内閣府 パブコメ 重要電子計算機に対する不正な行為による被害の防止に関する法律施行令案 (2026.01.09)

こんにちは、丸山満彦です。

サイバー対処能力強化法に紐づく施行令案のパブコメです。

法の施行が10月1日からということが提案されています...

JPCEERT/CCの監事をしていますが、この施行令が確定しますと、JPCERT/CCもサイバー対処能力強化法の第41条と第42条第2項に関する事務が委託されることになりますね。。。ちなみに第37条に関する事務はNICTに委託されます。

第42条第1項に関する事務は、IPA、JPCERT/CC、NICTに委託ということになりますね...

 

---

重要電子計算機に対する不正な行為による被害の防止に関する法律

（事務の委託）

第七十二条　内閣総理大臣は、第三十七条に規定する事務（選別後通信情報を取り扱うものを除く。）又は第四十一条に規定する事務の一部を、情報処理推進機構その他当該事務について十分な技術的能力及び専門的な知識経験を有するとともに、当該事務を確実に実施することができるものとして政令で定める法人に委託することができる。

２　内閣総理大臣又は電子計算機等供給事業所管大臣は、第四十二条第一項に規定する事務の一部を、情報処理推進機構その他当該事務について十分な技術的能力及び専門的な知識経験を有するとともに、当該事務を確実に実施することができるものとして政令で定める法人に委託することができる。

....

（電子計算機を使用する者に対する周知等）

第四十一条　内閣総理大臣は、重要電子計算機に対する特定不正行為による被害の防止のため必要があると認めるときは、重要電子計算機を使用する者、重要電子計算機に対する特定不正行為に用いられるおそれのある電子計算機を使用する者その他の者に対し、周知等用総合整理分析情報を提供し、又はこれを公表その他の適切な方法により周知することができる。

（電子計算機等供給者に対する情報提供等）

第四十二条　内閣総理大臣又は重要電子計算機として用いられる電子計算機若しくは当該電子計算機に組み込まれるプログラム（以下この条において「電子計算機等」という。）の供給（電子計算機等を他人の情報処理の用に供する役務の提供を含む。以下この条において同じ。）を行う事業を所管する大臣（以下「電子計算機等供給事業所管大臣」という。）は、総合整理分析情報その他の情報により電子計算機等における脆ぜい弱性（電子計算機のサイバーセキュリティを害するおそれがある電子計算機又は電子計算機に組み込まれるプログラムに含まれる要因（当該電子計算機の通常予見される使用形態によらないことにより生ずるものを除く。）をいう。以下この条において同じ。）を認知したときは、必要に応じ、当該電子計算機等に係る電子計算機等供給者（電子計算機等の供給を行う者をいう。以下この条及び第四十五条第二項において同じ。）に対し当該電子計算機等における脆弱性に関する周知等用総合整理分析情報その他の情報（選別後通信情報又は秘密を含むものを除く。）を提供するとともに、当該情報又は当該脆弱性への対応方法について、公表その他の適切な方法により周知することができる。

---

 

 

ということで、パブコメ

● e-Gov

・2026.01.09 [PDF] 重要電子計算機に対する不正な行為による被害の防止に関する法律施行令案

---

政令第　号

重要電子計算機に対する不正な行為による被害の防止に関する法律施行令

内閣は、重要電子計算機に対する不正な行為による被害の防止に関する法律（令和七年法律第四十二号）第二条第二項各号、第七十二条第一項及び第二項並びに第七十四条第一項及び第三項の規定に基づき、この政令を制定する。

（重要電子計算機）

第一条　重要電子計算機に対する不正な行為による被害の防止に関する法律
（以下「法」という。）第二条第二項第一号の政令で定める電子計算機は、同号イからホまでに掲げる者が使用する電子計算機のうち、次に掲げるものとする。

一　法第二条第二項第一号イからホまでに掲げる者が同号に規定する重要情報（第四項において「重要情報」という。）を記録する電子計算機及び当該電子計算機と電気通信回線で直接又は間接に接続されている電子計算機

二　法第二条第二項第一号イからホまでに掲げる者の事務又は業務のために使用される情報システムの情報処理の用に供され、かつ、他の電子計算機と電気通信回線で直接又は間接に接続されている電子計算機（同号ロ及びニに掲げる者が使用する電子計算機にあっては、次に掲げる電子計算機に限る。）

イ　法第二条第二項第一号イに掲げる者が運用する情報システム、地方公共団体総合行政ネットワーク（全ての地方公共団体においてその使用する電子計算機を相互に電気通信回線で接続して情報の電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。）による流通及び情報処理を行うための情報通信ネットワークをいう。）、住民基本台帳法（昭和四十二年法律第八十一号）第三十条の十七第一項に規定する本人確認情報処理事務を処理するために設けられた情報システムであって地方公共団体情報システム機構が運用するもの又は地方税法（昭和二十五年法律第二百二十六号）第七百六十二条第一号に規定する地方税関係手続用電子情報処理組織に電気通信回線で直接又は間接に接続されている電子計算機

ロ　警察、消防又は防災に係る事務又は業務のために使用される情報システムの情報処理の用に供されている電子計算機

２　法第二条第二項第一号ホの政令で定める法人は、外国人育成就労機構、株式会社国際協力銀行、株式会社日本政策金融公庫、株式会社日本貿易保険、原子力損害賠償・廃炉等支援機構、国立健康危機管理研究機構、新関西国際空港株式会社、脱炭素成長型経済構造移行推進機構、地方公共団体金融機構、地方公共団体情報システム機構、地方税共同機構、日本銀行、日本下水道事業団、日本年金機構、農水産業協同組合貯金保険機構及び預金保険機構とする。

３　法第二条第二項第二号の政令で定める電子計算機は、経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律（令和四年法律第四十三号）第五十条第一項に規定する特定社会基盤事業者が使用する電子計算機のうち、次に掲げるものとする。

一　特定重要設備（経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律第五十条第一項に規定する特定重要設備をいう。以下この項において同じ。）である電子計算機又は特定重要設備の一部を構成する電子計算機

二　特定重要設備と電気通信回線で直接又は間接に接続されている電子計算機（前号に掲げる電子計算機を除く。）であって、当該特定重要設備に対し、当該特定重要設備の機能に影響を与える電磁的記録（法第二条第八項第二号に規定する電磁的記録をいう。次号において同じ。）を送信する機能を有するものとして主務省令（特別社会基盤事業所管大臣（法第四条第一項に規定する特別社会基盤事業所管大臣をいう。第三条第一項において同じ。）及び内閣総理大臣の発する命令をいう。次号において同じ。）で定めるもの

三　第一号に掲げる電子計算機（以下この号において「一号電子計算機」という。）による情報処理の用に供される電磁的記録を作成するために用いられる電子計算機（前二号に掲げる電子計算機を除く。）のうち、当該電磁的記録が一定の期間ごとに当該一号電子計算機に入力されるものであって、当該電磁的記録が当該一定の期間ごとに当該一号電子計算機に入力されなくなった場合には当該一号電子計算機に係る特定重要設備の機能が停止し、又は低下することとなるものとして主務省令で定めるもの

４　法第二条第二項第三号の政令で定める電子計算機は、同号に規定する事業者が使用する電子計算機のうち、重要情報を記録する電子計算機及び当該電子計算機と電気通信回線で直接又は間接に接続されている電子計算機とする。

（情報の整理及び分析等の事務を委託することができる法人）

第二条　法第七十二条第一項の政令で定める法人は、次の各号に掲げる委託を行う事務の区分に応じ、当該各号に定める法人とする。

一　法第三十七条に規定する事務（同条に規定する選別後通信情報を取り扱うものを除く。）　国立研究開発法人情報通信研究機構

二　法第四十一条に規定する事務　一般社団法人ＪＰＣＥＲＴコーディネーションセンター（平成十五年三月十八日に有限責任中間法人ＪＰＣＥＲＴコーディネーションセンターという名称で設立された法人をいう。）

２　法第七十二条第二項の政令で定める法人は、前項各号に定める法人とする。

（権限の委任）

第三条　法第五条の規定並びに法第六条、第九条及び第十条の規定（いずれも法第五条に係る部分に限る。）による特別社会基盤事業所管大臣の権限（次項及び第三項において「特定大臣権限」という。）のうち総務大臣に属する権限は、特別社会基盤事業者の事務所、事業所その他その事業を行う場所の所在地（以下この条において「特別社会基盤事業所在地」という。）を管轄する総合通信局長又は沖縄総合通信事務所長に委任する。ただし、総務大臣が自らその権限を行使することを妨げない。

２　特定大臣権限のうち経済産業大臣に属する権限は、特別社会基盤事業所在地を管轄する経済産業局長に委任する。ただし、経済産業大臣が自らその権限を行使することを妨げない。

３　特定大臣権限のうち国土交通大臣に属する権限は、特別社会基盤事業所在地を管轄する地方整備局長、北海道開発局長、地方運輸局長、運輸監理部長、運輸支局長又は地方航空局長に委任する。ただし、国土交通大臣が自らその権限を行使することを妨げない。

４　法第七十四条第二項の規定により金融庁長官に委任された権限のうち、法第五条の規定並びに法第六条、第九条及び第十条の規定（いずれも法第五条に係る部分に限る。）による権限は、特別社会基盤事業所在地を管轄する財務局長（特別社会基盤事業所在地が福岡財務支局の管轄区域内にある場合にあっては、福岡財務支局長）に委任する。ただし、金融庁長官が自らその権限を行使することを妨げない。

附則

（施行期日）

１　この政令は、法の施行の日（令和八年十月一日）から施行する。

（外国人育成就労機構に関する経過措置）

２　出入国管理及び難民認定法及び外国人の技能実習の適正な実施及び技能実習生の保護に関する法律の一部を改正する法律（令和六年法律第六十号）の施行の日の前日までの間における第一条第二項の規定の適用については、同項中「外国人育成就労機構、株式会社国際協力銀行」とあるのは、「株式会社国際協力銀行」とする。

---

 

参考

・[PDF] （参考）重要電子計算機に対する不正な行為による被害の防止に関する法律施行令案（概要）

・[PDF]（参考）重要電子計算機に対する不正な行為による被害の防止に関する法律の施行期日を定める政令案 

 

 

 

フランス CNIL 観光用カメラ：個人のプライバシー保護のために遵守すべき規則を明確化 (2026.01.05)

こんにちは、丸山満彦です。

自治体が観光地をPRするために、公共の場所を映す観光用カメラを設置し、撮影された映像が、自治体のウェブサイトでリアルタイムで公開されるケースが増えているようですが、これらのカメラが意図せずに個人情報を収集・発信していることが判明したということのようです。。。

観光用カメラは禁止されていないけど、

• 映った人物の識別が可能な状態での配信
• 車のナンバープレートの記録と発信
• カフェのテラスやデモ参加者など、プライベートな生活の瞬間の記録

などがあれば、個人情報の収集となりますよね...で、「正当な利益」となることはありません...

ただ、個人情報を一切収集しないカメラであれば、データ保護法の規制対象にはならないので、

 

• 撮影角度を、公共建築物や自然景観に限定する
• たとえぼかしであっても、人物、住宅内部（窓や出入口を含む）を映さない

というようなことをすれば、大丈夫ですね、ウェブページにもOK事例とNG事例ものっています...

日本の自治体も気をつけないといけないですね、、、日本のいくつかの自治体のウェブページを見たのですが、違反してそうなものはなかったのですが気をつけないとですね...

参考になります...

 

● CNIL

・2026.01.05 Caméras touristiques : la CNIL précise les règles à suivre pour protéger la vie privée des personnes

 

参考まで...

 

 

 

 

 

英国 ICO技術展望: エージェント型AI（Agentic AI）

こんにちは、丸山満彦です。

前回は、米国NISTによるAI Agent Systemのセキュリティ強化についてのRFIを紹介しましたが、今回は英国の情報コミッショナー事務局の技術の将来（tech futures）シリーズの2026年版からAgentic AIについての報告書が公表されています...

エージェント型AIに対するICOの理解、エージェント型AIの潜在的な用途、および予想される技術的発展について概説しています。

また、組織がエージェント型AIの導入を検討する際に考慮すべきデータ保護への影響、具体的にはデータ保護上のリスクと機会について、ICOの初期の見解を共有してくれています。

そして、組織がエージェント型AIをどのように採用するか、また今後2～5年間でその能力がどのように発展するかに関する不確実性を探るため、4つの可能性のあるシナリオを示していますね...

ICOはエージェント型AIを次のようにとらえているように思えます...

 

• 目標指向で行動し、計画し、ツールを使い、環境に作用するAI

• 人間の介入なしに意思決定や行動を継続できるAI

• 複数のAIが協調・競合するマルチエージェント環境も含む

 

その上で、エージェント型AIは人間がだしたプロンプトを返してくる従来のAIに比べて、より高度なリスクが存在しますよね。。。

例えば、

• 自律行動による 予期せぬ結果
• 外部ツール/APIの利用による 攻撃面の拡大
• マルチエージェント相互作用による 複雑なリスク連鎖
• 個人データの収集・推論・共有の 透明性低下
• 人間の監督が追いつかない 責任の曖昧化

 

これは個人情報（個人データのみならず）を取り扱う上でも重要になってくるのだろうと思います。例えば、

• 取扱の透明性
• 利用目的の限定
• 利用データの最小化
• 公正性
• 自動化された意思決定（ADM）に関する規制

のあたりですかね...

そしてこれから重要となってくる技術分野について

• プライバシー保護を組み込んだスキャフォルディング
• 透明性を高める説明可能性ツール
• 行動ログ・監査可能性の強化
• 人間監督を支援するインターフェース
• 安全なマルチエージェント協調プロトコル

が考えられますね...

 

報告書の内容は非常に興味深いです...日本も取り組み始めないとですね...

 

● ICO

・2026.01.08 ICO tech futures: Agentic AI

 

 

Foreword	まえがき
In this Tech Futures report on agentic AI, we set out our understanding of the emerging technology, including its potential uses and expected technical developments. We share our early thoughts about the data protection implications that organisations will have to consider as they explore the deployment of agentic AI, including data protection risks and opportunities. We share four possible scenarios to explore the uncertainty around how organisations might adopt agentic AI and how its capabilities might develop over the next two to five years.	本エージェント型AIに関する技術展望報告書では、この新興技術に対する我々の理解、その潜在的な用途、予想される技術的発展について述べる。組織がエージェント型AIの展開を検討する際に考慮すべきデータ保護上の影響、具体的にはデータ保護リスクと機会について、我々の初期の見解を共有する。組織がエージェント型AIをどのように採用するか、また今後2～5年間でその機能がどのように発展するかに関する不確実性を探るため、4つの可能性のあるシナリオを提示する。
Executive summary	エグゼクティブサマリー
Agentic artificial intelligence (AI) is evolving at pace, attracting intense scrutiny from innovators, technology adopters and regulators worldwide. As organisations consider deploying agentic AI, understanding its capabilities and the associated risks is essential.	エージェント型人工知能（AI）は急速に進化しており、世界中のイノベーター、技術導入者、規制当局から強い関心が寄せられている。組織がエージェント型AIの展開を検討する際、その能力と関連するリスクを理解することが不可欠である。
Agentic AI combines the capabilities of generative AI with additional tools and new ways of interacting with the world. This increases the ability of AI systems to work with contextual information, operate using natural human language and automate more open-ended tasks. Agentic AI systems are being developed for use in research, coding, planning and transactions. Their potential applications span commerce, government, the workplace, cybersecurity, medicine and the consumer space. Many believe that agentic capabilities can form the foundation for powerful personal assistants.	エージェント型AIは、生成的AIの能力に追加ツールと新たな世界との相互作用方法を組み合わせる。これにより、AIシステムが文脈情報を活用し、自然な人間の言語を用いて動作し、より自由度の高いタスクを自動化する能力が向上する。エージェント型AIシステムは、研究、コーディング、計画立案、取引での使用を目的に開発されている。その潜在的な応用範囲は、商業、政府、職場、サイバーセキュリティ、医療、消費者領域に及ぶ。多くの専門家は、エージェント型能力が強力なパーソナルアシスタントの基盤となり得ると考えている。
While agentic AI offers some new technological capabilities we are at an early stage in development, with many use cases unproven or at the development stage. At the ICO, we are building a well-informed evidence base about:	エージェント型AIは新たな技術的可能性を提供するものの、開発は初期段階にあり、多くのユースケースは実証されていないか開発中である。ICOでは以下の点について、十分な情報に基づいたエビデンス基盤を構築している：
•  where the technology is now; and	•  技術が現在どの段階にあるか、そして
•  how to exercise caution about the proven abilities of agentic AI while identifying and managing the data protection issues and risks related to supporting privacy-led innovation.	•  実証済みの能力に対して慎重な対応を講じつつ、プライバシー主導のイノベーションを支える上で生じるデータ保護上の課題やリスクを特定・管理する方法
As developing agentic AI increases the potential for automation, organisations remain responsible for data protection compliance of the agentic AI they develop, deploy or integrate in their systems and processes.	能動的AIの開発が進むにつれ自動化の可能性が高まるが、組織は自らが開発・展開・システム/プロセスに統合する能動的AIのデータ保護コンプライアンスについて責任を負い続ける。
We have already explored in our consultation series on generative AI the many issues that agentic AI shares. Novel agentic AI data protection risks include:	我々は生成的AIに関する一連の協議において、エージェント型AIが共有する多くの課題を既に検討している。新たなエージェント型AIのデータ保護リスクには以下が含まれる：
•  issues around determining controller and processor responsibilities through the agentic AI supply chain;	•  エージェント型AIのサプライチェーンにおける管理者および処理者の責任範囲の確定に関する問題
•  rapid automation of increasingly complex tasks resulting in a larger amount of automated decision-making;	•  複雑化するタスクの急速な自動化による自動意思決定量の増加
•  purposes for agentic processing of personal information being set too broadly to allow for open-ended tasks and general-purpose agents;	•  オープンエンドなタスクや汎用エージェントを許容するため、個人情報のエージェント処理目的が過度に広く設定されること；
•  agentic systems processing personal information beyond what is necessary to achieve instructions or aims;	•  指示や目的達成に必要な範囲を超えて個人情報を処理するエージェント型システム；
•  potential unintended use or inference of special category data;	•  特別カテゴリーデータの意図しない使用や推論の可能性；
•  increased complexity impacting transparency and the ease with which people can exercise their information rights;	•  透明性や情報権利行使の容易さに影響する複雑性の増大；
•  new threats to cyber security resulting from the nature of agentic AI; and	•  エージェント型AIの性質に起因する新たなサイバーセキュリティ上の脅威；および
•  concentration of personal information facilitating personal assistant agents.	•  パーソナルアシスタントエージェントを可能にする個人情報の集中。
One of our key findings from this initial work is that the specific design and architecture of agentic systems impact how data protection law applies and how people exercise their data protection rights. Choices such as the data and tools that a system can access and which governance and control measures to put in place really matter.	この初期調査における主要な知見の一つは、エージェント型システムの具体的な設計とアーキテクチャが、データ保護法の適用方法や人々がデータ保護権利を行使する方法に影響を与えることだ。システムがアクセスできるデータやツール、導入すべきガバナンスや管理措置といった選択は極めて重要である。
Poorly implemented agentic systems will increase the risks of data protection harms. For example, this could include systems that:	不適切に実装されたエージェント型システムは、データ保護上の危害リスクを高める。例えば、以下のようなシステムが該当する：
•  have no clear purposes;	•  明確な目的を持たないもの
•  are connected to databases not needed for their tasks; or	•  任務に不要なデータベースに接続されているもの
•  have no measures in place to secure access, monitor or stop activity, or control the further sharing of information.	•  アクセスを保護し、活動を監視・停止し、情報のさらなる共有を制御する措置が全く講じられていないシステム。
The importance of design and architecture also means that there are good opportunities for privacy by design and privacy-friendly innovation in agentic AI, and organisations should use them for responsible deployment. We are already seeing some features and tools intended to address privacy issues.	設計とアーキテクチャの重要性は、エージェント型AIにおいてプライバシーバイデザインやプライバシーに配慮したイノベーションを実現する好機があることも意味する。組織は責任ある展開のためにこれらを活用すべきだ。既にプライバシー問題に対処する意図で設計された機能やツールがいくつか見られる。
We have identified innovation opportunities with agentic AI that have the potential to support data protection and information rights and contribute to privacy-positive outcomes. Potential areas include:	我々は、データ保護と情報権利を支援し、プライバシーに積極的な成果に貢献する可能性を秘めた、エージェント型AIにおけるイノベーションの機会を特定した。潜在的な分野には以下が含まれる：
•  data protection compliant agents;	•  データ保護に準拠したエージェント
•  agentic controls;	•  エージェント制御；
•  privacy management agents;	•  プライバシー管理エージェント；
•  information governance agents; and	•  情報ガバナンスエージェント；および
•  ways to benchmark and evaluate agentic systems.	•  エージェントシステムのベンチマークと評価手法。
Due to the pace of development of agentic AI and the speed at which developers are experimenting, we are trying two new approaches with this report. We are using scenarios of four different potential futures to explore the uncertainty about how agentic AI might be adopted and how its capabilities might develop over the next two to five years.	エージェント型AIの開発ペースと開発者の実験速度を考慮し、本報告書では二つの新たなアプローチを試みる。今後2～5年間におけるエージェント型AIの採用方法や能力発展の不確実性を探るため、四つの異なる将来シナリオを用いる。
The ICO’s role	ICOの役割
Our aim at the Information Commissioner’s Office (ICO) is to ensure that innovation in agentic AI develops in ways that protect people’s information rights, while providing clarity and support for organisations. Our next steps on agentic AI include the following:	情報コミッショナー事務局（ICO）の目的は、自律型AIの革新が人々の情報権利を保護する形で発展するよう確保すると同時に、組織に対して明確さと支援を提供することだ。自律型AIに関する今後の取り組みは以下の通りである：
•  Hosting workshops with industry to gather further information on agentic AI, including on agentic capabilities and adoption, and how industry is mitigating data protection and privacy risks.	•  業界とのワークショップを開催し、エージェント型AIに関する追加情報を収集する。これにはエージェント機能や導入状況、業界がデータ保護・プライバシーリスクをどのように緩和しているかなどが含まれる。
•  Updating guidance on automated decision-making and profiling, in light of the Data (Use and Access) Act, starting with public consultations in 2026.	•  データ（使用およびアクセス）法に照らして、自動化された意思決定およびプロファイリングに関するガイダンスを更新する。2026 年の公開協議から開始する。
•  Working with partner regulators through the Digital Regulation Cooperation Forum (DRCF) to understand the cross-regulatory implications of agentic AI and invite innovators to participate in the Thematic Innovation Hub on agentic AI.	•  デジタル規制協力フォーラム（DRCF）を通じて、パートナー規制当局と協力し、エージェント型 AI が規制に及ぼす影響を理解するとともに、イノベーターをエージェント型 AI に関するテーマ別イノベーションハブに参加するよう招待する。
•  Continuing our work with international partners through the G7 Data Protection Authorities Emerging Technologies Working Group.	•  G7 データ保護当局新興技術ワーキンググループを通じて、国際的なパートナーとの協力を継続する。
•  Inviting stakeholders working on agentic AI applications to access our innovation support services. For organisations that are in the process of developing innovative products and services using personal information and agentic AI in the public interest, we encourage them to explore our Regulatory Sandbox.	•  エージェント型 AI アプリケーションに取り組むステークホルダーに対し、我々のイノベーション支援サービスへのアクセスを呼びかける。公共の利益のために個人情報とエージェント型 AI を使用して革新的な製品やサービスを開発している組織については、我々の規制サンドボックスの利用を検討するよう奨励する。
We would like to encourage and support data protection–focused opportunities in agentic AI. We will address innovation opportunities proactively as agentic AI matures and our role in regulating it develops.	能動的AIにおけるデータ保護に焦点を当てた機会を促進・支援したい。能動的AIが成熟し、我々の規制役割が発展するにつれ、イノベーションの機会を積極的に取り扱う。
We will keep our approach under review as technologies, markets and risks evolve.	技術、市場、リスクが進化するにつれ、我々のアプローチを見直し続ける。

  

・[PDF] 

・[DOCX][PDF] 仮訳

 

ICO tech futures: Agentic AI	ICO技術展望：エージェント型AI
Foreword	まえがき
Executive summary	エグゼクティブサマリー
The ICO’s role	ICOの役割
Introduction	序論
Why agentic AI?	なぜエージェント型AIなのか？
What are agentic AI and AI agents?	エージェント型AIとAIエージェントとは何か？
Potential use cases	潜在的なユースケース
Agentic commerce	エージェント型コマース
Workplace applications	職場での応用
Government services	政府サービス
Automated cybersecurity applications	自動化されたサイバーセキュリティアプリケーション
Integrated personal assistants	統合型パーソナルアシスタント
Medical sector	医療分野
Technical developments	技術開発
Data protection and privacy risks	データ保護とプライバシーリスク
Human responsibility and controllership	人間の責任と管理責任
Governance	ガバナンス
Automated decision-making	自動化された意思決定
Purpose limitation and data minimisation	目的限定とデータ最小化
Purpose limitation	目的の限定
Data minimisation	データ最小化
Rapid generation of personal information by agentic AI systems	能動的AIシステムによる個人情報の迅速な生成
Special category data and agentic AI	特別カテゴリーデータと能動的AI
Transparency and explainability	透明性と説明可能性
Accountability	説明責任
Accuracy	正確性
Individual information rights and fairness	個人情報の権利と公平性
Fairness	公平性
The role of the data protection officer	データ保護責任者の役割
Challenges in maintaining oversight over novel processing	新たな処理に対する監視を維持する上での課題
Increased complexity of documenting decision-making	意思決定の文書化の複雑化
Evolving role of the DPO	DPOの役割の進化
Agentic AI security threats and mitigations	エージェント型AIのセキュリティ脅威と緩和
Agent business models and the concentration of personal information	エージェント型ビジネスモデルと個人情報の集中
Innovation opportunities – What innovation might the ICO want to see in agentic AI?	イノベーションの機会 – ICOはエージェント型AIにおいてどのようなイノベーションを望むか？
Data protection compliant agents	データ保護に準拠したエージェント
Agentic controls	エージェント制御
Privacy and personal information management agents	プライバシー及び個人情報管理エージェント
Local agents and trusted computing	ローカルエージェントと信頼できるコンピューティング
Freedom of information and data protection agents	情報公開とデータ保護エージェント
Benchmarks and evaluations for agents	エージェントのベンチマークと評価
Scenarios for the future of agentic AI	エージェント型AIの未来シナリオ
Scenario planning	シナリオ計画
Scenario one: Scarce, simple agents (low adoption, low agentic capability)	シナリオ１：希少で単純なエージェント（普及率低、エージェント能力低）
Scenario two: just good enough to be everywhere (high adoption, low agentic capability)	シナリオ2：どこにでも存在する程度の性能（普及率高、エージェント能力低）
Scenario three: Agents in waiting (low adoption, high agentic capability)	シナリオ3：待機状態のエージェント（普及率低、エージェント能力高）
Scenario four: Ubiquitous agents (high adoption, high agentic capability)	シナリオ4：遍在するエージェント（普及率高、能動的能力高）
Next steps	次のステップ
Engagement, guidance development and collaboration	関与、ガイダンスの策定、協力
Digital Regulation Cooperation Forum (DRCF)	デジタル規制協力フォーラム（DRCF）
International engagement	国際的な関与
Annex I: Methodology	附属書 I：方法論
Futurecast	将来予測
Stakeholder engagement	ステークホルダーとの関わり
Scenario planning	シナリオ計画
Steps taken to build and validate scenarios	シナリオ構築と妥当性確認のために講じた措置
Annex II: Some drivers impacting the use of agentic AI	附属書II：能動的AIの利用に影響を与える要因
Agentic AI drivers	能動的AIの推進要因
Model training costs	モデル訓練コスト
A drop in compute prices and increased processing power driving accessibility	コンピューティング価格の低下と処理能力の向上によるアクセシビリティの向上
Increasingly large, high-quality datasets are available	大規模で高品質なデータセットが利用可能になる
Venture capital funding and the AI bubble	ベンチャーキャピタルの資金調達とAIバブル
‘Fear of missing out’ driven by the hype cycle and marketing	ハイプサイクルとマーケティングによる「取り残される恐怖」
Highly intersectional technology	高度に交差する技術
Cost savings from reduced staff costs and labour	人件費削減によるコスト削減
A push on AI from national governments	各国政府によるAI推進
Annex III: Glossary of terms	附属書III：用語集
Annex IV: Further reading	附属書IV：参考文献
Annex V: Acknowledgements	附属書V：謝辞

 

 

米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)

こんにちは、丸山満彦です。

NIST CAISIがAIエージェントシステムのセキュリティ強化に関するRFIを公表していますね...

AI Agent システムが台頭し、実世界への影響増加しつつある一方、セキュリティ脅威の増加、米国経済競争力への懸念、公共安全とインフラリスク、技術標準の不足といった懸念事項があることが背景としてあるのでしょうかね...

要求事項の項目...

1. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性
2. AIエージェントシステムのセキュリティ対策
3. AIエージェントシステムのセキュリティアセスメント
4. 展開環境の制限、変更、監視
5. 追加の考慮事項

常に先を見て行動できていますよね...

用語の定義がまず必要ですかね。。。AI Agent SystemはAgentic AIと同じ意味？それぞれの定義が曖昧なのでなんとも言えないような気もするけど...

きっと法律やガイドの作成、人間の関与の仕方、レッドチーミングテスト、インシデントデータベースなど、重要となってくるのかもしれません。。。早めに取り組まないとですね...

AIエージェントシステムが普及する世界というのは、（不確実性）ⁿのような世界になるような気がしますので、どのポイントで人間が関与していくのか？というのが重要な要素になるのではないかと思いました。

例えば、法的な面も含めていうと複数のAIシステムの連携が生じた場合の責任の分担もよく考えておく必要があります。例えば、XとYというAIシステムが協働して共通のアウトプットを出したことにより被害が生じた場合のXとYを管理している組織間の責任関係はどうなるのか？というのを考えた場合、XやYを使うためにどのような準備を必要かというのは重要な話かもしれません。。。

 

● NIST - CAISI

・2026.01.12 CAISI Issues Request for Information About Securing AI Agent Systems

CAISI Issues Request for Information About Securing AI Agent Systems	CAISI、AIエージェントシステムのセキュリティ強化に関する情報提供を要請
The Center for AI Standards and Innovation (CAISI) at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has published a Request for Information (RFI) seeking insights from industry, academia, and the security community regarding the secure development and deployment of AI agent systems.	米国商務省国立標準技術研究所（NIST）傘下のAI標準化・イノベーションセンター（CAISI）は、AIエージェントシステムの安全な開発・展開に関する業界、学界、セキュリティコミュニティからの知見を求める情報提供要請（RFI）を発表した。
AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. While these systems promise significant benefits for productivity and innovation, they present unique security challenges.	AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画・実行する能力を持つ。生産性やイノベーションに大きな利益をもたらす可能性を秘める一方で、独自のセキュリティ課題も提示している。
AI agent systems face a range of security threats and risks. Some risks overlap with other software systems, such as exploitable authentication or memory management vulnerabilities. This RFI, however, focuses on distinct risks that arise when combining AI model outputs with the functionality of software systems. This includes risks from models interacting with adversarial data (such as in indirect prompt injection), risks from the use of insecure models (such as models that have been subject to data poisoning), and risks that models may take actions that harm security even in the absence of adversarial inputs (such as models that exhibit specification gaming or otherwise pursue misaligned objectives). These security challenges not only hinder adoption today but may also pose risks for public safety and national security as AI agent systems become more widely deployed.	AIエージェントシステムは多様なセキュリティ脅威やリスクに直面している。認証やメモリ管理の脆弱性といった他のソフトウェアシステムと共通するリスクも存在する。しかし本RFIは、AIモデルの出力とソフトウェアシステムの機能を組み合わせる際に生じる特有のリスクに焦点を当てる。これには、敵対的データとの相互作用によるリスク（間接的プロンプト・インジェクションなど）、安全でないモデルの使用によるリスク（データ・ポイズニングを受けたモデルなど）、敵対的入力がなくてもセキュリティを損なう行動を取る可能性のあるモデルによるリスク（仕様ゲームを示すモデルや、目的がずれた目標を追求するモデルなど）が含まれる。これらのセキュリティ課題は、現在の導入を妨げるだけでなく、AIエージェントシステムの普及が進むにつれて公共の安全や国家安全保障へのリスクをもたらす可能性がある。
The RFI poses questions on topics including:	本RFIでは以下のテーマについて質問を提示する：
・Unique security threats affecting AI agent systems, and how these threats may change over time.	・AIエージェントシステムに影響を与える固有のセキュリティ脅威、およびこれらの脅威が時間とともにどのように変化するか。
・Methods for improving the security of AI agent systems in development and deployment.	・開発および展開段階におけるAIエージェントシステムのセキュリティを改善する方法。
・Promise of and possible gaps in existing cybersecurity approaches when applied to AI agent systems.	・既存のサイバーセキュリティ手法をAIエージェントシステムに適用した場合の有効性と潜在的な不足点。
・Methods for measuring the security of AI agent systems and approaches to anticipating risks during development.	・AIエージェントシステムのセキュリティを測定する方法と、開発段階におけるリスク予測の手法。
・Interventions in deployment environments to address security risks affecting AI agent systems, including methods to constrain and monitor the extent of agent access in the deployment environment.	・AIエージェントシステムに影響するセキュリティリスクに対処するための展開環境における介入策。これには展開環境内でのエージェントアクセス範囲を制限・監視する方法も含まれる。
Input from AI agent deployers, developers, and computer security researchers, among others, will inform future work on voluntary guidelines and best practices related to AI agent security. It will also contribute to CAISI’s ongoing research and evaluations of agent security. Respondents are encouraged to provide concrete examples, best practices, case studies and actionable recommendations based on their experience with AI agent systems. The full RFI can be found here.	AIエージェントの展開担当者、開発者、コンピュータセキュリティ研究者などからの意見は、AIエージェントセキュリティに関する自主的ガイドラインとベストプラクティスの将来的な作業に反映される。また、CAISIによるエージェントセキュリティの継続的な研究と評価にも寄与する。回答者は、AIエージェントシステムに関する自身の経験に基づき、具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう奨励される。RFI全文はこちらで閲覧可能である。

 

 

● Federal Register

・2026.01.12 Request for Information Regarding Security Considerations for Artificial Intelligence Agents

Request for Information Regarding Security Considerations for Artificial Intelligence Agents	人工知能エージェントのセキュリティ考慮事項に関する情報提供要請
AGENCY:	機関：
Center for AI Standards and Innovation (CAISI), National Institute of Standards and Technology (NIST), U.S. Department of Commerce.	米国商務省 国立標準技術研究所（NIST）内 人工知能標準・イノベーションセンター（CAISI）
ACTION:	措置：
Notice; request for information (RFI).	通知；情報提供要請（RFI）。
SUMMARY:	概要：
The Center for AI Standards and Innovation (CAISI), housed within the National Institute of Standards and Technology (NIST) at the Department of Commerce, is seeking information and insights from stakeholders on practices and methodologies for measuring and improving the secure development and deployment of artificial intelligence (AI) agent systems. AI agent systems are capable of taking autonomous actions that impact real-world systems or environments, and may be susceptible to hijacking, backdoor attacks, and other exploits. If left unchecked, these security risks may impact public safety, undermine consumer confidence, and curb adoption of the latest AI innovations. We encourage respondents to provide concrete examples, best practices, case studies, and actionable recommendations based on their experience developing and deploying AI agent systems and managing and anticipating their attendant risks. Responses may inform CAISI's work evaluating the security risks associated with various AI capabilities, assessing security vulnerabilities of AI systems, developing evaluation and assessment measurements and methods, generating technical guidelines and best practices to measure and improve the security of AI systems, and other activities related to the security of AI agent systems.	商務省国立標準技術研究所（NIST）内に設置された人工知能標準・イノベーションセンター（CAISI）は、人工知能（AI）エージェントシステムの安全な開発・展開を測定・改善するための実践手法と方法論について、関係者からの情報と知見を求めている。AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を取ることが可能であり、ハイジャック、バックドア攻撃、その他の悪用に対して脆弱である可能性がある。これらのセキュリティリスクが放置されれば、公共の安全に影響を与え、消費者の信頼を損ない、最新のAIイノベーションの採用を阻害する恐れがある。回答者には、AIエージェントシステムの開発・展開経験、および付随するリスクマネジメントに基づく具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう促す。回答内容は、CAISIの以下の活動に資する可能性がある：各種AI機能に関連するセキュリティリスクの評価、AIシステムのセキュリティ脆弱性の評価、アセスメント・測定手法の開発、AIシステムのセキュリティ測定・改善のための技術ガイドライン及びベストプラクティスの策定、その他AIエージェントシステムのセキュリティ関連活動。
DATES:	提出期限：
Comments containing information in response to this notice must be received on or before March 9, 2026, at 11:59 p.m. Eastern Time. Submissions received after that date may not be considered.	本通知への回答情報を含むコメントは、2026年3月9日午後11時59分（東部時間）までに受理されなければならない。この期限後に受理された提出物は考慮されない可能性がある。
ADDRESSES:	提出先：
Comments must be submitted electronically via the Federal e-Rulemaking Portal.	コメントは連邦電子規則制定ポータル（Federal e-Rulemaking Portal）経由で電子的に提出しなければならない。
...	...
SUPPLEMENTARY INFORMATION:	補足情報：
Authority	法的根拠
This RFI advances NIST's activities to support measurement research and development of best practices for artificial intelligence systems, including their safety and robustness to adversarial attacks (15 U.S.C. 278h-1(b)). It is consistent with NIST's functions to, inter alia, compile data, provide a clearinghouse of scientific information, and assist industry in improving product quality (15 U.S.C. 272(b-c)).	本RFIは、人工知能システムの安全性及び敵対的攻撃に対する堅牢性を含む、最良の実践手法の測定研究開発を支援するNISTの活動を推進するものである（15 U.S.C. 278h-1(b)）。これは、NISTがデータを収集し、科学情報の交換拠点を提供し、産業の製品品質向上を支援するなどの機能（15 U.S.C. 272(b-c)）と整合するものである。
Background	背景
AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. AI agent systems consist of at least one generative AI model and scaffolding software that equips the model with tools to take a range of discretionary actions. These systems may be more expansive, containing multiple sub-agents with software that orchestrates their interactions. They can be deployed with little to no human oversight. Other terms used to refer to AI agent systems include AI agents and agentic AI. Challenges to the security of AI agent systems may undermine their reliability and lessen their utility, stymieing widespread adoption that would otherwise advance U.S. economic competitiveness. Further, security vulnerabilities may pose future risks to critical infrastructure or catastrophic harms to public safety ( i.e., through chemical, biological, radiological, nuclear, and explosive (CBRNE) weapons development and use or other analogous threats).	AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画し実行する能力を有する。AIエージェントシステムは、少なくとも1つの生成的AIモデルと、モデルに様々な裁量行動を実行する手段を提供する足場ソフトウェアで構成される。これらのシステムはより大規模になり、相互作用を調整するソフトウェアを備えた複数のサブエージェントを含む場合もある。人間の監視がほとんど、あるいは全くない状態で展開される可能性がある。AIエージェントシステムを指す他の用語には、AIエージェントやエージェント型AIがある。AIエージェントシステムのセキュリティ上の課題は、その信頼性を損ない有用性を低下させる恐れがある。これにより、米国経済の競争力向上に寄与するはずの普及が阻害される。さらに、セキュリティ上の脆弱性は将来的に重要インフラへのリスクや、化学・生物・放射性物質・核・爆発物（CBRNE）兵器の開発・使用や類似の脅威を通じた公共安全への壊滅的被害をもたらす可能性がある。
Deployed AI agent systems may face a range of security threats and risks. Some of these risks are shared with other kinds of software systems, such as exploitable vulnerabilities in authentication mechanisms or memory management processes. This Request for Information, however, focuses instead on the novel risks that arise from the use of machine learning models embedded within AI agent systems. Within this category are: (1) security risks that arise from adversarial attacks at either training or inference time, when models may interact with potentially adversarial data ( e.g., indirect prompt injection) or may be compromised by data poisoning; (2) security risks posed by models with intentionally placed backdoors; and (3) the risk that the behavior of uncompromised models may nonetheless pose a threat to confidentiality, availability, or integrity ( e.g., models that exhibit specification gaming or otherwise pursue misaligned objectives). Organizations have begun to implement technical controls, processes, and other mitigations for the security risks posed by their AI agent systems. In some cases, mitigations draw on cybersecurity best practices, including implementing systems according to the principle of least privilege and designing systems with a zero trust architecture. In other cases, risks are addressed with novel approaches, including instruction hierarchy and agent design patterns with trusted models.	展開されたAIエージェントシステムは、様々なセキュリティ脅威やリスクに直面する可能性がある。認証メカニズムやメモリ管理プロセスにおける悪用可能な脆弱性など、他のソフトウェアシステムと共通するリスクも存在する。しかし本情報提供要請（RFI）は、AIエージェントシステムに組み込まれた機械学習モデルの使用から生じる新たなリスクに焦点を当てる。このカテゴリーには以下が含まれる：(1) モデルが潜在的に敵対的なデータ（例：間接的プロンプト・インジェクション）と相互作用する可能性のある、あるいはデータ・ポイズニングによって侵害される可能性がある、訓練時または推論時における敵対的攻撃から生じるセキュリティリスク； (2) 意図的にバックドアを仕込まれたモデルがもたらすセキュリティリスク；(3) 侵害されていないモデルの動作が、機密性・可用性・完全性に対する脅威となるリスク（仕様の悪用や目標の乖離を示すモデルなど）。組織は、AIエージェントシステムがもたらすセキュリティリスクに対して、技術的制御、プロセス、その他の緩和策を導入し始めている。場合によっては、最小権限の原則に基づくシステム実装やゼロトラストアーキテクチャ設計といったサイバーセキュリティのベストプラクティスを活用する。また、信頼できるモデルを用いた命令階層やエージェント設計パターンといった新たな手法でリスクに対処するケースもある。
NIST conducts research and develops guidelines to promote safe and secure AI innovation and adoption. Research by CAISI technical staff [1] has demonstrated risks of agent hijacking. NIST has also produced resources on this topic including NIST AI 100-2e2025 [2] that provides a taxonomy of attacks and mitigations in adversarial machine learning generally; the NIST AI Risk Management Framework,[3] which describes and discusses “secure and resilient” AI and includes subcategories for security assessment within the Measure function; NIST's companion Risk Management Framework: Generative AI Profile,[4] which provides further context and considerations for “information security” and associated risks with generative AI, applicable to this RFI; and NIST AI 800-1 [5] that provides guidelines for AI developers to manage risks including the misuse of AI agent systems for offensive cybersecurity operations. In addition, NIST SP 800-218A [6] provides a profile for the secure development of generative AI, and NIST SP 800-53 [7] provides a glossary of relevant terms and a catalog of security and privacy controls for information systems generally.	NISTは安全でセキュアなAIの革新と普及を促進するため、研究を実施しガイドラインを開発している。CAISI技術スタッフによる研究[1]は、エージェント乗っ取りのリスクを実証している。NISTもこのテーマに関する資料を作成しており、具体的には：・敵対的機械学習全般における攻撃手法と緩和の分類を提供する「NIST AI 100-2e2025」[2]・「安全かつレジリエンスのある」AIを定義・論じ、測定機能内のセキュリティ評価サブカテゴリーを含む「NIST AIリスクマネジメント枠組み」[3] NISTの関連文書である「リスクマネジメント枠組み：生成的AIプロファイル」[4]は、生成的AIに関連する「情報セキュリティ」とリスクについて、本RFIに適用可能な追加的な文脈と考慮事項を提供する。また「NIST AI 800-1」[5]は、攻撃的なサイバーセキュリティ活動におけるAIエージェントシステムの悪用を含むリスクマネジメントのためのガイドラインをAI開発者に提供する。さらに、NIST SP 800-218A[6]は生成的AIの安全な開発プロファイルを提供し、NIST SP 800-53[7]は関連用語集と情報システム全般向けのセキュリティ・プライバシー制御カタログを提供する。
Request for Information	情報提供要請
This RFI seeks information that can support secure innovation and adoption of AI agent systems. It invites stakeholders—particularly AI agent developers, deployers, and computer security researchers—to share insights on the secure development and deployment of AI agent systems. Such information should be scoped to the security of AI agent systems capable of taking actions that affect external state, i.e., persistent changes outside of the AI agent system itself. Unless contextualized to impact the security of agent systems directly, this RFI does not seek general information on generative AI security, insights on practices for AI chatbots or retrieval-augmented generation systems that are not orchestrated to act autonomously, or feedback on the misuse of AI agent systems to carry out cyberattacks.	本RFIは、AIエージェントシステムの安全な革新と展開を支援する情報を求めるものである。特にAIエージェント開発者、展開者、コンピュータセキュリティ研究者といった関係者に、AIエージェントシステムの安全な開発・展開に関する知見の共有を呼びかける。提供される情報は、外部状態（すなわちAIエージェントシステム自体以外の永続的な変化）に影響を与える行動を実行可能なAIエージェントシステムのセキュリティに焦点を当てるべきである。本RFIは、エージェントシステムのセキュリティに直接影響する文脈に限定され、生成的AIのセキュリティに関する一般的な情報、自律的に動作するよう設計されていないAIチャットボットや検索拡張生成システムの実践に関する知見、あるいはAIエージェントシステムを悪用したサイバー攻撃の実行に関するフィードバックは対象外とする。
NIST is requesting that respondents provide information on the topics below. NIST has provided this non-exhaustive list of topics and accompanying questions to guide respondents, and the submission of any relevant information germane to the subject but that is not included in the list of topics below is also encouraged. NIST will consider all relevant comments received during the public comment period. Respondents need not address all questions in this RFI, though all responses should specify which questions are being answered. For respondents with limited bandwidth, please prioritize questions 1(a), 1(d), 2(a), 2(e), 3(a), 3(b), 4(a), 4(b), and 4(d). All relevant responses that comply with the requirements listed in the DATES and ADDRESSES sections of this RFI will be considered.	NISTは回答者に対し、下記のトピックに関する情報の提供を求めている。NISTは回答者の指針として、この網羅的ではないトピックリストと付随する質問を提供している。下記のトピックリストに含まれていないが主題に関連する情報の提出も奨励する。NISTはパブリックコメント期間中に受け取った全ての関連コメントを検討する。回答者は本RFIの全質問に回答する必要はないが、回答する質問を明記すべきである。回答に制限がある場合は、質問1(a)、1(d)、2(a)、2(e)、3(a)、3(b)、4(a)、4(b)、4(d)を優先的に回答すること。本RFIの「提出期限」及び「提出先」セクションに記載された要件を満たす関連回答は全て考慮される。
1. Security Threats, Risks, and Vulnerabilities Affecting AI Agent Systems	1. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性
(a) What are the unique security threats, risks, or vulnerabilities currently affecting AI agent systems, distinct from those affecting traditional software systems?	(a) 従来のソフトウェアシステムに影響を与えるものとは異なる、AIエージェントシステムに現在影響を与えている特有のセキュリティ脅威、リスク、脆弱性は何であるか。
(b) How do security threats, risks, or vulnerabilities vary by model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), hosting context (including components on premises, in the cloud, or at the edge), use case, and otherwise?	(b) セキュリティ脅威、リスク、脆弱性は、モデルの能力、エージェント足場ソフトウェア、ツール使用、展開方法（内部展開と外部展開を含む）、ホスティング環境（オンプレミス、クラウド、エッジ上のコンポーネントを含む）、ユースケース、その他の要素によってどのように異なるか？
(c) To what extent are security threats, risks, or vulnerabilities affecting AI agent systems creating barriers to wider adoption or use of AI agent systems?	(c) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性は、どの程度、AIエージェントシステムの普及や利用の障壁となっているか？
(d) How have these threats, risks, or vulnerabilities changed over time? How are they likely to evolve in the future?	(d) これらの脅威、リスク、脆弱性は時間とともにどのように変化してきたか？将来どのように進化する可能性が高いか？
(e) What unique security threats, risks, or vulnerabilities currently affect multi-agent systems, distinct from those affecting singular AI agent systems?	(e) 単一のAIエージェントシステムに影響を与えるものとは異なり、現在マルチエージェントシステムに影響を与える固有のセキュリティ脅威、リスク、脆弱性は何であるか？
2. Security Practices for AI Agent Systems	2. AIエージェントシステムのセキュリティ対策
(a) What technical controls, processes, and other practices could ensure or improve the security of AI agent systems in development and deployment? What is the maturity of these methods in research and in practice? Categories may include:	(a) 開発および展開段階におけるAIエージェントシステムのセキュリティを確保または改善するための技術的制御、プロセス、その他の実践は何であるか？これらの手法は研究と実践においてどの程度の成熟度に達しているか。カテゴリーには以下が含まれる：
i. Model-level controls, such as measures to enhance model robustness to prompt injections;	i. プロンプト・インジェクションに対するモデルの頑健性を高める対策など、モデルレベルの制御。
ii. Agent system-level controls, such as prompt engineering, data or tool restrictions, and continuous monitoring methods;	ii. プロンプトエンジニアリング、データやツールの制限、継続的監視手法など、エージェントシステムレベルの制御。
iii. Human oversight controls, such as approvals for consequential actions, management of sensitive and untrusted data, network access permissions, or other controls.	iii. 重大な行動に対する承認、機密性・信頼性の低いデータの管理、ネットワークアクセス権限、その他の制御など、人間の監視による制御。
(b) To what degree, if any, could the effectiveness of technical controls, processes, and other practices vary with changes to model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), use case, use in multi-agent systems, and otherwise?	(b) 技術的制御、プロセス、その他の実践の有効性は、モデル能力、エージェント基盤ソフトウェア、ツール使用、展開方法（内部展開と外部展開を含む）、ユースケース、マルチエージェントシステムでの使用、その他の変化に伴い、どの程度変動する可能性があるか？
(c) How might technical controls, processes, and other practices need to change, in response to the likely future evolution of AI agent system capabilities or of the threats, risks, or vulnerabilities facing them?	(c) AIエージェントシステムの能力、またはそれらに対する脅威・リスク・脆弱性の将来的な進化に対応するため、技術的制御、プロセス、その他の実践はどのように変更する必要があるか？
(d) What are the methods, risks, and other considerations relevant for patching or updating AI agent systems throughout the lifecycle, as distinct from those affecting both traditional software systems and non-agentic AI?	(d) 従来のソフトウェアシステムや非エージェント型AIに影響するものと区別して、AIエージェントシステムのライフサイクル全体を通じたパッチ適用や更新に関連する手法、リスク、その他の考慮事項は何か。
(e) Which cybersecurity guidelines, frameworks, and best practices are most relevant to the security of AI agent systems?	(e) AIエージェントシステムのセキュリティに最も関連性の高いサイバーセキュリティガイドライン、枠組み、ベストプラクティスは何か。
i. What is the extent of adoption by AI agent system developers and deployers of these relevant guidelines, frameworks, and best practices?	i. AIエージェントシステムの開発者や展開者が、これらの関連ガイドライン、枠組み、ベストプラクティスをどの程度採用しているか。
ii. What are impediments, challenges, or misconceptions about adopting these kinds of guidelines, frameworks, or best practices?	ii. この種のガイドライン、枠組み、ベストプラクティスの採用における障害、課題、誤解は何か？
iii. Are there ways in which existing cybersecurity best practices may not be appropriate for the security of AI agent systems?	iii. 既存のサイバーセキュリティベストプラクティスがAIエージェントシステムのセキュリティに不適切な点は存在するか？
3. Assessing the Security of AI Agent Systems	3. AIエージェントシステムのセキュリティアセスメント
(a) What methods could be used during AI agent systems development to anticipate, identify, and assess security threats, risks, or vulnerabilities?	(a) AIエージェントシステム開発中に、セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために使用できる手法は何か？
i. What methods could be used to detect security incidents after an AI agent system has been deployed?	i. AIエージェントシステム展開後、セキュリティインシデントを検知するためにどのような方法が用いられるか？
ii. How do these align (or differ) from traditional information security practices, including supply chain security?	ii. これらはサプライチェーンセキュリティを含む従来の情報セキュリティ慣行とどのように整合（または相違）するか？
iii. What is the maturity of these methods in research and applied use?	iii. これらの方法の研究および応用における成熟度はどうか？
iv. What resources or information would be useful for anticipating, identifying, and assessing security threats, risks, or vulnerabilities?	iv. セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために有用なリソースや情報は何であるか？
(b) Not all security threats, risks, or vulnerabilities are necessarily applicable to every AI agent system; how could the security of a particular AI agent system be assessed and what types of information could help with that assessment?	(b) すべてのセキュリティ脅威、リスク、脆弱性が必ずしも全てのAIエージェントシステムに適用されるわけではない。特定のAIエージェントシステムのセキュリティアセスメントを行う方法と、そのアセスメントに役立つ情報の種類は何か？
(c) What documentation or data from upstream developers of AI models and their associated components might aid downstream providers of AI agent systems in assessing, anticipating, and managing security threats, risks, or vulnerabilities in deployed AI agent systems?	(c) AIモデル及び関連コンポーネントの上流開発者から得られる文書やデータは、下流のAIエージェントシステムプロバイダが展開済みシステムのセキュリティ脅威、リスク、脆弱性を評価・予測・管理する上で、どのような支援が可能か？
i. Does this data or documentation vary between open-source and closed-source AI models and AI agent systems, and if so, how?	i. このデータや文書は、オープンソースとクローズドソースのAIモデルおよびAIエージェントシステム間で異なるのか。異なる場合、その違いは何か。
ii. What kinds of disclosures (if made mandatory or public) could potentially create new vulnerabilities?	ii. どのような開示（義務化または公開された場合）が新たな脆弱性を生み出す可能性があるか。
iii. How should such, if any, disclosures be kept secure between parties to protect system integrity?	iii. システム完全性を保護するため、そのような開示（存在する場合）を当事者間で安全に保持するにはどうすべきか。
(d) What is the state of practice for user-facing documentation of AI agent systems that support secure deployment?	(d) 安全な展開を支援するAIエージェントシステムのユーザー向け文書の現状はどうか。
4. Limiting, Modifying, and Monitoring Deployment Environments	4. 展開環境の制限、変更、監視
(a) AI agent systems may be deployed in a variety of environments, i.e., locations where the system's actions take place. In what manner and by what technical means could the access to or extent of an AI agent system's deployment environment be constrained?	(a) AIエージェントシステムは様々な環境、すなわちシステムの動作が行われる場所に展開される可能性がある。AIエージェントシステムの展開環境へのアクセスや範囲を、どのような方法と技術的手段で制限できるか？
(b) How could virtual or physical environments be modified to mitigate security threats, risks, or vulnerabilities affecting AI agent systems? What is the state of applied use in implementing undoes, rollbacks, or negations for unwanted actions or trajectories (sequences of actions) of a deployed AI agent system?	(b) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性を緩和するため、仮想環境や物理環境をどのように変更できるか？展開済みAIエージェントシステムの望ましくない行動や軌跡（行動の連鎖）に対する取り消し、ロールバック、否定機能の実装における応用利用の現状はどうか？
(c) What is the state of managing risks associated with interactions between AI agent systems and counterparties? Practices, their adoption, and their relative maturity may differ according to the counterparty in the interaction, including:	(c) AIエージェントシステムと相手方との相互作用に関連するリスクマネジメントの現状はどうか？実践内容、その採用状況、相対的な成熟度は、相互作用における相手方によって異なる可能性がある。具体的には：
i. Interactions with humans who are not using the AI agent system directly;	i. AIエージェントシステムを直接使用していない人間との相互作用；
ii. Interactions with digital resources, including web services, servers, and legacy systems;	ii. ウェブサービス、サーバー、レガシーシステムを含むデジタルリソースとの相互作用
iii. Interactions with mechanical systems, machinery, or Internet-of-Things (IoT);	iii. 機械システム、機械装置、またはモノのインターネット（IoT）との相互作用
iv. Interactions with authentication mechanisms, operating system access, source code access, or similar network-level access vectors;	iv. 認証メカニズム、オペレーティングシステムへのアクセス、ソースコードへのアクセス、または類似のネットワークレベルアクセスベクトルとの相互作用
v. Interactions with other AI agent systems.	v. 他のAIエージェントシステムとの相互作用
(d) What methods could be used to monitor deployment environments for security threats, risks, or vulnerabilities?	(d) セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視するために、どのような方法が使用できるか？
i. What challenges exist to deploying traditional methods of monitoring threats, risks, or vulnerabilities?	i. 脅威、リスク、脆弱性を監視する従来の方法を展開する際に、どのような課題が存在するか？
ii. Are there legal and/or privacy challenges to monitoring deployment environments for security threats, risks, or vulnerabilities?	ii. セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視することに関して、法的および／またはプライバシー上の課題は存在するか？
iii. What is the maturity of these methods in research and practice?	iii. これらの方法は、研究および実践においてどの程度の成熟度にあるか？
(e) Are current AI agent systems widely deployed on the open internet, or in otherwise unbounded environments? How could the volume of traffic be tracked on the open internet or in otherwise unbounded environments over time?	(e) 現在のAIエージェントシステムは、オープンインターネットやその他の無制限環境に広く展開されているか？オープンインターネットやその他の無制限環境におけるトラフィック量を、時間経過とともに追跡する方法は何か？
5. Additional Considerations	5. 追加の考慮事項
(a) What methods, guidelines, resources, information, or tools would aid the AI ecosystem in the rapid adoption of security practices affecting AI agent systems and promoting the ecosystem of AI agent system security innovation?	(a) AIエージェントシステムに影響を与えるセキュリティ慣行の迅速な採用と、AIエージェントシステムセキュリティイノベーションのエコシステム促進に役立つ方法、ガイドライン、リソース、情報、またはツールは何か？
(b) In which policy or practice areas is government collaboration with the AI ecosystem most urgent or most likely to lead to improvements in the state of security of AI agent systems today and into the future?	(b) 政府とAIエコシステムとの連携が、現在および将来のAIエージェントシステムのセキュリティ状態の改善に最も緊急性が高く、あるいは最も効果的であると思われる政策または実践分野はどこか？
(c) In which critical areas should research be focused to improve the current state of security practices affecting AI agent systems?	(c) AIエージェントシステムに影響を与える現行のセキュリティ実践を改善するために、研究を集中させるべき重要な分野はどこか？
i. Where should future research be directed in order to unlock the benefits of adoption of secure and resilient AI agent systems?	i. 安全でレジリエンスのあるAIエージェントシステムの導入による利点を解き放つために、将来の研究はどこに向けるべきか？
ii. Which research approaches should be prioritized to advance the scientific understanding and mitigation of security threats, risks, and vulnerabilities affecting AI agent systems?	ii. AIエージェントシステムに影響するセキュリティ脅威、リスク、脆弱性の科学的理解と緩和を進めるため、どの研究アプローチを優先すべきか？
(d) How are other countries addressing these challenges and what are the benefits and drawbacks of their approaches?	(d) 他国はこれらの課題にどう対処しているか？そのアプローチの長所と短所は何か？
(e) Are there practices, norms, or empirical insights from fields outside of artificial intelligence and cybersecurity that might benefit our understanding or assessments of the security of AI agent systems?	(e) AIやサイバーセキュリティ以外の分野から、AIエージェントシステムのセキュリティ理解やアセスメントに有益な実践、規範、実証的知見は存在するか？
Footnotes	脚注
1. Technical Blog: Strengthening AI Agent Hijacking Evaluations, [web]	1. 技術ブログ：AIエージェント乗っ取り評価の強化、[web]
2. Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (NIST AI 100-2e2025), [web]	2. 敵対的機械学習：攻撃と緩和策の分類と用語集（NIST AI 100-2e2025）、[web]
3. Artificial Intelligence Risk Management Framework (NIST AI 100-1), [pdf]	3. 人工知能リスクマネジメント枠組み（NIST AI 100-1）、 [pdf]
4. Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile (NIST AI 600-1), [pdf]	4. 人工知能リスクマネジメント枠組み：生成的人工知能プロファイル（NIST AI 600-1）、[pdf]
5. Managing Misuse Risk for Dual-Use Foundation Models (NIST AI 800-1 2pd), [pdf]	5. 二重用途基盤モデルの悪用リスクマネジメント（NIST AI 800-1 2pd）、[pdf]
6. Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile (NIST SP 800-218), [web]	6. 生成的AI及びデュアルユース基盤モデルのためのセキュアなソフトウェア開発実践：SSDFコミュニティプロファイル（NIST SP 800-218）、[web]。
7. Security and Privacy Controls for Information Systems and Organizations (NIST SP 800-53 Rev. 5), [web].	7. 情報システム及び組織のためのセキュリティ及びプライバシー管理（NIST SP 800-53 Rev. 5）、[web]。
Alicia Chambers,	アリシア・チェンバース
NIST Executive Secretariat.	NIST 事務局長
[FR Doc. 2026-00206 Filed 1-7-26; 8:45 am]	[FR Doc. 2026-00206 提出日 1-7-26; 午前8時45分]
BILLING CODE 3510-13-P	請求コード 3510-13-P

 

中国 パブコメ インターネットアプリケーション個人情報取得・利用規定 (2026.01.10)

こんにちは、丸山満彦です。

インターネットアプリケーション(App)（スマート端末にプリインストールされ、ダウンロード・インストールされるアプリケーションソフトウェア、及びアプリケーションソフトウェアのオープンプラットフォームインターフェースに基づいて開発され、インストール不要で使用可能なミニアプリ、クイックアプリ等を）における個人情報の取得・利用活動を規範化するものということのようです...

内容としては、

 

• 第 1 章 総則: 目的、適用範囲、基本原則など、規定全体の基本的な事項を規定
• 第 2 章 インターネットアプリケーション運営安全管理要求: App 運営者が遵守すべき具体的な安全管理要件を規定。告知と同意、最小限の取得、ユーザーの権利、SDK の管理など、App 運営者の義務が詳細に規定
• 第 3 章 ソフトウェア開発ツール包運営安全管理要求: SDK 運営者が遵守すべき安全管理要件を規定
• 第 4 章 アプリケーション配布プラットフォーム安全管理要求: アプリストアなどの配布プラットフォームが遵守すべき安全管理要件を規定
• 第 5 章 スマート端末安全管理要求: スマートフォンの製造業者などが遵守すべき安全管理要件を規定
• 第 6 章 監督管理: 監督管理部門の権限、App 運営者の協力義務など、監督管理に関する事項を規定
• 第 7 章 附則: 用語の定義、施行日など、規定の解釈・適用に関する補足的な事項を規定

 

このような規制を作る背景としては、App等を通じた過度な（不必要な）個人情報の取得（バックグラウンドでの情報取得含む）、強制的な同意（長ーい同意文を読ませて、同意しないとアプリを使わせないとか。。。）、個人データの違法な利用や越境移転、安全管理不足（暗号化しない）などの事案があったからのようです...

細かく決めているという点では日本よりも細かい欧州以上かもしれませんが、それでも中国は日本よりもどんどん新しい産業がでてきいるようにも思います。

日本でそのまま適用しても問題なさそうな感じかもですね...

 

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.10 

国家互联网信息办公室关于《互联网应用程序个人信息收集使用规定（征求意见稿）》公开征求意见的通知	国家サイバースペース管理局による「インターネットアプリケーション個人情報取得・利用規定（意見募集稿）」の公開意見募集に関する通知
互联网应用程序个人信息收集使用规定	インターネットアプリケーション個人情報取得・利用規定
（征求意见稿）	（意見募集稿）
第一章 总则	第一章 総則
第一条 为了规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，制定本规定。	第一条 インターネットアプリケーションにおける個人情報の取得・利用活動を規範化し、個人情報の権利を保護し、個人情報の合理的な利用を促進するため、「中華人民共和国サイバーセキュリティ法」「中華人民共和国個人情報保護法」「ネットワークデータ安全管理条例」等の法律・法規に基づき、本規定を制定する。
第二条 在中华人民共和国境内运营互联网应用程序过程中收集使用个人信息，以及软件开发工具包、分发平台、智能终端等为互联网应用程序收集使用个人信息活动提供服务的，应当遵守相关法律法规和本规定的要求。	第二条 中華人民共和国国内においてインターネットアプリケーションを運営する際の個人情報の取得・利用、及びソフトウェア開発キット、配信プラットフォーム、スマート端末等がインターネットアプリケーションの個人情報取得・利用活動にサービスを提供する場合、関連法令及び本規定の要求を遵守しなければならない。
互联网应用程序在中华人民共和国境外收集使用中华人民共和国境内自然人个人信息的活动，符合《中华人民共和国个人信息保护法》第三条第二款规定情形的，适用本规定。	インターネットアプリケーションが中華人民共和国国外において中華人民共和国内の自然人の個人情報を取得・利用する活動は、「中華人民共和国個人情報保護法」第三条第二項に規定する状況に該当する場合、本規定を適用する。
第三条 收集使用个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式收集使用个人信息。	第三条 個人情報の取得及び利用は、合法性、正当性、必要性及び誠実性の原則に従わなければならない。誤解を招く行為、詐欺、脅迫等の方法による個人情報の取得及び利用は禁止される。
收集使用个人信息应当向个人信息主体充分告知收集使用规则，并取得个人信息主体同意；收集使用敏感个人信息的，应当取得个人信息主体的单独同意。法律、行政法规另有规定的，依照其规定。	個人情報の取得及び利用に際しては、個人情報主体に対し取得・利用規則を十分に告知し、その同意を得なければならない。機微な個人情報を取得・利用する場合は、個人情報主体の別途の同意を得なければならない。法律・行政法規に別段の定めがある場合は、その規定に従う。
收集使用个人信息应当采取对个人信息主体权益影响最小的方式，限于提供产品或者服务所必需，不得超范围收集使用个人信息。	個人情報の取得及び利用は、個人情報主体の権益への影響を最小限とする方法を採用し、製品またはサービスの提供に必要最小限の範囲に限定し、範囲を超えた取得及び利用をしてはならない。
不得以个人信息主体不同意收集使用其个人信息或者撤回同意为由，拒绝提供产品或者服务，个人信息属于提供产品或者服务所必需的除外。	個人情報主体が個人情報の取得及び利用に同意しないこと、または同意を撤回したことを理由として、製品またはサービスの提供を拒否してはならない。ただし、当該個人情報が製品またはサービスの提供に必要不可欠な場合はこの限りではない。
第四条 互联网应用程序、软件开发工具包运营者分别对所运营的互联网应用程序、软件开发工具包个人信息收集使用活动及安全保护承担主体责任。	第四条 インターネットアプリケーション及びソフトウェア開発キットの運営者は、それぞれが運営するインターネットアプリケーション及びソフトウェア開発キットにおける個人情報の取得・利用活動及び安全保護について主体責任を負う。
互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。未能进行有效审核，对个人信息主体权益造成损害的，依法承担相应责任。	インターネットアプリケーション運営者は組み込まれたソフトウェア開発キットに対し、配布プラットフォーム運営者は配布するインターネットアプリケーションに対し、スマート端末メーカーはプリインストールされたインターネットアプリケーションに対し、法に基づき審査義務を履行する。有効な審査が行われず、個人情報主体の権益に損害を与えた場合、法に基づき相応の責任を負う。
第五条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对汇聚、关联后属于国家秘密事项的个人信息，按照国家有关安全保密规定加强管理。	第五条　インターネットアプリケーション、ソフトウェア開発キット、配布プラットフォームの運営者及びスマート端末メーカーは、集約・関連付け後に国家機密事項に該当する個人情報について、国家の関連する安全保密規定に基づき管理を強化する。
互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对掌握的属于通信秘密的个人信息，不得对内容进行检查，不得向第三方提供。法律、行政法规另有规定的，依照其规定。	インターネットアプリケーション、ソフトウェア開発キット、配布プラットフォームの運営者及びスマート端末メーカーは、保有する通信秘密に該当する個人情報について、内容の検査を行ってはならず、第三者に提供してはならない。法律・行政法規に別段の定めがある場合は、その規定に従う。
第六条 鼓励行业组织建立完善行业自律机制，制定个人信息保护行业规范和自律公约，指导会员单位依法依规开展个人信息收集使用活动，接受社会监督。	第六条 業界団体は、業界自律メカニズムの整備、個人情報保護に関する業界規範及び自律規約の制定を促進し、会員企業が法令に基づき個人情報の取得・利用活動を実施するよう指導し、社会の監督を受けることを推奨する。
第二章 互联网应用程序运营安全管理要求	第二章 インターネットアプリケーション運営の安全管理要件
第七条 互联网应用程序收集使用个人信息应当遵循公开、透明原则，制定公开个人信息收集使用规则，通过清晰易懂的语言真实、准确、完整、逐项列明下列事项：	第七条 インターネットアプリケーションが個人情報を取得・利用する際は、公開・透明性の原則に従い、個人情報の取得・利用規則を策定し、明確で理解しやすい言語を用いて、以下の事項を真実かつ正確に、完全かつ項目ごとに列挙しなければならない：
（一）运营者名称或者姓名和有效的联系方式；	（一）運営者の名称または氏名及び有効な連絡先
（二）以结构化清单形式列明每项功能服务收集使用个人信息的目的、方式、种类，调用权限名称、频度，收集使用敏感个人信息的必要性以及对用户权益的影响；	（二）構造化されたリスト形式で、各機能サービスにおける個人情報の取得・利用目的、方法、種類、呼び出し権限名、頻度、機微な個人情報の取得・利用の必要性及びユーザーの権益への影響を明記すること
（三）嵌入软件开发工具包的，应当以结构化清单形式列明嵌入的软件开发工具包名称（包名）、版本、主要功能、运营者名称或者姓名、收集使用个人信息的种类和完整的软件开发工具包个人信息收集使用规则链接；	（三）ソフトウェア開発キット（SDK）を組み込む場合、組み込まれたSDKの名称（パッケージ名）、バージョン、主要機能、運営者の名称または氏名、取得・利用する個人情報の種類、およびSDKの個人情報取得・利用規則への完全なリンクを構造化されたリスト形式で明記すること。
（四）个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法；	（四）個人情報の保存期間及び保存期間満了後の処理方法。保存期間が確定困難な場合は、保存期間の確定方法を明示すること。
（五）用户查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等；	（五）ユーザーが個人情報の閲覧、複製、移転、訂正、補充、削除、処理制限、アカウント解約、同意撤回を行う方法及び手段等。
（六）法律、行政法规规定应当告知的其他事项。	（六）法律・行政法規で告知が義務付けられているその他の事項。
互联网应用程序对于前款所述重点内容，应当以加粗字体、放大字号、标记不同颜色等显著方式向用户提示。	インターネットアプリケーションは、前項に定める重点事項について、太字、拡大フォント、異なる色での表示など、目立つ方法でユーザーに提示しなければならない。
第八条 收集使用个人信息的目的、方式、种类、保存期限或者保存期限的确定方法，调用权限名称、频度和嵌入的软件开发工具包收集使用个人信息行为等情况发生变化的，互联网应用程序应当及时修订、更新个人信息收集使用规则。	第八条 個人情報の取得・利用の目的、方法、種類、保存期間または保存期間の確定方法、権限の呼び出し名称・頻度、組み込まれたソフトウェア開発キットによる個人情報の取得・利用行為などに変更が生じた場合、インターネットアプリケーションは速やかに個人情報取得利用規則を改訂・更新しなければならない。
注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂的互联网应用程序依照前款规定修订、更新个人信息收集使用规则的，应当同步通过互联网应用程序首页、官方网站、公众号等途径公开征求意见，征求意见期限不少于7个工作日。	登録ユーザーが5000万人以上、または月間アクティブユーザーが1000万人以上で、業務タイプが複雑なインターネットアプリケーションが前項の規定に基づき個人情報取得利用規則を改訂・更新する場合、インターネットアプリケーションのホームページ、公式ウェブサイト、公式アカウント等の経路を通じて同時に意見募集を行い、意見募集期間は7営業日以上とする。
第九条 互联网应用程序应当在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则，并在用户充分知情的前提下，取得用户同意规则的明确表示。	第九条　インターネットアプリケーションは初回起動時、ポップアップ等の顕著な方法でユーザーに個人情報取得利用規則を告知し、ユーザーが十分に理解した上で規則への同意を明確に表明させるものとする。
互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意。互联网应用程序应当在设置页面等醒目位置提供个人信息收集使用规则一键访问功能，方便用户查阅和保存。	インターネットアプリケーションが第三者に個人情報を提供する場合は、ユーザーの個別同意を取得しなければならない。インターネットアプリケーションは設定画面等の目立つ位置に個人情報取得利用規則へのワンクリックアクセス機能を提供し、ユーザーが閲覧・保存しやすいようにするものとする。
互联网应用程序更新个人信息收集使用规则，符合第八条第一款所列情形的，应当通过弹窗、消息推送等显著方式及时向用户告知更新的具体内容，并重新征得用户同意。	インターネットアプリケーションが個人情報取得・利用規則を更新し、第八条第一項に掲げる状況に該当する場合、ポップアップやメッセージプッシュ等の顕著な方法で更新内容を速やかにユーザーに通知し、改めてユーザーの同意を得なければならない。
第十条 互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息，确需用于满足通讯联系、添加好友、数据备份的除外。	第十条 インターネットアプリケーションは、連絡先、通話記録、SMS権限を呼び出してユーザー以外の個人情報主体の個人情報を取得・利用してはならない。ただし、通信連絡、友達追加、データバックアップの目的で必要不可欠な場合はこの限りではない。
互联网应用程序收集使用前款个人信息，属于通信秘密的，应当符合本规定第五条第二款规定。	インターネットアプリケーションが前項の個人情報を取得・利用する場合、通信の秘密に該当するときは、本規定第五条第二項の規定に適合しなければならない。
第十一条 互联网应用程序应当提供基于功能场景的个人信息收集使用配置选项，允许用户根据需要，同意部分功能场景收集使用相关个人信息。	第十一条 インターネットアプリケーションは、機能シナリオに基づく個人情報の取得・利用設定オプションを提供し、ユーザーが必要に応じて一部の機能シナリオにおける関連個人情報の取得・利用に同意できるようにしなければならない。
第十二条 互联网应用程序应当在用户使用具体功能时方可索要对应的必要个人信息权限，并同步告知使用目的，不得提前索要。用户拒绝的，互联网应用程序不得频繁索要影响用户正常使用其他功能。	第十二条 インターネットアプリケーションは、ユーザーが具体的な機能を利用する際にのみ、対応する必要な個人情報権限を要求し、同時に利用目的を通知しなければならない。事前に要求してはならない。ユーザーが拒否した場合、インターネットアプリケーションは頻繁に要求してユーザーの他の機能の正常な使用に影響を与えてはならない。
第十三条 互联网应用程序不得在用户同意个人信息收集使用规则前收集使用个人信息，不得超出用户同意的目的、方式、种类、保存期限收集使用个人信息。	第十三条 インターネットアプリケーションは、ユーザーが個人情報の取得・利用規則に同意する前に個人情報を取得・利用してはならず、ユーザーの同意した目的、方法、種類、保存期間を超えて個人情報を取得・利用してはならない。
互联网应用程序调用权限需与当前功能场景直接相关，应当仅在用户使用具体功能时以所需的最低频度、最小范围收集个人信息。在当前功能场景不再需要权限时停止调用权限，不得收集非必要个人信息、调用非必要权限。	インターネットアプリケーションが権限を呼び出す必要がある場合、それは現在の機能シナリオと直接関連している必要があり、ユーザーが特定の機能を利用する際にのみ、必要な最小限の頻度と最小範囲で個人情報を取得しなければならない。当該機能シナリオで権限が不要となった時点で権限の呼び出しを停止し、不要な個人情報の取得や不要な権限の呼び出しを行ってはならない。
第十四条 互联网应用程序应当仅在用户主动选择使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限，不得在用户停止使用相关功能或者无关场景调用相机、麦克风权限。	第十四条 インターネットアプリケーションは、ユーザーが自発的に写真撮影、音声送信、録音・録画等の機能を選択して使用する場合に限り、カメラやマイクの権限を呼び出すものとし、ユーザーが関連機能の使用を停止した場合や無関係なシナリオにおいてカメラやマイクの権限を呼び出してはならない。
互联网应用程序在地图导航、路径记录、外卖闪送、位置共享等需要实时定位的场景，持续调用位置权限的频率应当限于实现业务功能的最低频度；在添加地点、内容搜索、内容推荐、广告营销等需单次定位场景，应当仅在用户进入功能界面或者用户主动刷新时调用一次位置权限。除法律、行政法规另有规定或者所提供业务功能确需后台持续获取位置外，互联网应用程序不应索要后台访问用户位置信息权限。	インターネットアプリケーションは、地図ナビゲーション、経路記録、出前・宅配サービス、位置情報共有などリアルタイム位置情報が必要な場面において、位置情報権限を継続的に呼び出す頻度は業務機能を実現する最低限の頻度に限定しなければならない。場所の追加、コンテンツ検索、コンテンツ推薦、広告マーケティングなど単回位置情報が必要な場面では、ユーザーが機能画面に入った時またはユーザーが自ら更新した時にのみ位置情報権限を一度呼び出さなければならない。法律・行政法規に別段の定めがある場合、または提供する業務機能においてバックグラウンドでの継続的な位置情報の取得が真に必要な場合を除き、インターネットアプリケーションはバックグラウンドでの位置情報アクセス権限を要求してはならない。
用户选择使用上传或者发送图片、文件等功能，互联网应用程序可使用智能终端提供的存储访问框架实现的，不得索要手机相册、通讯录、短信、存储等权限。互联网应用程序通过提供文件编辑、文件备份等功能获得存储权限的，不得访问用户主动选择以外的文件。	ユーザーが画像・ファイルのアップロードや送信機能を利用する場合、インターネットアプリケーションはスマート端末が提供するストレージアクセスフレームワークを利用できる。この場合、携帯電話のアルバム・連絡先・SMS・ストレージなどの権限を要求してはならない。ファイル編集・バックアップ機能の提供を通じてストレージ権限を取得する場合、ユーザーが自ら選択したファイル以外へのアクセスは禁止される。
第十五条 互联网应用程序收集人脸、指纹、声纹等生物识别信息应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格的保护措施。	第十五条　インターネットアプリケーションが顔、指紋、声紋等の生体認証情報を取得する場合、特定の目的と十分な必要性を有し、個人の権益への影響を最小限とする方法を採用するとともに、厳格な保護措置を実施しなければならない。
除法律、行政法规另有规定或者取得用户单独同意外，互联网应用程序收集使用人脸、指纹、声纹等信息应当存储于生物识别设备内，不得通过互联网对外传输。除法律、行政法规另有规定外，生物识别信息的保存期限不得超过实现处理目的所必需的最短时间。	法律・行政法規に別段の定めがある場合、またはユーザーの個別同意を得た場合を除き、インターネットアプリケーションが顔、指紋、声紋等の情報を取得・利用する場合、当該情報は生体認証デバイス内に保存され、インターネット経由で外部に送信してはならない。法律・行政法規に別段の定めがある場合を除き、生体識別情報の保存期間は処理目的達成に必要な最短期間を超えてはならない。
第十六条 互联网应用程序运营者应当采取充分的管理措施和必要的技术措施，严格落实未成年人个人信息保护要求，切实防范未成年人个人信息泄露、篡改、丢失。	第十六条 インターネットアプリケーション運営者は、十分な管理措置及び必要な技術的措置を講じ、未成年者の個人情報保護要求を厳格に履行し、未成年者の個人情報の漏洩・改ざん・紛失を確実に防止しなければならない。
互联网应用程序收集使用不满十四周岁未成年人个人信息的，应当制定专门的个人信息收集使用规则，并取得未成年人父母或者其他监护人的同意。	インターネットアプリケーションが14歳未満の未成年者の個人情報を取得・利用する場合、専用の個人情報取得利用規則を策定し、未成年者の父母またはその他の保護者の同意を得なければならない。
第十七条 互联网应用程序通过自动化决策方式向用户进行信息推送、商业营销的，应当设置易于理解、便于访问和操作的个性化推荐关闭选项。	第十七条 インターネットアプリケーションが自動化された意思決定方式によりユーザーに情報プッシュや商業マーケティングを行う場合、理解しやすく、アクセスや操作が容易なパーソナライズド推薦の停止オプションを設定しなければならない。
用户关闭个性化推荐功能时，互联网应用程序应当停止将用户相关个人信息用于个性化推荐目的。	ユーザーがパーソナライズド推薦機能を停止した場合、インターネットアプリケーションは当該ユーザーの個人情報をパーソナライズド推薦目的に使用することを直ちに停止しなければならない。
第十八条 互联网应用程序应当为用户提供注销账号的便捷功能。用户注销账号的，除确有必要用于防范黑灰产、安全风控等情形，互联网应用程序不得要求用户新增提供人脸、手持身份证照片等超出互联网应用程序已收集范围以外的个人信息。	第十八条 インターネットアプリケーションは、ユーザーに対しアカウント削除の簡便な機能を提供しなければならない。ユーザーがアカウントを削除する場合、ブラックマーケット対策やセキュリティリスク管理など真に必要な場合を除き、インターネットアプリケーションは顔写真や身分証を手に持った写真など、既に取得済みの範囲を超える個人情報の追加提供をユーザーに要求してはならない。
用户注销账号的，互联网应用程序应当在15个工作日内完成账号注销，删除已收集的相关个人信息或者进行匿名化处理，法律、行政法规另有规定的除外。	ユーザーがアカウントを削除した場合、インターネットアプリケーションは15営業日以内にアカウント削除を完了し、取得済みの関連個人情報を削除または匿名化処理しなければならない。ただし、法律・行政法規に別段の定めがある場合は除く。
对于同一企业主体或者集团旗下多款互联网应用程序采用统一账号进行一体化管理的，应当允许用户选择注销其中一款互联网应用程序账号，或者允许用户选择关闭该账号在此互联网应用程序的使用权限，并删除仅用于此互联网应用程序的个人信息。	同一企業主体またはグループ傘下の複数インターネットアプリケーションが統一アカウントで統合管理されている場合、ユーザーが当該グループ内のいずれか一つのアプリケーションアカウントを削除するか、当該アカウントの当該アプリケーションにおける使用権限を停止することを選択できるようにし、かつ当該アプリケーション専用に利用されていた個人情報を削除しなければならない。
第十九条 互联网应用程序应当与嵌入的软件开发工具包约定收集使用个人信息的目的、方式、种类和安全保护责任及违约责任，并采取有效的技术措施对嵌入的软件开发工具包个人信息收集使用行为进行审核，确保软件开发工具包实际个人信息收集和权限调用行为与互联网应用程序个人信息收集使用规则中声明的软件开发工具包相关内容保持一致。	第十九条　インターネットアプリケーションは、組み込まれたソフトウェア開発キット（SDK）に対し、個人情報の取得・利用目的、方法、種類、安全保護責任及び違約責任を定め、組み込まれたSDKの個人情報取得・利用行為を審査するための有効な技術的措置を講じなければならない。これにより、SDKの実際の個人情報取得及び権限呼び出し行為が、インターネットアプリケーションの個人情報取得・利用規則に明記されたSDK関連内容と一致することを確保する。
用户向互联网应用程序提出查阅、复制、更正、补充、删除、限制处理其个人信息，或者注销账号、撤回同意等相关请求涉及软件开发工具包个人信息收集使用活动的，互联网应用程序应当将用户请求及时通知软件开发工具包，并督促软件开发工具包及时响应用户请求。	ユーザーがインターネットアプリケーションに対し、個人情報の閲覧・複製・訂正・補充・削除・処理制限、アカウント削除、同意撤回等の請求を行い、当該請求がSDKの個人情報取得・利用活動に関わる場合、インターネットアプリケーションは速やかにSDKにユーザー請求を通知し、SDKが速やかにユーザー請求に対応するよう促さなければならない。
第二十条 互联网应用程序就个人信息收集使用行为进行优化、改进，发布或者更新版本后，应当采取有效方式提醒用户进行版本升级，并对所有授权发布渠道的旧版本互联网应用程序进行更新替换。	第二十条　インターネットアプリケーションは、個人情報の取得・利用行為を最適化・改善し、バージョンをリリースまたは更新した後、効果的な方法でユーザーにバージョンアップを促すとともに、全ての認可リリースチャネルにおける旧バージョンのインターネットアプリケーションを更新・置換しなければならない。
第二十一条 鼓励互联网应用程序接入国家网络身份认证公共服务，用以支持用户使用网号、网证登记、核验真实身份信息。	第二十一条　インターネットアプリケーションは、国家ネットワーク身分認証公共サービスへの接続を推奨する。これにより、ユーザーがネットID・ネット証明書による登録・本人確認を行うことを支援する。
用户选择使用网号、网证登记、核验身份信息并通过验证的，互联网应用程序不得强制要求用户另行提供明文身份信息，法律、行政法规另有规定或者用户同意提供的除外。	ユーザーがネットID・ネット認証による登録・本人確認を選択し、かつ認証を通過した場合、インターネットアプリケーションはユーザーに対し平文の本人情報を別途提供するよう強制してはならない。ただし、法律・行政法規に別段の定めがある場合、またはユーザーが提供に同意した場合はこの限りではない。
第三章 软件开发工具包运营安全管理要求	第三章 ソフトウェア開発キットの運営安全管理に関する要求
第二十二条 软件开发工具包收集使用个人信息的，应当制定个人信息收集使用规则并在产品官方网站公开。	第二十二条 ソフトウェア開発キットが個人情報を取得・利用する場合、個人情報取得利用規則を策定し、製品公式サイトで公開しなければならない。
对于同时运营多个历史版本的，软件开发工具包应当在个人信息收集使用规则中列明不同版本个人信息收集使用行为。	複数の旧バージョンを同時に運用する場合、SDKは個人情報取得利用規則において各バージョンの個人情報の取得利用行為を明記しなければならない。
软件开发工具包收集使用个人信息的目的、方式、范围等发生变化的，应当同步更新相应的个人信息收集使用规则。	SDKが個人情報の取得利用目的、方法、範囲等を変更する場合、対応する個人情報取得利用規則を同時に更新しなければならない。
第二十三条 软件开发工具包不得超出收集使用规则声明的范围收集使用个人信息，不得超出实现业务功能的最小范围收集使用个人信息，不得超出实现业务功能的最低频度调用权限。	第二十三条 SDKは、取得利用規則で宣言した範囲を超えて個人情報を取得利用してはならない。業務機能を実現する最小範囲を超えて個人情報を取得利用してはならない。業務機能を実現する最低頻度を超えて権限を呼び出してはならない。
第二十四条 软件开发工具包应当提供基于功能的个人信息配置选项，允许互联网应用程序按照不同功能需要对软件开发工具包个人信息收集行为进行管理配置。	第二十四条 ソフトウェア開発キットは、機能に基づく個人情報設定オプションを提供し、インターネットアプリケーションが異なる機能ニーズに応じてソフトウェア開発キットの個人情報取得行為を管理設定できるようにしなければならない。
软件开发工具包通过自动化决策方式向用户进行信息推送、商业营销的，应当向互联网应用程序提供个性化推荐关闭选项，在关闭后停止将用户相关个人信息用于个性化推荐目的。	ソフトウェア開発キットが自動化された意思決定方式によりユーザーへ情報プッシュや商業マーケティングを行う場合、インターネットアプリケーションにパーソナライズド推薦の停止オプションを提供し、停止後はユーザー関連個人情報をパーソナライズド推薦目的に使用してはならない。
软件开发工具包应当及时响应互联网应用程序通知的用户个人信息查阅、复制、更正、补充、删除、限制处理等相关请求。	ソフトウェア開発キットは、インターネットアプリケーションから通知されたユーザーの個人情報閲覧、複製、修正、補充、削除、処理制限等の関連要求に速やかに応じるものとする。
第二十五条 软件开发工具包应当建立有效方式和途径，直接响应用户查阅、复制、转移、更正、补充、删除、限制处理个人信息的请求，相关方式和途径应当在个人信息收集使用规则中予以列明。	第二十五条 ソフトウェア開発キットは、ユーザーによる個人情報の閲覧、複製、移転、修正、補充、削除、処理制限の要求に直接応じる有効な方法及び手段を確立するものとする。関連する方法及び手段は、個人情報取得利用規則に明記するものとする。
第四章 应用程序分发平台安全管理要求	第四章 アプリケーション配信プラットフォームの安全管理要求
第二十六条 分发平台应当加强互联网应用程序上架审核，建立互联网应用程序收集使用个人信息规范性档案，在受理互联网应用程序发布及版本更新上架申请时，登记并核验互联网应用程序运营者的真实身份、联系方式等信息，记录互联网应用程序个人信息收集使用问题以及因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的情况。对未提供相关信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予上架。	第二十六条 配信プラットフォームは、インターネットアプリケーションの掲載審査を強化し、インターネットアプリケーションの個人情報取得・利用に関する規範的ファイルを構築しなければならない。インターネットアプリケーションの公開及びバージョン更新の掲載申請を受理する際には、インターネットアプリケーション運営者の実体、連絡先等の情報を登録・確認し、インターネットアプリケーションの個人情報取得・利用に関する問題及び違法・規制違反による個人情報取得・利用により省級以上の個人情報保護職責履行部門から通報または行政処分を受けた状況を記録しなければならない。関連情報を提供しない、虚偽の情報を提供する、インターネットアプリケーションに個人情報取得利用規則がない、アカウント削除機能や個人情報削除手段がない場合、掲載を認めない。
分发平台在上架审核中应根据互联网应用程序运营者获得个人信息保护认证和互联网应用程序安全认证的结果，予以优先展示推荐。	配信プラットフォームは掲載審査において、インターネットアプリケーション運営者が個人情報保護認証及びインターネットアプリケーションセキュリティ認証を取得した結果に基づき、優先的に表示・推奨するものとする。
分发平台应当自本规定生效之日起6个月内，完成对在架存量互联网应用程序的审核，审核不通过的予以清理下架。	配信プラットフォームは、本規定発効日より6ヶ月以内に、既に掲載されている既存インターネットアプリケーションの審査を完了し、審査に合格しないものは削除する。
第二十七条 分发平台应当在互联网应用程序分发、下载页面，清晰准确展示下列信息：	第二十七条 配信プラットフォームは、インターネットアプリケーションの配信・ダウンロードページにおいて、以下の情報を明確かつ正確に表示しなければならない：
（一）互联网应用程序运营者名称或者姓名、联系方式；	（一）インターネットアプリケーション運営者の名称または氏名、連絡先
（二）互联网应用程序主要功能介绍；	（二）インターネットアプリケーションの主な機能説明
（三）互联网应用程序运行所需具体权限列表；	（三）インターネットアプリケーションの動作に必要な具体的な権限リスト
（四）个人信息收集使用规则文本或者链接；	（四）個人情報の取得・利用に関する規則の本文またはリンク
（五）对因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的互联网应用程序，应当自通报或处罚之日起6个月内，在分发、下载页面发布个人信息安全风险提示。	（五）法令違反による個人情報の取得・利用で省級以上の個人情報保護担当部門から通報または行政処分を受けたインターネットアプリケーションについては、通報または処分の日から6か月以内に、配布・ダウンロードページに個人情報セキュリティリスクに関する注意喚起を掲載しなければならない。
第二十八条 对履行个人信息保护职责的部门认定存在违法违规收集使用个人信息行为的互联网应用程序，分发平台应当积极配合采取警示、不予分发、暂停分发或者终止分发等处置措施。	第二十八条 個人情報保護職責を履行する部門が違法・違規な個人情報の取得・利用行為があると認定したインターネットアプリケーションに対し、配布プラットフォームは警告、配布拒否、配布停止または配布終了などの措置を積極的に協力して講じなければならない。
第五章 智能终端安全管理要求	第五章 スマート端末の安全管理要件
第二十九条 智能终端厂商在受理互联网应用程序预置申请时，应当登记并核验互联网应用程序运营者的真实身份、联系方式等信息，对未提供上述信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予预置。	第二十九条 スマート端末メーカーは、インターネットアプリケーションのプリインストール申請を受理する際、当該アプリケーション運営者の実体情報、連絡先等の情報を登録・確認しなければならない。上記情報を提供しない、または虚偽情報を提供した場合、あるいは当該アプリケーションに個人情報の取得・利用に関する規則がなく、アカウント削除機能や個人情報の削除手段がない場合には、プリインストールを認めない。
第三十条 互联网应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，根据权限特点提供可基于时间、频度、精度等精细化授权模式选项。	第三十条　インターネットアプリケーションがカレンダー、通話記録、カメラ、連絡先、位置情報、マイク、電話、SMS、ストレージ、身体活動等の権限を要求する場合、スマート端末のオペレーティングシステムはポップアップ表示でユーザーの同意を得るものとし、権限の特性に応じて時間、頻度、精度等に基づく詳細な許可モードの選択肢を提供しなければならない。
第三十一条 智能终端应当在屏幕顶部等显著位置，以易于理解的图标等显著标识，如实地向用户提示当前正在调用的麦克风、摄像头、位置等权限。	第三十一条 スマート端末は画面上部などの目立つ位置に、分かりやすいアイコンなどの明確な表示を用いて、現在使用中のマイク、カメラ、位置情報などの権限をユーザーに事実通り提示しなければならない。
第三十二条 智能终端应当如实记录并集中展示互联网应用程序调用日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限情况；互联网应用程序后台静默期间自启动、关联启动情况；互联网应用程序通过智能终端收集剪切板、设备唯一标识、应用程序列表等个人信息行为。记录规则应当予以公开。	第三十二条 スマート端末は、インターネットアプリケーションによるカレンダー・通話記録・カメラ・連絡先・位置情報・マイク・電話・SMS・ストレージ・身体活動等の権限利用状況を正確に記録し集中表示しなければならない。また、インターネットアプリケーションのバックグラウンド静止期間における自動起動・関連起動状況、ならびにスマート端末を通じてクリップボード・デバイス固有識別子・アプリケーションリスト等の個人情報を取得する行為を記録しなければならない。記録ルールは公開されるべきである。
智能终端应当准确提示互联网应用程序调用权限可能带来的安全风险。	スマート端末は、インターネットアプリケーションが権限を呼び出すことで生じる可能性のあるセキュリティリスクを正確に通知しなければならない。
第六章 监督管理	第六章 監督管理
第三十三条 国家网信部门负责统筹协调和监督管理互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作。国务院电信主管部门、公安部门和其他有关机关依照有关法律法规和本规定的要求，在各自职责范围内负责互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。	第三十三条 国家サイバースペース管理局は、インターネットアプリケーション、ソフトウェア開発キット、配信プラットフォーム及びスマート端末における個人情報保護業務の統括調整及び監督管理を担当する。国務院電気通信主管部門、公安部門及びその他の関係機関は、関連法令及び本規定の要求に基づき、それぞれの職責の範囲内でインターネットアプリケーション、ソフトウェア開発キット、配信プラットフォーム及びスマート端末における個人情報保護及び監督管理業務を担当する。
地方网信部门负责统筹协调和监督管理本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作，地方电信管理部门、公安部门和其他有关机关依据各自职责做好本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。	地方ネット情報部門は、管轄区域内のインターネットアプリケーション、ソフトウェア開発キット、配布プラットフォーム及びスマート端末における個人情報保護業務の調整・監督管理を統括する。地方電気通信管理部門、公安部門及びその他の関係機関は、それぞれの職責に基づき、管轄区域内のインターネットアプリケーション、ソフトウェア開発キット、配布プラットフォーム及びスマート端末における個人情報保護及び監督管理業務を適切に実施する。
第三十四条 互联网应用程序、软件开发工具包运营者应当在产品官方网站、个人信息收集使用规则中提供有效的、易于访问的投诉举报渠道，健全投诉举报的受理、处置、反馈机制，在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处置个人信息相关投诉。	第三十四条　インターネットアプリケーション及びソフトウェア開発キットの運営者は、製品公式サイト及び個人情報取得利用規則において、有効かつ容易にアクセス可能な苦情申立窓口を提供し、苦情申立の受理・処理・フィードバックの仕組みを整備しなければならない。また、承諾した期限内（承諾期限は15営業日を超えてはならず、期限を承諾していない場合は15営業日を上限とする）に個人情報関連の苦情を受け付け処理する。
互联网应用程序运营者应当同时受理、处置、反馈关于嵌入的软件开发工具包相关个人信息问题举报，核验属实的，应当督促软件开发工具包运营者进行整改。分发平台运营者、智能终端厂商应当同时受理、处置、反馈关于分发和预置的互联网应用程序相关个人信息问题举报，核验属实的，应当督促互联网应用程序运营者进行整改。	インターネットアプリケーション運営者は、組み込まれたソフトウェア開発キットに関連する個人情報問題の通報についても同時に受理・処理・フィードバックを行うものとする。事実確認が取れた場合は、ソフトウェア開発キット運営者に対し是正を促さなければならない。配布プラットフォーム運営者及びスマート端末メーカーは、配布・プリインストールされたインターネットアプリケーションに関連する個人情報問題の通報についても同時に受理・処理・フィードバックを行うものとする。事実確認が取れた場合は、インターネットアプリケーション運営者に対し是正を促さなければならない。
第三十五条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当制定内部管理制度和操作规程，建立健全内部合规管理体系和问责机制，防止个人信息被用于电信网络诈骗等违法犯罪活动，充分保护用户个人信息。	第三十五条　インターネットアプリケーション、ソフトウェア開発キット、配信プラットフォーム運営者及びスマート端末メーカーは、内部管理制度と操作手順を策定し、内部コンプライアンス管理体制と責任追及メカニズムを整備し、個人情報が電信ネットワーク詐欺等の違法犯罪活動に利用されることを防止し、ユーザーの個人情報を十分に保護しなければならない。
互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当对履行个人信息保护职责的部门依法开展的个人信息保护监督检查予以配合，并提供必要的技术支持和协助。	インターネットアプリケーション、ソフトウェア開発キット、配布プラットフォームの運営者及びスマート端末メーカーは、個人情報保護の職責を履行する部門が法に基づき実施する個人情報保護監督検査に協力し、必要な技術支援と協力を提供しなければならない。
第三十六条 互联网应用程序、软件开发工具包运营者应当强化对个人信息查阅、复制、修改、删除等操作的权限管理，采取加密、去标识化等安全技术措施，防止个人信息泄露、丢失或者未经授权的访问。	第三十六条 インターネットアプリケーション及びソフトウェア開発キットの運営者は、個人情報の閲覧、複製、修正、削除等の操作に対する権限管理を強化し、暗号化、非識別化等の安全技術措置を講じ、個人情報の漏洩、紛失又は不正アクセスを防止しなければならない。
发生个人信息泄露、丢失的，互联网应用程序、软件开发工具包运营者应该将泄露个人信息的种类、原因、可能造成的危害、采取的补救措施等信息及时告知用户，并向履行个人信息保护职责的部门报告。	個人情報の漏洩・紛失が発生した場合、インターネットアプリケーション及びソフトウェア開発キットの運営者は、漏洩した個人情報の種類、原因、引き起こす可能性のある危害、講じた是正措置等の情報を速やかに利用者に通知し、個人情報保護の職責を履行する部門に報告しなければならない。
第三十七条 互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商违反本规定的，履行个人信息保护职责的部门依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等相关法律法规处理；构成犯罪的，依法追究刑事责任。	第三十七条　インターネットアプリケーション、ソフトウェア開発キット、配布プラットフォームの運営者及びスマート端末メーカーが本規定に違反した場合、個人情報保護の職責を履行する部門は『中華人民共和国サイバーセキュリティ法』『中華人民共和国個人情報保護法』『ネットワークデータ安全管理条例』等の関連法令に基づき処理する。犯罪を構成する場合は、法に基づき刑事責任を追及する。
第七章 附则	第七章 附則
第三十八条 本规定中下列用语的含义：	第三十八条 本規定における以下の用語の定義は次の通りである：
互联网应用程序（App），是指智能终端预置、下载安装的应用软件，以及基于应用软件开放平台接口开发的、无需安装即可使用的小程序、快应用等。	インターネットアプリケーション（App）とは、スマート端末にプリインストールされ、ダウンロード・インストールされるアプリケーションソフトウェア、及びアプリケーションソフトウェアのオープンプラットフォームインターフェースに基づいて開発され、インストール不要で使用可能なミニアプリ、クイックアプリ等を指す。
互联网应用程序运营者，是指互联网应用程序的开发者、所有者、管理者或者提供者。	インターネットアプリケーション運営者とは、インターネットアプリケーションの開発者、所有者、管理者又は提供者を指す。
软件开发工具包（SDK），是指协助软件开发的软件库。	ソフトウェア開発キット（SDK）とは、ソフトウェア開発を支援するソフトウェアライブラリを指す。
软件开发工具包运营者，是指软件开发工具包的开发者、所有者、管理者或者提供者。	ソフトウェア開発キット運営者とは、ソフトウェア開発キットの開発者、所有者、管理者または提供者を指す。
个人信息主体，是指个人信息所标识或者关联的自然人。	個人情報主体とは、個人情報が識別または関連付けられる自然人を指す。
用户，是指使用互联网应用程序相关功能服务的自然人。	ユーザーとは、インターネットアプリケーション関連機能サービスを利用する自然人を指す。
分发平台，是指通过互联网提供互联网应用程序发布、下载、动态加载等服务提供者，包括应用商店、应用市场、快应用中心、小程序平台等。	配布プラットフォームとは、インターネットを通じてインターネットアプリケーションの公開、ダウンロード、動的ロード等のサービスを提供する者を指し、アプリストア、アプリマーケット、クイックアプリセンター、ミニアプリプラットフォーム等を含む。
智能终端，是指能够接入公众网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。	スマート端末とは、公衆ネットワークに接続可能で、オペレーティングシステムを備え、ユーザーが自らアプリケーションソフトウェアをインストール・アンインストールできる移動通信端末製品を指す。
必要个人信息，是指为了保障基本功能服务或者用户所选择使用的功能服务正常运行所必需的个人信息，缺少该信息无法向用户提供相应的功能服务。	必要個人情報は、基本機能サービスまたはユーザーが選択した機能サービスの正常な動作を保障するために必要な個人情報を指す。この情報が欠如すると、ユーザーに対応する機能サービスを提供できない。
可收集个人信息权限，是指智能终端操作系统向互联网应用程序开放的，具有收集个人信息功能的系统权限，包括日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等，简称权限。	個人情報を取得できる権限とは、スマート端末のオペレーティングシステムがインターネットアプリケーションに開放する、個人情報を取得する機能を持つシステム権限を指す。これにはカレンダー、通話記録、カメラ、連絡先、位置情報、マイク、電話、SMS、ストレージ、身体活動などが含まれ、略して権限と呼ぶ。
第三十九条 本规定自 年 月 日起施行。	第三十九条　本規定は　年　月　日から施行する。

 

 

 

 

中国 個人情報保護に関する政策法規Q&A（2026年1月）

こんにちは、丸山満彦です。

2026.01.01より、改正ネットワークセキュリティ法の施行、機微な個人情報の取り扱いに関する技術標準の施行、外資系企業などによる個人データの適切な越境処理の確認も含めて？、個人情報保護に関する政策放棄Q&Aが公表されていますね...

 

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.09 个人信息保护政策法规问答（2026年1月）

 

个人信息保护政策法规问答（2026年1月）	個人情報保護に関する政策法規Q&A（2026年1月）
国家互联网信息办公室持续加强个人信息保护相关政策法规宣贯，指导帮助个人信息处理者规范开展个人信息处理活动，保护个人信息权益。现将一些具有代表性的问题和答复公布如下。	国家サイバースペース管理局は、個人情報保護関連の政策法規の周知徹底を継続的に強化し、個人情報取扱者が規範的に個人情報の処理活動を行い、個人情報の権利を保護するよう指導・支援している。代表的な質問と回答を以下に公表する。
1.什么是个人信息？	1. 個人情報とは何か？
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。	個人情報とは、電子的その他の方法で記録された、識別されたまたは識別可能な自然人に関するあらゆる情報を指す。匿名化処理後の情報は含まれない。
个人信息包括但不限于以下类型，如个人姓名、生日、年龄等个人基本资料，身份证、军官证、护照等个人身份信息，人脸、基因、声纹、虹膜、指纹等生物识别信息，用户账号、用户标识符（用户ID）等网络身份标识信息，教育经历、职业、职位等个人教育工作信息，金融账户、消费记录、收入状况、借款信息等个人财产信息，账号口令、数字证书等身份鉴别信息，通信记录、短信、电子邮件等个人通信信息，通讯录、好友列表等联系人信息，网页浏览记录、软件使用记录等个人上网记录，国际移动设备识别码（IMEI）等个人设备信息，交通出行信息等个人位置信息，用户标签、画像信息等个人标签信息，步数、步频等个人运动信息，以及其他与已识别或者可识别的自然人有关的各种信息。	個人情報には以下のような種類が含まれるが、これらに限定されない。・個人名、生年月日、年齢などの基本情報・身分証明書、軍人証、パスポートなどの個人識別情報・顔、遺伝子、声紋、虹彩、指紋などの生体認証情報・ユーザーアカウント、ユーザー識別子（ユーザーID）などのネットワーク識別情報・教育情報、職業情報、健康情報などの個人データ 身分証明書、軍人証、パスポート等の個人身分情報、顔、遺伝子、声紋、虹彩、指紋等の生体識別情報、ユーザーアカウント、ユーザー識別子（ユーザーID）等のネットワーク身分識別情報、学歴、職業、役職等の個人教育・就業情報、金融口座、消費記録、収入状況、借入情報等の個人財産情報、アカウントパスワード、デジタル証明書等の身分認証情報、通信記録、SMS、電子メール等の個人通信情報、 連絡先リスト、フレンドリストなどの連絡先情報、ウェブ閲覧履歴、ソフトウェア使用記録などの個人インターネット利用記録、国際移動体装置識別番号（IMEI）などの個人端末情報、交通移動情報などの個人位置情報、ユーザータグ、プロファイル情報などの個人タグ情報、歩数、歩数頻度などの個人運動情報、その他識別された、または識別可能な自然人に関連する各種情報。
2.什么是敏感个人信息？	2. 機微な個人情報とは何か？
敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。	機微な個人情報とは、漏洩または不正使用された場合、自然人の人格的尊厳が侵害されたり、身体・財産の安全が危害を受ける恐れがある個人情報を指す。これには生体認証情報、宗教的信仰、特定身分、医療健康情報、金融口座情報、行動軌跡情報などが含まれ、14歳未満の未成年者の個人情報も該当する。
国家标准GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》明确了敏感个人信息识别和界定方法，并在附录A中给出常见的敏感个人信息类别，如人脸、基因、声纹等生物识别信息，个人信仰的宗教、加入的宗教组织等宗教信仰信息，残障人士身份信息、不适宜公开的职业身份信息等特定身份信息，病症、既往病史、医疗就诊记录、检验检查数据等医疗健康信息，银行、证券、基金、保险账户的账号及密码等金融账户信息，连续精准定位轨迹信息、车辆行驶轨迹信息等行踪轨迹信息，居民身份证照片、征信信息、犯罪记录信息等其他敏感个人信息。	標準GB/T 45574-2025『データセキュリティ技術 機微な個人情報の処理に関する安全要件』は、機微な個人情報の識別及び定義方法を明確化しており、付録Aにおいて一般的な機微な個人情報のカテゴリーを示している。例えば、顔、遺伝子、声紋などの生体認証情報、個人の信仰する宗教、加入する宗教組織などの宗教信仰情報、障害者身分情報、公開に適さない職業身分情報などの特定身分情報、 疾病・既往歴・診療記録・検査データ等の医療健康情報、銀行・証券・投資信託・保険口座の番号及びパスワード等の金融口座情報、連続的な精密位置情報・車両走行軌跡情報等の行動軌跡情報、住民身分証写真・信用情報・犯罪記録情報等のその他の機微な個人情報である。
3.应用人脸识别技术处理人脸信息前如何进行个人信息保护影响评估？	3.顔認識技術を用いた顔情報の処理前に、個人情報保護アセスメントをどう行うか？
《人脸识别技术应用安全管理办法》第九条规定，使用人脸识别技术前应当进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估由应用人脸识别技术的个人信息处理者组织开展，可有第三方机构参与。若有第三方机构参与，需在评估报告中说明第三方机构的基本情况及参与评估的情况。	『顔認識技術応用セキュリティ評価弁法』第9条は、顔認識技術使用前に個人情報保護アセスメントを実施し、処理状況を記録すべきと規定している。個人情報保護アセスメントは、顔認識技術を利用する個人情報処理者が実施し、第三者機関の参加が可能である。第三者機関が参加する場合、評価報告書に当該機関の基本情報及び評価への参加状況を記載する必要がある。
主要评估四方面内容，一是人脸信息的处理目的、处理方式是否合法、正当、必要；二是对个人权益带来的影响，以及降低不利影响的措施是否有效；三是发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害；四是所采取的保护措施是否合法、有效并与风险程度相适应。	主に四つの側面についてアセスメントを行う。第一に、顔情報の処理目的・処理方法が合法的・正当・必要か。第二に、個人の権益への影響及び不利な影響を軽減する措置の有効性。第三に、顔情報の漏洩・改ざん・紛失・毀損、あるいは不正取得・販売・使用のリスク及び引き起こし得る危害。第四に、講じた保護措置が合法的・有効であり、リスクの程度に見合っているか。
4.符合什么条件的个人信息处理者需指定个人信息保护负责人和报送负责人信息？	4. どのような条件を満たす個人情報処理者は個人情報保護責任者を指定し、責任者情報を報告する必要があるのか？
《中华人民共和国个人信息保护法》第五十二条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。《个人信息保护合规审计管理办法》第十二条规定，处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。	『中華人民共和国個人情報保護法』第52条は、個人情報の処理が国家サイバー空間管理局が定める数量に達した個人情報処理者は、個人情報保護責任者を指定し、個人情報処理活動及び講じた保護措置等の監督を担当させなければならないと規定している。『個人情報保護コンプライアンス監査管理弁法』第12条は、100万人以上の個人情報を処理する個人情報の取扱者が個人情報保護責任者を指定し、当該取扱者の個人情報保護コンプライアンス監査業務を担当させることを規定している。
2025年7月18日，国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》，明确个人信息保护负责人信息报送要求、报送时间、报送方式等。个人信息保护负责人信息报送采用线上方式。可直接访问“个人信息保护业务系统”（[web]），按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网（[web]）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。	2025年7月18日、国家サイバースペース管理局は『個人情報保護責任者情報報告業務の実施に関する公告』を発表し、個人情報保護責任者情報の報告要件、報告時期、報告方法等を明確化した。個人情報保護責任者情報の報告はオンライン方式を採用する。「個人情報保護業務システム」（web）に直接アクセスし、システムホームページに掲載されている『個人情報保護責任者情報報告システム記入説明（第一版）』に従い、関連資料を準備して情報報告手続きを行うか、中国網信網（[web]）ホームページの「全国網信政務サービスホール」欄から「個人情報保護業務システム」にアクセスすることもできる。

 

 

 

 

中国 サイバーセキュリティ法改正 (2025.12.29)

こんにちは、丸山満彦です。

2017年に施行された中华人民共和国网络安全法（サイバーセキュリティ法）が2025.10.28に全国人民代表大会常務委員会によって改正が決定

2025.12.29に公表されていました...

いわゆる中国サイバー三法（サイバー法、データ法、個人情報保護法）の最初のものです...

今回は、安全保障の重視、AI等のデジタル社会の進展、関連法との整合性を図るという意図で改訂されたのでしょうかね...

改訂のポイントとしては、

・サイバーセキュリティは共産党の指導を堅持し、サイバー強国になるということを新たに明記（第3条）

・AI等の新技術への対応（技術振興と安全監理の両立）（第20条）

・罰則の強化（第61条他）

・サプライチェーン規制（安全認証等を受けていないネットワーク重要機器等を販売・提供した場合の罰則
）の新設（第63条）

等々...

欧州のサイバーセキュリティ関連法制も追加追加で複雑性をましていますが、中国はさらに複雑なような気がします...　法令だけでなく、標準も実質的な技術要求となっていますし...

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2025.12.29 中华人民共和国网络安全法

中华人民共和国网络安全法	中華人民共和国サイバーセキュリティ法
（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过　根据2025年10月28日第十四届全国人民代表大会常务委员会第十八次会议《关于修改〈中华人民共和国网络安全法〉的决定》修正）	（2016年11月7日 第12期全国人民代表大会常務委員会第24回会議で可決　2025年10月28日 第14期全国人民代表大会常務委員会第18回会議『中華人民共和国サイバーセキュリティ法改正に関する決定』に基づき修正）
目　　录	目　次
第一章　总　　则	第一章　総則
第二章　网络安全支持与促进	第二章　サイバーセキュリティの支援と促進
第三章　网络运行安全	第三章　ネットワーク運用セキュリティ
第一节　一般规定	第一節　一般規定
第二节　关键信息基础设施的运行安全	第二節　重要情報インフラの運用セキュリティ
第四章　网络信息安全	第四章　ネットワーク情報セキュリティ
第五章　监测预警与应急处置	第五章　監視・警報と緊急対応
第六章　法律责任	第六章　法的責任
第七章　附　　则	第七章　附則
第一章　总　　则	第一章　総則
第一条　为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。	第一条　サイバーセキュリティを保障し、サイバースペース主権及び国家安全、社会公共利益を維持し、公民、法人及びその他の組織の合法的権益を保護し、経済社会の情報化健全な発展を促進するため、本法を制定する。
第二条　在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。	第二条　中華人民共和国国内におけるネットワークの建設、運営、維持及び使用並びにサイバーセキュリティの監督管理には、本法を適用する。
第三条　网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。	第三条　サイバーセキュリティ業務は中国共産党の指導を堅持し、総合的な国家安全観を貫徹し、発展と安全を統括し、ネットワーク強国建設を推進する。
第四条　国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。	第四条　国はサイバーセキュリティと情報化の発展を同等に重視し、積極的な利用、科学的な発展、法に基づく管理、安全の確保という方針に従い、ネットワークインフラの建設と相互接続を推進する。サイバーセキュリティ技術の革新と応用を奨励し、サイバーセキュリティ人材の育成を支援し、サイバーセキュリティ保障体系を整備・確立し、サイバーセキュリティ保護能力を高める。
第五条　国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。	第五条　国はサイバーセキュリティ戦略を策定し、絶えず改善する。サイバーセキュリティを保障するための基本要件と主要目標を明確にし、重点分野におけるサイバーセキュリティ政策、業務任務及び措置を提示する。
第六条　国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。	第六条　国は、中華人民共和国国内外に由来するサイバーセキュリティリスク及び脅威を監視、防御、対処するための措置を講じ、重要情報インフラを攻撃、侵入、妨害及び破壊から保護し、法に基づきネットワーク上の違法犯罪活動を処罰し、サイバー空間の安全と秩序を維持する。
第七条　国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。	第七条　国は、誠実で信頼できる健全かつ文明的なネットワーク行動を提唱し、社会主義の中核的価値観の普及を推進し、全社会のサイバーセキュリティ意識と水準を高めるための措置を講じ、全社会が共同でサイバーセキュリティ促進に参加する良好な環境を形成する。
第八条　国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。	第八条　国は、サイバー空間のガバナンス、ネットワーク技術の研究開発と標準策定、ネットワーク上の違法犯罪の取り締まりなどの分野における国際交流と協力を積極的に展開し、平和で安全、開放的かつ協力的なサイバー空間の構築を推進し、多国間的、民主的、透明なネットワークガバナンス体系を確立する。
第九条　国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。	第九条　国家サイバー空間管理部門は、サイバーセキュリティ業務及び関連する監督管理業務の統括調整を担当する。国務院電気通信主管部門、公安部門及びその他の関係機関は、本法及び関連する法律・行政法規の規定に基づき、それぞれの職責の範囲内でサイバーセキュリティ保護及び監督管理業務を担当する。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。	県級以上の地方人民政府関係部門のサイバーセキュリティ保護及び監督管理職責は、国家の関連規定に従って定める。
第十条　网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。	第十条　ネットワーク運営者は、経営及びサービス活動を行うにあたり、法律・行政法規を遵守し、社会公徳を尊重し、商業道徳を遵守し、誠実かつ信用をもって行動し、サイバーセキュリティ保護義務を履行し、政府及び社会の監督を受け、社会的責任を負わなければならない。
第十一条　建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。	第十一条　ネットワークを建設・運営し、またはネットワークを通じてサービスを提供する場合、法律・行政法規の規定及び国家標準の強制的要件に基づき、技術的措置その他の必要な措置を講じ、ネットワークの安全かつ安定した運用を確保し、サイバーセキュリティインシデントに効果的に対応し、ネットワーク上の違法犯罪活動を防止し、ネットワークデータの完全性、機密性及び可用性を維持しなければならない。
第十二条　网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。	第十二条　ネットワーク関連業界団体は、定款に基づき業界の自主規制を強化し、サイバーセキュリティ行動規範を制定し、会員に対しサイバーセキュリティ保護の強化を指導し、サイバーセキュリティ保護水準の向上を図り、業界の健全な発展を促進しなければならない。
第十三条　国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。	第十三条　国は、公民、法人及びその他の組織が法に基づきネットワークを利用する権利を保護し、ネットワーク接続の普及を促進し、ネットワークサービス水準を向上させ、社会に安全で便利なネットワークサービスを提供し、ネットワーク情報の法に基づく秩序ある自由な流通を保障する。
任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。	いかなる個人及び組織も、ネットワークを利用する際には憲法及び法律を遵守し、公共秩序を守り、社会道徳を尊重し、サイバーセキュリティを危害してはならず、ネットワークを利用して国家の安全、名誉及び利益を危害し、 国家政権の転覆や社会主義制度の打倒を扇動し、国家分裂や国家統一の破壊を煽り、テロリズムや過激主義を宣伝し、民族的憎悪や民族差別を煽り、暴力やわいせつな情報を流布し、虚偽の情報を捏造・流布して経済秩序や社会秩序を乱し、他人の名誉、プライバシー、知的財産権その他の合法的権益を侵害する活動を行ってはならない。
第十四条　国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。	第十四条　国は未成年者の健全な成長に資するネットワーク製品・サービスの研究開発を支援し、ネットワークを利用した未成年者の心身の健康を害する活動を法に基づき処罰し、未成年者に安全で健全なネットワーク環境を提供する。
第十五条　任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。	第十五条　いかなる個人及び組織も、サイバーセキュリティを脅かす行為について、ネット情報、電気通信、公安等の部門に通報する権利を有する。通報を受けた部門は速やかに法に基づき処理を行うものとし、当該部門の職責に属さない場合は、速やかに権限を有する部門に移送しなければならない。
有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。	関係部門は通報者の関連情報を秘密に扱い、通報者の合法的権益を保護しなければならない。
第二章　网络安全支持与促进	第二章　サイバーセキュリティの支援と促進
第十六条　国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。	第十六条　国はサイバーセキュリティ標準体系を確立し、整備する。国務院標準化行政主管部門及び国務院その他の関係部門は、それぞれの職責に基づき、サイバーセキュリティ管理及びネットワーク製品・サービス・運用安全に関する国家標準・業界標準の制定及び適時な改訂を組織する。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。	国は、企業、研究機関、高等教育機関、ネットワーク関連業界団体がサイバーセキュリティ国家標準・業界標準の制定に参加することを支援する。
第十七条　国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。	第十七条　国務院及び省・自治区・直轄市人民政府は、総合的な計画を策定し、投資を拡大し、重点サイバーセキュリティ技術産業及びプロジェクトを支援し、サイバーセキュリティ技術の研究開発と応用を支援し、安全で信頼できるネットワーク製品・サービスの普及を促進し、サイバーセキュリティ技術の知的財産権を保護し、企業、研究機関、高等教育機関等が国家サイバーセキュリティ技術革新プロジェクトに参加することを支援する。
第十八条　国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。	第十八条　国はサイバーセキュリティの社会化サービス体系の構築を推進し、関連企業・機関がサイバーセキュリティ認証、検査、リスクアセスメント等の安全サービスを展開することを奨励する。
第十九条　国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。	第十九条　国はネットワークデータ安全保護及び利用技術の開発を奨励し、公共データ資源の開放を促進し、技術革新と経済社会の発展を推進する。
第二十条　国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。	第二十条　国は人工知能の基礎理論研究及びアルゴリズム等の重要技術研究開発を支援し、訓練データ資源、計算能力等のインフラ整備を推進し、人工知能倫理規範を整備し、リスク監視及びアセスメントを強化し、人工知能の応用と健全な発展を促進する。
国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。	国はサイバーセキュリティ管理方法の革新を支援し、人工知能等の新技術を活用してサイバーセキュリティ保護水準を向上させる。
第二十一条　各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。	第二十一条　各級人民政府及びその関係部門は、定期的なサイバーセキュリティ啓発活動を組織し、関係機関に対しサイバーセキュリティ啓発活動の指導・監督を行う。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。	大衆伝播媒体は、社会に向けて対象を絞ったサイバーセキュリティ啓発活動を行う。
第二十二条　国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。	第二十二条　国は、企業及び高等教育機関、職業学校等の教育訓練機関がサイバーセキュリティ関連の教育・訓練を実施することを支援し、多様な方法でサイバーセキュリティ人材を育成し、サイバーセキュリティ人材の交流を促進する。
第三章　网络运行安全	第三章　ネットワーク運用安全
第一节　一　般　规　定	第一節　一般規定
第二十三条　国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：	第二十三条　国はサイバーセキュリティ等級保護制度を実施する。ネットワーク運営者は、サイバーセキュリティ等級保護制度の要求に基づき、以下の安全保護義務を履行し、ネットワークが妨害、破壊または不正アクセスを受けないよう保障し、ネットワークデータの漏洩または窃取・改ざんを防止しなければならない：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；	（一）内部安全管理制度及び操作規程を制定し、ネットワークセキュリティ責任者を定め、ネットワークセキュリティ保護責任を履行すること；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；	（二）コンピュータウイルスやネットワーク攻撃、ネットワーク侵入などのサイバーセキュリティを脅かす行為を防ぐ技術的措置を講じること。
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；	（三）ネットワークの稼働状態やサイバーセキュリティインシデントを監視・記録する技術的措置を講じ、規定に従い関連するネットワークログを少なくとも6か月間保存すること。
（四）采取数据分类、重要数据备份和加密等措施；	（四）データ分類、重要データのバックアップ及び暗号化などの措置を講じること。
（五）法律、行政法规规定的其他义务。	（五）法律・行政法規で定めるその他の義務。
第二十四条　网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。	第二十四条　ネットワーク製品・サービスは関連する標準の強制要求に適合しなければならない。ネットワーク製品・サービスの提供者は悪意のあるプログラムを設定してはならない。自社のネットワーク製品・サービスにセキュリティ上の欠陥や脆弱性などのリスクを発見した場合は、直ちに是正措置を講じ、規定に従い速やかに利用者に通知するとともに、関係主管部門に報告しなければならない。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。	ネットワーク製品・サービスの提供者は、自社の製品・サービスに対して継続的なセキュリティ保守を提供しなければならない。規定または当事者間で合意した期間内において、セキュリティ保守の提供を終了してはならない。
网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。	ネットワーク製品・サービスがユーザー情報収集機能を有する場合、提供者はユーザーに明示し同意を得なければならない。ユーザーの個人情報に関わる場合は、本法及び関連する法律・行政法規の個人情報保護に関する規定を遵守しなければならない。
第二十五条　网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。	第二十五条　ネットワーク重要設備及びサイバーセキュリティ専用製品は、関連する標準の強制要求に基づき、資格を有する機関による安全認証合格または安全検査合格を得た後にのみ、販売または提供することができる。国家サイバー空間管理局は国務院関係部門と共同で、ネットワーク重要設備及びサイバーセキュリティ専用製品の目録を制定・公表し、安全認証及び安全検査結果の相互承認を推進し、重複認証・検査を回避する。
第二十六条　网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。	第二十六条　ネットワーク事業者がユーザーに対し、ネットワーク接続・ドメイン名登録サービスを提供する場合、固定電話・携帯電話等の回線加入手続きを行う場合、または情報発信・インスタントメッセージ等のサービスを提供する場合、ユーザーとの契約締結時またはサービス提供確認時に、ユーザーに対し実名情報の提供を求めるものとする。ユーザーが真実の身分情報を提供しない場合、ネットワーク運営者は関連サービスを提供してはならない。
国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。	国はネットワーク信頼性身分戦略を実施し、安全で便利な電子身分認証技術の研究開発を支援し、異なる電子身分認証間の相互承認を推進する。
第二十七条　网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。	第二十七条　ネットワーク運営者はサイバーセキュリティ事象対応計画を策定し、システム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のセキュリティリスクを速やかに処理しなければならない。サイバーセキュリティを脅かす事象が発生した場合には、直ちに緊急対応計画を発動し、対応する補修措置を講じるとともに、規定に基づき関係主管部門に報告しなければならない。
第二十八条　开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。	第二十八条　サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施し、システム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表する場合は、国家の関連規定を遵守しなければならない。
第二十九条　任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。	第二十九条　いかなる個人及び組織も、他人のネットワークへの不法侵入、他人のネットワークの正常な機能の妨害、ネットワークデータの窃取など、サイバーセキュリティを危害する活動に従事してはならない。ネットワークへの侵入、ネットワークの正常な機能及び防護措置の妨害、ネットワークデータの窃取など、サイバーセキュリティを危害する活動に専ら使用されるプログラムやツールを提供してはならない。他人がサイバーセキュリティを危害する活動に従事していることを知りながら、技術支援、広告宣伝、決済などの援助を提供してはならない。
第三十条　网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。	第三十条　ネットワーク運営者は、公安機関及び国家安全機関が国家安全の維持及び犯罪捜査活動を行う際に、技術的支援及び協力を提供しなければならない。
第三十一条　国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。	第三十一条　国は、ネットワーク運営者間のサイバーセキュリティ情報収集、分析、通報及び緊急対応等の分野における協力を支援し、ネットワーク運営者の安全保障能力の向上を図る。
有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。	関連業界団体は、自業界のサイバーセキュリティ保護規範と協力メカニズムを整備し、サイバーセキュリティリスクのアセスメントを強化し、定期的に会員にリスク警告を行い、会員のサイバーセキュリティリスク対応を支援・協力する。
第三十二条　网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。	第三十二条　ネット情報部門及び関係部門は、サイバーセキュリティ保護職責の履行において取得した情報を、サイバーセキュリティ維持の必要性のみに使用し、他の目的に使用してはならない。
第二节　关键信息基础设施的运行安全	第二節　重要情報インフラの運用安全
第三十三条　国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。	第三十三条　国は、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要業種・分野、及びその他、破壊・機能喪失・データ漏洩が発生した場合に国家安全保障、国民経済・民生、公共利益に重大な危害を及ぼすおそれのある重要情報インフラについて、サイバーセキュリティ等級保護制度を基礎として重点保護を実施する。重要情報インフラの具体的な範囲及び安全保護弁法は国務院が定める。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。	国は、重要情報インフラ以外のネットワーク運営者が自主的に重要情報インフラ保護システムに参加することを奨励する。
第三十四条　按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。	第三十四条　国務院が定めた職責分担に基づき、重要情報インフラの安全保護を担当する部門は、それぞれ自業界・自分野の重要情報インフラ安全計画を策定し実施するとともに、重要情報インフラの運用安全保護業務を指導・監督する。
第三十五条　建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。	第三十五条　重要情報インフラを建設する際には、業務の安定的かつ継続的な運用を支える性能を確保するとともに、安全技術措置の同時計画・同時建設・同時運用を保証しなければならない。
第三十六条　除本法第二十三条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：	第三十六条　本法第二十三条の規定に加え、重要情報インフラの運営者は以下の安全保護義務を履行しなければならない：
（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；	（一）専門の安全管理機関及び安全管理責任者を設置し、当該責任者及び重要ポストの職員に対し安全背景審査を実施すること；
（二）定期对从业人员进行网络安全教育、技术培训和技能考核；	（二）従事者に対し、定期的にサイバーセキュリティ教育、技術研修及び技能評価を実施すること。
（三）对重要系统和数据库进行容灾备份；	（三）重要システム及びデータベースに対し、災害復旧用バックアップを実施すること。
（四）制定网络安全事件应急预案，并定期进行演练；	（四）サイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施すること。
（五）法律、行政法规规定的其他义务。	（五）法律・行政法規で定めるその他の義務。
第三十七条　关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。	第三十七条　重要情報インフラの運営者がネットワーク製品・サービスを購入する場合、国家安全保障に影響を及ぼす可能性があるときは、国家サイバーセキュリティ部門が国務院関係部門と共同で実施する国家安全保障審査を経なければならない。
第三十八条　关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。	第三十八条　重要情報インフラの運営者がネットワーク製品・サービスを購入する場合、規定に基づき提供者と安全保密契約を締結し、安全及び保密に関する義務と責任を明確にしなければならない。
第三十九条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。	第三十九条　重要情報インフラの運営者が中華人民共和国国内での運営において収集・生成した個人情報及び重要データは、国内に保存しなければならない。業務上必要により国外提供が不可避な場合、国家サイバー空間管理局が国務院関係部門と共同で定める弁法に基づきセキュリティ評価を実施しなければならない。法律・行政法規に別段の定めがある場合は、その規定に従う。
第四十条　关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。	第四十条　重要情報インフラの運営者は、自らまたはサイバーセキュリティサービス機関に委託して、自社のネットワークの安全性及び潜在リスクについて、少なくとも年1回セキュリティ評価を実施しなければならない。セキュリティ評価結果及び改善措置は、重要情報インフラの安全保護を担当する関連部門に報告する。
第四十一条　国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：	第四十一条　国家サイバー空間管理部門は、重要情報インフラの安全保護に関して、関係部門を統括調整し、以下の措置を講じなければならない：
（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；	（一）重要情報インフラのセキュリティリスクを抜き打ち検査し、改善措置を提案する。必要に応じて、サイバーセキュリティサービス機関に委託してネットワークのセキュリティリスクをアセスメントさせることができる。
（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；	（二）定期的に重要情報インフラの運営者に対し、サイバーセキュリティ緊急訓練を実施させ、サイバーセキュリティインシデントへの対応能力及び連携能力を向上させる。
（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；	（三）関係部門、重要情報インフラの運営者、及び関連研究機関、サイバーセキュリティサービス機関等間のサイバーセキュリティ情報共有を促進する。
（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。	（四）サイバーセキュリティインシデントへの緊急対応及びネットワーク機能の復旧等に対し、技術支援と協力を提供する。
第四章　网络信息安全	第四章　ネットワーク情報セキュリティ
第四十二条　网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。	第四十二条　ネットワーク運営者は、収集したユーザー情報を厳重に秘匿し、ユーザー情報保護制度を整備しなければならない。
网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。	ネットワーク運営者が個人情報を処理する場合、本法及び『中華人民共和国民法典』、『中華人民共和国個人情報保護法』等の法律・行政法規の規定を遵守しなければならない。
第四十三条　网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。	第四十三条　ネットワーク運営者は個人情報を収集・利用する際、合法・正当・必要の原則に従い、収集・利用規則を公開し、情報の収集・利用目的・方法・範囲を明示し、収集対象者の同意を得なければならない。
网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。	ネットワーク運営者は、提供するサービスと無関係な個人情報を収集してはならず、法律・行政法規の規定及び双方の合意に違反して個人情報を収集・利用してはならない。また、法律・行政法規の規定及びユーザーとの合意に基づき、保存する個人情報を処理しなければならない。
第四十四条　网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。	第四十四条　ネットワーク運営者は、収集した個人情報を漏洩、改ざん、毀損してはならない。収集対象者の同意を得ずに、個人情報を他人に提供してはならない。ただし、処理により特定個人を識別できず、かつ復元不可能な場合はこの限りではない。
网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。	ネットワーク運営者は、技術的措置その他の必要な措置を講じ、収集した個人情報の安全を確保し、情報の漏洩、毀損、紛失を防止しなければならない。個人情報の漏洩、毀損、紛失が発生した、または発生するおそれがある場合には、直ちに是正措置を講じ、規定に従い速やかに利用者に通知するとともに、関係主管部門に報告しなければならない。
第四十五条　个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。	第四十五条　個人は、ネットワーク運営者が法律・行政法規の規定または双方の合意に違反して個人情報を収集・利用していることを発見した場合、当該ネットワーク運営者に対し個人情報の削除を要求する権利を有する。また、ネットワーク運営者が収集・保存した個人情報に誤りがあることを発見した場合、当該ネットワーク運営者に対し訂正を要求する権利を有する。ネットワーク運営者は削除または修正のための措置を講じなければならない。
第四十六条　任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。	第四十六条　いかなる個人及び組織も、個人情報を窃取その他の違法な方法で取得してはならず、個人情報を違法に販売または提供してはならない。
第四十七条　依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。	第四十七条　法に基づきサイバーセキュリティ監督管理の職責を負う部門及びその職員は、職務遂行中に知り得た個人情報、プライバシー及び営業秘密を厳重に秘匿し、漏洩、販売または違法な提供を行ってはならない。
第四十八条　任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。	第四十八条　いかなる個人及び組織も、自らのネットワーク利用行為について責任を負わなければならない。詐欺の実行、犯罪方法の伝授、禁止物品・規制物品の製造・販売等の違法犯罪活動を行うためのウェブサイトや通信グループを設置してはならず、ネットワークを利用して詐欺の実行、禁止物品・規制物品の製造・販売その他の違法犯罪活動に関する情報を発信してはならない。
第四十九条　网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。	第四十九条　ネットワーク運営者は、ユーザーが公開する情報の管理を強化しなければならない。法律・行政法規で公開または送信が禁止されている情報を発見した場合は、直ちに当該情報の送信を停止し、削除等の措置を講じて情報の拡散を防止するとともに、関連記録を保存し、関係主管部門に報告しなければならない。
第五十条　任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。	第五十条　いかなる個人・組織も、送信する電子情報または提供するアプリケーションソフトに、悪意のあるプログラムを設定してはならず、法律・行政法規で公開または送信が禁止されている情報を含んではならない。
电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。	電子情報送信サービス提供者とアプリケーションソフトウェアダウンロードサービス提供者は、安全管理義務を履行しなければならない。利用者が前項に規定する行為を行っていることを知った場合、サービス提供を停止し、削除等の措置を講じ、関連記録を保存し、関係主管部門に報告しなければならない。
第五十一条　网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。	第五十一条　ネットワーク運営者は、ネットワーク情報セキュリティに関する苦情・通報制度を確立し、苦情・通報方法等の情報を公表し、ネットワーク情報セキュリティに関する苦情・通報を適時に受理し処理しなければならない。
网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。	ネットワーク運営者は、ネット情報部門及び関係部門が法に基づき実施する監督検査に協力しなければならない。
第五十二条　国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。	第五十二条　国家ネット情報部門及び関係部門は、法に基づきネットワーク情報セキュリティ監督管理職責を履行し、法律・行政法規で禁止されている情報の公開または伝送を発見した場合、ネットワーク運営者に対し伝送停止、除去等の措置を講じ、関連記録を保存するよう要求しなければならない。中華人民共和国国外に由来する上記情報については、関係機関に対し技術的措置その他の必要な措置を講じて伝播を遮断するよう通知しなければならない。
第五章　监测预警与应急处置	第五章　監視・警報と緊急対応
第五十三条　国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。	第五十三条　国はサイバーセキュリティ監視警報及び情報通報制度を確立する。国家サイバーセキュリティ部門は関係部門を統括調整し、サイバーセキュリティ情報の収集・分析・通報業務を強化するとともに、規定に基づき統一的にサイバーセキュリティ監視警報情報を発表しなければならない。
第五十四条　负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。	第五十四条　重要情報インフラの安全保護を担当する部門は、当該業界・分野におけるサイバーセキュリティ監視警報及び情報通報制度を整備・確立し、規定に基づきサイバーセキュリティ監視警報情報を報告しなければならない。
第五十五条　国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。	第五十五条　国家サイバー空間管理部門は関係部門を調整し、サイバーセキュリティリスクアセスメント及び緊急対応メカニズムを整備し、サイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施する。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。	重要情報インフラの安全保護を担当する部門は、自業界・自分野のサイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施しなければならない。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。	サイバーセキュリティインシデント対応計画は、インシデント発生後の危害の程度、影響範囲等の要素に基づきインシデントを分類し、対応する緊急措置を規定しなければならない。
第五十六条　网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：	第五十六条　サイバーセキュリティインシデント発生リスクが高まった場合、省級以上の人民政府関係部門は、定められた権限と手順に基づき、かつサイバーセキュリティリスクの特性及び引き起こし得る危害に応じて、以下の措置を講じるものとする：
（一）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；	（一）関係部門・機関・関係者に対し、関連情報の迅速な収集・報告を求め、サイバーセキュリティリスクの監視を強化すること；
（二）组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；	（二）関係部門・機関及び専門家を組織し、サイバーセキュリティリスク情報をアセスメントし、インシデント発生の可能性・影響範囲・危害程度を予測すること；
（三）向社会发布网络安全风险预警，发布避免、减轻危害的措施。	（三）社会に対しサイバーセキュリティリスク警報を発令し、危害を回避・軽減する措置を公表する。
第五十七条　发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。	第五十七条　サイバーセキュリティインシデントが発生した場合、直ちにサイバーセキュリティインシデント緊急対応計画を発動し、インシデントの調査・アセスメントを実施する。ネットワーク運営者に対し技術的措置その他の必要な措置を講じ、安全上の隠れた危険を除去し、危害の拡大を防止するよう要求するとともに、速やかに社会に対し公衆に関連する警戒情報を公表する。
第五十八条　省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。	第五十八条　省級以上の人民政府の関連部門は、サイバーセキュリティ監督管理職責を履行する過程で、ネットワークに重大な安全リスクが存在することまたは安全事件が発生したことを発見した場合、規定された権限と手続きに基づき、当該ネットワーク運営者の法定代表者または主要責任者に対して面談を行うことができる。ネットワーク運営者は要求に従い措置を講じ、是正を行い、リスクを排除しなければならない。
第五十九条　因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。	第五十九条　サイバーセキュリティ事件により突発事件または生産安全事故が発生した場合、『中華人民共和国突発事件対応法』、『中華人民共和国安全生産法』等の関連法律・行政法規の規定に基づき処理しなければならない。
第六十条　因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。	第六十条　国家安全及び社会公共秩序の維持、重大な突発的社会安全事件の処理の必要性に基づき、国務院の決定または承認を得て、特定区域においてネットワーク通信に対する制限等の臨時措置を講じることができる。
第六章　法　律　责　任	第六章　法　律　責　任
第六十一条　网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十一条　ネットワーク運営者が本法第二十三条及び第二十七条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、一万元以上五万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には一万元以上十万元以下の罰金を科す。
关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处五万元以上十万元以下罚款；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	重要情報インフラの運営者が本法第三十五条、第三十六条、第三十八条、第四十条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、五万元以上十万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、十万元以上百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し一万元以上十万元以下の罰金を科す。
有前两款行为，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前二項の行為により、大量のデータ漏洩、重要情報インフラの局部的機能喪失等の重大なサイバーセキュリティ危害を招いた場合、関係主管部門は五十万元以上二百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には五万元以上二十万元以下の罰金を科す。重要情報インフラの主要機能喪失等の特に深刻なサイバーセキュリティ危害を招いた場合、200万元以上1000万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し20万元以上100万元以下の罰金を科す。
第六十二条　违反本法第二十四条第一款、第二款和第五十条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：	第六十二条　本法第二十四条第一項、第二項及び第五十条第一項の規定に違反し、次の行為のいずれかを行った場合、関係主管部門は是正を命じ、警告を与える。是正を拒むか、またはサイバーセキュリティを危害する結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者には一万元以上十万元以下の罰金を科す：
（一）设置恶意程序的；	（一）悪意のあるプログラムを設置した場合；
（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；	（二）製品・サービスに存在する安全上の欠陥・脆弱性等のリスクに対し、直ちに是正措置を講じなかった場合、または規定に従い速やかにユーザーに通知し関係主管部門に報告しなかった場合
（三）擅自终止为其产品、服务提供安全维护的。	（三）製品・サービスに対する安全保守の提供を無断で終了した場合
有前款第一项、第二项行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。	前項第一号・第二号の行為により、本法第六十一条第三項に規定する結果を生じたときは、同項の規定に基づき処罰する。
第六十三条　违反本法第二十五条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。	第六十三条　本法第二十五条の規定に違反し、安全認証・安全検査を受けていない、または安全認証不合格・安全検査不適合のネットワーク重要設備及びサイバーセキュリティ専用製品を販売または提供した者は、関係主管部門により販売・提供の停止を命じられ、警告を与えられ、違法所得を没収される。違法所得がない、または十万元未満の場合、二万元以上十万元以下の罰金を併科する。違法所得が十万元以上の場合、違法所得の1倍以上5倍以下の罰金を併科する。情状が重い場合、関連業務の一時停止、営業停止による改善、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。法律・行政法規に別段の定めがある場合は、その規定による。
第六十四条　网络运营者违反本法第二十六条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十四条　ネットワーク運営者が本法第二十六条第一項の規定に違反し、ユーザーに実名情報の提供を求めなかった場合、または実名情報を提供しないユーザーに関連サービスを提供した場合、関係主管部門は是正を命ずる。是正を拒むか、または情状が重い場合、五万元以上五十万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には一万元以上十万元以下の罰金を科す。
第六十五条　违反本法第二十八条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处一万元以上十万元以下罚款；拒不改正或者情节严重的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十五条　本法第二十八条の規定に違反し、サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施した場合、またはシステム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表した場合、関係主管部門は是正を命じ、警告を与え、一万元以上十万元以下の罰金を科すことができる。是正を拒むか、または情状が重い場合には、10万元以上100万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には1万元以上10万元以下の罰金を科す。
有前款行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。	前項の行為により、本法第61条第3項に規定する結果を生じた場合には、同項の規定に基づき処罰する。
第六十六条　违反本法第二十九条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。	第六十六条　本法第二十九条の規定に違反し、サイバーセキュリティを危害する活動に従事し、またはサイバーセキュリティ危害活動に専ら使用するプログラム・ツールを提供し、もしくは他人のサイバーセキュリティ危害活動に対し技術支援・広告宣伝・決済支援等を提供した場合、犯罪を構成しないときは、公安機関は違法所得を没収し、五日以下の拘留に処し、五万元以上五十万元以下の罰金を併科することができる。情状が重い場合は、5日以上15日以下の拘留に処し、10万元以上100万元以下の罰金を併科することができる。
单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。	前項の行為を法人が行った場合、公安機関は違法所得を没収し、10万元以上100万元以下の罰金を科す。また、直接責任を負う主管者及びその他の直接責任者に対し、前項の規定に基づき処罰する。
违反本法第二十九条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。	本法第二十九条の規定に違反し、治安管理処罰を受けた者は、5年間、サイバーセキュリティ管理及びネットワーク運営の重要ポストに就くことを禁止する。刑事処罰を受けた者は、終身、サイバーセキュリティ管理及びネットワーク運営の重要ポストに就くことを禁止する。
第六十七条　关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十七条　重要情報インフラの運営者が本法第三十七条の規定に違反し、安全審査を受けていない、または安全審査に合格していないネットワーク製品またはサービスを使用した場合、関係主管部門は期限を定めて是正、使用停止、国家安全保障への影響の除去を命じ、調達金額の1倍以上10倍以下の罰金を科す。直接責任を負う主管者及びその他の直接責任者には1万元以上10万元以下の罰金を科す。
第六十八条　违反本法第四十八条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。	第六十八条　本法第四十八条の規定に違反し、違法犯罪活動を実施するためのウェブサイトや通信グループを設置した場合、またはネットワークを利用して違法犯罪活動の実施に関わる情報を発信した場合で、まだ犯罪を構成しないときは、公安機関は五日以下の拘留を科し、一万元以上十万元以下の罰金を併科することができる。情状が重い場合は、五日以上十五日以下の拘留を科し、五万元以上五十万元以下の罰金を併科することができる。違法犯罪活動を実施するためのウェブサイト、通信グループを閉鎖する。
单位有前款行为的，由公安机关处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。	前項の行為を単位が行った場合、公安機関は十万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し前項の規定に基づき処罰する。
第六十九条　网络运营者违反本法第四十九条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告，或者违反本法第五十二条规定，不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告、予以通报，可以处五万元以上五十万元以下罚款；拒不改正或者情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。	第六十九条　ネットワーク運営者が本法第四十九条の規定に違反し、法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存せず、主管部門に報告しなかった場合、または本法第五十二条の規定に違反し、関係部門の要求に従って法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存しなかった場合、主管部門は是正を命じ、警告・ 通報し、五万元以上五十万元以下の罰金を科すことができる。是正を拒むか、情状が重い場合には、五十万元以上二百万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命じることができる。直接責任を負う主管者その他の直接責任者には五万元以上二十万元以下の罰金を科す。
有前款行为，造成特别严重影响、特别严重后果的，由有关主管部门处二百万元以上一千万元以下罚款，责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前項の行為により特に深刻な影響または結果を生じた場合、関係主管部門は200万元以上1000万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命じ、直接責任を負う主管者およびその他の直接責任者に対し20万元以上100万元以下の罰金を科す。
电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第五十条第二款规定的安全管理义务的，依照前两款规定处罚。	電子情報送信サービス提供者及びアプリケーションソフトウェアダウンロードサービス提供者が、本法第五十条第二項に定める安全管理義務を履行しない場合、前二項の規定に基づき処罰する。
第七十条　网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：	第七十条　ネットワーク運営者が本法の規定に違反し、次の行為のいずれかを行った場合、関係主管部門は是正を命じる。是正を拒むか、または情状が重い場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し、一万元以上十万元以下の罰金を科す：
（一）拒绝、阻碍有关部门依法实施的监督检查的；	（一）関係部門が法に基づき実施する監督検査を拒否し、または妨害した場合
（二）拒不向公安机关、国家安全机关提供技术支持和协助的。	（二）公安機関、国家安全機関に対し技術支援及び協力を提供することを拒んだ場合
第七十一条　有下列行为之一的，依照有关法律、行政法规的规定处理、处罚：	第七十一条　次の行為のいずれかを行った者は、関連する法律・行政法規の規定に基づき処理・処罰される：
（一）发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的；	（一）本法第十三条第二項及びその他の法律・行政法規が公表または送信を禁止する情報を公表または送信した場合
（二）违反本法第二十四条第三款、第四十三条至第四十五条规定，侵害个人信息权益的；	（二）本法第二十四条第三項、第四十三条から第四十五条の規定に違反し、個人情報の権益を侵害した場合
（三）违反本法第三十九条规定，关键信息基础设施的运营者在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。	（三）本法第三十九条の規定に違反し、重要情報インフラの運営者が個人情報や重要データを国外に保存し、または国外に提供した場合。
违反本法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。	本法第四十六条の規定に違反し、窃取その他の不法な手段で個人情報を取得し、不法に売却または他人に提供した場合で、犯罪を構成しないときは、公安機関が関連法律・行政法規の規定に基づき処罰する。
第七十二条　有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。	第七十二条　本法に規定する違法行為があった場合、関連する法律・行政法規の規定に基づき信用記録に記録し、公示する。
第七十三条　违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚。	第七十三条　本法の規定に違反したが、「中華人民共和国行政処罰法」に規定する処罰を軽減、免除する事情がある場合、その規定に基づき処罰を軽減、免除する。
第七十四条　国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。	第七十四条　国家機関の政務ネットワークの運営者が本法に定めるサイバーセキュリティ保護義務を履行しない場合、その上級機関または関係機関は是正を命じ、直接責任を負う主管者その他の直接責任者に対して法に基づき処分を与える。
第七十五条　网信部门和有关部门违反本法第三十二条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。	第七十五条　ネット情報部門及び関係部門が本法第三十二条の規定に違反し、サイバーセキュリティ保護職責の履行において取得した情報を他の目的に使用した場合、直接責任を負う主管者その他の直接責任者に対して法に基づき処分を与える。
网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。	サイバーセキュリティ部門及び関係部門の職員が職務怠慢、職権乱用、私情による不正行為を行い、犯罪を構成しない場合、法に基づき処分する。
第七十六条　违反本法规定，给他人造成损害的，依法承担民事责任。	第七十六条　本法の規定に違反し、他人に損害を与えた場合、法に基づき民事責任を負う。
违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。	本法の規定に違反し、治安管理違反行為を構成する場合、法に基づき治安管理処罰を与える。犯罪を構成する場合、法に基づき刑事責任を追及する。
第七十七条　境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。	第七十七条　国外の機関、組織、個人が中華人民共和国のサイバーセキュリティを危害する活動に従事した場合、法律責任を追及する。重大な結果を生じた場合、国務院公安部門及び関係部門は当該機関、組織、個人に対し、財産の凍結その他の必要な制裁措置を決定することができる。
第七章　附　　则	第七章　附則
第七十八条　本法下列用语的含义：	第七十八条　本法における以下の用語の定義は次の通りである：
（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。	（一）ネットワークとは、コンピュータその他の情報端末及び関連設備により構成され、一定の規則と手順に従って情報を収集、保存、伝送、交換、処理するシステムを指す。
（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。	（二）サイバーセキュリティとは、必要な措置を講じてネットワークに対する攻撃、侵入、妨害、破壊、不正使用及び事故を防止し、ネットワークを安定かつ確実に稼働させる状態を維持するとともに、ネットワークデータの完全性、機密性、可用性を保障する能力を指す。
（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。	（三）ネットワーク運営者とは、ネットワークの所有者、管理者及びネットワークサービス提供者を指す。
（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。	（四）ネットワークデータとは、ネットワークを通じて収集、保存、伝送、処理され、生成される各種電子データを指す。
（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。	（五）個人情報とは、電子的その他の方法で記録され、単独または他の情報と組み合わせて自然人の個人を識別できる各種情報を指す。これには自然人の氏名、生年月日、身分証明書番号、個人生体認証情報、住所、電話番号などが含まれるが、これらに限定されない。
第七十九条　存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。	第七十九条　国家機密情報に関わるネットワークの保存・処理における安全保護は、本法に加え、秘密保持に関する法律・行政法規の規定を遵守しなければならない。
第八十条　军事网络的安全保护，由中央军事委员会另行规定。	第八十条　軍事ネットワークの安全保護については、中央軍事委員会が別途規定する。
第八十一条　本法自2017年6月1日起施行。	第八十一条　本法は2017年6月1日から施行する。

 

改訂時...

・2025.10.28 

全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定	全国人民代表大会常務委員会による『中華人民共和国サイバーセキュリティ法』改正に関する決定
（2025年10月28日第十四届全国人民代表大会常务委员会第十八次会议通过）	（2025年10月28日 第十四期全国人民代表大会常務委員会第十八回会議にて可決）
第十四届全国人民代表大会常务委员会第十八次会议决定对《中华人民共和国网络安全法》作如下修改：	第十四期全国人民代表大会常務委員会第十八回会議は、『中華人民共和国サイバーセキュリティ法』を以下の通り改正することを決定した：
一、增加一条，作为第三条：“网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。”	一、新たに第三条を追加する：「サイバーセキュリティ業務は中国共産党の指導を堅持し、総合的な国家安全観を貫徹し、発展と安全を統一的に考慮し、ネットワーク強国建設を推進する。」
二、将第十八条改为第十九条，删去第二款。	二、第十八条を第十九条とし、第二項を削除する。
三、增加一条，作为第二十条：“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。	三、新たに条文を追加し、第二十条とする：「国は人工知能の基礎理論研究及びアルゴリズム等の重要技術の研究開発を支援し、訓練データ資源、計算能力等のインフラ整備を推進し、人工知能の倫理規範を整備し、リスク監視及びアセスメントを強化し、人工知能の応用と健全な発展を促進する。
“国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。”	国はサイバーセキュリティ管理方法の革新を支援し、人工知能等の新技術を活用して、サイバーセキュリティ保護水準の向上を図る。」
四、将第四十条改为第四十二条，增加一款，作为第二款：“网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。”	四、第四十条を第四十二条とし、新たに第二項を追加する：「ネットワーク運営者が個人情報を処理する場合、本法及び『中華人民共和国民法典』、『中華人民共和国個人情報保護法』等の法律・行政法規の規定を遵守しなければならない。」
五、将第五十九条改为第六十一条，修改为：“网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	五、 第五十九条を第六十一条に改め、次のように修正する：「ネットワーク運営者が本法第二十三条及び第二十七条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、一万元以上五万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティ危害等の結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には一万元以上十万元以下の罰金を科す。
“关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处五万元以上十万元以下罚款；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	重要情報インフラの運営者が本法第三十五条、第三十六条、第三十八条、第四十条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、五万元以上十万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、十万元以上百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に一万元以上十万元以下の罰金を科す。
“有前两款行为，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。”	前項二項の行為により、大量のデータ漏洩、重要情報インフラの局部的機能喪失等の重大なサイバーセキュリティ危害を招いた場合、関係主管部門は五十万元以上二百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には五万元以上二十万元以下の罰金を科す。重要情報インフラの主要機能喪失等の特に深刻なサイバーセキュリティ危害を招いた場合、200万元以上1000万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し20万元以上100万元以下の罰金を科す。」
六、将第六十条改为第六十二条，增加一款，作为第二款：“有前款第一项、第二项行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。”	六、第六十条を第六十二条とし、新たに一項を追加して第二項とする：「 前項第一号及び第二号の行為により、本法第六十一条第三項に規定する結果を生じた場合、同項の規定に基づき処罰する。」
七、增加一条，作为第六十三条：“违反本法第二十五条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。”	七、新たに一条を追加し、第六十三条とする：「本法第二十五条の規定に違反し、安全認証・安全検査を受けていない、又は安全認証不合格・安全検査不適合のネットワーク重要設備及びサイバーセキュリティ専用製品を販売又は提供した場合、関係主管部門は販売又は提供の停止を命じ、警告を与え、違法所得を没収する。違法所得がないか、違法所得が10万元未満の場合は、2万元以上10万元以下の罰金を併科する。違法所得が10万元以上の場合は、違法所得の1倍以上5倍以下の罰金を併科する。情状が重い場合は、関連業務の一時停止、営業停止による改善、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。法律・行政法規に別段の定めがある場合は、その規定による。」
八、将第六十一条改为第六十四条，其中的“并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”修改为“并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照”。	八、第六十一条を第六十四条とし、その中の「関係主管部門は関連業務の停止、営業停止による改善、ウェブサイトの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる」を「関係主管部門は関連業務の停止、営業停止による改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる」に改める。
九、将第六十二条改为第六十五条，修改为：“违反本法第二十八条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处一万元以上十万元以下罚款；拒不改正或者情节严重的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	九、第六十二条を第六十五条に改め、次のように修正する。「本法第二十八条の規定に違反し、サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施した場合、またはシステム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表した場合、関係主管部門は是正を命じ、警告を与え、一万元以上十万元以下の罰金を科すことができる。是正を拒むか、または情状が重い場合には、10万元以上100万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には1万元以上10万元以下の罰金を科す。
“有前款行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。”	「前項の行為により、本法第61条第3項に規定する結果を生じた場合には、同項の規定に基づき処罰する。」
十、将第六十五条改为第六十七条，修改为：“关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”	十、第六十五条を第六十七条に改め、次のとおり修正する。「重要情報インフラの運営者が本法第三十七条の規定に違反し、安全審査を受けていない、または安全審査に合格していないネットワーク製品またはサービスを使用した場合、関係主管部門は期限を定めて是正、使用停止、国家安全への影響の除去を命じ、調達金額の1倍以上10倍以下の罰金を科し、直接責任を負う主管者その他の直接責任者には1万元以上10万元以下の罰金を科す。」
十一、将第六十八条、第六十九条第一项合并，作为第六十九条，修改为：“网络运营者违反本法第四十九条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告，或者违反本法第五十二条规定，不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告、予以通报，可以处五万元以上五十万元以下罚款；拒不改正或者情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。	十一、 第六十八条及び第六十九条第一項を統合し、第六十九条として次のように改正する。「ネットワーク運営者が本法第四十九条の規定に違反し、法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存せず、関係主管部門に報告しなかった場合、または本法第五十二条の規定に違反し、関係部門の要求に従って法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存しなかった場合、 関係主管部門は是正を命じ、警告を与え、通報するとともに、5万元以上50万元以下の罰金を科すことができる。是正を拒む場合または情状が重い場合には、50万元以上200万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命ずることができる。直接責任を負う主管者その他の直接責任者には5万元以上20万元以下の罰金を科す。
“有前款行为，造成特别严重影响、特别严重后果的，由有关主管部门处二百万元以上一千万元以下罚款，责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前項の行為により特に重大な影響または特に重大な結果を生じた場合、関係主管部門は二百万元以上一千万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命じ、直接責任を負う主管者その他の直接責任者に対し二十万元以上百万元以下の罰金を科す。
“电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第五十条第二款规定的安全管理义务的，依照前两款规定处罚。”	「電子情報送信サービス提供者及びアプリケーションソフトウェアダウンロードサービス提供者が、本法第五十条第二項に定める安全管理義務を履行しない場合、前二項の規定に基づき処罰する。」
十二、将第六十四条、第六十六条、第七十条合并，作为第七十一条，修改为：“有下列行为之一的，依照有关法律、行政法规的规定处理、处罚：	十二、第六十四条、第六十六条及び第七十条を統合し、第七十一条として次のように改正する：「次の行為のいずれかを行う者は、関連する法律・行政法規の規定に基づき処理・処罰する：
“（一）发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的；	「（一）本法第十三条第二項及びその他の法律・行政法規で禁止されている情報を発信または伝送した場合；
“（二）违反本法第二十四条第三款、第四十三条至第四十五条规定，侵害个人信息权益的；	「（二）本法第二十四条第三項、第四十三条から第四十五条の規定に違反し、個人情報の権益を侵害した場合；
“（三）违反本法第三十九条规定，关键信息基础设施的运营者在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。	「（三）本法第三十九条の規定に違反し、重要情報インフラの運営者が個人情報や重要データを国外に保存、または国外に提供した場合。
“违反本法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。”	「本法第46条の規定に違反し、個人情報を窃取し、その他の不法な方法で取得し、不法に売却し、または不法に他人に提供した場合で、犯罪を構成しないときは、公安機関は関連する法律・行政法規の規定に基づき処罰する。」
十三、增加一条，作为第七十三条：“违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚。”	十三、新たに一条を追加し、第七十三条とする：「本法の規定に違反したが、『中華人民共和国行政処罰法』に規定される情状酌量の事由、減軽事由または処罰免除事由に該当する場合は、その規定に基づき情状酌量、減軽または処罰を免除する。」
十四、将第七十五条改为第七十七条，修改为：“境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”	十四、第七十五条を第七十七条とし、次のように改める：「国外の機関、組織、個人が中華人民共和国のサイバーセキュリティを危害する活動に従事した場合、法に基づき法的責任を追及する。重大な結果を招いた場合、国務院公安部門及び関係部門は当該機関、組織、個人に対し、財産の凍結その他の必要な制裁措置を決定することができる。」
本决定自2026年1月1日起施行。	本決定は2026年1月1日から施行する。
《中华人民共和国网络安全法》根据本决定作相应修改并对条文顺序作相应调整，重新公布。	『中華人民共和国サイバーセキュリティ法』は本決定に基づき相応の修正を加え、条文順序を調整した上で、改めて公布する。

 

 

 

ちょっとした情報提供...

・2026.01.05 因势而谋系统推进网络安全立法迈入新阶段

因势而谋系统推进网络安全立法迈入新阶段	情勢に応じて計画を立て、サイバーセキュリティ法制を体系的に推進し新たな段階へ
网络安全作为国家安全的重要组成部分，对国家经济发展和安全具有全局性、基础性支撑作用。《中华人民共和国网络安全法》是我国网络立法的重要里程碑，不仅切实回应了保障网络安全、促进信息化健康发展的现实需求，也对我国网络法治建设具有重要意义。2025年10月28日，十四届全国人大常委会第十八次会议表决通过《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》，自2026年1月1日起施行。此次修改立足于数字时代发展方位，把握信息革命演进大势，坚持因势而谋、应势而动、顺势而为，贯彻落实总体国家安全观，科学设置不同类型违法行为法律责任，系统引导人工智能发展与安全，对于深入推进依法治网、进一步筑牢国家网络安全屏障具有重要意义。	サイバーセキュリティは国家安全保障の重要な構成要素であり、国家の経済発展と安全に対して全体的かつ基礎的な支えとなる役割を果たす。『中華人民共和国サイバーセキュリティ法』はわが国のネットワーク立法における重要なマイルストーンであり、サイバーセキュリティの保障と情報化の健全な発展を促進するという現実的なニーズに確実に応えるだけでなく、わが国のネットワーク法治建設にとって重要な意義を持つ。2025年10月28日、第十四期全国人民代表大会常務委員会第十八回会議は「全国人民代表大会常務委員会による『中華人民共和国サイバーセキュリティ法』改正に関する決定」を採択し、2026年1月1日より施行される。今回の改正はデジタル時代の発展段階に立脚し、情報革命の進展の大勢を把握し、情勢に応じて策を講じ、情勢に応じて行動し、情勢に順応することを堅持し、総合的な国家安全観を貫徹し、異なる類型違法行為の法的責任を科学的に設定し、人工知能の発展と安全を体系的に導くものであり、法に基づくネットワーク統治を深く推進し、国家のサイバーセキュリティ障壁をさらに強固にする上で重要な意義を持つ。
全面认识网络安全法的实施成效	サイバーセキュリティ法の実施効果を全面的に認識する
网络安全形势伴随技术产业发展动态变化，我国网络安全法律制度也适应不同互联网发展阶段与时俱进。其中，网络安全法作为我国第一部全面规范网络安全和信息化的基础性法律，对于落实总体国家安全观，维护国家网络空间主权、安全和发展利益具有十分重要的意义，为推进网络强国建设提供了重要法律保障。	サイバーセキュリティ情勢は技術産業の発展に伴い動的に変化し、わが国のサイバーセキュリティ法制度もインターネット発展の異なる段階に適応して時代と共に進歩してきた。その中で、サイバーセキュリティ法はわが国初のサイバーセキュリティと情報化を包括的に規範化する基礎的法律として、総合的な国家安全保障観の実現、国家のサイバースペース主権・安全・発展利益の維持に極めて重要な意義を持ち、ネットワーク強国建設の推進に重要な法的保障を提供している。
自2017年6月1日施行以来，网络安全法不仅为我国网络安全领域构筑起坚实的制度保障，更全面推动我国网络法治建设迈入规范化、系统化发展阶段。一方面，网络安全法与相关法律法规共同构成有机整体。网络安全法既在横向上联动《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等网络领域专门立法及《中华人民共和国民法典》《中华人民共和国刑法》《中华人民共和国未成年人保护法》等相关领域立法，协同构建网络领域立法顶层设计；又在纵向上为《关键信息基础设施安全保护条例》等行政法规提供法律依据，形成系统完备的网络安全法律制度体系。另一方面，网络安全法加速推进我国网络法治建设进程。网络安全法施行以来，推动我国网络法律体系不断健全、网络法治实施持续深化、网络法治意识和素养全面提升、网络法治国际交流合作持续推进，网络法治建设各方面取得历史性成就，网络强国建设迈上新台阶。	2017年6月1日の施行以来、サイバーセキュリティ法は我が国のサイバーセキュリティ分野に堅固な制度的保障を構築しただけでなく、我が国のネットワーク法治建設を規範化・体系化の発展段階へと全面的に推進した。一方で、サイバーセキュリティ法は関連法規と有機的な全体を構成している。サイバーセキュリティ法は、横方向では『中華人民共和国データ安全法』『中華人民共和国個人情報保護法』などのネットワーク分野の専門立法や、『中華人民共和国民法典』『中華人民共和国刑法』『中華人民共和国未成年者保護法』などの関連分野の立法と連携し、ネットワーク分野の立法におけるトップダウン設計を共同で構築している。また縦方向では『重要情報インフラ安全保護条例』などの行政法規に法的根拠を提供し、体系的で完備されたサイバーセキュリティ法制度体系を形成している。一方で、サイバーセキュリティ法はわが国のネットワーク法治建設プロセスを加速させている。同法施行以来、わが国のネットワーク法体系は絶えず健全化され、ネットワーク法治の実施は持続的に深化し、ネットワーク法治意識と素養は全面的に向上し、ネットワーク法治の国際交流協力は継続的に推進され、ネットワーク法治建設の各方面で歴史的成果を収め、ネットワーク強国建設は新たな段階へと進んだ。
准确理解新形势下网络安全法的新调整	新たな情勢下におけるサイバーセキュリティ法の新たな調整を正確に理解する
世界正经历百年未有之大变局，国际力量格局深刻调整、新一轮科技革命和产业变革加速演进。在此背景下，网络安全法的修改适应网络安全新形势新要求，回应人工智能等战略性技术取得的新发展，重点强化网络安全法律责任，加强与相关法律的衔接协调，彰显了网络空间对国家经济发展和安全的战略意义。	世界は百年に一度の大変革期を経験しており、国際力学構造は深く調整され、新たな科学技術革命と産業変革が加速している。この背景のもと、サイバーセキュリティ法の改正はサイバーセキュリティの新たな情勢と要求に適応し、人工知能などの戦略的技術が新たな発展を遂げたことに対応し、特にサイバーセキュリティの法的責任を強化し、関連法律との連携・調整を強化し、サイバー空間が国家経済発展と安全にとって持つ戦略的意義を明らかにしている。
（一）贯彻落实总体国家安全观，充实网络安全工作指导原则。当前，网络空间已成为继陆、海、空、天之后的第五疆域，网络空间安全风险也已成为影响国家安全的重大变量。近年来，网络安全风险进一步凸显，利用网络从事网络入侵、网络攻击、传播违法信息等违法行为屡有发生，给国家安全带来新的挑战。网络安全法修改以总体国家安全观为根本遵循，深刻把握发展与安全的辩证统一关系。本次修改新增了第三条，将“坚持党的领导”写入指导原则，同时将“网络强国建设”首次写入法律，是习近平总书记关于网络强国的重要思想的直接体现，进一步推动了网络强国战略等重大部署法律化，为新时代网络安全工作提供了根本遵循。	（一）総合的な国家安全観を貫徹し、サイバーセキュリティ業務の指導原則を充実させる。現在、サイバー空間は陸・海・空・宇宙に次ぐ第五の領域となり、サイバー空間のリスクは国家安全保障に影響を与える重大な変数となっている。近年、サイバーセキュリティリスクは一層顕在化し、ネットワークを利用した侵入・攻撃・違法情報拡散などの違法行為が頻発し、国家安全保障に新たな挑戦をもたらしている。サイバーセキュリティ法改正は、総合的な国家安全保障観を根本的な指針とし、発展と安全の弁証法的統一関係を深く把握している。今回の改正では新たに第三条が追加され、「党の指導を堅持する」ことが指導原則に明記されると同時に、「サイバー強国建設」が初めて法律に盛り込まれた。これは習近平総書記のサイバー強国に関する重要な思想を直接反映したものであり、サイバー強国戦略などの重要施策の法制化をさらに推進し、新時代のサイバーセキュリティ業務に根本的な指針を提供している。
（二）适应技术应用发展新形势，增加促进人工智能安全与发展内容。人工智能技术快速发展，正引领新一轮科技革命和产业变革，深刻改变人类生产生活方式。人工智能等新技术具有“双刃剑”效应，既是引发网络安全风险挑战的新变量，也是提升网络安全保护水平的新增量。新修改的网络安全法积极回应当前人工智能健康发展和安全治理的需要，新增人工智能专门条款。这是我国首次在法律层面规定人工智能专条，既回应了人工智能算法安全、训练数据泄露等新挑战，又通过“运用人工智能等新技术，提升网络安全保护水平”条款，实现技术治理的闭环，实现了“以发展促安全、以安全保发展”的制度导向。	（二）技術応用発展の新たな情勢に適応し、人工知能の安全と発展を促進する内容を追加した。人工知能技術は急速に発展し、新たな科学技術革命と産業変革を牽引し、人類の生産・生活様式を深く変えている。人工知能などの新技術は「両刃の剣」効果を持ち、サイバーセキュリティリスクの新たな変数であると同時に、サイバーセキュリティ保護水準を高める新たな増分でもある。改正されたサイバーセキュリティ法は、現在の人工知能の健全な発展と安全ガバナンスの必要性に積極的に応え、人工知能に関する特別条項を新設した。これはわが国が初めて法律レベルで人工知能の特別条項を規定したものであり、人工知能アルゴリズムの安全性や訓練データの漏洩といった新たな課題に対応すると同時に、「人工知能などの新技術を活用してサイバーセキュリティ保護レベルを向上させる」という条項を通じて、技術ガバナンスの閉ループを実現し、「発展によって安全を促進し、安全によって発展を保障する」という制度的指向を実現した。
（三）提升网络安全法律体系协同性，加强相关法律间的有机衔接。网络安全法构建了网络运行安全、网络数据安全、个人信息保护等基础制度。2021年以来，数据安全法、个人信息保护法等网络安全相关立法相继制定实施，《中华人民共和国行政处罚法》修订出台，对相关法律制度作出细化完善。新修改的网络安全法加强与相关法律有机衔接，推动法律体系形成合力。其一，新增规定明确网络运营者处理个人信息的法律适用，完善了与民法典、个人信息保护法等法律、行政法规的衔接。其二，将侵害个人信息权益行为、违法向境外提供重要数据行为等情形的法律责任改为衔接性规定，科学优化相关网络安全法律责任制度。其三，统筹考虑网络安全法和行政处罚法的适用关系，推动实现网络安全领域执法工作的精细化。	（三）サイバーセキュリティ法体系の連携性を高め、関連法律間の有機的接続を強化する。サイバーセキュリティ法はネットワーク運用安全、ネットワークデータ安全、個人情報保護などの基礎制度を構築した。2021年以降、データ安全法、個人情報保護法などのサイバーセキュリティ関連立法が相次いで制定・施行され、『中華人民共和国行政処罰法』の改正が公布され、関連法律制度が詳細化・改善された。改正されたサイバーセキュリティ法は関連法律との有機的接続を強化し、法体系の相乗効果形成を推進する。第一に、新たに規定を追加し、ネットワーク運営者が個人情報を処理する際の法律適用を明確化し、民法典や個人情報保護法などの法律・行政法規との連携を改善した。第二に、個人情報権益侵害行為や重要データの違法な国外提供行為などの状況における法的責任を連携規定に変更し、関連するサイバーセキュリティの法的責任制度を科学的に最適化した。第三に、サイバーセキュリティ法と行政処罰法の適用関係を総合的に考慮し、サイバーセキュリティ分野における法執行業務の精密化を実現するよう推進した。
（四）回应监管执法实践新需求，针对性健全重点领域安全法律责任。随着国内外网络安全形势不断发展变化、网络安全相关立法相继制定实施，网络安全法既有法律责任条款的适应性问题日渐凸显。新修改的网络安全法聚焦解决突出重点问题，通过提高违法成本、完善处罚机制等方式，有效增强了法律的威慑力。一方面，结合实践中危害网络安全后果的情况，增加了对造成大量数据泄露、导致关键信息基础设施丧失功能等违法行为的处罚；另一方面，对销售或者提供不符合要求的网络关键设备和网络安全专用产品的行为，增加法律责任规定，有效保障网络领域供应链安全。	（四）監督執行実務の新たなニーズに応え、重点分野の安全責任を重点的に整備した。国内外のサイバーセキュリティ情勢が絶えず変化し、関連立法が相次いで制定・施行される中、現行サイバーセキュリティ法の責任規定の適応性が次第に顕在化していた。改正されたサイバーセキュリティ法は、突出した重点問題の解決に焦点を当て、違法コストの引き上げや処罰メカニズムの改善などを通じて、法律の抑止力を効果的に強化した。一方で、実務におけるサイバーセキュリティ危害の結果を踏まえ、大量のデータ漏洩を引き起こす行為や重要情報インフラの機能喪失を招く行為などに対する処罰を追加した。他方で、要求を満たさないネットワーク重要設備やサイバーセキュリティ専用製品を販売または提供する行為に対する法的責任規定を追加し、ネットワーク分野のサプライチェーン安全を効果的に保障した。
（五）坚持过罚相当分类施策原则，精准设置不同类型违法行为法律责任。科学合理的法律责任设置，是持续优化营商环境、促进稳预期强信心有力保障。尤其在人工智能、大数据等新技术新业态加速发展的背景下，更需要避免“一刀切”式的处罚方式挫伤市场主体的积极性和创新活力，为新技术新业态新模式的健康发展预留充足空间。新修改的网络安全法针对网络运行安全违法行为、网络信息安全违法行为设置阶梯式的处罚措施，根据一般性违法，拒不改正或者情节严重的，造成特别严重影响、特别严重后果等不同情形分类施策，科学合理设置宽严相济的法律责任，切实保障网络执法既有力度又有温度。	（五）過罰相当の分類施策原則を堅持し、異なる類型違法行為の法的責任を精密に設定する。科学的かつ合理的な法的責任設定は、ビジネス環境の持続的最適化と安定的な期待・信頼の促進を強力に保障する。特に人工知能やビッグデータなどの新技術・新業態が加速的に発展する背景において、「画一的な」処罰方式が市場主体の積極性や革新活力を損なうことを避け、新技術・新業態・新モデルの健全な発展に十分な余地を残す必要がある。改正されたサイバーセキュリティ法は、ネットワーク運用安全違反行為やネットワーク情報安全違反行為に対し段階的な処罰措置を設け、一般的な違反、是正を拒む場合や情状が重い場合、特に深刻な影響や結果をもたらした場合など、異なる状況に応じて分類した対応を取る。寛厳相済の法的責任を科学的に合理的に設定し、ネットワーク法執行が力強さと温かみを兼ね備えることを確実に保障する。
更好发挥法治的引领、规范、保障作用	法の支配の先導・規範・保障機能をより良く発揮する
网络安全法的修改是我国顺应信息时代发展要求、筑牢国家安全屏障的重要举措，集中体现了我国统筹高质量发展和高水平安全的理念，对于深化推进网络空间法治化进程意义深远。2026年1月1日，修改后的网络安全法正式施行，标志着我国网络安全法治建设进入新阶段。以此为契机，应扎实推进法律贯彻实施，全面推进国家网络安全体系和能力现代化，更好发挥法治对改革发展稳定的引领、规范、保障作用，为数字经济高质量发展、网络强国建设稳步推进提供更加坚实的法治保障。（作者：中国信息通信研究院互联网法律研究中心主任 何波）	サイバーセキュリティ法の改正は、我が国が情報時代の発展要求に応え、国家安全保障の障壁を強化する重要な措置であり、高品質な発展と高水準の安全を統合的に推進する理念を集中的に体現している。これはサイバー空間の法治化プロセスを深化させる上で、極めて深い意義を持つ。2026年1月1日、改正サイバーセキュリティ法が正式施行され、わが国のサイバーセキュリティ法治建設が新たな段階に入ったことを示す。これを契機に、法律の着実な実施を推進し、国家サイバーセキュリティ体系と能力の近代化を全面的に推進し、法治が改革・発展・安定に対して果たす指導的・規範的・保障的役割をより良く発揮させ、デジタル経済の高品質発展とサイバー強国建設の着実な推進により強固な法治的保障を提供すべきである。（筆者：中国情報通信研究院インターネット法律研究センター所長 何波）

 

 

 

中国 ライブコマース監督管理弁法 (2026.01.07)

こんにちは、丸山満彦です。

前回紹介した「ネットワーク取引プラットフォーム規則監督管理弁法（网络交易平台规则监督管理办法）」の特別法として、ライブコマース関係事業者に上乗せで適用される弁法となりますかね...

ネットワーク取引プラットフォーム規則監督管理弁法が、取引ルールの透明性・公正性に主に焦点を当てているのに対して、ライブコマース監督管理弁法はコンテンツ・広告・販売行為の適法性に主に焦点があたっていますかね...

ライブ配信者に継続的な実名確認の義務（第8条）を課していますね...

リスクに応じてということだと毛のですが、例えば影響力の高いインフルエンサーの動画についてはリアルタイム監視（第11条）や動態監視（第13条）がもとめられていますね...

また、AI利用コンテンツについても違法なコンテンツ等の流通を止めなければならないようです（第17条）...

そして、配信者自身のAIによる違法なコンテンツの流通自身も禁止（第34条）していますね...もちろんAI生成の場合はAI生成とわかるようにしないといけません（第37条）

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.07 直播电商监督管理办法

直播电商监督管理办法	ライブコマース監督管理弁法
（2025年12月18日国家市场监督管理总局、国家互联网信息办公室令第117号公布 自2026年2月1日起施行）	（2025年12月18日国家市場監督管理総局・国家サイバースペース管理局令第117号公布　2026年2月1日より施行）
第一章 总　则	第一章　総則
第一条 为了加强直播电商监督管理，保护消费者和经营者的合法权益，促进直播电商健康发展，根据《中华人民共和国电子商务法》、《中华人民共和国消费者权益保护法》、《中华人民共和国网络安全法》等法律，制定本办法。	第一条　ライブコマースの監督管理を強化し、消費者及び事業者の正当な権益を保護し、ライブコマースの健全な発展を促進するため、「中華人民共和国電子商取引法」、「中華人民共和国消費者権益保護法」、「中華人民共和国サイバーセキュリティ法」等の法律に基づき、本弁法を制定する。
第二条 在中华人民共和国境内从事直播电商活动以及市场监督管理、网信部门依据职责对其进行监督管理，适用本办法。	第二条　中華人民共和国国内においてライブコマース活動に従事する者及び市場監督管理部門、サイバーセキュリティ部門がその職責に基づき監督管理を行う場合、本弁法が適用される。
本办法所称直播电商，是指通过互联网站、应用程序等，以视频直播、音频直播或者多种直播相结合等形式销售商品或者提供服务的经营活动。	本弁法において「ライブコマース」とは、インターネットサイト、アプリケーション等を通じて、動画配信、音声配信、またはこれらを組み合わせた形式により商品販売またはサービス提供を行う営業活動を指す。
本办法所称直播电商平台经营者，是指在直播电商活动中提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织。	本弁法において「ライブコマースプラットフォーム事業者」とは、ライブコマース活動においてネットワーク営業場所の提供、取引仲介、情報発信等のサービスを提供し、取引当事者または複数当事者が独立して取引活動を行うことを可能とする法人または非法人組織を指す。
本办法所称直播间运营者，是指在直播电商平台上注册账号或者通过自建网站、其他网络服务，开设直播间从事直播电商活动的自然人、法人和非法人组织。实际运营他人直播间的，也应当依照本办法规定履行直播间运营者的相应义务。	本弁法において「ライブ配信ルーム運営者」とは、ライブコマースプラットフォームにアカウントを登録するか、自設ウェブサイトその他のネットワークサービスを通じてライブ配信ルームを開設し、ライブコマース活動に従事する自然人、法人及び非法人組織を指す。他人のライブ配信ルームを実際に運営する者も、本弁法の規定に基づきライブ配信ルーム運営者の対応する義務を履行しなければならない。
本办法所称直播营销人员，是指在直播电商活动中直接面向社会公众开展商品或者服务宣传、推介活动的自然人。	本弁法において「ライブマーケティング担当者」とは、ライブコマース活動において直接社会一般に向けて商品又はサービスの宣伝・推奨活動を行う自然人を指す。
本办法所称直播营销人员服务机构，是指为直播营销人员从事直播电商活动提供策划、运营、经纪、培训和技术支持等服务的机构。	本弁法において「ライブ配信マーケティング担当者サービス機関」とは、ライブ配信マーケティング担当者がライブコマース活動を行うために企画、運営、マネジメント、研修及び技術支援等のサービスを提供する機関を指す。
第三条 从事直播电商活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律、法规、规章和商业道德、公序良俗，公平参与市场竞争，接受政府监管和社会监督，营造良好直播电商生态。	第三条　ライブコマース活動に従事する者は、自発性、平等性、公平性、誠実性の原則に従い、法律、法規、規則及び商業道徳、公序良俗を遵守し、公平に市場競争に参加し、政府の監督及び社会の監視を受け、良好なライブコマース生態を構築しなければならない。
第四条 直播电商监督管理应当坚持鼓励创新、严守底线、线上线下一体化监管的原则，营造有利于直播电商健康发展的市场环境，充分发挥直播电商在推动高质量发展、满足人民日益增长的美好生活需要等方面的重要作用。	第四条 ライブコマースの監督管理は、イノベーションの奨励、最低基準の厳守、オンラインとオフラインの一体化管理の原則を堅持し、ライブコマースの健全な発展に有利な市場環境を整え、高品質な発展の推進や人々の増大するより良い生活への需要の充足などにおけるライブコマースの重要な役割を十分に発揮させるものである。
第五条 鼓励直播电商平台经营者、直播间运营者建立健全首问负责、先行赔付、在线争议解决等制度，及时预防和解决直播电商领域消费争议。	第五条 ライブコマースプラットフォーム事業者及び配信室運営者は、初動対応責任制度、事前賠償制度、オンライン紛争解決制度等を整備し、ライブコマース分野における消費紛争を予防・解決するよう奨励する。
鼓励相关行业组织加强行业自律，建立健全行业规范，推动行业诚信建设，监督、引导本行业经营者公平参与市场竞争、自觉维护消费者合法权益。	関連業界団体は業界自律を強化し、業界規範を整備し、業界の誠実な建設を推進し、業界事業者が公平に市場競争に参加し、自発的に消費者の合法的権益を守るよう監督・指導するよう奨励する。
鼓励消费者组织加强对直播电商活动的社会监督，维护消费者合法权益。	消費者団体はライブコマース活動に対する社会的監視を強化し、消費者の合法的権益を守るよう奨励する。
第二章 直播电商平台经营者	第二章 ライブコマースプラットフォーム事業者
第六条 直播电商平台经营者应当建立健全直播账号注册注销、平台内交易行为规范、商品和服务质量保障、消费者权益保护、个人信息保护、网络和数据安全保护以及直播间运营者、直播营销人员、直播营销人员服务机构管理等机制。	第六条 ライブコマースプラットフォーム事業者は、ライブアカウントの登録・削除、プラットフォーム内取引行為規範、商品・サービス品質保証、消費者権益保護、個人情報保護、ネットワーク及びデータセキュリティ保護、並びにライブ配信運営者・ライブマーケティング担当者・ライブマーケティング担当者サービス機関の管理等のメカニズムを整備しなければならない。
直播电商平台经营者应当加强直播电商信息内容管理，建立健全内容审核机制，营造良好直播电商生态。	ライブコマースプラットフォーム事業者は、ライブコマース情報コンテンツ管理を強化し、コンテンツ審査メカニズムを整備し、良好なライブコマース環境を構築しなければならない。
第七条 直播电商平台经营者应当遵循公开、公平、公正的原则，制定平台服务协议和交易规则（以下简称平台规则），明确直播电商平台经营者、直播间运营者、直播营销人员、直播营销人员服务机构等主体的权利和义务，并以显著方式提醒相关主体注意与其有重大利害关系的内容。	第七条 ライブコマースプラットフォーム運営者は、公開・公平・公正の原則に従い、プラットフォームサービス契約及び取引規則（以下「プラットフォーム規則」という）を制定し、プラットフォーム運営者、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関等の主体の権利と義務を明確にしなければならない。また、関連主体に対し、重大な利害関係のある内容について顕著な方法で注意喚起を行うものとする。
直播电商平台经营者应当在平台规则中要求直播间运营者、直播营销人员服务机构规范直播营销人员的招募、培训、使用、管理等工作。	ライブコマースプラットフォーム運営者は、プラットフォーム規則において、配信ルーム運営者及びライブマーケティング担当者サービス機関に対し、ライブマーケティング担当者の募集、研修、使用、管理等の業務を規範化することを要求しなければならない。
第八条 直播电商平台经营者应当要求申请进入平台从事直播电商活动的直播间运营者提供其名称（姓名）、统一社会信用代码（身份证件号码）、实际经营地址、联系方式、行政许可等真实信息，进行核验、登记，建立登记档案，并至少每六个月核验更新一次。	第八条 ライブコマースプラットフォーム運営者は、プラットフォームへの参入を申請する配信ルーム運営者に対し、氏名、統一社会信用コード（身分証明書番号）、実際の営業住所、連絡先、行政許可等の真実情報を提供させ、これを確認・登録し、登録ファイルを作成するとともに、少なくとも6か月ごとに確認・更新を行わなければならない。
直播电商平台经营者应当要求直播间运营者在直播营销人员首次直播前，提供经核验无误的该人员姓名、身份证件号码、经常居住地址、联系方式、所属直播营销人员服务机构以及与直播营销相关的专业资质、职业职务等身份信息，对直播间运营者履行核验义务提供技术支持并进行监督。	ライブコマースプラットフォーム運営者は、配信ルーム運営者に対し、ライブマーケティング担当者が初めて配信を行う前に、当該担当者の氏名、身分証明書番号、常居住所、連絡先、所属するライブマーケティング担当者サービス機関、並びにライブマーケティングに関連する専門資格、職業職務等の身元情報を提供し、かつ検証が完了したことを確認するよう要求しなければならない。また、配信ルーム運営者が検証義務を履行するよう技術支援を提供し、監督を行わなければならない。
直播电商平台经营者应当建立并落实直播营销人员真实身份动态核验制度，不得为与真实身份不符或者依照国家有关规定不得从事直播电商活动的人员提供相关服务。	ライブコマースプラットフォーム運営者は、ライブマーケティング担当者の実名動態確認制度を確立し実施しなければならない。実名と一致しない者、または国家の関連規定に基づきライブコマース活動に従事してはならない者に対して関連サービスを提供してはならない。
第九条 直播电商平台经营者应当分别于每年一月和七月向平台住所地省级市场监督管理部门报送直播间运营者、直播营销人员的下列身份信息：	第九条 ライブコマースプラットフォーム運営者は、毎年1月及び7月に、プラットフォーム所在地の省級市場監督管理部門に対し、ライブ配信ルーム運営者及びライブマーケティング担当者の以下の身元情報を提出しなければならない：
（一）已办理经营主体登记的直播间运营者的名称（姓名）、统一社会信用代码、实际经营地址、联系方式、直播账号等信息；	（一）経営主体登録を済ませたライブ配信ルーム運営者の名称（氏名）、統一社会信用コード、実際の経営住所、連絡先、ライブアカウント等の情報；
（二）未办理经营主体登记的直播间运营者的姓名、身份证件号码、实际经营地址、联系方式、直播账号等信息；	（二）経営主体登録を行っていない配信ルーム運営者の氏名、身分証明書番号、実際の営業住所、連絡先、配信アカウント等の情報；
（三）直播营销人员的姓名、身份证件号码、经常居住地址、联系方式、所属直播营销人员服务机构以及与直播营销相关的专业资质、职业职务等信息。	（三）ライブマーケティング担当者の氏名、身分証明書番号、常居住所、連絡先、所属するライブマーケティング担当者サービス機関及びライブマーケティングに関連する専門資格、職業職務等の情報。
第十条 直播电商平台经营者应当建立健全直播营销人员培训机制，每年对直播营销人员开展培训；在为首次从事直播电商活动的直播营销人员提供直播服务前，应当组织开展网络交易、网络信息安全相关法律、法规、规章以及产品质量安全、消费者权益保护、平台规则等方面的培训。直播营销人员不得在接受培训时弄虚作假或者拒不参加培训。	第十条 ライブコマースプラットフォーム運営者は、ライブマーケティング担当者に対する研修制度を整備し、毎年研修を実施しなければならない。初めてライブコマース活動に従事するライブマーケティング担当者に配信サービスを提供する前には、ネット取引、ネット情報セキュリティ関連法令・規則、製品品質安全、消費者権利保護、プラットフォーム規則などに関する研修を実施しなければならない。ライブマーケティング担当者は研修において虚偽の報告をしたり、研修への参加を拒否したりしてはならない。
直播电商平台经营者应当每年组织直播间运营者、直播营销人员服务机构学习网络交易、网络信息安全相关法律、法规、规章，及时通报有关部门的工作要求。	ライブコマースプラットフォーム運営者は、毎年、ライブ配信ルーム運営者及びライブマーケティング担当者サービス機関に対し、ネットワーク取引及びネットワーク情報セキュリティ関連の法律・法規・規則を学習させるとともに、関係部門の業務要求を適時に通知しなければならない。
第十一条 直播电商平台经营者应当通过平台规则建立健全直播间运营者分级分类管理制度，根据直播间运营者合规情况、关注和访问量、交易规模、所销售的商品或者服务种类以及其他指标，采取相应的管理措施。其中，对关注用户多、交易规模大、直播营销人员影响力强、多次出现违法行为或者从事关系消费者生命健康的商品或者服务的直播电商活动的直播间运营者，应当采取技术监测、实时巡查等管理措施。	第十一条　ライブコマースプラットフォーム運営者は、プラットフォーム規則を通じて、ライブ配信ルーム運営者の段階的・分類的管理制度を整備・確立し、運営者のコンプライアンス状況、注目度・アクセス数、取引規模、販売商品・サービスの種類及びその他の指標に基づき、対応する管理措置を講じなければならない。特に、フォロワー数が多く、取引規模が大きく、ライブマーケティング担当者の影響力が強く、違法行為を繰り返し行う、あるいは消費者の生命・健康に関わる商品・サービスのライブコマース活動を行う配信室運営者に対しては、技術的監視やリアルタイム巡回などの管理措置を講じなければならない。
鼓励直播电商平台经营者建立健全直播间运营者信用评价指标体系，将市场监督管理、网信部门依法共享或者通报的经营异常名录、严重违法失信名单、行政处罚、信用修复等信息纳入信用评价指标体系，并根据信用评价结果，采取相应的管理措施。	ライブコマースプラットフォーム事業者は、配信室運営者の信用評価指標体系を整備し、市場監督管理部門やネット情報部門が法的に共有または通報する経営異常リスト、重大な違法・失信リスト、行政処分、信用修復などの情報を信用評価指標体系に組み入れ、信用評価結果に基づいて対応する管理措置を講じることを推奨する。
第十二条 直播电商平台经营者应当通过平台规则建立健全平台内违法行为处置制度，明确对违反法律、法规、规章的直播间运营者、直播营销人员、直播营销人员服务机构采取警示、限制功能、限制流量、暂停直播、限期停播、关闭账号、禁止重新注册账号、列入黑名单等处置措施的具体情形、程序以及相应的救济途径。采取处置措施的种类和幅度，应当与有关违法行为的事实、性质、情节、社会危害程度等相当。	第十二条 ライブコマースプラットフォーム事業者は、プラットフォーム規則を通じてプラットフォーム内違法行為処理制度を整備し、法律・法規・規則に違反した配信ルーム運営者、ライブマーケティング担当者、ライブマーケティングサービス機関に対し、警告、機能制限、トラフィック制限、配信停止、期限付き配信停止、アカウント閉鎖、新規登録禁止、ブラックリスト登録等の処分措置を講じる具体的な状況、手続き及び対応する救済手段を明確に定める。処分措置の種類及び程度は、関連する違法行為の事実、性質、情状、社会的危害の程度等に見合うものでなければならない。
市场监督管理、网信部门经调查核实，将相关直播间运营者、直播营销人员、直播营销人员服务机构违法情况通报直播电商平台经营者的，直播电商平台经营者应当根据相关法律、法规、规章以及平台规则，及时依照前款规定采取相应的处置措施。	市場監督管理部門及びネット情報部門が調査・確認の上、関連するライブ配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関の違法状況をライブコマースプラットフォーム運営者に通知した場合、ライブコマースプラットフォーム運営者は関連する法律、法規、規則及びプラットフォーム規則に基づき、前項の規定に従い速やかに相応の処分措置を講じなければならない。
直播电商平台经营者采取处置措施的，应当保存有关记录，依法及时向平台住所地县级以上市场监督管理、网信部门报告，并作为评价直播间运营者、直播营销人员、直播营销人员服务机构合规情况的参考。其中，采取关闭账号、禁止重新注册账号、列入黑名单等处置措施的，应当同时向平台住所地省级市场监督管理、网信部门报告。	ライブコマースプラットフォーム事業者が処分措置を講じた場合、関連記録を保存し、法に基づき速やかにプラットフォーム所在地の県級以上の市場監督管理部門及びサイバー空間管理局に報告するとともに、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関のコンプライアンス状況評価の参考とする。このうち、アカウント閉鎖、新規アカウント登録禁止、ブラックリスト登録等の処分措置を講じた場合は、同時にプラットフォーム所在地の省級市場監督管理部門及びサイバー空間管理局に報告しなければならない。
第十三条 直播电商平台经营者应当建立健全风险识别制度，配备与其经营规模相适应的直播管理专业人员，加强对直播电商活动的动态监测，对直播中的违法行为及时采取警示、限制流量、暂停直播等处置措施。	第十三条 ライブコマースプラットフォーム運営者は、リスク特定制度を整備し、その経営規模に見合ったライブ管理専門要員を配置し、ライブコマース活動の動態的監視を強化し、ライブ中の違法行為に対しては警告、トラフィック制限、ライブ停止等の措置を速やかに講じなければならない。
第十四条 直播电商平台经营者应当通过平台规则建立健全黑名单制度，将严重违反市场监督管理、网信领域法律、行政法规的直播间运营者、直播营销人员、直播营销人员服务机构列入黑名单。	第十四条 ライブコマースプラットフォーム運営者は、プラットフォーム規則を通じてブラックリスト制度を整備し、市場監督管理・ネット情報分野の法律・行政法規に重大に違反した配信室運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関をブラックリストに掲載しなければならない。
直播电商平台经营者将相关主体列入黑名单的，应当及时告知其违反法律、行政法规的事实、理由和依据，列入黑名单的具体期限以及相应的申诉途径；相关主体提起申诉的，应当对申诉事项进行必要的复核，客观公正作出处理，并及时将处理结果告知相关主体。	ライブコマースプラットフォーム運営者が関連主体をブラックリストに掲載する場合、当該主体に対し、法律・行政法規違反の事実・理由・根拠、ブラックリスト掲載の具体的な期間及び対応する申立て手続きを速やかに通知しなければならない。当該主体が異議申立てを行った場合、プラットフォーム運営者は申立て事項について必要な再審査を行い、客観的かつ公正に処理し、速やかに処理結果を当該主体に通知しなければならない。
直播电商平台经营者应当加强对被列入黑名单的相关主体的管理，采取必要措施防止其在被列入黑名单期间，通过更换账号、重新注册账号等方式逃避惩戒；列入黑名单的期限届满的，应当将其移出并同步解除相应的处置措施。	ライブコマースプラットフォーム運営者は、ブラックリストに掲載された主体に対する管理を強化し、掲載期間中にアカウント変更や新規登録等による処分の回避を防止するための必要な措置を講じなければならない。ブラックリスト掲載期間が満了した場合は、当該主体をリストから削除するとともに、対応する処分措置を解除しなければならない。
鼓励直播电商平台经营者之间共享黑名单相关信息，对相关主体采取信用管理措施。	ライブコマースプラットフォーム運営者間でブラックリスト関連情報を共有し、関連主体に対して信用管理措置を講じることを奨励する。
第十五条 直播电商平台经营者应当为直播间运营者依法履行信息公示义务提供必要的技术支持。直播间运营者公示的信息发生变更的，应当在三个工作日内将变更情况报送直播电商平台经营者，直播电商平台经营者应当在七个工作日内进行核验，完成更新公示。	第十五条　ライブコマースプラットフォーム運営者は、配信ルーム運営者が情報公示義務を法的に履行するために必要な技術的支援を提供しなければならない。配信ルーム運営者が公示した情報に変更が生じた場合、3営業日以内に変更内容をライブコマースプラットフォーム運営者に報告し、ライブコマースプラットフォーム運営者は7営業日以内に検証を行い、公示の更新を完了しなければならない。
第十六条 直播电商平台经营者应当通过技术手段确保交易信息的完整性。交易信息应当包括直播账号，有关商品或者服务的直播视频回放记录、直播互动信息，消费者订单形成时的商品或者服务详情页面快照、客服记录、支付记录、物流快递、退换货以及售后等信息。上述交易信息的保存时间自交易完成之日起不少于三年。法律、行政法规另有规定的，依照其规定。	第十六条 ライブコマースプラットフォーム運営者は、技術的手段により取引情報の完全性を確保しなければならない。取引情報には、ライブアカウント、商品またはサービスに関するライブ動画の再生記録、ライブインタラクション情報、消費者注文成立時の商品またはサービス詳細ページのスナップショット、カスタマーサービス記録、支払い記録、物流配送、返品・交換およびアフターサービス等の情報を含むものとする。上記取引情報の保存期間は、取引完了日から少なくとも3年間とする。法律・行政法規に別段の定めがある場合は、その規定に従う。
第十七条 直播电商平台经营者应当采取有效措施，防范和处置直播间运营者、直播营销人员利用人工智能等技术手段，编造、传播虚假或者引人误解的商业信息，假冒他人进行商业宣传，欺骗、误导消费者和其他经营者。	第十七条 ライブコマースプラットフォーム運営者は、ライブ配信運営者やライブマーケティング担当者が人工知能等の技術手段を用いて虚偽または誤解を招く商業情報を捏造・拡散したり、他人を装って商業宣伝を行ったり、消費者や他の事業者を欺く行為を防止・対処するための有効な措置を講じなければならない。
第十八条 直播电商平台经营者应当建立健全消费者权益保护制度，明确消费争议解决机制。发生消费争议的，直播电商平台经营者应当根据消费者的要求提供直播间运营者、直播营销人员相关信息以及相关交易记录等必要信息。	第十八条 ライブコマースプラットフォーム運営者は、消費者権益保護制度を整備し、消費紛争解決メカニズムを明確にしなければならない。消費紛争が発生した場合、ライブコマースプラットフォーム運営者は消費者の要求に基づき、配信室運営者・ライブマーケティング担当者に関する情報及び関連取引記録等の必要情報を提供しなければならない。
第十九条 直播电商平台经营者知道或者应当知道直播间运营者、直播营销人员销售的商品或者提供的服务不符合保障人身、财产安全的要求，或者有其他侵害消费者合法权益行为的，应当依法采取必要措施。	第十九条　ライブコマースプラットフォーム運営者は、配信室運営者・ライブマーケティング担当者が販売する商品または提供するサービスが、人身・財産安全の保障要件を満たさないこと、またはその他の消費者合法権益侵害行為があることを知っていた、または知るべきであった場合、法に基づき必要な措置を講じなければならない。
第二十条 直播电商平台经营者应当建立健全投诉机制，明确处理流程和反馈时限，及时处理消费者投诉，并采取必要措施识别、防范和处置违反诚实信用原则滥用平台投诉机制的行为。	第二十条 ライブコマースプラットフォーム運営者は、苦情処理メカニズムを整備し、処理手順とフィードバック期限を明確にし、消費者の苦情を速やかに処理するとともに、誠実信用の原則に反してプラットフォームの苦情処理メカニズムを濫用する行為を識別・防止・対処するための必要な措置を講じなければならない。
对于投诉集中的直播间运营者、直播营销人员，直播电商平台经营者应当及时采取技术监测、实时巡查等管理措施。	苦情が集中するライブ配信ルーム運営者・ライブマーケティング担当者に対しては、ライブコマースプラットフォーム運営者は、技術的監視やリアルタイム巡回などの管理措置を速やかに講じなければならない。
直播电商平台经营者应当将核查属实的投诉情况作为评价直播间运营者、直播营销人员、直播营销人员服务机构合规情况的参考。	ライブコマースプラットフォーム運営者は、事実確認が取れた苦情状況を、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関のコンプライアンス状況評価の参考とする。
第二十一条 直播电商平台经营者应当积极配合市场监督管理、网信部门依法开展的监督检查、案件调查、事故处置、缺陷消费品召回、消费争议处理等监管执法活动，如实提供有关直播间运营者、直播营销人员的身份信息、商品或者服务信息、交易信息等。	第二十一条 ライブコマースプラットフォーム運営者は、市場監督管理部門及びネット情報部門が法に基づき実施する監督検査、事件調査、事故処理、欠陥消費財のリコール、消費紛争処理等の監督執行活動に積極的に協力し、ライブ配信ルーム運営者及びライブマーケティング担当者の身元情報、商品又はサービス情報、取引情報等を事実に基づき提供しなければならない。
第二十二条 市场监督管理部门依法对直播间运营者、直播营销人员开展调查，发现上述主体通过实际经营地址、经常居住地址无法联系的，应当及时通报直播电商平台经营者。	第二十二条　市場監督管理部門が法に基づきライブ配信ルーム運営者、ライブ配信マーケティング担当者に対して調査を実施し、当該主体が実際の営業住所、常居住所を通じて連絡が取れないことを発見した場合、速やかにライブコマースプラットフォーム運営者に通報しなければならない。
直播电商平台经营者应当在接到市场监督管理部门通报后五个工作日内提醒相关直播间运营者、直播营销人员及时更新相关信息。	ライブコマースプラットフォーム運営者は、市場監督管理部門からの通報を受けてから5営業日以内に、関連するライブ配信ルーム運営者及びライブマーケティング担当者に対し、速やかに関連情報を更新するよう促さなければならない。
经提醒，相关直播间运营者、直播营销人员仍不及时更新相关信息的，直播电商平台经营者应当根据平台规则，对其采取相应的处置措施，并保存有关记录。	促した後も関連するライブ配信ルーム運営者及びライブマーケティング担当者が速やかに情報を更新しない場合、ライブコマースプラットフォーム運営者はプラットフォームの規則に基づき、対応する措置を講じ、関連記録を保存しなければならない。
相关直播间运营者、直播营销人员更新相关信息后，可以根据平台规则，向平台申请解除处置措施。直播电商平台经营者收到申请并核验无误后，应当及时解除处置措施。	関連するライブ配信ルーム運営者及びライブ配信マーケティング担当者が関連情報を更新した後、プラットフォーム規則に基づき、プラットフォームに対し措置解除を申請することができる。ライブコマースプラットフォーム運営者は申請を受領し、内容に誤りがないことを確認した後、速やかに措置を解除しなければならない。
第二十三条 直播电商平台经营者对直播间运营者、直播营销人员采取处置措施的，应当对受影响的消费者的相关订单处理、售后服务、消费纠纷解决等作出妥善安排，协助消费者进行维权。	第二十三条　ライブコマースプラットフォーム運営者がライブ配信ルーム運営者及びライブ配信マーケティング担当者に対して措置を講じた場合、影響を受けた消費者に対する関連注文の処理、アフターサービス、消費紛争の解決等について適切な手配を行い、消費者の権利保護を支援しなければならない。
第二十四条 其他网络服务提供者在直播电商活动中，提供网络经营场所、交易撮合、信息发布等服务的全部或者部分内容的，应当根据其具体服务内容，依法履行本章规定的直播电商平台经营者应当履行的身份核验及登记、有关信息报送、违法行为处置及报告、交易信息保存、协助消费者维权和配合监管执法等相应义务；违反相关规定的，依法承担相应的责任。	第二十四条　その他のネットワークサービス提供者がライブコマース活動において、ネットワーク経営場所の提供、取引仲介、情報発信等のサービスの一部または全部を提供する場合は、その具体的なサービス内容に基づき、本章で定めるライブコマースプラットフォーム事業者が履行すべき本人確認及び登録、関連情報報告、違法行為の処分及び報告、取引情報の保存、消費者の権利保護支援及び監督執行への協力等の義務を法的に履行しなければならない。関連規定に違反した場合は、法的に相応の責任を負う。
第三章 直播间运营者、直播营销人员	第三章 配信室運営者、ライブマーケティング担当者
第二十五条 直播间运营者为法人或者非法人组织的，应当在直播账号信息主页显著位置依法公示真实有效的名称、统一社会信用代码、住所、行政许可等信息，或者上述信息的链接标识。	第二十五条 配信室運営者が法人または非法人組織である場合、配信アカウント情報ホームページの目立つ位置に、真実かつ有効な名称、統一社会信用コード、住所、行政許可等の情報を法に基づき公示するか、または上記情報のリンク表示をしなければならない。
直播间运营者为自然人，属于个体工商户的，应当在直播账号信息主页显著位置依法公示真实有效的名称、经营者姓名、统一社会信用代码、经营场所、组成形式等信息，或者上述信息的链接标识；属于依法不需要办理经营主体登记的其他自然人的，应当在直播账号信息主页显著位置依法公示实际经营地址、联系方式、所属直播营销人员服务机构等真实有效的信息，或者上述信息的链接标识。	配信ルーム運営者が自然人で、個人事業主である場合、配信アカウント情報ページの顕著な位置に、真実かつ有効な名称、経営者氏名、統一社会信用コード、営業場所、組織形態などの情報を、または上記情報のリンク表示を、法に基づき公示しなければならない。その他、法律に基づき経営主体登録を必要としない自然人である場合は、ライブ配信アカウント情報ページの顕著な位置に、実際の経営住所、連絡先、所属するライブ配信マーケティング担当者サービス機関などの真実かつ有効な情報を、または上記情報のリンク表示を、法律に基づき公示しなければならない。
相关信息发生变更的，直播间运营者应当在三个工作日内将变更情况报送直播电商平台经营者。	関連情報に変更が生じた場合、ライブ配信ルーム運営者は3営業日以内に変更状況をライブコマースプラットフォーム運営者に報告しなければならない。
直播间运营者依照本办法公示信息的，应当同时符合法律、行政法规和国家有关规定对展示账号相关信息的要求。	ライブ配信運営者が弁法に基づき情報を公示する場合、法律・法律・行政法規及び国家関連規定がアカウント関連情報の表示に求める要件を同時に満たさなければならない。
第二十六条 直播间运营者应当在其直播页面，以显著方式持续展示实际销售商品或者提供服务的经营者名称（姓名）、实际经营地址、联系方式等信息，或者该信息的链接标识。	第二十六条　ライブ配信運営者は、自社のライブ配信ページにおいて、実際の商品販売またはサービス提供を行う事業者の名称（氏名）、実際の営業住所、連絡先等の情報を、目立つ方法で継続的に表示しなければならない。または当該情報へのリンク表示をしなければならない。
通过链接标识展示相关信息的，应当符合以下要求：	リンク表示により関連情報を表示する場合、以下の要件を満たさなければならない：
（一）在直播页面显著位置设置便捷入口，跳转页面应当真实、完整展示第一款规定的信息，不得多次跳转；	（一）ライブ配信ページの顕著な位置に簡易アクセス入口を設置し、遷移先ページは第一項で規定する情報を真実かつ完全に表示し、複数回の遷移を許容してはならない。
（二）不得设置连续多次验证、强制关注账号、打赏互动等不合理访问限制；	（二）連続した複数回の認証、アカウントの強制フォロー、投げ銭インタラクション等の不当なアクセス制限を設定してはならない。
（三）不得以弹窗覆盖等技术手段干扰阅读。	（三）ポップアップ表示による覆い隠しの技術的手段等により閲覧を妨害してはならない。
第二十七条 直播间运营者应当核验实际销售商品或者提供服务的经营者的名称（姓名）、统一社会信用代码（身份证件号码）、实际经营地址、联系方式、行政许可、强制性产品认证、产品合格证明文件等信息，强化对直播选品、营销用语等的审核把关，并保存相关记录备查。保存记录自直播结束之日起不少于三年。	第二十七条 ライブ配信運営者は、実際に商品販売またはサービス提供を行う事業者の名称（氏名）、統一社会信用コード（身分証明書番号）、実際の営業住所、連絡先、行政許可、強制製品認証、製品合格証明書等の情報を確認し、ライブ配信商品の選定やマーケティング用語等の審査を強化するとともに、関連記録を保存して備え置かなければならない。記録の保存期間は配信終了日から少なくとも三年とする。
第二十八条 直播间运营者应当核验直播营销人员的姓名、身份证件号码、经常居住地址、联系方式、所属直播营销人员服务机构以及与直播营销相关的专业资质、职业职务等身份信息，并及时核验更新，保存相关记录备查，确保直播营销人员身份信息真实有效。保存记录自直播结束之日起不少于三年。	第二十八条 ライブ配信運営者は、ライブマーケティング担当者の氏名、身分証明書番号、常居住所、連絡先、所属するライブマーケティング担当者サービス機関、並びにライブマーケティングに関連する専門資格、職業職務等の身元情報を確認し、適時に確認・更新するとともに、関連記録を保存し、ライブマーケティング担当者の身元情報が真実かつ有効であることを確保しなければならない。記録は配信終了日から少なくとも3年間保存する。
直播间运营者应当在每次直播前将核验无误的直播营销人员身份信息报送直播电商平台经营者。	配信ルーム運営者は、各配信開始前に、確認済みのライブマーケティング担当者の身元情報をライブECプラットフォーム運営者に報告しなければならない。
第二十九条 直播间运营者设置、展示的账号名称、头像、简介和直播间标题、封面、布景、道具等，应当符合法律、法规、规章的规定，不得含有损害国家利益和社会公共利益，违背公序良俗以及欺骗、误导消费者等内容的信息。	第二十九条 配信ルーム運営者が設定・表示するアカウント名、アバター、プロフィール、配信ルームのタイトル、カバー画像、背景、小道具等は、法令・規則の規定に適合し、国家利益・社会公共利益を損なう内容、公序良俗に反する内容、消費者を欺く・誤導する内容を含んではならない。
第三十条 直播间运营者应当建立健全事前合规审核机制，在直播前依照有关规定对展示内容、讲解内容、服装、布景、道具等进行审核。	第三十条　ライブ配信ルーム運営者は、事前コンプライアンス審査メカニズムを整備し、配信前に表示内容、解説内容、服装、背景、小道具等について関連規定に基づき審査を行うこと。
第三十一条 直播间运营者应当建立健全直播营销人员纠错机制，发现直播营销人员出现口误、表述不完整、表述不当等情形时，应当现场进行纠正，并保存记录备查。保存记录自直播结束之日起不少于三年。	第三十一条 ライブ配信運営者は、ライブマーケティング担当者の誤り訂正メカニズムを整備し、担当者の言い間違い、不完全な表現、不適切な表現等を発見した場合は、その場で訂正するとともに記録を保存し、検査に備えるものとする。記録の保存期間は配信終了日から少なくとも三年とする。
直播间运营者应当对直播间互动内容进行实时管理，及时处置违法信息，并依法保存相关处置记录。	ライブ配信運営者は、配信中のインタラクティブコンテンツをリアルタイムで管理し、違法情報を速やかに処理するとともに、関連する処理記録を法的に保存するものとする。
第三十二条 直播间运营者应当以显著方式展示所销售商品的品名、价格和计价单位或者提供服务的项目、内容、价格和计价方法等信息，或者上述信息的链接标识；采取价格比较、折价、减价等促销方式的，应当显著标明被比较价格或者折价、减价的计算基准等信息，或者上述信息的链接标识。	第三十二条 ライブ配信運営者は、販売商品の品名・価格・計量単位、または提供サービスの項目・内容・価格・計量方法等の情報を、目立つ方法で表示しなければならない。価格比較・割引・値引き等の販促手法を用いる場合は、比較対象価格や割引・値引きの計算基準等の情報を、目立つ方法で表示しなければならない。
第三十三条 直播间运营者、直播营销人员不得通过直播间销售或者提供下列违法商品或者服务：	第三十三条 ライブ配信運営者及びライブマーケティング担当者は、ライブ配信を通じて以下の違法商品またはサービスを販売または提供してはならない：
（一）不符合保障人身、财产安全的要求和环境保护要求的商品或者服务；	（一）人身・財産安全の確保及び環境保護の要件を満たさない商品またはサービス
（二）掺杂、掺假、以假充真、以次充好等质量不合格的商品；	（二）混入・偽装・偽物・粗悪品など品質基準を満たさない商品
（三）法律、行政法规禁止交易，损害国家利益和社会公共利益，违背公序良俗的商品或者服务。	（三）法律・行政法規で取引が禁止され、国家利益・社会公共利益を損ない、公序良俗に反する商品またはサービス。
第三十四条 直播间运营者、直播营销人员不得对商品或者服务的经营主体以及性能、功能、质量、销售情况、用户评价、曾获荣誉、资格资质等作虚假或者引人误解的商业宣传，欺骗、误导消费者和其他经营者。	第三十四条 ライブ配信運営者及びライブマーケティング担当者は、商品またはサービスの経営主体、性能・機能・品質・販売状況・ユーザー評価・受賞歴・資格認定等について、虚偽または誤解を招く商業宣伝を行い、消費者及び他の経営者を欺く、または誤導してはならない。
直播间运营者、直播营销人员不得利用人工智能等技术手段，编造、传播虚假或者引人误解的商业信息，假冒他人进行商业宣传，欺骗、误导消费者和其他经营者。	ライブ配信運営者及びライブマーケティング担当者は、人工知能等の技術手段を利用して虚偽または誤解を招く商業情報を創作・拡散し、他人を装って商業宣伝を行い、消費者その他の事業者を欺瞞・誤導してはならない。
第三十五条 直播间运营者、直播营销人员发布的直播内容构成商业广告的，应当依照《中华人民共和国广告法》的有关规定履行广告发布者、广告经营者或者广告代言人的义务。	第三十五条 ライブ配信運営者及びライブマーケティング担当者が配信する内容が商業広告に該当する場合、『中華人民共和国広告法』の関連規定に基づき、広告掲載者・広告事業者または広告代弁者の義務を履行しなければならない。
下列情形一般构成前款所称的商业广告：	以下の状況は、前項でいう商業広告に該当する：
（一）商品经营者或者服务提供者以外有一定影响的自然人，在直播电商活动中以自己的名义或者形象对商品或者服务作推荐、证明的；	（一）商品経営者またはサービス提供者以外の一定の影響力を持つ自然人が、ライブコマース活動において自己の名義またはイメージを用いて商品またはサービスを推薦・証明する場合
（二）为推销商品或者服务，将介绍商品或者服务的直播内容录制、剪辑、编辑后，以文字、图像、视频、音频等形式通过互联网或者其他媒介发布的；	（二）商品またはサービスの販売促進を目的として、商品またはサービスを紹介するライブ配信内容を録画・編集・加工し、文字・画像・動画・音声等の形式でインターネットその他の媒体を通じて公開する場合
（三）其他构成商业广告的情形。	（三）その他商業広告を構成する状況。
第三十六条 直播间运营者、直播营销人员不得编造、传播或者指使他人编造、传播虚假信息或者误导性信息，损害其他经营者的商业信誉、商品声誉。	第三十六条 ライブ配信運営者及びライブマーケティング担当者は、虚偽情報または誤解を招く情報を捏造・流布し、または他人に捏造・流布を指示して、他の事業者の商業的信用や商品の評判を損なってはならない。
第三十七条 直播间运营者使用人工智能等技术生成的人物图像、视频从事直播电商活动的，应当符合有关法律、法规、规章和强制性国家标准的要求，并依照国家有关规定进行标识，持续向消费者提示该人物图像、视频由人工智能等技术生成。	第三十七条 ライブ配信室運営者が人工知能等の技術で生成した人物画像・動画を用いてライブコマース活動を行う場合、関連する法律・法規・規則及び強制標準の要求を満たし、国家の関連規定に基づき表示を行い、当該人物画像・動画が人工知能等で生成されたものであることを消費者に継続的に提示しなければならない。
在直播电商活动中使用人工智能等技术生成的人物图像、视频，存在违反法律、法规、规章规定情形的，由管理或者使用该人物图像、视频的直播间运营者依法承担责任。法律、法规、规章另有规定的，依照其规定。	ライブコマース活動において人工知能等の技術で生成された人物画像・動画が法令・規則に違反する場合、当該画像・動画の管理・使用を行うライブ配信ルーム運営者は法的責任を負う。法令・規則に別段の定めがある場合は、その規定に従う。
第四章 直播营销人员服务机构	第四章 ライブマーケティング担当者サービス機関
第三十八条 直播营销人员服务机构应当建立健全内部管理制度，规范直播营销人员的招募、培训、使用、管理等工作。	第三十八条 ライブマーケティング担当者サービス機関は、内部管理制度を整備し、担当者の募集・研修・使用・管理等を規範化しなければならない。
第三十九条 直播营销人员服务机构应当完善对直播营销人员的招募机制，核验直播营销人员的姓名、身份证件号码、经常居住地址、联系方式以及与直播营销相关的专业资质、职业职务等身份信息。	第三十九条 ライブマーケティング人材サービス機関は、ライブマーケティング人材の募集メカニズムを改善し、氏名、身分証明書番号、常居住所、連絡先、並びにライブマーケティングに関連する専門資格、職業職務等の身元情報を確認しなければならない。
第四十条 直播营销人员服务机构应当与直播营销人员签订协议，明确各自应当履行的义务，不得减轻或者免除自身依法应当承担的责任。	第四十条 ライブマーケティング人材サービス機関は、ライブマーケティング人材と契約を締結し、各自が履行すべき義務を明確にしなければならない。自ら法的に負うべき責任を軽減または免除してはならない。
第四十一条 直播营销人员服务机构应当加强对直播营销人员的培训，提醒其在直播电商活动中应当依法履行的义务。	第四十一条 ライブ配信マーケティング担当者サービス機関は、ライブ配信マーケティング担当者に対する研修を強化し、ライブコマース活動において法的に履行すべき義務を遵守するよう注意喚起しなければならない。
第四十二条 直播营销人员服务机构应当加强对直播营销人员的日常管理和规范引导，建立健全直播营销人员违法行为处置制度，对发现的直播营销人员违法行为及时采取必要的处置措施。	第四十二条 ライブ配信マーケティング担当者サービス機関は、ライブ配信マーケティング担当者の日常管理と規範的指導を強化し、違法行為対応制度を整備・確立しなければならない。発見された違法行為に対しては、速やかに必要な措置を講じなければならない。
第四十三条 直播营销人员服务机构与直播间运营者合作开展商业活动的，应当核验直播间运营者的名称（姓名）、统一社会信用代码（身份证件号码）、实际经营地址、联系方式、行政许可等信息，并与其签订书面协议，明确各自在直播营销人员管理、直播内容管理、产品质量审核、消费者权益保护等方面的义务。	第四十三条 ライブ配信マーケティング担当者サービス機関が配信ルーム運営者と共同で商業活動を行う場合、配信ルーム運営者の名称（氏名）、統一社会信用コード（身分証明書番号）、実際の営業住所、連絡先、行政許可等の情報を確認し、書面による契約を締結し、ライブ配信マーケティング担当者の管理、配信内容の管理、製品品質の審査、消費者権益保護等における各々の義務を明確にしなければならない。
第四十四条 直播营销人员服务机构不得通过组织虚假交易、虚假评价等方式，帮助直播间运营者、直播营销人员进行虚假或者引人误解的商业宣传。	第四十四条 ライブ配信マーケティング担当者サービス機関は、虚偽取引や虚偽評価の組織化等を通じて、配信ルーム運営者やライブ配信マーケティング担当者が虚偽または誤解を招く商業宣伝を行うことを助けてはならない。
第四十五条 直播营销人员服务机构提供直播选品服务的，应当核验实际销售商品或者提供服务的经营者的名称（姓名）、统一社会信用代码（身份证件号码）、实际经营地址、联系方式、行政许可、强制性产品认证、产品合格证明文件等信息，并保存相关记录备查。保存记录自直播结束之日起不少于三年。	第四十五条 ライブ配信マーケティング担当者サービス機関が商品選定サービスを提供する場合、実際に商品を販売またはサービスを提供する事業者の名称（氏名）、統一社会信用コード（身分証明書番号）、実際の営業住所、連絡先、行政許可、強制製品認証、製品合格証明書等の情報を確認し、関連記録を保存して備え置かなければならない。記録の保存期間はライブ配信終了日から少なくとも三年とする。
第五章 监督管理	第五章 監督管理
第四十六条 市场监督管理、网信部门应当依据职责加强对直播电商活动的监督管理，并建立健全线索移交、信息共享、会商研判等工作机制。	第四十六条　市場監督管理部門及びネット情報部門は、職責に基づきライブコマース活動の監督管理を強化し、情報提供の移管、情報共有、協議・分析等の作業メカニズムを整備しなければならない。
市场监督管理、网信部门对直播电商平台经营者、直播间运营者、直播营销人员服务机构依法开展监督管理的，相关经营主体应当予以配合，提供必要的数据、技术支持和协助，并确保所提供数据的真实性、准确性。	市場監督管理部門及びネット情報部門がライブコマースプラットフォーム事業者、ライブ配信ルーム運営者、ライブマーケティング担当者サービス機関に対し法に基づき監督管理を行う場合、関連事業主体はこれに協力し、必要なデータ・技術支援・協力を提供するとともに、提供データの真実性・正確性を確保しなければならない。
第四十七条 直播电商平台经营者，通过自建网站、其他网络服务从事直播电商活动的直播间运营者，以及直播营销人员服务机构违反本办法规定的行为，由其住所地县级以上市场监督管理、网信部门依据职责管辖。	第四十七条 ライブコマースプラットフォーム事業者、自社ウェブサイトその他のネットワークサービスを通じてライブコマース活動を行う配信ルーム運営者、及びライブマーケティング担当者サービス機関が弁法に違反する行為については、その所在地を管轄する県級以上の市場監督管理部門及びサイバー空間管理局が職責に基づき管轄する。
通过直播电商平台从事直播电商活动的直播间运营者违反本办法规定的行为，由其实际经营地县级以上市场监督管理、网信部门依据职责管辖。无法确定实际经营地，已办理经营主体登记的，由其住所地县级以上市场监督管理、网信部门依据职责管辖；未办理经营主体登记的，由直播电商平台经营者住所地县级以上市场监督管理、网信部门依据职责管辖。	ライブコマースプラットフォームを通じてライブコマース活動を行う配信ルーム運営者が弁法に違反した場合、その実際の営業所在地を管轄する県級以上の市場監督管理部門及びサイバー空間管理局が職責に基づき管轄する。実際の営業所在地が特定できない場合、事業主体登録を済ませている者はその住所地を管轄する県級以上の市場監督管理部門及びサイバー空間管理局が職責に基づき管轄する。事業主体登録を済ませていない者は、ライブコマースプラットフォーム運営者の住所地を管轄する県級以上の市場監督管理部門及びサイバー空間管理局が職責に基づき管轄する。
直播营销人员违反本办法规定的行为，由依照前两款规定负责管辖其所在直播间的运营者违法行为的市场监督管理、网信部门依据职责管辖。	ライブマーケティング担当者が弁法に違反する行為については、前2項の規定に基づき当該ライブ配信室の運営者の違法行為を管轄する市場監督管理部門及びサイバー空間管理部門が職責に基づき管轄する。
第四十八条 直播电商平台经营者住所地省级市场监督管理部门应当根据工作需要，及时将其掌握的直播间运营者、直播营销人员身份信息与直播间运营者实际经营地的省级市场监督管理部门共享。	第四十八条 ライブコマースプラットフォーム運営者の住所地を管轄する省級市場監督管理部門は、業務の必要性に応じて、速やかに把握しているライブ配信室運営者及びライブマーケティング担当者の身元情報を、当該ライブ配信室運営者の実際の営業地を管轄する省級市場監督管理部門と共有しなければならない。
第四十九条 市场监督管理、网信部门依据职责对涉嫌违法的直播电商活动进行查处时，可以依法采取下列措施：	第四十九条　市場監督管理部門及びサイバー空間管理局は、職務に基づき違法が疑われるライブコマース活動を調査・処分する際、法に基づき以下の措置を講じることができる：
（一）对与涉嫌违法的直播电商活动有关的场所进行现场检查；	（一）違法が疑われるライブコマース活動に関連する場所を現場検査する。
（二）查阅、复制与涉嫌违法的直播电商活动有关的合同、票据、账簿等有关资料；	（二）違法が疑われるライブコマース活動に関連する契約書、領収書、帳簿等の関連資料を閲覧・複製する。
（三）收集、调取、复制与涉嫌违法的直播电商活动有关的电子数据；	（三）違法が疑われるライブコマース活動に関連する電子データを収集・調取・複製する。
（四）询问涉嫌从事违法的直播电商活动的直播电商平台经营者、直播间运营者、直播营销人员、直播营销人员服务机构等当事人；	（四）違法行為に関与した疑いのあるライブコマースプラットフォーム事業者、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関などの関係者から事情を聴取すること。
（五）向与涉嫌违法的直播电商活动有关的自然人、法人和非法人组织调查了解有关情况；	（五）違法行為に関与した疑いのあるライブコマース活動に関連する自然人、法人及び非法人組織に対し、関連状況を調査・確認すること。
（六）法律、法规规定可以采取的其他措施。	（六）法律・法規で認められるその他の措置。
第五十条 市场监督管理、网信部门发现直播间运营者、直播营销人员、直播营销人员服务机构有违反市场监督管理、网信领域法律、法规、规章的行为，依法要求直播电商平台经营者采取必要处置措施的，直播电商平台经营者应当予以配合。	第五十条　市場監督管理部門及びネット情報部門が、配信ルーム運営者、配信マーケティング担当者、配信マーケティング担当者サービス機関が市場監督管理及びネット情報分野の法律・法規・規則に違反する行為を発見し、法に基づきライブコマースプラットフォーム運営者に対し必要な措置を講じるよう要求した場合、ライブコマースプラットフォーム運営者はこれに応じなければならない。
第五十一条 市场监督管理部门依法对直播电商平台经营者、直播间运营者、直播营销人员、直播营销人员服务机构等主体实施信用监管，将其注册登记、备案、行政许可、抽查核查结果、行政处罚、存续状态、列入经营异常名录和市场监督管理严重违法失信名单等信息，依法通过国家企业信用信息公示系统公示。对存在严重违法失信行为的，依法采取相应的惩戒措施。	第五十一条　市場監督管理部門は、ライブコマースプラットフォーム事業者、ライブ配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関等の主体に対し、信用監督管理を法的に実施する。その登録・届出、行政許可、抜き打ち検査結果、行政処分、存続状態、経営異常リスト及び市場監督管理重大違法失信リストへの掲載等の情報を、国家企業信用情報公示システムを通じて法的に公示する。重大な違法失信行為がある場合、法的に相応の懲戒措置を講じる。
前款规定的信息还可以通过市场监督管理部门官方网站、网络搜索引擎、经营者从事经营活动的主页面显著位置等公示。	前項に規定する情報は、市場監督管理部門の公式ウェブサイト、ネットワーク検索エンジン、事業者が事業活動を行うメインページの顕著な位置等を通じて公示することもできる。
网信部门依法将实施违法行为情节严重、影响恶劣的相关主体列入互联网严重失信名单，并采取相应的惩戒措施。	ネットワーク情報部門は、違法行為の情状が深刻で悪影響が大きい関連主体を、インターネット上の重大な信用失墜リストに法に基づき掲載し、対応する懲戒措置を講じる。
第五十二条 直播电商平台经营者、直播间运营者、直播营销人员、直播营销人员服务机构有下列情形之一的，市场监督管理、网信部门可以依据职责对其有关责任人进行约谈，要求其说明情况、采取措施进行整改：	第五十二条 ライブコマースプラットフォーム事業者、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関が以下のいずれかに該当する場合、市場監督管理部門及びネット情報部門は職責に基づき、関連責任者に対し事情説明及び是正措置を要求する面談を実施することができる：
（一）履行直播电商相关法定义务不到位的；	（一）ライブコマース関連の法的義務を適切に履行していない場合
（二）发生直播电商相关重大负面舆情事件的；	（二）ライブコマース関連の重大なネガティブ世論事件が発生した場合
（三）市场监督管理、网信部门在日常监督管理中发现存在可能对直播电商秩序造成负面影响问题的；	（三）市場監督管理部門及びサイバー空間管理局が日常監督管理において、ライブコマース秩序に悪影響を及ぼす可能性のある問題を発見した場合
（四）未保障消费者等有关各方主体合法权益的；	（四）消費者等の関係当事者の合法的権益を保障していない場合
（五）其他需要约谈的情形。	（五）その他面談が必要な場合
第六章 法律责任	第六章 法的責任
第五十三条 直播电商平台经营者有下列行为之一，属于市场监督管理部门职责的，由市场监督管理部门依照《中华人民共和国电子商务法》第八十条的规定进行处罚：	第五十三条 ライブコマースプラットフォーム運営者が以下の行為のいずれかを行い、かつ市場監督管理部門の職責に属する場合、市場監督管理部門は「中華人民共和国電子商取引法」第八十条の規定に基づき処罰を行う：
（一）不依照本办法第八条第一款规定对直播间运营者身份信息进行核验、登记的；	（一）弁法第八条第一項の規定に基づき、ライブ配信運営者の身元情報を確認・登録しない場合。
（二）不依照本办法第九条第一项、第二项规定报送有关信息的；	（二）弁法第九条第一項及び第二項の規定に基づき、関連情報を報告しない場合。
（三）不履行本办法第十六条规定的交易信息保存义务的。	（三）弁法第十六条に定める取引情報保存義務を履行しない場合。
第五十四条 直播电商平台经营者有下列行为之一，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正；拒不改正或者情节严重的，处一万元以上十万元以下罚款：	第五十四条 ライブコマースプラットフォーム運営者が以下の行為のいずれかを行った場合、法律・行政法規に規定があるときはその規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属するときは、市場監督管理部門が期限を定めて是正を命じる。是正を拒むか、または情状が重いときは、一万元以上十万元以下の罰金を科す：
（一）不依照本办法第八条第三款规定对直播营销人员真实身份进行核验的；	（一）本弁法第八条第三項の規定に従わず、ライブマーケティング担当者の実在する身分を確認しない場合；
（二）不依照本办法第九条第三项规定报送有关信息的；	（二）弁法第九条第三項の規定に基づき関連情報を報告しないこと。
（三）不履行本办法第十条规定的培训义务的；	（三）弁法第十条に定める研修義務を履行しないこと。
（四）不依照本办法第十一条第一款规定建立健全直播间运营者分级分类管理制度的；	（四）弁法第十一条第一項の規定に基づきライブ配信運営者の等級別・分類別管理制度を整備しないこと。
（五）不依照本办法第十二条规定建立健全平台内违法行为处置制度的；	（五）弁法第十二条の規定に基づきプラットフォーム内違法行為処理制度を整備しないこと。
（六）不依照本办法第十三条规定建立健全风险识别制度的；	（六）弁法第十三条の規定に基づきリスク特定制度を確立・整備しない場合；
（七）不依照本办法第十四条规定建立健全黑名单制度的；	（七）弁法第十四条の規定に基づきブラックリスト制度を確立・整備しない場合；
（八）不依照本办法第十七条规定采取有效措施防范和处置有关虚假商业宣传行为的；	（八）弁法第十七条の規定に基づき虚偽の商業宣伝行為を防止・処置するための有効な措置を講じない場合；
（九）不履行本办法第二十二条规定的提醒、处置义务的。	（九）弁法第二十二条の規定に基づく注意喚起・処置義務を履行しない場合。
第五十五条 直播电商平台经营者违反本办法第十八条规定，属于市场监督管理部门职责的，由市场监督管理部门依照《中华人民共和国消费者权益保护法实施条例》第五十条第一款的规定进行处罚。	第五十五条 ライブコマースプラットフォーム事業者が弁法第十八条の規定に違反し、市場監督管理部門の職責に属する場合、市場監督管理部門は「中華人民共和国消費者権益保護法実施条例」第五十条第一項の規定に基づき処罰を行う。
第五十六条 直播电商平台经营者违反本办法第十九条规定，对直播间运营者、直播营销人员侵害消费者合法权益行为未采取必要措施的，由市场监督管理部门依照《中华人民共和国电子商务法》第八十三条的规定进行处罚。	第五十六条 ライブコマースプラットフォーム事業者が弁法第十九条の規定に違反し、ライブ配信運営者・ライブマーケティング担当者の消費者合法権益侵害行為に対して必要な措置を講じなかった場合、市場監督管理部門は「中華人民共和国電子商取引法」第八十三条の規定に基づき処罰を行う。
第五十七条 直播间运营者不履行本办法第二十五条第一款至第三款规定的信息公示义务的，由市场监督管理部门依照《中华人民共和国电子商务法》第七十六条的规定进行处罚。	第五十七条 ライブ配信運営者が弁法第二十五条第一項から第三項に定める情報公示義務を履行しない場合、市場監督管理部門は「中華人民共和国電子商取引法」第七十六条の規定に基づき処罰を行う。
第五十八条 直播间运营者不履行本办法第二十六条规定的信息展示义务，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正；逾期不改正的，处一万元以下罚款。	第五十八条 ライブ配信室運営者が弁法第二十六条に定める情報表示義務を履行しない場合、法律・行政法規に規定があるときはその規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属するときは、市場監督管理部門が期限を定めて是正を命じる。期限までに是正しないときは、一万元以下の罰金を科す。
第五十九条 直播间运营者有下列行为之一，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正；拒不改正或者情节严重的，处一万元以上十万元以下罚款：	第五十九条 ライブ配信室運営者が次の行為のいずれかを行う場合、法律・行政法規に規定があるときはその規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属する場合には、市場監督管理部門が期限を定めて是正を命じる。是正を拒むか、情状が重い場合には、一万元以上十万元以下の罰金を科す：
（一）不履行本办法第二十七条、第二十八条规定的核验义务的；	（一）弁法第二十七条・第二十八条に定める検証義務を履行しない場合
（二）不依照本办法第二十九条规定设置、展示账号名称、头像、简介和直播间标题、封面、布景、道具等的；	（二）弁法第二十九条の規定に従ってアカウント名・アイコン・プロフィール及び配信ルームのタイトル・カバー画像・背景・小道具等を設定・表示しない場合
（三）不依照本办法第三十条规定建立健全事前合规审核机制的；	（三）弁法第三十条の規定に基づき事前コンプライアンス審査メカニズムを確立・整備しない場合；
（四）不依照本办法第三十一条规定建立健全直播营销人员纠错机制的；	（四）弁法第三十一条の規定に基づきライブ配信マーケティング担当者の誤り是正メカニズムを確立・整備しない場合；
（五）不履行本办法第三十七条第一款规定的标识义务的。	（五）弁法第三十七条第一項に定める表示義務を履行しない場合。
第六十条 直播间运营者违反本办法第三十二条规定的，由市场监督管理部门依照《中华人民共和国价格法》、《价格违法行为行政处罚规定 》进行处罚。	第六十条 ライブ配信ルーム運営者が弁法第三十二条の規定に違反した場合、市場監督管理部門は『中華人民共和国価格法』及び『価格違法行為行政処罰規定』に基づき処罰を行う。
第六十一条 直播间运营者、直播营销人员违反本办法第三十三条规定，通过直播间销售或者提供有关违法商品或者服务，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正，处一万元以上十万元以下罚款。	第六十一条 ライブ配信運営者及びライブ配信販売員が弁法第三十三条の規定に違反し、ライブ配信を通じて違法な商品又はサービスを提供した場合、法律・行政法規に規定があるときはその規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属するときは、市場監督管理部門が期限を定めて是正を命じ、一万元以上十万元以下の罰金を科す。
第六十二条 直播间运营者、直播营销人员、直播营销人员服务机构违反本办法第三十四条、第四十四条规定的，由市场监督管理部门依照《中华人民共和国反不正当竞争法》第二十五条第一款的规定进行处罚；属于发布虚假广告的，依照《中华人民共和国广告法》第五十五条的规定进行处罚。	第六十二条 ライブ配信運営者、ライブ配信マーケティング担当者、ライブ配信マーケティングサービス機関が本弁法第三十四条及び第四十四条の規定に違反した場合、市場監督管理部門は『中華人民共和国不正競争防止法』第二十五条第一項の規定に基づき処罰を行う。虚偽広告の掲載に該当する場合は、『中華人民共和国広告法』第五十五条の規定に基づき処罰を行う。
直播间运营者、直播营销人员违反本办法第三十六条规定的，由市场监督管理部门依照《中华人民共和国反不正当竞争法》第二十八条的规定进行处罚。	ライブ配信運営者及びライブ配信マーケティング担当者が本弁法第三十六条の規定に違反した場合、市場監督管理部門は「中華人民共和国不正競争防止法」第二十八条の規定に基づき処罰を行う。
第六十三条 直播营销人员违反本办法第三十三条、第三十四条、第三十六条规定，属于职务行为的，由其所在单位承担相应的行政责任；但是，有证据证明该直播营销人员的行为与其职务行为无关的除外。	第六十三条 ライブ配信マーケティング担当者が本弁法第三十三条、第三十四条、第三十六条の規定に違反し、その行為が職務行為に属する場合、その所属機関が対応する行政責任を負う。ただし、当該ライブ配信マーケティング担当者の行為が職務行為と無関係であることを証明する証拠がある場合はこの限りではない。
第六十四条 直播营销人员服务机构不履行本办法第三十九条、第四十三条、第四十五条规定的核验义务，或者不依照本办法第四十二条规定加强对直播营销人员的日常管理和规范引导，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正；拒不改正或者情节严重的，处一万元以上十万元以下罚款。	第六十四条 ライブ配信マーケティング従事者サービス機関が本弁法第三十九条、第四十三条、第四十五条に定める検証義務を履行しない場合、または本弁法第四十二条の規定に基づきライブ配信マーケティング従事者の日常管理及び規範的指導を強化しない場合、法律・行政法規に規定があるときは、その規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属する場合には、市場監督管理部門が期限を定めて是正を命じる。是正を拒むか、または情状が重い場合には、一万元以上十万元以下の罰金を科す。
第六十五条 在直播电商活动中制作、复制、发布、传播违法信息，或者未采取措施防范和抵制制作、复制、发布、传播不良信息的，由网信部门依据职责，依照《中华人民共和国网络安全法》、《互联网信息服务管理办法》等法律、行政法规的规定进行处罚。	第六十五条 ライブコマース活動において違法情報を制作、複製、発信、伝播した場合、または不良情報の制作、複製、発信、伝播を防止・阻止する措置を講じなかった場合、ネット情報部門は職責に基づき、「中華人民共和国サイバーセキュリティ法」「インターネット情報サービス管理弁法」等の法律・行政法規の規定に従い処罰を行う。
违反本办法第六条至第八条、第十条、第十一条第一款、第十二条、第十三条、第十四条第一款至第三款、第十六条、第十七条、第二十五条第四款、第二十七条、第二十九条至第三十一条、第三十四条、第三十六条、第三十七条、第四十一条至第四十四条，属于网信部门职责的，由网信部门依照《中华人民共和国网络安全法》、《互联网信息服务管理办法》等法律、行政法规的规定进行处罚；法律、行政法规没有规定的，由网信部门责令限期改正；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以责令暂停提供相关服务。	本弁法の第六条から第八条、第十条、第十一条第一項、第十二条、第十三条、第十四条第一項から第三項、第十六条、第十七条、 第二十五条第四項、第二十七条、第二十九条から第三十一条、第三十四条、第三十六条、第三十七条、第四十一条から第四十四条の規定に違反した場合、サイバーセキュリティ部門の職責に属するものは、サイバーセキュリティ部門が「中華人民共和国サイバーセキュリティ法」、「インターネット情報サービス管理弁法」などの法律・行政法規の規定に基づき処罰を行う。法律・行政法規に規定がない場合は、ネット情報部門が期限を定めて是正を命じる。是正を拒むか、または情状が重い場合は、一万元以上十万元以下の罰金を科し、関連サービスの提供停止を命ずることができる。
第六十六条 妨害市场监督管理、网信部门依照本办法履行职责，拒绝、阻碍监管执法的，法律、行政法规、部门规章有规定的，依照其规定；法律、行政法规、部门规章没有规定的，由市场监督管理、网信部门依据职责责令改正，对个人可以处一千元以上一万元以下罚款，对单位可以处一万元以上十万元以下罚款。	第六十六条　市場監督管理部門及びネット情報部門が本弁法に基づき職責を履行するのを妨害し、監督執行を拒否・阻害した場合、法律・行政法規・部門規則に規定があるときは、その規定に従う。法律・行政法規・部門規則に規定がないときは、市場監督管理部門及びネット情報部門が職責に基づき是正を命じ、個人には1000元以上1万元以下の罰金を、単位には1万元以上10万元以下の罰金を科すことができる。
第六十七条 违反本办法规定，涉嫌犯罪的，依法移送司法机关追究刑事责任。	第六十七条　弁法の規定に違反し、犯罪の疑いがある場合は、法に基づき司法機関に移送し刑事責任を追及する。
第七章 附　则	第七章　附　則
第六十八条 直播电商活动的监督管理依法属于其他有关部门职责的，由其他有关部门依照有关规定执行。	第六十八条　ライブコマース活動の監督管理が法に基づき他の関係部門の職責に属する場合は、他の関係部門が関連規定に従って執行する。
第六十九条 本办法自2026年2月1日起施行。	第六十九条　弁法は2026年2月1日から施行する。

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

中国プラットフォーム規制...

・2026.01.12 中国 ライブコマース監督管理弁法 (2026.01.07)

・2026.01.12 中国 ネットワーク取引プラットフォーム規則監督管理弁法 (2026.01.07)

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

 

中国AIコンテンツ...

・2025.03.16 中国 人工知能生成合成コンテンツ識別弁法 (2025.03.14)

・2024.09.23 中国 「人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」と国家標準 「人工知能が生成したコンテンツのラベル付け方法」に対する意見募集

・2023.09.11 中国 生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 （深層合成で作ったものにはマークを...）(2022.11.25)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定（意見募集稿）

 

 

DSA, DMA関連

・2025.11.22 欧州委員会 EU企業の成長を支援する簡素化されたデジタル規則 （オムニバス法）

・2025.11.03 欧州議会 AI法とEUデジタル立法フレームワークの相互作用 (2025.10.30)

・2025.10.14 欧州委員会 EDPB DMAとGPDRの相互作用に関する共同ガイドライン案

・2025.09.16 EDPB DSAとGDPRの相互関係に関するガイドライン (2025.09.12)

・2023.12.30 欧州委員会 デジタルサービス法に基づく独立監査に関する委任規則 (2023.10.20)

・2023.02.05 欧州委員会 デジタルサービス法におけるユーザー数の公表義務に関するガイダンス

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法（DMA）が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

中国 ネットワーク取引プラットフォーム規則監督管理弁法 (2026.01.07)

こんにちは、丸山満彦です。

規制の内容的には中国版DMA、DSA、EU 消費者権利指令をまとめた感じにも見えますが、DMAやDSAと違って事業規模による限定はないですね...

今回の弁法は、契約規制＋競争法＋透明性規制ということですかね...

第10条で規則改訂の際には意見募集期間を設けないといけないという規定があり、これは利用者保護の観点から良いアイデアかもしれません...

日本で導入になったアプリストアの独占を防ぐような規制は含まれていない。これはおそらく中国版独禁法である「反垄断法」の優越的地位の濫用で規制できるという感じですかね...

アプリストアを直接規制する法令は、「移动互联网应用程序信息服务管理规定」、

アプリの内容・情報管理を規制する法令は、「互联网信息内容生态治理规定」

ということになりますかね...だいたい...

 

この弁法は2026.02.01に施行のようです...

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.07 网络交易平台规则监督管理办法

网络交易平台规则监督管理办法	ネットワーク取引プラットフォーム規則監督管理弁法
（2025年12月18日国家市场监督管理总局、国家互联网信息办公室令第116号公布 自2026年2月1日起施行）	（2025年12月18日国家市場監督管理総局・国家サイバースペース管理局令第116号公布　2026年2月1日より施行）
第一章 总　则	第一章　総則
第一条 为了规范网络交易平台规则（以下简称平台规则）的制定、修改和执行，维护网络交易秩序，保护网络交易各方主体合法权益，促进平台经济健康可持续发展，根据《中华人民共和国电子商务法》、《中华人民共和国消费者权益保护法》、《中华人民共和国网络安全法》等法律，制定本办法。	第一条　ネットワーク取引プラットフォーム規則（以下「プラットフォーム規則」という）の制定、改正及び執行を規範化し、ネットワーク取引秩序を維持し、ネットワーク取引関係者の合法的権益を保護し、プラットフォーム経済の健全かつ持続可能な発展を促進するため、「中華人民共和国電子商取引法」、「中華人民共和国消費者権益保護法」、「中華人民共和国サイバーセキュリティ法」等の法律に基づき、本弁法を制定する。
第二条 网络交易平台经营者开展平台规则制定、修改和执行活动以及市场监督管理、网信部门依据职责对其进行监督管理，适用本办法。	第二条　ネットワーク取引プラットフォーム事業者がプラットフォーム規則の制定、改正及び執行活動を行うこと、並びに市場監督管理部門及びインターネット情報部門が職責に基づき監督管理を行うことについては、本弁法が適用される。
第三条 本办法所称网络交易平台经营者，是指在网络交易活动中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展网络交易活动的法人或者非法人组织。	第三条　本弁法において「ネットワーク取引プラットフォーム事業者」とは、ネットワーク取引活動において取引当事者双方または複数に対し、ネットワーク経営場所の提供、取引仲介、情報公開等のサービスを提供し、取引当事者双方または複数による独立したネットワーク取引活動を可能とする法人または非法人組織を指す。
网络社交、网络直播等网络服务提供者为经营者提供网络经营场所、商品浏览、订单生成、在线支付等网络交易平台服务的，属于本办法规定的网络交易平台经营者。	ネットワークソーシャル、ネットワークライブ配信等のネットワークサービス提供者が、経営者にネットワーク経営場所、商品閲覧、注文生成、オンライン決済等のネットワーク取引プラットフォームサービスを提供する場合、弁法が定めるネットワーク取引プラットフォーム経営者に該当する。
第四条 本办法所称平台规则，是指网络交易平台经营者为服务不特定网络交易各方主体、管理平台内交易相关活动而预先拟定、供各方遵守的服务协议和交易规则的总称。	第四条 本弁法において「プラットフォーム規則」とは、ネットワーク取引プラットフォーム運営者が、不特定のネットワーク取引関係者を対象にサービスを提供し、プラットフォーム内の取引関連活動を管理するために事前に策定し、関係者が遵守すべきサービス契約及び取引規則の総称を指す。
平台规则包括网络交易平台服务协议、对平台内经营者的管理规则、平台内交易及纠纷处理规则、个人信息保护规则、知识产权保护规则等。	プラットフォーム規則には、ネットワーク取引プラットフォームサービス契約、プラットフォーム内事業者管理規則、プラットフォーム内取引及び紛争処理規則、個人情報保護規則、知的財産権保護規則等が含まれる。
网络交易平台经营者与特定主体单独协商达成的不具有广泛适用性的协议，不属于本办法规定的平台规则。	ネットワーク取引プラットフォーム運営者と特定主体が個別に協議して締結した、広範な適用性を有しない契約は、弁法で定めるプラットフォーム規則には該当しない。
第五条 网络交易平台经营者制定、修改和执行平台规则应当遵循公开、公平、公正的原则，遵守法律、法规、规章和商业道德、公序良俗，不得利用平台规则实施危害国家利益、社会公共利益或者侵害网络交易各方主体合法权益的行为。	第五条 ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の制定、改正及び執行にあたり、公開、公平、公正の原則に従い、法律、法規、規則及び商業道徳、公序良俗を遵守しなければならない。プラットフォーム規則を利用して国家利益、社会公共利益を害する行為、またはネットワーク取引当事者の合法的権益を侵害する行為を行ってはならない。
第六条 ネットワーク取引プラットフォームの運営者は、プラットフォーム規則の制定、改正及び執行を通じて、プラットフォーム内事業者によるプラットフォームへの参入・退出及びプラットフォーム内取引活動の管理を強化し、商品・サービスの品質保証、消費者権益保護、公正競争、信用管理、情報セキュリティ管理、未成年者のネットワーク保護、個人情報保護、ネットワーク及びデータセキュリティ保護などの責任を法に基づき履行しなければならない。	第六条 ネットワーク取引プラットフォームの運営者は、プラットフォーム規則の制定、改正及び執行を通じて、プラットフォーム内事業者によるプラットフォームへの参入・退出及びプラットフォーム内取引活動の管理を強化し、商品・サービスの品質保証、消費者権益保護、公正競争、信用管理、情報セキュリティ管理、未成年者のネットワーク保護、個人情報保護、ネットワーク及びデータセキュリティ保護などの責任を法に基づき履行しなければならない。
第二章 プラットフォーム規則の制定、修正及び執行	第二章 プラットフォーム規則の制定、修正及び執行
第七条 ネットワーク取引プラットフォームの運営者は、自社のウェブサイトまたはアプリケーションのトップページの見やすい位置に、プラットフォームの規則情報または当該情報へのリンク表示を継続的に掲示し、運営者と消費者が容易かつ完全に閲覧・ダウンロードできることを保証しなければならない。	第七条 ネットワーク取引プラットフォームの運営者は、自社のウェブサイトまたはアプリケーションのトップページの見やすい位置に、プラットフォームの規則情報または当該情報へのリンク表示を継続的に掲示し、運営者と消費者が容易かつ完全に閲覧・ダウンロードできることを保証しなければならない。
第八条 プラットフォームのルール内容は、明確かつ分かりやすく、読みやすく理解しやすいものでなければならない。	第八条 プラットフォームの規則内容は、明確かつ分かりやすく、読みやすく理解しやすいものでなければならない。
ネットワーク取引プラットフォームの運営者は、太字表示などの目立つ方法で、事業者及び消費者にプラットフォーム規則における料金、紛争解決など重大な利害関係に関わる内容に注意を促し、その知情権を保障するとともに、事業者及び消費者の要求に応じて関連条項の説明を行うものとする。	ネットワーク取引プラットフォームの運営者は、太字表示などの目立つ方法で、事業者及び消費者にプラットフォーム規則における料金、紛争解決など重大な利害関係に関わる内容に注意を促し、その知情権を保障するとともに、事業者及び消費者の要求に応じて関連条項の説明を行うものとする。
第九条 ネットワーク取引プラットフォームの運営者は、技術的措置を講じ、プラットフォーム規則の表示ページに検索機能を設置し、事業者及び消費者がプラットフォーム規則内の特定の内容を検索・閲覧することを容易にしなければならない。	第九条 ネットワーク取引プラットフォームの運営者は、技術的措置を講じ、プラットフォーム規則の表示ページに検索機能を設置し、事業者及び消費者がプラットフォーム規則内の特定の内容を検索・閲覧することを容易にしなければならない。
第十条 网络交易平台经营者制定、修改平台规则，应当在其网站、应用程序首页显著位置公开征求意见。网络交易平台经营者应当预留必要时间并提供必要的技术支持，确保有关各方能够及时充分表达意见。	第十条 ネットワーク取引プラットフォームの運営者は、プラットフォーム規則を制定・修正する際、そのウェブサイトやアプリケーションのトップページに目立つ位置で意見募集を公表しなければならない。ネットワーク取引プラットフォームの運営者は、関係者が適時に十分な意見を表明できるよう、必要な時間を確保し、必要な技術的支援を提供しなければならない。
第十一条 网络交易平台经营者应当全面如实归纳整理平台规则征求意见过程中收到的意见，对于合理意见应当充分吸收采纳，不采纳意见应当有合理理由。相关资料应当留档备查，保存时间自征求意见结束之日起不少于三年。	第十一条 ネットワーク取引プラットフォーム経営者は、プラットフォーム規則の意見募集過程で受けた意見を全面的かつ正確に整理し、合理的な意見は十分に吸収・採用し、採用しない意見には合理的な理由を示すべきである。関連資料は記録として保管し、意見募集終了日から少なくとも三年保存しなければならない。
第十二条 网络交易平台经营者制定、修改的平台规则，应当至少在实施前七日予以公示。	第十二条 ネットワーク取引プラットフォーム経営者が制定・修正するプラットフォーム規則は、少なくとも実施の七日前までに公示しなければならない。
对于涉及用户数量巨大、修改内容较多、关系有关各方重要权益的平台规则，应当至少在实施前十五日予以公示。	ユーザー数が膨大であるもの、修正内容が多いもの、関係各方面の重要な権益に関わるプラットフォーム規則については、実施の少なくとも15日前までに公示しなければならない。
第十三条 网络交易平台经营者制定、修改平台规则，可能对有关各方重要权益造成重大影响的，除依照本办法第十二条规定进行公示外，还应当根据其影响程度设置合理的过渡期，为有关各方妥善处理相关事宜提供便利条件。	第十三条 ネットワーク取引プラットフォーム運営者がプラットフォーム規則を制定・修正し、関係各方面の重要な権益に重大な影響を及ぼす可能性がある場合、弁法第十二条の規定による公示に加え、その影響の程度に応じて合理的な移行期間を設定し、関係各方面が関連事項を適切に処理するための便宜を図るものとする。
第十四条 平台内经营者、消费者不接受平台规则修改的内容，要求退出平台或者终止相关服务的，网络交易平台经营者不得以设置不合理条件等方式阻止。	第十四条　プラットフォーム内の事業者または消費者がプラットフォーム規則の改定内容を受け入れず、プラットフォームからの退出または関連サービスの終了を要求する場合、ネットワーク取引プラットフォーム事業者は不合理な条件の設定等によりこれを妨げてはならない。
平台内经营者、消费者依照前款规定，要求退出平台或者终止相关服务的，网络交易平台经营者应当按照修改前的平台规则承担据实退还费用等相关责任，不得故意拖延或者无理拒绝。	プラットフォーム内の事業者または消費者が前項の規定に基づきプラットフォームからの退出または関連サービスの終了を要求する場合、ネットワーク取引プラットフォーム事業者は改定前のプラットフォーム規則に基づき、実費に基づく費用返還等の関連責任を負わなければならない。故意に遅延させたり、不当に拒否したりしてはならない。
第十五条 网络交易平台经营者修改平台规则的，应当完整保存修改后的版本生效之日前三年的全部历史版本，并保证经营者和消费者能够便利、完整地阅览和下载。	第十五条　ネットワーク取引プラットフォーム事業者がプラットフォーム規則を変更する場合、変更後のバージョンが発効する日の三年前までの全履歴バージョンを完全に保存し、事業者及び消費者が便利かつ完全に閲覧・ダウンロードできることを保証しなければならない。
第十六条 网络交易平台经营者不得强制或者诱导经营者和消费者对相关平台规则表示同意，不得将相关平台规则设定为默认同意的选项，但不增加经营者和消费者义务、不减损经营者和消费者权益的除外。	第十六条　ネットワーク取引プラットフォーム運営者は、事業者及び消費者にプラットフォーム規則への同意を強制または誘導してはならず、関連プラットフォーム規則をデフォルトで同意するオプションとして設定してはならない。ただし、事業者及び消費者の義務を増大させず、事業者及び消費者の権益を損なわない場合はこの限りではない。
第十七条 网络交易平台经营者应当建立健全平台规则重大事项沟通协商机制，通过定期会商、座谈、问卷调查等方式，就涉及有关各方重大利害关系的平台规则的制定、修改和执行等事项进行常态化沟通协商，对沟通协商过程中收集的意见进行全面如实归纳整理，对于合理意见应当充分吸收采纳，不采纳意见应当有合理理由。	第十七条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の重要事項に関する協議メカニズムを整備し、定期的な協議、座談会、アンケート調査等の方法により、関係各方面の重大な利害に関わるプラットフォーム規則の制定、変更及び執行等について常態的な協議を行うものとする。協議過程で収集した意見は全面的かつ正確に整理し、合理的な意見は十分に吸収・採用し、採用しない意見については合理的な理由を示すものとする。
第十八条 网络交易平台经营者应当通过平台规则的制定、修改和执行，对网络交易活动中违反法律、法规、规章、商业道德、公序良俗的行为予以规制，防止有关各方主体合法权益受到侵害。	第十八条　ネットワーク取引プラットフォーム事業者は、プラットフォーム規則の制定・改正・執行を通じて、ネットワーク取引活動における法令・規則・商業道徳・公序良俗に反する行為を規制し、関係各主体の正当な権益が侵害されることを防止しなければならない。
第十九条 网络交易平台经营者根据平台规则，对平台内经营者或者消费者采取对其权益有负面影响的措施的，应当告知其违反法律、法规、规章或者平台规则的事实、理由和依据，并设置便捷的申诉渠道。法律法规另有规定的，依照其规定。	第十九条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則に基づき、プラットフォーム内事業者または消費者に対してその権益に悪影響を及ぼす措置を講じる場合、法律・法規・規則またはプラットフォーム規則に違反する事実、理由及び根拠を通知し、簡便な申立て窓口を設置しなければならない。法律・法規に別段の定めがある場合は、その規定に従う。
平台内经营者、消费者提起申诉的，网络交易平台经营者应当及时对申诉事项进行复核，客观公正作出处理；仅采用人工智能等技术手段处理，申诉人提出人工判定要求的，应当采用人工判定的方式进行处理。网络交易平台经营者作出处理后，应当及时将处理结果告知申诉人。	プラットフォーム内事業者または消費者が申立てを行った場合、ネットワーク取引プラットフォーム運営者は速やかに申立て事項を再審査し、客観的かつ公正に処理しなければならない。人工知能等の技術手段のみを用いて処理する場合、申立人が人的判断を要求したときは、人的判断の方法で処理しなければならない。ネットワーク取引プラットフォーム運営者は処理を行った後、速やかに処理結果を申立人に通知しなければならない。
第二十条 网络交易平台经营者在平台规则的制定、修改和执行过程中，不得对平台内经营者、消费者的申诉权利作出不合理限制。	第二十条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の制定・修正・執行過程において、プラットフォーム内事業者及び消費者の申立て権利を不当に制限してはならない。
第二十一条 网络交易平台经营者应当在平台规则中明确平台内交易纠纷解决机制，依照有关法律的规定公平设定平台内交易纠纷各方的举证责任。合理减轻一方举证责任的，网络交易平台经营者应当采取措施识别、防范和处置违反诚实信用原则滥用该规则侵害有关各方主体合法权益的行为。	第二十一条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則においてプラットフォーム内取引紛争解決メカニズムを明確に定め、関連法律の規定に基づきプラットフォーム内取引紛争当事者の立証責任を公平に設定しなければならない。一方の立証責任を合理的に軽減する場合、ネットワーク取引プラットフォーム運営者は、誠実信用原則に反し当該規則を濫用して関係各主体の合法的権益を侵害する行為を識別・防止・処置するための措置を講じなければならない。
第二十二条 网络交易平台经营者委托第三方机构和人员执行平台规则的，应当对其进行必要的培训，并依法承担因第三方机构和人员执行不当而产生的法律责任。	第二十二条　ネットワーク取引プラットフォーム運営者が第三者機関及び人員にプラットフォーム規則の執行を委託する場合、必要な研修を実施するとともに、第三者機関及び人員の不適切な執行により生じた法的責任を法に基づき負わなければならない。
第三章 信息、网络和数据安全保护	第三章　情報・ネットワーク・データセキュリティ保護
第二十三条 网络交易平台经营者为平台内经营者、消费者提供信息发布服务的，应当在平台规则中以显著方式明确平台内商品和服务信息、交易信息、评论信息等信息安全条款，要求平台内经营者、消费者遵守法律法规和国家有关规定，不得制作、复制、发布、传播违法信息，应当采取措施防范和抵制制作、复制、发布、传播不良信息。	第二十三条　ネットワーク取引プラットフォーム運営者がプラットフォーム内事業者・消費者に対し情報発信サービスを提供する場合、プラットフォーム規則において目立つ方法で、プラットフォーム内商品・サービス情報、取引情報、コメント情報等の情報セキュリティ条項を明確に定め、プラットフォーム内事業者・消費者が法令及び国家関連規定を遵守し、違法情報の作成・複製・発信・伝播を行わないよう要求するとともに、不良情報の作成・複製・発信・伝播を防止・阻止するための措置を講じなければならない。
第二十四条 网络交易平台经营者应当遵循公开、公平、公正的原则，在平台规则中依法明确平台内经营者处理个人信息的规范，合理界定其与平台内经营者的个人信息保护权利和义务。	第二十四条　ネットワーク取引プラットフォーム運営者は、公開・公平・公正の原則に従い、プラットフォーム規則において法に基づきプラットフォーム内事業者の個人情報処理規範を明確にし、プラットフォーム内事業者との個人情報保護に関する権利と義務を合理的に定めるものとする。
第二十五条 网络交易平台经营者通过平台规则明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务的，应当依法规定相关方的权利和义务，督促其加强网络数据安全管理。	第二十五条　ネットワーク取引プラットフォーム運営者がプラットフォーム規則を通じて、プラットフォームに接続する第三者の製品・サービス提供者のネットワークデータ安全保護義務を明確にする場合、法に基づき関係者の権利と義務を規定し、ネットワークデータ安全管理の強化を促すものとする。
网络交易平台经营者不得利用平台规则从事非法处理用户网络数据、无正当理由限制用户网络数据权益等法律、行政法规禁止的活动。	ネットワーク取引プラットフォーム運営者は、プラットフォーム規則を利用してユーザーのネットワークデータを違法に処理したり、正当な理由なくユーザーのネットワークデータに関する権益を制限したりするなど、法律・行政法規で禁止されている活動を行ってはならない。
第二十六条 未成年人用户数量巨大或者对未成年人群体具有显著影响的网络交易平台经营者应当遵循公开、公平、公正的原则，制定专门的平台规则，依法明确平台内经营者的未成年人网络保护义务，并以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径。	第二十六条 未成年ユーザー数が膨大であるか、未成年者集団に顕著な影響力を持つネットワーク取引プラットフォーム運営者は、公開・公平・公正の原則に従い、専用のプラットフォーム規則を制定し、法に基づきプラットフォーム内事業者の未成年者ネットワーク保護義務を明確にするとともに、未成年ユーザーが法的に享有するネットワーク保護権利及びネットワーク侵害を受けた場合の救済手段を顕著な方法で提示しなければならない。
第四章 平台内经营者权益保护	第四章 プラットフォーム内事業者の権益保護
第二十七条 网络交易平台经营者不得利用平台规则，实施下列对平台内经营者的自主经营活动进行不合理限制或者附加不合理条件的行为：	第二十七条 ネットワーク取引プラットフォーム事業者は、プラットフォーム規則を利用して、プラットフォーム内事業者の自主的な経営活動に対し、以下の不合理な制限または不合理な条件を付加する行為を行ってはならない：
（一）强制或者变相强制平台内经营者承担退款不退货等售后责任，损害其合法权益；	（一）プラットフォーム内事業者に返金のみ（返品不要）などのアフターサービス責任を強制または実質的に強制し、その合法的権益を損なうこと；
（二）强制或者变相强制平台内经营者开通非经营活动必需的增值服务，增加其经营成本；	（二）プラットフォーム内事業者に対し、営業活動に必須でない付加価値サービスの利用を強制または実質的に強制し、その営業コストを増大させること。
（三）强制或者变相强制平台内经营者参加推广、促销活动；	（三）プラットフォーム内事業者に対し、宣伝・販促活動への参加を強制または実質的に強制すること。
（四）强制或者变相强制平台内经营者仅在特定平台开展经营活动；	（四）プラットフォーム内事業者に対し、特定プラットフォームでのみ営業活動を行うことを強制または実質的に強制すること。
（五）其他对平台内经营者的自主经营活动进行不合理限制或者附加不合理条件的行为。	（五）その他、プラットフォーム内事業者の自主的な営業活動に対して不当な制限を課す、または不当な条件を付加する行為。
网络交易平台经营者不得强制或者变相强制平台内经营者按照其定价规则，以低于成本的价格销售商品或者提供服务，扰乱市场竞争秩序。	ネットワーク取引プラットフォーム運営者は、プラットフォーム内事業者に対し、自らの価格設定ルールに従い、原価を下回る価格で商品販売またはサービス提供を強制もしくは実質的に強制し、市場競争秩序を乱してはならない。
第二十八条 网络交易平台经营者不得利用平台规则，实施下列向平台内经营者收取不合理费用的行为：	第二十八条 ネットワーク取引プラットフォーム運営者は、プラットフォーム規則を利用して、プラットフォーム内事業者から不当な料金を徴収する以下の行為を行ってはならない：
（一）重复收费；	（一）重複課金
（二）只收费不服务或者少服务；	（二）サービス提供なしまたは不十分なサービス提供での課金
（三）转嫁应当由平台自身承担的费用；	（三）プラットフォーム自身が負担すべき費用を転嫁すること；
（四）向平台内经营者收取提供其基础经营数据的费用；	（四）プラットフォーム内事業者に対し、基礎経営データの提供に対して費用を徴収すること；
（五）强制或者变相强制平台内经营者购买服务或者参加推广、促销活动并收费；	（五）プラットフォーム内事業者にサービスの購入またはプロモーション・販促活動への参加を強制もしくは実質的に強制し、費用を徴収すること；
（六）利用明显不合理的保证金等形式变相收费或者提高收费标准；	（六）明らかに不合理な保証金等の形式を利用して実質的な徴収を行うこと、または徴収標準を引き上げること；
（七）收取其他不合理费用。	（七）その他の不合理な費用を徴収すること。
网络交易平台经营者不得利用平台规则，在提供相同商品或者服务的情形下，对具有同等交易条件的平台内经营者实行价格歧视。	ネットワーク取引プラットフォームの運営者は、プラットフォーム規則を利用して、同一の商品またはサービスを提供する状況において、同等の取引条件を有するプラットフォーム内事業者に対して価格差別を行ってはならない。
第二十九条 网络交易平台经营者在平台规则中对平台内经营者有关行为设置违约金或者损害赔偿金的，应当合理设置违约金的数额或者损害赔偿金的计算方法；按照平台规则收取违约金或者损害赔偿金的，应当告知相应的计算依据和方法，不得利用平台规则收取明显超出合理水平的违约金或者损害赔偿金。	第二十九条　ネットワーク取引プラットフォーム事業者は、プラットフォーム規則においてプラットフォーム内事業者に関する行為に違約金または損害賠償金を設定する場合、違約金の額または損害賠償金の計算方法を合理的に設定しなければならない。プラットフォーム規則に基づき違約金または損害賠償金を徴収する場合、対応する計算根拠と方法を告知し、プラットフォーム規則を利用して明らかに合理的な水準を超える違約金または損害賠償金を徴収してはならない。
第五章 消费者权益保护	第五章 消費者権益保護
第三十条 网络交易平台经营者不得在平台规则的制定、修改和执行过程中排除或者限制消费者权利、减轻或者免除自身责任、不合理加重消费者责任，具体包括下列情形：	第三十条 ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の制定・修正・執行過程において、消費者の権利を排除または制限し、自らの責任を軽減または免除し、消費者の責任を不当に加重してはならない。具体的には以下の場合を含む：
（一）要求消费者承担的违约金或者损害赔偿金超过法定数额或者明显超过合理数额；	（一）消費者に負担させる違約金または損害賠償金が法定額を超過するか、明らかに合理的な額を超過する場合
（二）排除或者限制消费者依法自主选择商品或者服务的权利；	（二）消費者が法に基づき商品またはサービスを自主的に選択する権利を排除または制限すること。
（三）排除或者限制消费者依法请求支付违约金或者损害赔偿金的权利；	（三）消費者が法に基づき違約金または損害賠償金の支払いを請求する権利を排除または制限すること。
（四）排除或者限制消费者依法投诉、举报、请求调解、申请仲裁、提起诉讼的权利；	（四）消費者が法に基づき苦情申立て、通報、調停請求、仲裁申請、訴訟提起を行う権利を排除または制限すること。
（五）其他排除或者限制消费者权利、减轻或者免除自身责任、不合理加重消费者责任的情形。	（五）その他、消費者の権利を排除または制限し、自らの責任を軽減または免除し、消費者の責任を不当に加重する行為。
第三十一条 网络交易平台经营者不得利用平台规则，在消费者不知情的情况下，对同一商品或者服务在同等交易条件下设置不同的价格或者收费标准。	第三十一条　ネットワーク取引プラットフォームの運営者は、プラットフォーム規則を利用して、消費者が知らないうちに、同一の商品またはサービスに対して同等の取引条件で異なる価格または標準を設定してはならない。
第三十二条 消费者购买网络交易平台经营者提供的会员服务的，网络交易平台经营者不得在约定服务期内通过单方面修改平台规则的方式，擅自收取额外费用或者减损会员权益。在消费者继续购买会员服务前，网络交易平台经营者应当以显著方式告知消费者平台规则中与会员权益相关的变化情况。	第三十二条　消費者がネットワーク取引プラットフォームの運営者が提供する会員サービスを購入する場合、ネットワーク取引プラットフォームの運営者は、約定されたサービス期間中にプラットフォーム規則を一方的に変更する方式で、勝手に追加費用を徴収したり会員の権利を損なったりしてはならない。消費者が会員サービスの継続購入を行う前に、ネットワーク取引プラットフォーム運営者は、会員権益に関連するプラットフォーム規則の変更内容を、消費者に顕著な方法で告知しなければならない。
因无法预见的客观情况导致网络交易平台经营者无法按照原有平台规则对消费者提供相关服务，消费者提出终止会员服务的，应当依照本办法第十四条的规定处理。	予見できない客観的状況により、ネットワーク取引プラットフォーム運営者が従来のプラットフォーム規則に基づき消費者に関連サービスを提供できなくなった場合、消費者が会員サービスの解約を申し出たときは、弁法第十四条の規定に従って処理しなければならない。
第六章 监督管理	第六章 監督管理
第三十三条 市场监督管理、网信部门应当依据职责对平台规则的制定、修改和执行活动加强监督管理，并建立健全线索移交、信息共享、会商研判等工作机制。	第三十三条　市場監督管理部門及びサイバー空間管理局は、職責に基づきプラットフォーム規則の制定・改定・執行活動に対する監督管理を強化し、手掛かりの移管、情報共有、協議・分析等の作業メカニズムを整備しなければならない。
市场监督管理、网信部门依法开展监督管理活动，网络交易平台经营者应当予以配合，提供必要的数据、技术支持和协助，并确保所提供数据的真实性、准确性。	市場監督管理部門及びサイバー空間管理局が法に基づき監督管理活動を実施する場合、ネットワーク取引プラットフォーム運営者はこれに協力し、必要なデータ・技術支援・協力を提供するとともに、提供データの真実性・正確性を確保しなければならない。
第三十四条 鼓励网络交易平台经营者建立平台规则社会共治制度，通过消费者组织、第三方机构和专家咨询、评议等方式，充分听取各方对平台规则的意见。	第三十四条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の社会共治制度を構築し、消費者団体、第三者機関及び専門家による諮問・評議等を通じて、プラットフォーム規則に対する各方面の意見を十分に聴取することを奨励する。
第三十五条 鼓励网络交易平台经营者发布年度平台规则合规报告，对平台规则的制定、修改和执行情况开展合规自评，并接受社会监督。	第三十五条　ネットワーク取引プラットフォーム運営者は、年次プラットフォーム規則コンプライアンス報告書を公表し、プラットフォーム規則の制定、修正及び執行状況についてコンプライアンス自己評価を実施し、社会の監督を受けることを奨励する。
鼓励网络交易平台经营者邀请或者委托第三方机构，出具平台规则外部合规评估报告。	ネットワーク取引プラットフォーム運営者は、第三者機関を招請または委託し、プラットフォーム規則の外部アセスメント報告書を作成することを奨励する。
第三十六条 省级以上市场监督管理、网信部门可以通过组织专家评审等方式，对本辖区内网络交易平台经营者制定、修改和执行平台规则的情况提出意见，并及时反馈相关网络交易平台经营者，指导其优化平台规则制定、修改和执行机制。	第三十六条　省級以上の市場監督管理部門及びネット情報部門は、専門家による審査等の方法を通じて、管轄区域内のネットワーク取引プラットフォーム運営者がプラットフォーム規則を制定・修正・執行する状況について意見を提示し、速やかに当該ネットワーク取引プラットフォーム運営者にフィードバックし、プラットフォーム規則の制定・修正・執行メカニズムの最適化を指導することができる。
第三十七条 市场监督管理、网信部门在依照本办法规定履行平台规则监督管理职责过程中，应当确保行政检查于法有据、严格规范、公正文明、精准高效，避免对网络交易平台经营者、平台内经营者正常经营活动造成不必要的干扰。	第三十七条　市場監督管理部門及びサイバー空間管理局は、本弁法の規定に基づきプラットフォーム規則の監督管理職責を履行する過程において、行政検査が法的根拠に基づき、厳格かつ規範的、公正かつ文明的、的確かつ効率的であることを確保し、ネットワーク取引プラットフォーム事業者及びプラットフォーム内事業者の正常な経営活動に不必要な干渉を与えないようにしなければならない。
第三十八条 网络交易平台经营者在平台规则的制定、修改和执行过程中有下列情形之一的，市场监督管理、网信部门可以依据职责对其有关负责人进行约谈，要求其说明情况、采取措施进行整改：	第三十八条　ネットワーク取引プラットフォーム運営者がプラットフォーム規則の制定、修正及び執行過程において、以下のいずれかの状況に該当する場合、市場監督管理部門及びネットワーク情報部門は職責に基づき、当該責任者に対し面談を行い、状況説明及び是正措置の実施を求めることができる：
（一）履行网络交易相关法定义务不到位的；	（一）ネットワーク取引関連の法的義務を適切に履行していない場合
（二）发生网络交易相关重大负面舆情事件的；	（二）ネットワーク取引関連の重大なネガティブな世論事件が発生した場合
（三）市场监督管理、网信部门在日常监督管理中发现存在可能对网络交易秩序造成负面影响问题的；	（三）市場監督管理部門及びサイバー空間管理局が日常監督管理において、ネットワーク取引秩序に悪影響を及ぼす可能性のある問題を発見した場合
（四）未保障平台内经营者、消费者等有关各方主体合法权益的；	（四）プラットフォーム内事業者、消費者等の関係当事者の合法的権益を保障していない場合
（五）其他需要约谈的情形。	（五）その他面談が必要な場合
第七章 法律责任	第七章 法的責任
第三十九条 网络交易平台经营者有下列行为之一的，依照《中华人民共和国电子商务法》第八十一条的规定进行处罚：	第三十九条 ネットワーク取引プラットフォーム事業者が以下の行為のいずれかを行った場合、『中華人民共和国電子商取引法』第八十一条の規定に基づき処罰する：
（一）违反本办法第七条规定，未在其网站、应用程序首页显著位置，持续公示平台规则信息或者上述信息的链接标识的；	（一）弁法第七条の規定に違反し、自社のウェブサイトやアプリケーションのトップページに、プラットフォーム規則情報または当該情報のリンク表示を継続的に掲示していない場合。
（二）违反本办法第十条规定，未按照要求公开征求意见的；	（二）弁法第十条の規定に違反し、要求に従って意見募集を行っていない場合。
（三）违反本办法第十二条第一款规定，未按照规定的时间提前公示平台规则内容的；	（三）弁法第十二条第一項の規定に違反し、規定の期日までにプラットフォーム規則の内容を事前に公示していない場合。
（四）违反本办法第十四条第一款规定，平台内经营者不接受平台规则修改的内容要求退出，以设置不合理条件等方式阻止其退出的。	（四）弁法第十四条第一項の規定に違反し、プラットフォーム内の事業者がプラットフォーム規則の改定内容を受け入れず退場を要求した場合、不当な条件を設定するなどしてその退場を妨げる行為。
第四十条 网络交易平台经营者违反本办法第八条第二款、第十一条、第十四条第二款、第十六条、第二十条、第二十九条、第三十条、第三十二条第一款规定，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正，可以处一万元以上十万元以下罚款。	第四十条　ネットワーク取引プラットフォームの運営者が弁法第八条第二項、第十一条、第十四条第二項、第十六条、第二十条、第二十九条、第三十条、第三十二条第一項の規定に違反した場合、法律・行政法規に規定があるときは、その規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属するときは、市場監督管理部門が期限を定めて是正を命じ、一万元以上十万元以下の罰金を科すことができる。
第四十一条 网络交易平台经营者违反本办法第二十三条至第二十六条规定，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于网信部门职责的，由网信部门责令限期改正，可以处一万元以上十万元以下罚款。	第四十一条　ネットワーク取引プラットフォーム事業者が弁法第二十三条から第二十六条の規定に違反した場合、法律・行政法規に規定があるときは、その規定に従う。法律・行政法規に規定がなく、ネット情報部門の職責に属する場合には、ネット情報部門が期限を定めて是正を命じ、一万元以上十万元以下の罰金を科すことができる。
第四十二条 网络交易平台经营者违反本办法第二十七条第一款、第二十八条第一款规定的，依照《中华人民共和国电子商务法》第八十二条的规定进行处罚。	第四十二条　ネットワーク取引プラットフォーム事業者が本弁法第二十七条第一項・第二十八条第一項の規定に違反した場合、『中華人民共和国電子商取引法』第八十二条の規定に基づき処罰する。
网络交易平台经营者违反本办法第二十七条第二款规定的，依照《中华人民共和国反不正当竞争法》第三十条的规定进行处罚。	ネットワーク取引プラットフォームの運営者が弁法第二十七条第二項の規定に違反した場合、『中華人民共和国反不正当競争法』第三十条の規定に基づき処罰する。
网络交易平台经营者违反本办法第二十八条第二款规定的，依照《中华人民共和国价格法》第四十条、《价格违法行为行政处罚规定》第四条的规定进行处罚。	ネットワーク取引プラットフォームの運営者が弁法第二十八条第二項の規定に違反した場合、『中華人民共和国価格法』第四十条及び『価格違法行為行政処罰規定』第四条の規定に基づき処罰する。
第四十三条 网络交易平台经营者违反本办法第三十一条规定的，依照《中华人民共和国消费者权益保护法》第五十六条第一款的规定进行处罚。	第四十三条　ネットワーク取引プラットフォームの運営者が弁法第三十一条の規定に違反した場合、『中華人民共和国消費者権益保護法』第五十六条第一項の規定に基づき処罰する。
第四十四条 网络交易平台经营者利用平台规则从事垄断行为的，依照《中华人民共和国反垄断法》的规定进行处罚。	第四十四条　ネットワーク取引プラットフォームの運営者がプラットフォーム規則を利用して独占行為を行った場合、『中華人民共和国反独占法』の規定に基づき処罰する。
第四十五条 市场监督管理部门依照本办法对网络交易平台经营者作出行政处罚决定后，应当依法通过国家企业信用信息公示系统向社会公示。	第四十五条　市場監督管理部門は、本弁法に基づきネットワーク取引プラットフォーム運営者に対して行政処罰決定を下した後、国家企業信用情報公示システムを通じて法的に社会に公示しなければならない。
第八章 附　则	第八章　附　則
第四十六条 平台规则制定、修改和执行活动的监督管理依法属于其他有关部门职责的，由其他有关部门依照有关规定执行。	第四十六条　プラットフォーム規則の制定、修正及び執行活動の監督管理が法的に他の関係部門の職責に属する場合、他の関係部門は関連規定に基づき執行する。
第四十七条 本办法自2026年2月1日起施行。	第四十七条　本弁法は2026年2月1日から施行する。

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

中国プラットフォーム規制...

・2026.01.12 中国 ライブコマース監督管理弁法 (2026.01.07)

・2026.01.12 中国 ネットワーク取引プラットフォーム規則監督管理弁法 (2026.01.07)

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

 

中国AIコンテンツ...

・2025.03.16 中国 人工知能生成合成コンテンツ識別弁法 (2025.03.14)

・2024.09.23 中国 「人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」と国家標準 「人工知能が生成したコンテンツのラベル付け方法」に対する意見募集

・2023.09.11 中国 生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国 国家サイバースペース管理局他 生成的AIサービス管理暫定弁法 施行は2023.08.15

・2023.04.12 中国 意見募集 生成的人工知能サービス管理弁法

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 （深層合成で作ったものにはマークを...）(2022.11.25)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定（意見募集稿）

 

 

DSA, DMA関連

・2025.11.22 欧州委員会 EU企業の成長を支援する簡素化されたデジタル規則 （オムニバス法）

・2025.11.03 欧州議会 AI法とEUデジタル立法フレームワークの相互作用 (2025.10.30)

・2025.10.14 欧州委員会 EDPB DMAとGPDRの相互作用に関する共同ガイドライン案

・2025.09.16 EDPB DSAとGDPRの相互関係に関するガイドライン (2025.09.12)

・2023.12.30 欧州委員会 デジタルサービス法に基づく独立監査に関する委任規則 (2023.10.20)

・2023.02.05 欧州委員会 デジタルサービス法におけるユーザー数の公表義務に関するガイダンス

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法（DMA）が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

個人情報保護委員会 個人情報保護法 いわゆる３年ごと見直しの制度改正方針（案）（2026.01.09）

こんにちは、丸山満彦です。

2026.01.09に開催された第347回 個人情報保護委員会で、個人情報保護法　いわゆる３年ごと見直しの制度改正方針（案）が議論されたようですね...

いろいろと議論をしてきたのですが、首相の発言もあって、今回の国会で議論されることになるのでしょうかね...(総選挙？でいろいろと変わるかもですが...)

で、制度改正方針（案）　概要がぱっと見はわかりやすいのですが、

本文もみてみますかね...

・制度改正方針（案）

 

・同意不要例外の拡大（研究、統計、AI開発等の例外拡大、匿名加工済みデータの緩和、正当な利益に基づく二次利用の拡大、委託先・関連事業者への利用拡大、行政・公共目的の例外拡大）ですが、事前規制を緩める反面、事後規制（例えば、第三者の評価、罰則等）を厳しくしなければバランスが取れませんよね...

・課徴金の件は、導入の方向は良い方向。いきなりEU並みは難しいので、段階的に進めるというのも現実的かも...ただ、不当利得相当額の算定、相当の注意についてのガイド等の策定が必要となるでしょうね...

・団体訴訟の見送りは、これはどうですかね...事前規制は緩和しつつ、事後規制、特に個人救済が弱いままというのはバランスが悪い感じもするかなぁ...（抑止的な対策というのが、利活用の萎縮になるという産業界の論理にもおもえるので、産業界の意見を汲み取れば、抑止的な対策が進まないかもしれませんね..）

・AIとの関係でいうと、顔認識が関係してくるように思いますが、これだけに限定？

・子供の個人情報保護については、反対のしようもないので概ねグローバルな流れ...ただし、具体的な年齢確認手段等は欧米と連携するのが良いかもですね...

・

でも、規制が産業の育成を阻害するという単純な考えをする経済人はすでに少ないとは思います。問題はどのような規制が望ましい社会の実現に適切か？ということで、

一つの軸は、憲法に沿った社会になるためにはどうするか？

もう一つの軸は、市場の失敗をできる限り是正していく

ということになるとは思います...

さて、最終的にはどのような法案になりますかね...

 

これまでの議論も含めて...

 

● 個人情報保護委員会

・2026.01.09 第347回 個人情報保護委員会

 

2026.01.09	第347回 個人情報保護委員会
資料１－１	個人情報保護法　いわゆる３年ごと見直しの制度改正方針（案）
資料１－２	個人情報保護法　いわゆる３年ごと見直しの制度改正方針（案）　概要
資料１－３	「「個人情報保護法 いわゆる３年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見の概要
2025.09.19	第1回個人情報保護政策に関する懇談会
資料１	個人情報保護政策に関する懇談会開催要綱
資料２	越塚会員資料「データ利活用と個人情報保護」
資料３ー１	別所会員資料
資料３ー２	村上会員資料
資料３ー３	神谷会員資料
参考資料１	個人情報保護政策に関する政府方針
参考資料２―１	令和８年度 予算概算要求・機構定員要求の概要
参考資料２―２	令和８年度 個人情報保護委員会 重点施策のポイント
参考資料２―３	令和８年度 個人情報保護委員会 重点施策
議事概要	第１回個人情報保護政策に関する懇談会（概要）
	「個人情報保護政策に関する懇談会」について
議事録	第１回個人情報保護政策に関する懇談会議事録
2025.04.16	第320回個人情報保護委員会
資料２	「「個人情報保護法 いわゆる３年ごと見直しに係る検討」 の今後の検討の進め方」に対して寄せられた意見の概要
	議事概要
	議事録
2025.03.26	第319回個人情報保護委員会
資料１	「個人情報保護政策に関する懇談会」の開催について（案）
資料２－１	令和７年度個人情報保護委員会活動方針（概要）（案）
資料２－２	令和７年度個人情報保護委員会活動方針（案）
	議事概要
	議事録
2025.03.05	第316回個人情報保護委員会
資料１－１	個人情報保護法の制度的課題に対する考え方（案）について
資料１－２	個人情報保護法の制度的課題の再整理
資料１－３	「「個人情報保護法　いわゆる３年ごと見直しに係る検討」 の今後の検討の進め方」に対して寄せられた意見の概要
	議事概要
	議事録
2025.02.19	第315回個人情報保護委員会
資料１	個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方）
	議事概要
	議事録
2025.02.05	第314回 個人情報保護委員会
資料１	個人情報保護法の制度的課題に対する考え方（案）について
	議事概要
	議事録
2025.01.22	第312回 個人情報保護委員会
資料１－１	「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方について（案）
資料１－２	個人情報保護法の制度的課題の再整理
	議事概要
	議事録
2024.12.25	第311回 個人情報保護委員会
資料１	個人情報保護法のいわゆる３年ごと見直しに関する検討会 報告書
	議事概要
	議事録
2024.12.18	第７回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度③）
資料２	検討会報告書（案）
参考資料１	これまでの主な論点及び関連御意見
参考資料２	第２回～第６回検討会における主な御意見
参考資料３	関係参考資料
参考資料4	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録	第７回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.12.17	第310回 個人情報保護委員会
資料１－１	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」 に関するヒアリングの概要について
資料１－２	事務局ヒアリングにおける主な御意見
参考資料１－１
参考資料１－２	事務局ヒアリングの各参加者提出資料
	議事概要
	議事録
2024.11.28	第６回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度②）
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度③）
資料３	これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料１	第２回～第５回検討会における主な御意見
議事録	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.11.12	第５回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	国内他法令における課徴金額の算定方法等について
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度②）
資料３	認定個人情報保護団体制度について
資料４	第４回までの主な論点及び関連意見
資料５	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料１	第２回～第４回検討会における主な御意見
参考資料２	関係参考資料
議事録	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.10.16	第304回 個人情報保護委員会
資料１－１	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点（案）
資料１－２	今後の検討の進め方
	議事概要
	議事録
2024.10.11	第４回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	全国消費生活相談員協会プレゼン資料
資料２	中川構成員プレゼン資料
資料３	第３回事務局資料に対する御質問と考え方
参考資料１	第２回及び第３回検討会における主な御意見
参考資料２	関係参考資料
前回資料１ー１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
前回資料１ー２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料２	個人情報保護法の違反行為に係る事例等
前回資料３	現行制度と検討の方向性について（課徴金制度）
前回資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
議事録	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.26	第３回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１－１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
資料１－２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
資料２	個人情報保護法の違反行為に係る事例等
資料３	現行制度と検討の方向性について（課徴金制度）
資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
参考資料１	第２回検討会における主な御意見
参考資料２	個人情報の保護に関する基本方針
参考資料３	個人情報の保護に関する法律に基づく行政上の対応について（令和６年９月11日公表資料）
参考資料４	関係参考資料
議事録	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.05	第２回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料１	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料２	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
資料３	今後の検討の進め方
資料４	監視・監督活動及び漏えい等報告に関する説明資料
参考資料１	第1回検討会における主な意見
参考資料２	第1回検討会における主な質問及び回答
参考資料３	関係参考資料
議事録
2024.09.04	第299回 個人情報保護委員会
資料1-1	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
議事概要
議事録
2024.07.31	第１回 個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料1	開催要綱（案）
資料2	主婦連合会御提出資料
資料3	新経済連盟御提出資料
資料4	全国消費者団体連絡会御提出資料
資料5	全全国消費生活相談員協会御提出資料
資料6	日本IT 団体連盟御提出資料
資料7	日本経済団体連合会御提出資料
参考資料1	「個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理」概要
参考資料2	「個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理」本文
議事録
2024.07.24	第296回 個人情報保護委員会
資料1	個人情報保護法のいわゆる３年ごと見直しに関する検討会の設置について
議事概要
議事録
2024.06.26	第292回 個人情報保護委員会
資料１	個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理（案）
【委員長預かりで会議後に修正した資料】 資料１	個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理
資料２−１	日EU相互認証の枠組みの拡大に向けた対応について
資料２−２	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（英語）
資料２−３	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（日本語仮訳）
資料３	一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要
議事録
2024.06.13	第290回 個人情報保護委員会
資料１－１	第二次いわゆる３年ごと見直しへのコメント（ひかり総合法律事務所　板倉弁護士）
資料１－２	デジタル社会の個人情報保護法（新潟大学　鈴木教授）
議事概要
議事録
2024.06.12	第289回 個人情報保護委員会
資料１－１	個人情報保護委員会「いわゆる３年ごと見直し」ヒアリング（国立情報学研究所　佐藤教授）
資料１－２	個人情報保護法３年ごと見直し令和６年に対する意見（産業技術総合研究所　高木主任研究員）
議事概要
議事録
2024.06.03	第287回 個人情報保護委員会
資料１－１	個人情報保護法見直しに関するコメント（京都大学　曽我部教授）
資料１－２	いわゆる3年ごと見直しに関する意見（慶應義塾大学　山本教授）
資料１－３	３年ごと見直しヒアリング２０２４（英知法律事務所　森弁護士）
資料１－４－1	個人情報保護法のいわゆる３年ごと見直しに関する意見（東京大学　宍戸教授）
資料１－４－2	宍戸常寿氏御提出資料（令和元年５月21日提出）
議事概要
議事録
2024.05.29	第286回 個人情報保護委員会
資料１	個人情報保護法 いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方③）
議事概要
議事録
2024.05.15	第284回 個人情報保護委員会
資料２	個人情報保護法 いわゆる３年ごと見直し規定に基づく検討（データ利活用に向けた取組に対する支援等の在り方）
資料３	個人情報保護法 いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方②）
議事概要
議事録
2024.05.10	第283回 情報保護委員会
資料１－１	個人情報保護法における課徴金制度導入にかかる諸論点（名古屋大学 林教授）
資料１－２	個人情報保護法における法執行の強化について（神戸大学 中川教授）
議事概要
議事録
2024.04.24	第281回 個人情報保護委員会
資料１	個人情報保護法の３年ごと見直しに対する意見
資料２	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方③）
議事概要
議事録
2024.04.10	第280回 個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方② ）
議事概要
議事録
2024.04.03	第279回 個人情報保護委員会
資料１―１	AIと個人情報保護：欧州の状況を中心に（一橋大学 生貝教授）
資料１―２	AI利用と個人情報の関係の考察（NTT社会情報研究所 高橋チーフセキュリティサイエンティスト）
資料１−３	医療情報の利活用の促進と個人情報保護（東京大学 森田名誉教授）
資料１―４	医療・医学系研究における個人情報の保護と利活用（早稲田大学　横野准教授）
議事概要
議事録
2024.03.22	第277回 個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方①）
議事概要
議事録
2024.03.06	第275回 個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）
議事概要
議事録
2024.02.21	第273回 個人情報保護委員会
資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
議事概要
議事録
2024.02.14	第272回 個人情報保護委員会
資料２－１	地方公共団体における個人情報保護法運用状況のヒアリング（京都府総務部政策法務課）
資料２－２	岡山市における個人情報保護法の運用状況（岡山市総務局行政事務管理課）
資料２－３	個人情報保護法運用状況について（都城市総務部総務課）
資料２－４	個人情報保護法運用状況について（上里町総務課）
議事概要
議事録
2024.02.07	第271回 個人情報保護委員会
資料１	インターネット広告における個人に関する情報の取扱いについての取組状況（日本インタラクティブ広告協会）
議事概要
議事録
2024.01.31	第270回 個人情報保護委員会
資料２	個人情報保護法の3 年ごと見直しに対する意見（日本経済団体連合会）
議事概要
議事録
2024.01.23	第268回 個人情報保護委員会
資料１―１	(特定)適格消費者団体の活動について（消費者支援機構関西）
資料１―２	個人情報保護委員会ヒアリング資料（日本商工会議所）
議事概要
議事録
2023.12.21	第266回 個人情報保護委員会
資料１―１	個人情報保護法の３年ごと見直しに関する意見（電子情報技術産業協会）
資料１―２	ヒアリング資料（全国商工会連合会）
議事概要
議事録
2023.12.20	第265回 個人情報保護委員会
資料１―１	ACCJ Comments for the Personal Information Protection Commission Public Hearing（在米国商工会議所）
資料１―２	公開ヒアリングに向けたACCJ意見（在米国商工会議所）
議事概要
議事録
2023.12.15	第264回 個人情報保護委員会
資料１―１	個人情報保護法の見直しについて（新経済連盟）
資料１―２	個人情報保護法見直しに関する意見（日本IT団体連盟）
議事概要
議事録
2023.12.06	第263回 個人情報保護委員会
資料２	個人情報保護法に関する欧州企業の代表的な課題（欧州ビジネス協会）
議事概要
議事録
2023.11.29	第262回 個人情報保護委員会
資料１	ヒアリング資料（一般社団法人日本情報経済社会推進協会）
議事概要
議事録
2023.11.15	第261回 個人情報保護委員会
資料２－１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討
資料２－２	個人情報保護に係る主要課題に関する海外・国内動向調査　概要資料
議事概要
議事録

 

 

 

 

 

 

 

 

---

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.09.25 個人情報保護委員会 第1回個人情報保護政策に関する懇談会

・2025.04.26 個人情報保護委員会 「「個人情報保護法 いわゆる３年ごと見直しに係る検討」 の今後の検討の進め方」に対して寄せられた意見の概要 (2025.04.16) と個人情報保護政策に関する懇談会の開催 (2025.04.21)

・2025.03.12 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第315 - 316回委員会）(2025.03.05)

・2025.02.10 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第314回委員会）

・2025.01.23 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第311-312回委員会）

・2024.12.20 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第310回委員会、第6-7回検討会）

・2024.11.26 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第304回委員会、第3-5回検討会）

・2024.09.06 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係（第299回委員会、第2回検討会）

・2024.08.04 個人情報保護委員会 第１回 個人情報保護法のいわゆる３年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会 意見募集 いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... （２）

・2024.04.25 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会 個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

 

英国 データとAIの倫理フレームワークの改訂 (2025.12.18)

こんにちは、丸山満彦です。

昨年の話ですが、栄光のデータとAIの倫理フレームワークが改訂されています。

前回の改訂が2020年9月でしたから、5年3ヶ月ぶりの改訂となります。この間、いろいろとありましたよね。。。

ということで、今回の改訂から、

・表題が、「Data Ethics Framework」から「Data and AI Ethics Framework」に変わりました。

・実装ツールとなるData and AI Ethics Self-Assessment Tool（自己評価ツール） を追加し、実際のプロジェクト計画やレビューに活用できるようになっていますね。

・原則についても透明性、説明責任、公平性からプライバシー、環境持続可能性、社会的影響、安全性の４つが加わり７原則となりました...

Transparency	透明性
Accountability	説明責任
Fairness	公平性
Privacy	プライバシー
Environmental sustainability	環境持続可能性
Societal impact	社会的影響
Safety	安全性

 

Principle	Definition	原則	定義
Transparency	Transparency means that information about your project, actions, processes and data are communicated to relevant parties in an understandable, easily accessible and free way. Transparency includes the concept of explainability, which refers to the ability to understand and communicate how a system makes decisions, including how it arrived at an individual decision.	透明性	透明性とは、プロジェクトや行動、プロセス、データに関する情報を、関係者に理解しやすく、容易にアクセス可能で、かつ無料で伝達することを意味する。透明性には説明可能性の概念が含まれ、これはシステムが意思決定を行う仕組み、個々の決定に至った過程を含む、その理解と伝達能力を指す。
Accountability	Accountability means that data and AI projects have appropriate and effective governance, oversight, and routes to challenge decisions in place, where this is necessary. It involves setting clear roles and responsibilities, and being transparent about the system and the processes around it.	説明責任	説明責任とは、データ及びAIプロジェクトにおいて、必要に応じて適切かつ効果的なガバナンス、監視体制、決定への異議申し立て手段が整備されていることを意味する。これには明確な役割と責任の設定、システム及び関連プロセスに関する透明性の確保が含まれる。
Fairness	Fairness means avoiding unfair biases and impacts, and addressing accessibility barriers, while actively maximising positive impacts. You should assess data representativeness, bias, and the different potential impacts that can result from data use. You should mitigate model biases and aim for outputs and decisions generated with the help of automated processes to: * be non-discriminatory * be just * respect dignity * align with the public interest, human rights and democratic values * comply with the Equality Act 2010 and the Public Sector Equality Duty (PSED)	公平性	公平性とは、不当なバイアスや影響を回避し、アクセシビリティの障壁に対処しつつ、積極的に好影響を最大化することを指す。データの利用から生じうる代表性の欠如、バイアス、様々な潜在的影響をアセスメントすべきである。モデルバイアスを緩和し、自動化プロセスで生成される出力や決定が以下を満たすよう目指す必要がある：* 差別的でないこと* 公正であること* 尊厳を尊重すること* 公共の利益、人権、民主主義的価値観に沿うこと* 2010年平等法および公共部門平等義務（PSED）
Privacy	Privacy means that personal data is respected and handled responsibly, ensuring it’s used only for intended purposes with an appropriate legal basis. It also means adhering to UK data protection regulation, including principles of data minimisation, purpose limitation and informed consent.	プライバシー	に準拠すること。プライバシーとは、個人データが尊重され責任を持って取り扱われ、適切な法的根拠のもとで意図された目的のみに使用されることを意味する。また、データ最小化、目的限定、情報に基づく同意といった原則を含む、英国のデータ保護規制を順守することも意味する。
Safety	Safety refers to the use of data or development of a system without causing harm to people, organisations, wider social institutions or the environment. Data-driven systems such as AI should be robust, secure and safe at every stage of their life cycle. This means ensuring that they operate properly and reliably, without causing unnecessary safety or security risks.	安全性	安全性とは、個人、組織、広範な社会機構、環境に害を及ぼさずにデータを利用したりシステムを開発したりすることを指す。AIなどのデータ駆動型システムは、ライフサイクルのあらゆる段階で堅牢で安全かつ安心であるべきだ。これは、不必要な安全・セキュリティリスクを引き起こさず、適切かつ確実に動作することを保証することを意味する。
Societal impact	Societal impact is about how the development and use of data and data-driven technologies impact wider society. For example, by helping to solve societal challenges and deliver public good.	社会的影響	社会的影響とは、データ及びデータ駆動型技術の開発・利用が広範な社会に与える影響を指す。例えば、社会的課題の解決や公共の利益の提供に寄与することなどが挙げられる。
Environmental sustainability	Sustainability calls for responsible design and use of data and AI that minimises environmental impact, and supports long-term wellbeing for people and the planet. This means considering biospheric consequences when scoping potential AI and data projects, and building tools and systems that are robust and energy efficient. Biospheric consequences are the effects a project can have not only on the planet’s ecosystems but also its climate and the entire biosphere.	環境持続可能性	持続可能性とは、環境への影響を最小限に抑え、人と地球の長期的な健全性を支える、データとAIの責任ある設計・利用を求めるものである。これは、AIやデータプロジェクトの可能性を検討する際に生物圏への影響を考慮し、堅牢でエネルギー効率の高いツールやシステムを構築することを意味する。生物圏への影響とは、プロジェクトが地球の生態系だけでなく、気候や生物圏全体に及ぼしうる影響を指す。

 

● GOV.UK

・2025.12.15 Data and AI Ethics Framework

ガイダンス

・[HTML] Data and AI Ethics Framework

・[ODT] Data and AI Ethics Self-Assessment Tool

 

序論の一部...

Introduction	序論
This framework provides a set of principles and activities to guide the responsible development, procurement and use of data and artificial intelligence (AI) in the public sector. It helps public servants understand ethical considerations and how to address these in their work.	この枠組みは、公共部門におけるデータと人工知能（AI）の責任ある開発、調達、利用を導く一連の原則と活動を提供する。公務員が倫理的配慮を理解し、業務でこれらに対処する方法を助けるものである。
Data and AI ethics is about using data and data-driven technologies responsibly, including:	データとAIの倫理とは、データおよびデータ駆動型技術を責任を持って使用することを意味し、以下を含む：
・respecting privacy	・プライバシーの尊重
・promoting fairness	・公平性の促進
・protecting individuals, communities and society from harm	・個人、コミュニティ、社会を危害から防御すること
This includes ensuring that data is collected, shared and used in appropriate, fair, safe, sustainable and transparent ways.	これには、データが適切、公平、安全、持続可能かつ透明性のある方法で収集、共有、使用されることを確保することが含まれる。
The framework applies to any project that involves:	本枠組みは、以下のいずれかを伴うあらゆるプロジェクトに適用される：
・data (collection, sharing or use)	・データ（収集、共有、または使用）
・data-driven technologies	・データ駆動型技術
・AI	・AI
・automated decision-making and algorithmic tools	・自動化された意思決定およびアルゴリズムツール
In this guidance, this is what we mean when we refer to ‘data and AI’.	本ガイドラインにおいて「データとAI」とは、この意味を指す。
Who this guidance is for	対象者
The framework is for people who work in government and other public sector organisations. It’s mainly written for people who are designing, building, maintaining, using or updating projects that use data and AI.	本枠組みは、政府及びその他の公共部門組織で働く者を対象とする。主に、データとAIを利用するプロジェクトの設計、構築、維持、利用、更新に携わる者を想定している。
This may include:	具体的には以下のような立場の者が含まれる：
・developers	・開発者
・project managers	・プロジェクトマネージャー
・analysts	・アナリスト
・statisticians	・統計学者
・policy makers	・政策立案者
・commercial or procurement professionals	・商業・調達担当者
We also encourage anyone who works directly or indirectly with data and AI to read this guidance and apply it to their work. This includes operational staff and anyone helping to produce data-informed insight.	また、データとAIに直接的・間接的に関わる全ての関係者にも、本ガイドラインを読み、業務に適用することを推奨する。これには運用スタッフやデータに基づく知見の創出を支援する者も含まれる。
How to use this guidance	本ガイドラインの活用方法
Your team should work through the framework together as you plan, implement and evaluate a project. You should regularly revisit it throughout your project, especially when you make changes to your work or project.	プロジェクトの計画・実施・評価の過程で、チーム全体で本枠組みを順を追って適用すべきである。プロジェクト全体を通じて、特に作業内容やプロジェクトに変更を加える際には、定期的に見直すべきだ。
The framework covers a broad range of use cases and challenges that you might encounter. Some projects may be limited to certain aspects – for example, data collection and processing – while others may cover a full AI development life cycle. This means you might find certain parts of this guidance more or less relevant to your project.	本枠組みは、遭遇する可能性のある幅広いユースケースと課題を網羅している。プロジェクトによっては、データ収集や処理といった特定の側面に限定される場合もあれば、AI開発ライフサイクル全体をカバーする場合もある。つまり、本ガイダンスの特定の部分が、プロジェクトとの関連性の度合いが異なる可能性があるということだ。
Data and AI Ethics Self-Assessment Tool	データ・AI倫理アセスメントツール
If your team is working on an AI or data-driven technology project, then as well as reading this guidance you should use the Data and AI Ethics Self-Assessment Tool.	チームがAIまたはデータ駆動型技術プロジェクトに取り組む場合、本ガイダンスの読解に加え、データ・AI倫理アセスメントツールを使用すべきである。
The tool will help you capture information, and share learnings, challenges and progress with colleagues. We recommend that you maintain it along with your other project documentation to record decision making across the life cycle of a project.	このツールは情報の収集を支援し、同僚との学び・課題・進捗の共有を可能にする。プロジェクトライフサイクル全体の意思決定を記録するため、他のプロジェクト文書と共に維持することを推奨する。
Why this guidance is important	本ガイダンスの重要性
Government guidance needs to address the rapidly evolving ethical challenges and risks posed by data and AI technologies. We’ve updated the previous version of this guidance to meet this need.	政府のガイダンスは、データとAI技術がもたらす急速に進化する倫理的課題とリスクに対処する必要がある。この必要性に応えるため、以前のガイダンスを更新した。
The Data and AI Ethics Framework bridges the gap between high-level ethical principles and practical actions. It considers themes such as safety, security and privacy through an ethical lens. It does not replace technical or regulatory guidance in these areas, but instead complements and connects to them.	データとAI倫理枠組みは、高次元の倫理原則と実践的行動の間のギャップを埋める。安全性、セキュリティ、プライバシーといったテーマを倫理的観点から考察する。これらの分野における技術的・規制的ガイダンスに取って代わるものではなく、それらを補完し連携するものである。
It complements existing tools, standards and guidance, including the:	本指針は、以下の既存のツール、標準、指針を補完するものである：
・AI Playbook for the UK Government	・英国政府向けAIプレイブック
・Model for Responsible Innovation	・責任あるイノベーションのためのモデル
・Algorithmic Transparency Recording Standard (ATRS)	・アルゴリズム透明性記録標準（ATRS）
This guidance does not replace:	本指針は以下に代わるものではない：
・existing ethics guidance and tools for statisticians and social researchers, such as the UKSA’s Ethics Self-Assessment Tool	・統計学者や社会調査研究者向けの既存の倫理指針やツール（例：英国統計庁の倫理自己評価ツール）
・bespoke guidance provided by individual departments, devolved administrations or for specific professions	・個別省庁、地方分権行政機関、または特定職業向けに提供される特注の指針

 

序論の最後にトレードオフについての留意点？が記載されています。一般的な内容なので参考になるかもです...

---

トレードオフ

複数の倫理原則が互いに矛盾する場合がある。例えば、より多くの人口統計情報を使用すればバイアスを識別し公平性を促進できるが、個人のプライバシーを犠牲にする可能性がある。こうした状況ではトレードオフを考慮する必要がある。倫理的なトレードオフは本質的に複雑であり、慎重に対処しなければならない。

適切なトレードオフを確立するためのアプローチ例は以下の通りだ：

• 影響を受けるコミュニティと関わり、価値観や影響を理解することでステークホルダーの視点を組み込む
• 法的・人権的枠組みを参照し、決定が国内および国際標準に沿うことを確保する
• 比例性と必要性のバランスを取る
• 有意義かつ包括的な審議を確保する
• 結果を監視する仕組みを確立し、必要に応じて調整する

---

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.06 英国 議会 政府におけるAIの活用 (2025.03.26)

・2025.02.12 英国 英国政府のためのAIプレイブック(2025.02.10)

・2025.02.03 英国 AI安全報告書 2025

・2025.01.27 英国 現代的デジタル政府のための青写真 (2025.01.21)

・2025.01.26 英国 AI機会行動計画 (2025.01.13)

 

 

 

各国代表の新年の挨拶 2026年

こんにちは、丸山満彦です。

年頭あいさつシリーズ...

 

国・地域	政府トップ	表題
日本	高市早苗 首相	高市内閣総理大臣　令和８年　年頭所感
中国	習近平 国家主席	国家主席习近平发表二〇二六年新年贺词
米国	ドナルド・トランプ 大統領	不明
欧州委員会（EC）	ウルズラ・フォン・デア・ライエン委員長	不明
英国	キア・スターマー 首相	The Prime Minister's New Year’s Message: 31 December 2025
ドイツ	フリードリヒ・メルツ 首相	The Federal Chancellor’s New Year address
フランス	エマニュエル・マクロン 大統領	Vœux aux Français pour 2026.
イタリア	ジョルジャ・メローニ 首相	End-of-year message from the President of the Republic, Sergio Mattarella
カナダ	マーク・カーニー 首相	Statement by Prime Minister Carney to mark the New Year
オーストラリア	アンソニー・アルバニージー 首相	不明

 

3つのAIによる要約...

 

日本： 高市早苗 内閣総理大臣	危機を突破し、技術と改革の力で再び強く前へ進む。	「『分水嶺』を越える意志と、国家戦略としての『危機管理投資』」	「丙午の分水嶺」で、技術投資と人材力を軸とした『強い経済』への構造転換を断行する。
	高市首相は就任からの77日間を振り返り、物価高騰への対応として経済対策の策定と補正予算編成、所得税減税を含む税制改正大綱の決定、次年度予算の閣議決定まで一気に走り抜けたと強調する。外交面ではASEAN関連首脳会議、AZEC首脳会合、日米首脳会談、APEC、G20、中央アジア＋日本首脳会合など多国間・二国間の場で日本の存在感を示したことに言及し、目の前の課題に「懸命に駆け抜けた」一年だったと述べる。首相官邸ホームページ+1一方で、青森県東方沖地震など相次ぐ国内災害に触れ、被災者への哀悼と支援継続の決意を示し、日本の長い歴史と固有の文化、美しい自然、互助的な社会を次世代へ引き継ぐ使命を強調する。干支の丙午を「昨年からのエネルギーが一段と発展する年」と位置づけ、ガソリン税など暫定税率の廃止に象徴される前向きな改革をさらに加速させ、「やればできる」を合言葉に困難な改革にも果敢に挑戦する年にしたいと国民に呼びかけた。首相官邸ホームページ+2	高市首相の演説は、日本特有の慎重さをかなぐり捨て、強烈な「突破力」を前面に押し出した内容です。干支の「丙午（ひのえうま）」を引用し、停滞する空気を打破する「エネルギー」の重要性を説いた点は、国民のデフレマインド払拭を狙う心理的ショック療法とも読めます。 特筆すべきは、経済政策の主軸を従来の漠然とした成長戦略から、「危機管理投資」という安全保障と経済をリンクさせた概念へ明確にシフトさせた点です。半導体や「フィジカルAI」といった特定技術領域への巨額投資を、単なる産業振興ではなく「他国に依存しないための生存戦略」と定義付けました。 また、財政規律を意識しつつも「必要な分野には大胆に」と断言し、減税と賃上げの好循環を約束する姿勢は、実利と理念を巧みに組み合わせたポピュリズムとリアリズムのハイブリッド型リーダーシップを感じさせます。「世界に打って出る」という言葉からは、国際社会における日本のプレゼンスを、調整役から「戦略的プレイヤー」へと引き上げる強い野心が透けて見えます。	高市総理の年頭挨拶は「丙午（ひのえうま）の年」という易学的フレーミングで日本を歴史的転換点に位置づけ、人口減少という「静かな非常事態」を「分水嶺」として語り直した。政策は三層構造で、第一に AI・半導体・宇宙開発といった戦略分野に10兆円以上の公的支援を投じ50兆円超の官民投資を促す「危機管理投資」、第二に現役世代への所得税減税と教育無償化による「人材力」強化、第三に日米同盟深化とインド太平洋主導権確保である。能登地震の被災地での経験から「国民の底力」を引き出すことを強調し、ボトムアップの市民活動とトップダウン指導性のバランスを取ろうとしている。技術革新を通じた経済成長で「希望」を創出する戦略であるが、米国関係の変化やロシア・北朝鮮の脅威に対する安全保障政策の詳細な道筋は示されておらず、急速に変動する国際秩序への適応力の検証が課題である。
中国： 習近平 国家主席	歴史の大勢に従い、統一と発展を不可逆の力で押し進める。	「『歴史の必然』としての現代化と、揺るぎなき自信の誇示」	「十四五」成果を列挙し、世界的混乱の中での「中国の前進」を強調、制度の正当性を再確認する。
	習主席は新年の挨拶で、2025年の中国経済が約140兆元規模となり、政府目標である成長率約5％を達成できる見通しだと述べ、「圧力の中でも強い回復力と活力を示した」と自賛する。経済運営では「質の高い発展」と「有効な質的向上と合理的な量的成長」を掲げ、2026年により積極的なマクロ政策を講じる方針を示し、イノベーションやグリーン技術を通じた長期的成長への道筋を語った。The Hindu+1同時に、人工知能や半導体、宇宙・軍事技術など戦略分野での躍進を強調し、技術強国としての自信と、国防・安全保障面での近代化を「中国式現代化」の中核として位置づける。対台湾については「祖国統一は時代の大勢であり、止められない」と述べ、統一の意思は揺らがないとの姿勢を改めて表明しつつ、両岸同胞は「血は水よりも濃い」存在だと情緒的な表現も織り込み、歴史的使命と民族感情を結びつける語り方で国民の結束を訴えた。AOL+1全体として、経済・技術・統一という三つの柱を貫き、「自信」と「不可逆的な流れ」というキーワードで中国の進路を正当化する構成になっている。	習主席のメッセージは、世界的な地政学的混乱を「変乱交織」と認めつつも、中国はその嵐の中で着実に前進しているという「体制の優位性」を内外に誇示するものです。「中国式現代化」の成果として、グリーン技術や宇宙開発、独自イノベーションを列挙し、第15次五カ年計画への接続を強調することで、国民に対し「路線の正しさ」を再確認させています。 特筆すべきは、台湾統一について「歴史の大勢」という言葉で断固たる意志を改めて示した点です。これは、外部からの圧力に対する一切の妥協拒否を意味します。一方で、国内向けには「枝葉の情」といった表現で民生への配慮を見せ、経済減速に伴う社会的不満を、国家への忠誠心とナショナリズムで包み込もうとする意図が見て取れます。 全体として、欧米主導の秩序が揺らぐ中、中国こそが「歴史の正しい側」に立ち、グローバル・サウスを牽引する安定した極であるという、強烈な自負と戦略的持続性が貫かれた演説です。	習主席の年頭挨拶は「十四五」（2021-2025年）最終年の成果と「十五五」（2026-2030年）への展望を圧倒的な自信をもって語り、GDP140万億元達成と経済・科技・国防・総合国力の「四つの台階を上った」との成果列挙型で、世界経済の不確実性が増す中での「中国は前進している」というメッセージを前面に掲げた。AI大模型・芯片自主研発・衛星産業といった科技革新と非物質文化遺産・古韵国風といった伝統文化の融合を強調し、文化的自信を表現すると同時に、「人類命運共同体」と「全球治理倡議」を通じて世界秩序再編における中国の主導性を暗に主張し、台湾統一の「歴史的必然性」と「一国二制」の堅持を明言した。ただし「乱」（世界の混乱）への危機認識は最小限で、国内の南北格差や世代間葛藤への言及も限定的であり、危機認識よりも制度正当性の強調が優先されている。テクノロジー競争での優位維持が党の統治正当性を支える不可欠な要件との診断が背後にある。
英国： キア・スターマー 首相	希望と実務の力で、分断と停滞から確かな再建へと歩み出す。	「幻想を排し、崩れた礎石を積み直す『現実的な希望』」	「国民の苦しみを理解し、2026年には確実な変化が感じられる」——対話型で生活改善を約束する。
	スターマー首相はメッセージの冒頭で「英国では厳しい状況が続き、多くの人にとって生活は本来より苦しい」と率直に認め、生活費危機が国民生活に与えた打撃に言及する。国民が「少し余裕のある財布」「外食や休暇」「家族の特別な時間をより特別にしたい」と願っていると述べ、そのささやかな希望こそ政治が支えるべき対象だと位置づける。GOV.UK2026年には、政府が行ってきた選択の結果として、光熱費や生活費、地域社会、保健医療サービスにおいて「前向きな変化」を実感できる人が増えると約束し、「再生（renewal）」という言葉で時代の方向性を示す。具体的には、3月までに警察官を増員し、地域の治安回復に取り組むほか、NHSの立て直しなど公共サービス改善を通じて「本来の英国の姿が再び輝き始める」年にすると誓う。GOV.UK+1メッセージ全体は、派手なレトリックよりも現実の厳しさを認めた上で「希望」と「確かな実務」を結びつける構成で、「分断と衰退ではなく、着実な再建の道を選ぶ」として自らの政権の路線を正当化している。	スターマー首相の言葉には、派手なスローガンやナショナリズムの昂揚はありません。その代わりに、生活費危機や公共サービスの劣化に喘ぐ国民に対し、「魔法の杖はない」という冷徹な現実認識と、だからこそ信頼に足る「着実な修復」を約束する誠実さが溢れています。 「刷新（Renewal）」を掲げつつも、その中身はNHS（国民保健サービス）の待機時間短縮や警察官の増員、光熱費の抑制といった、市民生活の「足元」を固める実務的な課題に集中しています。これは、長年の保守党政権下で傷んだ社会インフラと信頼を回復することが、英国再生の唯一の道であるという確信に基づくものでしょう。 政治不信が極まる中、「政治は人々の生活を良くするための奉仕である」という原点回帰を訴え、分断を煽るポピュリズムに対して「安定と実績」で対抗しようとする姿勢は、地味ながらも強靭な民主主義の復元力を感じさせます。	スターマー首相の年頭メッセージは「物事は難しかった。多くの人がまだ苦しんでいる」という現状認識から入り、「2026年には変化が感じられ始める」と約束する極度に簡潔で生活者志向の対話型説得戦略である。3月までの警察増員、4月のエネルギー料金引き下げと医療ハブ拡充、鉄道料金・処方箋料・燃料税凍結という限定的かつ即座的な政策を提示し、公共サービスの劣化と生活費危機が最大課題であることが如実である。国際的脅威（ウクライナ、中東）への言及がないため英国の地政学的後退を示唆しつつ、「政治が再び機能することの重要性」を強調することで、労働党政権が直面する民主主義制度への信頼喪失からの回復を図ろうとしている。評価すべきは国内の停滞を認めた上で「小さくても実現する改革」の積み重ねの重要性を示唆した点だが、構造的な国力衰退への処方箋は乏しい。
ドイツ： フリードリヒ・メルツ 連邦首相	危機の時代を恐れず、自信と責任をもって欧州の未来を切り拓く。	「『依存』からの決別と、自立した欧州強国への覚醒」	「歴史的転換期」の多層的脅威に対し、防衛・改革を同時推進し自律性を再奪取する。
	メルツ首相は年頭演説で、2025年という一年を、個々人にとっても国家にとっても「成功と挫折、新しさと喪失が交錯した年」と総括し、年の瀬は個人と国全体の双方にとって「決算」の時だと語りかける。2月の連邦議会選挙で国民がドイツの進路を選択し、新政権が「決然とした行動と明確なコンパス」で国の針路を定める役割を担うことになったと述べ、新政府への信任を訴える。Die Bundesregierung+1世界的な危機や不安定な国際情勢、ウクライナ戦争などに触れつつ、ドイツは「偉大な国」であり、2026年も自国の力を信じ、勇気と自信（Zuversicht）を持って前進すべきだと強調する。内政では社会保障制度の改革や経済の競争力回復に取り組む決意を示し、「勤勉」「自助」といった保守的価値観をにじませながら、財政規律と投資の両立を図る方針を打ち出す。Die Bundesregierung+1同時に、欧州防衛や対ロシア政策をめぐり、米国動向に左右されず「自らの安全保障を自らの手で確保する欧州」の必要性を訴え、ウクライナ支援継続にコミットした。全体として、危機の時代を「転換点」として受け止め、悲観を打ち消すための強いレトリックと、地に足のついた改革アジェンダを組み合わせた演説となっている。Die Bundesregierung+2	メルツ首相の演説は、戦後ドイツの平和主義的・経済中心的な姿勢からの決定的かつ不可逆的な転換（Zeitenwendeの深化）を告げるものです。米国政治の不透明化を背景に、欧州の安全保障を他国に委ねる時代の終わりを宣言し、国防費の大幅増額（GDP比3.5%目標の堅持）や経済構造改革を、国民に「痛み」を伴う努力として要求しています。 「自信（Zuversicht）」という言葉を繰り返し使いながらも、それは根拠なき楽観ではなく、勤勉さと自己改革によってのみ得られるものであると説く姿は、厳格な父親像を想起させます。社会保障改革や規制撤廃への言及は、ドイツ経済の錆びついたエンジンを再起動させるための「ショック療法」の必要性を示唆しています。 「大国の駒にはならない」という強い意志は、ドイツが再び欧州の戦略的自律の中核として、経済力だけでなく軍事・政治力においてもリーダーシップを行使する覚悟を決めたことを世界に伝えています。	ショルツ首相の年頭演説は「我々は歴史的転換期（epochal shift）を目撃している」との冷徹な現実主義の診断から、ロシアのウクライナ侵略、米国の戦略転換、保護主義の台頭、中国・北朝鮮の軍事拡張といった複層的脅威を列挙して対応策の必要性を強調した。防衛予算の大幅増加、基本法改正による国防財政の制度化、志願兵制度導入、国家安全保障評議会設置という防衛力強化と同時に、社会保障制度の根本改革（市民給付廃止、年金制度改革）と産業競争力強化（規制緩和、税制軽減）を並行推進する二重の改革を志向している。特異な点は「我々は外部環境の被害者ではなく、自らの力で対応できる」との主体性を強調し、戦後ドイツが相対的に依存的だった安全保障体制からの転換を宣言した点であり、欧州統合深化と米国依存軽減の両立を目指す中で、ドイツが欧州防衛の「脊椎」たることを甘受する戦略的転換を示している。
フランス： エマニュエル・マクロン 大統領	団結と主権の力で、無秩序の世界に立ち向かい欧州を導く。	「帝国の復活に抗う、欧州主権と共和主義の『抵抗』」	「統一・独立・希望」の三願いで、欧州防衛の自立化とウクライナ支援、国内改革を同時推進する。
	マクロン大統領はまず、治安部隊、消防士、医療従事者、ボランティアなど「国家の継続性を支える人々」への感謝を表し、孤立や困窮、病にある市民にも思いを寄せると語り、連帯の感覚を前面に出す。演説の柱として、国内外の「脅威に晒されたヨーロッパ」、終末期医療（fin de vie）やインターネット規制などの社会的課題、そして2027年大統領選を控えた「行動の最後の年」という時間軸を提示する。Actu.fr+2対外的には、ウクライナ戦争やロシアの脅威に言及し、フランスと欧州が「力（force）」と「独立（主権）」を取り戻し、無秩序や帝国主義的衝動に対抗する必要性を訴える。国内政策では、教育・医療・治安・農業支援など、日々の生活を支える分野の再建を掲げ、特に若者の機会、公教育の基礎学力回復、農村や郊外の治安問題への対応を優先課題として位置づける。CNEWS+1演説全体のキーワードとして、大統領自ら「三つの願い」として掲げた「統一（unit é）・力（force）・希望（espérance）」が繰り返され、分断と疲弊が進む社会に対し、「諦めずに抵抗し続ける共和国」のイメージを再構築しようとしている。	マクロン大統領のメッセージは、単なる年頭挨拶を超え、文明論的な警告と戦闘宣言の様相を呈しています。「帝国の復活」や「世界の無秩序」に対し、フランスと欧州が生き残る道は「主権の確立」以外にないという切迫感が全体を支配しています。 「統一、独立、希望」という三つの願いは、国内の極右勢力による分断圧力と、国外の権威主義的圧力に対する二重の「防波堤」構築を意図しています。防衛、技術、農業における「パワー・ヨーロッパ（力ある欧州）」構想を加速させ、ウクライナ支援や独自の外交イニシアチブを通じて、米中対立の狭間で埋没しない「第三の極」としての欧州を確立しようとする執念が感じられます。 「諦めてはならない」という繰り返しのフレーズは、疲弊する国民を鼓舞すると同時に、共和国の普遍的価値（自由・平等・博愛）こそが、混沌とする世界における唯一の羅針盤であるという哲学的確信に基づいています。	マクロン大統領の年頭演説は「統一」「独立」「希望」という三つの願いで構成された高度に構造化された哲学的・共和主義的なメッセージで、外交・防衛から教育・医療・地方自治まで広範な政策領域に触れながらも、重心は欧州防衛と戦略的自立にある。ウクライナ支援の具体化（1月6日パリ平和サミット）、防衛産業強化、AI・量子・宇宙分野での欧州的独立性確保を強調し、同時に農業保護と治安・教育改革により国内基盤を堅実にする戦略を示唆している。興味深いのは2027年大統領選不出馬を宣言しながらも「最後の秒まで働く」と覚悟を示した点で、フランスの危機認識が戦争・経済不安定性・社会分裂の複合であり、その処方箋が「再度の欧州的リーダーシップ」にあるとの診立てが明確である。ただし国内の政治的分裂（極右の台頭など）への直接的対処は限定的で、外交的活動による信頼回復が優先されている。
イタリア： セルジョ・マッタレッラ 大統領	人間の尊厳と平和を守るため、イタリアは対話と倫理の力で世界に向き合う。	「歴史の重みを鏡とし、精神の武装解除を説く『良心の守護者』」	共和国80年の歴史から、民主主義と平和の価値を再確認し、若い世代への責任的呼びかけを行う。
	マッタレッラ大統領は「決して容易ではなかった一年が終わろうとしている」と切り出し、その最大の背景として、ウクライナの都市の住居やエネルギーインフラ破壊、ガザの壊滅と乳児までが凍死する惨状を描き出し、平和への切実な希求を語る。こうした現実を前に、「力で優位に立つ者が平和を拒むことは、ますます理解し難く、忌まわしい（ripugnante）」と厳しく批判し、国際社会、とりわけ欧州と大西洋同盟の責任を問いかける。Quirinale+1国内に向けては、イタリア共和国の歩みを振り返りつつ、女性の権利、若者の将来、社会的包摂といったテーマを挙げ、民主共和国の価値は日々の選択と連帯によって守られると説く。若者には「諦めてはならない、自らの未来を自分で選び取れ」と呼びかけ、市民一人ひとりの倫理的責任と公共心を強調する姿勢は、父性的かつ道徳的なレトリックの特徴が色濃い。TGCOM24+1全体として、具体的な政策羅列よりも、人間の尊厳と平和の倫理を軸に、イタリア社会が内外の危機にどう向き合うべきかを静かに、しかし力強く諭すメッセージとなっている。	マッタレッラ大統領の演説は、政治的な政策論争を超越し、国家の道徳的支柱としての役割を全うする格調高いものです。共和国建国80周年という歴史的節目を「フォトアルバム」として提示し、ファシズムやテロリズムを乗り越えてきたイタリアの民主主義の強靭さを、分断されがちな現代社会に再提示しています。 ウクライナやガザでの悲劇を念頭に、「平和とは単なる休戦ではなく、他者を尊重する精神のあり方である」と説き、言葉の暴力や憎悪の連鎖（「言葉の武装解除」）に警鐘を鳴らす姿は、欧州における「賢人」としての存在感を示しています。 若者に対し「批判的であれ、情熱的であれ」と呼びかけ、社会参加を促す姿勢は、政治不信に対する解毒剤としての「市民的責務」を強調するものです。激動の時代において、変わらぬ価値観と人間性を守り抜くことこそが最大の防衛策であるという、静かなる闘志が込められています。	マッタレッラ大統領の年頭メッセージは共和国80年の歴史的スパンから現在を位置づけ、戦争と暴力への強い拒否、民主主義価値の再確認、若い世代への期待と責任感の喚起を中核としている。極右勢力の台頭、EU内での政治的対立、南北経済格差といったイタリアが直面する各種危機に対して、制度的民主主義の堅持と市民的連帯による対抗を志向し、共和国という理念への立ち返りを危機打開の鍵とする戦略である。この手法は、イタリアの政治的脆弱性（政権交代の頻繁さ、地域分裂、制度的不安定性）を前にした、ある種の「理想的自己確認」とも言え、歴史的フォトアルバムとしての共和国の価値を国民に想起させることで、現在の政治的混乱を超越的な枠組みで理解させようとしている。民主主義制度そのものへの脅威が高まる中での、制度防衛的で理想主義的なメッセージとして機能している。

 

 

---

 

● まるちゃんの情報セキュリティきまぐれ日記

・2024.01.08 各国代表の新年の挨拶 2024年

・2023.01.03 各国代表の新年の挨拶 2023年

・2022.02.04 バイデン大統領夫妻の旧正月に寄せたメッセージ. - 米国が競争しているのは、中国ではなく中国共産党政府なんでしょうね。。。

・2022.01.02 各国代表の新年の挨拶 2022年

 

 

東京都産業労働局 中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 (2025.12.23)

こんにちは、丸山満彦です。

東京都産業労働局の中小企業向けサイバーセキュリティ対策のガイドが更新されていました...

サプライチェーン上重要な中小企業が存在し、その中小企業がランサムウェアにより業務が停止したり、その中小企業を足場によりよりTierの高い企業への侵入につながったり、その中小企業から重要な情報が窃盗されたりすると、国の経済活動に多大な影響がでることがあり得る。

そのため、中小企業全部とは言わないが、企業の規模に関わらず経済活動にとって重要な企業はすべてサイバーセキュリティ対策を実施しておくことが必要となる。

ところが大企業に比較すると中小企業はリソースが限られている。サイバーセキュリティ対策は規模の経済が働く面が大きく、大企業と同じレベルのセキュリティ対策を中小企業が実施しようとすると、経済的になりたたなくなる。

と言う背景もあり、日本のみならず、世界各国で中小企業のサイバーセキュリティ対策というのは重要な政策課題となっています。（少なくとも2003年に経産省でサイバーセキュリティ戦略の議論をしている時からそうでした）。また、個人情報保護法のガイドラインを策定する際にも安全管理措置の面でもその議論はでました。

サイバー以外も含めてですが、J-SOXの議論の時も中小企業（ベンチャー）のIT内部統制の評価についても議論がありました。

規模の経済という構造的な問題なので、対策としては、

・「中小企業がまとまって」対策をする

・「コストを変動費にできる」対策をする

ということしかないと考えています。

お助け隊サービスはどちかというと前者の対策。クラウドサービスの利用は前者かつ後者ともいえると思います。と考えていくと、中小企業はセキュリティ対策を起点としても、クラウドシフトを加速することになります。

結果的に国の産業のクラウド依存が高まっていくことを意味します。欧州、英国、オーストラリア、（最近ではカナダ）ではソブリンクラウドのための制度づくりをしていますよね。。。（米国クラウドベンダーを締め出すのではなく、ソブリンクラウドの要件を決め、それに従っているサービスであれば採用をする一方で、欧州のクラウドベンダーの育成もしていく）

政府、重要インフラ以外にも多くの事業者がクラウドベンダーに依存していくと、集中リスクというのはあり得ますね...

この辺りは少し先の課題かもしれません...

 

ということで、話を元に戻して、東京都産業労働局の中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 の紹介です。劇場風漫画形式となっています(^^)

●東京都 - 産業労働局 - 中小企業向けサイバーセキュリティ対策の極意ポータルサイト

・2025.12.23 [PDF]  Ver.4.0

 

 

 

---

 

日本の中小企業セキュリティガイドのようなもの...

発行元	タイトル	発行/更新年	概要
NISC（内閣サイバーセキュリティセンター、政府機関）	小さな中小企業とNPO向け 情報セキュリティハンドブック（インターネットの安全・安心ハンドブックに統合）	2023年 （Ver.5.00）	小規模事業者向けに基本的なセキュリティ対策をハンドブック形式でまとめたもの。パスワード管理や脅威対策を中心に。
総務省（政府機関）	中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）（第3版）	2022年 （第3版）	セキュリティ専任担当がいない中小企業等を対象に、テレワーク時の最低限のセキュリティ対策をチェックリスト形式で提供。テレワーク方式確認、脅威カテゴリ別の対策、緊急対応を含む。
IPA（独立行政法人情報処理推進機構）	中小企業の情報セキュリティ対策ガイドライン	2023年 （第3.1版）	経営者向け指針と実践的な対策手法をステップバイステップで説明。付録にチェックリストを含む。
東京都産業労働局	中小企業向けサイバーセキュリティ対策の極意	2025年 （Ver.3.0a）	漫画形式でわかりやすく、サイバー攻撃の現状と必須対策、事故対応を解説。Web版とPDF版あり。
愛知県	経済安全保障 中小企業向け 入門ガイド	2023年	経済安全保障の観点からサイバーセキュリティ対策を含む。従業員意識向上と体制整備を重点。
ITコンソーシアム京都（京都府関連、地方自治体支援）	セキュリティマニュアル	不明 （最新版参照）	京都府内中小企業向けにサイバー相談件数推移と対策をまとめたマニュアル。相談窓口情報あり。

 

 

---

 

米国、欧州、英国、オーストラリア、カナダ等の主に中小企業向けのセキュリティガイドのようなもの...

 

国・地域	組織	発行元	タイトル	発行/ 更新年	概要
米国	連邦政府機関	CISA	Cyber Guidance for Small Businesses	2024年	小規模事業者向けの行動計画。CEO、セキュリティマネージャー、ITリーダーの役割ごとに分かれ、MFA導入やバックアップなどの対策を説明。実際の攻撃に基づく。
米国	連邦政府機関	CISA	Cyber Essentials	2023年	小規模事業者や地方自治体リーダー向けのガイド。アクショナブルな理解を促進し、サイバーハイジーンを強調。
米国	連邦政府機関	FTC	Cybersecurity for Small Business	継続（最新2025年）	サイバー攻撃から事業を守るツール。NIST CSF 2.0 Quick Start Guideを基に、ガバナンスとリスク管理を解説。
米国	連邦政府外郭	NIST	Small Business Cybersecurity Corner	継続（最新2025年）	寄稿者からのドキュメントとリソース集。小規模事業者のサイバーセキュリティニーズに対応。
米国	連邦政府機関	SBA	Strengthen your Cybersecurity	2024年	脅威の概要と保護方法。CISAのスキャニングサービスなどを紹介。
米国	連邦政府機関	FCC	Cybersecurity for Small Businesses	継続（最新2025年）	Small Biz Cyber Planner 2.0を提供。カスタマイズされたサイバーセキュリティ計画作成ツール。
米国	連邦政府機関	DoD Office of Small Business Programs	Cybersecurity Resources	継続（最新2025年）	意識向上とコンプライアンスのためのツールとトレーニングプラットフォーム。
米国	州政府機関	California Attorney General	Guide for Small Businesses to Protect Against Cyber Attacks	2014年	従業員と顧客のリスク低減のための具体的な推奨事項。
米国	州政府機関	New York Attorney General	Small Business Guide to Cybersecurity in New York State	不明（最新2023年）	NY州中小企業向けのデータセキュリティガイド。
米国	州政府機関	New York Attorney General	Data Security Guide	2023年	効果的なデータセキュリティ対策の採用を支援。
米国	州政府機関	Texas State Securities Board	Are You Secure?	継続（最新2025年）	サイバーリスクの特定と手順の確立のための計画ガイド。
欧州	連合機関	ENISA	Cybersecurity Guide for SMEs - 12 Steps to Securing Your Business	2021年	COVID-19後のデジタル移行を考慮した12のハイレベルステップ。システムと事業のセキュリティ向上。
欧州	連合機関	ENISA	Cybersecurity for SMEs - Challenges and Recommendations	2021年	SMEの課題と推奨事項。加盟国がSMEを支援するための提案を含む。
欧州	連合外郭	European DIGITAL SME Alliance	Guide to ISO/IEC 27001 for SMEs	継続（最新2025年）	ISO 27001の実装のためのハンディガイド。
ドイツ	連邦政府機関	BSI	Small and Medium-Sized Enterprises Guidance	継続（最新2025年）	サイバーセキュリティの基本要素と短い動画。情報セキュリティのキーアスペクトをカバー。
フランス	政府機関	ANSSI	Digital Security Best Practices for Business Travellers	2019年	出張中のデジタルセキュリティベストプラクティス。
フランス	政府機関	ANSSI	Controlling the Digital Risk	不明（最新2025年）	組織のデジタルリスク管理ガイド。
イタリア	政府機関	ACN	Practical Guides for SMEs on Cyber Risks	2025年	SME向けの実用的ガイド。サイバーリスクの特定と管理。
イタリア	政府機関	Cyber 4.0	Vademecum on Cybersecurity for SMEs	継続（最新2025年）	ENISAの12ステップを基にしたSME向けガイド。
スペイン	政府機関	INCIBE	Spanish National Guidelines for Reporting and Managing Cyber Incidents	2020年	サイバーインシデントの報告と管理のためのガイドライン。
スペイン	政府機関	INCIBE	Cybersecurity for SMEs and Freelancers	2023年	デジタル世界での事業保護。セクター別のアドバイスを含む。
英国	政府機関	NCSC	Small Business Guide: Cyber Security	継続（最新2025年）	5つの簡単ステップ（バックアップ、マルウェア対策、モバイルセキュリティ、パスワード、フィッシング）。時間とお金を節約。
英国	政府機関	NCSC	Cyber Security: Small Business Guide (PDF Version)	継続（最新2025年）	一般的な攻撃からの保護のための低コストでシンプルなテクニックのまとめ。
英国	政府機関	GOV.UK	Cyber Security Guidance for Business	継続（最新2025年）	オンラインセキュリティ向上のためのガイダンス。無料の30分セッションを含む。
英国	地方	NI Cybersecurity Centre	Basic Steps to Cyber Security – Small Organisation Guide	継続（最新2025年）	5つの簡単ステップでセキュリティ向上。評判保護に焦点。
英国	市政府	Bury Council	Cyber Security Guide For Small Businesses	継続（最新2025年）	攻撃の兆候、保護方法、無料リソースのリンク。
英国	市政府	Wandsworth Council	Cyber Security: Small Business Guide	継続（最新2025年）	バックアップ、パスワードポリシー、アクセス制御の決定。
英国	地方関係	Northwest Cyber Resilience Centre	Cyber Security Guide for Small Businesses	継続（最新2025年）	北西地域の小規模事業者向け。基本、ランサムウェアなどカバー。
豪州	政府機関	ACSC	Small Business Cyber Security Guide	2023年（最新2025年）	基本的なセキュリティ対策を説明。サイバー脅威からの保護に焦点を当て、チェックリストを含む。
豪州	政府機関	ACSC	Small Business Cloud Security Guides	2022年（最新2025年）	Essential Eightをクラウド環境に適用したガイド。Microsoft 365、Google Workspaceなどの具体例。
豪州	政府機関	Business.gov.au	Cyber Security and Your Business	継続（最新2025年）	サイバー脅威の種類と被害対応。ACSCのリソースを統合した一般ガイド。
豪州	州自治体	NSW Government	7 Steps to Cybersecurity for Small Businesses	継続（最新2025年）	小規模事業者向けの7ステップガイド。脅威認識から回復計画まで。
豪州	州自治体	NSW Small Business Commissioner	Cyber Security Awareness	継続（最新2025年）	マルウェア対策とバックアップの基本。ACSCガイドを補完。
豪州	州自治体	Business Victoria	Manage Cybersecurity in Your Business	2025年	サイバー犯罪の理解と保護方法。報告手順を含む。
豪州	州自治体	Business Victoria	The Essential Small Business Guide to Cybersecurity	2021年	一般的な脅威と安全策。ACSCに基づく。
豪州	州自治体	Business Queensland	Keeping Your Business Cyber Secure	2025年	Cyber Wardensプログラムを含む対策。脅威防止の短いコース。
豪州	州自治体	Business Queensland	Cyber Security Self-Help Toolkit for Mentors	2021年	メンター向けツールキット。事業者のリスク管理支援。
豪州	州自治体	Small Business Development Corporation	Cyber Security	継続（最新2025年）	情報保護の簡単で効果的な方法。サイバー犯罪者からの防御。
豪州	州自治体	Small Business Development Corporation	Six Cyber Security Habits to Protect Your Business	継続（最新2025年）	悪い習慣の修正と6つの積極的ステップ。
カナダ	政府機関	CCCS	Baseline Cyber Security Controls for Small and Medium Organizations	2020年	低コストの13セキュリティコントロール。リスク低減と対応力向上。
カナダ	政府機関	CCCS	Cyber Security for Small Business	2020年	基本コントロールの実装支援。サイバー敵対者からの保護。
カナダ	政府機関	Get Cyber Safe	Get Cyber Safe Guide for Small and Medium Businesses	2022年	リスク理解と対策ステップ。中小企業オーナー向け。
カナダ	政府機関	Get Cyber Safe	Get Cyber Safe Guide for Small Businesses	2024年	脅威軽減のためのステップ。デバイス、ネットワーク、データ保護。
カナダ	政府機関	Get Cyber Safe	Quick Guide to Cyber Security for Small Business	2024年	6つの簡単ステップ：在庫管理から従業員トレーニングまで。
カナダ	政府機関	CyberSecure Canada	CyberSecure Canada	継続（最新2025年）	ベストプラクティスを使用したプログラム。SMEのセキュリティ強化。
カナダ	省自治体	Ontario Government	Cyber Security	2021年	サイバーセキュリティの基本と役割。
カナダ	省自治体	Alberta Government	Government of Alberta Cybersecurity Strategy 2024	2024年	脅威情報とリソース提供。SMEを含むデジタル資産保護。
カナダ	省自治体	British Columbia Government	CyberBC	2025年	公共セクターのセキュリティ向上。SME支援のためのコラボレーション。

 

 

英国 政府サイバー行動計画 (2026.01.06)

こんにちは、丸山満彦です。

英国は2022年にサイバーセキュリティ戦略を制定しておりますが、政府サイバー行動計画が発表されていますので、紹介。

4つの戦略目標...

サイバーセキュリティとレジリエンスリスクの可視性向上	政府全体のデータソースを活用し、真に政府全体および各省庁のサイバーリスクを理解するため、重要な要素を測定する。可視性の向上は行動の基盤となり、最大の影響を与えられる分野の優先順位付けを支援する。
深刻かつ複雑なリスクへの対応	政府全体にわたる深刻かつ複雑なリスクを特定・評価し、各省庁が単独で対処できない分野については、中央のレバレッジと能力向上への投資を通じて是正を図る。
急速に変化する事象への対応力向上	急速に進化するサイバー・デジタルレジリエンス上の脅威、脆弱性、インシデントに対し、より効果的に対応する能力を統合・強化する。準備態勢の強化により復旧時間が短縮され、被害が軽減される。
政府全体のサイバーレジリエンスの急速な向上	各省庁及び公共団体は、高品質な中央サービスと支援を通じてレジリエンス能力を変革する。レガシー技術など最も重大な脆弱性の是正に注力し、システム全体での知識共有と継続的改善を運用化する。

中央集権的なサイバー対応をしようということのようです。

中心機関の政府サイバーユニットは、戦略設定、予算管理、進捗監視、評価・報告を担い、国全体のサイバーリスク低減に向けて各省庁や機関と協働するということですね。日本のNCOと比較すると権限が強い感じです。

2004年に当時のNISCを作る際の議論ですが、やはり日本の内閣制度では司令塔はつくれても、政府全体を統括する実行部隊はつくれないということでしたね...もし、英国的な内閣制度にするのであれば、法改正が必要となりますが、思想的な変換を要するので時間がかかるでしょうね...

また、NCOになるときに、安全保障との関係を強め、有事においての司令塔機能が明確化されたわけですが、平時においては調整機能中心ということは変わらないですね...

ただ、今回の英国の政府サイバー行動計画から学ぶべきことは多くあるようにも思います。今後の日本政府のサイバーセキュリティ行動計画を立案する際には、参考にすると良いかもですね...

 

第３章から第７章の概要...

	概要	目的
第3章：説明責任	政府のあらゆるレベルにおけるサイバーリスクは、積極的に所有され効果的に管理されなければならない。責任者は効果的な管理について説明責任を負う。本項目では、責任と説明責任のメカニズムを明確にし、その履行を確保する。	・サイバーリスクの可視性向上：説明責任メカニズムと報告を通じて政府全体のサイバーリスクの可視性を高める
		・深刻かつ複雑なリスクへの対応：各部門や組織が合理的に管理できないリスクについて、中央集権的な説明責任を確立する
第4章：サポート	政府組織は、サイバーセキュリティとレジリエンスの責任を果たすために必要な能力・スキル・キャパシティを保有していない。本セクションでは、このギャップを埋めるための支援の提供方法・優先順位・アクセス方法を定める。	・英国政府のサイバーセキュリティとレジリエンスの強化：共通支援により政府・公共部門組織が要件をより迅速かつ容易に実施可能とする
		・深刻かつ複雑なリスク管理の改善：政府組織が最も重大な政府横断的リスクに対処するための的を絞ったサポート
第5章：サービス	政府組織はサイバーセキュリティとレジリエンスの課題に直面しているが、これを大規模に対処できるサービスはほとんど存在せず、存在するサービスも十分に理解・活用されていない。本章では、この課題に対処するため、大規模なサイバーサービスをどのように開発・提供・利用するかについて概説する。	・政府全体のリスク可視性の向上：政府レベルでのリスク可視性を大規模に変革できる新たな中央サービスの開発を優先する。
		・英国政府のサイバーセキュリティ及びデジタルレジリエンスの強化：中央サービス調整の確立により、中央サービス提供とアクセスを一元化する。
		・急速に展開する事象への対応力向上：脅威を検知し脆弱性を管理する能力を大規模に強化する。
第6章：対応と復旧	政府はリスクを積極的に低減するだけでなく、インシデント発生時に迅速かつ効果的に管理できる必要がある。本項目では、あらゆるレベルにおけるサイバーセキュリティ及びレジリエンス関連のインシデント対応責任を明確化し、影響を最小限に抑えるための共同対応を可能とする。	・急速に展開する事象への対応力向上：責任範囲の明確化と全レベルでの能力強化を通じ、政府及び公共部門が重大インシデントへの対応と復旧を改善する。
		・政府全体のリスク可視性の向上：大規模なインシデント及び脆弱性データを活用し、システム的リスクの理解を深め、防御を強化し、レジリエンス成果を向上させる。
第7章：スキル	政府全体におけるサイバーセキュリティ及びレジリエンスに関する理解とスキルの需要は、利用可能な人材の供給を上回る速度で増加している。リーダー、専門職、一般職員の多くがサイバーリスクと事業影響の理解を欠いている。本章では、政府サイバー専門職の確立を概説する。これは政府サイバー専門家の誘致、スキル向上、定着、支援を目的とする。	・英国政府のサイバー・デジタルレジリエンス強化：サイバー・デジタルレジリエンス人材の誘致、スキル向上、定着、支援を通じ、公共部門を専門家にとって魅力的な雇用主とする
		・深刻かつ複雑なリスクマネジメントの改善：認識・理解・活動の向上と適切な資金確保により、政府のリスクマネジメント手法を変革する

 

 

● GOV.UK

・2026.01.06 New cyber action plan to tackle threats and strengthen public services

・2026.01.06 Government Cyber Action Plan

・[HTML] Government Cyber Action Plan

・[PDF] 

 

 

 

目次...

Foreword	まえがき
Ministerial Foreword	大臣まえがき
Chapter 1: Introduction	第1章：はじめに
Introduction	はじめに
Chapter 2: Approach	第2章：アプローチ
Scope	範囲
Objectives	目的
Delivery strands	実施の柱
Delivery phases	実施段階
Cultural change	文化変革
Chapter 3: Accountability	第3章：説明責任
Accountability overview	説明責任概要
Cyber risk	サイバーリスク
Government-wide cyber risk	政府全体のサイバーリスク
Organisational cyber risk	組織のサイバーリスク
Lead government department model	主導政府部門モデル
Priority next steps	優先する次のステップ
Chapter 4: Support	第4章：サポート
Support overview	サポート概要
Support offer	サポート提供
Support access	サポートアクセス
Priority next steps	優先する次のステップ
Chapter 5: Services	第5章：サービス
Services overview	サービス概要
Service coordination	サービス調整
Service access	サービスアクセス
Service development	サービス開発
Priority next steps	優先する次のステップ
Chapter 6: Response and Recovery	第6章：対応と復旧
Response and recovery overview	対応と復旧概要
Prepare	準備
Detect	検知
Respond and recover	対応と復旧
Learn and improve	学習と改善
Priority next steps	優先する次のステップ
Chapter 7: Skills	第7章：スキル
Skills overview	スキル概要
Profession	専門職
Attract and upskill	人材確保とスキル向上
Retain and support	人材維持と支援
Leadership and workforce	リーダーシップと労働力
Priority next steps	優先する次のステップ
Chapter 8: The Government Cyber Unit	第8章：政府サイバーユニット
Central functions	中核機能
Function interactions	機能間の連携
Chapter 9: Implementation	第9章：実施
Implementation targets	実施目標
Implementation phases	実施段階
Phase 1 – Building (by March 2027)	第1段階 – 構築（2027年3月まで）
Phase 2 – Scaling (April 2027–2029)	第2段階 – 拡大（2027年4月～2029年）
Phase 3 – Improving (April 2029 and beyond)	第3段階 – 改善（2029年4月以降）
Glossary	用語集
Glossary	用語集

 

 

大臣まえがきから２章まで...

Chapter 1: Introduction	第1章：序論
The Prime Minister has been clear that the government exists to unite the country behind a shared purpose: to protect citizens, back public services, and secure opportunities for every family. In that spirit, this document sets out the practical, measurable steps we will take to rapidly improve the cyber security and resilience of the government and the public sector, to keep the British people safe and confident in digital government.	首相は政府の存在意義を明確に示している。国民を防御し、公共サービスを支援し、全ての家庭に機会を保障するという共通の目的のもとに国を結束させるためである。この精神に基づき、本報告書は政府及び公共部門のサイバーセキュリティとレジリエンスを迅速に強化し、英国国民がデジタル政府を安全かつ確信を持って利用できるよう、実践的かつ測定可能な措置を提示する。
The digitisation of public services offers huge advantages to the UK: we can deliver services that are more efficient, convenient and better value for money for taxpayers. However, realising these benefits relies on securing public services so that they are trustworthy and resilient. Without achieving this, increasing digitisation exposes us to increasing levels of cyber and digital resilience risk.	公共サービスのデジタル化は英国に多大な利点をもたらす： より効率的で利便性が高く、納税者にとって費用対効果に優れたサービスを提供できる。しかし、これらの利点を実現するには、公共サービスを信頼性とレジリエンスのある状態に保つことが不可欠である。これを達成できなければ、デジタル化の進展はサイバーリスクとデジタルレジリエンスリスクの増大を招く。
The Government Cyber Action Plan defines how we will secure public services so they are trustworthy and resilient, as part of the broader Roadmap for a Modern Digital Government.	政府サイバー行動計画は、より広範な「現代的デジタル政府ロードマップ」の一環として、公共サービスを信頼性とレジリエンスのある状態に保つ方法を定義している。
The scale of the challenge	課題の規模
As the National Security Strategy 2025 sets out, protecting the UK and promoting British interests is becoming more difficult. We are increasingly targeted by state threats and organised crime groups who seek to exploit our vulnerabilities. The UK has experienced repeated, systemic failures in our digital resilience and we know from experience that they pose unacceptable costs to UK citizens, from compromised personal data, to loss of access to basic public services.	国家安全保障戦略2025が示す通り、英国を防御し英国の利益を促進することはますます困難になっている。我々は国家レベルの脅威や組織犯罪集団から標的とされる機会が増加しており、彼らは我々の脆弱性を悪用しようとする。英国はデジタルレジリエンスにおいて繰り返される体系的な失敗を経験しており、個人データの侵害から基本的な公共サービスへのアクセス喪失に至るまで、それらが英国市民に許容できないコストをもたらすことを経験から知っている。
When digital systems fail, whether through a malicious cyber attack or a non-malicious outage, the impacts are immediate and profound. The cyber attack on Synnovis, which halted blood testing and forced the cancellation of surgeries across London, demonstrated how quickly a digital disruption can escalate into a major healthcare emergency. Similarly, ransomware incidents affecting local councils have incapacitated social care systems, leaving frontline workers unable to access vital information to protect vulnerable individuals. These failures are not hypothetical risks, they are recurring realities that result in service breakdown, harm to the public and erosion of trust in these services by the communities who rely on them.	デジタルシステムが機能不全に陥ると、悪意あるサイバー攻撃であれ非悪意の障害であれ、その影響は即時的かつ深刻だ。ロンドン全域で血液検査を停止させ手術の中止を余儀なくしたSynnovisへのサイバー攻撃は、デジタル障害がいかに急速に重大な医療危機へと発展しうるかを示した。同様に、地方自治体を狙ったランサムウェアインシデントは社会福祉システムを機能停止に陥らせ、最前線の職員が脆弱な個人を防御するための重要情報にアクセスできなくした。こうした失敗は仮定上のリスクではなく、サービスの崩壊、市民への危害、そしてそれらに依存する地域社会によるサービスへの信頼の喪失をもたらす繰り返される現実だ。
Since launching the Government Cyber Security Strategy (GCSS) in 2022, we have taken important steps to understand complex government systems and reduce cyber risk.[footnote 1] We established the Government Cyber Coordination Centre (GC3) to enable a single, whole of government response to incidents, threats and vulnerabilities. Our Secure by Design approach builds resilience into implementing future government digital services.[footnote 2] Our new assurance framework, GovAssure, has, for the first time, given us an objective picture of resilience levels across government systems.[footnote 3] These initiatives have delivered real improvements and given us the tools to understand the scale of the challenge we face.	2022年に政府サイバーセキュリティ戦略（GCSS）を開始して以来、我々は複雑な政府システムを理解しサイバーリスクを低減するための重要な措置を講じてきた。[footnote 1] 政府サイバー調整センター（GC3）を設立し、インシデント・サイバー脅威・脆弱性への政府全体の統一対応を可能にした。我々の「セキュア・バイ・デザイン」アプローチは、将来の政府デジタルサービス実装にレジリエンスを組み込むものである。[footnote 2] 新たな保証枠組み「GovAssure」は、政府システム全体のレジリエンスレベルを客観的に把握する初の手段となった。[footnote 3] これらの取り組みは実質的な改善をもたらし、我々が直面する課題の規模を理解するツールを提供した。
That challenge is significant, and cyber risk to the public sector is currently critically high. The State of Digital Government Review in January 2025 identified the systemic challenges underpinning our current resilience status as:	その課題は重大であり、公共部門に対するサイバーリスクは現在極めて高い水準にある。2025年1月の「デジタル政府の現状レビュー」は、現在のレジリエンス状況の根底にある体系的な課題を以下のように特定した：
・institutionalised fragmentation	・制度化された分断
・persistent legacy, cyber security and resilience risk	・持続的なレガシー、サイバーセキュリティ、レジリエンスリスク
・siloed data	・サイロ化されたデータ
・under-digitisation	・デジタル化の遅れ
・inconsistent leadership	・一貫性のないリーダーシップ
・a digital skills shortfall	・デジタルスキルの不足
・diffuse buying power	・分散した購買力
・outdated funding models	・時代遅れの資金調達モデル
GovAssure’s first year results found significant gaps in departments’ cyber security and resilience, including widespread low maturity in fundamental controls such as asset management, protective monitoring, and response planning. Nearly a third (28%) of the government technology estate is estimated to be legacy technology, and therefore highly vulnerable to attack.	GovAssureの初年度調査結果は、各省庁のサイバーセキュリティとレジリエンスに重大な欠陥があることを明らかにした。資産管理、保護監視、対応計画といった基本統制の成熟度が全体的に低い状態が広範に見られた。政府のテクノロジー資産のほぼ3分の1（28%）がレガシー技術と推定され、攻撃に対して極めて脆弱な脆弱性がある。
In addition, the UK Government’s ability to defend against threats is not keeping pace with an ever evolving threat environment. The National Audit Office has highlighted the challenge of defending our digital estate from sophisticated cyber threats by nation states and organised crime groups, and the National Cyber Security Centre’s (NCSC) Annual Review 2025 sets out the evolution of the threat environment and the continued targeting of the public sector by both state and criminal actors.[footnote 5] Malicious cyber attacks and non-malicious digital resilience failures alike continue to disrupt government as demonstrated by the 2023 British Library ransomware attack and 2024 CrowdStrike outage respectively.	さらに、英国政府の脅威防御能力は、絶えず進化する脅威環境に対応しきれていない。国家監査局は、国家や組織犯罪グループによる高度なサイバー脅威からデジタル資産を防御する難しさを指摘している。また、国家サイバーセキュリティセンター（NCSC）の2025年度年次レビューは、脅威環境の進化と、国家・犯罪者双方が公共部門を標的とし続けている実態を明らかにしている。[脚注5] 悪意あるサイバー攻撃と非悪意のデジタルレジリエンス障害の両方が政府機能を混乱させ続けている。2023年の大英図書館ランサムウェア攻撃と2024年のCrowdStrikeサービス停止がそれぞれその実例だ。
A radical shift	抜本的な転換
Given this context, we now recognise that the target set out in the GCSS for all government organisations to be resilient to known vulnerabilities and attack methods is not achievable by the original target date of 2030.	こうした状況を踏まえ、我々は今、GCSSで定められた「全ての政府組織が既知の脆弱性や攻撃手法に耐性を持つ」という目標が、当初の目標年である2030年までに達成不可能であることを認識している。
To protect our critical national infrastructure, defend public institutions and maintain public confidence in essential public services, we must achieve a radical shift in approach and a step change in pace.	重要国家インフラを防御し、公共機構を守り、必須公共サービスへの国民の信頼を維持するためには、アプローチの根本的転換とペースの飛躍的加速が不可欠である。
We’ve learned from international and industry partners that a strong, centralised approach, with clear direction and active leadership can make a huge national impact. We have worked with departments and NCSC to define and pilot what this will look like for the UK public sector.	国際的・産業的パートナーから学んだ教訓として、明確な方向性と積極的なリーダーシップを備えた強力で中央集権的なアプローチは、国家レベルで多大な効果をもたらし得る。我々は各省庁及びNCSCと連携し、英国公共部門におけるその具体像を定義し、試験運用を進めてきた。
The Government Cyber Action Plan sets out a new way forward. It was developed by the Department for Science, Innovation and Technology (DSIT), in close consultation with departments, public sector organisations, industry partners and the Government Cyber Advisory Board (GCAB).	政府サイバー行動計画は新たな道筋を示す。科学技術革新省（DSIT）が各省庁、公共機関、産業界パートナー、政府サイバー諮問委員会（GCAB）と緊密に協議して策定したものである。
It builds on the outcomes and approach of the GCSS by setting clear expectations of how government organisations of all kinds should manage cyber security and resilience through more measurable objectives and outcomes. These are set out at a high level in the ‘Who is responsible for what’ section at the beginning of each chapter.	本計画は、GCSSの成果と手法を基盤としつつ、あらゆる政府組織がサイバーセキュリティとレジリエンスを管理すべき方法について、より測定可能な目標と成果を通じて明確な期待値を設定している。これらは各章冒頭の「責任の所在」セクションで概要が示されている。
Chapter 2: Approach	第2章：アプローチ
Scope	範囲
The Government Cyber Action Plan sets out how the whole of government will operate differently to manage the cyber security and resilience threat we face, enabled by a strong, active centre in the Government Cyber Unit.	政府サイバー行動計画は、政府全体が直面するサイバーセキュリティとレジリエンスの脅威に対処するため、政府サイバーユニットという強力で積極的な中核組織によって、政府全体の運営をどのように変革するかを定めている。
Central functions	中核機能
Department for Science Innovation and Technology (DSIT): the government department responsible for driving forward a modern digital government for the benefit of its citizens. The DSIT Permanent Secretary owns cross-government technology risk, including cyber risk. DSIT supports the DSIT Permanent Secretary in managing this risk.	科学技術革新省（DSIT）：市民の利益のために現代的なデジタル政府を推進する責任を負う政府部門である。DSIT事務次官は、サイバーリスクを含む政府横断的な技術リスクを統括する。DSITは事務次官のリスクマネジメントを支援する。
The Government Cyber Unit: the central unit within DSIT responsible for driving cyber security and resilience transformation across government and the public sector. The Government Cyber Unit is led by the Government Chief Information Security Officer (CISO), and will be the strong, active, centre that drives this action plan through clear direction, stronger accountability, and targeted support to departments. The Government Cyber Unit will manage government-wide cyber risk on behalf of the DSIT Permanent Secretary.	政府サイバーユニット：DSIT内の中核組織であり、政府及び公共部門全体におけるサイバーセキュリティとレジリエンスの変革を推進する責任を負う。政府サイバーユニットは政府最高情報セキュリティ責任者（CISO）が統括し、明確な指示、強化された説明責任、各省庁への的を絞った支援を通じて本行動計画を推進する強力かつ積極的な中核となる。政府サイバーユニットは、DSIT事務次官に代わって政府全体のサイバーリスクを管理する。
Government Cyber Coordination Centre (GC3): part of the Government Cyber Unit, and jointly sponsored with the National Cyber Security Centre. It coordinates the cross‐government response to cyber threats, vulnerabilities and incidents. Its role is primarily operational, and enables cyber teams across government to defend as one.	政府サイバー調整センター（GC3）：政府サイバーユニットの一部であり、国家サイバーセキュリティセンターと共同で運営される。政府全体のサイバー脅威、脆弱性、インシデントへの対応を調整する。その役割は主に運用面であり、政府全体のサイバーチームが一体となって防御することを可能にする。
Government Security Group (GSG): part of the Cabinet Office responsible for the oversight, coordination and delivery of protective security across government. The Government Cyber Unit will work closely with GSG to ensure a coherent approach.	政府保安グループ（GSG）：内閣府の一部であり、政府全体の防御保安に関する監督、調整、実施を担当する。政府サイバーユニットはGSGと緊密に連携し、一貫したアプローチを確保する。
National Cyber Security Centre (NCSC): the UK’s National Technical Authority (NTA) for cyber security. NCSC is the authoritative voice on technical cyber security and threat assessment, providing expert advice and guidance. It coordinates the majority of nationally significant cyber incidents and supports the defence of the UK’s most critical systems. NCSC will work alongside the Government Cyber Unit, providing specialist expertise and guidance to support government-wide cyber security and resilience.	国家サイバーセキュリティセンター（NCSC）：英国のサイバーセキュリティに関する国家技術機関（NTA）である。NCSCは技術的サイバーセキュリティと脅威評価における権威ある機関として、専門的な助言と指針を提供する。国家的に重大なサイバーインシデントの大半を調整し、英国最重要システムの防御を支援する。NCSCは政府サイバーユニットと連携し、政府全体のサイバーセキュリティとレジリエンスを支える専門的知見と指針を提供する。
The UK’s other NTAs, the National Protective Security Authority (NPSA) for physical and personnel security and the UK National Authority for Counter-Eavesdropping (UK NACE) for technical security, may also contribute to government cyber security and resilience. Where they do, it is broadly expected that they would follow the model outlined for NCSC, and it will be explicitly called out where this is not the case.	英国のその他のNTAである、物理的・職員のセキュリティを担当する国家保護保安庁（NPSA）および技術的セキュリティを担当する英国国家盗聴対策庁（UK NACE）も、政府のサイバーセキュリティとレジリエンスに貢献する可能性がある。貢献する場合、これらは概ねNCSC向けに示されたモデルに従うことが期待され、そうでない場合は明示的に指摘される。
Departments: organisations accountable to UK Ministers responsible for putting government policy into practice, which may be ministerial or non-ministerial. Departments remain accountable for their own cyber security and resilience.[footnote 5] Most departments also have ‘lead government department’ responsibility for other organisations, sectors, or systems. Wherever this is the case, they are accountable for the cyber security and resilience of those too. Departments must also contribute to government-wide cyber security and resilience.	省庁：政府政策の実行を担う英国の大臣に対して説明責任を負う組織であり、省庁系・非省庁系を問わない。各省庁は自らのサイバーセキュリティとレジリエンスについて説明責任を負い続ける[脚注5]。大半の省庁は、他の組織・分野・システムに対する「政府主導省庁」としての責任も有する。この責任を負う場合、部門はそれらの組織・部門・システムのサイバーセキュリティとレジリエンスについても責任を負う。部門は政府全体のサイバーセキュリティとレジリエンスにも貢献しなければならない。
The Government Cyber Unit will work directly with departments to ensure they are able to meet all of these responsibilities. This will include clarifying how these responsibilities should be met in practice, as well as offering support and services, in collaboration with NCSC and other partners.	政府サイバーユニットは各省庁と直接連携し、これら全ての責任を果たせるよう支援する。具体的には、NCSCや他機関と連携し、責任の実践的履行方法の明確化や支援・サービスの提供を行う。
Arm’s-length bodies (ALBs): a category of public bodies that are a critical delivery arm of the government, providing public services and goods across the United Kingdom. ALBs are closely aligned, but distinct from, the ministerial departments which sponsor them, their ‘lead government department’ (LGD). This includes executive agencies, non-departmental bodies, and non-ministerial departments, which will be collectively referred to as ‘ALBs’.	独立行政機関（ALB）：政府の中核的実施機関として、英国全域で公共サービスや財を提供する公的団体のカテゴリーである。ALBは、スポンサーとなる政府機関（主担当政府機関：LGD）と密接に連携するが、それとは別個の組織である。これには執行機関、非政府機関、非政府部門が含まれ、総称して「ALB」と呼ぶ。
ALBs are accountable for their own cyber security and resilience to their LGDs via pre-existing sponsorship mechanisms. The Government Cyber Unit will generally work through sponsor departments to ensure that ALBs are able to meet their cyber security and resilience responsibilities, but where it makes sense to do so The Government Cyber Unit may work directly with ALBs in alignment with LGD activity.	ALBは既存の後援メカニズムを通じて、自らのサイバーセキュリティとレジリエンスについてLGDに対して説明責任を負う。政府サイバーユニットは通常、後援省庁を通じてALBがサイバーセキュリティとレジリエンスの責任を果たせるよう支援するが、必要に応じてLGDの活動と連携しつつALBと直接連携する場合もある。
Wider public sector organisations: organisations publicly funded to deliver services, usually at a local or regional level, for example NHS trusts or local authorities.	広義の公共部門組織：公的資金で運営され、通常は地方・地域レベルでサービスを提供する組織。例：NHSトラストや地方自治体。
Wider public sector organisations are accountable for their own cyber security and resilience to the LGDs for their sector via pre-existing sponsorship mechanisms, for example the Department of Health and Social Care is the LGDs for the health and care sector.	広義の公共部門組織は、既存のスポンサーシップ機構を通じて、各セクターのLGDに対し自らのサイバーセキュリティとレジリエンスについて説明責任を負う。例：保健・社会ケア省は保健・ケアセクターのLGDである。
LGDs are accountable for sector-wide cyber security and resilience. The Government Cyber Unit will work with LGDs to ensure sector-wide cyber security and resilience is appropriately managed, and where it makes sense to do so, may work directly with wider public sector organisations in alignment with LGD activity.	LGDはセクター全体のサイバーセキュリティとレジリエンスについて説明責任を負う。政府サイバーユニットはLGDと連携し、セクター全体のサイバーセキュリティとレジリエンスが適切に管理されるよう確保する。また、合理的と判断される場合には、LGDの活動と整合させつつ広範な公共セクター組織と直接連携する場合がある。
Departments, ALBs, and wider public sector organisations will be referred to collectively throughout this document as ‘government organisations’.	本文書では、省庁、ALB、広範な公共セクター組織を総称して「政府組織」と呼称する。
Devolved governments: While cyber security - within the wider remit of national security - is a reserved matter, within Scotland, Wales and Northern Ireland, certain devolved public services are the responsibility of the respective governments.	地方分権政府：サイバーセキュリティは国家安全保障の広範な権限内において留保事項であるが、スコットランド、ウェールズ、北アイルランドにおいては、特定の地方分権化された公共サービスは各政府の責任である。
Devolved governments will seek to ensure that the providers of public services for which they have oversight are resilient to cyber risks and will collaborate with UK Government on UK-wide cyber security and resilience issues.	地方分権政府は、自らの監督下にある公共サービスプロバイダがサイバーリスクに対して強靭であることを確保するよう努め、英国全体のサイバーセキュリティ及びレジリエンス問題について英国政府と協力する。
The UK Government recommends that devolved governments support and align with the ambitions of the Government Cyber Action Plan. Devolved governments will consider this where it does not affect their ability to exercise devolved powers and functions as they see fit. UK Government will continue to lead on national security and collective issues which are reserved, collaborating with devolved governments.	英国政府は、地方分権政府に対し、政府サイバー行動計画の目標を支援し整合させることを推奨する。地方分権政府は、自らの裁量で分権化された権限と機能を行使する能力に影響を与えない範囲でこれを検討する。英国政府は、留保された国家安全保障及び集団的問題について主導を継続し、地方分権政府と協力する。
UK Government and devolved governments will proactively collaborate and share relevant information (as permitted by law) in order to effectively manage the UK’s cyber security.	英国政府と地方分権政府は、英国のサイバーセキュリティを効果的に管理するため、積極的に連携し、関連情報を（法律で認められる範囲で）共有する。
Strategic suppliers: designated as government’s ‘strategic suppliers’ due to the scale and/or criticality of the services they provide to the government. The government takes a joined-up approach to strategic suppliers in order to act as a single customer and ensure a single and strategic view of the government’s needs is communicated. The Government Cyber Unit will establish formal ‘strategic partnerships’ with strategic suppliers with cyber security and resilience requirements built into them, enabling the Government Cyber Unit to hold strategic suppliers to account for management of the government-wide cyber risk they hold.	戦略的サプライヤー：政府に提供するサービスの規模や重要性から、政府の「戦略的サプライヤー」に指定されている。政府は戦略的サプライヤーに対し、単一の顧客として行動し、政府のニーズを単一かつ戦略的な視点で伝達するため、連携したアプローチを取る。政府サイバーユニットは、サイバーセキュリティとレジリエンシー要件を組み込んだ正式な「戦略的パートナーシップ」を戦略的サプライヤーと確立し、政府全体のサイバーリスクマネジメントについて戦略的サプライヤーに説明責任を求めることを可能とする。
All suppliers: every supplier that delivers for government holds some cyber risk. Government organisations are responsible for managing the cyber risk posed by suppliers they use. This document will set out clear expectations for how suppliers should interact with their government customers around cyber security and resilience.	全てのサプライヤー：政府向けにサービスを提供する全てのサプライヤーは、何らかのサイバーリスクを抱えている。政府機関は、自らが利用するサプライヤーがもたらすサイバーリスクを管理する責任を負う。本文書は、サプライヤーが政府顧客とサイバーセキュリティ及びレジリエンスに関してどのように連携すべきかについて、明確な期待を示すものである。
Objectives	目的
The ultimate goal of the Government Cyber Action Plan is to achieve the aim set out within the Digital and AI Roadmap of ‘securing public services so they are trustworthy and resilient’. In order to achieve this within the current challenging threat and resilience context, we have identified 4 strategic objectives.	政府サイバー行動計画の究極の目標は、デジタル・AIロードマップに掲げられた「公共サービスを信頼性とレジリエンスを備えたものとする」という目的を達成することである。現在の厳しい脅威とレジリエンスの環境下でこれを達成するため、我々は4つの戦略的目標を識別した。
These objectives will guide our action and help us to prioritise where we can have the greatest systemic impact on the current unacceptable level of cyber security and resilience risk faced by government.	これらの目標は我々の行動を導き、政府が直面する現在の容認できないレベルのサイバーセキュリティとレジリエンスリスクに対して、最大の体系的影響を与えられる分野を優先する助けとなる。
Better visibility of cyber security and resilience risk	サイバーセキュリティとレジリエンスリスクの可視性向上
We will measure what matters, using data sources from across the government to truly understand government-wide and departmental cyber risks. Better visibility will underpin action and help us to prioritise where we can have the greatest impact.	政府全体のデータソースを活用し、真に政府全体および各省庁のサイバーリスクを理解するため、重要な要素を測定する。可視性の向上は行動の基盤となり、最大の影響を与えられる分野の優先順位付けを支援する。
Addressing severe and complex risks	深刻かつ複雑なリスクへの対応
We will identify and assess severe and complex risks across government, and invest in central levers and capability improvements to remediate where these cannot be addressed by departments acting individually.	政府全体にわたる深刻かつ複雑なリスクを特定・評価し、各省庁が単独で対処できない分野については、中央のレバレッジと能力向上への投資を通じて是正を図る。
Improving responsiveness to fast moving events	急速に変化する事象への対応力向上
We will integrate and enhance our capability to respond more effectively to rapidly evolving cyber and digital resilience threats, vulnerabilities, and incidents. Better preparedness will improve recovery times and reduce harm.	急速に進化するサイバー・デジタルレジリエンス上の脅威、脆弱性、インシデントに対し、より効果的に対応する能力を統合・強化する。準備態勢の強化により復旧時間が短縮され、被害が軽減される。
Rapidly increasing government-wide cyber resilience	政府全体のサイバーレジリエンスの急速な向上
Departments and public bodies will transform their resilience capabilities through high-quality central services and support. We will focus on remediating our most significant vulnerabilities, such as our legacy technology, and will operationalise knowledge sharing and continuous improvement across the system.	各省庁及び公共団体は、高品質な中央サービスと支援を通じてレジリエンス能力を変革する。レガシー技術など最も重大な脆弱性の是正に注力し、システム全体での知識共有と継続的改善を運用化する。
Achieving these objectives will deliver tangible benefits. The public will see faster service recovery and better communication when things go wrong. Departments will get more hands-on support and practical guidance. This will include a central governance model, a wider services offer, routine cross-government exercises, and a clearer system for recruiting, attracting, and retaining cyber staff through career pathways, apprenticeships, secondments, and industry partnerships.	これらの目標達成により具体的な効果が得られる。市民は、問題発生時のサービス復旧の迅速化と情報伝達の改善を実感するだろう。各省庁は、より実践的な支援と具体的な指針を得られる。これには、中央ガバナンスモデル、幅広いサービス提供、政府横断的な定期演習、キャリアパス・徒弟制度・出向・産業界との連携を通じたサイバー人材の採用・誘致・定着のための明確なシステムが含まれる。
This is not just a technical transformation. It is a cultural and operational shift in how the government views resilience. Every leader, every public sector organisation, every supplier has a role to play. Together, with clarity of purpose and shared accountability, we can deliver a government that is more secure, more resilient, and able to protect the services on which citizens depend.	これは単なる技術的変革ではない。政府がレジリエンスを捉える方法における文化的・運営上の転換である。全てのリーダー、公共部門組織、サプライヤーが役割を担う。目的の明確化と責任の共有のもと、連携してより安全でレジリエンスな政府を実現し、市民が依存するサービスを防御できるのだ。
Delivery strands	実施分野
The Government Cyber Unit will drive progress towards these strategic objectives by working with NCSC, departments, devolved governments, and suppliers across 5 delivery strands:	政府サイバーユニットは、NCSC、各省庁、地方分権政府、サプライヤーと連携し、以下の5つの実施分野を通じて戦略目標の達成を推進する：
・Accountability	・説明責任
・Support	・サポート
・Services	・サービス
・Response and recovery	・対応と復旧
・Skills	・スキル
Accountability	説明責任
Cyber risks at all levels of government must be actively owned and effectively managed, with those responsible held to account for effective management. This strand sets out responsibilities and accountability mechanisms to ensure they are met.	政府のあらゆるレベルにおけるサイバーリスクは、積極的に所有され効果的に管理されなければならない。責任者は効果的な管理について説明責任を負う。この分野では、責任と説明責任のメカニズムを明確にし、その履行を確保する。
Support	サポート
Government organisations do not have access to the capability, skills and capacity needed to meet their cyber security and resilience responsibilities. This strand sets out how support will be provided, prioritised, and accessed to bridge this gap.	政府組織は、サイバーセキュリティとレジリエンスの責任を果たすために必要な能力、スキル、キャパシティを保有していない。この分野では、このギャップを埋めるための支援の提供方法、優先順位付け、アクセス方法を定める。
Services	サービス
Government organisations face cyber security and resilience challenges that could be addressed at scale, there are few services to enable this and those that do are not well understood or accessed. This strand outlines how scaled cyber services will be developed, delivered, and accessed to address this.	政府機関は、大規模に対応可能なサイバーセキュリティとレジリエンスの課題に直面しているが、これを可能にするサービスは少なく、存在するサービスも十分に理解されず、利用されていない。この分野では、この課題に対処するための大規模サイバーサービスの開発、提供、利用方法を概説する。
Response and recovery	対応と復旧
As well as proactively reducing risk, government must be able to quickly and effectively manage incidents when they occur. This strand sets out the responsibilities for cyber security and resilience incidents at all levels, that will enable us to collectively minimise their impact.	政府は、リスクを積極的に低減するだけでなく、インシデント発生時に迅速かつ効果的に管理できなければならない。本項目では、あらゆるレベルにおけるサイバーセキュリティ・レジリエンスインシデントの責任分担を明確にし、影響を最小限に抑えるための共同対応を可能とする。
Skills	スキル
The demand for cyber security and resilience skills across government is growing faster than the supply of available talent. Leaders, functional professionals, and the wider workforce lack understanding of cyber risks and business impact. This strand outlines the establishment of the first Government Cyber Profession, which will attract, upskill, retain, and support government cyber professionals.	政府全体におけるサイバーセキュリティ・レジリエンススキルの需要は、人材供給を上回る速度で増加している。リーダー、機能専門職、一般職員の多くが、サイバーリスクと事業への影響を理解していない。本項目では、政府初のサイバー専門職制度の確立を概説する。これにより政府サイバー専門職の採用、スキル向上、定着、支援を推進する。
Delivery phases	実施段階
The system-wide transformation for government cyber security and resilience requires a system-level response and all government organisations will have a role in the delivery of the new operating model.	政府のサイバーセキュリティとレジリエンスにおけるシステム全体の変革には、システムレベルの対応が必要であり、全ての政府組織が新たな運用モデルの実現に役割を担う。
The Government Cyber Unit will lead cross-government delivery in the key phases, outlined below.	政府サイバーユニットは、以下に概説する主要段階において、政府横断的な実施を主導する。
Phase 1: Building	フェーズ1：構築
By April 2027, we will build a new model for government cyber by:	2027年4月までに、政府サイバーの新たなモデルを構築する。具体的には：
building critical functions to establish the Government Cyber Unit	政府サイバーユニットを確立するための重要機能を構築する
establishing refreshed accountability and governance for government cyber risk	政府サイバーリスクに対する新たな説明責任とガバナンスを確立する
standing up prioritised central services and support functions	優先順位付けされた中央サービスと支援機能を立ち上げる
setting clear targets and standards for government organisations	政府機関向けの明確な目標と標準を設定する
launching a new cyber profession for government	政府向けの新たなサイバー専門職を立ち上げる
directing action across government in response to fast-moving events, through structures defined in a Government Cyber Incident Response Plan	政府サイバーインシデント対応計画で定義された構造を通じて、急速に展開する事象への対応として政府全体の行動を指揮する
Phase 2: Scaling	フェーズ2：拡大
By April 2029, we will scale and leverage this new model by:	2029年4月までに、この新たなモデルを拡大・活用する。具体的には：
using government-wide cyber risk visibility to make data-driven decisions and a compelling investment case for managing severe and complex cyber risks	政府全体のサイバーリスク可視化を活用し、深刻かつ複雑なサイバーリスク管理のためのデータ駆動型意思決定と説得力のある投資根拠を確立する
delivering a pipeline of cyber support and services to help departments meet their responsibilities	各省庁が責任を果たすためのサイバー支援・サービス提供パイプラインを構築する
scaling and maturing response and recovery capability to address concurrent major cyber events	同時発生する大規模サイバー事象に対応するため、対応・復旧能力を拡大・成熟させる
developing high-impact, sector-wide role-based learning pathways for top high-risk cyber specialisms	高リスクサイバー専門分野において、影響力の大きいセクター横断的な役割ベースの学習経路を開発する
departments fully operating within governance and reporting structures for themselves, their ALBs, and sectors	各省庁が、自身・ALB・セクター向けのガバナンス・報告体制を完全に運用する
departments delivering costed cyber improvement plans in line with defined central and local cyber risk appetites, drawing on central support and services	各省庁が、中央支援・サービスを活用し、中央・地方のサイバーリスク許容度に基づき、費用算定済みのサイバー改善計画を遂行する
Phase 3: Improving	フェーズ3：改善
April 2029 and beyond, we will use the model to continuously improve government-wide cyber security and resilience by:	2029年4月以降、本モデルを活用し政府全体のサイバーセキュリティとレジリエンスを継続的に改善する。具体的には：
enabling decision-making and prioritisation at all levels of government through sharing central cyber data insights, including evidence-based investment in cross-government platforms, services and infrastructure to address critical risks	政府全体の決定支援と優先順位付けを可能とするため、中央サイバーデータの知見を共有する。これには重大リスク対応のための政府横断プラットフォーム・サービス・インフラへのエビデンスに基づく投資を含む
offering central cyber support and services at scale based on identified needs and strategic fit in a sustainable pipeline and lifecycle	特定されたニーズと戦略的適合性に基づき、持続可能なパイプラインとライフサイクルで大規模な中央サイバー支援・サービスを提供する
leveraging Government Cyber Profession as engine for transformation through career framework and sector recognised accreditation standards	キャリアフレームワークと業界認定標準を通じ、政府サイバー専門職を改革のエンジンとして活用する
departments proactively assuring cyber risk across their supply chains, enabled by central management of strategic suppliers	戦略的サプライヤーの中央管理により、各部門がサプライチェーン全体のサイバーリスクを積極的に保証する
supporting national security and growth objectives and underpins government missions through increased resilience	レジリエンス強化を通じ、国家安全保障と成長目標を支援し、政府の使命を支える
Priorities for delivery over the next 12 months are set out at the end of each delivery strand chapter. Further detail on implementation phases and plans for measurement is set out in Chapter 9: Implementation	今後12ヶ月間の実施優先事項は、各実施分野の章末に記載されている。実施段階と測定計画の詳細は第9章「実施」に記載されている
Cultural change	文化変革
To deliver effective transformational change, embedding the right culture is vital.	効果的な変革を実現するには、適切な文化の定着が不可欠である。
Improving the interaction between people, processes, and technology across government requires a whole-system approach to make it easier and more rewarding for staff to adopt the right security behaviours. Defending organisations by improving security culture is therefore of vital importance. There are a number of core cultural behaviours the Government Cyber Action Plan will embed across the public sector as follows.	政府全体で人・プロセス・技術の相互作用を改善するには、職員が適切なセキュリティ行動を容易かつやりがいを持って採用できる全システム的アプローチが必要だ。セキュリティ文化の向上による組織防衛は極めて重要である。政府サイバー行動計画が公共部門全体に定着させる中核的文化的行動は以下の通りだ。
Defend as One	一体となって防御する
Government and public sector teams view cyber and digital resilience as a collective mission, delivered in collaboration and partnership across their organisations. Government organisations collectively address government-wide cyber risk, even where it is not a priority for an individual organisation.	政府及び公共部門のチームは、サイバー及びデジタルレジリエンスを組織横断的な連携とパートナーシップによって達成される共同の使命と捉える。政府組織は、個々の組織にとって優先事項でなくとも、政府全体のサイバーリスクに共同で対処する。
Data and decision making	データと意思決定
Senior leaders are empowered through data sharing and understanding, using accurate data and information across organisations to enable effective government-wide risk management decision-making.	上級リーダーは、組織横断的な正確なデータと情報の共有・理解を通じて権限を与えられ、政府全体の効果的なリスクマネジメント意思決定を可能とする。
Proactive ownership	主体的な責任
Senior leaders understand and meet their accountabilities, and drive change across all layers of government. Senior leaders also set the tone for the importance of security and accountability, including continuous risk management cycles of review, collaboration, innovation and assurance.	上級管理職は自らの説明責任を理解し履行するとともに、政府の全階層にわたり変革を推進する。また、継続的なリスクマネジメントサイクル（検証・協働・革新・保証）を含む、セキュリティと説明責任の重要性について方向性を示す。
Transparency	透明性
Leaders create open and inclusive environments where sharing risks, issues, ideas and data is encouraged, lessons are learned and best practice is shared.	リーダーは、リスク・課題・アイデア・データの共有が奨励され、教訓が学び取られ、ベストプラクティスが共有される、開かれた包括的な環境を創出する。
Empowered workforce	能力強化された労働力
Our teams have the capability and career paths to deliver sustainable change through investment in tools, training and systems.	我々のチームは、ツール、研修、システムへの投資を通じて持続可能な変化を実現する能力とキャリアパスを有している。
Safe environment	安全な環境
Individuals have the capability to report vulnerabilities and threats, feel safe to do so and feel confident to question and challenge without fear. Constructive behaviours are recognised and rewarded, while poor ones are addressed.	個人が脆弱性や脅威を報告する能力を持ち、そうすることに安全を感じ、恐れずに疑問を投げかけ挑戦する自信を持つ。建設的な行動は認識され報われ、不適切な行動は対処される。

 

 

３章から６章までの概要部分...

Chapter 3: Accountability	第3章：説明責任
Accountability overview	説明責任概要
Cyber risks at all levels of government must be actively owned and effectively managed, with those responsible held to account for effective management. This strand sets out responsibilities and accountability mechanisms to ensure they are met.	政府のあらゆるレベルにおけるサイバーリスクは、積極的に所有され効果的に管理されなければならない。責任者は効果的な管理について説明責任を負う。本項目では、責任と説明責任のメカニズムを明確にし、その履行を確保する。
The objectives of the Accountability strand are:	説明責任項目の目的は以下の通りである：
・Better visibility of cyber risk: increase visibility of government-wide cyber risks through accountability mechanisms and reporting	・サイバーリスクの可視性向上：説明責任メカニズムと報告を通じて政府全体のサイバーリスクの可視性を高める
・Addressing severe and complex risks: establish central accountability for risks that departments or organisations cannot reasonably be expected to manage	・深刻かつ複雑なリスクへの対応：各部門や組織が合理的に管理できないリスクについて、中央集権的な説明責任を確立する
What needs to change?	何を変える必要があるか？
Current accountability structures have failed to achieve the right level of resilience. Responsibilities for cyber risks are unclear at all levels of government, including across the supply chain. Leaders lack visibility and understanding of the risk and resilience levels within their purview, and the actual and potential impact on business delivery and critical services.	現行の説明責任構造は、適切なレベルのレジリエンスを達成できていない。政府のあらゆるレベル、サプライチェーン全体を含め、サイバーリスクに対する責任が不明確である。指導者は、自らの管轄範囲内のリスクとレジリエンスのレベル、および業務遂行や重要サービスへの実際の影響と潜在的影響について、可視性と理解を欠いている。
The government needs to reset its relationship with cyber risk by ensuring that it is visible, understood, owned and actively managed.	政府は、サイバーリスクを可視化し、理解させ、責任を明確化し、積極的に管理することで、サイバーリスクとの関係を再構築する必要がある。
Addressing this challenge	この課題への対応
We will set clear expectations and direction for the management of cyber risk at all levels of government. Risk owners will be held accountable for appropriate oversight and management of cyber risk. Clear risk appetites will be set at all levels, with performance monitored and assured.	政府の全レベルにおけるサイバーリスク管理について、明確な期待と方向性を設定する。リスク所有者は、サイバーリスクの適切な監視と管理について責任を負う。全レベルで明確なリスク許容度を設定し、パフォーマンスを監視・保証する。
Who will be responsible for what	責任の所在
Departments will:	各省庁は以下を実施する：
understand, manage and report against the cyber risks of their department, ALBs, and wider public sector in alignment with government-wide risk appetites and direction	政府全体のリスク許容度と方向性に沿い、自省庁・ALB・広範な公共部門のサイバーリスクを理解・管理・報告する
meet specified Accounting Officer responsibilities through establishing roles and responsibilities, governance structures, strategies, plans and processes to support accountability and risk management	説明責任とリスクマネジメントを支える役割・責任・ガバナンス構造・戦略・計画・プロセスを確立し、会計責任者の責務を履行する
apply mechanisms to ensure suppliers appropriately manage government risks	政府リスクを適切に管理するサプライヤーを確保する仕組みを適用する
ALBs and wider public sector organisations will:	ALB及び広範な公共部門組織は以下を実施する：
understand, manage and report against cyber risk in alignment with government-wide and LGD risk appetites and direction	政府全体及びLGDのリスク許容度と方向性に沿って、サイバーリスクを理解し、管理し、報告する
apply mechanisms to ensure suppliers appropriately manage government risk	サプライヤーが政府リスクを適切に管理することを保証する仕組みを適用する
The Government Cyber Unit will:	政府サイバーユニットは以下を行う：
understand and manage government-wide risk on behalf of Government Technology Risk Owner through mandatory policy and assurance against requirements	政府技術リスク所有者に代わって、必須のポリシーと要件に対する保証を通じて政府全体のリスクを理解し管理する
provide departments with specific direction and practical support on how to manage their risk within central and local appetites	中央及び地方のリスク許容度内でリスクを管理する方法について、各部門に具体的な指示と実践的な支援を提供する
engage strategic suppliers to ensure resilience outcomes are met and standards raised	戦略的サプライヤーと連携し、レジリエンス成果の達成と標準の向上を確保する
NCSC will:	NCSCは以下を行う：
provide authoritative technical advice and assessment on management of risk and advise the Government Cyber Unit on setting policies, standards, and baseline appetites	リスクマネジメントに関する権威ある技術的助言と評価を提供し、ポリシー、標準、基本リスク許容度の設定について政府サイバーユニットに助言する
Suppliers will:	サプライヤーは以下を行う：
understand and proactively manage risk in alignment with direction and expectations set out by their contracting authorities or, for strategic suppliers, in line with strategic partnerships expectations	契約機関が定めた指示・期待に沿って、あるいは戦略的サプライヤーの場合は戦略的パートナーシップの期待に沿って、リスクを理解し積極的に管理する
Chapter 4: Support	第4章：サポート
Support overview	サポートの概要
Government organisations do not have access to the capability, skills and capacity needed to meet their cyber security and resilience responsibilities. This strand sets out how support will be provided, prioritised, and accessed to bridge this gap.	政府組織は、サイバーセキュリティとレジリエンスの責任を果たすために必要な能力・スキル・キャパシティを保有していない。本セクションでは、このギャップを埋めるための支援の提供方法・優先順位・アクセス方法を定める。
The objectives of the support strand are:	サポート分野の目的は以下の通りである：
・Increased UK Government cyber security and resilience: common support enables government and public sector organisations to implement requirements more quickly and easily	・英国政府のサイバーセキュリティとレジリエンスの強化：共通支援により政府・公共部門組織が要件をより迅速かつ容易に実施可能とする
・Improved management of severe and complex risk: targeted support for government organisations to address the most critical cross-government risks	・深刻かつ複雑なリスク管理の改善：政府組織が最も重大な政府横断的リスクに対処するための的を絞ったサポート
What needs to change?	何を変える必要があるか？
Government organisations frequently tackle the same challenges in isolation, leading to significant variance in implementation, duplicated effort, and increased costs. Many struggle to meet their cyber security and resilience responsibilities due to lacking the specialist capability, skills and capacity needed to implement improvements. Some struggle to understand and access existing support.	政府組織はしばしば同じ課題を孤立して取り組み、実施方法に大きなばらつきが生じ、努力が重複し、コストが増大している。多くの組織は、改善を実施するために必要な専門能力、スキル、キャパシティが不足しているため、サイバーセキュリティとレジリエンスの責任を果たすのに苦労している。既存の支援を理解し、アクセスするのに苦労している組織もある。
Addressing this challenge	この課題への対応
Building on improved visibility and accountability for risk, the Government Cyber Unit will lead collective action with and across government organisations to put in place shared solutions to common challenges.	リスクの可視性と説明責任の向上を基盤に、政府サイバーユニットは政府組織間・組織横断的な共同行動を主導し、共通課題に対する共有ソリューションを構築する。
We will establish a partnering team to proactively harness and share government’s collective knowledge, and develop strategic partnerships with suppliers which will position us to better leverage government’s scale.	政府の集合的知見を積極的に活用・共有するパートナーシップチームを設置し、政府の規模をより効果的に活用できる立場を確立するため、サプライヤーとの戦略的提携を発展させる。
Drawing on good practice from industry and internationally we will deliver government-wide support. This will be based on risk, need, cost effectiveness and overall benefit; including technical advice and guidance, products and change programmes, which will be complemented by services and skills outlined in Chapter 5: Services and Chapter 7: Skills.	産業界や国際的な優良事例を参考に、政府全体の支援を提供する。これはリスク、必要性、費用対効果、総合的な便益に基づいて行われ、技術的助言・ガイダンス、製品、変革プログラムを含む。これらは第5章「サービス」および第7章「スキル」で概説するサービスとスキルによって補完される。
Who will be responsible for what	責任分担
Departments will:	各省庁は以下を行う：
access and adapt central support as necessary to understand their gaps and meet their cyber security and resilience responsibilities	自らのギャップを理解し、サイバーセキュリティ及びレジリエンスの責任を果たすため、必要に応じて中央支援にアクセスし適応する
provide and/or sponsor the provision of support to their ALBs and public sector organisations	ALB及び公共部門組織への支援を提供、もしくはその提供をプロバイダとして後援する
ALBs and Wider Public Sector will:	ALB及び広範な公共部門は以下を行う：
access and adapt support from their LGD and/or the Government Cyber Unit as necessary to meet their cyber security and resilience responsibilities	自らのサイバーセキュリティ及びレジリエンスの責任を果たすため、必要に応じて所属地方開発省（LGD）及び／または政府サイバーユニットからの支援にアクセスし適応する
The Government Cyber Unit will:	政府サイバーユニットは以下を行う：
establish a partnering function to help government organisations understand and access support	政府組織が支援を理解しアクセスできるよう支援する連携機能を確立する
prioritise and deliver government wide support to enable government organisations to meet their cyber security and resilience responsibilities	政府組織がサイバーセキュリティとレジリエンスの責任を果たせるよう、政府全体の支援を優先し提供する
understand demand for support, and prioritise government-wide provision	支援需要を把握し、政府全体の提供を優先する
NCSC will:	NCSCは以下を行う：
provide expert technical advice to inform coordinated guidance, products and advice	調整されたガイダンス、製品、助言に資する専門的な技術的助言を提供する
provide support themselves where they are best placed to do so	自ら支援を提供できる最適な立場にある場合は支援を提供する
Suppliers will:	サプライヤーは以下を行う：
work with contracting authorities to optimise value for the government from use of technology solutions or, for strategic suppliers, with the Government Cyber Unit through strategic partnerships	技術ソリューションの活用による政府の価値最大化のため、契約当局と協力する。戦略的サプライヤーの場合は、戦略的パートナーシップを通じて政府サイバーユニットと連携する。
Chapter 5: Services	第5章：サービス
Services overview	サービスの概要
Government organisations face cyber security and resilience challenges that could be addressed at scale, there are few services that exist to enable this and those that do are not well understood or accessed. This chapter outlines how scaled cyber services will be developed, delivered, and accessed to address this.	政府組織はサイバーセキュリティとレジリエンスの課題に直面しているが、これを大規模に対処できるサービスはほとんど存在せず、存在するサービスも十分に理解・活用されていない。本章では、この課題に対処するため、大規模なサイバーサービスをどのように開発・提供・利用するかについて概説する。
The core objectives of the services strand are:	サービス分野の中核目標は以下の通りである：
・Increased visibility of risks across government: prioritise the development of new central services which can transform visibility of government-level risk at scale.	・政府全体のリスク可視性の向上：政府レベルでのリスク可視性を大規模に変革できる新たな中央サービスの開発を優先する。
・Increased HMG cyber security and digital resilience: bring central service provision and access into one place via the establishment of central service coordination.	・英国政府のサイバーセキュリティ及びデジタルレジリエンスの強化：中央サービス調整の確立により、中央サービス提供とアクセスを一元化する。
・Improved responsiveness to fast moving events: improve capabilities to detect threats and manage vulnerabilities at scale.	・急速に展開する事象への対応力向上：脅威を検知し脆弱性を管理する能力を大規模に強化する。
What needs to change?	何を変える必要があるか？
While examples such as NCSC’s Protective Domain Name Service (PDNS) and the Government Cyber Unit’s Vulnerability Monitoring Service demonstrate that cyber risks can be addressed at scale, barriers mean that the provision and adoption of services are not sufficient, especially for less mature organisations.	NCSCの防御ドメイン名サービス（PDNS）や政府サイバーユニットの脆弱性監視サービスなどの事例は、サイバーリスクが大規模に対処可能であることを示している。しかし障壁が存在するため、特に成熟度の低い組織においては、サービスの提供と採用が不十分である。
There is no strategic approach to the development of new cyber services at scale for government organisations. This results in undetected and unmanaged government-wide cyber risks.	政府組織向けに大規模な新規サイバーサービスを開発する戦略的アプローチが存在しない。その結果、政府全体にわたるサイバーリスクが検知されず、管理されていない状態が続いている。
Addressing this challenge	この課題への対応
We will identify where government-wide risks could be addressed, or response improved, by services at scale.	政府全体のリスクが、大規模サービスによって対処可能となる領域、あるいは対応が改善可能な領域を識別する。
Where services are available, we will ensure that they are readily accessible to those who need them most, that they deliver clear benefits, and we will support their adoption.	サービスが利用可能な場合、最も必要とする組織が容易にアクセスでき、明確な利益をもたらすことを確保し、その採用を支援する。
Where there are gaps in provision, we will prioritise and commission or deliver them once and well, aligning to the Government Digital Service (GDS) design principles and service standard.	提供に不足がある場合、政府デジタルサービス（GDS）のデザイン原則とサービス標準に沿って、優先順位を付け、一度で適切に委託または提供する。
Who will be responsible for what	責任分担
Departments will:	各省庁は以下を行う：
identify and access relevant cyber services to meet their cyber security and resilience responsibilities	サイバーセキュリティとレジリエンスの責任を果たすため、関連するサイバーサービスを特定し利用する
provide services where agreed with the Government Cyber Unit to be best placed to do so	政府サイバーユニットと合意したサービスについては、最適なプロバイダとして自らサービスを提供する
coordinate and sponsor priority needs of their ALBs and wider public sector organisations	傘下の行政機関（ALB）及び広範な公共部門組織の優先的ニーズを調整し支援する
ALBs and wider public sector will:	ALB及び広範な公共部門は以下を行う：
identify and access relevant services to meet their cyber security and resilience responsibilities	サイバーセキュリティとレジリエンスの責任を果たすため、関連するサービスを特定し利用する
The Government Cyber Unit will:	政府サイバーユニットは以下を実施する：
coordinate a coherent central service portfolio to deliver impact on strategic priorities, including commissioning and decommissioning services, designing delivery and funding models, and setting a framework of mandation requirements or incentives to drive uptake	戦略的優先事項への影響を実現するため、一貫性のある中央サービスポートフォリオを調整する。これにはサービスの委託・廃止、提供・資金調達モデルの設計、採用促進のための義務要件またはインセンティブ枠組みの設定が含まれる
innovate and deliver scaled services, either directly or via partners	直接またはパートナー経由で、革新的なスケーラブルなサービスを提供
ensure that centrally provided services are easily accessible to target organisations	中央提供サービスが対象組織から容易に利用可能であることを確保する
NCSC will:	NCSCは以下を実施する：
inform investment decisions made by the Government Cyber Unit service via specialist NCSC input on service standards and good practice	政府サイバーユニットの投資判断に対し、サービス標準と優良事例に関する専門的知見を提供
innovate to support the creation of new and enhanced services to address cyber risks	サイバーリスク対応のための新規・強化サービス創出を支援するイノベーションを推進
provide services where they are uniquely placed to do so and advise on the sustainability of these	独自の立場で提供可能なサービスを提供し、その持続可能性について助言する
Suppliers will:	サプライヤーは以下を実施する：
work with the Government Cyber Unit and government organisations to provide services at scale	政府サイバーユニット及び政府機関と連携し、大規模なサービスを提供する
Chapter 6: Response and recovery	第6章：対応と復旧
Response and recovery overview	対応と復旧の概要
As well as proactively reducing risk, government must be able to quickly and effectively manage incidents when they occur. This strand sets out the responsibilities for cyber security and resilience incidents at all levels, that will enable us to collectively minimise their impact.	政府はリスクを積極的に低減するだけでなく、インシデント発生時に迅速かつ効果的に管理できる必要がある。本項目では、あらゆるレベルにおけるサイバーセキュリティ及びレジリエンス関連のインシデント対応責任を明確化し、影響を最小限に抑えるための共同対応を可能とする。
The objectives of the response and recovery strand are:	対応と復旧の目的は以下の通りである：
・Improved responsiveness to fast moving events: help government and public sector better respond to and recover from major incidents through clearer responsibilities and improved capabilities at all levels.	・急速に展開する事象への対応力向上：責任範囲の明確化と全レベルでの能力強化を通じ、政府及び公共部門が重大インシデントへの対応と復旧を改善する。
・Increased visibility of risks across government: harness incident and vulnerability data at scale to better understand systemic risks, strengthen defences and improve resilience outcomes.	・政府全体のリスク可視性の向上：大規模なインシデント及び脆弱性データを活用し、システム的リスクの理解を深め、防御を強化し、レジリエンス成果を向上させる。
What needs to change?	何を変える必要があるか？
Our adversaries see Government as a single target, yet its constituent parts typically respond to threats, vulnerabilities and incidents in silos. Effort is duplicated and uncoordinated, and intelligence and insights are not shared; this reduces the effectiveness and efficiency of our response both now and in future.	敵対者は政府を単一の標的と見なしている。しかし政府を構成する各部門は、脅威・脆弱性・インシデントに対して通常、縦割り対応を取っている。努力は重複し、調整不足であり、情報と知見は共有されない。これにより現在及び将来の対応の有効性と効率性が低下している。
Addressing this challenge	この課題への対応
To address this we will significantly invest in the Government Cyber Coordination Centre (GC3) across the full lifecycle of: prepare; detect; respond and recover; and, learn and improve.	この課題に対処するため、我々は政府サイバー調整センター（GC3）に対し、準備・検知・対応・復旧・学習・改善という全ライフサイクルにわたる大幅な投資を行う。
We will build on existing successes such as the Vulnerability Reporting Service and deliver more Security Operations services from the centre.	脆弱性報告サービスなどの既存の成功事例を基盤とし、同センターからより多くのセキュリティ運用サービスを提供する。
We will unlock more value from the work already being delivered across government and better enable communication and collaboration between Security Operations teams. We will improve and expand coordination capabilities to ensure an effective cross-government response where one is needed.	政府全体で既に実施されている取り組みからさらなる価値を引き出し、セキュリティ運用チーム間のコミュニケーションと協働をより効果的に促進する。必要な場合には効果的な政府横断的対応を確保するため、調整能力の改善と拡充を行う。
Who will be responsible for what	責任分担
Departments will:	各省庁は以下を実施する：
manage organisational cyber incidents across the full lifecycle, drawing on support where appropriate	組織のサイバーインシデントをライフサイクル全体にわたり管理し、必要に応じて支援を活用する
ensure ALBs and sectors for which they have responsibility have suitable cyber incident response and recovery arrangements in place for the full lifecycle	管轄下のALB（行政局）及びセクターが、ライフサイクル全体に対応した適切なサイバーインシデント対応・復旧体制を整備していることを確認する
ALBs and Wider Public Sector will:	地方自治体及び広義の公共部門は：
manage organisational cyber incidents across the full lifecycle, drawing on support where appropriate	組織のサイバーインシデントをライフサイクル全体にわたり管理し、必要に応じて支援を活用する
The Government Cyber Unit will:	政府サイバーユニットは：
set the framework for and coordinate cross-government cyber incident response and recovery across the full lifecycle through GC3, in partnership with NCSC	NCSCと連携し、GC3を通じてライフサイクル全体にわたる政府横断的なサイバーインシデント対応・復旧の枠組みを設定し調整する
NCSC will:	NCSCは以下を実施する：
continue to lead national level cyber incident response and related public messaging in collaboration with Cabinet Office, involving The Government Cyber Unit and GC3 where government is impacted	内閣府と連携し、政府が影響を受ける場合には政府サイバーユニット及びGC3を巻き込み、国家レベルのサイバーインシデント対応及び関連する公的メッセージ発信を主導し続ける
work with The Government Cyber Unit and GC3 on development of technical advice and guidance, provide intelligence-led threat assessment products, and industry accreditation schemes	政府サイバーユニット及びGC3と協力し、技術的助言・指針の開発、情報主導型脅威評価製品の提供、業界認定スキームの構築を行う
coordinate cooperation with cyber security industry partners and international cyber partners	サイバーセキュリティ業界パートナー及び国際的サイバーパートナーとの協力を調整する
Suppliers will:	サプライヤーは以下を実施する：
proactively report and cooperate on cyber incident response and recovery impacting government organisations	政府機関に影響を及ぼすサイバーインシデント対応・復旧について、積極的に報告し協力する
engage directly with the Government Cyber Unit and GC3 on government-wide incidents, where appropriate particularly if a strategic supplier	政府全体のインシデントについては、特に戦略的サプライヤーである場合、適切と判断される場合に政府サイバーユニット及びGC3と直接連携する
Chapter 7: Skills	第7章：スキル
Skills overview	スキル概要
The demand for cyber security and resilience understanding and skills across government is growing faster than the supply of available talent. Leaders, functional professionals, and the wider workforce lack understanding of cyber risks and business impact. This chapter outlines the establishment of a dedicated Government Cyber Profession, which will attract, upskill, retain, and support government cyber professionals.	政府全体におけるサイバーセキュリティ及びレジリエンスに関する理解とスキルの需要は、利用可能な人材の供給を上回る速度で増加している。リーダー、専門職、一般職員の多くがサイバーリスクと事業影響の理解を欠いている。本章では、政府サイバー専門職の確立を概説する。これは政府サイバー専門家の誘致、スキル向上、定着、支援を目的とする。
The core objectives of the skills strand are:	スキル分野の核心的目標は以下の通りである：
・Increased HMG cyber and digital resilience: attracting, upskilling, retaining and supporting cyber and digital resilience talent and making the public sector an attractive employer for professionals	・英国政府のサイバー・デジタルレジリエンス強化：サイバー・デジタルレジリエンス人材の誘致、スキル向上、定着、支援を通じ、公共部門を専門家にとって魅力的な雇用主とする
・Improved management of severe and complex risks: transforming how government manages risk by improving awareness, understanding, activities and unlocking appropriate funding	・深刻かつ複雑なリスクマネジメントの改善：認識・理解・活動の向上と適切な資金確保により、政府のリスクマネジメント手法を変革する
What needs to change?	何を変える必要があるか？
The cyber skills gap is an industry-wide issue with approximately half of businesses (49%) and 58% of government organisations reporting a basic cyber skills gap resulting in vulnerable services and costly outsourcing.[footnote 10]	サイバースキル不足は業界全体の課題であり、約半数の企業（49%）と政府機関の58%が基本的なサイバースキル不足を報告している。その結果、脆弱なサービスと高額な外部委託が発生している。[footnote 10]
Specific public sector challenges include pay and inconsistent approaches to career development. Leaders and enabling professions also suffer from an insufficient understanding of cyber security and resilience, leading to de-prioritisation, underinvestment and inadequate security rigour in general business practices.	公共部門特有の課題には、給与水準やキャリア開発への一貫性のない取り組みが含まれる。リーダーや支援職もサイバーセキュリティとレジリエンスへの理解不足に悩まされ、優先順位低下、投資不足、一般的な業務慣行におけるセキュリティ厳格性の欠如を招いている。
Addressing this challenge	この課題への対応
The Government Cyber Profession will provide a government-wide approach in which the best talent is attracted and retained, and leadership and the workforce are upskilled and supported.	政府サイバー専門職制度は、政府全体で最高の人材を惹きつけ維持し、リーダーシップと労働力のスキル向上と支援を行う枠組みを提供する。
Who will be responsible for what	責任分担
Departments will:	各省庁は以下を実施する：
recruit cyber and digital professionals through entry schemes and recruitment programmes	採用制度や募集プログラムを通じたサイバー・デジタル専門職の採用
upskill and retain staff through learning and development, career pathways, job opportunities, allowances, and competitive pay	学習・開発、キャリアパス、職務機会、手当、競争力のある給与による職員のスキルアップと定着
raise awareness of cyber security and resilience at leadership and board levels, embedding a strong security culture throughout their organisations	リーダーシップ層・役員レベルでのサイバーセキュリティとレジリエンスの意識向上、組織全体への強固なセキュリティ文化の浸透
ALBs and wider public sector organisations will:	地方自治体（ALBs）及び広範な公共部門組織は以下を実施する：
forecast and share local resourcing needs for cyber and digital resilience	サイバー及びデジタルレジリエンスに関する地域別リソース需要を予測・共有する
collaborate with LGDs to develop and implement resourcing plans, including shared resource models	地方自治体開発機関（LGDs）と連携し、共有リソースモデルを含むリソース計画を策定・実施する
The Government Cyber Unit will:	政府サイバーユニット（NCSC）は以下を実施する：
establish and lead the first cross-government Cyber Profession, enabling better talent management and collaboration.	初の政府横断的サイバー専門職制度を確立・主導し、人材管理と協働を強化する
drive recruitment efforts to attract people into government with competitive total job offers and via centrally led schemes align public sector salaries with private sector benchmarks	競争力のある総合的な雇用条件と中央主導の制度を通じて、政府機関への人材誘致を推進する。公共部門の給与を民間部門のベンチマークに整合させる。
develop and deliver training to attract, reskill and upskill staff, leaders, and professionals across disciplines	多様な分野の職員、リーダー、専門家を惹きつけ、再教育し、スキルアップさせるための研修を開発・提供する。
NCSC will:	NCSCは以下を実施する：
support accreditation of cyber and digital professionals via the UK Cyber Security Council	英国サイバーセキュリティ評議会を通じたサイバー・デジタル専門家の認定を支援する。
provide expert guidance to support the attraction, retention and development of a diverse technical workforce	多様な技術人材の誘致、定着、育成を支援する専門的ガイダンスを提供する。

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

サイバーセキュリティ戦略...

・2025.12.24 閣議決定 サイバーセキュリティ戦略

 

・2025.12.24 国連他 「国家サイバーセキュリティ戦略策定のためのガイド」第3版 (2025.12.18)

・2025.12.24 閣議決定 NCO 重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針 (2025.12.23)

・2025.12.21 NCO サイバーセキュリティ推進専門家会議 第３回会合 サイバーセキュリティ戦略（案） (2025.12.08)とレジリエンスについて

・2025.11.04 国家サイバー統括室 サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

 

・2025.06.09 ENISA EU諸国の国家サイバーセキュリティ戦略をマップから見れる... (2025.06.04)

・2024.03.08 韓国 国家安全保障室、ユン・ソクヨル政府の「国家サイバー安全保障戦略」 (2024.02.01)

・2023.03.03 ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築

・2022.10.16 オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

・2022.06.21 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 （予算からみるとサイバーセキュリティは経済発展というよりも安全保障？）

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略（案）」と「サイバーセキュリティ2021（案）」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない？

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク（NCAF）」を発行

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

---

参考 各国のサイバーセキュリティ戦略

 

■ EUの場合

● European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

 

欧州各国のサイバーの国家戦略はENISAがまとめてみられるようにしていますね...

 

● ENISA

・2025.06.04 National Cyber Security Strategies Interactive map

 

 

■ ドイツの場合

● Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

 

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF] 

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF] 

 

■ UKの場合

● National Cyber Security Centre

・2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

・日本語訳 [Downloded]

 

■ U.S. の場合

・2023.03.02 FACT SHEET: Biden-⁠Harris Administration Announces National Cybersecurity Strategy

・[PDF] National Cybersecurity Strategy 

 

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America

・仮訳 [DOCX] 

 

■ 日本の場合

 

● 内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

今回のもの

・2025.12.23 サイバーセキュリティ戦略（閣議決定）

 

前回のもの

・2021.09.28 [PDF] サイバーセキュリティ戦略

・2023.07.04 サイバーセキュリティ戦略本部 第３６回会合

• [PDF] サイバーセキュリティ2023

・2022.06.17 サイバーセキュリティ戦略本部 第３４回会合

• [PDF] サイバーセキュリティ2022 
• [PDF] 重要インフラのサイバーセキュリティに係る行動計画 
• [PDF] サイバーセキュリティ関係施策に関する令和5年度予算重点化方針 

・2021.09.27 第31回会合

• [PDF] 報道発表資料
• [PDF] サイバーセキュリティ2021

 

 

🔳オーストラリアの場合

● AU - Department of Home Affairs - Cyber security - Strategy

・2023.11.22 [PDF] 

実行計画

・2023.11.22 [PDF] 

 

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy」

 

■ 中国の場合

●  中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

　・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合（NATO CCDCOEの論文）

● NATO CCDCOE

・2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch

■ インドの場合

● Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

・The Singapore Cybersecurity Strategy 2021

・[PDF]

 

◾️ 韓国の場合...

・2024.02.01

・[PDF]

 

2019年の国家サイバーセキュリティ戦略

・韓国語 [PDF] 국가사이버안보전략

・英語 [PDF] National Cyberseuciry Strategy

 

----

欧州 ENISA パブコメ SBOMの現状分析 - 実装ガイドに向けて案 (2025.12.17)

こんにちは、丸山満彦です。

ENISAが、SBOMの実装ガイドを含む文書を公表し、意見募集をしていますね（2026.01.23まで...）

EUでは、サイバーレジリエンス法（CRA）をスムーズに実装するために、このような実装ガイドを公表しているのだろうと思います...

なかなか興味深いので、一読をおすすめします...特に２章、３章...

 

● ENISA

・2025.12.17 Call for Feedback: Advancing Software Supply Chain Security together!

 

Call for Feedback: Advancing Software Supply Chain Security together!	フィードバック募集：ソフトウェア供給網のセキュリティ向上を共に推進しよう！
ENISA invites industry stakeholders and interested parties to provide their feedback on the draft SBOM Landscape Analysis and the Technical Advisory for Secure Use of Package Managers.	ENISAは業界関係者及び関心を持つ者に対し、SBOMランドスケープ分析ドラフト及びパッケージ管理ツールの安全な利用に関する技術的助言へのフィードバック提供を呼びかける。
ENISA works to strengthen cybersecurity by promoting cybersecurity-by-design and cybersecurity-by-default in the EU market. The EU is prioritising the security of all digital products and the protection of end-users, safeguarding our shared connected ecosystem. Through the launch of the two new public consultations, the Agency aims to engage with professionals working in product security and development to provide meaningful guidance and support in advancing cybersecurity across the ecosystem.	ENISAは、EU市場における設計段階からのサイバーセキュリティ（Cybersecurity-by-design）とデフォルト設定によるサイバーセキュリティ（Cybersecurity-by-default）の推進を通じて、サイバーセキュリティの強化に取り組んでいる。EUは、すべてのデジタル製品のセキュリティとエンドユーザーの保護を優先し、我々が共有する接続されたエコシステムを保護している。2つの新たな公開協議を開始することで、当機関は製品セキュリティと開発に携わる専門家と連携し、エコシステム全体のサイバーセキュリティ推進に向けた有意義なガイダンスと支援を提供することを目指している。
SBOM Landscape Analysis: Towards an Implementation Guide	SBOM ランドスケープ分析：実装ガイドに向けて
Software Bills of Materials (SBOM) implementation is a significant step for organisations to enhance management, transparency and resilience of their systems. ENISA has compiled a draft report of comprehensive yet practical guidance for implementing Software Bill of Materials practices within organisations of varying sizes and capabilities.	ソフトウェア部品表（SBOM）の実装は、組織がシステムの管理、透明性、レジリエンスを強化するための重要な一歩である。ENISA は、規模や能力の異なる組織内でソフトウェア部品表の実践を実装するための包括的かつ実践的なガイダンスのドラフト報告書をまとめた。
You may provide your feedback by 23 January 2026 at 23:59 CET by taking part in the survey	2026年1月23日23時59分（中央ヨーロッパ時間）までに、以下の調査に参加してフィードバックを提供できる
Additionally, the baseline survey to assess the state of Software Bills of Materials (SBOMs) across Europe is still open and running until the 19 December 2025. Provide your input here	さらに、欧州全域におけるソフトウェア部品表（SBOM）の現状を評価するベースライン調査は、2025年12月19日まで引き続き実施中である。こちらからご意見をお寄せください
ENISA Technical Advisory for Secure Use of Package Managers	ENISAによるパッケージ管理ツールの安全な利用に関する技術的助言
ENISA will publish regular technical advisories on product security from 2026 onwards. The first of these technical advisories covers the use of package managers. Software development is largely driven by the use of package managers. Packages and package managers offer major benefits for software development, improving collaboration, efficiency, and consistency. Yet their interconnected nature and security risks can create a ripple effect across the software supply chain, affecting hundreds of thousands of dependent projects.	ENISAは2026年以降、製品セキュリティに関する技術アドバイザリーを定期的に公開する。最初のアドバイザリーはパッケージ管理ツールの使用に関するものだ。ソフトウェア開発は主にパッケージ管理ツールの使用によって推進されている。パッケージとパッケージ管理ツールは、コラボレーション、効率性、一貫性の向上を通じてソフトウェア開発に大きな利点をもたらす。しかし、それらの相互接続性とセキュリティリスクは、ソフトウェアサプライチェーン全体に波及効果をもたらし、数十万もの依存プロジェクトに影響を及ぼしうる。
This draft document aims to support software developers in the software development lifecycle and particularly in the secure use of package managers. In particular, this document outlines common risks involved in the use of third-party packages, presents secure practices for selecting, integrating, and monitoring packages and how to address vulnerabilities found in dependencies.	この草案文書は、ソフトウェア開発ライフサイクルにおける開発者を支援し、特にパッケージ管理ツールの安全な利用を目的とする。具体的には、サードパーティ製パッケージ利用に伴う一般的なリスクを概説し、パッケージの選定・統合・監視における安全な実践方法、依存関係で発見された脆弱性への対処法を提示する。
You may take part in the consultation for the Technical Advisory by 23 January 2026, 23:59 CET through the following link	技術アドバイザリーに関する意見募集には、2026年1月23日23時59分（中央ヨーロッパ時間）までに以下のリンクから参加できる
Following the analysis of the public consultations, the final publications will be available on ENISA website in Q2 2026.	公開意見募集の分析を経て、最終版は2026年第2四半期にENISAウェブサイトで公開される予定だ。
Further Information	追加情報
SBOM Landscape Analysis	SBOM ランドスケープ分析
Survey SBOM Landscape Analysis	SBOM ランドスケープ分析に関する調査
ENISA Technical Advisory for Secure Use of Package Managers	パッケージ管理ツールの安全な利用に関する ENISA 技術アドバイザリー
Survey for the Technical Advisory for Secure Use of Package Managers	パッケージ管理ツールの安全な利用に関する技術アドバイザリー調査
Survey on SBOM State of the Art	SBOM の現状に関する調査

 

 

 

ドラフト。。。

・2025.12.17 [PDF] SBOM LANDSCAPE ANALYSIS - TOWARDS AN IMPLEMENTATION GUIDE

 

目次...

1. INTRODUCTION	1. 序論
1.1 PURPOSE AND SCOPE	1.1 目的と範囲
1.1.1 WHY SBOM MATTERS?	1.1.1 SBOMが重要な理由
1.2 DEFINITIONS	1.2 定義
1.2.1 SOFTWARE BILL OF MATERIALS (SBOM)	1.2.1 ソフトウェア部品表（SBOM）
1.2.2 PRODUCT, SOFTWARE, COMPONENT	1.2.2 製品、ソフトウェア、コンポーネント
1.2.3 SUPPLY CHAIN	1.2.3 サプライチェーン
1.3 STRUCTURE OF THE REPORT	1.3 レポートの構成
2. SBOM IMPLEMENTATION GUIDE	2. SBOM 実装ガイド
2.1 INITIATION PHASE	2.1 開始フェーズ
2.2 PLANNING PHASE	2.2 計画フェーズ
2.2.1 SPECIFICATIONS AND FORMAT	2.2.1 仕様とフォーマット
2.2.2 BASELINE SBOM ELEMENT REQUIREMENTS	2.2.2 基本SBOM要素要件
2.2.3 AVAILABLE TOOLS AND AUTOMATION	2.2.3 利用可能なツールと自動化
2.2.4 VALIDATION AND SIGNING	2.2.4 妥当性確認と署名
2.3 EXECUTION PHASE	2.3 実行フェーズ
2.3.1 SBOM GENERATION	2.3.1 SBOM生成
2.3.2 SBOM UTILISATION	2.3.2 SBOM活用
2.3.3 SBOM QUALITY	2.3.3 SBOM品質
2.3.4 SECURITY CONTROLS	2.3.4 セキュリティ管理
2.3.5 INTEGRATION AND AUTOMATION	2.3.5 統合と自動化
2.4 MONITORING AND CONTROLING PHASE	2.4 監視と制御フェーズ
2.4.1 VERSIONING AND UPDATES	2.4.1 バージョン管理と更新
2.4.2 COMPONENT HEALTH ASSESSMENT	2.4.2 コンポーネント健全性アセスメント
2.5 CLOSURE PHASE	2.5 終了フェーズ
3. PRACTICAL TIPS AND EXAMPLES	3. 実践的なヒントと事例
3.1 SBOM IMPLEMENTATION PATTERNS	3.1 SBOM実装パターン
3.2 IMPLEMENTATION CASE: MULTI-REPOSITORY SBOM AGGREGATION	3.2 実装事例：マルチリポジトリSBOM集約
3.2.1 TECHNICAL ARCHITECTURE	3.2.1 技術アーキテクチャ
3.2.2 DEPENDENCY GRAPH CONSTRUCTION	3.2.2 依存関係グラフ構築
3.2.3 DATA PIPELINE IMPLEMENTATION	3.2.3 データパイプライン実装
3.2.4 OPERATIONAL WORKFLOWS	3.2.4 運用ワークフロー
3.2.5 ADVANCED TECHNICAL CAPABILITIES	3.2.5 高度な技術的機能
3.2.6 PRACTICAL DEPLOYMENT CONSIDERATIONS	3.2.6 実践的な展開上の考慮事項
A GLOSSARY & ACRONYMS	A 用語集と略語
B BIBLIOGRAPHY / REFERENCES	B 参考文献
C EXAMPLE FOR CAPACITY BUILDING AND STAFF SKI	C 能力構築とスタッフスキルの開発例
DEVELOPMENT	C.1 役割適応フレームワーク
C.1 ROLE ADAPTATION FRAMEWORK	C.1 役割適応枠組み
C.2 COMPETENCY DEVELOPMENT MATRIX	C.2 能力開発マトリックス
C.3 IMPLEMENTATION TIMELINE EXAMPLE	C.3 実装タイムラインの例
C.4 SUCCESS METRICS AND KPIS	C.4 成功指標とKPI
C.5 LESSONS LEARNED FROM IMPLEMENTATION	C.5 実装から得た教訓
D STAKEHOLDER CATEGORIES	D ステークホルダーのカテゴリー
D.1 SOFTWARE PRODUCERS/MANUFACTURERS	D.1 ソフトウェア生産者／製造事業者
D.2 SOFTWARE PROCUREMENT EVALUATOR	D.2 ソフトウェア調達評価者
D.3 SOFTWARE OPERATORS	D.3 ソフトウェア運用者
D.4 STANDARDISATION BODIES	D.4 標準化団体
D.5 CYBERSECURITY AGENCIES AND ENTITIES	D.5 サイバーセキュリティ機関及び事業体
D.6 SUPPORTING STAKEHOLDERS (ENABLING ECOSYSTEM DEVELOPMENT)	D.6 支援ステークホルダー（エコシステム開発の促進）
E ADDITIONAL INFORMATION ABOUT SBOM FORMATS	E SBOMフォーマットに関する追加情報
E.1 SPDX (SYSTEM PACKAGE DATA EXCHANGE)	E.1 SPDX（システムパッケージデータ交換）
E.2 CYCLONEDX	E.2 CYCLONEDX
F DETAILED MAPPING AND COMPATINILITY BETWEEN FORMATS	F フォーマット間の詳細なマッピングと互換性
F.1 COMPATIBILITY OVERVIEW	F.1 互換性の概要
F.2 CORE FIELD MAPPING	F.2 コアフィールドのマッピング
F.3 INFORMATION LOSS SCENARIOS	F.3 情報損失シナリオ
G TOOLS FOR CONVERTING AND TRANSLATING BETWEEN SBOM STANDARDS	G SBOM標準間の変換・翻訳ツール
G.1 TOOL CATEGORIES AND CHARACTERISTICS	G.1 ツールカテゴリーと特性
G.2 REQUIRED CAPABILITIES ASSESSMENT	G.2 必要機能の評価
H SBOM VALIDATION AND QUALITY CHECKLIST	H SBOM妥当性確認と品質チェックリスト
H.1 PRE-DEPLOYMENT VALIDATION GATE	H.1 展開前妥当性確認ゲート
H.2 RUNTIME VERIFICATION POINTS	H.2 実行時検証ポイント
H.3 PERIODIC QUALITY ASSESSMENT	H.3 定期的な品質アセスメント
H.4 INCIDENT RESPONSE VALIDATION	H.4 インシデント対応検証
H.5 CRITICAL CONTROL POINTS	H.5 重要管理ポイント
H.6 VALIDATION TOOLCHAIN REQUIREMENTS	H.6 検証ツールチェーン要件
H.7 PIPELINE INTEGRATION CHECKPOINTS	H.7 パイプライン統合チェックポイント
I CI/CD INTEGRATION EXAMPLES	I CI/CD 統合事例

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
Software Bills of Materials (SBOMs) represent a fundamental shift in how organisations understand, manage, and secure their software estates. Beyond immediate compliance drivers, SBOM adoption establishes the foundation for a transparent, resilient, and strategically managed software supply chain that transforms reactive security practices into proactive risk management capabilities.	ソフトウェア部品表（SBOM）は、組織がソフトウェア資産を理解し、管理し、保護する方法を根本的に変えるものである。即時のコンプライアンス要件を超えて、SBOMの導入は、透明性が高く、レジリエンスに富み、戦略的に管理されたソフトウェアサプライチェーンの基盤を確立する。これにより、事後対応型のセキュリティ慣行が、事前予防型のリスクマネジメント能力へと変革される。
This report provides comprehensive implementation guidance for European Entities navigating SBOM adoption, with particular emphasis on practical approaches for resource-constrained environments. The frameworks presented enable organisations to progress from minimal compliance to operational excellence through structured, incremental adoption pathways.	本報告書は、SBOM導入を進める欧州事業体向けに包括的な実装ガイダンスを提供する。特にリソース制約環境における実践的アプローチに重点を置く。提示された枠組みにより、組織は構造化された段階的導入経路を通じて、最低限のコンプライアンスから運用上の卓越性へと進展できる。
SBOMs are not just static compliance artifacts, their data can also become the basis of dynamic operational intelligence assets. Organisations implementing comprehensive SBOM practices today position themselves to leverage automated security response, predictive supply chain analytics, and evidence-based architectural decisions. The transparency gained through systematic component tracking enables informed technology choices, optimised vendor relationships, and demonstrable security maturity that increasingly determines market competitiveness.	SBOMは単なる静的なコンプライアンス文書ではない。そのデータは動的な運用インテリジェンス資産の基盤ともなり得る。今日、包括的なSBOM実践を導入する組織は、自動化されたセキュリティ対応、予測型サプライチェーン分析、証拠に基づくアーキテクチャ決定を活用する立場を確立している。体系的なコンポーネント追跡によって得られる透明性は、情報に基づいた技術選択、最適化されたベンダー関係、そして市場競争力をますます決定づける実証可能なセキュリティ成熟度を可能にする。
Mature SBOM capabilities deliver compound benefits across technical, operational, and business dimensions. Technical teams gain precise vulnerability impact assessment and accelerated incident response. Operational functions achieve streamlined compliance demonstration and reduced audit burden. Business leadership obtains quantifiable supply chain risk metrics and enhanced negotiation leverage with suppliers. These capabilities collectively transform software from an opaque operational risk into a transparent, manageable asset class.	成熟したSBOM能力は、技術的、運用的、ビジネス的次元において複合的な利益をもたらす。技術チームは、正確な脆弱性影響評価と迅速化されたインシデント対応を獲得する。運用機能は、効率化されたコンプライアンス実証と監査負担の軽減を達成する。経営陣は定量化可能なサプライチェーンリスク指標と、サプライヤーとの交渉力強化を得られる。これらの能力が相まって、ソフトウェアは不透明な運用リスクから、透明性が高く管理可能な資産クラスへと変容する。
The guidance acknowledges that successful SBOM implementation requires more than technical deployment—it demands organisational capability development, process integration, and cultural adaptation. By following the structured approaches detailed within, organisations can establish sustainable SBOM practices that deliver immediate security improvements whilst building towards comprehensive supply chain governance.	本ガイダンスは、SBOM導入の成功には技術的展開以上のものが必要であることを認めている。組織能力の開発、プロセス統合、文化の適応が求められるのだ。ここに詳述された構造化されたアプローチに従うことで、組織は持続可能なSBOM実践を確立できる。これにより即時のセキュリティ改善を実現しつつ、包括的なサプライチェーンガバナンス構築へと向かうことができる。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

SBOM

・2025.11.27 欧州委員会 SBOMの最新状況に関する調査 (2025.12.19まで)

・2025.09.18 ドイツ 情報セキュリティ庁 BSI TR-03183: 製造事業者および製品に対するサイバーレジリエンス要件 第2部：ソフトウェア部品表 (SBOM), 第3部：脆弱性報告および通知 (2025.09)

・2025.09.08 米国他主要国 サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通ビジョン

・2025.08.25 米国 CISA パブコメ 2025 年ソフトウェア部品表（SBOM）の最小要素

・2025.08.13 G7 人工知能のためのソフトウェア部品表に関する G7 の共通ビジョン (2025.06.12)

・2025.03.14 シンガポール オープンソースソフトウェアとサードパーティ依存のSBOMとリアルタイム脆弱性監視に関するアドバイザリー (2025.02.20)

・2024.11.25 欧州 サイバーレジリエンス法、官報に掲載　(2024.11.20)

・2024.11.12 インド政府 CERT-In SBOM技術ガイド 第１版 (2024.10.03)

・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183： 製造者及び製品に対するサイバーレジリエンス要件（一般要求事項、SBOM、脆弱性報告）

・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0 (2024.08.29)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保： ソフトウェア部品表の開示に関する推奨事項

・2023.10.13 米国 CISA FBI NSA DOT 運用技術 (OT) および産業制御システム (ICS) におけるオープンソースソフトウェアのセキュリティ向上

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D（初期公開ドラフト）DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.30 日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183：製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引

・2023.07.09 米国 NSA CISA 継続的インテグレーション/継続的デリバリー（CI/CD）環境の防御に関する共同ガイダンス (2023.06.28)

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

 

 

 

米国 CSET A米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ (2025.10)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します... 

 

AI資源を外交に使おうという発想です。AIは広い意味でも生産性向上の不可欠な要素となってきています。現在のところAIサービスを提供する能力という意味では米国が圧倒的に有利な状況にいて、各国がそれを追いかける状況となっています。特に中国は米国の影響をできる限り避けるためにも国をあげて独自のAI開発を進めていますよね...もちろん、欧州も欧州連合がイニシアティブをとって進めていますし、英国もそうです。日本ももちろんそうなのですが、まだピリッとした感じがしないのは気のせいですかね...

さて、米国の立場からするとこの状況をうまく外交のカードとして使うことが重要となってきます。特に中国や欧州が台頭してくる前に有利な状況を作っておく必要があると言えます。そこでAI外交戦略が重要となってきているのかもしれません...

CSETが10月に公表した報告書では湾岸諸国でのAI関連の国家的取り組みについての分析を通じてAI外交戦略の立案の重要性が説明されています。特に米国の立場だと法の支配と民主主義的な価値観（ちょっと揺らぎつつあるのかもしれませんが...）をベースとした価値観とパッケージ化し、AI資源を、ここのケースに応じた１企業対外国政府という形態から、国家戦略に基づくAI外交フレームワークに基づいた戦略的な国際枠組みに変えていくことが重要となっています。要は、米国の利益のためのAI資源をどのように使うのか？ということになります。

で、この報告書での提案...

1. Establish a Structured, Rules-Based Framework for Access to U.S. AI	1. 米国AIへのアクセスに関する構造化されたルールベースの枠組みを確立する
2. Build a Layered Governance Architecture for AI Infrastructure	2. AIインフラのための多層的ガバナンス構造を構築する
3. Align Institutional Capacity with Strategic Objectives	3. 戦略目標と機構的能力の整合化
4. Launch an AI Cooperation Forum to Build Strategic Alignment	4. 戦略的連携を構築するための AI 協力フォーラムを立ち上げる

もっともな話だと思います。おそらく、今後米国はAI資源を外交のカードとして利用してくると思います。そうなったときに日本はどうするのか？ということになります。

日本が取りうるオプションはいくつかあるとは思います。例えば、（１）日米垂直統合（日本が米国のAI資源の不可欠な一部になる）、（２）日本完結（日本が独自のソブリンAIをつくり運用する。ハード、ソフトとも揃える）、（３）多国間協力（多国間での連携体をつくり開発・運用する）

 

（１）はおそらく米国がYesと言わないのでありえないと思います。となると、（２）か（３）。

どちらも難しいですが、早く決めないとオプションがどんどん減っていくかもですね...

 

● CSET

・2025.10 U.S. AI Statecraft - From Gulf Deals to an International Framework

U.S. AI Statecraft - From Gulf Deals to an International Framework

米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ

Recent U.S.-Gulf AI partnerships represent billions of dollars in strategic technology deals, but they raise critical questions about governance, oversight, and long-term influence. This analysis examines four major AI initiatives with Saudi Arabia and the United Arab Emirates, discussing critical issues including fragmented oversight, technology diversion, and AI sovereignty. It proposes a framework to transform ad hoc dealmaking into principled, transparent, and rule-bound AI statecraft that advances U.S. interests, strengthens technology relationships with allies and partners, and establishes durable governance mechanisms for U.S. AI deployments abroad.

最近の米国と湾岸諸国とのAI提携は、数十億ドル規模の戦略的技術取引を意味するが、ガバナンス、監督体制、長期的な影響力に関する重大な疑問を提起している。本分析はサウジアラビアおよびアラブ首長国連邦との4つの主要AIイニシアチブを検証し、断片化した監督体制、技術の転用、AI主権といった重要課題を論じる。その上で、米国利益の推進、同盟国・パートナーとの技術関係の強化、海外における米国AI展開のための持続可能なガバナンス体制構築を実現するため、場当たり的な取引を原則・透明性・ルールに基づくAI外交へと転換する枠組みを提案する。

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

Introduction	序論
Overview of Major U.S.–Gulf AI Initiatives (2024–2025)	主要な米国・湾岸諸国AIイニシアチブ概要（2024-2025年）
Microsoft–G42 Partnership (UAE, 2024)	マイクロソフト–G42提携（UAE、2024年）
Stargate UAE AI Campus (UAE, 2025)	スターゲートUAE AIキャンパス（UAE、2025年）
AWS–HUMAIN AI Zone Initiative (KSA, 2025)	AWS–HUMAIN AIゾーン構想（サウジアラビア、2025年）
NVIDIA–HUMAIN Partnership (KSA, 2025)	NVIDIA–HUMAINパートナーシップ（サウジアラビア、2025年）
Structures of U.S.–Gulf AI Partnerships	米国と湾岸諸国間のAIパートナーシップ構造
What Remains Uncertain, and Why It Matters	不透明な点とその重要性
Policy Recommendations: A U.S. Framework for an International AI Infrastructure	政策提言：国際AIインフラのための米国枠組み
Conclusion: From Transactions to Frameworks	結論：取引から枠組みへ
Endnotes	脚注

 

 

 

 

 

欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

こんにちは、丸山満彦です。

すこし古い話です(^^;;  サイバーセキュリティ法（CSA）改正に関するはなし...

EUのサイバーセキュリティ関係法はデータ関連の法令も併せて混乱気味ですよね...

サイバー領域でも、CSAに続いてNIS2、サイバーレジリエンス法（CRA）、DORAが後から制定されました。規制簡素化はEUの重要なアジェンダですよね...

また、2019年から比較すると、地政学的な状況も変わってきています。2004年に時限的につくられたENISAが2019年のCSAにより恒久組織化されたわけですが、その後新たにいろいろと役割も追加されてきていることもあり、CSAで再定義する必要があるようです。

EUでは安全保障は各国ですることになっていますが、サイバーセキュリティは安全保障とのつながりが強いため、EUで機関をおかない（おいても時限的）と言う流れだったようです...2004年ENISA設置当時の話では...

さらに、欧州サイバーセキュリティ認証枠組み（ECCF）もうまくいっていない面もあり、再度調整が必要そうです。

クラウド認証（EUCS）の導入をめぐっては、主権要件をいれるかどうかで意見が分かれているようです...

この文書は、EUのサイバーセキュリティ法制度の今後の方向性を大まかに理解する上でも読んでおいた方が良いと思いました...

 

● European Parliament - Think Tank

・2025.12.09 Cybersecurity Act review: What to expect

Cybersecurity Act review: What to expect

サイバーセキュリティ法の見直し：今後の見通し

The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.

サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は依然として残っている。

 

・[PDF]

 

Cybersecurity Act review: What to expect	サイバーセキュリティ法の見直し：今後の見通し
The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.	サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は残っている。
The Cybersecurity Act in short	サイバーセキュリティ法の概要
Regulation (EU) 2019/881 (the CSA) formalised the role of the European Cybersecurity Agency (ENISA), giving it a permanent mandate, resources and tasks, including operational ones. It also established a voluntary EU cybersecurity certification framework (ECCF) for ICT products, services and processes. The ECCF aims to set up and maintain specific certification schemes, allowing companies operating in the EU to use the certificates recognised across all Member States. In January 2025, a targeted amendment to the CSA was adopted, to enable the future adoption of European certification schemes for 'managed security services' covering areas such as incident response, penetration testing, security audits and consultancy. The CSA requires an evaluation and review every five years. Postponed several times, this is now expected on 14 January 2026.	規則（EU）2019/881（CSA）は欧州サイバーセキュリティ庁（ENISA）の役割を正式に定め、恒久的な権限・資源・任務（運用面を含む）を付与した。またICT製品・サービス・プロセス向けの任意参加型EUサイバーセキュリティ認証枠組み（ECCF）を設立した。ECCFは特定の認証スキームを確立・維持し、EU域内で事業を行う企業が全加盟国で認められる認証を利用できるようにすることを目的としている。2025年1月には、インシデント対応、ペネトレーションテスト、セキュリティ監査、コンサルティングなどの分野をカバーする「マネージドセキュリティサービス」向けの欧州認証スキームを将来的に導入可能とするため、CSAの特定改正が採択された。CSAは5年ごとの評価と見直しを義務付けている。数度延期された後、現在は2026年1月14日に実施が予定されている。
Evolving context	変化する状況
Since the CSA entered into force, cyber-attacks have been on the rise. This has prompted new EU cybersecurity laws to address the growing number and complexity of cyber threats. As a result, ENISA's roles and responsibilities have expanded. For example, ENISA supports implementation of the Directive on measures for a high common level of cybersecurity across the Union (NIS2) by providing technical guidelines, facilitating information sharing, and enhancing coordination between Member States. Similarly, ENISA supports implementation and enforcement of the Cyber Resilience Act (CRA) by providing technical expertise, developing a single reporting platform for vulnerability and incident reporting, and supporting cybersecurity certification schemes.	CSA発効以降、サイバー攻撃は増加傾向にある。これにより、増加するサイバー脅威の数と複雑性に対処するため、新たなEUサイバーセキュリティ法が制定された。結果として、ENISAの役割と責任は拡大した。例えば、ENISAは技術ガイドラインの提供、情報共有の促進、加盟国間の連携強化を通じて、EU全域における高度な共通サイバーセキュリティ水準確保のための措置に関する指令（NIS2）の実施を支援している。同様に、ENISAは技術的専門知識の提供、脆弱性・インシデント報告のための単一プラットフォームの開発、サイバーセキュリティ認証スキームの支援を通じて、サイバーレジリエンス法（CRA）の実施と執行を支援している。
As regards certification, implementation of the ECCF has been challenging. So far, only one EU certification scheme has been adopted – the European cybersecurity scheme on common criteria (EUCC), dedicated to certifying ICT products. All other schemes (cloud services – EUCS, 5G, digital identity wallets and managed security services) are still under development. Additionally, there are concerns whether the ECCF effectively addresses non-technical supply-chain cybersecurity risks such as geopolitical dependencies. Questions have also been raised about how voluntary certification frameworks will align with the CRA, which establishes a presumption of conformity (in Article 27) for products certified under a recognised European scheme such as the EUCC.	認証に関しては、ECCFの実施は困難を極めている。現時点で採用されているEU認証スキームは、ICT製品の認証に特化した共通規準に基づく欧州サイバーセキュリティスキーム（EUCC）のみである。その他のスキーム（クラウドサービス向けEUCS、5G、デジタルIDウォレット、およびマネージドセキュリティサービス向け）はいずれも開発段階にある。さらに、ECCFが地政学的依存関係などの非技術的サプライチェーンサイバーセキュリティリスクを効果的に対処できるか懸念されている。また、EUCCのような認定欧州スキームで認証された製品に対して適合性の推定（第27条）を定めるCRAと、任意認証枠組みがどのように整合するかも疑問視されている。
The proposal for a revised CSA therefore aims to address both ENISA's growing responsibilities and ECCF implementation. During the consultation, the Commission also gathered views on ICT supply chain security challenges and the simplification of cybersecurity rules, such as how to streamline reporting obligations.	したがって、改正CSA提案は、ENISAの拡大する責任とECCF実施の両方に対処することを目的としている。協議期間中、欧州委員会はICTサプライチェーンのセキュリティ課題やサイバーセキュリティ規則の簡素化（報告義務の効率化方法など）に関する意見も収集した。
CSA review: Points of convergence among stakeholders	CSA見直し：ステークホルダー間の合意点
The replies to the call for evidence for the CSA review have shown broad agreement that the CSA should be revised on the following issues: (i) streamline cybersecurity measures; (ii) enhance cyber resilience; and (iii) simplify the EU regulatory landscape. The review is seen as an opportunity to reduce administrative burden and compliance costs. A significant convergence point is the need to harmonise definitions and reporting requirements across major EU acts – such as NIS2, CRA and the General Data Protection Regulation (GDPR) – and establish a single EU incident notification platform. Such a platform has now been put forward in the proposal for a 'digital omnibus' regulation.	CSA見直しに向けた証拠提出要請への回答からは、以下の点でCSAを改正すべきとの広範な合意が示された：(i) サイバーセキュリティ対策の効率化、(ii) サイバーレジリエンスの強化、(iii) EU規制環境の簡素化。この見直しは行政負担とコンプライアンスコストを削減する機会と見なされている。主要なEU法令（NIS2、CRA、一般データ保護規則（GDPR）など）における定義と報告要件の調和、および単一のEUインシデント通知プラットフォームの確立が必要であるという点で、大きな合意が得られた。このようなプラットフォームは、「デジタルオムニバス」規制の提案において現在提唱されている。
There is consensus that ENISA's mandate should be clarified and strengthened to reflect the agency's growing operational responsibilities under new EU rules such as NIS2 and CRA. Stakeholders note that this expansion should be matched by adequate financial resources and staffing in order to ensure the agency's effectiveness. The view is that ENISA should serve as a central technical coordinator, to promote consistency and harmonise implementation of EU cybersecurity laws across the Member States, thereby reducing regulatory divergence. This echoes the Council conclusions of December 2024 on a stronger EU Agency for Cybersecurity. Poland went as far as calling for a separate law for ENISA, to separate this item from potential controversy around the EUCS discussions.	NIS2やCRAといった新たなEU規則下でENISAの業務責任が増大していることを反映し、ENISAの権限を明確化・強化すべきという点で合意が形成されている。関係者らは、この権限拡大には十分な財政資源と人員配置が伴わなければ、機関の有効性が確保できないと指摘する。ENISAは中核的な技術調整機関として機能し、加盟国間でEUサイバーセキュリティ法の一貫性と調和を促進し、規制の乖離を縮小すべきだという見解だ。これは、2024年12月の理事会結論「強化されたEUサイバーセキュリティ機関」の趣旨と一致する。ポーランドはさらに踏み込み、ENISAのための独立した法律を制定し、EUCS議論に伴う潜在的な論争からこの項目を切り離すよう求めた。
Stakeholders widely acknowledge that the process for developing and adopting certification schemes is too slow and opaque. They highlight that a more agile, transparent and inclusive process with clearer timelines is urgently needed. Furthermore, stakeholders underline that certification schemes should be based on and align with international standards in order to ensure global interoperability, maximise acceptance, and reduce compliance costs for companies operating internationally. The prevailing view is that certification schemes should also be leveraged as a recognised means of demonstrating conformity or compliance with security requirements stemming from other major EU legislative acts, including NIS2, CRA and the AI Act.	関係者らは広く、認証スキームの開発・採択プロセスが遅く不透明すぎることを認めている。彼らは強調する、より機敏で透明性が高く包括的なプロセスと明確なタイムラインが緊急に必要だと。さらに、ステークホルダーは、認証スキームが国際標準に基づき整合性を保つべきだと強調する。これにより、国際的な相互運用性を確保し、受容性を最大化し、国際的に事業を展開する企業のコンプライアンスコストを削減できるからだ。認証スキームは、NIS2、CRA、AI法を含む他の主要なEU立法措置から生じるセキュリティ要件への適合性またはコンプライアンスを証明する公認手段としても活用されるべきだという見解が主流だ。
Potential challenges	潜在的な課題
Disagreements revolve around the specific content and scope of certification schemes, particularly regarding sovereignty and the legal limits of ENISA's influence. The most contentious point is the inclusion of sovereignty requirements in certification schemes such as the EUCS. This issue divides stakeholders into those advocating measures to protect European digital autonomy (e.g. both data localisation and corporate headquarters based in the EU) and those prioritising open markets and technical neutrality. Pro-sovereignty advocates, and stakeholders supporting 'cloud by Europe' models (i.e. entirely EU-based cloud service providers, not controlled by non-EU stakeholders), argue that these measures are crucial to protecting sensitive data and reinforcing EU strategic autonomy. By contrast, major tech companies, such as Microsoft, Amazon and Google, argue that non-technical criteria are subjective and do not improve cybersecurity outcomes, potentially restricting market access and innovation. At Member State level, too, positions are divided, with some countries expressing concern over sovereignty requirements, and others advocating in their favour.	意見の相違は、認証スキームの具体的な内容と範囲、特に主権とENISAの影響力の法的限界に関する点に集中している。最も議論の的となる点は、EUCSなどの認証スキームに主権要件を含めることである。この問題は利害関係者を、欧州のデジタル自律性を防御する措置（例：データローカリゼーションとEU域内に本社を置く企業の両方）を主張する側と、開放的な市場と技術的中立性を優先する側に分断している。主権重視派や「欧州発クラウド」モデル（非EU関係者に支配されない完全EU拠点のクラウドプロバイダ）を支持する関係者は、こうした措置が機密データの保護とEUの戦略的自律性強化に不可欠だと主張する。一方、Microsoft、Amazon、Googleなどの大手テック企業は、非技術的基準は主観的でサイバーセキュリティ効果を高めず、市場参入やイノベーションを阻害する可能性があると反論する。加盟国レベルでも立場は分かれており、一部の国々は主権要件に懸念を表明する一方、他の国々はこれを支持している。
On the nature of certification, the majority view is that it should remain mostly voluntary, to maintain flexibility and innovation. However, mandatory certification in critical sectors where high-security assurance is essential was also proposed. In addition, ENISA's regulatory power has sparked debate. Some stakeholders, including Amazon, oppose granting ENISA the authority to issue binding opinions or regulatory guidance, arguing that its role should remain technical and advisory.	認証の性質については、柔軟性と革新性を維持するため、主に任意のままであるべきという見解が大多数を占める。しかし、高いセキュリティ保証が不可欠な重要分野における義務的認証も提案された。加えて、ENISAの規制権限も議論を呼んでいる。Amazonを含む一部の利害関係者は、ENISAに拘束力のある意見や規制ガイダンスを発行する権限を与えることに反対し、その役割は技術的・助言的なものに留まるべきだと主張している。
It remains to be seen to what extent the Commission will consider stakeholders' views. The CSA review will also need to fit into the simplification of cybersecurity-related incident reporting obligations, which are part of the 'digital omnibus' proposal published on 19 November 2025.	欧州委員会が利害関係者の意見をどの程度考慮するかは、まだ見通せない。CSAの見直しは、2025年11月19日に公表された「デジタルオムニバス」提案の一部である、サイバーセキュリティ関連のインシデント報告義務の簡素化にも適合させる必要がある。

 

 

 

参考まで...

分類	法令名	種別	概要	発効日	適用開始日
個人データ保護	GDPR（Regulation (EU) 2016/679）	規則	EU全域の個人データ保護の基盤となる包括規則	2016.05.24	2018.05.25
データ共有・流通	Data Governance Act（Regulation (EU) 2022/868）	規則	データ共有の信頼性確保・データ仲介サービスの規律	2022.06.23	2023.09.24
	Data Act（Regulation (EU) 2023/2854）	規則	IoT等のデータアクセス権・データ共有義務を定める横断規則	2024.01.11	2025.09.12 段階的
デジタル市場・プラットフォーム	Digital Services Act（Regulation (EU) 2022/2065）	規則	プラットフォームの透明性・違法コンテンツ対策を統一規制	2022.11.16	2024/2/17  VLOPs/VLOSEsは2023.08.25
	Digital Markets Act（Regulation (EU) 2022/1925）	規則	GAFA等ゲートキーパー企業の市場支配力を規制	2022.11.01	2023.05.02
AI	AI Act（Regulation (EU) 2024/1689）	規則	リスクベースでAIを規制し、高リスクAIに義務を課す	2024.08.01	2025〜2027年に段階的適用
サイバーセキュリティ	Cybersecurity Act（Regulation (EU) 2019/881）	規則	ENISA恒久化とEUサイバーセキュリティ認証制度（ECCF）創設	2019.06.27	2019.06.27〜認証は段階的
	NIS2 Directive（Directive (EU) 2022/2555）	指令	重要事業体のサイバー義務・インシデント報告を強化	2023.01.16	2024.10.17までに国内法化
製品セキュリティ	CRA（Cyber Resilience Act）Regulation (EU) 2024/2847	規則	ソフトウェア・IoT等の製品に「セキュリティ・バイ・デザイン」を義務化し、脆弱性管理・報告を規定	2024.12.10	2027.12.11から適用開始。製造者の脆弱性報告義務は2026.09.11から
金融ICTレジリエンス	DORA（Regulation (EU) 2022/2554）	規則	金融セクターのICTリスク管理・インシデント報告を統一	2023.01.16	2025.01.17

 

 

---

参考...

ENISA

EUサイバーセキュリティ認証の声

・2025.12.15 Voices of EU Cybersecurity Certification

Voices of EU Cybersecurity Certification	EUサイバーセキュリティ認証の声
A special publication by ENISA that incorporates feedback from stakeholders involved in building, maintaining, operating, and applying the first EU cybersecurity certification schemes.	ENISAによる特別刊行物。EU初のサイバーセキュリティ認証スキームの構築、維持、運用、適用に関わる関係者からのフィードバックをまとめたものである。

 

・[PDF] 

 

米国 CSET AIによる被害のメカニズム - AIインシデントから得た教訓 (2025.10)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します... 

 

非常に興味深い内容と思います。

この報告書の分析のもととなった、AI Incident Database (AIID) では、現在は1200件を超えるAIインシデントデータが蓄積されています...それぞれの内容の精度はどうなのか分かりませんが、これほどのデータが集まっているのはそれなりの価値がありそうです。

昔、畑村先生（東京電力福島原子力発電所における事故調査・検証委員会の委員長）がつくった失敗知識データベースのAI版ですかね...

 

内容ですが、危害を構造的に整理したことから、危害の種類から、対策についても構造的に分析できるようになっています。これは、政策を考える上、企業が対策を考える上でも有益な整理だと思いました。

さらに、この整理を踏まえて、AIIDの内容をより精査していくことでより良い対策ができるような気がします。。。

 

この報告書では、危害を意図的な危害３、非意図的な危害３の合計６に分類しています。

意図性	Mechanism	メカニズム	概要	主体
意図的	Harm by Design	設計による危害	有害な目的で設計・開発されたAIシステムによる危害	開発者
	AI Misuse	AIの悪用	開発者の意図に反する危害を及ぼすためのAIシステムの使用	利用者
	Attacks on AI Systems	AIシステムへの攻撃	サイバー攻撃によって引き起こされたAIの行動または（不）作為による危害	攻撃者
非意図的	AI Failures	AIの失敗	AIのエラー、誤動作、またはバイアスによって引き起こされる危害	AIシステム
	Failures of Human Oversight	人間の監視の失敗	間と機械のチームが機能しなかった結果生じる危害	人間
	Integration Harm	統合的な危害	特定の文脈での展開が意図せぬ結果として引き起こす危害	組織・社会

 

対応...

意図性	メカニズム	典型的な事例	発生原因	政策・ガバナンス上の論点	主な対策
意図的	設計による危害	監視AI、兵器AI、ディープフェイク生成ツール	開発段階で害を目的化	禁止・規制の対象、国際ルール必要	法規制、輸出管理、開発許可制
	AIの悪用	フィッシング生成、マルウェア生成、詐欺支援	汎用モデルの悪用	開発者責任の範囲、利用者規制の難しさ	ガードレール、利用規約、監査ログ
	AIシステムへの攻撃	Jailbreak、データ汚染、モデル盗難	AIの脆弱性、攻撃耐性不足	AIセキュリティの標準化不足	レッドチーム、堅牢化、サイバー防御
非意図的	AIの失敗	誤認識、バイアス、誤判断	データ品質、モデル限界	評価指標の不備、透明性の欠如	テスト、監視、バイアス対策
	人間の監視の失敗	自動運転事故、医療AIの誤用	過信、理解不足、介入遅れ	人間中心設計、教育訓練の不足	トレーニング、説明性、介入権限
	統合的な危害	監視強化、差別の制度化、業務崩壊	社会制度との不整合	モデル性能ではなく制度設計の問題	影響評価、社会的ガバナンス、制度調整

 

「設計による危害」については、社会で受け入れられない危害を生み出すAIを法的に禁止するというアプローチが有用となりうる。EUは禁止領域を法制化しましたね...日本も社会で受け入れられない危害を生み出すAIの開発（利用も）は明確に禁止すべきですね...ただ、そのときに、社会で受け入れられない危害というのはどういうものか？というのがある程度明確にならないと新たに禁止することを決めるのは難しい。

「AIの悪用」はソフトローによる事前のガイドと、説明責任の明確化というのが考えられそうです。これは日本がとっているアプローチですね...利用に重きを置いているからそうなるような気がしました。

この報告書では政策に対する示唆として次の３つを挙げていますね...

1. A one-size-fits-all approach to harm mitigation will not work.	1. 危害軽減への画一的なアプローチは機能しない。
The pathways to harm are diverse, as this report illustrates, and require equally diverse mitigation strategies. Purely technical approaches will fall short, especially in addressing integration harms and failures of human oversight.	本報告書が示す通り、危害に至る経路は多様であり、同様に多様な緩和戦略を必要とする。純粋に技術的なアプローチでは不十分であり、特に統合的な危害や人間の監視の失敗に対処する上で限界がある。
2. Model capabilities, as proxied by computing power, are an inadequate predictor for the propensity to do harm.	2. 計算能力で測られるモデルの能力は、危害発生の傾向を予測する上で不十分である。
This report showcases many examples of single-purpose AI systems being implicated in harm. Concentrating risk mitigation efforts on advanced AI systems would fail to address the very real risks stemming from the irresponsible design, deployment, and use of specialized AI systems.	本報告書は、単一目的のAIシステムが危害に関与した事例を数多く示している。高度なAIシステムにリスク緩和策を集中させても、専門的なAIシステムの無責任な設計・展開・使用から生じる現実的なリスクには対処できない。
3. Comprehensive incident tracking is necessary to enhance our capacity to identify and respond to risks posed by AI.	3. AIがもたらすリスクを識別し対応する能力を高めるには、包括的なインシデント追跡が不可欠である。
While implementing broad, sociotechnical mitigation strategies can significantly reduce the occurrence of harm from AI, it will not prevent incidents entirely. As AI innovation reveals new capabilities with new failure modes, deployers design new use cases, and nefarious actors find new ways to attack and misuse AI systems, new harms will emerge. Agile responses and rapid adaptation of mitigating approaches, enabled by effective learning from incident reporting, are necessary to keep pace with technological innovation.	広範な社会技術的緩和策を実施すればAIによる被害発生を大幅に減らせるが、インシデントを完全に防ぐことはできない。 AIの革新が新たな機能と新たな故障モードを明らかにし、展開者が新たな利用ケースを設計し、悪意ある主体がAIシステムを攻撃・悪用する新たな方法を見出すにつれ、新たな被害が発生する。技術革新に追いつくためには、インシデント報告からの効果的な学習によって可能となる、機敏な対応と緩和策の迅速な適応が必要である。

 

これから、AIIDはより充実してくると思うので、見ておくと良いかもですし、日本からもどんどんデータを入れていけば良いように思いました...

 

● CSET

・2025.10 The Mechanisms of AI Harm: Lessons Learned from AI Incidents

 

 

・[PDF]

 

・[DOCX][PDF] 仮訳

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2011.03.29 これも仕分けられたん？　「失敗知識データベース」サービス終了

ちなみに、失敗知識データベースは、畑村創造工学研究所に移った後、今は、特定非営利活動法人失敗学会でメンテされています...

 

・2005.03.24 失敗知識データベース　これはイイ

 

JPCERT/CCの早貸理事のこと...

こんにちは、丸山満彦です。

私が監事を務めるJPCERT/CCの理事である早貸理事が昨年末にお亡くなりになりました。

早貸さんとは、法務省から経済産業省に出向されてからの付き合いになりますかね...当時は出入り自由だった経済産業省の３F西にセキュリティ担当が集まっていて、時々顔をだしていました。

早貸さんは、当時課長補佐と課長の間のような立場だったのかなぁ...存在感ありました...

「満面の笑みでえらいきっついこと言うなぁ...」というのが私の感想です。で、結構畳み掛けてくる時もあって。。。傑な人でした...ただ、人の話はよく聞いてくれましたし、一度きめたら、やり切る方でとても信頼できる人でした...

でいろいろと話をしていました。今でも覚えているのは、山口先生もたまたまおられたときに、IPA、JPCERT、JIPDECの機能役割の整理みたいな議論をしたことですかね...だいぶ前です...

その後、IPAのセキュリティセンター長（2003年）になられましたよね...一旦法務省に戻られたのですかね...（法務省の早貸さんから商業登記認証局の監査についての相談を受けたような気がする...）

そして、退官して2006年4月にJPCERT/CCの理事となりました...その時は山口先生が理事長だったかな...JPCERTも任意団体から有限責任中間法人（2003年）になっていましたね（私も2003年？監事になったような気がします...）

それ以来、ずっと理事と監事という関係で続いておりました。

2012年の白浜シンポジウムでは、山口先生、早貸さん、私でともに登壇しています...

コロナ前に病気になられて、コロナになって理事会もオンラインとなったこともあり、顔を合わせてお話しをする機会がなくなり、今回の訃報に至りました...

亡くなったのがまだ、実感湧かない...

「何やってんのよあんた！」って後ろから叩かれるような気もして、怖いやら、でもちょっと早貸さんのアドバイスも聞きたいなぁ...という感じもして...

ご冥福をお祈りいたします。

 

 

● JPCERT/CC

・2026.01.05 訃報 JPCERT/CC 理事 早貸 淳子 氏

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

早貸さんの名前が出てくる記事...

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2012.05.27 白浜シンポおわりました！　今年で16回目

このとき、山口英さん、早貸さん、私が話をしていますね...（この回に私が何の話をしたかは覚えていない...）

【木曜日】
開会の挨拶		山岸 直人	和歌山県警察本部長
14:00	講演	名和 利男	サイバーディフェンス研究所	サイバー脅威の背景と実状理解
15:30	講演	山口 英	奈良先端科学技術大学院大学	多様化する情報セキュリティ問題と国際化
16:30	講演	早貸 淳子	JPCERTコーディネーションセンター	進化するインシデントレスポンス－攻撃の変質への対応、新たな領域への対応
【金曜日】
9:30	講演	西川 徹矢	前内閣官房副長官補	我が国情報セキュリティ戦略 についての一考察
10:30	講演	丸山 満彦	デロイトトーマツ リスクサービス
13:00	講演	西原 敏夫	シスコシステムズ	シスコセキュリティレポート
14:00	講演	山川 智彦	日本電信電話株式会社(NTT) 　セキュアプラットフォーム研究所	NTTグループが考えるセキュリティ対応の在り方
	講演	小向 太郎	（株）情報通信総合研究所	CSIRTと法執行機関の連携に関する法的課題
15:00	講演	間仁田 裕美	警察庁	サイバー攻撃の 脅威と現状
16:00	講演	寺田 真敏	（株）日立製作所　システム開発研究所	遠隔操作ツール　RATの紹介　～Poison lvy～、企業におけるサイバー攻撃対策の再考
【土曜日】
9:30	講演	鵜飼 祐司	フォティーンフォティ技術研究所	仮想環境に依存しない動的解析システム"egg"の設計と実装
10:30	講演	辻 伸弘	NTTデータ先端技術株式会社	ペネトレーションテスターより愛を込めてSE ～攻撃視点からの提案～
11:30	コンテスト結果発表、講評	三輪　信雄、他
	挨拶	上村 昌博	経産省

 

米国 CSET AIガイダンスの調和 - 自主標準とベストプラクティスを統一的枠組みに集約する (2025.09)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します... 

サイバーセキュリティもそうなのですが、AIのコントロールについて、国際標準を決めている一方で、行政機関を含む様々な団体が、それぞれの目標を意識して、さまざまなAIのガイド等を公表しているので、それぞれの組織がどのようなガイドを、どのように利用するべきかを検討する必要がある。ところが小さな組織等では、その分析の時間もとれずに何も進まないということもおきているように思える。。。

現状には次のような問題がある、ガイド等の乱立による情報過多、情報源の分散による理解不足。そして、ガイドについても、理解困難な用語、実装詳細の欠如があり、実装にたどり着けない。。。そして、よくある万能型ガイドを目指した結果、かえって誰も使えないガイドになってしまう。。。

ということで、世界のガイド等を収集（52文書）し、推奨事項（約7,700）を抽出し、用語等の標準化を行い、推奨事項を分析し、クラスタリングをし、妥当性の確認をした統一的な推奨事項（調和編）を作成したようです。

５つの包括的カテゴリ、34のトピック領域、258の推奨事項...

そしてその後、推奨事項を実装するガイド（運用編）を作成し、AIユースケースにガイドを適用した事例の紹介文書（適応編）をつくっていくようです...

大変興味深く意義深い取り組みだと思います。問題はこれがどれだけ認知され、利用され、改善されていくかということなのでしょうね...

ちなみに５つの包括的カテゴリ、34のトピック領域とそこに含まれる推奨事項の数はこんな感じ...

I	ガバナンス	57
(1)	戦略とリーダーシップ（SL）		5
(2)	管理 (MG)		8
(3)	リスクマネジメント（RM）		10
(4)	IT管理（IT）		10
(5)	サプライチェーン（SC）		7
(6)	労働力と訓練（WF）		5
(7)	インベントリー（IV）		5
(8)	監査とコンプライアンス（AU）		7
II	安全	64
(1)	責任ある事業活動（RC）		6
(2)	ステークホルダー (ST)		6
(3)	社会的影響（SI）		7
(4)	影響力と信頼 (IM)		8
(5)	公平性と合成コンテンツ (FS)		5
(6)	テストと評価（TE）		8
(7)	パフォーマンス監視（PM）		5
(8)	トレーサビリティ（TR）		6
(9)	透明性と監視（TO）		7
(10)	モデルセーフガード（SG）		6
III	セキュリティ	84
(1)	セキュリティ管理（SM）		8
(2)	設計・開発（DD）		10
(3)	脆弱性 (VN)		7
(4)	IDと認証（IA）		9
(5)	アクセス管理（AC）		9
(6)	ネットワークセキュリティ（NS）		8
(7)	情報セキュリティ（IS）		9
(8)	エンドポイントセキュリティ（ES）		8
(9)	人事・メディアセキュリティ（MS）		10
(10)	物理的セキュリティ（PS）		6
IV	プライバシー	20
(1)	プライバシープログラム（PP）		10
(2)	監査可能性とコンプライアンス		10
V	検知と対応	33
(1)	監査ログ記録（LG）		7
(2)	監視（MO）		8
(3)	インシデント対応（IR）		9
(4)	レジリエンスと復旧（RR）		9

 

● CSET

・2025.09 Harmonizing AI Guidance: Distilling Voluntary Standards and Best Practices into a Unified Framework

Harmonizing AI Guidance: Distilling Voluntary Standards and Best Practices into a Unified Framework

AIガイダンスの調和：自主標準とベストプラクティスを統一枠組みに集約する

Organizations looking to adopt artificial intelligence (AI) systems face the challenge of deciphering a myriad of voluntary standards and best practices—requiring time, resources, and expertise that many cannot afford. To address this problem, this report distills over 7,000 recommended practices from 52 reports into a single harmonized framework. Integrating new AI guidance with existing safety and security practices, this work provides a road map for organizations navigating the complex landscape of AI guidance.

人工知能（AI）システムの導入を検討する組織は、無数の自主標準とベストプラクティスを解読するという課題に直面している。これには多くの組織が負担できない時間、リソース、専門知識が必要だ。この問題を解決するため、本報告書は52の報告書から7,000件以上の推奨実践を抽出し、単一の調和された枠組みに集約した。新たなAIガイダンスを既存の安全・セキュリティ慣行と統合することで、複雑なAIガイダンス環境をナビゲートする組織のためのロードマップを提供する。

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary	エグゼクティブサマリー
Introduction	序論
Background	背景
A Divided and Shifting Landscape	分断され、変化する状況
Challenges in Operationalizing AI Guidance	AIガイダンスの実践における課題
Methods	方法論
Collating Existing Guidance	既存ガイダンスの収集
Harmonizing Recommendations	推奨事項の調和
Limitations	制限事項
Harmonization Results	調和化結果
Clustering	クラスタリング
Framework Validation	枠組み妥当性確認
CSET’s Harmonized AI Framework	CSETの調和されたAI枠組み
Governance	ガバナンス
Strategy & Leadership (SL)	戦略とリーダーシップ（SL）
Management (MG)	管理 (MG)
Risk Management (RM)	リスクマネジメント（RM）
IT Management (IT)	IT管理（IT）
Supply Chain (SC)	サプライチェーン（SC）
Workforce & Training (WF)	労働力と訓練（WF）
Inventory (IV)	インベントリー（IV）
Audit & Compliance (AU)	監査とコンプライアンス（AU）
Safety	安全性
Responsible Business Conduct (RC)	責任ある事業活動（RC）
Stakeholders (ST)	ステークホルダー (ST)
Societal Impact (SI)	社会的影響（SI）
Impact & Trust (IM)	影響力と信頼 (IM)
Fairness & Synthetic Content (FS)	公平性と合成コンテンツ (FS)
Test & Evaluation (TE)	テストと評価（TE）
Performance Monitoring (PM)	パフォーマンス監視（PM）
Traceability (TR)	トレーサビリティ（TR）
Transparency & Oversight (TO)	透明性と監視（TO）
Model Safeguards (SG)	モデルセーフガード（SG）
Security	セキュリティ
Security Management (SM)	セキュリティ管理（SM）
Design & Development (DD)	設計・開発（DD）
Vulnerabilities (VN)	脆弱性 (VN)
Identity & Authentication (IA)	IDと認証（IA）
Access Control (AC)	アクセス管理（AC）
Network Security (NS)	ネットワークセキュリティ（NS）
Information Security (IS)	情報セキュリティ（IS）
Endpoint Security (ES)	エンドポイントセキュリティ（ES）
Personnel & Media Security (MS)	人事・メディアセキュリティ（MS）
Physical Security (PS)	物理的セキュリティ（PS）
Privacy	プライバシー
Privacy Program (PP)	プライバシープログラム（PP）
Handling PII (PI)	個人識別情報（PII）の取り扱い
Detection & Response	検知と対応
Audit Logging (LG)	監査ログ記録（LG）
Monitoring (MO)	監視（MO）
Incident Response (IR)	インシデント対応（IR）
Resilience & Recovery (RR)	レジリエンスと復旧（RR）
Insights	インサイト
The Focus of Existing AI Guidance Reports	既存のAIガイダンス報告書の焦点
Where There Are Gaps in AI Guidance	AIガイダンスの不足箇所
Conclusion	結論
Authors	著者
Acknowledgements	謝辞
Appendix	附属書
List of Guidance Documents Examined	検討したガイダンス文書の一覧
Example of Standardization	標準の例
Summary of Clustering and Harmonization Results	クラスタリングと調和の結果の概要
Endnotes	脚注

 

258のすべての推奨事項の仮訳...

↓

» Continue reading

米国 CSET 中国武漢の人工知能開発：汎用人工知能（AGI）に向けた中国の新たな跳躍台 (2025.05)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します... 

中国の武漢市が、汎用人工知能（AGI）を実現するための国家的な実験場（テストベッド）として急速に台頭しているようですね...現在、世界のAI開発は大規模言語モデル（LLM）の規模拡大が主流だが、中国はそれとは異なる「身体性（Embodiment）」というアプローチを戦略的に採用していますよね...

これは、AIをデジタル空間に閉じ込めるのではなく、物理的な産業現場や複雑な社会システムの中に「身体性」を持たせて配置し、現実世界との相互作用を通じて知能を自己進化させる手法ですよね...

武漢市は、この野心的な試みを都市規模で実行するためのインフラ、研究機関、産業エコシステムを備えているということのようです...

社会実装のシュミレーター...西欧文化の価値観では実現しずらいことを考えているような気はします...

上海、北京だけでなく、広く中国でAI開発が加速しているのですかね...

● CSET

・2025.05 Wuhan’s AI Development: China’s Alternative Springboard to Artificial General Intelligence (AGI)

Wuhan’s AI Development	武漢の人工知能開発
China’s Alternative Springboard to Artificial General Intelligence (AGI)	汎用人工知能（AGI）に向けた中国の新たな跳躍台
Wuhan, China’s inland metropolis, is paving the way for a nationwide rollout of “embodied” artificial intelligence meant to fast-track scientific discovery, optimize production, streamline commerce, and facilitate state supervision of social activities. Grounded in real-world data, the AI grows smarter, offering a pathway to artificial “general” intelligence that will reinforce state ideology and boost economic goals. This report documents the genesis of Wuhan’s AGI initiative and its multifaceted deployment.	中国内陸部の大都市・武漢は、科学的発見の加速、生産の最適化、商業の効率化、そして社会活動に対する国家監視の促進を目的とした「具現化された」人工知能の全国展開に向けた道筋を整備している。現実世界のデータに基づき、このAIはより賢くなり、国家イデオロギーを強化し経済目標を推進する人工「汎用」知能への道筋を提供する。本報告書は武漢の汎用人工知能（AGI）構想の起源とその多面的な展開を記録するものである。

・[PDF]

・[DOCX][PDF] 仮訳

 

目次...

Executive Summary	エグゼクティブサマリー
Introduction	序論
Large Computing Centers	大規模計算センター
AI Research Institutes	AI研究機構
The AI Industry Chain	人工知能産業チェーン
Wuhan’s AGI Initiatives	武漢の汎用人工知能（AGI）構想
Values and Embodiment	価値観と身体性
Recommendations	提言
Authors	著者
Acknowledgements	謝辞
Appendix	附属書
Endnotes	脚注

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
DeepSeek’s emergence as a successful generative model—a niche where the United States was believed to hold an uncontested lead—is causing global artificial intelligence watchers to reassess China’s standing in the race toward artificial general intelligence (AGI) and pay closer attention to China’s AI research and deployment.	DeepSeekが成功した生成モデルとして登場したことで、米国が圧倒的な優位性を保っていると信じられていた分野において、世界の人工知能ウォッチャーは人工汎用知能（AGI）への競争における中国の立場を再評価し、中国のAI研究と展開により注目するようになった。
While large models continue to account for a significant part of its AI investment, China’s top state-funded AI institutes are exploring alternative approaches to AGI that involve embodying AI algorithms in real environments. Imbued with the Chinese Communist Party’s pre-defined values, the AI interacts with its natural surroundings, learning as it proceeds.	大規模モデルへの投資が依然としてAI投資の大部分を占める一方で、中国の主要な国費支援AI機構は、AIアルゴリズムを実環境へ組み込むというAGIへの代替アプローチを模索している。中国共産党が予め定義した価値観を内包したAIは、自然環境と相互作用しながら学習を進めていく。
The test bed for this proactive approach to AGI is China’s inland city of Wuhan, where the Chinese Academy of Sciences’ (CAS) Institute of Automation, Huawei, and a Peking University consortium are infusing the city’s industrial and commercial enterprises with AI services and deploying a “social simulator” that expands AI’s reach to all aspects of daily life.	この積極的なAGIアプローチの実験場となっているのが中国内陸部の都市・武漢だ。中国科学院自動化研究所、ファーウェイ、北京大学コンソーシアムが連携し、同市の産業・商業エンタープライズにAIサービスを導入するとともに、日常生活のあらゆる側面にAIの適用範囲を広げる「社会シミュレーター」を展開している。
The intent is to optimize production and supervise social interaction while affording the AI opportunities to become more intelligent, catalyzing its evolution into AGI. The Wuhan implementation is seen by its state-backed entities as a stepping stone to deployment throughout China, raising questions about the type of technosociety with which the United States needs to compete.	その目的は、生産を最適化し社会的な相互作用を監督すると同時に、AIがより賢くなる機会を与え、汎用人工知能（AGI）への進化を促進することにある。武漢での実施は、国が支援する事業体によって中国全土への展開への足がかりと見なされており、米国が競争すべき技術社会（テクノソサエティ）の形態について疑問を投げかけている。

 

提言...

Recommendations	提言
Technology initiatives meant for nationwide deployment typically begin in China with local, proof-of concept “demonstrations” (示范) or “model” (模范) projects, and Wuhan has served as the starting point for such in at least two other cases.80 If the Wuhan AGI project succeeds, or is seen to show promise, we can expect the Beijing government to follow through with its plan to deploy the system elsewhere in China. We recommend this process be closely monitored given its importance and potential challenges.	全国展開を目的とした技術イニシアチブは、中国では通常、地域レベルでの概念実証「デモンストレーション」（示范）または「モデル」（模范）プロジェクトから始まる。武漢は少なくとも他の2件の事例において、こうした取り組みの出発点として機能してきた。(80) 武漢のAGIプロジェクトが成功するか、あるいは有望と見なされれば、北京政府が中国国内の他地域へのシステム展開計画を推進することが予想される。 このプロセスは重要かつ潜在的な課題を抱えているため、厳重な監視が必要だ。
This recommendation is a microcosm of the authors’ standing plea for the United States and its allies to devote serious resources to track China’s technological progress in general, as our national insight falls far short of Beijing’s comprehensive understanding of foreign scientific trends.81	この提言は、米国の国家的な洞察力が北京の外国科学動向に対する包括的理解に遠く及ばない現状を踏まえ、米国とその同盟国が中国の技術進歩全般を追跡するために真剣な資源を投入すべきだという著者らの常なる訴えの縮図である。81
Beyond the obvious need to assess—and forecast—China’s technology initiatives, there may be lessons to learn from China; in particular, its support for alternative approaches to AGI and early infusion of AI into industry and society.	中国の技術イニシアチブをアセスメント・予測する必要性は言うまでもないが、中国から学ぶべき教訓もある。特に、汎用人工知能（AGI）への代替アプローチ支援や、産業・社会へのAI早期導入といった点だ。
China’s commitment to multiple paths to AGI—a theme the present authors have emphasized in prior reporting82—was restated in the NSFC’s “Guide to the 2025 Annual Projects,” both in a general sense (“developing a system of new AI methods”) and in multiple categories that describe alternative AGI approaches beyond the large generative models that occupy nearly all of western AI developers’ and policymakers’ attention.83	中国がAGI達成に向けた複数経路を追求する姿勢——本稿の筆者が過去の報告で強調してきたテーマである82——は、NSFCの「2025年度プロジェクト実施要領」において再確認された。これは一般的な文脈（「新たなAI手法体系の開発」）だけでなく、西洋のAI開発者や政策立案者の関心のほぼ全てを占める大規模生成モデルを超えた、代替AGIアプローチを記述する複数のカテゴリーにおいても明示されている。83
Finally, China’s well-known penchant for operationalizing technical breakthroughs84— seen here in its roll-out of public-facing AI initiatives to bolster scientific research and optimize commerce and production—could serve if not as a model then as a stimulus for U.S. efforts to revitalize our own domestic industry by infusing it with AI.85 While focusing on AI safety and the dangers of weaponization, we should also keep in mind the real possibility of being out-competed by a country that moves more quickly and decisively to realize the promises that AI offers.	最後に、中国が技術的ブレークスルーを実用化する傾向84は、科学研究の強化や商業・生産の最適化を目的とした公共向けAIイニシアチブの展開に見られる通り、米国が自国の産業をAIで活性化させる取り組みにおいて、モデルとは言えなくとも刺激となる可能性がある。85 AIの安全性や兵器化の危険性に焦点を当てる一方で、AIが約束する可能性をより迅速かつ断固として実現する国に競争で敗れる現実的な可能性も念頭に置くべきだ。

 

 

 

---

 

●  まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.05 米国 CSET 中国武漢の人工知能開発：汎用人工知能（AGI）に向けた中国の新たな跳躍台 (2025.05)

・2026.01.05 米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)

・2026.01.04 米国 CSET 中国の身体性AI (2025.12)

 

 

米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します... 

２年間2,800件超の契約データの分析です...

中国の人民解放軍の強化のために以前から官民融合戦略（軍需産業企業も民需品をつくり経営を安定させ、先端技術を市場に供給する。民間企業のよいものは軍も利用する）という概念は重要視されていましたが、AIについてもそれは同じで、新しいAI企業のサービス等も軍に利用されているようですね。人民解放軍のサプライヤー基盤が従来の防衛企業から新興の民間企業や一般大学へと劇的に拡大・多様化しているようです...

多数の「非伝統的ベンダー」が人民解放軍のAI化を支えている可能性がありますね...従来の制裁や輸出管理の枠組みが十分には機能しなくなっているかもしれませんね...

 

 

● CSET

・2025.09 Pulling Back the Curtain on China’s Military-Civil Fusion

Pulling Back the Curtain on China’s Military-Civil Fusion	中国の「軍民融合」のベールを剥ぐ：
How the PLA Mobilizes Civilian AI for Strategic Advantage	人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか
China’s efforts to develop AI-related military capabilities have garnered significant interest in the United States. Drawing on 2,857 AI-related defense contract award notices published between January 2023 and December 2024, this report finds that while China’s legacy defense sector players lead AI-related military procurement, an emerging set of nontraditional vendors and research institutions appears to play a consequential role as well.	中国がAI関連の軍事能力を開発する取り組みは、米国で大きな関心を集めている。2023年1月から2024年12月までに公表された2,857件のAI関連防衛契約授与通知を分析した本報告書は、中国の伝統的な防衛産業がAI関連の軍事調達を主導している一方で、新興の非伝統的ベンダーや研究機構も重要な役割を果たしていることを明らかにした。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

Executive Summary	エグゼクティブサマリー
Over the past several years, China has worked to transform the People’s Liberation Army into a sophisticated, highly capable force that can compete with the U.S. military. In so doing, Beijing has reformed the PLA and rolled out various policies to fast-track military modernization. Key to the Chinese government’s aims is the use of artificial intelligence (AI) and related technologies to boost the Chinese military’s development and adoption of advanced capabilities to outmatch rivals in future conflicts. To accelerate military modernization, Beijing has encouraged the PLA and state-owned defense conglomerates to work more closely with the civilian sector under its militarycivil fusion (MCF) strategy. By fostering closer coordination between the defense and civilian sectors, China’s top leaders believe that the PLA can match and eventually surpass U.S. military capabilities.	過去数年間、中国は人民解放軍を高度に洗練された、米軍と対抗可能な戦力へと変革する取り組みを進めてきた。この過程で北京は解放軍を改革し、軍事近代化を加速させる様々な政策を展開した。中国政府の目標の核心は、人工知能（AI）及び関連技術を活用し、将来の紛争で敵を凌駕する先進能力の開発・導入を促進することにある。軍事現代化を加速させるため、北京は「軍民融合」戦略のもと、人民解放軍と国有防衛企業に対し、民間部門との連携強化を促している。防衛部門と民間部門の緊密な連携を促進することで、中国の最高指導部は、人民解放軍が米軍の能力に匹敵し、最終的にはそれを凌駕できると確信している。
This report leverages a novel dataset of 2,857 AI-related contract award notices published by the PLA between January 2023 and December 2024. From these documents, we identified 1,560 different organizations that won at least one such AIrelated contract. We focus our analysis on the 338 entities awarded at least two AIrelated contracts, collecting open-source information on each to shed light on China’s AI-related defense industrial base. Furthermore, we assign each entity to one of three categories: state-owned enterprises (SOEs), research institutions, and nontraditional vendors.	本報告書は、2023年1月から2024年12月にかけて人民解放軍が公表した2,857件のAI関連契約授与通知という新規データセットを活用している。これらの文書から、少なくとも1件のAI関連契約を獲得した1,560の異なる組織を識別した。 分析対象はAI関連契約を2件以上獲得した338事業体に絞り、各事業体について公開情報を収集し、中国のAI関連防衛産業基盤の実態を明らかにする。さらに各事業体を国有企業（SOE）、研究機構、非伝統的ベンダーの3カテゴリーに分類した。
Our analysis shows that SOEs and research institutions with longstanding ties to the PLA continue to lead AI-related military procurement. Of the fifteen top awarded entities in the dataset, eleven were either SOEs or defense-affiliated research institutions. The SOEs that won the most contracts were China Electronics Technology Group Corporation (CETC), China Aerospace Science and Technology Corporation (CASC), and China North Industries Group Corporation (NORINCO). The Seven Sons of National Defense—a group of universities closely affiliated with China’s defense sector—and various affiliates of the Chinese Academy of Sciences were also among the top awarded entities in the dataset, reflecting their importance in supporting China’s military modernization efforts. In short, many of the same organizations that have historically driven Chinese defense technology advancements are also the top suppliers of AI-related goods and services within our dataset.	我々の分析によれば、長年人民解放軍と密接な関係を持つ国有企業（SOE）や研究機構が、AI関連の軍事調達を主導し続けている。データセットで上位15の受注事業体のうち、11事業体が国有企業か防衛関連研究機構であった。最も多くの契約を獲得した国有企業は、中国電子科技集団公司（CETC）、中国航天科技集団公司（CASC）、中国北方工業公司（NORINCO）である。国防の七兄弟と呼ばれる中国国防部門と密接な関係を持つ大学群や、中国科学院の様々な関連機関も、データセット内の主要受注機関に含まれており、これらが中国の軍事近代化を支える上で重要な役割を担っていることを示している。要するに、歴史的に中国の防衛技術進歩を牽引してきた組織の多くが、我々のデータセット内でもAI関連製品・サービスの主要供給者となっているのである。
Nonetheless, the dataset reveals that an emerging class of firms and universities appears to also play a consequential role in China’s AI-related military procurement. Close to three-quarters of the 338 entities analyzed in this report are nontraditional vendors (NTVs), or firms with no self-reported state ownership ties. NTVs won 764 contracts, the most of any of the three categories. Most NTVs were established relatively recently, with two-thirds founded after 2010. On their websites, NTVs often highlight their focus on developing dual-use technologies, indicating that these firms see both the civilian and defense sectors as avenues for growth. Finally, the dataset reveals that some research institutions without well-documented linkages to China’s defense sector actively bid on and win contracts to supply the PLA with AI-related products with clear military applications.	しかしながら、本データセットは新興の企業・大学群も中国のAI関連軍事調達において重要な役割を担っていることを示している。本報告書で分析した338事業体のうち、約4分の3が非伝統的ベンダー（NTV）である。つまり、自ら国有企業との関連性を報告していない企業だ。NTVは764件の契約を獲得し、3カテゴリー中最多となった。 大半のNTVは比較的最近設立され、3分の2は2010年以降に創業している。NTVは自社サイトでデュアルユース技術の開発に注力している点を強調することが多く、民間と防衛の両分野を成長の道と見なしていることを示唆している。最後に、データセットは、中国の防衛部門との 明確な関連性が確認されていない一部の機構が、明確な軍事用途を持つAI関連製品を人民解放軍に供給する契約を積極的に入札し、落札している事実を明らかにしている。
Several implications merit mention.	いくつかの示唆に値する点がある。
SOEs continue to lead AI-related defense procurement in China, but our findings suggest that while barriers remain for smaller, newer NTVs, these entities appear to be playing a substantial role in providing AI-related technologies to the PLA, potentially accelerating technological development and AI diffusion throughout the Chinese military. Although it is unclear whether Beijing’s efforts to promote its MCF strategy are responsible for these trends, this report indicates that NTVs and research institutions are active participants in China’s military procurement for AI-related goods and services.	中国におけるAI関連の防衛調達では、依然として国有企業が主導的立場にある。しかし我々の調査結果は、規模が小さく新興のNTVには障壁が残るものの、これらの事業体が人民解放軍へのAI関連技術プロバイダとして重要な役割を果たしており、中国軍全体における技術開発とAI普及を加速させる可能性があることを示唆している。 北京が推進するMCF戦略がこうした動向の原因かどうかは不明だが、本報告書は、新興技術企業や機構がAI関連製品・サービスの軍事調達において積極的な役割を担っていることを示している。
The apparent diversification of China’s AI-related defense industrial base presents several challenges. First, it may complicate the United States’ ability to hamstring China’s military modernization by restricting certain legacy defense players’ access to critical technologies and funding. Moreover, our findings could indicate that China has, to some degree, succeeded in fostering competition within its historically inefficient defense sector. If so, these findings may have implications for our understanding of China’s ability to incorporate dual-use technologies developed in the civilian sector for military end uses. Finally, this dynamic complicates U.S. due diligence for research funding, export licensing, and outbound-investment screening.	中国のAI関連防衛産業基盤の多様化は、いくつかの課題を提示している。第一に、米国が従来の防衛関連企業への重要技術・資金供給を制限することで中国の軍事近代化を阻害する能力を複雑化する可能性がある。 さらに、我々の調査結果は、中国が歴史的に非効率だった防衛部門内で競争をある程度促進することに成功した可能性を示唆している。もしそうなら、これらの知見は、民間部門で開発されたデュアルユース技術を軍事用途に転用する中国の能力に関する我々の理解に影響を与えるかもしれない。最後に、この動きは、研究資金提供、輸出許可、海外投資審査における米国のデューデリジェンスを複雑化させる。
The vast majority of NTVs and research institutions in the dataset are not subject to U.S. sanctions. As the boundaries between civilian and defense technologies blur, the United States will face difficult trade-offs between preserving the openness necessary for innovation while mitigating national security risks. Accordingly, the United States should develop a sophisticated, evidence-based approach to safeguarding research and economic security to both impede the PLA’s acquisition and adoption of advanced technologies and ensure that benign and beneficial collaborations with Chinese entities are able to continue.	データセットに含まれる非国家主体（NTV）及び研究機構の大半は、米国の制裁対象外である。民生技術と防衛技術の境界が曖昧化する中、米国はイノベーションに必要な開放性を維持しつつ、国家安全保障上のリスクを緩和するという困難な選択を迫られるだろう。 したがって米国は、研究と経済安全保障を保護するための洗練された証拠に基づくアプローチを構築すべきである。これにより、中国人民解放軍による先端技術の取得・採用を阻害すると同時に、中国事業体との健全かつ有益な協力関係が継続できるようにする必要がある。

 

 

Executive Summary	エグゼクティブサマリー
Introduction	序論
Methodology	方法論
Overview of AI-related Procurement Data	AI関連調達データの概要
The PLA’s Top Suppliers of AI-Related Technology	AI関連技術における中国人民解放軍の主要サプライヤー
Top Research Institutions: CAS and the Seven Sons	主要研究機構：中国科学院と七兄弟
Not Just SOEs: Analyzing Emerging Suppliers of AI-Related Technologies	国有企業だけではない：AI関連技術の新興供給者の分析
Emerging Suppliers: Nontraditional Vendors	新興サプライヤー：非伝統的ベンダー
Emerging Suppliers: Civilian Universities	新興サプライヤー：民間大学
Characterizing the PLA’s AI Suppliers: Firm Maturity	人民解放軍向けAI供給企業の特徴：企業の成熟度
Characterizing the PLA’s AI Suppliers: Headquarters Location	中国人民解放軍の人工知能サプライヤーの特徴：本部の所在地
Main Takeaways	主なポイント
Conclusion	結論
Authors	著者
Acknowledgements	謝辞
Appendix A: Additional Tables and Figures	附属書A：追加の表と図
Appendix B: Methodology	附属書B：方法論
Endnotes	脚注

 

Main Takeaways	主なポイント
Leveraging a novel dataset of open-source contract award notices, this report examines the top suppliers of AI-related goods and services to China’s defense sector. Our findings suggest two major takeaways:	本報告書は、公開されている契約授与通知の新たなデータセットを活用し、中国国防部門向けAI関連製品・サービスの主要供給企業を分析した。調査結果から以下の二つの主要なポイントが浮かび上がる：
China’s legacy defense sector players lead AI-related military procurement.	中国の伝統的な防衛産業関係者がAI関連の軍事調達を主導している。
Established defense players that have long served as the backbone of China’s defense industrial base, including state-owned defense conglomerates and research institutions with longstanding ties to China’s defense sector, were the top-awarded organizations in the dataset. Many of these entities, including CETC, CASC, CAS, and the Seven Sons, have deep, longstanding ties to China’s defense sector. Even in AI, an emerging technology, China’s legacy defense sector actors are still the top defense suppliers.	国有防衛複合企業や中国防衛部門と長年にわたり密接な関係を持つ研究機関など、中国の防衛産業基盤の基幹を担ってきた既存の防衛関連企業が、本データセットにおいて最も多くの契約を獲得した組織であった。 CETC、CASC、CAS、七子（七大企業）など、これらの事業体は中国の防衛産業と深く長年にわたる関係を持つ。新興技術であるAI分野においても、中国の伝統的な防衛産業関係者が依然として主要な防衛サプライヤーである。
Geographically, a large number of leading AI suppliers are concentrated in areas that have historically served as hubs of China’s defense industrial base. Most of these entities are large and well-resourced and were founded before the turn of the century.	地理的には、主要なAI供給業者の多くが、歴史的に中国の防衛産業基盤の拠点となってきた地域に集中している。これらの事業体の大半は規模が大きく、豊富な資源を有し、21世紀に入る前に設立されたものである。
An emerging set of NTVs and civilian universities play a consequential role in China’s AI-related military procurement.	新興の非軍事技術企業（NTV）や民間大学も、中国のAI関連軍事調達において重要な役割を果たしている。
While acknowledging the limitations of the dataset, our findings suggest that the PLA sources AI-related technologies from a wide array of suppliers, including NTVs and civilian research institutions.	データセットの限界を認めつつも、我々の調査結果は、人民解放軍がNTVや民間研究機構を含む多様な供給元からAI関連技術を入手していることを示唆している。
NTVs won 764 contracts, more than both SOEs and research institutions. Most of these firms were founded after 2010, coinciding with China’s technological rise and Beijing’s greater emphasis on encouraging civilian firms’ participation in defense procurement. These factors likely have augmented the competitiveness of NTVs, many of which are now contributing to China’s military modernization. Most of the NTVs in the dataset have fewer assets and are much smaller than the state-owned defense conglomerates with which they compete. NTVs also tend to develop a more narrow catalog of technology products for specific use cases.	NTVは764件の契約を獲得し、国有企業や研究機構を上回った。これらの企業の多くは2010年以降に設立されており、中国の技術的台頭と、民間企業の防衛調達参加促進を北京が重視するようになった時期と一致している。これらの要因がNTVの競争力を高めた可能性が高く、現在では多くのNTVが中国の軍事近代化に貢献している。 データセットに含まれる民間技術企業の大半は、競合する国有防衛複合企業に比べ資産規模が小さく、規模もはるかに小さい。また民間技術企業は、特定の用途に特化したより限定的な技術製品群を開発する傾向がある。
Furthermore, the dataset reveals that several civilian universities are also developing AI-related technologies for the PLA. Some of these research institutions are not known for their ties to China’s defense sector but nevertheless feature in the dataset. The contracts awarded to these institutions are not for basic research; they have clear military applications.	さらに、民間大学数校も人民解放軍向けにAI関連技術を開発していることがデータセットから明らかになった。これらの機構の中には、中国の防衛部門とのつながりで知られていないものもあるが、それでもデータセットに名を連ねている。これらの機構に授与された契約は基礎研究ではなく、明確な軍事用途を持つものである。
Conclusion	結論
Our findings provide evidence that Beijing’s efforts to expand AI-related military procurement beyond the PLA’s traditional network of suppliers may be yielding results. However, due to the limitations discussed in the methodology section above, the dataset does not allow us to make broader statements about China’s AI defenseindustrial base. NTVs continue to face high barriers to entry, and China’s defense SOEs are still shielded from competition, especially in the procurement of major weapons systems.89 That said, NTVs and research institutions are playing a larger role in China’s AI-related defense industrial base.	我々の調査結果は、北京が人民解放軍の従来の供給網を超えてAI関連の軍事調達を拡大する取り組みが成果を上げつつある可能性を示す証拠を提供している。 ただし、前述の方法論セクションで論じた制約により、本データセットから中国のAI防衛産業基盤全体について広範な主張を行うことはできない。民間技術企業（NTV）は依然として参入障壁が高く、中国の防衛系国有企業（SOE）は特に主要兵器システムの調達において競争から保護されている。89 とはいえ、民間技術企業や機構は中国のAI関連防衛産業基盤においてより大きな役割を担いつつある。
This report also underscores the growing complexity of sustained military, economic, and technological competition with China. The suppliers featured in this dataset include not only defense SOEs but also civilian research institutions and NTVs. Moreover, as technology is increasingly dual-use, drawing clear distinctions between the civilian and defense sectors will become more difficult.	本報告書はまた、中国との持続的な軍事・経済・技術競争の複雑化を浮き彫りにしている。本データセットに掲載された供給企業には、防衛系国有企業だけでなく民間研究機構やNTVも含まれる。さらに技術のデュアルユース化が進む中、民生分野と防衛分野の明確な区別はますます困難になるだろう。
These challenges highlight the difficulty the United States and its allies face in simultaneously advancing their technological progress while hampering the PLA’s ability to develop, acquire, and adopt advanced technologies. Many of the entities in our dataset have established research facilities or commercial operations abroad. Most are not subject to U.S. sanctions or trade restrictions. Without a clear understanding of the pathways through which the PLA acquires and deploys defense and dual-use technologies, the United States and its allies risk unintentionally supporting China’s military modernization.	こうした課題は、米国とその同盟国が自国の技術進歩を推進すると同時に、人民解放軍（PLA）の先進技術の開発・取得・採用能力を阻害することの難しさを浮き彫りにしている。本データセットに掲載されている多くの事業体は、海外に研究施設や商業拠点を設置している。 その大半は米国の制裁や貿易制限の対象外である。人民解放軍が防衛技術やデュアルユース技術をどのように取得・展開しているかの経路を明確に把握しなければ、米国とその同盟国は意図せず中国の軍事近代化を支援するリスクを負うことになる。
Looking ahead, these blurring boundaries will pose significant challenges to U.S. policymakers, companies, and universities, particularly as the United States navigates difficult trade-offs between preserving openness, which is key to promoting innovation, and safeguarding national security. Blanket restrictions on the ability of U.S. researchers to work with their counterparts at Chinese universities, for example, could disrupt productive research partnerships and inadvertently undermine U.S. scientific leadership. Without close coordination with allies and partners, the unilateral implementation of economic or research security measures could undermine the global competitiveness of U.S. technology companies or isolate U.S. researchers from international scientific networks.	今後、こうした境界線の曖昧化は、米国の政策立案者、企業、大学にとって重大な課題となる。特に米国が、イノベーション促進の鍵である開放性の維持と国家安全保障の確保という難しいトレードオフを模索する中で顕著だ。例えば、米国研究者が中国の大学研究者と共同研究する能力を包括的に制限すれば、生産的な研究パートナーシップを阻害し、意図せず米国の科学技術リーダーシップを損なう恐れがある。 同盟国やパートナーとの緊密な連携なしに、経済・研究安全保障措置を一方的に実施すれば、米国技術企業の国際競争力を損なうか、米国研究者を国際的な科学ネットワークから孤立させる恐れがある。
These realities underscore the need for a rigorous and evidence-based approach to managing sustained competition with China in emerging technologies that strengthens U.S. technological leadership and impairs the PLA’s ability to exploit advanced technologies. Success will require sustained investment in developing the tools and capabilities needed for granular, empirically grounded risk assessments that enables policymakers, universities, and companies to make decisions that promote long-term U.S. technological leadership while safeguarding national security. Until then, the United States will be ill-positioned to navigate the challenge of a China equipped with improving technological capabilities and a seemingly more agile defense industrial base.	こうした現実を踏まえ、新興技術分野における中国との持続的な競争を管理するには、米国の技術的リーダーシップを強化し、中国人民解放軍が先端技術を活用する能力を阻害する、厳格かつ証拠に基づくアプローチが必要である。 成功には、政策立案者、大学、企業が国家安全保障を守りつつ米国の長期的な技術的リーダーシップを促進する意思決定を行えるよう、詳細かつ経験的に裏付けられたリスクアセスメントに必要なツールと能力の開発への持続的な投資が必要だ。それまでは、米国は技術的能力の向上と一見より機敏な防衛産業基盤を備えた中国という課題に対処する態勢が整わないだろう。

 

 

 

---

 

●  まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.05 米国 CSET 中国武漢の人工知能開発：汎用人工知能（AGI）に向けた中国の新たな跳躍台 (2025.05)

・2026.01.05 米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)

・2026.01.04 米国 CSET 中国の身体性AI (2025.12)

 

 

» Continue reading

米国 CSET 中国の身体性AI (2025.12)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します... 

 

中国が「身体性AI（Embodied AI）」を汎用人工知能（AGI）達成のための最重要かつ戦略的な経路として位置づけ、国家を挙げて推進していると報告していますね...

AGIの達成について、欧米（日本も？）が大規模言語モデル（LLM）のスケールアップで望む一方で、中国は知能の本質を「身体・脳・環境の相互作用」に見出し、LLMの限界（現実感の欠如や推論の脆弱性）を身体性によって克服しようとしていますね...

この中国のアプローチは、経済の自動化とAGI実現を同時に狙うものであり、米国とその同盟国は、中国がこの「身体性」という新たなパラダイムを通じてAI分野の覇権を握る可能性を警戒し、自国の研究戦略を多角化すべきだと警告していますね...

中国で人型ロボットがいろいろと芸を披露したり、人と同じように仕事をこなす様子が動画で流れたりしていますが、背景としてこういう研究の考え方があるのでしょうね...

日本も文化的には身体性AIのほうが馴染むのではないかと思いますが（鉄腕アトムやドラえもん...）、そっちに向かうというのはないのでしょうかね...

参考になることが多くあるように思います...

 

 

● CSET

・2025.12 China’s Embodied AI: A Path to AGI

China’s Embodied AI: A Path to AGI

中国の身体性AI

China is embracing “embodied AI”—artificial intelligence integrated with physical agents, such as robots and drones—both for commercial reasons and as a path to artificial general intelligence (AGI). The trend reflects China’s signature approach to AI, which recognizes diverse paths to AI dominance vis-à-vis the large models favored in the United States. This report documents PRC support for AI embodiment, describes how it is understood by China’s research community, and maps out the related infrastructure.

中国は「身体性AI」——ロボットやドローンといった物理的エージェントと統合された人工知能——を商業的理由と汎用人工知能（AGI）への道筋として積極的に取り入れている。この傾向は、米国が重視する大規模モデルとは異なる多様なAI優位性への道筋を認める、中国特有のAIアプローチを反映している。本報告書は、中国政府によるAI具現化への支援を検証し、中国の研究コミュニティにおけるその理解を説明し、関連インフラを明らかにするものである。

 

 

 

・[PDF] 

・[DOCX][PDF] 翻訳

 

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This report examines China’s embrace of embodied AI—artificial intelligence integrated with physical systems (robots, drones, vehicles, etc.)—as a critical pathway toward artificial general intelligence (AGI).	本報告書は、中国が汎用人工知能（AGI）への重要な道筋として、身体性AI（物理システム（ロボット、ドローン、車両など）と統合された人工知能）を採用していることを検証する。
In the United States and Europe, large language models (LLMs) and their multimodal variants are regarded by many AI scientists and major AI companies as the most promising path to AGI, despite known issues with abstraction and reasoning.	米国や欧州では、大規模言語モデル（LLM）とそのマルチモーダル変種が、抽象化や推論に関する既知の問題があるにもかかわらず、多くのAI科学者や主要AI企業によってAGIへの最も有望な道と見なされている。
By contrast, in China there is a broader vision of how AGI can be achieved, most recently expressed in a nationwide move toward AI embodiment—namely, intelligence developed through interaction between body, brain, and environment, in both physical and virtual forms.	これに対し中国では、AGI達成に向けたより広範なビジョンが存在し、最近では全国的な動きとして「身体性AI」が推進されている。具体的には、物理的・仮想的形態を問わず、身体・脳・環境の相互作用を通じて知能を発展させるアプローチである。
This trend toward embodied AI is backed by policy support at the national and local government levels, which has led to large embodied AI innovation centers linked to top universities and tech firms being established in coastal cities and provinces.	このエンボディッドAIへの傾向は、国や地方政府レベルでの政策支援によって支えられており、その結果、沿岸部の都市や省に、一流大学やハイテク企業と連携した大規模なエンボディッドAIイノベーションセンターが設立されている。
The upshot is China is on a path to accomplish two goals simultaneously: enriching the nation by integrating AI into the economy and achieving AGI that is more aligned with the totality of human expression.	結果として中国は、AIを経済に統合して国を豊かにすると同時に、人間の表現の総体により沿ったAGIを達成するという二つの目標を同時に達成する道を進んでいる。
The report recommends that the United States and its allies ramp up their monitoring of China’s AI progress, benchmark its claims, and consider broader approaches to AGI beyond scaling up LLMs.	本報告書は、米国とその同盟国に対し、中国のAI進展の監視強化、その主張の検証、大規模言語モデル（LLM）の拡張を超えた汎用人工知能（AGI）への広範なアプローチの検討を推奨する。

 

目次...

 

 

 

 

 

 

ちなみに...何度も紹介していますが...私が2020年にサイバー犯罪に関する白浜シンポジウムで発表した資料の

 

・[PDF] スマートサイバー　AI活用時代のサイバーリスク管理（配布用）

のP5やP7にこの考えと近いかもしれません...

 

 

 

---

 

●  まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.05 米国 CSET 中国武漢の人工知能開発：汎用人工知能（AGI）に向けた中国の新たな跳躍台 (2025.05)

・2026.01.05 米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)

・2026.01.04 米国 CSET 中国の身体性AI (2025.12)

 

米国 CSET サイバー職における職場学習の未来 (2025.07)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します... 

職場学習（インターン、見習い制度、青少年雇用プログラム、プロジェクトベースの学習、体験学習など）という学生を企業、政府等の実地現場で学習させるプログラムを、実務家、研究者、教育者。政府関係者がサイバーセキュリティ人材強化の手段としてどのように考えているか...

 

そして日本ではこんな議論も（サイバーセキュリティに限定された話ではないですが）...

● 日本経済新聞

・2026.01.02 大学に「企業お抱え」学科、教員派遣・就職有利に　台湾や韓国参考

 

● CSET

・2025.07 The Future of Work-Based Learning for Cyber Jobs

The Future of Work-Based Learning for Cyber Jobs	サイバー関連職種における職場学習の未来
This roundtable report explores how practitioners, researchers, educators, and government officials view work-based learning as a tool for strengthening the cybersecurity workforce. Participants engaged in an enriching discussion that ultimately provided insight and context into what makes work-based learning unique, effective, and valuable for the cyber workforce.	本ラウンドテーブル報告書は、実務家、研究者、教育者、政府関係者が、職場学習をサイバーセキュリティ人材強化の手段としてどう捉えているかを考察する。参加者らは活発な議論を展開し、職場学習がサイバー人材にとってなぜ独自性・有効性・価値を持つのかについて、洞察と背景を提供した。
Introduction	序論
The continuously evolving nature of cybersecurity demands an agile and tactical approach to learning and skill development. One method of meeting this demand is through work-based learning. Work-based learning is a type of educational programming that exposes students to the knowledge and skills required for a given career or industry and occurs in a workplace setting through on-the-job training or an environment that closely resembles the workplace.1 It includes internships, apprenticeships, youth employment programs, project-based learning, and experiential learning.	サイバーセキュリティの絶え間ない進化は、学習と技能開発に対する機敏かつ戦術的なアプローチを要求する。この要求に応える一つの方法が職場学習である。職場学習とは、特定の職業や業界に必要な知識・技能を学生に体験させる教育プログラムの一種であり、職場環境下での実務訓練、あるいは職場に酷似した環境で行われる。1 これにはインターンシップ、徒弟制度、青少年雇用プログラム、プロジェクト型学習、体験学習などが含まれる。
Work-based learning is not unique to the cybersecurity field, but it is part of a broader workforce ecosystem shift to embrace practices such as skills-based hiring and leveraging alternative educational pathways. For example, the U.S. Office of the National Cyber Director’s (ONCD) 2023 National Cyber Workforce and Education Strategy (NCWES) contains lines of effort specifically aimed at work-based learning under “Strategic Objective 3.2: Promoting Skills-Based Hiring and Workforce Development.”2 The NCWES calls upon employers to focus on skills needed for cyber jobs rather than college degrees or experience as indicators of qualification, and also to increase on-ramps into the workforce through work-based learning opportunities.	職場ベースの学習はサイバーセキュリティ分野に特有のものではないが、スキルベースの採用や代替教育経路の活用といった実践を取り入れる、より広範な労働力エコシステムの転換の一部である。例えば、米国国家サイバー長官室（ONCD）の2023年版「国家サイバー人材・教育戦略（NCWES）」では、「戦略目標3.2：スキルベース採用と人材育成の促進」の下に、職場学習を特に目的とした取り組み方針が明記されている。NCWESは雇用主に対し、資格の指標として大学の学位や経験ではなく、サイバー関連職種に必要なスキルに焦点を当てるよう求めている。また、職場学習の機会を通じて労働力への参入経路を増やすことも提唱している。
Quantitative research shows that work-based learning is an effective learning mechanism, but little qualitative research exists for the cybersecurity workforce specifically. This roundtable discussion provides insight from 16 academics, practitioners, and educators into what makes work-based learning unique, effective, and valuable for the cyber workforce. Participants are not named as the roundtable was conducted under the Chatham House Rule.	定量的研究では職場学習が効果的な学習手段であることが示されているが、サイバーセキュリティ人材に特化した定性的研究はほとんど存在しない。本ラウンドテーブル討論では、16名の学者・実務家・教育者が、職場学習がサイバーセキュリティ人材にとってなぜ独自性・効果・価値を持つのかについて洞察を提供する。討論はチャタムハウスルール下で行われたため、参加者の氏名は非公表とする。

 

・[PDF] 

・[DOCX][PDF] 仮訳

 

 

目次...

Introduction	序論
Key Takeaways	主なポイント
Discussion and Analysis	考察と分析
1. What does work-based learning mean to you?	1. 職場学習とは何だと思うか？
2. What is the value of work-based learning compared to the traditional four-year college degree?	2. 従来の4年制大学学位と比較した職場学習の価値は何か？
3. What are the most effective work-based learning approaches?	3. 最も効果的な職場学習のアプローチは何か？
4. What challenges or barriers prevent more utilization?	4. 活用が進まない原因となる課題や障壁は何か？
Conclusion	結論
Author	著者
Acknowledgments	謝辞
Endnotes	脚注

 

 

で...

Key Takeaways	主なポイント
Participants agreed work-based learning provides:	参加者は職場学習が以下を提供すると合意した：
• Practical opportunities for career readiness or career advancement.	• キャリア準備やキャリアアップのための実践的な機会。
• Structured, experiential, and hands-on learning that focuses on industry needs, training on industry-specific tools, or the current cyber threat landscape.	• 業界のニーズ、業界固有のツールのトレーニング、あるいは現在のサイバー脅威の状況に焦点を当てた、体系化された体験的・実践的な学習。
Participants agreed that the cybersecurity workforce needs to:	参加者は、サイバーセキュリティ人材が以下を必要としている点で合意した：
• Move past the “either/or” system so that work-based learning and traditional education is more of a “both/and” system. Higher education values theoretical learning, but these values are not always the same in industry. However, a substantial knowledge base is required for just about any occupation in the cybersecurity field, and is sometimes best delivered in a traditional educational setting.	• 「どちらか一方」というシステムを乗り越え、職場学習と伝統的教育を「両方とも」のシステムにすべきだ。高等教育は理論的学習を重視するが、産業現場では必ずしも同じ価値観が通用しない。しかしサイバーセキュリティ分野のほぼ全ての職種には、相当な知識基盤が必要であり、それは伝統的教育環境で提供されるのが最善の場合もある。
Participants believe effective approaches to work-based learning for cyber are:	参加者は、サイバー分野における効果的な職場学習アプローチとして以下を挙げている：
• Ecosystem development.	• エコシステム構築
• Programs that are paid and long in duration.	• 報酬付きで長期にわたるプログラム。
• Policy incentives to make work-based learning attractive to employers.	• 雇用主にとって職場学習を魅力的にする政策インセンティブ。
Participants perceive certain challenges that limit the utilization or adoption of work-based learning for cyber:	参加者は、サイバー分野における職場学習の利用や導入を制限する特定の課題を認識している：
• Finding people who are willing to provide the opportunity remains a challenge for the academic community.	• 機会を提供しようとするプロバイダを見つけることは、学術界にとって依然として課題である。
• Mid-career or nontraditional learners and rural communities have limited accessibility to such programs.	• 中途採用者や非伝統的な学習者、地方コミュニティは、こうしたプログラムへのアクセスが限られている。

 

 

 

 

 

米国 CSET (2025.05) サイバー攻防のバランスに対する AI の影響の予測 (2025.05)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します... 

2025.04から05にかけて公表された、AIとサイバー攻撃・防御に関するもので、著者はいずれもAndrew Lohn。

参考になることが多くあるように思います...

 

 

● CSET

・2025.05 Anticipating AI’s Impact on the Cyber Offense-Defense Balance

Anticipating AI’s Impact on the Cyber Offense-Defense Balance	サイバー攻防のバランスに対する AI の影響の予測
Artificial intelligence (AI) is beginning to change cybersecurity. This report takes a comprehensive look across cybersecurity to anticipate whether those changes will help cyber defense or offense. Rather than a single answer, there are many ways that AI will help both cyber attackers and defenders. The report finds that there are also several actions that defenders can take to tilt the odds to their favor.	人工知能（AI）は、サイバーセキュリティに変化をもたらし始めている。本レポートは、サイバーセキュリティを包括的に考察し、こうした変化がサイバー防御と攻撃のどちらに有利に働くかを予測するものである。AI は、単一の答えではなく、サイバー攻撃者と防御者の双方にさまざまな形で役立つだろう。本レポートは、防御側が優位に立つために取るべきいくつかの行動も提示している。
Executive Summary	エグゼクティブサマリー
The cyber domain touches nearly all systems and aspects of society, so any changes to the relative offense-defense balance in cyber could be very impactful. As a digital technology, AI can be expected to have a more direct effect on those balances than in other domains.	サイバー領域は社会のほぼすべてのシステムや側面に影響を与えているため、サイバーにおける攻防のバランスに変化が生じれば、その影響は甚大である。デジタル技術である AI は、他の領域よりもこのバランスに直接的な影響を与えると予想される。
To assess how AI may affect the offense-defense balance within cyber, we collected arguments for an offensive or defensive bias in various aspects of cyber operations as well as arguments for what gives cyber its unique character. We then considered how varying levels of AI advancement might strengthen, weaken, or alter those arguments. The results of that analysis are grouped into five categories: Changes to the Digital Ecosystem, Hardening Digital Environments, Tactical Aspects of Digital Engagements, Incentives and Opportunities, and Strategic Effects on Conflict and Crisis.	AIがサイバー領域の攻防バランスに与える影響を評価するため、我々はサイバー作戦の様々な側面における攻撃的・防御的バイアスの根拠、およびサイバー領域の独自性を支える要素に関する議論を収集した。次に、AIの進歩レベルがこれらの議論を強化・弱体化・変容させる可能性を検討した。分析結果は五つのカテゴリーに分類される：デジタル生態系の変化、デジタル環境の強化、デジタル交戦の戦術的側面、インセンティブと機会、紛争・危機への戦略的影響。
There is no single answer to the question of whether AI will make cyber offense or defense dominant. Cyber attackers and defenders have too many different goals that can be achieved in multiple ways, but AI is likely to change the cyber landscape in ways that can be predicted and perhaps controlled to some extent.	AIがサイバー領域で攻撃か防御の優位性をもたらすかという問いに唯一の答えは存在しない。サイバー攻撃者と防御者は、多様な方法で達成可能な目標を数多く有している。しかしAIは、予測可能でありある程度制御可能な形でサイバー環境を変容させるだろう。
Although AI will increase the scope of defensive tasks by making the digital ecosystem larger and more complex, it may also reduce the scope of defensive tasks in other ways, such as by decreasing the number of network connections to monitor. AI systems could replace known human weaknesses, but AI components are often vulnerable. AI components could also aggregate too much information or control into high-risk digital targets, and eliminating manual controls could reduce resilience during attacks. As system designers, acquisition officials, and users incorporate or implement AI, they will decide how much risk to accept along each of these lines.	AIはデジタルエコシステムを拡大・複雑化させることで防御タスクの範囲を拡大する一方、監視すべきネットワーク接続数を減少させるなど、別の形で防御範囲を縮小する可能性もある。AIシステムは人間の既知の弱点を補えるが、AIコンポーネント自体が脆弱性を持つ場合が多い。AIコンポーネントは過剰な情報や制御権を高リスクなデジタル標的に集約する可能性もあり、手動制御を排除すれば攻撃時のレジリエンスが低下する恐れがある。システム設計者、調達担当者、ユーザーがAIを組み込んだり実装したりする際、これらの各要素に沿ってどの程度のリスクを受け入れるかを判断することになる。
AI also promises to further harden digital environments by performing tasks that currently overwhelm defenders. If these tasks can be done reliably by AI and if defenders can keep up with faster discoveries of new vulnerabilities and attack tactics, then defenders can take advantage of their ability to impose delays and frictions to gain more from AI than attackers. Doing so could prevent AI from enticing new threat actors and could limit the strategic benefits that aggressors might see from AI’s increase in speed and scale. But that defensive advantage is far from guaranteed and there are several missteps that could push the balance toward offense instead of defense in the years to come.	また、AI は、現在防御側を圧倒しているタスクを実行することで、デジタル環境をさらに強化することも約束している。これらのタスクが AI によって確実に実行され、防御側が新しい脆弱性や攻撃戦術の発見に迅速に対応できるならば、防御側は、遅延や摩擦を課す能力を活用して、攻撃者よりも AI からより多くの利益を得ることができる。そうすることで、AI が新たな脅威アクターを惹きつけることを防ぎ、攻撃者が AI の速度と規模の拡大から得る戦略的メリットを制限することができる。しかし、その防御上の優位性は決して保証されたものではなく、今後数年のうちに、防御ではなく攻撃にバランスを傾けるような誤った動きがいくつかある。

 

・[PDF]

・[DOCX][PDF] 仮訳

 

 

目次的...

Introduction	序論
Changes to the Digital Ecosystem	デジタルエコシステムの変化
Hardening Digital Environments	デジタル環境の強化
Tactical Aspects of Digital Engagements	デジタルエンゲージメントの戦術的側面
Incentives and Opportunities	インセンティブと機会
Strategic Effects on Conflict and Crisis	紛争と危機への戦略的影響
Recommendations	提言
Incentivize Reliability Over Originality	独創性より信頼性を重視するインセンティブ
Fund Provable Security	証明可能なセキュリティへの資金提供
Fund Live Patching	ライブパッチングへの資金提供
Establish and Maintain Standards for Security and Reliability of AI Systems	AIシステムのセキュリティと信頼性に関する標準の確立と維持
Maintain the Option for Human Control	人間の制御オプションを維持する
Assess Compilation and Aggregation Risks	情報集積・集約リスクの評価
Enable Air-Gapping and Reduced Connectivity	エアギャップと接続性の低減を可能にする
Design Systems to Enhance Defensive Advantage	防御的優位性を高めるシステム設計
Practice AI-Induced Cyber Emergencies	AI誘発型サイバー緊急事態の訓練
Conclusion	結論

 

 

 

 

・2025.04.22 Defending Against Intelligent Attackers at Large Scales

Defending Against Intelligent Attackers at Large Scales	大規模なインテリジェントな攻撃者に対する防御
We investigate the scale of attack and defense mathematically in the context of AI's possible effect on cybersecurity. For a given target today, highly scaled cyber attacks such as from worms or botnets typically all fail or all succeed.	我々は、サイバーセキュリティに対する AI の影響の可能性という観点から、攻撃と防御の規模を数学的に調査した。今日の特定のターゲットに対して、ワームやボットネットによる大規模なサイバー攻撃は、通常、すべて失敗するか、すべて成功するかのどちらかである。
We investigate the scale of attack and defense mathematically in the context of AI’s possible effect on cybersecurity. For a given target today, highly scaled cyber attacks such as from worms or botnets typically all fail or all succeed. Here, we consider the effect of scale if those attack agents were intelligent and creative enough to act independently such that each attack attempt was different from the others or such that attackers could learn from their successes and failures. We find that small increases in the number or quality of defenses can compensate for exponential increases in the number of independent attacks and for exponential speedups.	我々は、サイバーセキュリティに対する AI の影響の可能性という観点から、攻撃と防御の規模を数学的に調査した。今日の特定のターゲットに対して、ワームやボットネットによる大規模なサイバー攻撃は、通常、すべて失敗するか、すべて成功するかのどちらかである。ここでは、それらの攻撃エージェントが、各攻撃の試みが他とは異なったものになるほど、あるいは攻撃者が成功や失敗から学ぶことができるほど、独立して行動できるほど知能的で創造的である場合の、規模の影響について考察する。防御の数や質がわずかに向上するだけで、独立した攻撃の数が指数関数的に増加したり、攻撃の速度が指数関数的に向上したりすることを補うことができることがわかった。

 

 

・[PDF] 

 

 

・2025.04.17 The Impact of AI on the Cyber Offense-Defense Balance and the Character of Cyber Conflict

The Impact of AI on the Cyber Offense-Defense Balance and the Character of Cyber Conflict	AI がサイバー攻撃と防御のバランス、およびサイバー紛争の性質に与える影響
Unlike other domains of conflict, and unlike other fields with high anticipated risk from AI, the cyber domain is intrinsically digital with a tight feedback loop between AI training and cyber application. Cyber may have some of the largest and earliest impacts from AI, so it is important to understand how the cyber domain may change as AI continues to advance. Our approach reviewed the literature, collecting nine arguments that have been proposed for offensive advantage in cyber conflict and nine proposed arguments for defensive advantage.	他の紛争分野や、AI によるリスクが高いと予想される他の分野とは異なり、サイバー分野は本質的にデジタルであり、AI のトレーニングとサイバーアプリケーションの間には緊密なフィードバックループが存在する。サイバーは、AI による最大かつ最も早い影響を受ける分野のひとつである可能性があるため、AI の進歩に伴いサイバー領域がどのように変化するかを理解することが重要である。我々のアプローチでは、文献をレビューし、サイバー紛争における攻撃的優位性について提案されている 9 つの議論と、防御的優位性について提案されている 9 つの議論を収集した。
Unlike other domains of conflict, and unlike other fields with high anticipated risk from AI, the cyber domain is intrinsically digital with a tight feedback loop between AI training and cyber application. Cyber may have some of the largest and earliest impacts from AI, so it is important to understand how the cyber domain may change as AI continues to advance. Our approach reviewed the literature, collecting nine arguments that have been proposed for offensive advantage in cyber conflict and nine proposed arguments for defensive advantage. We include an additional forty-eight arguments that have been proposed to give cyber conflict and competition its character as collected separately by Healey, Jervis, and Nandrajog. We then consider how each of those arguments and propositions might change with varying degrees of AI advancement. We find that the cyber domain is too multifaceted for a single answer to whether AI will enhance offense or defense broadly. AI will improve some aspects, hinder others, and leave some aspects unchanged. We collect and present forty-four ways that we expect AI to impact the cyber offense-defense balance and the character of cyber conflict and competition.	他の紛争分野や、AI によるリスクが高いと予想される他の分野とは異なり、サイバー領域は本質的にデジタルであり、AI のトレーニングとサイバーアプリケーションの間には緊密なフィードバックループが存在する。サイバーは AI による最大かつ最も早い影響を受ける分野である可能性があるため、AI の進歩に伴いサイバー領域がどのように変化するか理解することが重要である。我々のアプローチでは、文献をレビューし、サイバー紛争における攻撃的優位性について提案されている 9 つの主張と、防御的優位性について提案されている 9 つの主張を収集した。さらに、ヒーリー、ジャービス、ナンドラジョグが個別に収集した、サイバー紛争と競争の特性について提案されている 48 の主張を追加で含めた。次に、これらの議論や提案が、AI の進歩の程度によってどのように変化するかを考察した。AI が攻撃力や防御力を広く強化するかどうかについて、サイバー領域は多面的すぎて単一の答えは出せないことがわかった。AI は、ある側面は改善し、別の側面は阻害し、またある側面は変化させないだろう。AI がサイバー攻撃と防御のバランス、およびサイバー紛争と競争の特性に与える影響について、44 の方法を収集し、提示した。

 

・[PDF] 

・[DOCX][PDF] 仮訳

 

目次...

Contents	目次
1 Introduction	1 序論
2 The Offense-Defense Balance	2 攻撃と防御のバランス
3 Types of Attackers and Defenders	3 攻撃者と防御者の種類
3.1 Cyber threat actors	3.1 サイバー脅威アクター
3.2 Defenders or targets of attack	3.2 防御者または攻撃対象
4 Levels of AI Improvement	4 AIの進化段階
4.1 Status quo	4.1 現状
4.2 Reliable and independent	4.2 信頼性と自律性
4.3 Expert	4.3 専門家レベル
4.4 Hard limits	4.4 ハードリミット
4.5 Breaking limits	4.5 リミットの突破
5 Access to Advances	5 技術進歩へのアクセス
5.1 Controlled access to capability	5.1 能力への制御されたアクセス
5.2 Limited control of access to capability	5.2 能力へのアクセス制限
5.3 Proliferated models and agents	5.3 拡散したモデルとエージェント
6 AI Capabilities to Consider During Evaluation	6 評価時に考慮すべきAI能力
6.1 Strengths	6.1 強み
6.2 Weaknesses	6.2 弱み
7 Asymmetries Between Cyber Offense and Defense	7 サイバー攻撃と防御の非対称性
7.1 Defensive Asymmetries	7.1 防御側の非対称性
7.1.1 Defenders determine the digital terrain	7.1.1 防御側がデジタル戦場を決定する
7.1.2 Defense can be resilient	7.1.2 防御はレジリエンシーを持つ
7.1.3 Defenders can observe their networks	7.1.3 防御側は自身のネットワークを監視できる
7.1.4 Defenders can provision local resources	7.1.4 防御側はローカルリソースを調達できる
7.1.5 Attackers must penetrate all defenses	7.1.5 攻撃側は全ての防御を突破しなければならない
7.1.6 There are more defenders than attackers	7.1.6 防御側は攻撃側よりも数が多い
7.1.7 Attack takes time	7.1.7 攻撃には時間がかかる
7.1.8 Offense risks escalation	7.1.8 攻撃側はエスカレーションのリスクを負う
7.1.9 Attackers are illegitimate	7.1.9 攻撃側は非合法である
7.2 Offensive Asymmetries	7.2 攻撃側の非対称性
7.2.1 Attackers Only Need One Success	7.2.1 攻撃側はたった一度の成功でよい
7.2.2 Attackers Choose Who to Strike	7.2.2 攻撃者は標的を選べる
7.2.3 Attackers Choose When to Strike	7.2.3 攻撃者は攻撃のタイミングを選べる
7.2.4 Attackers Choose Their Goals	7.2.4 攻撃者は目標を選べる
7.2.5 Targets are Easy to Find	7.2.5 標的は容易に見つかる
7.2.6 Defense Requires Reliability	7.2.6 防御には信頼性が求められる
7.2.7 Defense Has More Bureaucracy	7.2.7 防御にはより多くの官僚主義が伴う
7.2.8 Defense Has Systematic Vulnerabilities	7.2.8 防御には体系的な脆弱性がある
7.2.9 Defense Has Systemic Vulnerabilities	7.2.9 防御にはシステム的な脆弱性がある
8 The Character of Cyber	8 サイバーの特徴
8.1 Tactically Moves At Network Speed	8.1 戦術レベルではネットワーク速度で動く
8.2 Slower at Operational, Strategic Levels	8.2 作戦・戦略レベルでは遅い
8.3 Cyberspace is a Scale-Free Network	8.3 サイバー空間はスケールフリーネットワークである
8.4 Cyberspace is Human-Made and Adaptable	8.4 サイバー空間は人工的で適応可能である
8.5 Cyberspace is Unfathomably Complex	8.5 サイバー空間は計り知れないほど複雑である
8.6 Cyberspace Contains Inherent Vulnerabilities	8.6 サイバー空間には固有の脆弱性が存在する
8.7 Low-Impact Reversible Effects of Capabilities	8.7 能力の影響は軽微で可逆的
8.8 Attack is Lesser Included Case of Espionage	8.8 攻撃は諜報活動の一形態
8.9 Fast Pace of Technological Change	8.9 技術変化の急速さ
8.10 Universal Interconnection and Dependence	8.10 普遍的な相互接続性と依存性
8.11 Permissionless Innovation and Connection	8.11 許可不要の革新と接続
8.12 Fuzzy Borders	8.12 境界の曖昧さ
8.13 Tied to the Physical World	8.13 物理世界との結びつき
8.14 Ease of Copying Information (and Capabilities)	8.14 情報（及び能力）の複製容易性
8.15 Dominated by Private Sector	8.15 民間セクターによる支配
8.16 Overall Attacker Advantage	8.16 全体的な攻撃者の優位性
8.17 Difficulty of Quick or Exact Attribution	8.17 迅速かつ正確な帰属の困難さ
8.18 Hard to Directly Observe	8.18 直接観察の困難さ
8.19 Capabilities Are Transitory and Have Hard to Predict Effects	8.19 能力は一時的であり、予測困難な効果を持つ
8.20 Adversary Forces in Constant Contact with Few if Any Operational Pauses	8.20 敵対勢力は絶え間なく接触し、作戦上の休止はほとんどない
8.21 Immediate Intercontinental Proximity to National Sources of Power	8.21 国家権力の源泉に大陸間規模で近接している
8.22 Advantage Comes From Use of Capabilities Not Possession	8.22 優位性は能力の保有ではなく使用から生まれる
8.23 Adversaries Routinely Use Capabilities Mostly Below Level of Armed Conflict 47	8.23 敵対勢力は主に武力紛争レベル以下で能力を日常的に使用する
8.24 Low Barriers of Entry	8.24 参入障壁が低い
8.25 Superiority Is Fleeting	8.25 優位性は一時的である
8.26 Capabilities Are Substantially Cheaper than in Other Domains	8.26 能力は他領域より大幅に安価である
8.27 Capabilities Can Be Rapidly Regenerated	8.27 能力は迅速に再構築可能
8.28 Attacks Might Lead to Catastrophic Effects	8.28 攻撃は壊滅的結果を招く恐れがある
8.29 Tactical Success Tied to Agility and Initiative	8.29 戦術的成功は機動力と主導力に依存
8.30 Strategic Success Possibly More Tied to Audacity and Initiative	8.30 戦略的成功は大胆さと主導力により依存する可能性が高い
8.31 Difficult to Deter	8.31 抑止が困難
8.32 Defensive Success Does not Discourage Attackers	8.32 防御的成功は攻撃者を阻まない
8.33 Difficult to Warn of Attacks	8.33 攻撃の事前警告が困難
8.34 Signaling Intent is Problematic	8.34 意図の伝達が困難
8.35 Likely to Be First Strike Weapons	8.35 先制攻撃兵器となる可能性が高い
8.36 Surprise Is More Important	8.36 驚異性がより重要
8.37 Easy for Nations to Leverage Proxies	8.37 国家が代理戦力を容易に活用可能
8.38 Offense and Defense Similar, Inform One Another	8.38 攻撃と防御が類似し、相互に影響し合う
8.39 Conceptual Confusion and Lack of Precise Definitions	8.39 概念の混乱と明確な定義の欠如
8.40 Insufficient and Competing Authorities	8.40 不十分かつ競合する権限
8.41 Difficult Command and Control	8.41 指揮統制が困難
8.42 Heavily Classified	8.42 機密指定が厳重
8.43 Tactical Engagement is Basic Unit of Analysis	8.43 戦術的交戦が分析の基本単位
8.44 Conflict Escalates Horizontally and Vertically Within Cyberspace but not Yet Out of It 56	8.44 サイバー空間内では水平・垂直方向に紛争がエスカレートするが、空間外への波及はまだ見られない 56
8.45 Cyber Conflict May Invite Escalation, Miscalculation, and Instability	8.45 サイバー紛争はエスカレーション、誤算、不安定化を招く恐れがある
8.46 Internet Has Common Mode Failures	8.46 インターネットは共通モード障害を抱える
8.47 Large Number of Devices Grants Advantage	8.47 多数のデバイスが優位性をもたらす
8.48 Cyberspace Advantages Those that Operate Persistently	8.48 サイバー空間は持続的に活動する者に有利である
9 AI’s Influence on Cyber	9 AIがサイバーに与える影響
9.1 Changes to the Digital Ecosystem	9.1 デジタル生態系の変化
9.2 Hardening Digital Environments	9.2 デジタル環境の強化
9.3 Tactical Aspects of Digital Engagements	9.3 デジタル交戦の戦術的側面
9.4 Incentives and Opportunities	9.4 インセンティブと機会
9.5 Strategic Effect on Conflict and Crisis	9.5 紛争と危機への戦略的影響
10 Conclusions	10 結論