
No.09 刑事法	サイバーセキュリティに関する犯罪に対する刑事的分析および実務対応
No.10 危機管理	外部からのサイバー攻撃を念頭に置いた危機管理対応
No.11 M&A	デュー・ディリジェンス、契約条項、FDI規制
No.12 経済安全保障①	外為法に基づく輸出管理・投資管理・経済制裁とサイバーセキュリティ
No.13 経済安全保障②	セキュリティ・クリアランス
第2部各種インフラ
No.14 インフラ防護	能動的サイバー防御を含む重要インフラ・基幹インフラの防護とサプライチェーン・リスク対策
No.15 金融	金融分野におけるサイバーセキュリティ
No.16 保険関連法	サイバー保険に関する諸論点
No.17 エネルギー・インフラ	電気事業におけるサイバーセキュリティ対策
No.18 通信インフラ	電気通信事業者におけるセキュリティ対策と通信の秘密
No.19 データセンタービジネス（Column）	データセンター事業の発達とセキュリティ対策
No.20 医療	医療機関・医療機器のサイバーセキュリティ
No.21 モビリティ	自動車のサイバーセキュリティ保安基準と自動運転に関する諸論点
No.22 空・海のインフラ（Column）	航空・船舶とサイバーセキュリティの諸論点
第3部応用・複合分野
No.23 クラウド	クラウドサービスのセキュリティに関する法令等と実務対応
No.24 IoT	IoT機器のセキュリティ
No.25 ECサイト	クレジットカード情報の取扱いに係る留意点
No.26 防災	サイバーリスクに備えたBCPの策定
No.27 AI	AI技術の進化と、AIとセキュリティに関する法的課題
No.28 メタバース	メタバースに関する官民の取組とデジタルアイデンティティ
No.29 宇宙（Column）	宇宙事業の拡大とサイバーセキュリティの重要性
No.30 Fintech	資金決済法に関する事業者におけるセキュリティ対策
No.31 DFFT（Column）	国際的なデータ流通の枠組みを日本が主導するために企業に求められる対応
第4部国際法務
No.32 アジア法務	シンガポール、タイ、ベトナム、インドネシアにおけるサイバーセキュリティ法制
No.33 中国法務	いわゆるデータ三法とサイバーセキュリティ
No.34 EU 法務	EUにおけるサイバーセキュリティ分野の法規制
No.35 アメリカ法務	アメリカにおけるサイバーセキュリティ関連法規制
No.36 イスラエル法務	サイバーセキュリティビジネスのエコシステムとイスラエル法

・書籍...

みなさん、是非、ご一読を...

ちなみに、アフェリエイトではないです(^^)...

2025.10.31 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in ESG/CSR, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

2025.11.17

2025.11.16

2025.11.15

2025.11.14

2025.11.13

2025.11.12

2025.11.11

2025.11.10

2025.11.09

2025.11.08

2025.11.07

2025.11.06

2025.11.05

今後具体化が必要な論点

１．特定重要電子計算機の考え方について

２．特定重要電子計算機の届出について

３．インシデント報告について

４．新協議会について

2025.11.04

2025.11.03

2025.11.02

2025.11.01

2025.10.31

ココログ

まるちゃん

関連団体

情報法関連Blog

情報法 Web

セキュリティ Blog

セキュリティ web

内部統制