まるちゃんの情報セキュリティ気まぐれ日記: July 2025

January 2026
Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

July 2025

2025.07.31

欧州委員会 AI法における汎用AIモデル提供者の義務範囲に関するガイドライン（2025.07.18）

こんにちは、丸山満彦です、

欧州委員会が、AI法におけえる汎用AIモデル提供者の義務範囲に関するガイドラインを公表していますね...

2025.07.10に公表された、汎用AI実践規範（第1章「透明性」と第2章「著作権」第3章「安全とセキュリティ」）を補完するものという位置付けのようです...

⚫︎ European Commission

・2025.07.18 Guidelines on the scope of obligations for providers of general-purpose AI models under the AI Act

・・[PDF] Communication - Approval of the content of the draft Guidelines on the scope of the obligations for general-purpose AI model

COMMUNICATION TO THE COMMISSION	委員会へのコミュニケーション
Approval of the content of the draft Communication from the Commission – Guidelines on the scope of the obligations for general-purpose AI models established by Regulation (EU) 2024/1689 (AI Act)	委員会からのコミュニケーションのドラフトの内容の承認 – 規則 (EU) 2024/1689 (AI 法) によって確立された汎用 AI モデルの義務の範囲に関するガイドライン
Regulation (EU) 2024/1689 of the European Parliament and the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending certain regulations (‘AI Act’) entered into force on 1 August 2024. Its aim is to promote innovation in and uptake of artificial intelligence (‘AI’) in the Union, while ensuring a high level of protection of health, safety and fundamental rights, including democracy and the rule of law.	欧州議会および理事会の規則（EU）2024/1689（2024年6月13日）は、人工知能に関する調和された規則を定めるとともに、特定の規則を改正する（『AI法』）もので、2024年8月1日に施行される。その目的は、健康、安全、および民主主義や法の支配を含む基本的権利の高度な保護を確保しつつ、欧州連合（EU）における人工知能（AI）のイノベーションと普及を促進することである。
Chapter V of the AI Act lays down obligations for the providers of general-purpose AI systems, divided into two categories: general-purpose AI model with and without systemic risk.	AI 法の第 5 章では、汎用 AI システムのプロバイダに対する義務が、システムリスクのある汎用 AI モデルとシステムリスクのない汎用 AI モデルという 2 つのカテゴリーに分類されて規定されている。
Pursuant to Article 96(1) of the AI Act, the Commission shall develop guidelines on the practical implementation of the AI Act. The draft Guidelines annexed to this Communication aim to increase legal clarity and to provide insights into the Commission’s interpretation of the provisions regarding general-purpose AI systems, in light of their imminent entry into application on from 2 August 2025.	AI 法第 96 条 (1) に基づき、欧州委員会は AI 法の実際的な実施に関するガイドラインを策定することになっている。このコミュニケーションに添付されているガイドラインのドラフトは、2025 年 8 月 2 日からの適用開始を控え、法的明確性を高め、汎用 AI システムに関する規定の欧州委員会の解釈について理解を深めることを目的としている。
The draft Guidelines on general-purpose AI aim to clarify key concepts of the AI Act, such as what is a ‘general-purpose AI model’, a ‘provider of a general-purpose AI model’, a ‘placing on the market of a general-purpose AI model’, and how to estimate the computational resources used for training a general-purpose AI model. Beyond these conceptual clarifications, the draft Guidelines aim to clarify how the AI Office will support and work with providers who must comply with the general-purpose AI rules. In all above-mentioned cases, the proposed approach is pragmatic and practical.	汎用 AI に関するガイドライン草案は、AI 法における「汎用 AI モデル」とは何か、「汎用 AI モデルのプロバイダ」とは何か、「汎用 AI モデルの上市」とは何か、汎用 AI モデルのトレーニングに使用される計算リソースをどのように推定するかなど、AI 法の重要な概念を明確にするものである。これらの概念の明確化に加え、ガイドライン草案は、AI 事務局が、汎用 AI 規則を遵守しなければならないプロバイダをどのように支援し、連携していくかを明確にするものである。上記のすべての場合において、提案されているアプローチは実用的かつ実践的なものである。
The draft Guidelines are also part of the package that prepares the entry of application of the rules for providers of general-purpose AI models. The package will contain these draft Guidelines, the General-Purpose AI Code of Practice and the adequacy assessment by the Commission and the AI Board, the Template for transparency on training data, and further elements like a template for notifications that providers of general-purpose AI models with systemic risk to submit to the AI Office.	ガイドライン草案は、汎用 AI モデルプロバイダに対する規則の適用開始に備えるパッケージの一部でもあります。このパッケージには、本ガイドライン草案、汎用 AI 行動規範、欧州委員会および AI 委員会による妥当性評価、トレーニングデータの透明性に関するテンプレート、およびシステムリスクを伴う汎用 AI モデルの提供者が AI 事務局に提出する通知のテンプレートなどの追加要素が含まれる。
Such clarity is essential for providers of general-purpose AI models, since the obligations are directly applicable as from 2 August 2025. In view of this imminent entry into application and the time necessary for the translation of the guidelines into all languages, the Commission is called upon to approve the content of draft Communication from the Commission on Guidelines on the scope of the obligations for general-purpose AI models established by Regulation (EU) 2024/1689.	2025 年 8 月 2 日から義務が直接適用されるため、このような明確化は、汎用 AI モデルの提供者にとって不可欠である。この適用開始が間近であり、ガイドラインをすべての言語に翻訳するのに必要な時間を考慮して、委員会は、規則（EU）2024/1689 で定められた汎用 AI モデルの義務の範囲に関するガイドラインに関する委員会からのコミュニケーションのドラフトの内容を承認するよう求められている。
The Guidelines will be formally adopted by the Commission at a later date, when all language versions are available. It is only from that moment that these Guidelines will be applicable.	ガイドラインは、すべての言語版が利用可能になった時点で、後日、欧州委員会によって正式に採択される。このガイドラインは、その時点から適用される。
The text of the draft Guidelines is enclosed as an Annex to this Communication.	ガイドラインのドラフトは、このコミュニケーションの附属書として添付されている。

・・[PDF] Guidelines on the scope of the obligations for general-purpose AI models established by AI Act

・[DOCX][PDF] 仮訳

目次...

1. Background and objectives of the Commission guidelines	1. 委員会ガイドラインの背景と目的
2. General-purpose AI models	2. 汎用AIモデル
2.1. When is a model a general-purpose AI model?	2.1. モデルが汎用AIモデルである場合とは？
2.2. The lifecycle of a general-purpose AI model	2.2. 汎用AIモデルのライフサイクル
2.3. When is a general-purpose AI model a general-purpose AI model with systemic risk?	2.3. 汎用AIモデルがシステム的リスクを有する汎用AIモデルとなるのはいつであるか？
2.3.1. Classification	2.3.1. 分類
2.3.2. Notification	2.3.2. 通知
2.3.3. Procedure for contesting classification	2.3.3. 分類の異議申し立て手続き
2.3.4. Designation	2.3.4. 指定
2.3.5. Procedure for contesting designation	2.3.5. 指定の異議申立て手続
3. Providers placing on the market general-purpose AI models	3. 汎用AIモデルを市場に提供する事業者
3.1. When is an actor a provider placing on the market a general-purpose AI model?	3.1. いつ、行為者が汎用AIモデルの市場に供給する供給者となるか？
3.1.1. Examples of providers of general-purpose AI models	3.1.1. 汎用AIモデルの提供者の例
3.1.2. Examples of placing on the market of general-purpose AI models	3.1.2. 汎用AIモデルの市場への提供の例
3.1.3. Considerations for general-purpose AI models integrated into AI systems	3.1.3. AIシステムに組み込まれた汎用AIモデルに関する考慮事項
3.2. Downstream modifiers as providers of general-purpose AI models	3.2. 下流の改変者が汎用AIモデルの提供者としての地位
3.2.1. Downstream modifiers becoming providers of general-purpose AI models	3.2.1. 下流の修正者が汎用AIモデルのの提供者となる場合
3.2.2. Downstream modifiers becoming providers of general-purpose AI models with systemic risk	3.2.2. システム的リスクを有する汎用AIモデルの改変者となる下流の改変者
4. Exemptions from certain obligations for certain models released as open-source	4. オープンソースとして公開される特定のモデルに対する特定の義務の免除
4.1. Scope of the exemptions	4.1. 免除の適用範囲
4.2. Conditions for the exemptions to apply	4.2. 免除の適用条件
4.2.1. Conditions on the licence	4.2.1. ライセンスに関する条件
4.2.2. Lack of monetisation	4.2.2. 収益化の不存在
4.2.3. Public availability of parameters, including the weights, the information on the model architecture, and the information on model usage	4.2.3. パラメーターの公開性（重み、モデルアーキテクチャに関する情報、およびモデルの使用に関する情報）
5. Enforcement of the obligations for providers of general-purpose AI models	5. 汎用AIモデル提供者の義務の履行
5.1. Effects of adhering to a code of practice assessed as adequate	5.1. 適切なものと評価された行動規範の遵守の効果
5.2. Supervision, investigation, enforcement, and monitoring of Chapter V of the AI Act	5.2. AI法第5章の監督、調査、執行、および監視
5.3. Compliance after entry into application of Chapter V of the AI Act on 2 August 2025	5.3. 2025年8月2日にAI法第5章が適用開始された後の遵守
6. Review and update of the Commission guidelines	6. 委員会ガイドラインの見直しおよび更新
Annex: Training compute of general-purpose AI models	附属書：汎用AIモデルの訓練計算
A.1. What should be estimated?	A.1. 何を推定すべきか？
A.2. How should training compute be estimated?	A.2. 訓練計算リソースはどのように見積もるべきか？
A.2.1. Hardware-based approach	A.2.1. ハードウェアベースのアプローチ
A.2.2. Architecture-based approach	A.2.2. アーキテクチャに基づくアプローチ
A.3. Training compute of models with approximately one billion parameters	A.3. モデルパラメーターが約10億のモデルの訓練計算量

発表...

・2025.07.18 Learn more about the guidelines for providers of general-purpose AI models

Learn more about the guidelines for providers of general-purpose AI models	汎用 AI モデル提供者に関するガイドラインの詳細
The Commission published guidelines on the scope of obligations for providers of general-purpose AI models under the AI Act.	欧州委員会は、AI 法に基づく汎用 AI モデル提供者の義務の範囲に関するガイドラインを発表した。
The aim is to provide legal certainty to actors across the AI value chain by clarifying when and how they are required to comply with these obligations.	その目的は、AI バリューチェーンに関わる関係者に、これらの義務をいつ、どのように遵守すべきかを明確にし、法的確実性を提供することでである。
These guidelines are part of a broader package tied to the entry into application on 2 August 2025 of the EU-wide rules for providers of general-purpose AI models. They complement the General-Purpose AI Code of Practice that the Commission received from independent experts on 10 July.	このガイドラインは、2025年8月2日に施行される、汎用 AI モデル提供者に関する EU 全体の規則と連動した、より広範なパッケージの一部である。これは、7月10日に独立専門家から欧州委員会に提出された「汎用 AI 行動規範」を補完するものである。
General-purpose AI models play a significant role in encouraging innovation and uptake of AI within the EU, as they can be used for a variety of tasks and integrated into a wide array of AI systems. For this reason, providers of such models have certain obligations under the AI Act.	汎用 AI モデルは、さまざまなタスクに使用でき、幅広い AI システムに統合できるため、EU における AI のイノベーションと普及を促進する上で重要な役割を果たしている。このため、このようなモデルの提供者は、AI 法に基づき一定の義務を負っている。
These obligations include giving information to providers of AI systems intending to integrate the model into their AI systems and putting in place a policy to comply with European copyright law. In addition, providers of the most advanced or most impactful general-purpose AI models, namely those presenting systemic risks, are subject to the additional obligations to assess and mitigate these systemic risks. Systemic risks include risks to fundamental rights and safety, and risks related to loss of control over the model.	これらの義務には、モデルを AI システムに統合しようとする AI システム提供者に情報を提供すること、および欧州の著作権法を遵守するためのポリシーを策定することが含まれる。さらに、最も先進的または最も影響力の大きい汎用 AI モデル、すなわち、システミックリスクをもたらす AI モデル提供者は、これらのシステミックリスクを評価し、緩和する追加の義務を負う。システミックリスクには、基本的権利および安全に対するリスク、およびモデルに対する制御の喪失に関連するリスクが含まれる。
These guidelines clarify the scope of the obligations and to whom they apply. The guidelines focus on four key topics:	本ガイドラインは、義務の範囲および義務の対象者を明確にしています。本ガイドラインは、4 つの主要トピックに焦点を当てている。
・General-purpose AI models: An AI model is considered to be a general-purpose AI model if it was trained using an amount of computational resources (‘compute’) that exceeds 10^23 floating point operations and if it can generate language (whether in the form of text or audio), text-to-image or text-to-video.	・汎用 AI モデル：AI モデルは、10^23 以上の浮動小数点演算の計算リソース（「演算能力」）を使用して訓練され、言語（テキストまたは音声の形式を問わず）、テキストから画像、またはテキストから動画を生成できる場合、汎用 AI モデルとみなされる。
・Providers of general-purpose AI models: The guidelines outline the concepts of a ‘provider’ and of ‘placing on the market’ and clarify when an actor modifying a general-purpose AI model is considered to become a provider.	・汎用 AI モデル提供者：このガイドラインでは、「提供者」および「上市」の概念の概要を説明し、汎用 AI モデルを改変する事業者が提供者とみなされる場合について明確化している。
・Exemptions from certain obligations: The guidelines clarify under what conditions providers of general-purpose AI models released under a free and open-source license and satisfying certain transparency conditions may be exempt from certain obligations under the AI Act.	・特定の義務の免除：このガイドラインでは、フリーでオープンソースのライセンスに基づいてリリースされ、特定の透明性条件を満たす汎用 AI モデル提供者が、AI 法に基づく特定の義務を免除される条件について明確化している。
・Enforcement of obligations: The guidelines explain the implications for providers of general-purpose AI models that choose to adhere and implement the General-Purpose AI Code of Practice, and outline Commission expectations regarding compliance as from 2 August 2025.	・義務の執行：このガイドラインでは、汎用 AI コード・オブ・プラクティスを遵守し、実施することを選択した汎用 AI モデル提供者に対する影響について説明し、2025 年 8 月 2 日以降の遵守に関する欧州委員会の期待事項の概要を記載している。
Next steps	次のステップ
The AI Act obligations for providers of general-purpose AI models enter into application on 2 August 2025. From that date onwards, providers placing general-purpose AI models on the market must comply with their respective AI Act obligations. Providers of general-purpose AI models that will be classified as general-purpose AI models with systemic risk must notify the AI Office without delay. In the first year after entry into application of these obligations, the AI Office will work closely with providers, in particular those who adhere to the General-Purpose AI Code of Practice, to help them comply with the rules. From 2 August 2026, the Commission’s enforcement powers enter into application.	汎用 AI モデル提供者に対する AI 法の義務は、2025 年 8 月 2 日から適用されます。この日から、汎用 AI モデルを上市する提供者は、AI 法に基づくそれぞれの義務を遵守しなければならない。システムリスクのある汎用 AI モデルに分類される汎用 AI モデル提供者は、AI 事務局に遅滞なく通知しなければならない。これらの義務の適用開始後 1 年間は、AI 事務局は、特に汎用 AI 行動規範を遵守する提供者と緊密に連携し、規則の遵守を支援する。2026年8月2日より、欧州委員会の執行権限が適用される。
Providers of general-purpose AI models already on the market before 2 August 2025 must comply with the relevant obligations under the AI Act by 2 August 2027.	2025年8月2日より前にすでに市場に投入されている汎用AIモデルの提供者は、2027年8月2日までにAI法に基づく関連義務を遵守しなければならない。
Background	背景
The AI Act’s obligations for providers of general-purpose AI models aim to ensure that general-purpose AI models are transparent, in line with EU and national copyright law, and that providers of the most advanced or most impactful general-purpose AI models assess and mitigate the systemic risks presented by these models. To help providers of general-purpose AI models comply with the AI Act, the Commission is making available a package of information, which includes the guidelines, the General-Purpose AI Code of Practice, and further tools to assist providers, such as the AI Act Service Desk.	AI 法における汎用 AI モデルの提供者に対する義務は、汎用 AI モデルが EU および各国の著作権法に準拠し、透明性を確保するとともに、最先端または影響力の大きい汎用 AI モデル提供者が、これらのモデルがもたらすシステミックリスクを評価し、緩和することを目的としている。汎用 AI モデルの提供者が AI 法を遵守するのを支援するため、欧州委員会は、ガイドライン、汎用 AI 行動規範、AI 法サービスデスクなどの提供者を支援するためのツールを含む一連の情報を公開している。
The guidelines were developed through a public consultation, during which the Commission gathered input from hundreds of stakeholders. They also reflect input from the expert pool set up by the Commission’s Joint Research Centre to advise the AI Office on the classification of AI models, including general-purpose AI models and those with systemic risk, as well as feedback from other experts.	このガイドラインは、委員会が数百人の利害関係者から意見を収集した公開協議を経て作成された。また、汎用 AI モデルやシステミックリスクのある AI モデルなどの AI モデルの分類について AI 事務局に助言を行う、委員会合同研究センターが設立した専門家プールからの意見や、その他の専門家からのフィードバックも反映されている。
While not legally binding, these guidelines set out the Commission’s interpretation and application of the AI Act, which will guide its enforcement actions.	このガイドラインは法的拘束力はありませんが、AI 法に関する委員会の解釈と適用を規定しており、その施行措置の指針となる。
Find more information about the Guidelines for providers of general-purpose AI models:	汎用 AI モデル提供者向けガイドラインの詳細については、以下を参照。
Q&A	Q&A
Webpage	ウェブページ

参考

AI法に関する詳細な欧州委員会による説明

・AI Act

欧州委員会意見書（EU）2024/1689規則第56条に基づく汎用AI行動規範の評価

・2025.08.01 Commission Opinion on the assessment of the General-Purpose AI Code of Practice

・・[PDF] COMMISSION OPINION of 1.8.2025 on the assessment of the General-Purpose AI Code of Practice within the meaning of Article 56 of Regulation (EU) 2024/1689

・[DOCX][PDF] 仮訳

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.25 欧州委員会汎用 AI 実践規範 (2025.07.10)

・2025.04.11 欧州委員会 AI大陸行動計画 (2025.04.09)

・2025.03.13 欧州委員会 AI法における汎用AIモデル - Q&A (2025.03.10)

・2025.02.08 欧州委員会規則（EU）2024/1689（AI法）が定める人工知能の禁止行為に関する欧州委員会ガイドライン

・2024.12.22 欧州委員会汎用AI実践規範の第2ドラフトを発表 (2024.12.19)

・2024.12.06 欧州委員会 AI法における汎用AIモデル - Q&A (2024.11.20)

・2024.11.17 欧州委員会汎用AI実践規範の最初のドラフトを発表 (2024.11.14)

・2024.10.30 欧州 AI法の調和標準の策定について...

・2024.09.08 欧州評議会 AI条約の署名開始... (2024.09.05)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

2025.07.31 00:00 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

埼玉県警サイバーテスト：児童・生徒のサイバーセキュリティに関する学習の理解度を図るための確認テスト（2025.07.14）

こんにちは、丸山満彦です。

埼玉県警察サイバー局が小学生、中学生、高校生等の若者向けサイバーセキュリティ教養として、児童・生徒のサイバーセキュリティに関する学習の理解度を図るための確認テスト（サイバーテスト）を作成し、公表していますね...

ネットリテラシー
闇バイト
サイバー犯罪

といった年齢層に合わせた３つが用意されていますね...

子供のいるご家庭の方は子供にやってもらってもよいかもですね...

⚫︎ 埼玉県警察

・2025.07.14 サイバーテストの作成と活用

・ネットリテラシー（SNSの正しい利用）

・・[問題][回答]

・闇バイト

・・[問題][回答]

・サイバー犯罪

・・[問題][回答]

2025.07.31 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2025.07.30

SEC Cybersecurity の開示昨年からの比較...

こんにちは、丸山満彦です。

2023.07.26にSECのルールが改正され、Cybersecurityについての開示が強化され、2023.12.15以後に終了する事業年度から、その開示が求められることになりましたが、それから1年と半年以上がすぎ、Form10-Kに記載されている事例、Form20-Fに記載されている事例もあります。２年間比較ができるようになったので、ちょっと紹介...

米国企業の場合は、10-KのItem 1C. Cybersecurityに

Risk Management and Strategyとして、サイバーセキュリティの脅威から生じる重要性のあるリスクの評価、特定、管理についてのプロセスがある場合には、

そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

また、過去のサイバーセキュリティインシデントの結果を含むサイバーセキュリティの脅威から生じるリスクが、その企業の事業戦略、業績、財務状況を含め、重要な影響を与えたか、重要な影響を与える可能性が合理的に高いかどうか、どのように影響を与えた（または、与える可能性が合理的に高いか）を記載する必要があります。。。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
- どの経営委員会又は役職が負うのか、
- その担当者や委員が有する関連する専門知識
その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

海外企業の場合は、20-FのItem 16K. Cybersecurityに

そのプロセスが、全体的リスク管理システムまたはプロセスに統合されているか、またどのように統合されているか
そのプロセスに関連して、評価者、コンサルタント、監査人またはその他の第三者を従事させているか
第三者の利用に関連するサイバーセキュリティの脅威から生じるリスクを監視および特定するプロセスを有しているか

を記載することになります。

そして、

Governanceとして、サイバーセキュリティリスクについての取締役会の監督、経営者の役割についての記載が必要となります。

取締役会としての監督については、

サイバーセキュリティの脅威から生じるリスクの監督に責任を負う、取締役委員会または小委員会の特定
そのようなリスクについて取締役会または委員会が情報提供を受けるプロセス

経営者としての役割としては、

経営委員会または役職がそのようなリスクの評価や管理の責任を負うか、責任を負う場合には
- どの経営委員会又は役職が負うのか、
- その担当者や委員が有する関連する専門知識
その担当者または委員会がサイバーセキュリティインシデントの防止、検出、軽減、是正についての情報を提供され、監視を行うプロセス
その担当者または委員会は、当該リスクに関する情報を取締役会または取締役会内の委員会や小委員会に報告するか

詳細のルールは[PDF] SEC 17 CFR Parts 229, 232, 239, 240, and 249 [Release Nos. 33-11216; 34-97989; File No. S7-09-22] RIN 3235-AM89 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

1_20240714072701

● SECURITIES AND EXCHANGE COMMISSION - EDGAR

ということで、まずは、昨年みた10-K企業の比較...

・IBM

・Intel

・Boeing

・American Express

・Johnson & Johnson

・Pfizer

・Coca-Cola

・McDonalds Corp.

McDonaldsを除くと大きな変更はないように思います。（もともと、毎年大きな変更するようなものではないですし...）

・ INTERNATIONAL BUSINESS MACHINES CORP (IBM)

・Intel

・2024.01.26 10-K (Annual report)	・2025.01.31 10-K (Annual report)
Cybersecurity	Cybersecurity
We face significant and persistent cybersecurity risks due to: the breadth of geographies, networks, and systems we must defend against cybersecurity attacks; the complexity, technical sophistication, value, and widespread use of our systems, products and processes; the attractiveness of our systems, products and processes to threat actors (including state-sponsored organizations) seeking to inflict harm on us or our customers; the substantial level of harm that could occur to us and our customers were we to suffer impacts of a material cybersecurity incident; and our use of third-party products, services and components. We are committed to maintaining robust governance and oversight of these risks and to implementing mechanisms, controls, technologies, and processes designed to help us assess, identify, and manage these risks. While we have not, as of the date of this Form 10-K, experienced a cybersecurity threat or incident that resulted in a material adverse impact to our business or operations, there can be no guarantee that we will not experience such an incident in the future. Such incidents, whether or not successful, could result in our incurring significant costs related to, for example, rebuilding our internal systems, writing down inventory value, implementing additional threat protection measures, providing modifications or replacements to our products and services, defending against litigation, responding to regulatory inquiries or actions, paying damages, providing customers with incentives to maintain a business relationship with us, or taking other remedial steps with respect to third parties, as well as incurring significant reputational harm. In addition, these threats are constantly evolving, thereby increasing the difficulty of successfully defending against them or implementing adequate preventative measures. We have seen an increase in cyberattack volume, frequency, and sophistication. We seek to detect and investigate unauthorized attempts and attacks against our network, products, and services, and to prevent their occurrence and recurrence where practicable through changes or updates to our internal processes and tools and changes or updates to our products and services; however, we remain potentially vulnerable to known or unknown threats. In some instances, we, our suppliers, our customers, and the users of our products and services can be unaware of a threat or incident or its magnitude and effects. Further, there is increasing regulation regarding responses to cybersecurity incidents, including reporting to regulators, which could subject us to additional liability and reputational harm. See "Risk Factors" for more information on our cybersecurity risks and product vulnerability risks.	We face significant and persistent cybersecurity risks due to: the breadth of geographies, networks, and systems we must defend against cybersecurity attacks; the complexity, technical sophistication, value, and widespread use of our systems, products and processes; the attractiveness of our systems, products, and processes to threat actors (including state-sponsored organizations) seeking to inflict harm on us or our customers; the substantial level of harm that could occur to us and our customers were we to suffer impacts of a material cybersecurity incident; and our use of third-party products, services, and components. We are committed to maintaining robust governance and oversight of cybersecurity risks and to implementing mechanisms, controls, technologies, and processes designed to help us assess, identify, and manage these risks. See "Risk Factors" for more information on our cybersecurity risks and product vulnerability risks. While we have not, as of the date of this Form 10-K, experienced a cybersecurity threat or incident that resulted in a material adverse impact to our business or operations, there can be no guarantee that we will not experience such an incident in the future. We have seen an increase in cyberattack volume, frequency, and sophistication. Our cybersecurity program and governance approach are designed to protect our network and information systems, and we have policies, procedures, processes, and controls in place to identify, manage, and respond to risks from cybersecurity threats. We seek to detect and investigate unauthorized attempts and attacks against our network, products, and services, and to prevent their occurrence and recurrence where practicable through changes or updates to our internal processes and tools and changes or updates to our products and services; however, we remain potentially vulnerable to known or unknown threats. In some instances, we, our suppliers, our customers, and the users of our products and services can be unaware of a threat or incident or its magnitude and effects. Further, there is increasing regulation regarding responses to cybersecurity incidents, including reporting to regulators, which could subject us to additional liability and reputational harm.
We aim to incorporate industry best practices throughout our cybersecurity program. Our cybersecurity strategy focuses on implementing effective and efficient controls, technologies, and other processes to assess, identify, and manage material cybersecurity risks. Our cybersecurity program is designed to be aligned with applicable industry standards and is assessed annually by independent third-party auditors. We have processes in place to assess, identify, manage, and address material cybersecurity threats and incidents. These include, among other things: annual and ongoing security awareness training for employees; mechanisms to detect and monitor unusual network activity; and containment and incident response tools. We actively engage with industry groups for benchmarking and awareness of best practices. We monitor issues that are internally discovered or externally reported that may affect our products, and have processes to assess those issues for potential cybersecurity impact or risk. We also have a process in place to manage cybersecurity risks associated with third-party service providers. We impose security requirements upon our suppliers, including: maintaining an effective security management program; abiding by information handling and asset management requirements; and notifying us in the event of any known or suspected cyber incident.	We aim to incorporate industry best practices throughout our cybersecurity program. Our cybersecurity program includes written policies, standards, and procedures for information security, product security, and data privacy; is designed to be aligned with applicable industry standards; and is assessed annually by independent third-party auditors. Our cybersecurity strategy focuses on implementing effective and efficient controls, technologies, and other processes to assess, identify, manage, and address material cybersecurity threats, risks, and incidents. These include, among other things: annual and ongoing security awareness training for employees; mechanisms to detect and monitor unusual network activity; and containment and incident response tools. We actively engage with industry groups for benchmarking and awareness of best practices. We monitor issues that are internally discovered or externally reported and have processes to assess those issues for potential cybersecurity impact or risk. We also have a process in place to manage cybersecurity risks associated with third-party service providers. We impose security requirements upon our suppliers, including: maintaining an effective security management program; abiding by information handling and asset management requirements; and notifying us in the event of any known or suspected cyber incident.
Our Board of Directors has ultimate oversight of cybersecurity risk, which it manages as part of our enterprise risk management program. That program is utilized in making decisions with respect to company priorities, resource allocations, and oversight structures. The Board of Directors is assisted by the Audit & Finance Committee, which regularly reviews our cybersecurity program with management and reports to the Board of Directors. Cybersecurity reviews by the Audit & Finance Committee or the Board of Directors generally occur at least twice annually, or more frequently as determined to be necessary or advisable. A number of Intel directors have experience in assessing and managing cybersecurity risk.	Our Board of Directors has ultimate oversight of cybersecurity risk, which it manages as part of our enterprise risk management program. That program is utilized in making decisions with respect to company priorities, resource allocations, and oversight structures. The Board of Directors is assisted by the Audit & Finance Committee, which regularly reviews our cybersecurity program with management and reports to the Board of Directors. Cybersecurity reviews by the Audit & Finance Committee or the Board of Directors generally occur at least twice annually, or more frequently as determined to be necessary or advisable. A number of Intel directors have experience in assessing and managing cybersecurity risk.
Our cybersecurity program is run by our Chief Information Security Officer (CISO), who reports to our Executive Vice President and Chief Technology Officer (CTO). Our CISO is informed about and monitors prevention, detection, mitigation, and remediation efforts through regular communication and reporting from professionals in the information security team, many of whom hold cybersecurity certifications such as a Certified Information Systems Security Professional or Certified Information Security Manager, and through the use of technological tools and software and results from third party audits. Our CISO and CTO have extensive experience assessing and managing cybersecurity programs and cybersecurity risk. Our CISO has served in that position since 2015 and, before Intel, was previously the Chief Security Officer at McAfee and the Chief Information Officer and CISO for the US House of Representatives. Our CTO joined Intel in 2021 and was previously Senior Vice President and CTO at VMware, with responsibility for product security. Our CISO and CTO regularly report directly to the Audit & Finance Committee or the Board of Directors on our cybersecurity program and efforts to prevent, detect, mitigate, and remediate issues. In addition, we have an escalation process in place to inform senior management and the Board of Directors of material issues.	Our cybersecurity program is run by our Chief Information Security Officer (CISO), who reports to our Executive Vice President and Chief Technology Officer (CTO). Our CISO is informed about and monitors prevention, detection, mitigation, and remediation efforts through regular communication and reporting from professionals in the information security team—many of whom hold cybersecurity certifications such as a Certified Information Systems Security Professional or Certified Information Security Manager—and through the use of technological tools and software and results from third-party audits. Our CISO and CTO have extensive experience assessing and managing cybersecurity programs and cybersecurity risk. Our CISO has served in that position since 2015 and, before Intel, was the Chief Security Officer at McAfee and the Chief Information Officer and CISO for the US House of Representatives. Our CTO joined Intel in 2021 and was previously Senior Vice President and CTO at VMware, with responsibility for product security. Our CISO and CTO regularly report directly to the Audit & Finance Committee or the Board of Directors on our cybersecurity program and efforts to prevent, detect, mitigate, and remediate issues. In addition, we have an escalation process in place to inform senior management and the Board of Directors of material issues.

・Boeing

・2024.01.31 10-K (Annual report)	・2025.02.03 10-K (Annual report)
Item 1C.Cybersecurity	Item 1C.Cybersecurity
Risk Management and Strategy	Risk Management and Strategy
Our cybersecurity strategy prioritizes detection, analysis and response to known, anticipated or unexpected threats; effective management of security risks; and resiliency against incidents. Our cybersecurity risk management processes include technical security controls, policy enforcement mechanisms, monitoring systems, employee training, contractual arrangements, tools and related services from third-party providers, and management oversight to assess, identify and manage material risks from cybersecurity threats. We implement risk-based controls to protect our information, the information of our customers, suppliers, and other third parties, our information systems, our business operations, and our products and related services. We have adopted security-control principles based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework, other industry-recognized standards, and contractual requirements, as applicable. We also leverage government partnerships, industry and government associations, third-party benchmarking, the results from regular internal and third-party audits, threat intelligence feeds, and other similar resources to inform our cybersecurity processes and allocate resources.	Our cybersecurity strategy prioritizes detection, analysis and response to known, anticipated or unexpected threats; effective management of security risks; and resiliency against incidents. Our cybersecurity risk management processes include technical security controls, policy enforcement mechanisms, monitoring systems, employee training, contractual arrangements, tools and related services from third-party providers, and management oversight to assess, identify and manage material risks from cybersecurity threats. We implement risk-based controls to protect our information, the information of our customers, suppliers, and other third parties, our information systems, our business operations, and our products and related services. We have adopted security-control principles based on the National Institute of Standards and Technology (NIST) Cybersecurity Framework, other industry-recognized standards, and contractual requirements, as applicable. We also leverage government partnerships, industry and government associations, third-party benchmarking, the results from regular internal and third-party audits, threat intelligence feeds, and other similar resources to inform our cybersecurity processes and allocate resources.
We maintain security programs that include physical, administrative and technical safeguards, and we maintain plans and procedures whose objective is to help us prevent and timely and effectively respond to cybersecurity threats or incidents. Through our cybersecurity risk management process, we continuously monitor cybersecurity vulnerabilities and potential attack vectors to company systems as well as our aerospace products and services, and we evaluate the potential operational and financial effects of any threat and of cybersecurity countermeasures made to defend against such threats. We continue to integrate our cyber practice into our Enterprise Risk Management program and our Compliance Risk Management program, both of which are overseen by our Board of Directors and provide central, standardized frameworks for identifying and tracking cyber-related business and compliance risks across the Company. Risks from cybersecurity threats to our products and services are also overseen by our Board of Directors. In addition, we periodically engage third-party consultants to assist us in assessing, enhancing, implementing, and monitoring our cybersecurity risk management programs and responding to any incidents.	We maintain security programs that include physical, administrative and technical safeguards, and we maintain plans and procedures whose objective is to help us prevent and timely and effectively respond to cybersecurity threats or incidents. Through our cybersecurity risk management process, we continuously monitor cybersecurity vulnerabilities and potential attack vectors to company systems as well as our aerospace products and services, and we evaluate the potential operational and financial effects of any threat and of cybersecurity countermeasures made to defend against such threats. We continue to integrate our cyber practice into our Enterprise Risk Management program and our Compliance Risk Management program, both of which are overseen by our Board of Directors and provide central, standardized frameworks for identifying and tracking cyber-related business and compliance risks across the Company. Risks from cybersecurity threats to our products and services are also overseen by our Board of Directors. In addition, we periodically engage third-party consultants to assist us in assessing, enhancing, implementing, and monitoring our cybersecurity risk management programs and responding to any incidents.
As part of our cybersecurity risk management process, we conduct “tabletop” exercises during which we simulate cybersecurity incidents to ensure that we are prepared to respond to such an incident and to highlight any areas for potential improvement in our cyber incident preparedness. These exercises are conducted at both the technical level and senior management level, which has included participation by a member of our Board of Directors. In addition, all employees are required to pass a mandatory cybersecurity training course on an annual basis and receive monthly phishing simulations to provide “experiential learning” on how to recognize phishing attempts.	As part of our cybersecurity risk management process, we conduct “tabletop” exercises during which we simulate cybersecurity incidents to ensure that we are prepared to respond to such an incident and to highlight any areas for potential improvement in our cyber incident preparedness. In addition, all employees are required to complete a mandatory cybersecurity training course on an annual basis and receive monthly phishing simulations to provide “experiential learning” on how to recognize phishing attempts.
We have established a cybersecurity supply chain risk management program, which is a cross-functional program that forms part of our Enterprise Risk Management program and is supported by our security, compliance, and supply chain organizations. Through this evolving program, we assess the risks from cybersecurity threats that impact select suppliers and third-party service providers with whom we share personal identifying and confidential information. We continue to evolve our oversight processes to mature how we identify and manage cybersecurity risks associated with the products or services we procure from such suppliers. We generally require our suppliers to adopt security-control principles based on industry-recognized standards.	We have established a cybersecurity supply chain risk management program, which is a cross-functional program that forms part of our Enterprise Risk Management program and is supported by our security, compliance, and supply chain organizations. Through this evolving program, we assess the risks from cybersecurity threats that impact select suppliers and third-party service providers with whom we share personal identifying and confidential information. We continue to evolve our oversight processes to mature how we identify and manage cybersecurity risks associated with the products or services we procure from such suppliers. We generally require our suppliers to adopt security-control principles based on industry-recognized standards.
We have experienced, and may in the future experience, whether directly or through our supply chain or other channels, cybersecurity incidents. While prior incidents have not materially affected our business strategy, results of operations or financial condition, and although our processes are designed to help prevent, detect, respond to, and mitigate the impact of such incidents, there is no guarantee that a future cyber incident would not materially affect our business strategy, results of operations or financial condition. See “Risks Related to Cybersecurity and Business Disruptions” in “Risk Factors” on page 14 of this Form 10-K.	We have experienced, and may in the future experience, whether directly or through our supply chain or other channels, cybersecurity incidents. While prior incidents have not materially affected our business strategy, results of operations or financial condition, and although our processes are designed to help prevent, detect, respond to, and mitigate the impact of such incidents, there is no guarantee that a future cyber incident would not materially affect our business strategy, results of operations or financial condition. See “Risks Related to Technology, Security and Business Disruptions” in “Risk Factors” on pages 14 - 15 of this Form 10-K.
Governance	Governance
Our Board of Directors has overall responsibility for risk oversight, with its committees assisting the Board in performing this function based on their respective areas of expertise. Our Board of Directors has delegated oversight of risks related to cybersecurity to two Board committees, the Audit Committee and the Aerospace Safety Committee, and each committee reports on its activities and findings to the full Board after each meeting. The Audit Committee is charged with reviewing our cybersecurity processes for assessing key strategic, operational, and compliance risks. Our Chief Information Officer and Senior Vice President, Information Technology & Data Analytics (CIO) and our Chief Security Officer (CSO) provide presentations to the Audit Committee on cybersecurity risks at each of its bimonthly meetings. These briefings include assessments of cyber risks, the threat landscape, updates on incidents, and reports on our investments in cybersecurity risk mitigation and governance. In addition, the Audit Committee has designated one of its members with expertise in cyber risk management to meet regularly with management and review our cybersecurity strategy and key initiatives and progress toward our objectives. In the event of a potentially material cybersecurity event, the Chair of the Audit Committee is notified and briefed, and meetings of the Audit Committee and/or full Board of Directors would be held, as appropriate. The Aerospace Safety Committee provides oversight of the risks from cybersecurity threats related to our aerospace products and services. The Aerospace Safety Committee receives regular updates and reports from senior management, including the Chief Engineer, the Chief Aerospace Safety Officer, and the Chief Product Security Engineer, who provide briefings on significant cybersecurity threats or incidents that may pose a risk to the safe operation of our aerospace products. Both committees brief the full Board on cybersecurity matters discussed during committee meetings, and the CIO provides annual briefings to the Board on information technology and data analytics related matters, including cybersecurity.	Our Board of Directors has overall responsibility for risk oversight, with its committees assisting the Board in performing this function based on their respective areas of expertise. Our Board of Directors has delegated oversight of risks related to cybersecurity to two Board committees, the Audit Committee and the Aerospace Safety Committee, and each committee reports on its activities and findings to the full Board after each meeting. The Audit Committee is charged with reviewing our cybersecurity processes for assessing key strategic, operational, and compliance risks. Our Chief Information Digital Officer and Senior Vice President, Information Technology & Data Analytics (CIDO) and our Chief Security Officer (CSO) provide presentations to the Audit Committee on cybersecurity risks at each of its bimonthly meetings. These briefings include assessments of cyber risks, the threat landscape, updates on incidents, and reports on our investments in cybersecurity risk mitigation and governance. In addition, the Audit Committee has designated one of its members with expertise in cyber risk management to meet regularly with management and review our cybersecurity strategy and key initiatives and progress toward our objectives. In the event of a potentially material cybersecurity event, the Chair of the Audit Committee is notified and briefed, and meetings of the Audit Committee and/or full Board of Directors would be held, as appropriate. The Aerospace Safety Committee provides oversight of the risks from cybersecurity threats related to our aerospace products and services. The Aerospace Safety Committee receives regular updates and reports from senior management, including the Chief Engineer, the Chief Aerospace Safety Officer, and the Chief Product Security Engineer, who provide briefings on significant cybersecurity threats or incidents that may pose a risk to the safe operation of our aerospace products. Both committees brief the full Board on cybersecurity matters discussed during committee meetings, and the CIDO provides annual briefings to the Board on information technology and data analytics related matters, including cybersecurity.
At the management level, we have established a Global Security Governance Council (the Council) to further strengthen our cybersecurity risk management activities across the Company, including the prevention, detection, mitigation, and remediation of cybersecurity incidents. The Council is responsible for developing and coordinating enterprise cybersecurity policy and strategy, and for providing guidance to key management and oversight bodies.	At the management level, we have established a Global Security Governance Council (the Council) to further strengthen our cybersecurity risk management activities across the Company, including the prevention, detection, mitigation, and remediation of cybersecurity incidents. The Council is responsible for developing and coordinating enterprise cybersecurity policy and strategy, and for providing guidance to key management and oversight bodies.
Richard Puckett, as our CSO, serves as the chair of the Council. He is responsible for overseeing a unified security program that provides cybersecurity, fire and protection operations, physical security, insider threat, and classified security. Mr. Puckett has nearly 30 years of experience in the cybersecurity industry, including, prior to joining Boeing in 2022, as Chief Information Security Officer of SAP SE and Thomson Reuters Corporation, Vice President, Product and Commercial Security of General Electric, Inc., and Senior Security Architect at Cisco Systems, Inc. He reports directly to the CIO and meets regularly with other members of senior management and the Audit Committee.	Trent Cox, Vice President of Product and Business Operations, is serving as our interim CSO. In that role, he chairs the Council and is responsible for overseeing a unified security program that provides cybersecurity, fire and protection operations, physical security, insider threat, and classified security. Mr. Cox has over 25 years of experience in the aerospace and defense industry, including, prior to joining Boeing in 2024, Chief Information Officer of Raytheon UK, Deputy CIO and Executive Director of Collins Aerospace and Raytheon Intelligence and Space, and Executive Director for Program Execution for the Raytheon Missile Systems businesses. He reports directly to the CIDO and meets regularly with other members of senior management and the Audit Committee.
The Council also includes, among other senior executives, our Chief Engineer, Chief Information Officer, Chief Aerospace Safety Officer and Chief Product Security Engineer, who each have several decades of business and senior leadership experience managing risks in their respective fields, collectively covering all aspects of cybersecurity, data and analytics, product security engineering, enterprise engineering, safety and the technical integrity of our products and services.	The Council also includes, among other senior executives, our CIDO, Chief Engineer, Chief Information Officer, Chief Aerospace Safety Officer and Chief Product Security Engineer, who each have several decades of business and senior leadership experience managing risks in their respective fields, collectively covering all aspects of cybersecurity, data and analytics, product security engineering, enterprise engineering, safety and the technical integrity of our products and services.
The Council meets monthly and updates key members of the Company’s Executive Council on progress towards specific cybersecurity objectives. A strong partnership exists between Information Technology, Enterprise Security, Corporate Audit, and Legal so that identified issues are addressed in a timely manner and incidents are reported to the appropriate regulatory bodies as required.	The Council meets monthly and updates key members of the Company’s Executive Council on progress towards specific cybersecurity objectives. A strong partnership exists between Information Technology, Enterprise Security, Corporate Audit, and Law so that identified issues are addressed in a timely manner and incidents are reported to the appropriate regulatory bodies as required.

・American Express

・2024.02.09 10-K (Annual report)	・2025.02.07 10-K (Annual report)
ITEM 1C CYBERSECURITY	ITEM 1C CYBERSECURITY
We maintain an information security and cybersecurity program and a cybersecurity governance framework that are designed to protect our information systems against operational risks related to cybersecurity./span>	We maintain an information security and cybersecurity program and a cybersecurity governance framework that are designed to protect our information systems against operational risks related to cybersecurity.
Cybersecurity Risk Management and Strategy	Cybersecurity Risk Management and Strategy
We define information security and cybersecurity risk as the risk that the confidentiality, integrity or availability of our information and information systems are impacted by unauthorized or unintended access, use, disclosure, disruption, modification or destruction. Information security and cybersecurity risk is an operational risk that is measured and managed as part of our operational risk framework. Operational risk is incorporated into our comprehensive Enterprise Risk Management (ERM) program, which we use to identify, aggregate, monitor, report and manage risks. For more information on our ERM program, see “Risk Management” under “MD&A.”	We define information security and cybersecurity risk as the risk that the confidentiality, integrity or availability of our information and information systems are impacted by unauthorized or unintended access, use, disclosure, disruption, modification or destruction. Information security and cybersecurity risk is an operational risk that is measured and managed as part of our operational risk framework. Operational risk is incorporated into our comprehensive Enterprise Risk Management (ERM) program, which we use to identify, aggregate, monitor, report and manage risks. For more information on our ERM program, see “Risk Management” under “MD&A.”
Our Technology Risk and Information Security (TRIS) program, which is our enterprise information security and cybersecurity program incorporated in our ERM program and led by our Chief Information Security Officer (CISO), is designed to (i) ensure the security, confidentiality, integrity and availability of our information and information systems; (ii) protect against any anticipated threats or hazards to the security, confidentiality, integrity or availability of such information and information systems; and (iii) protect against unauthorized access to or use of such information or information systems that could result in substantial harm or inconvenience to us, our colleagues or our customers. The TRIS program is built upon a foundation of advanced security technology, employs a highly trained team of experts and is designed to operate in alignment with global regulatory requirements. The program deploys multiple layers of controls, including embedding security into our technology investments, designed to identify, protect, detect, respond to and recover from information security and cybersecurity incidents. Those controls are measured and monitored by a combination of subject matter experts and a security operations center with integrated cyber detection, response and recovery capabilities. The TRIS program includes our Enterprise Incident Response Program, which manages information security incidents involving compromises of sensitive information, and our Cyber Crisis Response Plan, which provides a documented framework for handling high-severity security incidents and facilitates coordination across multiple parts of the Company to manage response efforts. We also routinely perform simulations and drills at both a technical and management level, and our colleagues receive annual cybersecurity awareness training.	Our Technology Risk and Information Security (TRIS) program, which is our enterprise information security and cybersecurity program incorporated in our ERM program and led by our Chief Information Security Officer (CISO), is designed to (i) ensure the security, confidentiality, integrity and availability of our information and information systems; (ii) protect against any anticipated threats or hazards to the security, confidentiality, integrity or availability of such information and information systems; and (iii) protect against unauthorized access to or use of such information or information systems that could result in substantial harm or inconvenience to us, our colleagues or our customers. The TRIS program is built upon a foundation of advanced security technology, employs a highly trained team of experts and is designed to operate in alignment with global regulatory requirements. The program deploys multiple layers of controls, including embedding security into our technology investments, designed to identify, protect, detect, respond to and recover from information security and cybersecurity incidents. Those controls are measured and monitored by a combination of subject matter experts and a security operations center with integrated cyber detection, response and recovery capabilities. The TRIS program includes our Enterprise Incident Response Program, which manages information security incidents involving compromises of sensitive information, and our Cyber Crisis Response Plan, which provides a documented framework for handling high-severity security incidents and facilitates coordination across multiple parts of the Company to manage response efforts. We also routinely perform simulations and drills at both a technical and management level, and our colleagues receive annual cybersecurity awareness training.
In addition, we incorporate reviews by our Internal Audit Group and external expertise in our TRIS program, including an independent third-party assessment of our cybersecurity measures and controls and a third-party cyber maturity assessment of our TRIS program against the Cyber Risk Institute Profile standards for the financial sector. We also invest in threat intelligence, collaborate with our peers in areas of threat intelligence, vulnerability management, incident response and drills, and are active participants in industry and government forums.	In addition, we incorporate reviews by our Internal Audit Group and external expertise in our TRIS program, including an independent third-party assessment of our cybersecurity measures and controls and a third-party cyber maturity assessment of our TRIS program against the Cyber Risk Institute Profile standards for the financial sector. We also invest in threat intelligence, collaborate with our peers in areas of threat intelligence, vulnerability management, incident response and drills, and are active participants in industry and government forums.
Cybersecurity risks related to third parties are managed as part of our Third Party Management Policy, which sets forth the procurement, risk management and contracting framework for managing third-party relationships commensurate with their risk and complexity. Our Third Party Lifecycle Management (TLM) program sets guidelines for identifying, measuring, monitoring, and reporting the risks associated with third parties through the life cycle of the relationships, which includes planning, due diligence and third-party selection, contracting, ongoing monitoring and termination. Our TLM program includes the identification of third parties with risks related to information security. Third parties that access, process, collect, share, create, store, transmit or destroy our information or have access to our systems may have additional security requirements depending on the levels of risk, such as enhanced risk assessments and monitoring, and additional contractual controls.	Cybersecurity risks related to third parties are managed as part of our Third Party Management Policy, which sets forth the procurement, risk management and contracting framework for managing third-party relationships commensurate with their risk and complexity. Our Third Party Lifecycle Management (TLM) program sets guidelines for identifying, measuring, monitoring, and reporting the risks associated with third parties through the life cycle of the relationships, which includes planning, due diligence and third-party selection, contracting, ongoing monitoring and termination. Our TLM program includes the identification of third parties with risks related to information security. Third parties that access, process, collect, share, create, store, transmit or destroy our information or have access to our systems may have additional security requirements depending on the levels of risk, such as enhanced risk assessments and monitoring, and additional contractual controls.
While we do not believe that our business strategy, results of operations or financial condition have been materially adversely affected by any cybersecurity incidents, cybersecurity threats are pervasive and, similar to other global financial institutions, we, as well as our customers, colleagues, regulators, service providers and other third parties, have experienced a significant increase in information security and cybersecurity risk in recent years and will likely continue to be the target of cyber attacks. We continue to assess the risks and changes in the cyber environment, invest in enhancements to our cybersecurity capabilities, and engage in industry and government forums to promote advancements in our cybersecurity capabilities, as well as the broader financial services cybersecurity ecosystem. For more information on risks to us from cybersecurity threats, see “A major information or cybersecurity incident or an increase in fraudulent activity could lead to reputational damage to our brand and material legal, regulatory and financial exposure, and could reduce the use and acceptance of our products and services.” under “Risk Factors.”	While we do not believe that our business strategy, results of operations or financial condition have been materially adversely affected by any cybersecurity incidents, cybersecurity threats are pervasive and, similar to other global financial institutions, we, as well as our customers, colleagues, regulators, service providers and other third parties, have experienced a significant increase in information security and cybersecurity risk in recent years and will likely continue to be the target of cyberattacks. We continue to assess the risks and changes in the cyber environment, invest in enhancements to our cybersecurity capabilities, and engage in industry and government forums to promote advancements in our cybersecurity capabilities, as well as the broader financial services cybersecurity ecosystem. For more information on risks to us from cybersecurity threats, see “A major information or cybersecurity incident or an increase in fraudulent activity could lead to reputational damage to our brand and material legal, regulatory and financial exposure, and could reduce the use and acceptance of our products and services.” under “Risk Factors.”
Cybersecurity Governance	Cybersecurity Governance
Under our cybersecurity governance framework, our Board and our Risk Committee are primarily responsible for overseeing and governing the development, implementation and maintenance of our TRIS program, with the Board designating our Risk Committee to provide oversight and governance of technology and cybersecurity risks. Our Board receives an update on cybersecurity at least once a year from our CISO or their designee. Our Risk Committee receives reports on cybersecurity at least twice a year, including in at least one joint meeting with our Audit and Compliance Committee, and our Board and these committees all receive ad hoc updates as needed. In addition, our Risk Committee annually approves our TRIS program.	Under our cybersecurity governance framework, our Board and Risk Committee are primarily responsible for overseeing and governing the development, implementation and maintenance of our TRIS program, with our Board designating our Risk Committee to provide oversight and governance of technology and cybersecurity risks. Our Board receives an update on cybersecurity at least once a year from our CISO or their designee. Our Risk Committee receives reports on cybersecurity at least twice a year, including in at least one joint meeting with our Audit and Compliance Committee, and our Board and these committees all receive ad hoc updates as needed. In addition, our Risk Committee annually approves our TRIS program.
We have multiple internal management committees that are responsible for the oversight of cybersecurity risk. Our Operational Risk Management Committee (ORMC), chaired by our Chief Operational Risk Officer, provides oversight and governance for our information security risk management activities, including those related to cybersecurity.This includes efforts to identify, measure, manage, monitor and report information security risks associated with our information and information systems and potential impacts to the American Express brand. The ORMC escalates risks to our Enterprise Risk Management Committee (ERMC), chaired by our Chief Risk Officer, or our Board based on the escalation criteria provided in our enterprise-wide risk appetite framework. Members of management with cybersecurity oversight responsibilities are informed about cybersecurity risks and incidents through a number of channels, including periodic and annual reports, with the annual report also provided to our Risk Committee, the ORMC and ERMC.	We have multiple internal management committees that are responsible for the oversight of cybersecurity risk. Our Operational Risk Management Committee (ORMC), chaired by our Chief Operational Risk Officer, provides oversight and governance for our information security risk management activities, including those related to cybersecurity. This includes efforts to identify, measure, manage, monitor and report information security risks associated with our information and information systems and potential impacts to the American Express brand. The ORMC escalates risks to our Enterprise Risk Management Committee (ERMC), chaired by our Chief Risk Officer, or our Board based on the escalation criteria provided in our enterprise-wide risk appetite framework. Members of management with cybersecurity oversight responsibilities are informed about cybersecurity risks and incidents through a number of channels, including periodic and annual reports, with the annual report also provided to our Risk Committee, the ORMC and ERMC.
Our CISO leads the strategy, engineering and operations of cybersecurity across the Company and is responsible for providing annual updates to our Board, the ERMC and the ORMC on our TRIS program, as well as ad hoc updates on information security and cybersecurity matters. Our current CISO has held a series of roles in telecommunications, networking and information security at American Express, including promotion to the CISO role in 2013 and the addition of responsibility for technology risk management in 2023. Prior to joining American Express, our current CISO served in a variety of technology leadership roles at a public pharmaceutical and biotechnology company for 14 years. Our CISO reports to the Chief Information Officer, information about whom is included in “Information About Our Executive Officers” under “Business.”	Our CISO leads the strategy, engineering and operations of cybersecurity across the Company and is responsible for providing annual updates to our Board, the ERMC and the ORMC on our TRIS program, as well as ad hoc updates on information security and cybersecurity matters. Our current CISO has held a series of roles in telecommunications, networking and information security at American Express, including promotion to the CISO role in 2013, and is also responsible for technology risk management. Prior to joining American Express, our current CISO served in a variety of technology leadership roles at a public pharmaceutical and biotechnology company for 14 years. Our CISO reports to the Chief Information Officer, information about whom is included in “Information About Our Executive Officers” under “Business.”
For more information on our risk governance structure, see “Risk Management — Governance” and “Risk Management —Operational Risk Management Process” under “MD&A.”	For more information on our risk governance structure, see “Risk Management — Governance” and “Risk Management —Operational Risk Management Process” under “MD&A.”

・Johnson & Johnson

・2024.02.16 10-K (Annual report)	・2025.02.13 (Annual report)
Item 1C.Cybersecurity	Item 1C.Cybersecurity
Risk management and strategy	Risk management and strategy
The Company has documented cybersecurity policies and standards, assesses risks from cybersecurity threats, and monitors information systems for potential cybersecurity issues. To protect the Company’s information systems from cybersecurity threats, the Company uses various security tools supporting protection, detection, and response capabilities. The Company maintains a cybersecurity incident response plan to help ensure a timely, consistent response to actual or attempted cybersecurity incidents impacting the Company.	The Company has documented cybersecurity policies and standards, assesses risks from cybersecurity threats, and monitors information systems for potential cybersecurity issues. To protect the Company’s information systems from cybersecurity threats, the Company uses various security tools supporting protection, detection, and response capabilities. The Company maintains a cybersecurity incident response plan to help ensure a timely, consistent response to actual or attempted cybersecurity incidents impacting the Company.
The Company also identifies and assesses third-party risks within the enterprise, and through the Company's use of third-party service providers, across a range of areas including data security and supply chain through a structured third-party risk management program.	The Company also identifies and assesses third-party risks within the enterprise, and through the Company's use of third-party service providers, across a range of areas including data security and supply chain through a structured third-party risk management program.
The Company maintains a formal information security training program for all employees that includes training on matters such as phishing and email security best practices. Employees are also required to complete mandatory training on data privacy.	The Company maintains a formal information security training program for all employees that includes training on matters such as phishing and email security best practices. Employees are also required to complete mandatory training on data privacy.
To evaluate and enhance its cybersecurity program, the Company periodically utilizes third-party experts to undertake maturity assessments of the Company’s information security program.	To evaluate and enhance its cybersecurity program, the Company periodically utilizes third-party experts to undertake maturity assessments of the Company’s information security program.
To date, the Company is not aware of any cybersecurity incident that has had or is reasonably likely to have a material impact on the Company’s business or operations; however, because of the frequently changing attack techniques, along with the increased volume and sophistication of the attacks, there is the potential for the Company to be adversely impacted. This impact could result in reputational, competitive, operational or other business harm as well as financial costs and regulatory action. Refer to the risk factor captioned An information security incident, including a cybersecurity breach, could have a negative impact to the Company’s business or reputation in Part I, Item 1A. Risk factors for additional description of cybersecurity risks and potential related impacts on the Company.	To date, the Company is not aware of any cybersecurity incident that has had or is reasonably likely to have a material impact on the Company’s business or operations; however, because of the frequently changing attack techniques, along with the increased volume and sophistication of the attacks, there is the potential for the Company to be adversely impacted. This impact could result in reputational, competitive, operational or other business harm as well as financial costs and regulatory action. Refer to the risk factor captioned An information security incident, including a cybersecurity breach, could have a negative impact to the Company’s business or reputation in Part I, Item 1A. Risk factors for additional description of cybersecurity risks and potential related impacts on the Company.
Governance - management’s responsibility	Governance - management’s responsibility
The Company takes a risk-based approach to cybersecurity and has implemented cybersecurity controls designed to address cybersecurity threats and risks. The Chief Information Officer (CIO), who is a member of the Company’s Executive Committee, and the Chief Information Security Officer (CISO) are responsible for assessing and managing cybersecurity risks, including the prevention, mitigation, detection, and remediation of cybersecurity incidents.	The Company takes a risk-based approach to cybersecurity and has implemented cybersecurity controls designed to address cybersecurity threats and risks. The Chief Information Officer (CIO), who is a member of the Company’s Executive Committee, and the Chief Information Security Officer (CISO) are responsible for assessing and managing cybersecurity risks, including security incident detection, response, and recovery.
The Company’s CISO, in coordination with the CIO, is responsible for leading the Company’s cybersecurity program and management of cybersecurity risk. The current CISO has over twenty-five years of experience in information security, and his background includes technical experience, strategy and architecture focused roles, cyber and threat experience, and various leadership roles.	The Company’s CISO, in coordination with the CIO, is responsible for leading the Company’s cybersecurity program and management of cybersecurity risk. The current CISO has over twenty-five years of experience in information security, and his background includes technical experience, strategy and architecture focused roles, cyber and threat experience, and various leadership roles.
Governance - board oversight	Governance - board oversight
The Company’s Board of Directors oversees the overall risk management process, including cybersecurity risks, directly and through its committees. The Regulatory Compliance & Sustainability Committee (RCSC) of the board is primarily responsible for oversight of risk from cybersecurity threats and oversees compliance with applicable laws, regulations and Company policies related to, among others, privacy and cybersecurity.	The Company’s Board of Directors oversees the overall risk management process, including cybersecurity risks, directly and through its committees. The Regulatory Compliance & Sustainability Committee (RCSC) of the board is primarily responsible for oversight of risk from cybersecurity threats and oversees compliance with applicable laws, regulations and Company policies related to, among others, privacy and cybersecurity.
RCSC meetings include discussions of specific risk areas throughout the year including, among others, those relating to cybersecurity.The CISO provides at least two updates each year to RCSC on cybersecurity matters. These reports include an overview of the cybersecurity threat landscape, key cybersecurity initiatives to improve the Company’s risk posture, changes in the legal and regulatory landscape relative to cybersecurity, and overviews of certain cybersecurity incidents that have occurred within the Company and within the industry.	RCSC meetings include discussions of specific risk areas throughout the year including, among others, those relating to cybersecurity. The CISO provides quarterly updates each year to RCSC on cybersecurity matters. These reports include an overview of the cybersecurity threat landscape, key cybersecurity initiatives to improve the Company’s risk posture, changes in the legal and regulatory landscape relative to cybersecurity, and overviews of certain cybersecurity incidents that have occurred within the Company and within the industry.

・Pfizer

・Coca-Cola

・McDonalds Corp.

・2024.02.22 10-K (Annual report)	・2025.02.25 10-K (Annual report)
CYBERSECURITY	CYBERSECURITY
	Cybersecurity risk is an important and evolving focus for McDonald’s. Significant resources are devoted to protecting and enhancing the security of computer systems, software, networks, storage devices, and other technology. The Company’s security efforts are designed to protect against, among other things, cybersecurity attacks that can result in unauthorized access to confidential information, the destruction of data, disruptions to or degradations of service, the sabotaging of systems or other damage. McDonald’s has implemented measures and controls that it believes are reasonably designed to address the evolving cybersecurity risk environment, including enhanced threat monitoring. In addition, McDonald’s continues to regularly review its capabilities to address associated risks, such as those relating to the management of administrative access to systems.
	Third parties that help to facilitate the Company’s business activities (e.g., franchisees, vendors, suppliers, service providers, etc.) are also sources of cybersecurity risk to McDonald’s, and we have various processes and programs to manage cybersecurity risks associated with our third parties. Despite these risk-mitigation measures, a cybersecurity event impacting a third party may compromise Company data or negatively impact the Company’s ability to conduct business, which could have a material adverse effect on our business.
	Risks from cybersecurity threats, including as a result of any previous cybersecurity events, did not materially affect McDonald’s or its business strategy, results of operations or financial condition in 2024. Notwithstanding having what McDonald’s believes to be a comprehensive approach to address cybersecurity risk, no company is immune to cybersecurity threats, and McDonald’s may not be successful in preventing or mitigating a future cybersecurity incident that could have a material adverse effect on McDonald’s or its business strategy, results of operations or financial condition. In evaluating cybersecurity incidents, management considers the potential impact to the Company’s results of operations, control framework, and financial condition, as well as the potential impact, if any, to our business strategy and/or reputation.
	For additional information on risks from cybersecurity threats, please see our Risk Factors beginning on page 28.
Governance	Governance
Management has primary responsibility for enterprise-wide risk management (“ERM”), including cybersecurity risk, within our Company, as detailed below. Our Board of Directors is responsible for overseeing our ERM framework and exercises this oversight both as a full Board and through its standing committees. Our Board’s Public Policy & Strategy Committee (“PPS Committee”) has oversight responsibility for our strategy and processes relating to cybersecurity risk management. Our PPS Committee receives updates at regular intervals on cybersecurity matters from management, including our Global Chief Information Officer (“CIO”) and Chief Information Security Officer (“CISO”) who, as discussed below, are responsible for assessing and managing material cybersecurity risks. Such updates include a discussion of the status of our cybersecurity landscape and our cybersecurity strategies, including potential risks and mitigation efforts. If a cybersecurity incident meets our established internal escalation threshold, accelerated reporting of the incident is provided to the applicable members of the Board. The PPS Committee also considers potential remedies to any strategic or process gaps that may be identified during the Company’s review of specific cybersecurity incidents.	Management has primary responsibility for enterprise-wide risk management (“ERM”), including cybersecurity risk, within our Company, as detailed below. Our Board of Directors (the “Board”) is responsible for overseeing our ERM framework and exercises this oversight both as a full Board and through its standing committees. Our Board’s Audit & Finance Committee (“A&F Committee”) has oversight responsibility for our strategy and processes relating to cybersecurity risk management. Our A&F Committee receives updates at regular intervals on cybersecurity matters from management, including our Global Chief Information Officer (“CIO”) and Global Chief Information Security Officer (“CISO”) who, as discussed below, are responsible for assessing and managing material cybersecurity risks. Such updates include discussion of the status of our cybersecurity landscape and our cybersecurity strategies, including potential risks and mitigation efforts. For certain significant cybersecurity incidents, our procedures contemplate accelerated reporting of the incident to the applicable members of the Board. The A&F Committee also considers potential remedies to any strategic or process gaps that may be identified during the Company’s review of specific cybersecurity incidents.
Our Board of Directors recognizes the importance to the Company of effectively identifying, assessing and managing risks that could have a significant impact on our business strategy. The ERM framework leverages internal risk committees comprised of cross-functional leadership who meet regularly to evaluate and prioritize risks, including cybersecurity risk, in the context of our strategy, with further escalation to our CEO, Board and/or Committees, as appropriate. Effective management of cybersecurity risks is critical to the successful execution of our business strategy.	Our Board recognizes the importance to the Company of effectively identifying, assessing and managing risks that could have a significant impact on our business strategy. The ERM framework leverages internal risk committees comprised of cross-functional leadership who meet regularly to evaluate and prioritize risks, including cybersecurity risk, in the context of our strategy, with further escalation to our CEO, Board and/or Committees, as appropriate. Effective management of cybersecurity risks is critical to the successful execution of our business strategy.
Risk Management and Strategy	Risk Management and Strategy
Our CIO and CISO are responsible for assessing and implementing our cybersecurity risk management programs, which are informed by the National Institute of Standards and Technology (NIST) Cybersecurity Framework. These leaders and their teams have significant relevant experience in various fields, such as incident response, application security, data protection, network security and identity and access management, and have implemented and executed security programs across multiple industries at Fortune 100 companies. Our programs are designed to create a comprehensive, cross-functional approach to identify and mitigate cybersecurity risks as well as to prevent cybersecurity incidents in an effort to support business continuity and achieve operational resiliency.	The CISO reports to the CIO. McDonald’s CIO and CISO are responsible for assessing and implementing our cybersecurity risk management programs, which are informed by the National Institute of Standards and Technology (NIST) Cybersecurity Framework. These leaders and their teams have significant relevant experience in various fields, such as incident response, application security, data security, network security and identity and access management, and have implemented and executed security programs across multiple industries at Fortune 100 companies. Our programs are designed to create a comprehensive, cross-functional approach to identify, assess, manage and mitigate cybersecurity risks as well as to mitigate cybersecurity incidents to support business continuity and achieve operational resiliency.
We leverage certain third-party providers and local technology support teams to help execute certain aspects of our cybersecurity risk management programs. We also engage third parties in assessments and testing of our policies, processes and standards that are designed to identify and remediate cybersecurity incidents. These efforts include a wide range of activities focused on evaluating the effectiveness of the program, including audits, modeling, tabletop exercises and vulnerability testing. We also periodically engage independent third parties to perform assessments and evaluations of certain aspects of our information security control environment and operation of our program. Further, we have various processes and programs to manage cybersecurity risks associated with our use of third-party vendors and suppliers.	The CISO leads the Global Cybersecurity organization, which is responsible for executing the Company’s Global Cybersecurity Program and initiatives. This global program is responsible for identifying technology and cybersecurity risks and for implementing and maintaining controls to manage cybersecurity threats. These controls are designed to mitigate, detect and respond to cybersecurity incidents to help safeguard the confidentiality, integrity and availability of McDonald’s infrastructure, resources and information.
We provide regular, mandatory training for employees regarding cybersecurity threats to bring awareness on how they can help prevent and report potential cybersecurity incidents. In addition, key stakeholders involved with our cybersecurity risk management programs receive additional training and regularly participate in scenario-based training exercises to support the effective administration of our programs.	McDonald’s Global Cybersecurity Program includes the following functions:
We have established and regularly tested incident response processes and controls that identify and risk-rank incidents through a centralized system to promote timely escalation of cybersecurity incidents that exceed a particular level of risk, including escalation of incidents of sufficient magnitude or severity to our CIO and CISO. In evaluating cybersecurity incidents, management considers the potential impact to our results of operations, control framework, and financial condition, as well as the potential impact, if any, to our business strategy or reputation.	• Cybersecurity Services, which is responsible for deploying and operating the frontline security controls that are designed to protect and defend McDonald’s against cyber-attacks. Cybersecurity teams are focused on specific areas of a layered defense, including Network Security, Endpoint Protection, Identity and Access Management, Data Protection, and others, to ensure that these controls are integrated into critical systems and processes throughout the McDonald’s environment and operating effectively.
Cybersecurity threats, including as a result of our previous cybersecurity incidents, have not materially affected our results of operations or financial condition, including our business strategy, in 2023. For additional information on risks from cybersecurity threats, please see our Risk Factors beginning on page 28.	• Cyber Defense, which is responsible for implementing and maintaining controls designed to detect and respond to cybersecurity incidents against McDonald’s and includes a dedicated function for incident response and regular monitoring for cybersecurity threats and vulnerabilities, including those among McDonald’s third-party suppliers. The Company has established and regularly tested incident response processes and controls that identify and risk-rank incidents through a centralized system to promote timely escalation of cybersecurity incidents that exceed a particular level of risk, including escalation of incidents of sufficient magnitude or severity to the CIO and CISO.
	• Cyber Governance, Risk & Compliance, which is responsible for operationalizing technology risk and control frameworks, analyzing regulatory developments that may impact McDonald’s, and developing control catalogs and assessments of controls, as well as overseeing governance and reporting of technology and cybersecurity risk. The team provides awareness and training that reinforces information risk and security management practices and compliance with McDonald’s policies, standards and practices. The training is mandatory for all employees globally on a periodic basis, and it is supplemented by Company-wide testing initiatives, including periodic phishing tests.
	• Cyber Market Engagement, which is responsible for working with our market teams, International Developmental Licensee partners, and other entities to ensure a consistent approach for cybersecurity across the McDonald’s system.
	The governance structure for the Global Cybersecurity organization is designed to appropriately identify, escalate, and mitigate cybersecurity risks. Cybersecurity risk management and its governance and oversight are integrated into McDonald’s operational risk management framework, including through the escalation of key risk and control issues to management and the development of risk mitigation plans for heightened risk and control issues.
	As needed, McDonald’s engages third-party assessors or auditing firms with industry-recognized expertise on cybersecurity matters to review specific aspects of McDonald’s cybersecurity risk management framework, processes and controls. These efforts include a wide range of activities focused on evaluating the effectiveness of the program, including audits, modeling, tabletop exercises and vulnerability testing.

日本企業...昨年と順番かえてます...

・三菱UFJファイナンシャルグループ

・三井住友ファイナンシャル

・みずほファイナンシャル

・ORIX

・野村ホールディングス

・タケダ

・ソニー

・トヨタ

・ホンダ

みずほファインシャルサービスは、開示がより詳細になっていますね...

・三菱UFJファイナンシャルグループ

・2024.07.30 20-F (Annual report - foreign issuer)	・2025.07.07 20-F (Annual report - foreign issuer)
Item 16K. Cybersecurity	Item 16K. Cybersecurity
Overview	Overview
As a financial institution operating globally, we are exposed to various cybersecurity risks, including ransomware, phishing, and distributed denial of service attacks. These risks are often influenced by criminal activity, international conflicts and other threat environments but are becoming increasingly more sophisticated and complex to deal with. We take seriously our responsibilities for securing the assets entrusted to us by our customers against cybersecurity threats and our obligation to provide secure and stable financial services. We have identified risks and threats posed by cyber-attacks and other relevant events as one of our top risks and have been developing and implementing cybersecurity measures under management leadership. During the fiscal year ended March 31, 2024, we did not identify any cybersecurity threats that have materially affected, or were reasonably likely to materially affect, our business strategy, results of operations or financial condition.	As a financial institution operating globally, we are exposed to various cybersecurity risks, including ransomware, phishing, and distributed denial of service attacks. These risks are often influenced by criminal activity, international conflicts and other threat environments but are becoming increasingly more sophisticated and complex to deal with. We take seriously our responsibilities for securing the assets entrusted to us by our customers against cybersecurity threats and our obligation to provide secure and stable financial services. We have identified risks and threats posed by cyber-attacks and other relevant events as one of our top risks and have been developing and implementing cybersecurity measures under management leadership. During the fiscal year ended March 31, 2025, we did not identify any cybersecurity threats that have materially affected, or were reasonably likely to materially affect, our business strategy, results of operations or financial condition.
While we endeavor to remain vigilant for, and continue to develop and implement measures to address, cybersecurity risk, we may not be able to prevent or mitigate a future cybersecurity incident that could have a material adverse impact on our business strategy, performance, and financial stability. See “Item 3.D. Key Information—Risk Factors—Operational Risk—Our operations are highly dependent on our information, communications and transaction management systems and are subject to an increasing risk of cyber-attacks and other information security threats and to changes in the business and regulatory environment.”	While we endeavor to remain vigilant for, and continue to develop and implement measures to address, cybersecurity risk, we may not be able to prevent or mitigate a future cybersecurity incident that could have a material adverse impact on our business strategy, performance, and financial stability. See “Item 3.D. Key Information—Risk Factors—Operational Risk—Our operations are highly dependent on our information, communications and transaction management systems and are subject to an increasing risk of cyber-attacks and other information security threats and to changes in the business and regulatory environment.”
Cybersecurity Risk Management Process	Cybersecurity Risk Management Process
We manage cybersecurity risk as a subset of IT risk, which is included in the broader risk category of operational risk. Operational risk is defined as the risk of potential loss resulting from inadequate or ineffective internal processes, people and systems, or due to external events. Cybersecurity risk management is integrated into our comprehensive risk management framework where we have adopted a three lines of defense approach. The first line of defense is the Cyber Security Division, which is the team primarily responsible for identifying and mitigating risks as well as designing and executing controls to manage cybersecurity risk. The second line of defense is the Corporate Risk Management Division, which is responsible for assessing and monitoring cybersecurity risk as well as testing the effectiveness of cybersecurity risk controls independently from the first line. The third line of defense is the Internal Audit Division, which audits the effectiveness of first-line and second-line cybersecurity risk management.	We manage cybersecurity risk as a subset of IT risk, which is included in the broader risk category of operational risk. Operational risk is defined as the risk of potential loss resulting from inadequate or ineffective internal processes, people and systems, or due to external events. Cybersecurity risk management is integrated into our comprehensive risk management framework where we have adopted a three lines of defense approach. The first line of defense is the Cyber Security Division, which is the team primarily responsible for identifying and mitigating risks as well as designing and executing controls to manage cybersecurity risk. The second line of defense is the Corporate Risk Management Division, which reports to the Group Chief Risk Officer (CRO) and which is responsible for assessing and monitoring cybersecurity risk as well as testing the effectiveness of cybersecurity risk controls independently from the first line. The third line of defense is the Internal Audit Division, which audits the effectiveness of first-line and second-line cybersecurity risk management.
Our cybersecurity risk management program incorporates features based on globally recognized standards such as those issued by the National Institute of Standards and Technology (NIST). Based on such globally recognized standards, the Cyber Security Division, which is supervised by the Group Chief Information Security Officer (CISO), establishes policies and standards to protect our information systems and conducts cybersecurity risk assessments. Among its other responsibilities, the Division also focuses on threat intelligence, including centralized information collection and impact analysis on newly discovered vulnerabilities and past experience, and prevention and remediation of such impacts on a global group-wide basis. Additionally, the Division conducts daily monitoring of our external-facing systems to identify and prevent any flaws in security updates or configuration settings. In an effort to enhance our round-the-clock monitoring and incident response capabilities on a global group-wide basis, we have established the MUFG Cyber Security Fusion Center (MUFG CSFC), which specializes in cybersecurity threat analysis and information security solutions. At the subsidiary level, the Computer Security Incident Response Teams (CSIRTs) have been established within subsidiaries to receive, investigate and implement measures in response to reports of cybersecurity incidents from within such respective subsidiaries in coordination with the MUFG Computer Security Incident Response Team (MUFG-CERT), a team established within the Cyber Security Division for centralizing our cybersecurity incident responses.	Our cybersecurity risk management program incorporates features based on globally recognized standards such as those issued by the National Institute of Standards and Technology (NIST). Based on such globally recognized standards, the Cyber Security Division, which is supervised by the Group Chief Information Security Officer (CISO), establishes policies and standards to protect our information systems and conducts cybersecurity risk assessments. Among its other responsibilities, the Division also focuses on threat intelligence, including centralized information collection and impact analysis on newly discovered vulnerabilities and past experience, and prevention and remediation of such impacts on a global group-wide basis. Additionally, the Division conducts daily monitoring of our external-facing systems to identify and prevent any flaws in security updates or configuration settings. In an effort to enhance our round-the-clock monitoring and incident response capabilities on a global group-wide basis, we have established the MUFG Cyber Security Fusion Center (MUFG CSFC), which specializes in cybersecurity threat analysis and information security solutions. At the subsidiary level, the Computer Security Incident Response Teams (CSIRTs) have been established within subsidiaries to receive, investigate and implement measures in response to reports of cybersecurity incidents from within such respective subsidiaries in coordination with the MUFG Computer Security Incident Response Team (MUFG-CERT), a team established within the Cyber Security Division for centralizing our cybersecurity incident responses.
We regularly conduct exercises and drills designed to ensure our ability to effectively perform cybersecurity incident response functions. We have also expanded our collaborative activities with government agencies, other companies in the financial industry and other information security communities, including the Financial Services Information Sharing and Analysis Center (FS-ISAC), the Financials Information Sharing and Analysis Center Japan (F-ISAC), the Forum of Incident Response and Security Teams (FIRST) and the Japan Computer Emergency Response Team Coordination Center (JPCERT/CC). Furthermore, in order to minimize third-party risks, we conduct risk assessments on third-party vendor contracts prior to contract initiation and subsequently conduct annual reviews to identify any significant changes in the risk environment. We also require our vendors to adhere to the standards set by us in order to ensure that our risk management protocols are consistently maintained. Along with regularly conducted internal reviews of our cybersecurity risk management program against market trends and best practices, we engage audit firms and external consultants as needed, receive evaluations, and utilize the results of these evaluations to continuously ensure and enhance the effectiveness of our program.	We regularly conduct exercises and drills designed to ensure our ability to effectively perform cybersecurity incident response functions. We have also expanded our collaborative activities with government agencies, other companies in the financial industry and other information security communities, including the Financial Services Information Sharing and Analysis Center (FS-ISAC), the Financials Information Sharing and Analysis Center Japan (F-ISAC), the Forum of Incident Response and Security Teams (FIRST) and the Japan Computer Emergency Response Team Coordination Center (JPCERT/CC). Furthermore, in order to minimize third-party risks, we conduct risk assessments on third-party vendor contracts prior to contract initiation and subsequently conduct annual reviews to identify any significant changes in the risk environment. We also require our vendors to adhere to the standards set by us in order to ensure that our risk management protocols are consistently maintained. Along with regularly conducted internal reviews of our cybersecurity risk management program against market trends and best practices, we engage audit firms and external consultants as needed, receive evaluations, and utilize the results of these evaluations to continuously ensure and enhance the effectiveness of our program.
Governance	Governance
The Group Chief Information Officer (CIO) is responsible for operating and maintaining our cybersecurity risk management program and regularly reports on significant cybersecurity-related matters to the Board of Directors as well as the Executive Committee. In the fiscal year ended March 31, 2024, the cybersecurity-related matters reported on by the Group CIO to the Board of Directors included the progress and future policy directions of various key measures, such as those designed to protect public internet assets with subject to significant attack risk, to strengthen the security posture of our internal information security environment, and to improve the security posture of our overseas facilities. As the most senior manager responsible for cybersecurity risk, the Group CISO supervises the Cyber Security Division and directly reports to the Group CIO. The Cyber Security Division receives information on cybersecurity incidents from the CSIRTs in accordance with our policies and procedures, supervises and coordinates incident response at our group companies, and provides relevant information to the Group CISO, the Group CIO, the Corporate Risk Management Division and, as appropriate, other senior management members. Our current Group CIO has over twenty years of experience in IT management, including cybersecurity risk management, and has experience as a member of a government information security organization. Similarly, the current Group CISO and senior members of the Cyber Security Division have extensive cybersecurity management experience and expertise, with many members participating in financial industry information security organizations, including the F-ISAC.	The Group Chief Information Officer (CIO) is responsible for operating and maintaining our cybersecurity risk management program and regularly reports on significant cybersecurity-related matters to the Board of Directors as well as the Executive Committee. In the fiscal year ended March 31, 2025, the cybersecurity-related matters reported on by the Group CIO to the Board of Directors included a plan for enhancing our global group-wide cybersecurity governance program such as updating the global risk assessment framework and securing resources. The Group CIO receives direct reporting from the Group CISO, who, as the most senior manager responsible for cybersecurity risk, supervises the Cyber Security Division. The Cyber Security Division receives information on cybersecurity incidents from the CSIRTs in accordance with our policies and procedures, supervises and incident response at our group companies, and provides relevant information to the Group CISO, the Group CIO, the Corporate Risk Management Division and, as appropriate, other senior management members. Our current Group CIO has over twenty years of experience in IT management, including cybersecurity risk management, and has experience as a member of a government information security organization. Similarly, the current Group CISO and senior members of the Cyber Security Division have extensive cybersecurity management experience and expertise, with many members participating in financial industry information security organizations, including the F-ISAC.
The Board of Directors decides key management policies and is responsible for management oversight. Decisions on particularly important matters, such as decisions on key management policies as cybersecurity risk management policy for the entire Group, and oversight of the execution of duties related to cybersecurity by directors and corporate executive officers are performed by the Board of Directors. In addition, the Risk Committee and the Audit Committee are established under the Board of Directors to assist the Board with oversight. The Risk Committee discusses and makes recommendations to the Board of Directors on material matters, including cybersecurity, relating to the risk management operations, matters relating to top risk matters and any other material matters that require discussion, and any other material matters that require discussion by the Risk Committee. The Audit Committee obtains reports from management, the Internal Audit Division and the external auditor on any cybersecurity risks and the risk management and corporate governance frameworks and the operation of such frameworks, and oversees them, and assists oversight of the Board of Directors.	The Board of Directors decides key cybersecurity risk management policies and oversees the execution of our cybersecurity risk management program on a global group-wide basis as part of its responsibility for deciding key management policies and overseeing management. The Board of Directors is informed by, and discusses with, the Group CIO, the Group CRO, who is responsible for assessing and overseeing management of material risks on a global group-wide basis, and other management members on important matters relating to risks from cybersecurity threats and management of such risks, while being assisted by board committees, including the Risk Committee and the Audit Committee, with the oversight of the execution of duties related to cybersecurity risk management carried out by directors and corporate executives. The Risk Committee receives reports from management and the Corporate Risk Management Division on, among other things, cybersecurity threats and incidents, risk trends in cybersecurity threat indicators, and the results of evaluations of the effectiveness of first-line controls in cybersecurity threat prevention and detection conducted by external consultants or audit firms, and discusses and makes recommendations to the Board of Directors on material cybersecurity risk-related matters. The Audit Committee obtains reports from management, the Internal Audit Division and external auditors on risks from cybersecurity threats, the management of such risks, and the design and operation of the corporate governance framework for cybersecurity risk management and, based on its analysis and expertise, assists the oversight of cybersecurity risk management by the Board of Directors.
Our cybersecurity risk management program is also operated and maintained under the supervision of the Board of Directors with the report on significant cybersecurity-related matters by the Group CIO and the assistance of the Risk Committee and the Audit Committee.

・三井住友ファイナンシャル

・2024.06.27 20-F (Annual report - foreign issuer)	・2025.06.27 (Annual report - foreign issuer)
Item 16K. Cybersecurity	Item 16K.Cybersecurity
The risk of cybersecurity threats is growing ever more serious as a result of the accelerated digitization of financial services and changes to the surrounding environment. We strengthen our security controls in order to achieve a society that is resilient to cybersecurity threats and provide more secure services to our customers.	The risk of cybersecurity threats is growing ever more serious as a result of the accelerated digitization of financial services and changes to the surrounding environment. We strengthen our security controls in order to achieve a society that is resilient to cybersecurity threats and provide more secure services to our customers.
SMFG and some of our group companies have established a “Declaration of Cybersecurity Management.” This declaration indicates that we acknowledge cybersecurity as a key management issue, and expresses a commitment to enhancing the security posture not just within our organization, but across society as a whole. Under this declaration, we promote the strengthening of cybersecurity controls led by management in order to counter the increasing severity and sophistication of cyber threats.	SMFG and some of our group companies have established a “Declaration of Cybersecurity Management.” This declaration indicates that we acknowledge cybersecurity as a key management issue, and expresses a commitment to enhancing the security posture not just within our organization, but across society as a whole. Under this declaration, we promote the strengthening of cybersecurity controls led by management in order to counter the increasing severity and sophistication of cyber threats.
Risk Management and Strategy	Risk Management and Strategy
We define cybersecurity threats as one of the top risks for our group. Under the concept of “three lines of defense,” we have integrated cybersecurity risk management, which assesses, identifies, and manages material risks from cybersecurity threats, into a company-wide framework and have established a structure with over 600 personnel. Cybersecurity risk management forms part of our cybersecurity operational plan, which is subject to approval by the Management Committee.	We define cybersecurity threats as one of the top risks for our group. Under the concept of “three lines of defense,” we have integrated cybersecurity risk management, which assesses, identifies, and manages material risks from cybersecurity threats, into a company-wide framework and have established a structure with over 700 personnel. Cybersecurity risk management forms part of our cybersecurity operational plan, which is subject to approval by the Management Committee.
We periodically engage third-party consultants to conduct maturity assessments based on global cybersecurity frameworks to test our cybersecurity controls. Using our threat intelligence function, we collect information such as the latest cybersecurity threats, vulnerabilities and geopolitical developments, and leverage them to detect and prevent those cybersecurity threats. To deter attacks exploiting vulnerabilities, we regularly conduct vulnerability assessments using various tools and also conduct threat-led penetration testing by entrusting external vendors to penetrate actual systems and evaluate vulnerabilities.	We periodically engage third-party consultants to conduct maturity assessments based on global cybersecurity frameworks to test our cybersecurity controls. Using our threat intelligence function, we collect information such as the latest cybersecurity threats, vulnerabilities and geopolitical developments, and leverage them to detect and prevent those cybersecurity threats. To deter attacks exploiting vulnerabilities, we regularly conduct vulnerability assessments using various tools and also conduct threat-led penetration testing by entrusting external vendors to penetrate actual systems and evaluate vulnerabilities.
We have designed a multilayered cyber defense system that includes detection and interception of suspicious communications from the outside, as well as operation and monitoring of various security programs and systems, to protect against various cyberattacks such as unauthorized access and mass access attacks. We have established a Security Operation Center (“SOC”) with a 24-hour, 365-day monitoring function and locate SOCs in various regions. Through coordination among SOCs in each region, we further strengthen security monitoring on a group-wide basis.	We have designed a multilayered cyber defense system that includes detection and interception of suspicious communications from the outside, as well as operation and monitoring of various security programs and systems, to protect against various cyberattacks such as unauthorized access and mass access attacks. We have established a Security Operation Center (“SOC”) with a 24-hour, 365-day monitoring function and locate SOCs in various regions. Through coordination among SOCs in each region, we further strengthen security monitoring on a group-wide basis.
In terms of preparedness for cyber incidents, we established a Computer Security Incident Response Team (“CSIRT”) to prepare for any incidents and have set up a response system. The CSIRT actively collects cyber information on attackers’ methods and vulnerabilities from both inside and outside of our organization and shares them with external organizations such as government authorities in relevant nations and the Financial Services Information Sharing and Analysis Center (“FS-ISAC”) or other relevant organizations as necessary. In addition, we regularly participate in attack simulation exercises conducted by outside experts or the authorities to further strengthen our cyberattack response and resilience. We have established risk management processes including in relation to third parties such as outsourced vendors, and regularly monitor the actual situation.	In terms of preparedness for cyber incidents, we established a Computer Security Incident Response Team (“CSIRT”) to prepare for any incidents and have set up a response system. The CSIRT actively collects cyber information on attackers’ methods and vulnerabilities from both inside and outside of our organization and shares them with external organizations such as government authorities in relevant nations and the Financial Services Information Sharing and Analysis Center (“FS-ISAC”) or other relevant organizations as necessary. In addition, we regularly participate in attack simulation exercises conducted by outside experts or the authorities to further strengthen our cyberattack response and resilience. We have established risk management processes including in relation to third parties such as outsourced vendors, and regularly monitor the actual situation.
For the fiscal year ended March 31, 2024, there were no cybersecurity incidents that had a material impact on our results of operations or financial condition.	For the fiscal year ended March 31, 2025, there were no cybersecurity incidents that had a material impact on our results of operations or financial condition.
Governance	Governance
The Management Committee regularly discusses cybersecurity risk management in order to further strengthen our security posture based on our cybersecurity operational plan.	The Management Committee regularly discusses cybersecurity risk management in order to further strengthen our security posture based on our cybersecurity operational plan.
In order to clarify the roles and responsibilities for promoting the effectiveness of security controls, the position of Group Chief Information Security Officer (“CISO”) has been assigned under the Group Chief Information Officer (“CIO”) and the Group Chief Risk Officer (“CRO”). The Group CISO is responsible for supervision and direction of controls to manage cybersecurity threats on a group-wide basis. The current Group CISO has been working in the systems sector for many years and has extensive experience in cybersecurity, technology risk management and information security. Group Vice CISOs and regional CISOs are stationed under the Group CISO to help secure cybersecurity controls.	In order to clarify the roles and responsibilities for promoting the effectiveness of security controls, the position of Group Chief Information Security Officer (“CISO”) has been assigned under the Group Chief Information Officer (“CIO”) and the Group Chief Risk Officer (“CRO”). The Group CISO is responsible for supervision and direction of controls to manage cybersecurity threats on a group-wide basis. The current Group CISO has been working in the systems sector for many years and has extensive experience in cybersecurity, technology risk management and information security. Group Vice CISOs and regional CISOs are stationed under the Group CISO to help secure cybersecurity controls.
Our directors, in their capacities serving on the full board of directors as well as on the risk committee and audit committee, obtain information and oversee the status of the cybersecurity risk management. Based on reports from the Group CIO regarding the status of cybersecurity risk management, the board supervises the cybersecurity operational plan and its implementation on risk management related to systems, including cybersecurity. The risk committee oversees the implementation of the cybersecurity operational plan on comprehensive risk management, which includes cybersecurity risk, based on regular reports from the Group CRO. The audit committee supervises the implementation status based on regular reports from the Group CISO on the status of cybersecurity controls. Additionally, members of our board of directors periodically receive reports on cybersecurity information including external threat trends and our cybersecurity control measures from the Group CISO.	Our directors, in their capacities serving on the full board of directors as well as on the risk committee and audit committee, obtain information and oversee the status of the cybersecurity risk management. Based on reports from the Group CIO regarding the status of cybersecurity risk management, the board supervises the cybersecurity operational plan and its implementation on risk management related to systems, including cybersecurity. The risk committee oversees the implementation of the cybersecurity operational plan on comprehensive risk management, which includes cybersecurity risk, based on regular reports from the Group CRO. The audit committee supervises the implementation status based on regular reports from the Group CISO on the status of cybersecurity controls. Additionally, members of our board of directors periodically receive reports on cybersecurity information including external threat trends and our cybersecurity control measures from the Group CISO.

・みずほファイナンシャル

・2024.06.26 20-F (Annual report - foreign issuer)	・2025.06.25 20-F (Annual report - foreign issuer)
ITEM 16K. Cybersecurity	ITEM 16K. Cybersecurity
Cybersecurity Strategy	Cybersecurity Strategy
Many of our systems are connected to our domestic and overseas locations, and the systems of our customers and various payment institutions, through a global network. In light of the growing sophistication and scope of cyber-attacks, we recognize cybersecurity as an important management issue and continuously promote cybersecurity measures under management leadership.	Many of our systems are connected to our domestic and overseas locations, and the systems of our customers and various payment institutions, through a global network. As cyber attacks become more sophisticated, we recognize cybersecurity as an important management issue and continuously promote cybersecurity measures under management leadership.
We define cybersecurity risk as the risk that the group may incur tangible or intangible losses due to cybersecurity-related problems that occur at the group and/or at its clients, along with organizations, etc., that have a business relationship with the group, such as outside vendors and goods/services suppliers and view it as one of our top risks. Accordingly, we have established a system to centrally manage cybersecurity risk through the Risk Appetite Framework and the Comprehensive Risk Management Framework.	We define cybersecurity risk as the risk that the group may incur tangible or intangible losses due to cybersecurity-related problems that occur at the group and/or at its clients, along with organizations, etc., that have a business relationship with the group, such as outside vendors and goods/services suppliers and view it as one of our top risks. Accordingly, we have established a system to centrally manage cybersecurity risk through the Risk Appetite Framework and the Comprehensive Risk Management Framework.
Governance System	Governance System
At Mizuho Financial Group, the Board of Directors deliberates and resolves fundamental issues related to cybersecurity risk management. The Board of Directors receives reports from the Group Chief Information Security Officer (“CISO”) *1 on cybersecurity risks that may have an impact on management policies and strategies, annual business plans, medium- to long-term business plans, etc., other cybersecurity risks that the Board of Directors should be aware of from a medium- to long-term perspective, and important matters such as the status of risk control.	At Mizuho Financial Group, the Board of Directors deliberates and resolves fundamental issues related to cybersecurity risk management. The Board of Directors receives reports from the Group Chief Information Security Officer (“CISO”) on cybersecurity risks that may have an impact on management policies and strategies, annual business plans, medium- to long-term business plans, etc., other cybersecurity risks that the Board of Directors should be aware of from a medium- to long-term perspective, and important matters such as the status of risk control.
The Risk Committee and the IT/Digital Transformation Committee 2, both of which are advisory bodies to the Board of Directors, each receive reports from the Group CRO on the status of comprehensive risk management and from the Group CISO on basic matters related to cybersecurity risk management, evaluate conformity with our basic management policies and the appropriateness of our cyber initiatives, and present recommendations or opinions to the Board of Directors. In addition, the independent third line in the three lines of defense 3 conducts audits on the initiatives of the first and second lines, and reports the results to the Operational Audit Committee, etc.	The Risk Committee and the IT/Digital Transformation Committee 1, both of which are advisory bodies to the Board of Directors, each receive reports from the Group CRO on the status of comprehensive risk management and from the Group CISO on basic matters related to cybersecurity risk management, evaluate conformity with our basic management policies and the appropriateness of our cyber initiatives, and present recommendations or opinions to the Board of Directors. In addition, the independent third line in the three lines of defense 2 conducts audits on the initiatives of the first and second lines, and reports the results to the Operational Audit Committee, etc.
Under such supervision by the Board of Directors, the President and Chief Executive Officer oversees the cybersecurity risk management of Mizuho Financial Group, and the Group CISO, in accordance with the instructions of the Group CIO and the Group CRO, establishes measures for risk management through autonomous control activities by the first line, and monitoring, measurement, and evaluation by the second line of such autonomous control activities by the first line and give instructions to prevent cybersecurity risks that may arise from fraud or outsourcing, and to respond appropriately to cyber incidents.	Under such supervision by the Board of Directors, the President and Chief Executive Officer oversees the cybersecurity risk management of Mizuho Financial Group, and the Group CISO, in accordance with the instructions of the Group CIO and the Group CRO, establishes measures for risk management through autonomous control activities by the first line, and monitoring, measurement, and evaluation by the second line of such autonomous control activities by the first line and give instructions to prevent cybersecurity risks that may arise from fraud or outsourcing, and to respond appropriately to cyber incidents.
The Group CISO has been engaged in the IT and systems industry for more than 30 years and, with extensive knowledge and experience, is responsible for the planning and operation of cybersecurity risk management.	The Group CISO has been engaged in the IT and systems industry for more than 30 years and, with extensive knowledge and experience, is responsible for the planning and operation of cybersecurity risk management.
Based on the instructions of the Group CISO, the Cybersecurity Management Department identifies possible cybersecurity risks to our business and systems, evaluates our preparedness, assesses risks identified by analyzing the location and magnitude of cybersecurity risks, and then reviews and formulates additional measures to strengthen risk control, such as preventive measures and reactive responses, and strengthens risk control and governance through reflection in business plans.	Based on the instructions of the Group CISO, the Cybersecurity Management Department identifies possible cybersecurity risks to our business and systems, evaluates our preparedness, assesses risks identified by analyzing the location and magnitude of cybersecurity risks, and then reviews and formulates additional measures to strengthen risk control, such as preventive measures and reactive responses, and strengthens risk control and governance through reflection in business plans.
The Cybersecurity Management Department reports to the Group CISO on the status of cybersecurity risk management, and the Group CISO reports, and if applicable, submits proposals for deliberation, to the Management Committee via the IT Strategy Promotion Committee and to the Board of Directors, each on the status of our cybersecurity measures, etc., with the aim of developing and strengthening a system for ensuring cybersecurity.	The Cybersecurity Management Department reports to the Group CISO on the status of cybersecurity risk management, and the Group CISO regularly reports, and if applicable, submits proposals for deliberation, to the Management Committee via the IT Strategy Promotion Committee and to the Board of Directors, each on the status of our cybersecurity measures, etc., with the aim of developing and strengthening a system for ensuring cybersecurity.
We have appointed a person in charge of cybersecurity and have established a communication system at group companies, to monitor the status of our cybersecurity measures and to quickly gather information when an incident occurs.	We have appointed a person in charge of cybersecurity and have established a communication system at group companies, to monitor the status of our cybersecurity measures and to quickly gather information when an incident occurs.
Initiatives for Cybersecurity Measures	Initiatives for Cybersecurity Measures
Based on the cybersecurity risks identified and assessed by the Cybersecurity Management Department, Mizuho Financial Group promotes cybersecurity risk management measures across the group, globally and in our supply chains. Specifically, the Mizuho-Cyber Incident Response Team 4 and other highly qualified professionals are deployed, and a 24-hour, 365-day a year monitoring system is in place using an integrated Security Operation Center 5, etc., while making full use of intelligence and advanced technologies in cooperation with external specialized agencies.	To identify and prevent the manifestation of cybersecurity risks, we collaborate with external organizations such as the Financial Services Information Sharing and Analysis Center (FS-ISAC) and other financial institutions. We collect threat intelligence and implement prioritized measures based on the potential impact on us.
Our systems have a virus analysis and a multi-layered defense mechanism, and we are working to strengthen our resilience by implementing Threat-Led Penetration Testing *6 to test the effectiveness of these technical measures and the effectiveness of the response process.	Specifically, we take measures to ensure consistent security throughout the entire system development lifecycle, from the planning phase to the development and operation phases.
We are also focusing on human resources development, such as conducting study groups for directors including outside directors, cybersecurity training for each executive layer, and phishing email training for all executives and employees at least once every six months.	After the release of systems, we promptly identify and address the impact of disclosed vulnerability information on our group’s system by introducing configuration management database, and vulnerability scanner systems.
We confirm in advance and on a regular basis the security management preparedness, including responses in the event of a cyber-incident, of third parties such as cloud service providers that provide outsourcing and cloud services. When we receive reports of cyber-incidents from third parties, in addition to identifying and analyzing the impact on the group, we also strive to respond appropriately to risks when there is concern about the impact on the group.	To evaluate the effectiveness of these technical measures against cyber attacks on our systems, we also regularly conduct vulnerability assessments and Threat-Led Penetration Testing *3.
In order to evaluate the maturity of these cybersecurity measures, we refer to third party assessment by the Cybersecurity Assessment Tool of the Federal Financial Institutions Examination Council and the Cybersecurity Framework of the National Institute of Standards and Technology.	As part of our preparedness measures, the Mizuho-Cyber Incident Response Team 4 and other highly qualified professionals are deployed, and a 24-hour, 365-day a year monitoring system is in place using an integrated Security Operation Center 5, etc.
	We are also focusing on human resources development, such as conducting study groups for directors including outside directors, cybersecurity training for each executive and employee layer, and phishing email training for all executives and employees at least once every six months.
	Additionally, we confirm in advance before, and on a regular basis after entering into a contract with a third party, the security management preparedness, including responses in the event of a cyber incident, of third parties such as cloud service providers that provide outsourcing and cloud services. When we receive reports of cyber incidents from third parties, in addition to identifying and analyzing the impact on the group, we also strive to respond appropriately to risks when there is concern about the impact on the group.
	We verify the effectiveness of our cybersecurity posture by referring to external frameworks related to cybersecurity, such as the Cybersecurity Framework developed by the National Institute of Standards and Technology and guidelines on cybersecurity published by the Financial Services Agency. Additionally, we also undergo evaluations by third parties.
	Impact and Response When a Cyber-Incident Occurs
	As a result of our enhanced cybersecurity measures, we are not aware of any past cyber attacks that could have had a significant impact on investor decisions or could have materially affected our business operations, results of operations and financial condition, in the fiscal year ended March 31, 2025. However, in the event of a cyber attack due to a failure to strengthen cybersecurity measures, leaks or falsification of electronic data, suspension of business operations, information leaks, and unauthorized remittances may occur and cause inconvenience and disadvantage to our customers.
	In addition, our business operations, results of operations and financial condition may be materially affected by compensation for damages, administrative actions and damage to reputation.
	In the unlikely event that a cyber-incident is detected, or if it is determined on firm grounds that the likelihood of a cyber incident occurring is very high, the Cybersecurity Management Department will report the cyber incident to the Group CISO. The Group CISO reports to the Management Committee and the Board of Directors when particularly important incidents occur or are likely to occur.
Based on the instructions from the Group CISO, the Cybersecurity Management Department monitors the cause of the incident (including incidents for which the likelihood of occurrence is determined on firm grounds to be very high), the nature and extent of the damage or expected damage, supports the formulation of effective containment, eradication, and recovery measures, analyzes attack methods or expected attack methods based on cyber-incident information, and conducts incident response.	Based on the instructions from the Group CISO, the Cybersecurity Management Department monitors the cause of the incident (including incidents for which the likelihood of occurrence is determined on firm grounds to be very high), the nature and extent of the damage or expected damage, supports the formulation of effective containment, eradication, and recovery measures, analyzes attack methods or expected attack methods based on cyber incident information, and conducts incident response.
Even after incident recovery, the Cybersecurity Management Department monitors changes that could lead to cyber-incidents in the group and promptly reports to the Group CISO when a breach of the threshold is identified. In addition, the Cybersecurity Management Department analyzes and evaluates the status of causes and risks, and implements necessary measures after consulting with the Group CISO on the response policy.	Even after incident recovery, the Cybersecurity Management Department monitors changes that could lead to cyber incidents in the group and promptly reports to the Group CISO when a breach of the threshold is identified. In addition, the Cybersecurity Management Department analyzes and evaluates the status of causes and risks, and implements necessary measures after consulting with the Group CISO on the response policy.
*1 Chief Information Security Officer	*1 IT/Digital Transformation Committee (as described in “Item6.C. Board Practices”)
*2 IT/Digital Transformation Committee (as described in “Item6.C. Board Practices”)	*2 Three lines of defense (concept for defining and classifying organizational functions and responsibilities in risk management and compliance)
*3 Three lines of defense (concept for defining and classifying organizational functions and responsibilities in risk management and compliance)	*3 Threat-Led Penetration Testing (evaluation of systems and response processes by analyzing targeted threats and conducting attacks that mimic actual attacks)
*4 Cyber Incident Response Team (incident response teams within the Cybersecurity Management Department that specialize in information security issues within the organization)	*4 Cyber Incident Response Team (incident response teams within the Cybersecurity Management Department that specialize in information security issues within the organization)
*5 Security Operation Center (a specialized team within the Cybersecurity Management Department that monitors and analyzes threats to information systems in organizations such as enterprises)	*5 Security Operation Center (a specialized team within the Cybersecurity Management Department that monitors and analyzes threats to information systems in organizations such as enterprises)
*6 Threat-Led Penetration Testing (evaluation of systems and response processes by analyzing targeted threats and conducting attacks that mimic actual attacks)

・ORIX

・野村ホールディングス

・2024.06.26 20-F (Annual report - foreign issuer)	・2025.06.23 20-F (Annual report - foreign issuer)
Item 16K.Cybersecurity	Item 16K.Cybersecurity
Risk Management and Strategy	Risk Management and Strategy
Nomura maintains a comprehensive cybersecurity strategy. Identifying, assessing and managing cybersecurity threats and risks are an integral component of Nomura’s Operational Risk Management (ORM) Framework. See Item 11. “Quantitative and Qualitative Disclosures about Market, Credit and Other Risk—Operational Risk Management Framework” for further information on the framework.	Nomura maintains a comprehensive cybersecurity strategy. Identifying, assessing and managing cybersecurity threats and risks are an integral component of Nomura’s Operational Risk Management (ORM) Framework. See Item 11. “Quantitative and Qualitative Disclosures about Market, Credit and Other Risk—Overview of Risk Management Policy and Procedures” for further information on the framework.
Nomura has invested and is continuing to invest in its cybersecurity strategy to address fast-evolving and sophisticated cybersecurity threats while at the same time complying with extensive global, legal and regulatory expectations. Our cybersecurity programs are designed to be in line with industry best practice standards and include core capabilities such as Security Governance, Security Awareness and Training, Threat Intelligence & Management, Security Operations Management, Vulnerability Management, Application Security, Data Security, and Identity and Access Management.	Nomura has invested and is continuing to invest in its cybersecurity strategy to address fast-evolving and sophisticated cybersecurity threats while at the same time complying with extensive global, legal and regulatory expectations. Our cybersecurity programs are designed to be in line with industry best practice standards and include core capabilities such as Security Governance, Security Awareness and Training, Threat Intelligence & Management, Security Operations Management, Vulnerability Management, Application Security, Data Security, and Identity and Access Management.
Nomura is regularly engaging various external service providers to perform independent assessments of our cybersecurity programs and controls. The results from these independent engagements are integrated into updates to our cybersecurity strategy as appropriate. We also conduct our own regular internal security assessments, such as penetration testing, vulnerability scanning, red teaming, and tabletop cyber attack simulations.	Nomura is regularly engaging various external service providers to perform independent assessments of our cybersecurity programs and controls. The results from these independent engagements are integrated into updates to our cybersecurity strategy as appropriate. We also conduct our own regular internal security assessments, such as penetration testing, vulnerability scanning, red teaming, and tabletop cyber attack simulations.
Nomura has developed a Third-Party Security Risk Management program that monitors and assesses the cybersecurity controls of our third-party vendors, which include, among others, service providers, SaaS providers, contractors, consultants, suppliers, etc. This program provides a consistent, controlled, cross-divisional approach to managing the services provided by third-party vendors. We perform various risk identification activities including security questionnaires, threat intel reports, SOC2 Type 2 attestation, and onsite reviews for critical suppliers. We also perform periodic reassessment of existing critical vendors. Security risks and exceptions observed are monitored per our global Operational Risk Management framework.	Nomura has developed a Third-Party Security Risk Management program that monitors and assesses the cybersecurity controls of our third-party vendors, which include, among others, service providers, SaaS providers, contractors, consultants, suppliers, etc. This program provides a consistent, controlled, cross-divisional approach to managing the services provided by third-party vendors. We perform various risk identification activities including security questionnaires, threat intel reports, SOC2 Type 2 attestation, and onsite reviews for critical suppliers. We also perform periodic reassessment of existing critical vendors. Security risks and exceptions observed are monitored per our global Operational Risk Management framework.
During the fiscal year ended March 31, 2024, we did not identify any risks from cybersecurity threats, including as a result of previously identified cybersecurity incidents that have materially affected or are reasonably likely to materially affect our business strategy, results of operations or financial condition. However, there is no guarantee that our business strategy, results of operations and financial condition will not be materially affected by a future cybersecurity incident, and we cannot provide assurances that we have not had occurrences of undetected cybersecurity incidents. See Item 3.D “ Risk Factors ” for further information on our cybersecurity-related risks.	During the year ended March 31, 2025, we did not identify any risks from cybersecurity threats, including as a result of previously identified cybersecurity incidents that have materially affected or are reasonably likely to materially affect our business strategy, results of operations or financial condition. However, there is no guarantee that our business strategy, results of operations and financial condition will not be materially affected by a future cybersecurity incident, and we cannot provide assurances that we have not had occurrences of undetected cybersecurity incidents. See Item 3.D “Risk Factors” for further information on our cybersecurity-related risks.
Cybersecurity Risk Governance	Cybersecurity Risk Governance
Nomura’s cybersecurity strategy and programs are managed by senior officers: the Group Chief Information Officer (“CIO”), who is supported by the Group Chief Information Security Officer (“CISO”) and the Group Chief Data Officer (“CDO”).	Nomura’s cybersecurity strategy and programs are managed by senior officers: the Group Chief Information Officer (“CIO”), who is supported by the Group Chief Information Security Officer (“CISO”) and the Group Chief Data Officer (“CDO”).
These senior officers have extensive experience in technology, cybersecurity, information security, and data protection and privacy. The CIO has over 35 years of experience in various engineering, IT, Operations and information security roles. The CISO has over 20 years of experience leading cybersecurity teams at financial institutions, including in the areas of security engineering, risk and control management, data privacy, information security, and cybersecurity. The CDO has over 25 years of experience in data and analytics-led business transformation.	These senior officers have extensive experience in technology, cybersecurity, information security, and data protection and privacy. The CIO has over 35 years of experience in various engineering, IT, Operations and information security roles. The CISO has over 25 years of experience leading cybersecurity teams at financial institutions, including in the areas of security engineering, risk and control management, data privacy, information security, and cybersecurity. The CDO has over 25 years of experience in data and analytics-led business transformation.
Our Board of Directors (“BoD”) has overall responsibility for risk management, with its committees assisting the BoD in performing this function based on their respective areas of expertise. Our BoD delegates its authority to execute business to the Executive Officers led by Group CEO to the extent permitted by law. Among the matters delegated to the Executive Officers by the BoD, the most important matters of business are decided upon deliberation by the Executive Management Board (“EMB”) which consists of the Executive Officers. The EMB delegates responsibility for deliberation of matters concerning risk management including cybersecurity risks to the Group Risk Management Committee (“GRMC”). The CIO is an observer of the EMB and the GRMC, and provides cybersecurity updates to the EMB and the GRMC.	Our Board of Directors (“BoD”) has overall responsibility for risk management, with its committees assisting the BoD in performing this function based on their respective areas of expertise. Our BoD delegates its authority to execute business to the Executive Officers led by Group CEO to the extent permitted by law. Among the matters delegated to the Executive Officers by the BoD, the most important matters of business are decided upon deliberation by the Executive Management Board (“EMB”) which consists of the Executive Officers. The EMB delegates responsibility for deliberation of matters concerning risk management including cybersecurity risks to the Group Risk Management Committee (“GRMC”). The CIO is an observer of the EMB and the GRMC, and provides cybersecurity updates to the EMB and the GRMC.
The GRMC, based on a delegation from the EMB, meets regularly and reports on its activities and findings to the EMB. These meetings cover critical security topics such as resources and budget in cybersecurity risk mitigation and governance, cybersecurity risks, as well as security incidents and cyber tabletop simulations. In addition to these regular reporting activities to the GRMC, the EMB, and the BoD, potentially material cybersecurity events will be escalated to the same management bodies as well as key stakeholders according to Nomura’s security incident response process including crisis management perspectives.	The GRMC, based on a delegation from the EMB, meets regularly and reports on its activities and findings to the EMB. These meetings cover critical security topics such as resources and budget in cybersecurity risk mitigation and governance, cybersecurity risks, as well as security incidents and cyber tabletop simulations. In addition to these regular reporting activities to the GRMC, the EMB, and the BoD, potentially material cybersecurity events will be escalated to the same management bodies as well as key stakeholders according to Nomura’s security incident response process including crisis management perspectives.

・タケダ

・ソニー

・トヨタ

・ホンダ

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.25 米国 SEC Unisys、Checkpointほか、年次報告書における誤解を与えるセキュリティ開示で罰金を支払う...

・2024.07.19 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 阿里巴巴 (Alibaba)、捜狐 (SOHU)、網易 (NETEASE) の場合

・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 三井住友ファイナンシャル、ORIX、みずほファイナンシャル、野村、タケダ、ソニー、トヨタ、ホンダの場合（MUFGも追加）

・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合

2025.07.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in ESG/CSR, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2025.07.29

中国重要情報インフラにおける商用暗号の使用管理に関する規定　（2025.06.11）

こんにちは、丸山満彦です。

2025.06.11に国家暗号管理局、国家インターネット情報弁公室、中華人民共和国公安部で重要情報インフラにおける商用暗号の使用管理に関する規定が決定され、2025年8月1日からの適用となりますね...

中国は2019年に制定された暗号法や、商用暗号管理条例に基づいて、重要インフラ等において商用暗号を適切に利用することが義務付けられているものの、詳細に規定されていない部分もあり、運用が適切に行われていない可能性もあるため、サイバー攻撃の増加等を踏まえて、詳細な運用規定を定めたものと思われます。当然ですが、中国側でも地政学リスクの高まりを感じているのでしょうね...

罰則も具体的に定められていますね...

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2025.07.01 关键信息基础设施商用密码使用管理规定

关键信息基础设施商用密码使用管理规定	重要情報インフラの商用暗号の使用に関する管理規定
第一条　为规范关键信息基础设施商用密码使用，保护关键信息基础设施安全，根据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《商用密码管理条例》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律、行政法规，制定本规定。	第1条　重要情報インフラの商用暗号の使用を規範化し、重要情報インフラの安全を確保するため、「中華人民共和国暗号法」、「中華人民共和国サイバーセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「商用暗号管理条例」、「重要情報インフラのセキュリティ保護に関する条例」、「ネットワークデータセキュリティ管理条例」などの関連法規に基づき、本規定を制定する。
第二条　依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等法律、行政法规和国家有关规定认定的关键信息基础设施的商用密码使用管理，适用本规定。	第2条　本規定は、「中華人民共和国ネットワークセキュリティ法」、「重要情報インフラのセキュリティ保護に関する規則」などの法律、行政法規、および国の関連規定により認定された重要情報インフラの商用暗号の使用管理に適用される。
第三条　国家密码管理部门会同国家网信部门、国务院公安部门负责规划、指导和监督全国的关键信息基础设施商用密码使用管理工作，建立关键信息基础设施商用密码使用管理信息共享机制。	第3条　国家暗号管理部門は、国家ネット情報部門、国務院公安部門と協力し、全国における重要情報インフラの商用暗号の使用管理に関する計画、指導、監督を行い、重要情報インフラの商用暗号の使用管理に関する情報共有メカニズムを構築する。
县级以上地方各级密码管理部门会同网信部门、公安机关负责指导和监督本行政区域的关键信息基础设施商用密码使用管理工作。	県級以上の地方各級暗号管理部門は、ネット情報部門、公安機関と協力し、管轄区域における重要情報インフラの商用暗号の使用管理に関する指導、監督を行う。
第四条　关键信息基础设施保护工作部门（以下简称保护工作部门）在职责范围内负责监督管理本行业、本领域关键信息基础设施商用密码使用工作，单独编制本行业、本领域商用密码使用规划或者纳入本行业、本领域的关键信息基础设施安全规划并组织实施，指导本行业、本领域关键信息基础设施运营者（以下简称运营者）开展商用密码相关制度、人员、经费等保障工作。	第4条重要情報インフラ保護業務部門（以下「保護業務部門」という）は、その職務の範囲内で、その業界、分野における重要情報インフラの商用暗号の使用を監督管理し、その業界、分野における商用暗号の使用計画を単独で策定するか、その業界、分野における重要情報インフラのセキュリティ計画に組み込み、実施し、その業界、分野における重要情報インフラの運営者（以下「運営者」という）に対して、商用暗号に関する制度、人員、経費などの確保に関する指導を行う。
保护工作部门应当于每年3月31日前向国家密码管理部门、国家网信部门、国务院公安部门报告上一年度本行业、本领域关键信息基础设施商用密码使用管理情况。	保護業務部門は、毎年3月31日までに、国家暗号管理部門、国家ネット情報部門、国務院公安部門に対し、前年度における自業界、自分野における重要情報インフラの商用暗号の使用管理状況について報告しなければならない。
关键信息基础设施发生涉及商用密码的重大网络安全事件或者发现涉及商用密码的重大网络安全威胁时，保护工作部门应当及时向国家密码管理部门、国家网信部门、国务院公安部门报告，指导运营者开展应急处置，必要时开展商用密码应用安全性评估。	重要な情報インフラにおいて、商用暗号に関する重大なネットワークセキュリティ事件が発生した場合、または商用暗号に関する重大なネットワークセキュリティの脅威が発見された場合、保護業務部門は、国家暗号管理部門、国家情報通信部門、国務院公安部門に報告し、運営者に緊急対応を指導し、必要に応じて商用暗号の適用安全性アセスメントを実施する。
第五条　运营者应当按照相关法律、行政法规和国家有关规定，遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求，使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。	第5条運営者は、関連する法律、行政法規、および国の関連規定に従い、国の商用暗号管理、ネットワークセキュリティの保護レベル、重要情報インフラのセキュリティ保護などの制度上の要件を遵守し、商用暗号を使用して重要情報インフラを保護し、商用暗号保障システムの同時計画、同時構築、同時運用を行い、商用暗号の適用に関するセキュリティ評価を定期的に実施しなければならない。
运营者应当于每年1月31日前向所属的保护工作部门报告上一年度关键信息基础设施商用密码使用以及商用密码应用安全性评估开展情况。	事業者は、毎年1月31日までに、所属の保護業務部門に、前年度の重要情報インフラの商用暗号の使用状況および商用暗号の適用安全性アセスメントの実施状況について報告しなければならない。
第六条　运营者应当加强关键信息基础设施商用密码使用制度保障，建立商用密码使用、应急处置、重大事件报告等关键信息基础设施商用密码使用管理制度。	第6条運営者は、重要情報基盤商用暗号の使用に関する制度上の保障を強化し、商用暗号の使用、緊急対応、重大事象の報告などに関する重要情報基盤商用暗号の使用管理制度を確立しなければならない。
运营者的主要负责人对关键信息基础设施商用密码使用管理负总责，负责关键信息基础设施商用密码使用和涉及商用密码的重大网络安全事件处置工作。	運営者の主要責任者は、重要情報基盤商用暗号の使用管理について総責任を負い、重要情報基盤商用暗号の使用および商用暗号に関連する重大なネットワークセキュリティ事象の対応業務を担当する。
第七条　运营者应当加强关键信息基础设施商用密码使用人员保障，配备取得密码相关专业学历或者密码相关国家职业技能等级认定证书的专业人员分别承担密钥管理员、密码操作员等职责，配备具有安全审计专业能力的人员承担密码安全审计员职责。	第7条運営者は、重要情報インフラの商用暗号の使用に関する人材の確保を強化し、暗号関連の専門的学歴または暗号関連の国家職業技能等級認定証を取得した専門職員を、鍵管理者、暗号操作員などの職務にそれぞれ配置し、セキュリティ監査の専門的能力を有する職員を暗号セキュリティ監査員の職務に配置しなければならない。
运营者应当对密码相关专业人员进行安全背景审查，并定期组织其参加密码相关业务技能培训，提高密码相关专业人员的商用密码使用能力。	運営者は、暗号関連の専門職員についてセキュリティに関する身元調査を実施し、定期的に暗号関連の業務技能研修に参加させ、商用暗号の使用に関する専門職員の能力の向上を図らなければならない。
第八条　运营者应当加强关键信息基础设施商用密码使用和应用安全性评估经费保障，将商用密码使用和应用安全性评估经费纳入网络安全和信息化经费安排。	第8条事業者は、重要情報インフラの商用暗号の使用および適用に関するセキュリティアセスメントの経費確保を強化し、商用暗号の使用および適用に関するセキュリティアセスメントの経費を、ネットワークセキュリティおよび情報化に関する経費に組み込むものとする。
第九条　关键信息基础设施使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。	第9条重要情報インフラで使用される商用暗号製品およびサービスは、検査認証に合格したものとし、使用する暗号アルゴリズム、暗号プロトコル、鍵管理メカニズムなどの商用暗号技術は、国家暗号管理部門による審査・認定を受けるものとする。
运营者采购涉及商用密码的网络产品和服务，影响或者可能影响国家安全的，应当按照《网络安全审查办法》进行网络安全审查。	事業者は、商用暗号に関連するネットワーク製品およびサービスを購入し、国家の安全に影響を及ぼす、またはそのおそれがある場合には、「ネットワークセキュリティ審査弁法」に基づき、ネットワークセキュリティ審査を行うこと。
第十条　关键信息基础设施应当按照国家数据安全保护、个人信息保护有关要求，使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。	第10条　重要情報インフラは、国のデータセキュリティ保護、個人情報保護に関する要求事項に従い、商用暗号を使用して、その保存、使用、伝送されるコアデータ、重要データおよび個人情報を保護すること。
第十一条　关键信息基础设施规划阶段，其运营者应当依照相关法律、行政法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统并纳入关键信息基础设施安全规划统筹部署。	第11条　重要情報インフラの計画段階では、その運営者は、関連する法律、行政法規および標準規範に基づき、商用暗号の適用ニーズに応じて、商用暗号の適用方案を策定し、商用暗号保障システムを計画し、重要情報インフラのセキュリティ計画に統合して配置しなければならない。
运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设依据。	運営者は、自ら、または商用暗号検査機関に委託して、商用暗号の適用方案について、商用暗号の適用セキュリティ評価を実施しなければならない。商用暗号の適用方案が商用暗号の適用セキュリティ評価に合格しなかった場合は、商用暗号保障システムの構築の根拠とすることはできない。
第十二条　关键信息基础设施建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。建设过程中需要调整商用密码应用方案的，应当重新开展商用密码应用安全性评估，评估通过后方可按照调整后的商用密码应用方案继续建设。	第12条重要情報インフラの構築段階では、その運営者は、商用暗号の適用安全性評価に合格した商用暗号適用方案に従って、商用暗号のセキュリティ保護措置を実施し、商用暗号保障システムを構築しなければならない。構築の過程で商用暗号適用方案の調整が必要な場合は、商用暗号の適用安全性評価を再度実施し、評価に合格してから、調整後の商用暗号適用方案に従って構築を継続しなければならない。
关键信息基础设施运行前，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。	重要情報インフラの運用開始前に、その運営者は、自らまたは商用暗号検査機関に委託して、商用暗号の適用安全性アセスメントを実施しなければならない。重要情報インフラが商用暗号の適用安全性アセスメントに合格しなかった場合、運営者は改造を行い、改造期間中は運用を開始してはならない。
第十三条　关键信息基础设施建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保关键信息基础设施商用密码的正确使用和商用密码保障系统的有效运行。关键信息基础设施未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证关键信息基础设施运行安全。	第13条　重要情報インフラの建設および運用開始後、その運営者は、自らまたは商用暗号検査機関に委託して、少なくとも年に1回、商用暗号の適用安全性アセスメントを実施し、重要情報インフラの商用暗号の正しい使用および商用暗号保障システムの有効な運用を確保しなければならない。重要情報インフラが商用暗号適用セキュリティ評価に合格しなかった場合、運営者は改造を行い、改造期間中は重要情報インフラの安全な運用を確保するために必要な措置を講じなければならない。
第十四条　本规定施行前正在建设的关键信息基础设施，其运营者应当加强商用密码应用方案编制论证，建设完善商用密码保障系统，并按照本规定第十二条开展商用密码应用安全性评估。	第14条　本規定の施行前に建設中の重要情報インフラについては、その運営者は商用暗号適用方案の策定・検討を強化し、商用暗号保障システムの整備を行い、本規定第十二条の規定に基づき商用暗号適用セキュリティ評価を実施しなければならない。
本规定施行前已经投入运行的关键信息基础设施，其运营者应当按照本规定第十三条开展商用密码应用安全性评估。	本規定の実施前に運用が開始されていた重要情報インフラについては、その運営者は、本規定第13条に基づき、商用暗号の適用セキュリティ評価を実施しなければならない。
第十五条　开展关键信息基础设施商用密码应用安全性评估，应当符合《商用密码应用安全性评估管理办法》有关规定。	第15条　重要情報インフラの商用暗号の適用セキュリティ評価は、「商用暗号の適用セキュリティ評価管理方法」の関連規定に準拠して実施しなければならない。
关键信息基础设施商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评加强衔接，避免重复评估、测评。	重要情報インフラの商用暗号の適用セキュリティ評価は、重要情報インフラのセキュリティ検査評価、ネットワークセキュリティレベル評価との連携を強化し、評価、検査の重複を回避しなければならない。
第十六条　国家密码管理部门负责建设和管理国家关键信息基础设施商用密码运行安全管理基础设施，统筹保护工作部门建设本行业、本领域关键信息基础设施商用密码运行安全管理基础设施，会同国家网信部门、国务院公安部门分析研判关键信息基础设施商用密码运行安全态势，协同应对处置重大商用密码运行安全威胁。	第16条　国家暗号管理部門は、国家重要情報インフラの商用暗号運用安全管理インフラの構築および管理を担当し、保護業務担当部門が各業界、各分野における重要情報インフラの商用暗号運用安全管理インフラの構築を統括し、国家インターネット情報部門、国務院公安部門と協力して、重要情報インフラの商用暗号運用安全の状況を分析・判断し、重大な商用暗号運用安全の脅威に協調して対応し、対処する。
第十七条　密码管理部门应当定期组织开展关键信息基础设施商用密码使用情况监督检查。保护工作部门应当定期对本行业、本领域关键信息基础设施商用密码使用情况进行检查并提出改进措施，必要时可以自行或者委托商用密码检测机构等专业机构进行商用密码应用安全性评估。	第17条　暗号管理部門は、重要情報インフラの商用暗号の使用状況について、定期的に監督・検査を実施する。保護業務部門は、定期的に、自業界、自分野における重要情報インフラの商用暗号の使用状況を検査し、改善措置を提案するものとし、必要に応じて、自ら、または商用暗号検査機関などの専門機関に委託して、商用暗号の適用安全性アセスメントを実施することができる。
运营者对密码管理部门和保护工作部门开展的关键信息基础设施商用密码使用情况监督检查应当予以配合，根据监督检查意见及时进行整改并向保护工作部门报告整改情况，保护工作部门应当将整改情况向国家密码管理部门报告。	事業者は、暗号管理部門および保護業務部門が実施する重要情報インフラの商用暗号の使用状況の監督検査に協力し、監督検査の意見に基づき、速やかに改善措置を講じ、その改善状況を保護業務部門に報告するものとし、保護業務部門は、その改善状況を国家暗号管理部門に報告するものとする。
开展关键信息基础设施商用密码使用情况监督检查应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。监督检查不得收取费用，不得要求被监督检查单位购买、使用指定单位或者指定品牌的商用密码产品、服务。	重要情報インフラの商用暗号の使用状況の監督検査を実施する際には、連携と情報共有を強化し、不必要な検査や重複検査を避けること。監督検査は、費用を徴収してはならず、監督検査の対象となる機関に対して、指定機関または指定ブランドの商用暗号製品またはサービスの購入または使用を要求してはならない。
第十八条　密码管理部门、有关部门、商用密码检测机构及其工作人员对其在履行职责中知悉的国家秘密、商业秘密和个人隐私承担保密义务，不得泄露或者非法向他人提供。	第18条暗号管理部門、関係機関、商用暗号検査機関およびその職員は、職務遂行中に知り得た国家機密、営業秘密および個人のプライバシーについて、秘密保持義務を負い、漏えいまたは違法に他人に提供してはならない。
第十九条　运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定有关条款，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：	第19条運営者が「中華人民共和国暗号法」、「中華人民共和国ネットワークセキュリティ法」、「商用暗号管理条例」、「重要情報インフラのセキュリティ保護に関する条例」および本規定の関連条項に違反し、次のいずれかに該当する場合、暗号管理部門は是正を命じ、警告を与える。是正を拒否した場合またはその他の重大な事情がある場合、10万元以上100万元以下の罰金、直接責任のある管理者に1万元以上10万元以下の罰金を科す。
（一）未按照要求使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统的；	(1) 要求に従って商用暗号を使用して重要情報インフラを保護せず、商用暗号保障システムを同期して計画、建設、運用しなかった場合；
（二）关键信息基础设施使用的商用密码产品、服务未经检测认证合格的；	(2) 重要情報インフラで使用する商用暗号製品またはサービスが検査認証に合格していない場合；
（三）关键信息基础设施使用的密码算法、密码协议、密钥管理机制等商用密码技术未通过国家密码管理部门审查鉴定的；	(3) 重要情報インフラで使用する暗号アルゴリズム、暗号プロトコル、鍵管理メカニズム等の商用暗号技術が国家暗号管理部門の審査鑑定に合格していない場合；
（四）关键信息基础设施规划阶段，未制定商用密码应用方案，或者未对商用密码应用方案进行商用密码应用安全性评估的；	(4) 重要な情報インフラの計画段階で、商用暗号アプリケーションの計画を立てなかった、または商用暗号アプリケーションの商用暗号アプリケーションのセキュリティ評価を行わなかった場合。
（五）关键信息基础设施建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；	(5) 重要な情報インフラの建設段階で、商用暗号アプリケーションのセキュリティ評価に合格した商用暗号アプリケーションの計画に従って、商用暗号保障システムを構築しなかった場合。
（六）关键信息基础设施运行前，未开展商用密码应用安全性评估，或者未通过商用密码应用安全性评估且未进行改造的；	(6) 重要な情報インフラの運用開始前に、商用暗号アプリケーションのセキュリティ評価を行わなかった、または商用暗号アプリケーションのセキュリティ評価に合格しなかったにもかかわらず、改造を行わなかった場合。
（七）关键信息基础设施建成运行后，未定期开展商用密码应用安全性评估，或者未通过定期开展的商用密码应用安全性评估且未进行改造的。	(7) 重要情報インフラの建設・運用開始後、商用暗号の適用に関する定期的なセキュリティアセスメントを実施していない、または定期的な商用暗号の適用に関するセキュリティアセスメントに合格せず、改造を行っていない場合。
第二十条　运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定第九条，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额1倍以上10倍以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。	第20条運営者が『中華人民共和国暗号法』、『中華人民共和国ネットワークセキュリティ法』、『商用暗号管理条例』、『重要情報インフラセキュリティ保護条例』および本規定第九条に違反し、安全審査を受けていないまたは安全審査に合格していない商用暗号に関連するネットワーク製品またはサービスを使用した場合は、関係主管部門は使用の停止を命じ、購入金額の1倍以上10倍以下の罰金を科する。直接責任のある管理者およびその他の直接責任のある者に対して、1万元以上10万元以下の罰金を科する。
第二十一条　运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定第十七条，无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节特别严重的，责令停业整顿。	第21条事業者が、「中華人民共和国暗号法」、「中華人民共和国ネットワークセキュリティ法」、「商用暗号管理条例」、「重要情報インフラセキュリティ保護条例」および本規定第十七条に違反し、正当な理由なく、暗号管理部門または関係機関の商用暗号監督管理を受け入れず、協力せず、または妨害、阻害した場合、暗号管理部門または関係機関は、是正を命じ、警告を与える。是正を拒否し、またはその他の重大な事情がある場合には、5万元以上50万元以下の罰金を科し、直接責任のある主管者およびその他の直接責任者に1万元以上10万元以下の罰金を科する。事情が特に重大な場合には、営業の停止を命じる。
第二十二条　运营者违反本规定，有下列情形之一的，由密码管理部门、有关部门依据职责责令改正：	第22条　事業者が本規定に違反し、次のいずれかに該当する場合には、暗号管理部門および関係部門は、その職務に基づき、是正を命じる。
（一）未按照要求报告上一年度关键信息基础设施商用密码使用以及商用密码应用安全性评估开展情况的；	(1) 前年度における重要情報インフラの商用暗号の使用状況および商用暗号の適用セキュリティ評価の実施状況について、要求どおりに報告しなかった場合。
（二）未建立关键信息基础设施商用密码使用管理制度的；	(2) 重要情報インフラの商用暗号の使用管理体制を構築しなかった場合。
（三）未按照要求配备密钥管理员、密码操作员、密码安全审计员的；	(3) 要求どおりに鍵管理者、暗号操作者、暗号セキュリティ監査員を配置しなかった場合。
（四）未保障关键信息基础设施商用密码使用和应用安全性评估经费的。	(4) 重要情報インフラの商用暗号の使用および適用セキュリティ評価に必要な経費を確保しなかった場合。
第二十三条　从事关键信息基础设施商用密码使用监督管理工作的人员滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。	第23条　重要情報インフラの商用暗号の使用に関する監督管理業務に従事する者が、職権を濫用し、職務を怠り、私情に任せて不正行為を行い、または職務上知り得た営業秘密、個人プライバシー、通報者情報を漏洩し、または不正に他人に提供した場合は、法律に基づき処分される。
第二十四条　属于国家政务信息系统的关键信息基础设施的商用密码使用管理，除应当遵守本规定以外，还应当按照《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）等有关规定要求执行。	第24条　国家行政情報システムに属する重要情報インフラの商用暗号の使用管理については、本規定を遵守するほか、「国家行政情報化プロジェクト建設管理方法」（国務院発〔2019〕57号）などの関連規定の要求に従って実施するものとする。
第二十五条　本规定自2025年8月1日起施行。	第25条　本規定は、2025年8月1日から施行する。

2025.07.29 03:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

オーストラリア版政府統一基準（PSPF）2025年版の公開

こんにちは、丸山満彦です。

2012から導入されているオーストラリア政府の防御セキュリティポリシーフレームワーク（Protective Security Policy Framework; PSPF）は2018年と2024年に大きく改訂され、2024年から年次で公表されていくことになったようですが、その2025年版が公表されています...

オーストラリア版政府統一基準群といったところでしょうかね...

PSPFは、

原則（６原則）
保護セキュリティ領域（６領域：ガバナンス、リスク、情報、技術、人員、物理）
ポリシー：要件を規定
標準および技術マニュアル：特定の分野に関する追加の必須要件を規定
ガイドライン：要件および標準の実施を支援するためのアドバイスや例

の５階層をとっていますね...

2024年に大きな変更をしているので、今回は小幅な変更のようですが、それでもセクション13のTechnology lifecycle Managementでは、7項目から10項目に増えていて、例えば、13.10 innovative Technologiesとして

13.10.1 Artificial Intelligence
13.10.2 Quantum technologies
13.10.3 Connected Peripheral Technologies

が追加されていますね...

⚫︎ Australia Government - Pepartment of Home Affairs - Protective Security Policy Framework

・2025.07.24 PSPF Annual Release 2025

・・[PDF]

・PSPF Release 2025 – List of Requirements

・・[PDF]

変更点...

・PSPF Release 2025 – Summary of Changes

・・[PDF]

ガイドライン

・・[PDF]

全体はこれをみるとわかりやすいかもですね...

なお、昨年（2024年）のポリシーとガイドライン...

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.21 オーストラリア会計検査院 (Australian National Audit Office) サイバーセキュリティインシデントの管理

・2022.12.26 オーストラリア国家監査局サイバーセキュリティサプライチェーンの管理（連邦警察、税務局、外務貿易省） (2022.12.14)

・2020.07.29 ACSC オーストラリア政府がクラウドセキュリティのガイダンスを公表していますね。。。

2025.07.29 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.28

中国 AIグローバルガバナンス行動計画（2025.07.26）

こんにちは、丸山満彦です。

2025.07.10に欧州委員会が「汎用 AI 実践規範」を公表し、2025.07.23に米国トランプ政権が「AI行動計画」を発表していますが2025.07.26に中国は「AIグローバルガバナンス行動計画」を発表していますね...

インターネット自体についてもそうですが、AIについても公共財として位置付け、多国間参加型の包括的ガバナンスモデルがよいとし、「世界AI協力機構」を設立してはどうかと提案をしていますね...

概要...

1、AIの機会を共に把握する
2、AIの革新的な発展を促進する
3、あらゆる産業へのAI活用を推進する
4、デジタルインフラの構築を加速する
5、多様で開放的なイノベーションエコシステムを構築する
6、高品質なデータの供給を積極的に推進する
7、エネルギー・環境問題に効果的に対応する
8、標準と規範に関するコンセンサスを促進する
9、公共部門が率先して導入・活用する
10、AIのセキュリティガバナンスを実施する
11、「グローバル・デジタル契約」を共同で実施する
12、AI能力構築に関する国際協力を強化する
13、多国間参加型の包括的ガバナンスモデルを構築する

AIについては、安全保障上も今後の大きな鍵になるとして米国、欧州、中国、英国、日本といった主要国が積極的に投資をしていくとしていますね...　IT関連が強いインドももちろんAIに力を入れていますね...

国内外のAI関係者の声として、最近の中国の躍進はすごいという感じのようですね...

⚫︎ 中国人民共和国人民中央政府

あいさつ...

・2025.07.26 李强出席2025世界人工智能大会暨人工智能全球治理高级别会议开幕式并致辞

李强出席2025世界人工智能大会暨人工智能全球治理高级别会议开幕式并致辞	李強、2025年世界AI大会およびAIグローバルガバナンスに関するハイレベル会合の開会式への出席と挨拶
新华社上海7月26日电（记者王慧慧、龚雯）国务院总理李强7月26日在上海出席2025世界人工智能大会暨人工智能全球治理高级别会议开幕式并致辞。	新華社上海7月26日電（記者王慧慧、龚雯）国務院総理の李強は7月26日、上海で開催された2025世界AI大会およびAIグローバルガバナンスハイレベル会議の開会式に出席し、挨拶を行った。
李强表示，习近平主席今年4月在上海考察时强调，人工智能技术加速迭代，正迎来爆发式发展；要加强政策支持和人才培养，努力开发更多安全可靠的优质产品。当前，全球智能化浪潮风起云涌，人工智能领域创新呈群体性突破之势，语言大模型、多模态大模型和具身智能等领域日新月异，推动人工智能向更高效、强智能的方向快速发展。人工智能与实体经济深度融合的特征更加明显，已经开始赋能千行百业、走进千家万户，成为经济增长的新引擎，渗透到社会生活各方面。同时人工智能带来的风险挑战引发广泛关注，如何在发展和安全之间寻求平衡，亟需进一步凝聚共识。无论科技如何变革，都应当为人类所利用、为人类所掌控，朝着向善普惠的方向发展。人工智能也应当成为造福人类的国际公共产品。	李強氏は、今年4月に上海を視察した際、習近平国家主席が、人工知能技術は急速な進化を遂げ、爆発的な発展の段階に差し掛かっているとし、政策支援と人材育成を強化し、より安全で信頼性が高く、高品質な製品の開発に努める必要があると強調したと述べた。現在、世界的なインテリジェント化の波が押し寄せ、人工知能分野のイノベーションはあらゆる面で飛躍的な進歩の兆しを見せている。大規模言語モデル、大規模マルチモーダルモデル、具体化知能などの分野は急速に進化しており、人工知能のより効率的でインテリジェントな開発を推進している。人工知能と実体経済の融合はますます顕著になり、さまざまな産業に力を与え、何百万もの家庭に浸透し、経済成長の新たなエンジンとなり、社会生活のあらゆる側面に浸透している。同時に、人工知能がもたらすリスクや課題も広く注目されている。開発とセキュリティのバランスをどのように取るかについては、さらなる合意形成が必要だ。技術がどのように進化しようとも、それは人類によって活用され、制御され、すべての人々の利益となる方向へ進むべきだ。AIもまた、人類の利益となる国際的な公共財となるべきだ。
李强围绕如何把握人工智能公共产品属性、推进人工智能发展和治理，提出三点建议。一是更加注重普及普惠，充分用好人工智能发展的已有成果。要坚持开放共享、智能平权，让更多国家和群体从中受益。中国“人工智能+”行动深入推进，愿共享发展经验和技术产品，帮助世界各国特别是全球南方国家加强能力建设，让人工智能发展成果更好惠及全球。二是更加注重创新合作，力求更多突破性的人工智能科技硕果。要深化基础科学和技术研发合作，加强企业和人才交流，为人工智能发展不断注入新动力。中国愿同各国联合开展技术攻关，加大开源开放力度，共同推动人工智能发展迈上更高水平。三是更加注重共同治理，确保人工智能在造福人类上最终修成正果。要坚持统筹发展和安全，加强各国对接协调，推动早日形成具有广泛共识的人工智能全球治理框架和规则。中国高度重视人工智能全球治理，积极参与推动多双边合作，愿向国际社会提供更多中国方案，贡献更多中国智慧。中国政府倡议成立世界人工智能合作组织。	李強氏は、AIの公共財としての特性をどのように把握し、AIの発展とガバナンスを推進するかについて、3つの提案を行った。第一に、普及にさらに重点を置き、AIの発展の成果を十分に活用することだ。開放と共有、スマートの平等を堅持し、より多くの国や集団が恩恵を受けるようにすべきだ。中国は「AI+」の取り組みを深く推進しており、開発経験や技術製品を共有し、世界各国、特にグローバル・サウス諸国の能力強化を支援し、AIの発展の成果が世界により一層還元されるようにしたいと考えている。第二に、イノベーションと協力にさらに重点を置き、より多くの画期的なAI技術の成果を追求することだ。基礎科学と技術研究開発の協力を深め、企業と人材の交流を強化し、AIの発展に新たな活力を絶えず注入していく必要がある。中国は各国と共同で技術開発に取り組み、オープンソースとオープンイノベーションの取り組みを強化し、AIの発展を新たな高みに引き上げることを目指す。第三に、共同統治にさらに重点を置き、AIが人類に恩恵をもたらすという最終目標を確実に達成することだ。開発と安全の調和を図り、各国間の連携と調整を強化し、幅広い合意に基づくAIのグローバルなガバナンスの枠組みとルールを早期に確立する。中国は、AIのグローバルなガバナンスを非常に重視し、多国間・二国間協力の推進に積極的に参加し、国際社会により多くの中国の解決策を提供し、より多くの中国の知恵を貢献したいと考えている。中国政府は、世界AI協力機構の設立を提唱している。
联合国秘书长古特雷斯等发表致辞。国内外嘉宾及人工智能产学研领域代表1000多人出席大会开幕式。	グテーレス国連事務総長らが挨拶を行った。国内外の来賓、AIの産学研究分野の代表者など1000人以上が大会開会式に出席した。
开幕式后，李强同与会外方嘉宾、国际组织代表共同巡馆，并与有关科研机构和企业负责人互动交流。	開会式の後、李強は、出席した外国の来賓や国際機関代表とともに会場を見学し、関連研究機関や企業の責任者たちと意見交換を行った。
大会发表《人工智能全球治理行动计划》。	大会では、「AIグローバルガバナンス行動計画」が発表された。
陈吉宁、吴政隆参加上述活动。	陳吉寧、呉政隆も上記の行事に参加した。

全文...

・2025.07.26 人工智能全球治理行动计划（全文）

人工智能全球治理行动计划（全文）	AIグローバルガバナンス行動計画（全文）
新华社上海7月26日电 7月26日，2025世界人工智能大会暨人工智能全球治理高级别会议发表《人工智能全球治理行动计划》。全文如下：	新華社上海7月26日電 7月26日、2025年世界AI大会およびAIグローバルガバナンスハイレベル会議は、「AIグローバルガバナンス行動計画」を発表した。全文は以下の通り。
人工智能全球治理行动计划	AIグローバルガバナンス行動計画
人工智能是人类发展的新领域，是新一轮科技革命和产业变革的重要驱动力量，也可以是造福人类的国际公共产品。人工智能带来前所未有发展机遇，也带来前所未遇风险挑战。智能时代，唯有同球共济，我们才能在充分发挥人工智能潜力的同时，确保其发展的安全性、可靠性、可控性和公平性，最终落实联合国《未来契约》及其附件《全球数字契约》有关承诺，为所有人创造包容、开放、可持续、公平、安全和可靠的数字和智能未来。	人工知能（AI）は、人類の発展における新たな分野であり、新たな科学技術革命と産業変革の重要な推進力であり、人類に恩恵をもたらす国際的な公共財でもある。AIは、かつてない発展の機会をもたらす一方で、これまでにないリスクや課題も伴う。インテリジェント時代において、私たちは、AIの潜在能力を最大限に発揮しつつ、その発展の安全性、信頼性、制御性、公平性を確保し、最終的には国連「未来契約」およびその付属文書「グローバル・デジタル契約」に関する公約を実現し、すべての人々に、包摂的で、開かれた、持続可能で、公平、安全かつ信頼性の高いデジタルとインテリジェントな未来を創出していく必要がある。
为此，我们提出《人工智能全球治理行动计划》，呼吁各方在遵循向善为民、尊重主权、发展导向、安全可控、公平普惠、开放合作的目标和原则基础上，切实采取有效行动，协力推进全球人工智能发展与治理。	そのため、私たちは「AIグローバルガバナンス行動計画」を提唱し、善と民衆のために、主権を尊重し、開発志向、安全で制御可能、公平で包括的、開かれた協力という目標と原則に基づき、実効的な措置を講じ、グローバルなAIの開発とガバナンスを推進するよう、すべての関係者に呼びかける。
一、共同把握人工智能机遇。呼吁各国政府、国际组织、企业、科研院校、民间机构和公民个人等各主体积极参与、携手合作，加快数字基础设施建设，共同探索人工智能技术前沿创新，推动人工智能在全球范围的普及和应用，最大程度释放人工智能在赋能全球经济社会发展、助力落实联合国2030年可持续发展议程、应对全球挑战等方面的巨大潜力。	1、AIの機会を共に把握する。各国政府、国際機関、企業、研究機関、民間団体、市民個人など、あらゆる主体が積極的に参加し、連携して協力し、デジタルインフラの構築を加速し、AI技術の最先端のイノベーションを共に探求し、AIの世界的な普及と応用を推進し、AIが世界経済社会の発展、国連2030年持続可能な開発アジェンダの実現、グローバルな課題への対応などに持つ大きな可能性を最大限に引き出すよう呼びかける。
二、促进人工智能创新发展。秉持开放共享精神，鼓励大胆尝试探索，搭建各类国际科技合作平台，营造创新友好的政策环境，加强政策与监管协调，促进技术合作与成果转化，降低和消除技术壁垒，共同推动人工智能技术创新突破与持续发展，深度挖掘“人工智能+”开放应用场景，提升全球人工智能创新发展水平。	2、AIの革新的な発展を促進する。開放と共有の精神を堅持し、大胆な試みと探求を奨励し、さまざまな国際科学技術協力プラットフォームを構築し、イノベーションに優しい政策環境を整え、政策と規制の調整を強化し、技術協力と成果の転換を促進し、技術的障壁を削減・排除し、AI技術の革新的な突破と持続的な発展を共同で推進し、「AI+」のオープンな応用分野を深く掘り下げ、世界におけるAIの革新的な発展のレベルを高める。
三、推动人工智能赋能千行百业。推进人工智能赋能工业制造、消费、商贸流通、医疗、教育、农业、减贫等领域，推动人工智能在自动驾驶、智慧城市等场景的深度应用，构建丰富多样、健康向善的人工智能应用生态。推进智能基础设施建设和共享，开展跨国人工智能应用合作，交流最佳实践，共同探索推进人工智能全面赋能实体经济。	3、あらゆる産業へのAI活用を推進する。AIを工業製造、消費、商流、医療、教育、農業、貧困削減などの分野に活用し、自動運転、スマートシティなどの分野におけるAIの深い活用を推進し、多様で健全かつ良質なAIの応用エコシステムを構築する。スマートインフラの構築と共有を推進し、国境を越えたAIの応用協力を行い、ベストプラクティスを交換し、AIの実体経済への全面的な活用を共同で探求する。
四、加快数字基础设施建设。加快全球清洁电力、新一代网络、智能算力、数据中心等基础设施建设，完善具备互操作性的人工智能和数字基础设施布局，推动统一算力标准体系建设，支持各国特别是全球南方结合自身国情发展人工智能技术和服务，助力全球南方真正接触和应用人工智能，推动人工智能包容普惠发展。	4、デジタルインフラの構築を加速する。グローバルなクリーン電力、新世代ネットワーク、インテリジェントな計算能力、データセンターなどのインフラの構築を加速し、相互運用可能なAIとデジタルインフラのレイアウトを整備し、統一的な計算能力の標準体系の構築を推進し、各国、特にグローバル・サウスが自国の国情に合わせてAI技術とサービスを開発し、グローバル・サウスがAIに真に接触し、活用することを支援し、AIの包摂的で包括的な発展を推進する。
五、营造多元开放创新生态。充分发挥各国政府和产学界等多元主体与平台机制作用，共同推动人工智能治理国际交流和对话，打造跨国开源社区和安全、可靠开源平台，推动基础资源开放共享，降低技术创新和应用门槛，避免重复投入与资源浪费，促进人工智能技术服务普惠性、可及性。推动开源合规体系建设，明确和落实开源社区技术安全准则，促进技术文档、接口文档等开发资源开放共享，加强上下游产品兼容适配和互联互通等开源生态建设，实现非敏感技术资源开放流动。	5、多様で開放的なイノベーションエコシステムを構築する。各国政府や産学界などの多様な主体とプラットフォームのメカニズムを最大限に活用し、AIのガバナンスに関する国際交流と対話を共同で推進し、国境を越えたオープンソースコミュニティと安全で信頼性の高いオープンソースプラットフォームを構築し、基礎的なリソースのオープン共有を推進し、技術革新と応用における参入障壁を下げ、重複投資と資源の無駄遣いを回避し、AIの技術サービスの普及と利用可能性を促進する。オープンソースのコンプライアンス体制の構築を推進し、オープンソースコミュニティの技術安全基準を明確にし、実施し、技術文書、インターフェース文書などの開発リソースのオープンな共有を促進し、上流と下流の製品の互換性、相互接続性などのオープンソースエコシステムの構築を強化し、非機密技術リソースのオープンな流通を実現する。
六、积极推进优质数据供给。以优质数据推动人工智能发展，合作推动数据依法有序自由流动，探索构建数据共享的全球性机制平台，合作打造高质量数据集，为人工智能发展注入更多养料。同时，积极维护个人隐私和数据安全，提高人工智能数据语料多样化，消除歧视和偏见，促进、保护和保全人工智能生态系统和人类文明的多样性。	6、高品質なデータの供給を積極的に推進する。高品質なデータによってAIの発展を推進し、協力してデータの合法的かつ秩序ある自由な流通を推進し、データ共有のグローバルなメカニズムプラットフォームの構築を探求し、協力して高品質のデータセットを構築し、AIの発展にさらなる栄養を注入する。同時に、個人のプライバシーとデータセキュリティを積極的に保護し、AIのデータコーパスの多様性を高め、差別や偏見を排除し、AIのエコシステムと人類の文明の多様性を促進、保護、保全する。
七、有效应对能源环境问题。倡导“可持续人工智能”理念，支持不断探索创新资源节约、环境友好的人工智能发展模式，联合制定人工智能能效水效标准，推广低功耗芯片、高效算法等绿色计算技术。鼓励就人工智能开发节能进行对话与合作，共同寻找最佳解决办法。推动人工智能赋能绿色转型发展、气候变化应对、生物多样性保护等领域，扩大人工智能技术在相关方面应用，加强国际合作，分享最佳实践。	7、エネルギー・環境問題に効果的に対応する。「持続可能なAI」の概念を提唱し、資源の節約と環境に優しいAIの開発モデルの探求と革新を継続的に支援し、AIのエネルギー効率および水効率の標準を共同で策定し、低消費電力チップ、高効率アルゴリズムなどのグリーンコンピューティング技術を普及させる。AIの開発における省エネに関する対話と協力を促進し、最善の解決策を共同で模索する。AIがグリーンな転換、気候変動への対応、生物多様性の保護などの分野に活力を与えることを推進し、AI技術の関連分野への応用を拡大し、国際協力を強化し、ベストプラクティスを共有する。
八、促进标准及规范共识。支持推动各国标准制定机构对话，依托国际电信联盟、国际标准化组织、国际电工委员会等国际标准组织，重视发挥产业界作用，加快推进安全、产业、伦理等关键领域技术标准制修订，在人工智能领域建立科学、透明、包容的规范框架。积极消除算法偏见，平衡技术进步、风险防范与社会伦理，促进标准体系包容性与互操作性。	8、標準と規範に関するコンセンサスを促進する。各国標準策定機関間の対話を推進し、国際電気通信連合、国際標準化機構、国際電気標準会議などの国際標準化機関を活用し、産業界の役割を重視して、安全、産業、倫理などの重要分野における技術標準の策定と改正を加速し、AI分野における科学的、透明、包括的な規範の枠組みを構築する。アルゴリズムの偏見を積極的に排除し、技術の進歩、リスクの防止、社会倫理のバランスを取り、標準システムの包括性と相互運用性を促進する。
九、公共部门率先部署应用。各国公共部门应成为人工智能应用和治理的引领者、示范者，积极在医疗、教育、交通等公共服务领域优先部署可靠的人工智能，并加强国际交流合作。同时，对上述人工智能系统的安全性进行定期评估，尊重专利、软件著作权等知识产权。严格遵守数据和隐私保护，积极探索训练数据的依法有序交易，共同推动数据的合规开放利用，提升公共管理和服务水平。	9、公共部門が率先して導入・活用する。各国公共部門は、AIの活用とガバナンスのリーダー、モデルとなり、医療、教育、交通などの公共サービス分野において、信頼性の高いAIの導入を優先的に推進し、国際交流・協力を強化する。同時に、上記のAIシステムの安全性を定期的にアセスメントし、特許、ソフトウェアの著作権などの知的財産権を尊重する。データおよびプライバシーの保護を厳格に遵守し、トレーニングデータの合法的かつ秩序ある取引を積極的に模索し、データのコンプライアンスに準拠した利用を共同で推進し、公共の管理およびサービスのレベルを向上させる。
十、开展人工智能安全治理。及时开展人工智能风险研判，提出针对性防范应对措施，构建具有广泛共识的安全治理框架。探索分类分级管理，建立人工智能风险测试评估体系，推进威胁信息共享和应急处置机制建设。完善数据安全和个人信息保护规范，加强训练数据采集、模型生成等环节数据安全管理。加大技术研发投入，实施安全开发规范，提高人工智能可解释性、透明性、安全性。探索人工智能服务可追溯管理制度，防范人工智能技术误用、滥用。提倡建立开放性平台，共享最佳实践，在全球范围推动人工智能安全治理国际合作。	10、AIのセキュリティガバナンスを実施する。AIのリスクを適時に分析・判断し、的を絞った予防・対応策を提案し、幅広いコンセンサスに基づくセキュリティガバナンスの枠組みを構築する。分類・階層化管理を模索し、AIのリスク評価・試験制度を確立し、脅威情報の共有と緊急対応メカニズムの構築を推進する。データセキュリティと個人情報保護に関する規範を整備し、トレーニングデータの収集、モデル生成などの段階におけるデータセキュリティ管理を強化する。技術研究開発への投資を増やし、セキュリティ開発規範を実施し、AIの解釈可能性、透明性、セキュリティを向上させる。AIサービスのトレーサビリティ管理制度を模索し、AI技術の誤用、乱用を防止する。開放的なプラットフォームの構築を推進し、ベストプラクティスを共有し、世界規模でAIの安全ガバナンスに関する国際協力を推進する。
十一、共同落实《全球数字契约》。积极落实联合国《未来契约》及其附件《全球数字契约》有关承诺，坚持以联合国为主渠道，以帮助发展中国家弥合数字鸿沟、实现公平普惠发展为目标，在遵守国际法、尊重国家主权和发展差异基础上，推动构建包容、公平的多边全球数字治理体系。支持在联合国框架下建立国际人工智能科学小组和全球人工智能治理对话两项机制并尽早运行，就人工智能全球治理特别是促进人工智能安全、公平、普惠发展开展有意义的讨论。	11、「グローバル・デジタル契約」を共同で実施する。国連「未来契約」およびその附属文書「グローバル・デジタル契約」に関する約束を積極的に実施し、国連を主なチャネルとし、開発途上国のデジタル格差の解消と公平で包括的な発展の実現を目標とし、国際法、国家主権、開発の差異を尊重しつつ、包摂的で公平な多国間グローバルデジタルガバナンスシステムの構築を推進する。国連枠組みの下で、国際AI科学グループとグローバルAIガバナンス対話という2つのメカニズムの設立と早期運用を支援し、AIグローバルガバナンス、特にAIの安全、公平、包摂的な発展の促進について有意義な議論を行う。
十二、加强人工智能能力建设国际合作。把人工智能能力建设国际合作置于全球人工智能治理议程的突出位置，鼓励人工智能领先国家通过人工智能基础设施建设合作、共建联合实验室、共建安全测评互认平台、举办人工智能能力建设教育培训、组织人工智能产业供需对接活动、共同开展人工智能高质量数据集和语料库建设等实际行动，支持发展中国家加强人工智能创新、应用、治理等方面的综合能力建设。共同提高公众人工智能素养和技能水平，特别是保障和强化妇女儿童的数字和智能权益，弥合智能鸿沟。	12、AI能力構築に関する国際協力を強化する。AI能力構築に関する国際協力を、グローバルなAIガバナンスの議題の重要な位置に置き、AI先進国に対し、AIインフラ整備協力、共同研究施設の設立、安全評価相互認証プラットフォームの共同構築、AI能力構築に関する教育訓練の実施、AI産業の需給マッチングイベントの開催、高品質なデータセットやコーパス共同構築など、具体的な行動を通じて、開発途上国のAIのイノベーション、応用、ガバナンスなどに関する総合的能力構築を支援する。一般市民のAIリテラシーとスキルレベルを共同で向上させ、特に女性や子供たちのデジタルおよび知能に関する権利を保障・強化し、知能格差を埋める。
十三、构建多方参与的包容治理模式。支持搭建基于公共利益、各类主体共同参与的包容治理平台。鼓励各国人工智能企业开展对话交流，借鉴各自在人工智能不同领域的应用实践案例，推动具体领域和场景下的人工智能创新、应用以及伦理、安全合作。鼓励各类研究智库、国际论坛搭建全球和区域性交流合作平台，确保各国人工智能研究者、开发者和治理部门保持技术和政策沟通。	13、多国間参加型の包括的ガバナンスモデルを構築する。公共の利益に基づき、さまざまな主体が参加する包括的ガバナンスプラットフォームの構築を支援する。各国のAI企業が対話と交流を行い、AIのさまざまな分野における応用事例を相互に参考にし、具体的な分野や場面におけるAIのイノベーション、応用、倫理、安全に関する協力を推進する。各種研究シンクタンクや国際フォーラムが、グローバルおよび地域的な交流協力プラットフォームの構築を促進し、各国のAI研究者、開発者、および統治部門間の技術および政策のコミュニケーションを確保する。

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2025.07.25 世界互联网大会举行人工智能发展与治理交流会

世界互联网大会举行人工智能发展与治理交流会	世界インターネット大会、AIの開発とガバナンスに関する交流会を開催
7月23日下午，世界互联网大会人工智能发展与治理交流会在福建泉州举行。中国国家互联网信息办公室副主任王京涛出席会议并介绍中国人工智能发展与治理情况。世界互联网大会秘书长任贤良致欢迎辞。	7月23日午後、世界インターネット大会のAIの開発とガバナンスに関する交流会が福建省泉州で開催された。中国国家サイバースペース管理局副局長の王京涛氏が会議に出席し、中国のAIの開発とガバナンスの状況について紹介した。世界インターネット大会事務局長の任賢良氏が歓迎の挨拶を行った。
会议指出，中国高度重视人工智能的发展与安全。当前中国人工智能发展呈现积极有序发展的良好态势，一是坚持政策供给，初步构建中国特色人工智能安全治理体系；二是坚持创新发展，积极发挥人工智能新质生产力作用；三是坚持安全保障，全生命周期助力企业提升安全防护能力；四是坚持合作开放，携手构建网络空间命运共同体。下一步将持续健全治理机制，统筹发展和安全，进一步推动人工智能向着有益、安全、公平的方向健康有序发展。	会議では、中国はAIの開発と安全を非常に重視していると指摘された。現在、中国のAIの開発は、積極的かつ秩序ある発展の好傾向を示している。その要因は、第一に、政策の供給を堅持し、中国の特徴を備えたAIの安全ガバナンス体制を初步的に構築したこと、第二に、革新的な開発を堅持し、AIの新たな生産力の役割を積極的に発揮したこと、第三に、安全保障を堅持し、ライフサイクル全体を通じて企業の安全保護能力の向上を支援したこと、第四に、協力と開放を堅持し、ネットワーク空間の運命共同体を構築することだ。今後は、ガバナンスメカニズムの継続的な整備、開発と安全の総合的な調整、AIの有益、安全、公平な方向への健全かつ秩序ある発展をさらに推進していく。
中国国家互联网信息办公室网络管理技术局、网络安全协调局、国际合作局负责人参加会议，并在互动环节就人工智能相关政策问题与会员代表进行交流。与会代表表示，本次交流会加深了企业对政策的了解，积极回应了企业关切，希望大会继续组织专题交流活动，为会员搭建广泛交流、深度沟通的平台，持续助力企业成长发展。	中国国家サイバースペース管理局のネットワーク管理技術局、ネットワークセキュリティ調整局、国際協力局の責任者も会議に出席し、交流セッションでAI関連政策について会員代表と意見交換を行った。参加者は、今回の交流会により、企業としての政策理解が深まり、企業の関心事に積極的に対応できたと評価し、今後も会員企業間の幅広い交流と深いコミュニケーションの場となる専門的交流会を開催し、企業の成長と発展を支援していくことを期待していると述べた。
本次活动由世界互联网大会主办，来自高通、IBM、诺基亚贝尔、华为、平安集团、百度、腾讯、京东、澳门电讯、麒盛科技、VIVO等50余家会员企业代表参会。	このイベントは、世界インターネット大会が主催し、クアルコム、IBM、ノキアベル、ファーウェイ、平安集団、百度、テンセント、京東、マカオテレコム、麒盛科技、VIVOなど、50社以上の会員企業代表者が参加した。

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.25 米国ホワイトハウス AI行動計画(2025.07.23)

・2025.07.25 欧州委員会汎用 AI 実践規範 (2025.07.10)

2025.07.28 05:00 in 情報セキュリティ / サイバーセキュリティ, in ESG/CSR, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

中国国家ネットワーク身分認証公共サービス管理弁法（2025.05.23）

こんにちは、丸山満彦です。

信頼できるデジタルIDが社会でされることにより、行政機関や企業等から受けるサービスをスムーズに受けられるようになるとともに、行政機関や民間における業務の効率化にもつながり、社会全体としても効率性が向上するため、米国、欧州、日本などでもデジタルIDについての実装や議論が行われいるわけですが、中国でも同じですよね...

ということで、公安部、国家インターネット情報弁公室、民政部、文化観光部、国家衛生委員会、国家ラジオテレビ総局など6部門で「国家ネットワーク身分認証公共サービス管理弁法」を定めていますね...2025年7月15日から施行されています...

中国政府としては、安全で便利な身元証明を求める国民のニーズに応え、個人情報のセキュリティを効果的に保護し、デジタル経済の質の高い発展を促進するために、国家ネットワーク身元認証公共サービスを提供しているということなのでしょうね...

プライバシー保護、未成年者に対する配慮も条文に表れていますね...

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2025.05.23 公安部、国家互联网信息办公室等六部门联合公布《国家网络身份认证公共服务管理办法》

公安部、国家互联网信息办公室等六部门联合公布《国家网络身份认证公共服务管理办法》	公安部、国家サイバースペース管理局など6部門が「国家ネットワークID認証公共サービス管理弁法」を共同発表
近日，公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》（以下简称《管理办法》），自2025年7月15日起施行。	先日、公安部、国家サイバースペース管理局、民政部、文化観光部、国家衛生健康委員会、国家放送映画テレビ総局など6部門が「国家ネットワークID認証公共サービス管理弁法」（以下、「管理弁法」という）を共同発表し、2025年7月15日から施行することになった。
为实施可信数字身份战略，推进国家网络身份认证公共服务建设，保护公民身份信息安全，支撑数字经济健康有序发展，国家有关部门根据《网络安全法》《数据安全法》《个人信息保护法》《反电信网络诈骗法》《未成年人保护法》等法律法规，制定本《管理办法》。	信頼できるデジタルID戦略を実施し、国家のネットワークID認証公共サービスの構築を推進し、市民のID情報の安全を保護し、デジタル経済の健全かつ秩序ある発展を支援するため、国家の関連部門は、「サイバーセキュリティ法」、「データセキュリティ法」、「個人情報保護法」、「通信ネットワーク詐欺防止法」、「未成年者保護法」などの法律および規制に基づき、本「管理弁法」を制定した。
《管理办法》共16条，主要规定了四个方面内容：一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式；二是明确了使用国家网络身份认证公共服务的效力、应用场景；三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全和个人信息保护的责任；四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。	「管理弁法」は16条で構成され、主に4つの内容を規定している。1つ目は、国家ネットワークID認証公共サービスおよびネットワークID、ネットワークID証の概念、申請方法を明確にしたこと。2つ目は、国家ネットワークID認証公共サービスの有効性、適用場面を明確にしたこと。3つ目は、国家ネットワークID認証公共サービスプラットフォーム、インターネットプラットフォームなどのデータセキュリティおよび個人情報保護の責任を強調したこと。4つ目は、未成年者の国家ネットワークID認証公共サービスの申請、利用について特別規定を設けたこと。
《管理办法》明确网号、网证的自愿使用原则，鼓励有关主管部门、重点行业、互联网平台按照用户自愿原则推广应用网号、网证，但同时保留、提供现有的或者其他合法方式进行登记、核验身份。鼓励互联网平台接入国家网络身份认证公共服务，但应当保障未使用网号、网证的用户与使用网号、网证的用户享有同等服务。	「管理弁法」は、ネット番号およびネット証の任意使用の原則を明確にし、関連主管部門、重点業界、インターネットプラットフォームが、ユーザーの任意原則に従ってネット番号およびネット証の利用を推進することを奨励する。ただし、既存のまたはその他の合法的な手段による登録および本人確認は引き続き維持し、提供することとする。インターネットプラットフォームは、国家ネットワーク認証公共サービスへの接続を奨励するが、ネット番号およびネット証を使用しないユーザーも、ネット番号およびネット証を使用するユーザーと同等のサービスを受けることができるよう保障しなければならない。
《管理办法》严格依照《个人信息保护法》等规定，充分保护公民个人信息权益。在信息收集方面，对用户选择使用网号、网证登记、核验真实身份的，除法律、行政法规另有规定或者用户同意外，互联网平台不得要求用户另行提供明文身份信息。国家网络身份认证公共服务平台所收集的信息仅限网络身份认证所必要的信息，不收集其他信息，不会影响用户正常使用互联网应用。在信息提供方面，国家网络身份认证公共服务平台坚持“最小化提供”原则，对依法需要核验用户真实身份但无需留存法定身份证件信息的，仅向互联网平台提供核验结果；对依法确需获取、留存用户法定身份证件信息的，经用户单独同意，国家网络身份认证公共服务平台可以向互联网平台提供必要的明文身份信息。对法律、行政法规规定应当履行协助义务的，国家网络身份认证公共服务平台应当依法提供相关信息，但提供的信息仅限网号、网证对应的真实身份信息和认证日志信息。	管理弁法は、「個人情報保護法」などの規定に厳格に従い、市民の個人情報の権利を十分に保護する。情報収集に関しては、ユーザーがネット番号、ネット証の登録、本人確認の利用を選択した場合、法律、行政法規に別段の定めがある場合、またはユーザーの同意がある場合を除き、インターネットプラットフォームは、ユーザーに別途、明文の本人確認情報を提供するよう要求してはならない。国家ネットワークID認証公共サービスプラットフォームが収集する情報は、ネットワークID認証に必要な情報のみに限定され、その他の情報は収集せず、ユーザーのインターネットアプリケーションの正常な利用に影響を与えない。情報の提供に関しては、国家ネットワーク身分認証公共サービスプラットフォームは「最小限の提供」の原則を堅持し、法律に基づきユーザーの真の実名を認証する必要があるが、法定身分証明書の情報を保存する必要がない場合、認証結果のみをインターネットプラットフォームに提供する。法律に基づき、ユーザーの法定身分証明書の情報を取得、保存することが明らかに必要な場合、ユーザーの個別の同意を得た上で、国家ネットワーク身分認証公共サービスプラットフォームは、必要な明文の身分情報をインターネットプラットフォームに提供することができる。法律、行政法規により協力義務が定められている場合、国家ネットワークID認証公共サービスプラットフォームは、法律に基づき関連情報を提供するものとするが、提供する情報は、ネットID、ネットID証に対応する実在のID情報および認証ログ情報に限る。
目前，国家网络身份认证公共服务平台已经上线运行，广大用户可通过国家网络身份认证APP申领并使用网号、网证，以便在互联网服务及有关部门、行业管理中非明文登记、核验真实身份信息，减少相关服务管理环节对个人信息的采集、留存，实现公民身份信息“可用不可见”，同时降低互联网平台在个人信息保护方面的投入成本。	現在、国家ネットワーク身分認証公共サービスプラットフォームは運用を開始しており、多くのユーザーは国家ネットワーク身分認証APPを通じてネットID、ネットID証を申請・利用することができ、インターネットサービスや関連部門、業界管理において、明文での登録や実在の身分情報の確認を省略し、関連サービス管理における個人情報の収集・保存を削減し、市民の身分情報を「利用可能だが閲覧不可能」とし、同時にインターネットプラットフォームの個人情報保護に関する投資コストを削減することができる。

・2025.05.23 国家网络身份认证公共服务管理办法

国家网络身份认证公共服务管理办法	国家ネットワークID認証公共サービス管理弁法
第一条为实施可信数字身份战略，推进国家网络身份认证公共服务建设，保护公民身份信息安全，支撑数字经济健康有序发展，根据《网络安全法》、《数据安全法》、《个人信息保护法》、《反电信网络诈骗法》、《未成年人保护法》等法律法规，制定本办法。	第1条信頼性の高いデジタルID戦略を実施し、国家ネットワークID認証公共サービスの構築を推進し、市民ID情報のセキュリティを保護し、デジタル経済の健全かつ秩序ある発展を支援するため、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法、通信ネットワーク詐欺防止法、未成年者保護法などの法律および規制に基づき、本弁法を制定する。
第二条本办法所称国家网络身份认证公共服务（以下简称“公共服务”），是指国家根据法定身份证件信息，依托国家统一建设的网络身份认证公共服务平台（以下简称“公共服务平台”），为自然人提供申领网号、网证以及进行身份核验等服务。	第2条本弁法において、「国家ネットワークID認証公共サービス」（以下、「公共サービス」という）とは、国家が法定の身分証明書情報に基づき、国家が統一的に構築したネットワークID認証公共サービスプラットフォーム（以下、「公共サービスプラットフォーム」という）を利用して、自然人にネットワークID、ネットワークID証明書の申請、ID認証などのサービスを提供することをいう。
本办法所称网号，是指与自然人身份信息相对应，由字母和数字组成、不含明文身份信息的网络身份符号；网证，是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。	本弁法でいうネット番号とは、自然人の身分情報に対応し、文字と数字で構成され、明文の身分情報を含まないネットワーク身分記号を指す。ネット証とは、ネット番号および自然人の明文以外の身分情報を記録したネットワーク身分認証証を指す。ネット番号およびネット証は、インターネットサービス、関連部門、業界管理、サービスにおいて、明文以外の登録、自然人の実在する身分情報の確認に使用することができる。
第三条国务院公安部门、国家网信部门会同国务院民政、文化和旅游、卫生健康、广播电视等部门依照本办法和有关法律、行政法规的规定，在各自职责范围内负责网络身份认证公共服务有关工作。	第3条国務院公安部門、国家網信部門は、国務院民政、文化観光、衛生健康、放送テレビなどの部門と協力し、本弁法および関連する法律、行政法規の規定に基づき、それぞれの職責の範囲内で、ネットワークID認証の公共サービスに関する業務を担当する。
第四条持有有效法定身份证件的自然人，可以自愿向公共服务平台申领网号、网证。	第4条有効な法定身分証明書を有する自然人は、公共サービスプラットフォームに自発的にネットワークID、ネットワークID証を申請することができる。
不满十四周岁的自然人申领网号、网证的，应当取得其父母或者其他监护人同意，并由其父母或者其他监护人代为申领。	14歳未満の自然人がネットID、ネットID証を申請する場合は、その父母またはその他の監護人の同意を得て、その父母またはその他の監護人が代理で申請しなければならない。
已满十四周岁未满十八周岁的自然人申领网号、网证的，应当在其父母或者其他监护人的监护下申领。	14歳以上18歳未満の自然人がネットID、ネットID証を申請する場合は、その父母またはその他の監護人の監督の下で申請しなければならない。
第五条根据法律、行政法规规定，在互联网服务中需要登记、核验用户真实身份信息的，可以使用网号、网证依法进行登记、核验。	第5条法律、行政法規の規定に基づき、インターネットサービスにおいてユーザーの真の実在情報を登録、確認する必要がある場合は、ネット番号、ネット証を使用して、法律に基づき登録、確認を行うことができる。
不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的，应当取得其父母或者其他监护人同意。	14歳未満の自然人がネット番号、ネット証を使用して真の実在情報を登録、確認する場合は、その両親またはその他の保護者の同意を得なければならない。
第六条鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证，为用户提供安全、便捷的身份登记和核验服务，通过公共服务培育网络身份认证应用生态。	第6条関係主管部門、重点業界は、自主的な原則に基づき、ネットID、ネットIDの普及を促進し、ユーザーに安全で便利な本人確認登録および確認サービスを提供し、公共サービスを通じてネットID認証アプリケーションのエコシステムを育成することを奨励する。
有关主管部门、重点行业在管理、服务中，应当保留、提供现有的或者其他合法方式进行登记、核验真实身份。	関係主管部門、重点業界は、管理、サービスにおいて、既存のまたはその他の合法的な手段による本人確認登録、本人確認の手段を保持し、提供しなければならない。
第七条鼓励互联网平台按照自愿原则接入公共服务，用以支持用户使用网号、网证登记、核验用户真实身份信息，依法履行个人信息保护和核验用户真实身份信息的义务。	第7条インターネットプラットフォームは、任意で公共サービスに接続し、ユーザーがネットID、ネットID証明書による登録、ユーザーの実在する身元情報の確認を行うことを支援し、個人情報の保護およびユーザーの実在する身元情報の確認に関する法的義務を履行することを奨励する。
互联网平台接入公共服务后，用户选择使用网号、网证登记、核验真实身份信息并通过验证的，互联网平台不得要求用户另行提供明文身份信息，法律、行政法规另有规定或者用户同意提供的除外。	インターネットプラットフォームが公共サービスに接続した後、ユーザーがネット番号、ネットID登録、実在の本人確認情報の確認を選択し、確認に合格した場合、インターネットプラットフォームは、ユーザーに別途、明文の本人確認情報の提供を求めることはできない。ただし、法律、行政法規に別段の定めがある場合、またはユーザーが提供に同意した場合はこの限りではない。
互联网平台应当保障未使用网号、网证但通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。	インターネットプラットフォームは、ネット番号、ネットIDを使用していないが、他の方法で実在の本人確認の登録、確認を行ったユーザーが、ネット番号、ネットIDを使用するユーザーと同等のサービスを受けることを保障しなければならない。
第八条互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的，公共服务平台应当仅提供用户身份核验结果。	第8条インターネットプラットフォームが、法律に基づきユーザーの真の実在情報を確認する必要があるが、ユーザーの法定身分証明書の情報を保存する必要がない場合、公共サービスプラットフォームは、ユーザーの本人確認の結果のみを提供するものとする。
根据法律、行政法规规定，互联网平台确需获取、留存用户法定身份证件信息的，经用户授权或者单独同意，公共服务平台应当按照最小化原则提供。	法律、行政法規の規定に基づき、インターネットプラットフォームがユーザーの法定身分証明書の情報を取得、保存することが必要な場合、ユーザーの許可または個別の同意を得た上で、公共サービスプラットフォームは、最小限の原則に従ってその情報を提供するものとする。
未经自然人单独同意，互联网平台不得擅自处理或者对外提供相关数据、信息，法律、行政法规另有规定的除外。	自然人の個別の同意がない限り、インターネットプラットフォームは、法律、行政法規に別段の定めがある場合を除き、関連データ、情報を無断で処理したり、外部に提供したりしてはならない。
第九条公共服务平台仅限收集网络身份认证所必需的信息，处理个人信息或者向自然人提供公共服务，应当依法履行告知义务并取得其同意。处理敏感个人信息，应当取得个人的单独同意，法律、行政法规规定应当取得书面同意的，从其规定。	第9条公共サービスプラットフォームは、ネットワーク認証に必要な情報のみ収集し、個人情報を処理したり、自然人に公共サービスを提供したりする場合は、法律に基づき、その旨を通知し、同意を得なければならない。機密性の高い個人情報を処理する場合は、個人の個別の同意を得なければならない。法律、行政法規により書面による同意を得なければならない場合は、その規定に従う。
未经自然人单独同意，公共服务平台不得擅自处理或者对外提供相关数据、信息，不得将相关数据用于用户登记、核验真实身份以外的目的，法律、行政法规另有规定的除外。	自然人の個別同意がない限り、公共サービスプラットフォームは、関連データ、情報を無断で処理したり、外部に提供したりしてはならず、ユーザー登録、本人確認以外の目的で関連データを使用してはならない。ただし、法律、行政法規に別段の定めがある場合は、この限りではない。
公共服务平台应当依照法律、行政法规规定或者用户要求，及时删除用户个人信息。	公共サービスプラットフォームは、法律、行政法規の規定またはユーザーの要求に従い、ユーザーの個人情報を速やかに削除しなければならない。
第十条涉及未成年人、老年人等用户的，公共服务平台可以依法向互联网平台提供年龄标识信息，用于支持互联网平台履行相应的法律义务。	第10条未成年者、高齢者などのユーザーに関する場合、公共サービスプラットフォームは、インターネットプラットフォームが対応する法的義務を履行するために、法律に基づき、インターネットプラットフォームに年齢識別情報を提供することができる。
第十一条公共服务平台在处理用户个人信息前，应当通过用户协议等书面形式，以显著方式、清晰易懂的语言真实、准确、完整地向用户告知下列事项：	第11条公共サービスプラットフォームは、ユーザーの個人情報を処理する前に、ユーザー契約等の書面により、明確かつ分かりやすい言葉で、真実かつ正確かつ完全に、ユーザーに以下の事項を通知しなければならない。
（一）公共服务平台的名称和联系方式；	(1) 公共サービスプラットフォームの名称および連絡先
（二）用户个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；	(2) ユーザーの個人情報の処理目的、処理方法、処理する個人情報の種類、保存期間
（三）用户依法行使其个人信息相关权利的方式和程序；	(3) ユーザーが、法律に基づき、自分の個人情報に関する権利を行使する方法および手続き
（四）法律、行政法规规定应当告知的其他事项。	(4) 法律、行政法規により通知すべきその他の事項
处理敏感个人信息的，还应当向个人告知处理的必要性以及对个人权益的影响，法律另有规定的除外。	機密性の高い個人情報を処理する場合は、法律に別段の定めがある場合を除き、その処理の必要性および個人の権利利益への影響について、個人に通知しなければならない。
公共服务平台处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知本条第一款规定的事项。	公共サービスプラットフォームが、法律、行政法規により秘密保持が義務付けられている、または通知の必要がない場合、本条第一項に規定する事項を個人に通知しないことができる。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，公共服务平台应当在紧急情况消除后及时告知。	緊急事態において、自然人の生命、健康、財産を保護するため、個人に速やかに通知することができない場合、公共サービスプラットフォームは、緊急事態が解消した後、速やかに通知するものとする。
第十二条公共服务平台应当加强网络运行安全、数据安全和个人信息保护，建立并落实安全管理制度与技术防护措施，完善监督制度，有效保护网络运行安全、数据安全和个人信息权益。	第12条公共サービスプラットフォームは、ネットワークの運用安全、データ安全、および個人情報の保護を強化し、安全管理制度および技術的保護措置を確立し、実施し、監督制度を整備し、ネットワークの運用安全、データ安全、および個人情報の権利を有効に保護するものとする。
公共服务平台处理的重要数据和个人信息应当在境内存储；因业务需要确需向境外提供的，应当按照国家有关规定进行安全评估。	公共サービスプラットフォームが処理する重要なデータおよび個人情報は、国内で保存するものとする。業務上、海外への提供が本当に必要な場合は、国の関連規定に従ってセキュリティ評価を行うものとする。
公共服务平台发生网络运行安全、数据安全事件的，应当按照国家有关规定，立即启动应急预案，采取必要措施消除安全隐患，及时告知用户并向有关部门报告。	公共サービスプラットフォームでネットワークの運用セキュリティ、データセキュリティに関する事故が発生した場合は、国の関連規定に従って、直ちに緊急対応計画を発動し、必要な措置を講じてセキュリティ上の危険を排除し、ユーザーに速やかに通知し、関係当局に報告するものとする。
第十三条公共服务平台的建设和服务涉及密码的，应当符合国家密码管理有关要求。	第13条公共サービスプラットフォームの構築およびサービスが暗号に関わるときは、国の暗号管理に関する要件を満たさなければならない。
第十四条违反本办法第七条、第八条、第九条、第十一条、第十二条规定，依照《网络安全法》、《数据安全法》、《个人信息保护法》，由国务院公安部门、国家网信部门在各自职责范围内依法予以处罚、处分；构成犯罪的，依法追究刑事责任。	第14条本弁法の第七条、第八条、第九条、第十一条、第十二条の規定に違反した場合、国務院公安部門および国家ネット情報部門は、それぞれの職権の範囲内で、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法に基づき、罰則および処分を科す。犯罪を構成する場合には、法律に基づき刑事責任を問われる。
有关主管部门、重点行业在网络身份认证公共服务有关工作中玩忽职守、滥用职权的，依法追究责任。	関連主管部門、重点産業が、ネットワーク認証の公共サービスに関する業務において職務を怠ったり、職権を乱用したりした場合は、法律に基づき責任を追及する。
第十五条本办法所称法定身份证件，包括居民身份证、定居国外的中国公民的护照、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。	第15条本弁法でいう法定身分証明書とは、住民身分証明書、海外に定住する中国国民が所持するパスポート、香港・マカオ住民が中国本土を往来するための通行証、台湾住民が中国本土を往来するための通行証、香港・マカオ住民居住証明書、台湾住民居住証明書、外国人永住者身分証明書などの身分証明書をいう。
第十六条本办法自2025年7月15日起施行。	第16条本弁法は、2025年7月15日から施行する。

・2025.05.23 公安部有关部门负责人就《国家网络身份认证公共服务管理办法》答记者问

公安部有关部门负责人就《国家网络身份认证公共服务管理办法》答记者问	公安部関係担当者が「国家ネットワークID認証公共サービス管理弁法」について記者からの質問に答える
近日，公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》（以下简称《管理办法》），自2025年7月15日起施行。公安部有关部门负责人就《管理办法》相关问题回答了记者提问。	最近、公安部、国家サイバースペース管理局、民政部、文化観光部、国家衛生健康委員会、国家放送映画テレビ総局など6部門は、「国家ネットワークID認証公共サービス管理弁法」（以下、「管理弁法」という）を共同発表し、2025年7月15日から施行することとした。公安部の関連部門責任者が、「管理弁法」に関する記者からの質問に答えた。
一、问：请简要介绍一下《管理办法》的出台背景	1、質問：「管理弁法」の制定の背景について簡単に説明して。
答：随着互联网的普及和数字经济的蓬勃发展，互联网全面融入社会方方面面，驱动我们的生产生活方式和社会治理方式发生深刻变革。与此同时，为了在网络空间对个人身份进行有效识别，基于个人真实身份信息的认证服务需求出现爆发式增长，部分满足了网络空间办理业务的信任基础，但也引发了新的问题，如互联网平台难以找到权威、可靠、便捷的公民身份认证方式；个人身份信息被非法采集；数字经济缺乏可信数字身份作为支撑等。针对这些问题，多个国家出台相关政策，通过建设国家网络身份认证体系推动落实可信数字身份战略，保护公民身份信息安全。	回答：インターネットの普及とデジタル経済の活発な発展に伴い、インターネットは社会のあらゆる面に完全に浸透し、私たちの生産や生活様式、社会統治の方法を大きく変革している。一方、サイバースペースにおける個人の身元を効果的に識別するため、個人の実在する身元情報に基づく認証サービスの需要が爆発的に増加し、サイバースペースでの業務処理の信頼基盤を部分的に満たすようになったが、インターネットプラットフォームが、権威ある、信頼性が高く、便利な市民認証手段を見つけることが困難である、個人の身元情報が違法に収集される、デジタル経済を支える信頼できるデジタルIDが欠如している、などの新たな問題も生じています。これらの問題に対処するため、多くの国々が関連政策を打ち出し、国家ネットワーク認証システムの構築を通じて、信頼性の高いデジタルID戦略の推進、市民ID情報のセキュリティ保護に取り組んでいる。
党中央、国务院高度重视可信数字身份和公民个人信息保护。党的二十大报告指出，“提高公共安全治理水平，加强个人信息保护”。《“十四五”国家信息化规划》中明确，“推进社会公众数字身份管理体系建设，加大数字身份管理体系标准化整合衔接”。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》要求，“推动个人信息匿名化处理，保障使用个人信息数据时的信息安全和个人隐私”。	中国共産党中央委員会、国務院は、信頼性の高いデジタルIDと市民個人情報の保護を非常に重視している。中国共産党第20回全国代表大会の報告では、「公共の安全のガバナンスのレベルを高め、個人情報の保護を強化する」と明記されている。また、「第14次5カ年国家情報化計画」では、「社会全体のデジタルID管理システムの構築を推進し、デジタルID管理システムの標準化、統合、連携を強化する」と明記されている。「データ基盤の構築とデータ要素のより一層の活用に関する中国共産党中央委員会・国務院の意見」では、「個人情報の匿名化処理を推進し、個人情報データの使用における情報セキュリティと個人のプライバシーを保護する」ことが求められている。
为此，公安部、国家互联网信息办公室等部门建设了国家网上身份认证基础设施，向社会提供国家网络身份认证公共服务，满足人民群众在数字化、网络化、智能化条件下安全、便捷证明个人身份的需求，有效保护个人信息安全，促进数字经济高质量发展。	このため、公安部、国家サイバースペース管理局などの部門は、国家オンラインID認証インフラを構築し、国家ネットワークID認証の公共サービスを社会に提供して、デジタル化、ネットワーク化、インテリジェント化が進む状況において、国民が安全かつ便利に個人IDを証明できるニーズを満たし、個人情報のセキュリティを効果的に保護し、デジタル経済の質の高い発展を促進している。
目前，国家网络身份认证公共服务已在部分互联网平台和政务服务、教育考试、文化旅游、医疗卫生、邮政寄递、交通出行等行业领域开展了试点应用。为进一步规范国家网络身份认证公共服务的使用范围、使用方式、使用场景、使用原则，明确相关方的权利义务、职责任务、法律责任，公安部、国家互联网信息办公室等六部门制定了《管理办法》。	現在、国家ネットワークID認証公共サービスは、一部のインターネットプラットフォームや行政サービス、教育試験、文化観光、医療、郵便、交通などの業界で試験的に運用されている。国家ネットワークID認証公共サービスの利用範囲、利用方法、利用場面、利用原則をさらに規範化し、関係者の権利義務、職務、法的責任を明確にするため、公安部、国家サイバースペース管理局など6部門は「管理弁法」を制定した。
二、问：推行国家网络身份认证公共服务有哪些法律依据？	2、問：国家ネットワークID認証公共サービスの導入にはどのような法的根拠があるか？
答：国家网络身份认证公共服务具有充足的法律依据。《网络安全法》第24条规定“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”；《个人信息保护法》第62条规定“支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设”；《反电信网络诈骗法》第33条规定，“国家推进网络身份认证公共服务建设，支持个人、企业自愿使用，电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号，可以通过国家网络身份认证公共服务对用户身份重新进行核验”。	答：国家ネットワークID認証公共サービスには十分な法的根拠がある。「ネットワークセキュリティ法」第24条では、「国家は、ネットワークの信頼性のあるID戦略を実施し、安全で便利な電子ID認証技術の研究開発を支援し、異なる電子ID認証間の相互認証を推進する」と規定されている。「個人情報保護法」第62条では、「安全で便利な電子ID認証技術の研究開発と普及を推進し、ネットワークID認証公共サービスの構築を推進する」と規定されている。。また、『電信ネットワーク詐欺防止法』第33条では、「国家は、ネットワークID認証公共サービスの構築を推進し、個人および企業の自主的な利用を支援する。電気通信事業者、銀行金融機関、非銀行決済機関、インターネットサービス提供者は、詐欺の疑いのある電話番号、銀行口座、決済口座、インターネットアカウントについて、国家ネットワークID認証公共サービスを利用してユーザーのIDを再確認することができる」と規定されている。
根据上述法律，为规范国家网络身份认证公共服务平台的运行管理，保护用户个人信息权益，公安部、国家互联网信息办公室等六部门研究制定了《管理办法》。	上記の法律に基づき、国家ネットワークID認証公共サービスプラットフォームの運営管理を規範化し、ユーザーの個人情報の権利を保護するため、公安部、国家サイバースペース管理局など6部門が「管理弁法」を策定した。
三、问：《管理办法》的主要内容有哪些？	3、質問：「管理弁法」の主な内容は？
答：《管理办法》共16条，主要包括四个方面的内容：一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式；二是明确了使用国家网络身份认证公共服务的效力、应用场景；三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全、个人信息保护的责任；四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。	回答：「管理弁法」は16条で構成され、主に4つの内容が含まれている。1つ目は、国家ネットワークID認証公共サービスおよびネットワークID、ネットワークID証の概念、申請方法を明確にしたこと。2つ目は、国家ネットワークID認証公共サービスの有効性、適用場面を明確にしたこと。3つ目は、国家ネットワークID認証公共サービスプラットフォーム、インターネットプラットフォームなどのデータセキュリティ、個人情報保護の責任を強調したこと。4つ目は、未成年者の国家ネットワークID認証公共サービスの申請、利用について特別規定を設けたこと。
四、问：《管理办法》对国家网络身份认证公共服务平台等保护和处理个人信息，是如何规定的？	4、質問：「管理弁法」は、国家ネットワークID認証公共サービスプラットフォームなどの個人情報の保護、処理についてどのように規定しているか？
答：《管理办法》严格依照《个人信息保护法》等法律规定，充分保障公民个人信息权益。	回答：「管理弁法」は、「個人情報保護法」などの法律の規定を厳格に遵守し、市民の個人情報の権利を十分に保護している。
一是在信息收集方面，《管理办法》规定，对用户选择使用网号、网证登记、核验真实身份的，除法律、行政法规另有规定或者用户同意外，互联网平台不得要求用户另行提供明文身份信息，从而减少互联网平台收集个人身份信息带来的安全风险。同时，《管理办法》也明确，国家网络身份认证公共服务平台应当按照“最小必要”原则收集信息，所收集的信息仅限网络身份认证所必要的信息，不得收集其他信息。	第一に、情報収集に関して、「管理弁法」は、ユーザーがネット番号、ネット証の登録、本人確認を選択した場合、法律、行政法規に別段の定めがある場合、またはユーザーの同意がある場合を除き、インターネットプラットフォームはユーザーに別途、明文の本人確認情報を提供するよう要求してはならないと規定しており、インターネットプラットフォームによる個人情報の収集に伴うセキュリティリスクを軽減している。同時に、「管理弁法」では、国家ネットワークID認証公共サービスプラットフォームは「最小限の必要性」の原則に従って情報を収集し、収集する情報はネットワークID認証に必要な情報のみに限定し、その他の情報を収集してはならないことを明確に規定している。
二是在信息提供方面，《管理办法》规定，国家网络身份认证公共服务平台应当坚持“最小化提供”原则，对依法需要核验用户真实身份但无需留存法定身份证件信息的，仅向互联网平台提供核验的结果，不提供其他信息；对依法确需获取、留存用户法定身份证件信息的，经用户单独同意，公共服务平台可以向互联网平台提供必要的明文身份信息。此外，对法律、行政法规规定应当履行协助义务的，公共服务平台应当依法提供相关信息，但提供的信息仅限网号、网证对应的真实身份信息和认证日志信息。	第二に、情報提供に関しては、「管理弁法」は、国家ネットワークID認証公共サービスプラットフォームは「最小限の提供」の原則を堅持し、法律に基づきユーザーの真の実在を確認する必要があるが、法定の身分証明書の情報を保存する必要がない場合は、インターネットプラットフォームに確認結果のみを提供し、その他の情報は提供してはならないと規定している。さらに、法律、行政法規により協力義務が規定されている場合、公共サービスプラットフォームは、法律に基づき関連情報を提供しなければならないが、提供できる情報は、ネット番号、ネット認証証に対応する実在の身分情報、認証ログ情報に限られる。
三是在其他信息处理方面，《管理办法》规定，国家网络身份认证公共服务平台处理个人信息或者向自然人提供公共服务，应当依法履行告知义务并取得其同意。处理敏感个人信息的还应当取得个人单独同意。	第三に、その他の情報処理に関しては、「管理弁法」は、国家ネットワーク認証公共サービスプラットフォームが個人情報を処理したり、自然人に公共サービスを提供したりする場合は、法律に基づき、通知義務を履行し、その同意を得なければならないと規定している。機密性の高い個人情報を処理する場合は、個人から別途同意を得なければならない。
五、问：《管理办法》对国家网络身份认证公共服务平台保护数据安全，是如何规定的？	5、質問：「管理弁法」は、国家ネットワークID認証公共サービスプラットフォームによるデータセキュリティの保護について、どのように規定しているか。
答：《管理办法》严格依照《数据安全法》等法律规定，要求国家网络身份认证公共服务平台采取有力措施，保护数据安全。	回答：「管理弁法」は、「データセキュリティ法」などの法律の規定に厳格に従い、国家ネットワークID認証公共サービスプラットフォームに対して、データセキュリティを保護するための強力な措置を講じることを義務付けている。
一是公共服务平台应当建立并落实安全管理制度与技术防护措施，健全完善监督制度，有效保护网络运行安全、数据安全和个人信息安全。	第一に、公共サービスプラットフォームは、セキュリティ管理体制と技術的保護措置を確立・実施し、監督体制を整備・充実させ、ネットワークの運用セキュリティ、データセキュリティ、および個人情報のセキュリティを効果的に保護しなければならない。
二是公共服务平台处理的重要数据和个人信息应当在境内存储；因业务需要确需向境外提供的，应当按照国家有关规定进行安全评估。	第二に、公共サービスプラットフォームが処理する重要なデータおよび個人情報は、国内で保存すべきだ。業務上、海外への提供が本当に必要な場合は、国の関連規定に従ってセキュリティ評価を行うべきだ。
三是公共服务平台发生网络运行安全、数据安全事件的，应当按照国家有关规定，立即启动应急预案，采取必要措施消除安全隐患，及时告知用户并向有关部门报告。	第三に、公共サービスプラットフォームでネットワークの運用セキュリティ、データセキュリティに関する事件が発生した場合は、国の関連規定に従って、直ちに緊急対応計画を発動し、セキュリティ上の危険を排除するために必要な措置を講じ、ユーザーに速やかに通知し、関係当局に報告すべきだ。
四是公共服务平台的建设和服务涉及密码的，应当符合国家密码管理有关要求。	第四に、公共サービスプラットフォームの構築およびサービスが暗号に関わっている場合は、国の暗号管理に関する要件を満たすべきだ。
六、问：《管理办法》征求意见和采纳吸收的情况？	6、質問：「管理弁法」の意見募集と採用・吸収の状況は？
答：2024年7月26日至8月25日，公安部、国家互联网信息办公室就《管理办法》向社会公开征求意见。期间，社会反响热烈，各渠道收到意见建议1.7万余条，媒体和网民认为此举有利于保护个人信息、净化网络环境。从国家网络身份认证公共服务核心指标来看，征求意见期间，“国家网络身份认证”APP下载量同比增长90.9%，网号网证申领量同比增长129.9%，客服咨询量同比增长295%，充分体现了广大网民对国家网络身份认证公共服务的支持和认可。另外，国家网络身份认证公共服务和网号网证是面向智能化、网络化、数字化时代保护个人信息安全、促进数字经济发展的创新措施，属于新生事物，社会上也出现了一些不同的声音，属于正常现象。	回答：2024年7月26日から8月25日まで、公安部、国家サイバースペース管理局は「管理弁法」について、社会から意見募集を行った。その間、社会から大きな反響があり、各チャネルで1万7000件以上の意見・提案が寄せられ、メディアやネットユーザーは、この措置が個人情報の保護とネットワーク環境の浄化に有益であると評価した。国家ネットワーク身分認証公共サービスの核心指標を見ると、意見募集期間中、「国家ネットワーク身分認証」アプリのダウンロード数は前年比90.9％増、ネットIDと身分証明書の申請件数は前年比129.9％増、カスタマーサービスへの問い合わせ件数は前年比295％増となり、ネットユーザーが大半が国家ネットワーク身分認証公共サービスを支持し、認めていることが明らかになった。また、国家ネットワーク身分認証公共サービスとネットID・ネットID認証は、スマート化、ネットワーク化、デジタル化時代における個人情報の安全保護とデジタル経済の発展を促進するための革新的な措置であり、新たな取り組みであるため、社会ではさまざまな意見が出ているが、これは正常な現象だ。
在收到的意见中，针对《管理办法》条款的建设性意见建议主要集中在确保网号网证使用的自愿性、保障未使用网号网证用户享有同等网络服务的权利、加强对公共服务平台自身的监管、加强数据安全保护、强化未成年人网络权益保护等。公安部、国家互联网信息办公室等部门对上述意见进行了全面梳理，并先后组织3场专家研讨会，充分听取网络技术、法律领域的专家学者以及互联网企业、行业领域代表等的意见建议，在充分尊重社会反馈意见的基础上，按照尽最大可能吸收的原则，对《管理办法》做了多轮次修改完善，重点增加确保网号网证使用的自愿性、确保未使用网号网证用户享有同等服务、加强公共服务平台数据安全监管、加强未成年人权益保护等内容。此外，根据有关法律专家、技术专家建议，并借鉴世界主要国家数字身份体系建设通行做法，将试点应用时国家网络身份认证APP图标中的“身份认证”修改为“数字身份”。	寄せられた意見のうち、「管理弁法」の条項に関する建設的な意見は、ネットID・ネットID証明書の使用の任意性を確保すること、ネットID・ネットID証明書を使用していないユーザーにも同等のネットサービスの権利を保障すること、公共サービスプラットフォーム自体の監督を強化すること、データセキュリティ保護を強化すること、未成年者のネット上の権利保護を強化することなどに集中していた。公安部、国家サイバースペース管理局などの部門は、上記の意見を総合的に整理し、3回の専門家会議を開催して、ネットワーク技術や法律分野の専門家や学者、インターネット企業、業界代表などの意見や提案を十分に聞き、社会のフィードバックを十分に尊重し、可能な限り吸収するという原則に基づき、「管理弁法」を何度も改訂・改善した。特に、ネットIDとネットID認証の利用の任意性を確保すること、ネットIDとネットID認証を利用していないユーザーが同等のサービスを受けることを確保すること、公共サービスプラットフォームのデータセキュリティ監督を強化すること、未成年者の権利保護を強化することなどの内容を追加した。さらに、法律専門家や技術専門家の意見、および世界の主要国のデジタルIDシステム構築の一般的な慣行を参考にし、試験運用時の国家ネットワークID認証アプリのアイコンの「ID認証」を「デジタルID」に変更した。
七、问：国家网络身份认证公共服务与现有认证方式相比，有什么优势？	7、質問：国家ネットワーク身分認証公共サービスは、既存の認証方式と比べてどのような利点があるか？
答：国家网络身份认证公共服务以保护个人信息安全为首要目标，以匿名化的方式进行身份认证、身份登记，与其他身份认证服务相比具有以下特点：	回答：国家ネットワーク身分認証公共サービスは、個人情報の安全保護を第一目標とし、匿名化による身分認証、身分登録を行うもので、他の身分認証サービスと比べて以下の特徴がある。
一是权威性。国家网络身份认证公共服务基于法定身份证件信息和国家人口基础信息，为自然人提供网号网证的申领、认证服务，并结合生物特征等多个因子认证，确保认证结果权威。	第一に、権威性。国家ネットワークID認証公共サービスは、法定の身分証明書情報と国家人口基本情報に基づき、自然人にネットIDとネットID認証の申請・認証サービスを提供し、生体認証などの複数の要素認証と組み合わせることで、認証結果の信頼性を確保している。
二是安全性。国家网络身份认证公共服务以匿名方式认证身份，能够减少公民身份证号码、姓名等明文身份信息的直接使用，可有效避免相关方过度采集、留存个人身份信息，有效保护个人信息和隐私的安全。	第二に、安全性。国家ネットワークID認証公共サービスは、匿名方式でIDを認証するため、市民のID番号や氏名などの明文のID情報の直接使用を減らし、関係者が個人ID情報を過度に取り込み、保存することを効果的に防止し、個人情報とプライバシーの安全を効果的に保護することができる。
三是可信性。国家网络身份认证公共服务附加了自然人的行为属性，每次认证需要本人参与以获得个人授权，自然人可在国家网络身份认证APP历史认证记录中查看近期在各个互联网平台的认证情况，具有可追溯性和抗抵赖性等特点。	第三に、信頼性。国家ネットワーク身分認証公共サービスは、自然人の行動属性を付加しており、認証には毎回本人による個人認証が必要だ。自然人は、国家ネットワーク身分認証アプリの歴史認証記録で、各インターネットプラットフォームでの最近の認証状況を確認することができ、追跡可能性や否認防止などの特徴がある。
四是便捷性。用户可使用智能手机调用国家网络身份认证公共服务核验身份，大大减少账号密码丢失、遗忘等问题，方便人民群众在数字化、网络化、智能化条件下，一键授权便捷办理事项。	第四に、利便性。ユーザーはスマートフォンを使用して国家ネットワーク身分認証公共サービスにアクセスし、身分を認証することができる。これにより、アカウントのパスワードの紛失や忘れなどの問題を大幅に削減し、デジタル化、ネットワーク化、インテリジェント化が進む状況において、国民がワンクリックで認証を行い、手続きを迅速に行うことができる。
五是公益性。国家网络身份认证公共服务有别于商业化、市场化服务，对法律要求的强实名认证场景，依规免费向企业提供，大大降低身份认证成本。此外，还可为企业适应数字经济发展、拓展数字空间业务深度、提升用户体验和服务效率提供支撑。	第五に、公益性。国家ネットワーク身分認証公共サービスは、商業化、市場化されたサービスとは異なり、法律で要求される強力な本人確認が必要な場面において、規定に従って企業に無料で提供され、身分認証のコストを大幅に削減する。さらに、企業がデジタル経済の発展に対応し、デジタル空間のビジネスを深化させ、ユーザー体験とサービスの効率を向上させるためのサポートも提供している。
八、问：国家网络身份认证公共服务目前采取了哪些措施确保数据安全？	8、質問：国家ネットワークID認証公共サービスは、現在、データのセキュリティを確保するためにどのような措置を講じているか？
答：国家网络身份认证公共服务平台建立了较为完善的安全防护体系，对数据进行分级分类，开展全生命周期安全保护和监测审计，及时修复安全风险和漏洞，能够有效保护数据安全。	回答：国家ネットワークID認証公共サービスプラットフォームは、比較的完全なセキュリティ保護システムを構築し、データを分類・分類し、ライフサイクル全体のセキュリティ保護と監視・監査を実施し、セキュリティリスクや脆弱性を迅速に修復することで、データのセキュリティを効果的に保護している。
一是通过匿名化技术保护公民身份信息、数据，实现“数据可用不可见”。平台的身份数据基于国家标准密码算法和复杂的运算过程完成匿名转换，技术方案获得了有关主管部门评审认可。	第一に、匿名化技術により、市民のID情報やデータを保護し、「データは利用可能だが閲覧は不可能」を実現していることだ。プラットフォームのIDデータは、国家標準の暗号アルゴリズムと複雑な計算プロセスにより匿名化され、技術ソリューションは関連当局の審査・承認を受けている。
二是通过体系化的数据安全方案实现数据的全生命周期安全保护。从业务性质、使用范围、关联影响、合规要求等维度对数据进行分级分类，建立全生命周期安全防护体系。	第二に、体系的なデータセキュリティソリューションにより、データのライフサイクル全体のセキュリティ保護を実現していることだ。データの性質、使用範囲、関連影響、コンプライアンス要件などの観点からデータを分類・分類し、ライフサイクル全体のセキュリティ保護体制を構築している。
三是建立完善的数据运维安全流程，严格数据访问控制和审批管理。对数据使用全程审计，确保合法合规。严格数据运维人员管控，统一访问入口，依据角色级别及权限匹配身份鉴别措施，实现数据接触可管可控，确保数据访问行为全程可追溯。	第三に、完璧なデータ運用・保守セキュリティプロセスを確立し、データアクセス制御と承認管理を厳格に行うことだ。データ使用の全過程を監査し、合法性およびコンプライアンスを確保する。データ運用・保守担当者を厳格に管理し、アクセス入口を統一し、役割レベルおよび権限に応じてID認証措置を適用することで、データへのアクセスを管理・制御し、データアクセス行動の追跡可能性を確保する。
四是坚持实战化攻防演练，实现主动防御的持续化数据安全防护。周期性开展实网攻防演练、安全风险评估、等级保护测评、商用密码评估等工作，保持联防联动的安全机制，不断提高网络安全意识和知识水平，及时发现和修补安全漏洞，提升系统整体数据安全水平。	第四に、実践的な攻防演習を継続的に実施し、積極的な防御による継続的なデータセキュリティ保護を実現する。実ネットワークでの攻防演習、セキュリティリスク評価、等級保護評価、商用暗号評価などを定期的に実施し、連携した防御メカニズムを維持し、ネットワークセキュリティの意識と知識のレベルを継続的に向上させ、セキュリティの脆弱性をタイムリーに発見・修正し、システム全体のデータセキュリティレベルを向上させる。

2025.07.28 04:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド, in 安全保障 | Permalink | Comments (0)
Tweet

欧州委員会未成年者の保護に関するガイドライン - デジタルサービス法関係（2025.07.14）

こんにちは、丸山満彦です。

欧州委員会が、デジタルサービス法にもどう区未成年者の保護に関するガイドラインを公表していますね...

未成年者が利用可能なすべてのオンラインプラットフォームに適用されるが、零細企業、小企業への適用除外がありますね...

推奨事項例...

未成年者のアカウントはデフォルト非公開設定
有害コンテンツへのアクセスの提言
任意のユーザをブロック等できる機能の提供（サイバーいじめの防止等）
未成年者が投稿したコンテンツのダウンロードやスクリーンショットの禁止
過剰な利用を助長する機能のデフォルト無効化
リテラシー不足を見越した商業的利用の禁止
報告ツールの改善、迅速なフィードバックの義務化、親の管理ツールの導入...

合わせて、年齢確認アプリのプロトタイプを提示していますね...

日本にはまだルールは明確にはないようにおもいますので、参考になるところがあるかもですね...

⚫︎ European Commission

Library

・2025.07.14 Commission publishes guidelines on the protection of minors

Commission publishes guidelines on the protection of minors	委員会、未成年者の保護に関するガイドラインを公表
On 14 July 2025, the Commission has published its guidelines on the protection of minors under the DSA to ensure a safe online experience for children and young people.	2025年7月14日、委員会はDSA（デジタルサービス法）に基づく未成年者の保護に関するガイドラインを公表し、子どもと若者が安全なオンライン環境で過ごすことを確保するための措置を定めた。
The adoption of the guidelines marks a milestone in the Commission’s efforts to boost online safety for children and young people under the DSA. The guidelines set out a non-exhaustive list of proportionate and appropriate measures to protect children from online risks such as grooming, harmful content, problematic and addictive behaviours, as well as cyberbullying and harmful commercial practices.	このガイドラインの採択は、DSAに基づく委員会の子どもと若者のオンライン安全強化に向けた取り組みにおける重要な節目となる。ガイドラインでは、オンライン上のリスク（例えば、誘惑行為、有害なコンテンツ、問題のある行動や依存性のある行動、サイバーいじめ、有害な商業的実践など）から子どもを保護するための、比例原則に適合した適切な措置の非網羅的なリストを定めている。
The guidelines will apply to all online platforms accessible to minors, with the exception of micro and small enterprises. Key recommendations include the following:	ガイドラインは、未成年者が利用可能なすべてのオンラインプラットフォームに適用される。ただし、零細企業および小規模企業は除外される。主な推奨事項は以下の通りである：
・Setting minors' accounts to private by default so their personal information, data, and social media content is hidden from those they aren't connected with to reduce the risk of unsolicited contact by strangers.	未成年者のアカウントをデフォルトで非公開設定にし、個人情報やデータ、ソーシャルメディアコンテンツが接続していないユーザーから隠蔽されるようにすることで、見知らぬ人からの不適切な接触のリスクを軽減する。
・Modifying the platforms’ recommender systems to lower the risk of children encountering harmful content or getting stuck in rabbit holes of specific content, including by advising platforms to prioritise explicit signals from children over behavioural signals as well as empowering children to be more in control of their feeds.	・プラットフォームのレコメンドシステムを改変し、子どもが有害なコンテンツに遭遇したり、特定のコンテンツのループに陥るリスクを低減するため、プラットフォームに対し、子どもの明示的なシグナルを行動シグナルよりも優先するよう助言するとともに、子どもがフィードの管理をよりコントロールできるようにする。
・Empowering children to be able to block and mute any user and ensuring they can't be added to groups without their explicit consent, which could help prevent cyberbullying.	・子どもが任意のユーザーをブロックまたはミュートできる機能を提供し、明示的な同意なしにグループに追加されないようにすることで、サイバーいじめを防止する。
・Prohibiting accounts from downloading or taking screenshots of content posted by minors to prevent the unwanted distribution of sexualised or intimate content and sexual extortion.	・未成年者が投稿したコンテンツのダウンロードやスクリーンショットを禁止し、性的な内容や親密な内容の不正な拡散や性的な搾取を防止する。
・Disabling by default features that contribute to excessive use, like communication "streaks," ephemeral content, "read receipts," autoplay, or push notifications, as well as removing persuasive design features aimed predominantly at engagement and putting safeguards around AI chatbots integrated into online platforms.	・過剰な利用を助長する機能（コミュニケーションの「連続記録」、一時的なコンテンツ、「既読通知」、自動再生、プッシュ通知など）をデフォルトで無効化し、エンゲージメントを主な目的とした説得的なデザイン要素を削除し、オンラインプラットフォームに統合されたAIチャットボットに安全対策を講じる。
・Ensuring that children’s lack of commercial literacy is not exploited and that they are not exposed to commercial practices that may be manipulative, lead to unwanted spending or addictive behaviours, including certain virtual currencies or loot-boxes.	・子どもの商業的リテラシーの不足が利用されないよう確保し、操作的な商業的実践、不要な支出や依存行為につながる可能性のある実践（特定の仮想通貨やループボックスを含む）にさらされないようにする。
・Introducing measures to improve moderation and reporting tools, requiring prompt feedback, and minimum requirements for parental control tools.	・モデレーションと報告ツールの改善、迅速なフィードバックの義務化、親の管理ツールの最低要件を導入する。
The guidelines also recommend the use of effective age assurance methods provided that they are accurate, reliable, robust, non-intrusive, and non-discriminatory. In particular, the guidelines recommend age verification methods to restrict access to adult content such as pornography and gambling, or when national rules set a minimum age to access certain services such as defined categories of online social media services. The EU Digital Identity Wallets, and before they become available, the blueprint for age verification on which applications can be built, will provide a compliance example and a reference standard for a device-based method of age verification. The guidelines recommend age estimation in other cases, such as when terms and conditions prescribe a minimum age lower than 18 due to identified risks to minors.	ガイドラインは、正確性、信頼性、堅牢性、非侵襲性、非差別性を満たす有効な年齢確認方法の使用を推奨している。特に、ポルノグラフィーやギャンブルなどの成人向けコンテンツへのアクセスを制限する場合、または国家規則が特定のサービス（定義されたカテゴリーのオンラインソーシャルメディアサービスなど）へのアクセスに最低年齢を設定する場合、年齢確認方法の使用が推奨される。EUデジタルアイデンティティウォレット（利用可能になるまで）およびその基盤となる年齢確認のブループリントは、デバイスベースの年齢確認方法の準拠例および参照基準を提供する。ガイドラインは、未成年者へのリスクが特定された場合、利用規約で18歳未満の最低年齢を定める場合など、他のケースでは年齢推定を推奨している。
Like the DSA, the guidelines adopt a risk-based approach, recognising that online platforms may pose different types of risks to minors, depending on their nature, size, purpose, and user base. The guidelines enshrine a safety and privacy by design approach and are grounded in children’s rights. Platforms should ensure that the measures they take do not disproportionately or unduly restrict children’s rights.	DSAと同様に、ガイドラインはリスクベースのアプローチを採用し、オンラインプラットフォームが性質、規模、目的、ユーザーベースに応じて未成年者に異なるリスクを及ぼす可能性があることを認識している。ガイドラインは、安全性とプライバシーを設計段階から組み込むアプローチを定めており、子どもの権利を基盤としている。プラットフォームは、講じる措置が子どもの権利を不当にまたは過度に制限しないよう確保する必要がある。
The Commission will use these guidelines to assess compliance with Article 28(1) of the DSA. They will serve as a reference point for checking if online platforms that allow minors to use them meet the necessary standards and may inform national regulators in their enforcement actions. However, following these guidelines is voluntary and does not automatically guarantee compliance. The guidelines were developed following a comprehensive process including:	委員会は、これらのガイドラインをDSA第28条第1項の遵守状況を評価するために使用する。これらは、未成年者が利用可能なオンラインプラットフォームが必要な基準を満たしているかどうかを確認するための参考資料となり、国内規制当局の執行措置に情報を提供する場合もある。ただし、これらのガイドラインに従うことは任意であり、自動的に遵守を保証するものではない。これらのガイドラインは、以下の包括的なプロセスを経て策定された：
・Feedback gathered through a call for evidence	・証拠の募集を通じて収集されたフィードバック
・Stakeholder workshops held in October 2024 and June 2025, engagement with experts	・2024年10月と2025年6月に開催された利害関係者ワークショップ、専門家との連携
・A targeted public consultation	・対象を絞った公開意見募集
・Engagement with children and young people	・子どもと若年層との意見交換
・Meetings of the European Board for Digital Services within its working group on the protection of minors	・欧州デジタルサービス委員会（EDSB）の未成年者保護に関する作業部会における会議

ガイドライン...

・[PDF] Communication to the Commission - Approval of Guidelines on measures to ensure a high level of privacy, safety and security for minors online

・[DOCX][PDF] 仮訳

　目次的...

1 INTRODUCTION	1 序文
2 SCOPE OF THE GUIDELINES	2 ガイドラインの適用範囲
3 STRUCTURE	3 構造
4 GENERAL PRINCIPLES	4 一般原則
5 RISK REVIEW	5 リスクレビュー
6 SERVICE DESIGN	6 サービス設計
6.1 Age assurance	6.1 年齢確認
6.1.1 Introduction and terminology	6.1.1 導入と用語
6.1.2 Determining whether to put in place access restrictions supported by age assurance measures	6.1.2 年齢確認措置に基づくアクセス制限の導入の可否を判断する
6.1.3 Determining which age assurance methods to use	6.1.3 年齢確認方法の選択
6.1.4 Assessing the appropriateness and proportionality of any age assurance method	6.1.4 年齢確認方法の適切性と比例性の評価
6.2 Registration	6.2 登録
6.3 Account settings	6.3 アカウント設定
6.3.1 Default settings	6.3.1 デフォルト設定
6.3.2 Availability of settings, features and functionalities	6.3.2 設定、機能、機能の利用可能性
6.4 Online interface design and other tools	6.4 オンラインインターフェースのデザインその他のツール
6.5 Recommender systems and search features	6.5 レコメンドシステムと検索機能
6.5.1 Testing and adaptation of the design and functioning of recommender systems for minors	6.5.1 未成年者向けのレコメンデーションシステムの設計および機能の試験および適応
6.5.2 User control and empowerment	6.5.2 ユーザーコントロールとエンパワーメント
6.6 Commercial practices	6.6 商業的実践
6.7 Moderation	6.7 モデレーション
7 REPORTING, USER SUPPORT AND TOOLS FOR GUARDIANS	7 報告、ユーザーサポートおよび保護者のためのツール
7.1 User reporting, feedback and complaints	7.1 ユーザー報告、フィードバックおよび苦情
7.2 User support measures	7.2 ユーザーサポート措置
7.3 Tools for guardians	7.3 保護者向けツール
8 GOVERNANCE	8 ガバナンス
8.1 Governance (general)	8.1 ガバナンス（一般）
8.2 Terms and conditions	8.2 利用規約
8.3 Monitoring and evaluation	8.3 モニタリングと評価
8.4 Transparency	8.4 透明性
9 REVIEW	9 レビュー
Annex 5C Typology of online risks to children	別紙 5C 子どもに対するオンラインリスクの分類

プレス...

・2025.07.14 Commission presents guidelines and age verification app prototype for a safer online space for children

Commission presents guidelines and age verification app prototype for a safer online space for children	委員会、子ども向けのより安全なオンライン空間のためのガイドラインと年齢確認アプリのプロトタイプを提示
The Commission has presented guidelines on the protection of minors, as well as a prototype of an age-verification app under the Digital Services Act (DSA).	委員会は、デジタルサービス法（DSA）に基づき、未成年者の保護に関するガイドラインおよび年齢確認アプリのプロトタイプを提示した。
They will ensure that children and young people can continue to enjoy the opportunities the online world offers, such as learning, creativity and communication, while minimising the risks they face online, including exposure to harmful content and behaviour.	これらは、子どもと若者がオンラインの世界が提供する学習、創造性、コミュニケーションなどの機会を継続して享受しつつ、有害なコンテンツや行動への曝露を含むオンライン上のリスクを最小限に抑えることを確保する。
Guidelines on the protection of minors	未成年者の保護に関するガイドライン
The guidelines on the protection of minors ensure children enjoy high levels of privacy, safety and security on online platforms. This follows an inclusive and extensive consultation period, including with young people .	未成年者の保護に関するガイドラインは、オンラインプラットフォーム上で子どもがプライバシー、安全、セキュリティの高度な水準を享受できるようにする。これは、若者を含む包括的で広範な意見聴取期間を経て策定された。
Age verification solution	年齢確認ソリューション
The prototype of the age verification app is user-friendly and protects privacy setting a ‘gold standard' in age assurance online. It will, for example, allow users to easily prove they are over 18 when accessing restricted adult content online, while remaining in full control of any other personal information, such as a user's exact age or identity. No one would be able to track, see or reconstruct what content individual users are consulting .	年齢確認アプリの試作版はユーザーフレンドリーで、オンラインでの年齢確認の「ゴールドスタンダード」を確立する。例えば、ユーザーはオンラインで制限された成人向けコンテンツにアクセスする際、18歳以上であることを簡単に証明できる一方で、正確な年齢や身分などの他の個人情報は完全にコントロールできる。個々のユーザーが閲覧したコンテンツをトラッキング、閲覧、または再構築することはできない。
Read the full press release.	プレスリリース全文を読む。
Find more information:	詳細情報:
Fact page on the age verification blueprint	年齢確認の青写真に関するファクトシート
Report on Call for Evidence on the Guidelines	ガイドラインに関する証拠募集報告書
Report on Targeted Public Consultation on the Guidelines	ガイドラインに関する対象者向け公開意見聴取報告書
Report on focus group on the Guidelines	ガイドラインに関するフォーカスグループ報告書

プレス全文...

・2025.07.14 Joint press release: Commission presents guidelines and age verification app prototype for a safer online space for children

Joint press release: Commission presents guidelines and age verification app prototype for a safer online space for children	共同プレスリリース: 委員会、子ども向けのより安全なオンライン空間のためのガイドラインと年齢確認アプリのプロトタイプを発表
Today, the Commission has presented guidelines on the protection of minors, as well as a prototype of an age-verification app under the Digital Services Act (DSA). They will ensure that children and young people can continue to enjoy the opportunities the online world offers, such as learning, creativity and communication, while minimising the risks they face online, including exposure to harmful content and behaviour.	本日、委員会はデジタルサービス法（DSA）に基づき、未成年者の保護に関するガイドラインおよび年齢確認アプリのプロトタイプを発表した。これらは、子どもと若者がオンラインの世界が提供する学習、創造性、コミュニケーションなどの機会を享受しつつ、有害なコンテンツや行動への曝露を含むオンライン上のリスクを最小限に抑えることを確保する。
Guidelines on the protection of minors	未成年者の保護に関するガイドライン
The guidelines on the protection of minors ensure children enjoy high levels of privacy, safety and security on online platforms. This follows an inclusive and extensive consultation period, including with young people .	未成年者の保護に関するガイドラインは、オンラインプラットフォーム上で子どもがプライバシー、安全、セキュリティの高度な水準を享受できるようにする。これは、若者を含む包括的で広範な意見聴取期間を経て策定された。
Among other things, the guidelines provide recommendations to address:	ガイドラインは、以下の点を含む推奨事項を提供する：
・Addictive design: Minors are particularly vulnerable to practices that can stimulate addictive behaviour. The guidelines suggest reducing minors' exposure to such practices, and disabling features that promote the excessive use of online services, like ‘streaks' and ‘read receipts' on messages.	・依存性のあるデザイン：未成年者は、依存行動を刺激する実践に特に脆弱である。ガイドラインは、このような実践への未成年者の露出を削減し、オンラインサービスの過剰利用を促進する機能（メッセージの「連続利用」や「既読通知」など）を無効化するよう提案している。
・Cyberbullying: The guidelines recommend empowering minors to block or mute users, ensuring they cannot be added to groups without their explicit consent. They also recommend prohibiting accounts from downloading or taking screenshots of content posted by minors to prevent the unwanted distribution of sexualised or intimate content.	・サイバーいじめ：ガイドラインは、未成年者がユーザーをブロックまたはミュートする権限を付与し、明示的な同意なしにグループに追加されないよう確保することを推奨している。また、未成年者が投稿したコンテンツのダウンロードやスクリーンショットの保存を禁止し、性的な内容や個人的な内容の不正な拡散を防ぐよう推奨している。
・Harmful content: Some recommender systems put children in harmful situations. The guidelines give young users more control over what they see, calling on platforms to prioritise explicit feedback from users, rather than relying on monitoring their browsing behaviour. If a young user indicates they do not want to see a certain type of content, it should not be recommended again.	・有害なコンテンツ：一部のレコメンドシステムは、子どもを有害な状況にさらす可能性がある。ガイドラインは、若年ユーザーが閲覧するコンテンツに対するコントロールを強化し、プラットフォームに対し、ユーザーの閲覧行動の監視に依存するのではなく、ユーザーからの明確なフィードバックを優先するよう求めている。若年ユーザーが特定の種類のコンテンツを見たくない旨を表明した場合、そのコンテンツは再び推奨されるべきではない。
・Unwanted contact from strangers: the guidelines recommend that platforms set minors' accounts that are private by default – that is, not visible to users that are not on their friends' list – to minimise the risk that they are contacted by strangers online.	・見知らぬ人からの不要な連絡：ガイドラインは、プラットフォームが未成年者のアカウントをデフォルトで非公開（つまり、友達リストにいないユーザーからは見えない状態）に設定し、オンラインで見知らぬ人から連絡を受けるリスクを最小限に抑えるよう推奨している。
The guidelines adopt a risk-based approach, like the DSA, recognising that online platforms may pose different types of risks to minors, depending on their nature, size, purpose and user base. Platforms should make sure that the measures they take are appropriate and do not disproportionately or unduly restrict children's rights.	ガイドラインはDSAと同様のリスクベースのアプローチを採用し、オンラインプラットフォームが未成年者に与えるリスクは、その性質、規模、目的、ユーザー層によって異なることを認識している。プラットフォームは、講じる措置が適切であり、子どもの権利を不当にまたは過度に制限しないことを確認する必要がある。
Age verification solution	年齢確認ソリューション
The prototype of the age verification app is user-friendly and protects privacy setting a ‘gold standard' in age assurance online. It will, for example, allow users to easily prove they are over 18 when accessing restricted adult content online, while remaining in full control of any other personal information, such as a user's exact age or identity. No one would be able to track, see or reconstruct what content individual users are consulting.	年齢確認アプリの試作版はユーザーフレンドリーでプライバシーを保護し、オンラインでの年齢確認の「ゴールドスタンダード」を設定している。例えば、ユーザーはオンラインで制限された成人向けコンテンツにアクセスする際、18歳以上であることを簡単に証明できる一方で、正確な年齢や身分などの他の個人情報は完全にコントロールできる。個々のユーザーが閲覧したコンテンツをトラッキング、閲覧、または再構築することはできない。
The verification app will be tested and further customised in collaboration with Member States, online platforms and end-users. The frontrunners - Denmark, Greece, Spain, France and Italy - will be the first to engage with the Commission on the technical solution with the aim of launching national age verification apps. This prototype can be integrated into a national app or remain a free-standing app.	この認証アプリは、加盟国、オンラインプラットフォーム、エンドユーザーとの協力の下でテストされ、さらにカスタマイズされる。デンマーク、ギリシャ、スペイン、フランス、イタリアの先駆的国々は、技術的解決策に関する委員会との協力を開始し、国家レベルの年齢確認アプリの導入を目指する。このプロトタイプは、国家アプリに統合されるか、独立したアプリとして残る可能性がある。
The guidelines on the protection of minors outline when and how platforms should check the age of their users. They recommend age verification for adult content platforms and other platforms that pose high risks to the safety of minors. They specify that age assurance methods should be accurate, reliable, robust, non-intrusive and non-discriminatory.	未成年者の保護に関するガイドラインは、プラットフォームがユーザーの年齢を確認すべきタイミングと方法を定めている。成人向けコンテンツプラットフォームや未成年者の安全に高いリスクを及ぼす他のプラットフォームに対し、年齢確認を推奨している。年齢確認方法は、正確性、信頼性、堅牢性、非侵襲性、非差別性を満たす必要がある。
Background	背景
The guidelines on the protection of minors were developed through a comprehensive process, including research, feedback gathered through a call for evidence, stakeholder workshops held in October 2024 and June 2025, engagement with experts and a targeted public consultation.	未成年者の保護に関するガイドラインは、研究、証拠募集を通じたフィードバック、2024年10月と2025年6月に開催された利害関係者ワークショップ、専門家との協議、および対象を絞った公開意見募集を含む包括的なプロセスを経て策定された。
The age verification blueprint began development in early 2025. It lays the groundwork for broader deployment of age-appropriate based services in the future and is built on the same technical specifications as the European Digital Identity Wallets (eID) that are to be rolled out before the end of 2026. This ensures compatibility between the two and enables the integration of the age verification functionality in the future eID Wallets.	年齢確認の青写真（ブループリント）は2025年初頭に開発を開始した。これは、将来的な年齢に応じたサービスの広範な展開のための基盤を築くもので、2026年末までに導入される予定の欧州デジタル身分証明書ウォレット（eID）と同じ技術仕様に基づいて構築されている。これにより、両者の互換性が確保され、将来のeIDウォレットへの年齢確認機能の統合が可能になる。
The guidelines and the age verification blueprint build further on discussions in working group on the protection of minors, which is part of the European Board for Digital Services. Both bodies further strengthen the Commission's work on the protection of minors online through the Better Internet for Kids Strategy, the Audiovisual Media Services Directive and upcoming initiatives, such as the Digital Fairness Act.	ガイドラインと年齢確認の青写真は、欧州デジタルサービス委員会の一部である未成年者の保護に関する作業部会での議論をさらに発展させたものである。両機関は、欧州委員会の「子ども向けのより良いインターネット戦略」、オーディオビジュアルメディアサービス指令、およびデジタルフェアネス法などの今後のイニシアチブを通じて、オンライン上の未成年者の保護に関する欧州委員会の取り組みをさらに強化する。
For More Information	詳細情報
Find out more about the Guidelines on the Protection of Minors	未成年者の保護に関するガイドラインの詳細はこちら
Find out more about the age verification blueprint	年齢確認の青写真について詳しくはこちら
Fact page on the age verification blueprint	年齢確認の青写真に関するファクトシート
Report on Call for Evidence on the Guidelines	ガイドラインに関する証拠募集報告書
Report on Targeted Public Consultation on the Guidelines	ガイドラインに関する対象を絞った公開意見募集報告書
Report on focus group on the Guidelines	ガイドラインに関するフォーカスグループ報告書
Quote(s)	引用
Making sure our children and young people are safe online is of paramount importance to this Commission. The guidelines on the protection of minors for online platforms, combined with the new age verification blueprint, are a huge step forward in this regard. Platforms have no excuse to be continuing practices that put children at risk.	この委員会にとって、子どもと若者がオンラインで安全であることは最優先事項である。オンラインプラットフォームにおける未成年者保護に関するガイドラインと新たな年齢確認の青写真は、この点において大きな前進である。プラットフォームは、子どもを危険にさらす実践を継続する言い訳はない。
Henna Virkkunen, Executive Vice-President for Tech Sovereignty, Security and Democracy	ヘンナ・ヴィルクネン、技術主権、安全保障、民主主義担当執行副委員長
Children deserve a safe digital childhood. This is one of the main priorities for me during the Danish Presidency. Without proper age verification, we fail to protect children online. The guidelines launched today combined with the age verification app are both very important milestones. I want to thank the Commission for taking protection of minors seriously and look forward to speed up the political momentum on this important agenda. I will immediately explore the national scope for setting a minimum age for access to social media. We must do everything we can to protect minors online.	子どもたちは安全なデジタルな幼少期を過ごす権利がある。これはデンマーク大統領任期中の私の主要な優先事項の一つである。適切な年齢確認がなければ、私たちはオンラインでの子どもの保護に失敗する。本日発表されたガイドラインと年齢確認アプリは、どちらも非常に重要なマイルストーンである。委員会が未成年者の保護を真剣に受け止めていることに感謝し、この重要なアジェンダにおける政治的な勢いを加速させることを期待している。私は直ちに、ソーシャルメディアへのアクセスに関する最低年齢の設定に関する国内の枠組みを調査する。私たちは、オンラインでの未成年者の保護のためにできる限りのことをしなければならない。
Caroline Stage Olsen, Minister for Digital Affairs of Denmark	Caroline Stage Olsen, デンマークデジタル担当大臣

年連確認アプリ...

・2025.07.14 Commission makes available an age-verification blueprint

Commission makes available an age-verification blueprint	委員会、年齢確認の青写真を公開
To help online platforms implement a user-friendly and privacy-preserving age verification method, the Commission is developing a harmonised approach in close collaboration with the Member States.	オンラインプラットフォームがユーザーフレンドリーでプライバシーを保護する年齢確認方法を実装できるよう、委員会は加盟国と緊密に協力して調和のとれたアプローチを開発している。
On 14 July 2025, the Commission released the first version of an EU white-label age-verification blueprint, as a basis for a user-friendly and privacy-preserving age verification method across Member States.	2025年7月14日、委員会は加盟国間でユーザーフレンドリーでプライバシーを保護する年齢確認方法の基盤となるEUのホワイトラベル年齢確認ガイドラインの最初のバージョンを公表した。
The release of this blueprint launches a pilot phase during which a software solution for age verification will be tested and further customised in collaboration with Member States, online platforms and end-users. Denmark, France, Greece, Italy and Spain will be the first to take up the technical solution in view of taking it up in their national digital wallets or publishing a customised national age verification app on the app stores. Market players can also take up the software solution and further develop it.	このガイドラインの公開により、加盟国、オンラインプラットフォーム、エンドユーザーとの協力の下で、年齢確認用のソフトウェアソリューションのテストとさらなるカスタマイズを行うパイロットフェーズが開始される。デンマーク、フランス、ギリシャ、イタリア、スペインは、国内のデジタルウォレットに採用するか、アプリストアにカスタマイズされた国内年齢確認アプリをリリースする目的で、技術ソリューションを最初に採用する予定である。市場参加者もソフトウェアソリューションを採用し、さらに開発を進めることができる。
In parallel, there will be thorough testing with online platforms, including adult content providers. Online platforms that are not involved yet are invited to participate in the pilot and join the testing phase.	並行して、成人向けコンテンツ提供者を含むオンラインプラットフォームとの徹底的なテストが行われます。まだ参加していないオンラインプラットフォームは、パイロット段階に参加し、テストフェーズに加わるよう招待されている。
User testing already started end June and will be expanded with support of EU Safer Internet Centres.	ユーザーテストは6月末に開始され、EUのセーフインターネットセンター（EU Safer Internet Centres）の支援を受けて拡大される。
This collaborative initiative marks a key step in supporting the implementation of the Digital Services Act (DSA) and promoting a coherent and privacy-preserving approach to age verification across the EU.	この協力イニシアチブは、デジタルサービス法（DSA）の実施を支援し、EU全体で一貫性がありプライバシーを保護する年齢確認アプローチを促進する重要なステップをマークする。
The blueprint on age verification provides a method to enable users to prove they are over 18 when accessing restricted adult content, such as online pornography, without revealing any other personal information. It is based on open-source technology and designed to be robust, user-friendly, privacy-preserving and fully interoperable with future European Digital Identity Wallets.	年齢確認の青写真（ブループリント）は、ユーザーがオンラインポルノグラフィーなどの制限された成人向けコンテンツにアクセスする際、18歳以上であることを証明する方法を示している。この方法は、他の個人情報を開示することなく実現可能である。オープンソース技術に基づいた設計で、堅牢性、ユーザーフレンドリーさ、プライバシー保護、および将来の欧州デジタル身分証明書ウォレットとの完全な相互運用性を確保している。
It will technically be possible to extend the age verification solution to other age limits, or to other use-cases, such as purchasing alcohol. Member States can decide to do so when customising it to the national context, or at a later stage.	技術的には、年齢確認ソリューションを他の年齢制限や、アルコール購入などの他の利用ケースに拡張することが可能である。加盟国は、国内の事情に合わせてカスタマイズする際、または後段階でその拡張を実施するかどうかを決定できる。
The EU age verification solution sets a new benchmark for privacy protection in age verification methods. When users will activate the app, once it becomes available at the national level, their age will be verified by the issuer using detailed personal data, like the date of birth. However, online services will only receive a proof that the user is over 18, without any other personal details. The processes of issuance and presentation will be handled by separate entities, ensuring privacy. Moreover, the proof provider will not be informed about the services where the proof is used. Each proof will only be used once, to prevent cross-service tracking.	EUの年齢確認ソリューションは、年齢確認方法におけるプライバシー保護の新たな基準を設定する。ユーザーがアプリをアクティベートすると（国家レベルで利用可能になった時点で）、発行者は生年月日などの詳細な個人データを使用して年齢を確認する。ただし、オンラインサービスは、ユーザーが18歳以上であるという証明のみを受け取り、その他の個人情報は一切提供されません。発行と提示のプロセスは別々の主体が担当し、プライバシーを保護する。さらに、証明の提供者は、証明が使用されるサービスについて通知されません。各証明は一度のみ使用され、サービス間追跡を防止する。
Additionally, work on the integration of zero-knowledge proofs is ongoing. This will further ensure unlinkable transactions, underscoring a commitment to privacy-focused innovation.	また、ゼロ知識証明の統合に関する作業が進められている。これにより、取引の追跡不能性がさらに確保され、プライバシー重視のイノベーションへのコミットメントが強調される。
Next steps	今後の手順
During the pilot phase, the age verification solution will be further enhanced with new features. Apart from eID, further updates will include additional options for users to prove they are over 18. The age verification will also be enhanced with the latest technical solutions (zero-knowledge proof) to ensure the highest level of privacy protection.	パイロットフェーズにおいて、年齢確認ソリューションは新たな機能でさらに強化される。eIDに加え、ユーザーが18歳以上であることを証明するための追加オプションが導入される。年齢確認は、最新の技術ソリューション（ゼロ知識証明）を採用し、最高レベルのプライバシー保護を確保するため、さらに強化される。
While privacy-preserving features cannot be modified, Member States will be able to customise the age verification solution to their national needs, including, for example, branding and translation into the national language(s).	プライバシー保護機能は変更できないが、加盟国は年齢確認ソリューションを自国のニーズに合わせてカスタマイズできる。例えば、ブランドロゴの表示や自国言語への翻訳などが可能である。
The Commission plans to scale the pilot and related support to other Member States, in coordination with national authorities and Digital Services Coordinators.	委員会は、加盟国当局およびデジタルサービス調整官と協調して、パイロットと関連支援を他の加盟国に拡大する計画である。
At a later stage, all Member States will receive tailored implementation strategies that allow them to integrate the solution in their national digital wallets or publish localised apps on the app stores to make them available to end users.	後段階では、すべての加盟国は、国家デジタルウォレットにソリューションを統合するか、アプリストアにローカライズされたアプリを配信してエンドユーザーに提供するための、カスタマイズされた実施戦略を受け取ります。
The technical specifications and the open-source age verification blueprint are freely available and can be taken up by market players to deliver age verification solutions that are in line with the requirements referred to in the Guidelines on Article 28 of the DSA.	技術仕様書とオープンソースの年齢確認ブループリントは自由に利用可能であり、市場参加者は、DSA第28条に関するガイドラインで定められた要件に準拠した年齢確認ソリューションを提供するために、これらを活用できる。
Background	背景
The development of the age verification blueprint and stakeholder support is being carried out by the T-Scy consortium, composed of Scytales AB (Sweden) and T-Systems International GmbH (Germany), under a two-year contract awarded by the Commission in early 2025.	年齢確認の青写真の開発と利害関係者の支援は、スウェーデンのScytales ABとドイツのT-Systems International GmbHで構成されるT-Scyコンソーシアムが、2025年初頭に委員会から付与された2年間の契約に基づき実施されている。
The age verification initiative will support the effective implementation of the provisions to protect minors online of the Digital Services Act. Article 28(1) of the Digital Services Act requires online platforms accessible to minors to ensure a high level of safety, security and privacy to protect minors online.	年齢確認イニシアチブは、デジタルサービス法（DSA）の未成年者保護に関する規定の有効な実施を支援する。DSA第28条第1項は、未成年者がアクセス可能なオンラインプラットフォームに対し、オンラインでの未成年者保護のため、高い安全性とセキュリティ、プライバシーを確保することを求めている。
It also lays the groundwork for broader deployment of age-appropriate services in the future. It is also referred to as the ‘mini-wallet’, as it is built on the same technical specifications as the forthcoming European Digital Identity Wallets (EUDIW), ensuring long-term compatibility and providing a stepping stone toward the rollout of the EUDIW before the end of 2026.	また、将来的な年齢に応じたサービスの広範な展開の基盤を築きます。これは「ミニウォレット」とも呼ばれ、今後導入される欧州デジタル身分証明書ウォレット（EUDIW）と同じ技術仕様に基づいて構築されており、長期的な互換性を確保し、2026年末までのEUDIW導入に向けたステップストーンとなる。
More information	詳細
The EU approach to age verification	EUの年齢確認アプローチ
EU Age Verification Solution	EU年齢確認ソリューション
Factsheet: Blueprint for an age verification solution to help protect minors online	ファクトシート：オンラインでの未成年者保護を支援する年齢確認ソリューションの青写真
BIK platform	BIKプラットフォーム
Safer Internet Centre (SIC) network	セーフインターネットセンター（SIC）ネットワーク
DSA art. 28 guidelines	DSA第28条ガイドライン

参考

デジタルサービス法のウェブページ

・The Digital Services Act package

条文

・EUR-Lex Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act) (Text with EEA relevance)

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.02 EU議会シンクタンク子供と生成的AI（AIネイティブ?世代）(2025.02.18)

・2025.02.13 EDPB 年齢保証 (Age Assurance) に関する声明を採択 (2025.02.11)

・2024.08.07 TikTok 米国で親会社が児童プライバシー法違反で提訴され、欧州でデジタルサービス法遵守のためTikTok LiteリワードプログラムのEUからの恒久的撤退を約束

・2023.12.30 欧州委員会デジタルサービス法に基づく独立監査に関する委任規則 (2023.10.20)

・2023.02.05 欧州委員会デジタルサービス法におけるユーザー数の公表義務に関するガイダンス

・2022.07.11 欧州議会デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2020.12.16 欧州委員会デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

Continue reading "欧州委員会未成年者の保護に関するガイドライン - デジタルサービス法関係（2025.07.14）"

2025.07.28 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

オランダデータ保護庁「AI による感情認識は疑わしく、リスクが高い」(2025.07.15)

こんにちは、丸山満彦です。

オランダのデータ保護庁が発行している、AI およびアルゴリズムに関する報告書（2025年7月）によると、現在のところ、

・AI による感情認識は疑わしく、リスクが高い

と結論づけていますね...

・感情表現は普遍的ではなく、測定可能性については議論があり、

・AIシステムが感情をどのように認識しているのか、その結果が信頼できるかどうかが必ずしも明確ではない

からということということですかね...

● Autoriteit Persoonsgegevens

・2025.07.15 Rapportage AI & Algoritmes Nederland (RAN) - juli 2025

Rapportage AI & Algoritmes Nederland (RAN) - juli 2025	AI およびアルゴリズムに関するオランダ報告書（RAN） - 2025年7月
De Rapportage AI & Algoritmes Nederland (RAN) gaat in op trends, risico’s en beheersing van de inzet van artificiële intelligentie (AI) en algoritmes. In deze vijfde editie gaan we in op overkoepelende ontwikkelingen, grondrechten en publieke waarden, beleid en regelgeving. Ook hebben we aandacht voor het belang van algoritmeregistratie.	AI およびアルゴリズムに関するオランダ報告書（RAN）は、人工知能（AI）およびアルゴリズムの利用に関する動向、リスク、および管理について検証しています。第5版となる今回は、包括的な動向、基本的権利および公共の価値、政策、規制に焦点を当てています。また、アルゴリズムの登録の重要性についても考察しています。
AI en emotieherkenning	AIと感情認識
Het thema van deze RAN is AI en emotieherkenning. Naast een theoretische studie en gesprekken met experts bekeek de AP de inzet van emotieherkenning met AI door klantenservices, in wearables (zoals een smartwatch) en in taalmodellen.	今回のRANのテーマはAIと感情認識です。理論的な研究と専門家との議論に加え、APは顧客サービス、ウェアラブルデバイス（スマートウォッチなど）、言語モデルにおけるAIを活用した感情認識の活用状況を調査しました。
De conclusie: emoties herkennen met AI is dubieus en risicovol. Emotieherkenning met AI werkt namelijk op basis van omstreden aannames over emoties en de meetbaarheid daarvan. Daarmee levert emotieherkenning risico’s en ethische vragen op.	結論としては、AI による感情認識は疑わしく、リスクが高いと結論づけました。AI による感情認識は、感情とその測定可能性に関する議論の分かれる仮定に基づいています。つまり、感情認識にはリスクが伴い、倫理的な問題も生じます。
Brede nationale AI-strategie noodzakelijk	広範な国家 AI 戦略が必要
Naast de themastudie AI en emotieherkenning pleit de AP in de vijfde editie van de Rapportage AI & Algoritmes Nederland voor een specifieke, gedegen en democratisch onderbouwde overkoepelende nationale AI-strategie. Dit is essentieel om de kansen van algoritmes en AI te benutten én de risico’s in de hand te houden.	AI と感情認識に関するテーマ別調査に加え、AP は、第 5 版「オランダにおける AI およびアルゴリズムに関する報告書」において、具体的かつ徹底した、民主的な国家 AI 戦略の策定を求めています。これは、アルゴリズムと AI がもたらす機会を活用しつつ、リスクを管理するために不可欠です。
De ontwikkelingen gaan heel erg snel en roepen nieuwe en fundamentele verdelingsvraagstukken in bijvoorbeeld woning- en energiemarkt op, waarbij grondrechten en publieke belangen nu onderbelicht blijven. Betrouwbare inzet van algoritmes en AI vraagt om aandacht voor bescherming, veiligheid en transparantie.	開発は急速に進んでおり、現在、基本的権利や公共の利益が軽視されている住宅市場やエネルギー市場などの分野で、新たな根本的な分配の問題が浮上しています。アルゴリズムと AI を確実に活用するには、保護、セキュリティ、透明性に注意を払う必要があります。
De strategie moet gericht zijn op de volle breedte van toepassingen van AI en algoritmes. Investeringen in AI-technologie, innovatie, het AI-ecosysteem en educatie zoals AI-geletterdheid zijn daarbij essentieel. De AP adviseert om bij investeringen in innovatie een vastgesteld percentage te reserveren voor interne controle, externe controle en toezicht.	戦略は、AIとアルゴリズムの応用範囲全体に焦点を当てる必要があります。AI技術、イノベーション、AIエコシステム、教育（AIリテラシーなど）への投資は、この点で不可欠です。APは、イノベーション投資の一定割合を内部管理、外部管理、監督に充てるよう推奨しています。

・[PDF]

目次...

Kernboodschappen	主なメッセージ
1. Overkoepelende ontwikkelingen	1. 全体的な動向
2. Beleid en regelgeving	2. 政策および規制
3. AI en emotieherkenning	3. AI と感情認識
4. Emotieherkenning in de praktijk	4. 感情認識の実践
Bijlage Aan de slag met algoritmeregistratie	附属書アルゴリズム登録の開始
Toelichting rapportage	報告書に関する説明

主なメッセージ

Kernboodschappen	主なメッセージ
1. De ontwikkeling en inzet van AIsystemen om emoties te herkennen groeit, terwijl de werking wordt betwijfeld en de inzet risicovol is.	1. 感情を認識する AI システムの開発と利用は拡大している一方、その有効性は疑問視されており、その利用にはリスクが伴います。
Van steeds meer AI-systemen wordt geclaimd dat ze emotionele toestanden, zoals blijdschap, boosheid of stress, kunnen herkennen op basis van biometrie. Denk hierbij aan het herkennen van emoties voor inzicht in koopgedrag van consumenten, of voor inzicht in emoties van patiënten voor verbetering van de zorg. De systemen zijn gebouwd op omstreden aannames over emoties en indicatoren van emotionele toestanden en de meetbaarheid daarvan. Daarom is het twijfelachtig of ze ook echt emoties kunnen meten. Als de systemen toch worden ingezet, kan dit grond rechten en publieke waarden schenden. Denk aan de inperking van vrijheid en menselijke autonomie, discriminatie en privacyschendingen. Lees in hoofdstuk 3 meer over AI en emotieherkenning.	ますます多くの AI システムが、生体認証に基づいて、幸福、怒り、ストレスなどの感情状態を認識できると主張しています。その例としては、消費者の購買行動に関する洞察を得るために感情を認識したり、ケアの改善のために患者の感情を把握したりすることが挙げられます。これらのシステムは、感情や感情状態の指標、およびそれらの測定可能性に関する論争の的となっている仮定に基づいています。したがって、これらのシステムが実際に感情を測定できるかどうかは疑問です。こうしたシステムがとにかく使用された場合、基本的権利や公共の価値が侵害されるおそれがあります。自由や人間の自律性の制限、差別、プライバシーの侵害などが考えられます。AI と感情認識について詳しくは、第 3 章をご覧ください。
2. De AP heeft toepassingen van emotieherkenning voor klantenservices, in wearables en in taalmodellen onder de loep genomen; het brede palet aan toepassingen leidt in bepaalde gevallen tot risico’s die aandacht vragen van ontwikkelaars, gebruikers, toezichthouders en beleidsmakers.	2. AP は、顧客サービス、ウェアラブル、言語モデルにおける感情認識の応用について検討しました。その応用範囲は広く、場合によっては開発者、ユーザー、規制当局、政策立案者が注意すべきリスクも生じます。
Uit de verdieping blijkt bijvoorbeeld dat niet altijd duidelijk is hoe emoties en stress worden herkend of hoe effectief het is. Ondanks de groei van deze toepassingen, weten mensen toch niet altijd dat emotieherkenning wordt ingezet, of op basis van welke data. Ontwikkelaars en gebruikers moeten zich bewust zijn van de risico’s die elke specifieke toepassing met zich meebrengt. Verschillende toepassingen vallen straks onder specifieke regelgeving. Maar het is een andere vraag of het wenselijk is om deze systemen in te zetten. In het onderwijs en op de werkplek is AI voor emotieherkenning sinds februari 2025 verboden, maar waar het toegestaan is onder specifieke voorwaarden zal het uiteindelijk een politieke afweging zijn om te bepalen in welke gevallen en mate de inzet van deze systemen wenselijk zijn. Lees in hoofdstuk 4 meer over emotieherkenning in de praktijk.	例えば、詳細な調査によると、感情やストレスがどのように認識されるのか、その有効性は必ずしも明確ではないことが明らかになっています。こうしたアプリケーションが普及しているにもかかわらず、感情認識が使用されていること、あるいはその基礎となるデータについて、人々は必ずしも認識しているわけではありません。開発者やユーザーは、それぞれのアプリケーションに伴うリスクを認識しておく必要があります。さまざまなアプリケーションは、まもなく具体的な規制の対象となるでしょう。しかし、これらのシステムを使用することが望ましいかどうかは別の問題です。感情認識AIは2025年2月から教育と職場での使用が禁止されていますが、特定の条件下で許可される場合、これらのシステムの使用がどの程度望ましいかは、最終的に政治的な判断に委ねられます。感情認識の実践に関する詳細は第4章をご覧ください。
3. De AP roept organisaties op om zich kritisch te verhouden tot de inzet van toepassingen van emotieherkenning.	3. APは、組織が感情認識アプリケーションの使用に対して批判的な立場を取るよう呼びかけています。
Organisaties moeten zich bewust zijn van de beperkingen van emotieherkenning en een bewuste afweging maken of de inzet ervan passend en proportioneel is. Als deze systemen worden ingezet moeten organisaties transparant zijn over het gebruik richting degene wiens emotie wordt geanalyseerd. Bovendien is toestemming van de personen die geanalyseerd worden een belangrijke eerste stap voor organisaties om de systemen verantwoord in te zetten. In hoofdstuk 4 worden drie praktijk voorbeelden van emotieherkenning besproken. Maar ook voor andere toepassingen is werken aan een verantwoorde, bewuste en transparante inzet belangrijk.	組織は、感情認識の限界を認識し、その使用が適切かつ均衡のとれたものであるかどうかを慎重に検討しなければなりません。これらのシステムを使用する場合、組織は、感情が分析される対象者に対してその使用について透明性を確保しなければなりません。さらに、分析の対象者から同意を得ることは、組織がシステムを責任を持って使用するための重要な第一歩です。第 4 章では、感情認識の 3 つの実用例について考察しています。しかし、他のアプリケーションにおいても、責任ある、意識的かつ透明性の高い利用に向けて取り組むことが重要です。
4. In Nederland wordt met toewijding gewerkt aan betrouwbare AI, maar als samenleving moeten we een tandje bijschakelen om de kansen van AI op een verantwoorde manier te kunnen benutten.	4. オランダでは、信頼性の高い AI の開発に精力的に取り組んでいますが、社会として、AI がもたらす機会を責任ある形で活用できるよう、取り組みを強化する必要があります。
Betrouwbare inzet van algoritmes en AI is mogelijk en vraagt om aandacht voor bescherming, veiligheid en transparantie. Dit betekent dat we als samenleving lessen moeten leren uit incidenten. Gezien de snelheid en omvang waarmee Nederlandse organisaties AI en algoritmes adopteren lijkt het waarschijnlijk dat veel incidenten niet opgemerkt worden, niet gemeld worden en dat lessen daaruit ook niet gedeeld worden. Dat incidenten voorkomen is onvermijdelijk in deze fase van de maatschappelijke transitie. Omgaan met incidenten en het leren van de aard, oorzaak en schade is essentieel om organisaties te laten groeien in verantwoordelijke omgang. Toezichthouders kunnen samen met wetgevers en het toezichtsveld werken aan een passende omgeving waarbinnen deze kennis gedeeld kan worden zonder bedrijfsgeheimen te onthullen.	アルゴリズムと AI の信頼性の高い利用は可能であり、保護、セキュリティ、透明性に留意する必要があります。つまり、社会としてインシデントから教訓を学ばなければならないということです。オランダの組織が AI やアルゴリズムを急速かつ大規模に導入している現状では、多くのインシデントが気づかれず、報告もされないまま、教訓も共有されないままになっている可能性が高いと思われます。社会が移行期にある現段階では、インシデントは避けられないものです。インシデントに対処し、その性質、原因、被害について学ぶことは、組織が責任ある利用を推進していく上で不可欠です。監督当局は、立法機関や監督分野と協力し、企業秘密を漏らすことなくこの知識を共有できる適切な環境を構築することができます。
5. Het is inmiddels voor iedere organisatie mogelijk om, met behulp van het steeds rijkere pakket aan hulpmiddelen, doelgericht te werken aan AI-volwassenheid.	5.ますます充実するツールセットの助けを借りて、あらゆる組織は AI の成熟に向けて目的意識を持って取り組むことができるようになりました。
Van algoritmeregistratie, bias-toetsing en het inrichten van kwaliteitsmanagementsystemen tot het uitvoeren van grondrechtenbeoordelingen en het transparant maken van de inzet - om daar te komen moeten organisaties investeren in mensen en middelen en zijn meetbare en concrete organisatiedoelen nodig. Bijvoorbeeld een ambitie om jaarlijks de meest kritische algoritmische processen en AI-systemen te auditeren op belangrijkere criteria zoals organisatorische grip, robuustheid, bias en fairness, cyberveiligheid en willekeur. Dit is een uitdaging voor organisaties, waarbij een beroep wordt gedaan op de verantwoordelijkheid en eigen inzicht van een organisatie. Volwassen organisaties zijn transparant over de inzet, hebben robuuste systemen en processen voor beheersing, en nemen interne controle, externe controle en toezicht serieus.	アルゴリズムの登録、バイアステスト、品質管理システムの構築から、基本的権利のアセスメントの実施、展開の透明化に至るまで、その目標を達成するには、組織は人材とリソースに投資し、測定可能で具体的な組織目標を設定する必要があります。例えば、組織の管理、堅牢性、バイアスと公平性、サイバーセキュリティ、恣意性などの重要な規準に基づいて、最も重要なアルゴリズムプロセスと AI システムを毎年監査するという目標を設定することです。これは、組織にとって責任と洞察力を必要とする課題です。成熟した組織は、その取り組みを透明化し、堅牢な管理システムとプロセスを整備し、内部統制、外部統制、監督を真剣に実施しています。
6. Vormgeving van menselijke toetsing en het tegengaan van discriminatie blijft een belangrijke uitdaging.	6. 人間によるレビューの設計と差別との闘いは、依然として重要な課題です。
In Nederland zijn we ons zeer bewust van het feit dat zowel personen als algoritmes kunnen discrimineren. Dit laat duidelijk het belang zien om zowel de menselijke als algoritmische bias in processen terug te dringen. De wisselwerking tussen mensen en algoritmes is hiervoor van belang en moet goed vormgegeven zijn om discriminatie en bias zoveel mogelijk te voorkomen. De Tweede Kamer heeft onlangs een motie aangenomen, gericht op het ‘blind’ beoordelen van burgers als uitgangspunt. Bijvoorbeeld bij fraudedetectie. Vanuit het perspectief van de AP als toezichthouder is het noodzakelijk om ook naar de besluitvormingsketen als geheel te kijken, aselecte steekproeven toe te voegen, de uitlegbaarheid en het kunnen aanvechten van de risicoselectie te waarborgen.	オランダでは、人間もアルゴリズムも差別を行う可能性があることを強く認識しています。これは、プロセスにおける人間とアルゴリズムの両方のバイアスを削減することの重要性を明確に示しています。この点では、人間とアルゴリズムの相互作用が重要であり、差別やバイアスを可能な限り防止するよう、その相互作用を適切に設計する必要があります。下院は最近、出発点として、市民に対する「ブラインド」評価を目指す動議を採択しました。例えば、不正の検知などです。監督機関としての AP の観点からは、意思決定の連鎖全体を検証し、ランダムなサンプルを追加し、リスクの選択の説明可能性と争点化を確保することも必要です。
7. AI speelt een belangrijke rol in geopolitieke ontwikkelingen.	7. AI は地政学的動向において重要な役割を果たしています。
Succesvolle inzet op AI wordt gezien als essentieel voor economische ontwikkeling. Het bevorderen van innovatie en het AI-ecosysteem is in rap tempo hoog op de politieke agenda beland. Waar twijfels zijn over het beperken van innovatie door regels, kijkt men al snel naar deregulering. Maar om te beschermen tegen uitwassen wordt tegelijk ook nieuwe regelgeving ontwikkeld of geïmplementeerd. Ook verschilt het perspectief op de juiste balans tussen innovatie en bescherming per land en regio. Daarnaast wordt AI in groeiende mate onderdeel van nationale strategieën, variërend van de zorg tot defensie. Hierbij speelt de afhankelijkheid van grote spelers en de groeiende wens voor strategische autonomie een steeds grotere rol. Ook Europees wordt aandacht besteedt aan dit onderwerp, bijvoorbeeld middels de AI-strategie van de Europese Commissie met bijbehorende financieringsambities.	AI の展開の成功は、経済発展に不可欠であると見なされています。イノベーションと AI エコシステムの促進は、政治の優先課題として急速に浮上しています。規則によってイノベーションが制限されるおそれがある場合には、規制緩和が検討されることが多い。しかし、過度な規制を防ぐため、新たな規制も策定・実施されています。イノベーションと保護の適切なバランスに関する見解も、国や地域によって異なります。さらに、AI は、医療から防衛に至るまで、国家戦略の一部としてますます重要になってきています。この点では、主要プレーヤーへの依存と戦略的自立への欲求の高まりが、ますます重要な役割を果たしています。このトピックは、欧州委員会による AI 戦略や関連する資金調達目標など、欧州レベルでも注目されています。
8. Het is zaak tempo te houden of te versnellen bij het ontwikkelen en implementeren van beleid voor AI.	8. AI に関する政策の策定と実施のペースを維持、あるいは加速することが重要です。
Om de kansen van AI te benutten en de risico’s te beheersen blijft een nationale overkoepelende AI-strategie noodzakelijk. Het is belangrijk om algoritmeregistratie voor (semi-)publieke organisaties te verplichten wanneer deze impactvolle algoritmes of AI inzetten. Ook beveelt de AP aan om periodieke audits te verplichten voor deze algoritmes en AI. Om verantwoorde innovatie in goede banen te leiden moeten er voldoende middelen voor AI-toezicht in Nederland zijn bij alle betrokken toezichthouders en inspecties. Om toezicht effectief gezamenlijk te organiseren en mee te laten bewegen met de snelle technologische ontwikkelingen, zijn investeringen in samenwerkingsverbanden onmisbaar. De AP adviseert om bij publieke investeringen in innovatie een vastgesteld percentage te reserveren voor interne controle, externe controle en toezicht. Ook bij private investeringen is het aan te bevelen om een deel te reserveren voor risicomanagement inclusief interne en externe controle. Het goed functioneren van deze lagen is essentieel voor versnelling van innovatie en inzet.	AI の機会を活用し、リスクを管理するためには、国家レベルの包括的な AI 戦略が依然として必要です。影響力の大きいアルゴリズムや AI を使用する場合、公的機関および半公的機関に対してアルゴリズムの登録を義務付けることが重要です。AP はまた、これらのアルゴリズムおよび AI の定期的な監査を義務付けることを推奨しています。責任あるイノベーションを正しい方向に導くためには、オランダの関連するすべての監督当局および検査機関が、AI の監督に必要な十分なリソースを確保しなければなりません。監督を効果的に組織し、急速な技術開発に対応し続けるためには、パートナーシップへの投資が不可欠です。AP は、イノベーションに対する公的投資の一定割合を、内部統制、外部統制、監督のために確保することを推奨しています。また、民間投資の一部も、内部統制および外部統制を含むリスクマネジメントのために確保することが望ましいです。これらの層の適切な機能は、イノベーションと展開の加速に不可欠です。
9. De AI-verordening wordt steeds concreter, waarbij standaarden een belangrijk instrument zijn om grip op AI te krijgen en in de toekomst te voldoen aan de AI-verordening.	9. AI 規制はますます具体化しており、標準は AI を制御し、将来 AI 規制を遵守するための重要なツールとなっています。
Ruim een jaar na de inwerkingtreding van de AI-verordening zien we verdere verduidelijking en concretisering. De richtsnoeren van de Europese Commissie over verboden AI-systemen en de definitie van AI-systemen geven een eerste inzicht en uitleg, maar roepen ook veel vervolgvragen op. Verdere concretisering zal volgen, waarbij ook de ontwikkeling van standaarden duidelijkheid zal bieden over de manier waarop organisaties kunnen voldoen aan de eisen van de AI-verordening. Niet enkel generieke, maar ook sectorspecifieke doorvertalingen van de AI-verordening moeten leiden tot guidance en houvast.	AI 規制が施行されてから 1 年以上が経過し、その内容の一層の明確化と具体化が進んでいます。欧州委員会が発表した、禁止される AI システムに関するガイドラインおよび AI システムの定義は、最初の洞察と説明を提供していますが、多くのフォローアップの疑問も生じています。今後、AI 規制の要件を組織がどのように遵守できるかを明確にする標準の開発が進められ、さらに具体化が進むでしょう。AI 規制の一般的な解釈だけでなく、セクター別の解釈も、ガイダンスと確実性につながるはずです。
10. Algoritmes opnemen in een register is een goed begin om de risico’s die met algoritme-inzet gepaard gaan te beheersen. Een algoritmeregister bevat informatie over de inzet van algoritmes.	10. アルゴリズムを登録簿に登録することは、アルゴリズムの使用に伴うリスクを管理するための良い出発点となります。アルゴリズム登録簿には、アルゴリズムの使用に関する情報が記載されます。
In grote lijnen heeft algoritmeregistratie twee overkoepelende doelen. Doel 1: Het bevorderen van interne controle op algoritmes (governance). Doel 2: Het bevorderen van externe controle op algoritmes (transparantie). De Nederlandse overheid werkt aan een wettelijk kader voor het Algoritmeregister. Het wettelijk kader moet zorgen voor duidelijkheid over het verplicht registreren van algoritmes. Ook zonder verplichting is het Algoritmeregister nu al een waardevolle en praktische tool voor het bieden van transparantie en het bevorderen van controle op overheidsalgoritmes. Nog lang niet alle organisaties benutten het Algoritmeregister; de AP moedigt overheidsorganisaties aan om hier zoveel mogelijk gebruik van te maken. In de bijlage ‘Aan de slag met algoritmeregistratie’ geeft de AP acht concrete handvatten om aan de slag te gaan met algoritmeregistratie.	大まかに言えば、アルゴリズムの登録には 2 つの包括的な目的があります。目的 1：アルゴリズムの内部統制（ガバナンス）の促進。目的 2：アルゴリズムの外部統制（透明性）の促進。オランダ政府は、アルゴリズム登録簿に関する法的枠組みの策定に取り組んでいます。この法的枠組みは、アルゴリズムの登録義務について明確にするものであるべきである。この義務が課せられていなくても、アルゴリズム登録簿は、透明性を確保し、政府アルゴリズムの管理を促進するための、価値ある実用的なツールである。まだすべての組織がアルゴリズム登録簿を利用しているわけではないが、AP は政府機関に対して、この登録簿を可能な限り活用するよう奨励している。附属書「アルゴリズム登録の開始」では、アルゴリズム登録を開始するための 8 つの具体的なツールを紹介している。

・2025.07.15 AP: Emoties herkennen met AI ‘dubieus en risicovol’

AP: Emoties herkennen met AI ‘dubieus en risicovol’	AP：AI による感情認識は「問題があり、リスクが高い」
Steeds vaker gebruiken organisaties artificiële intelligentie (AI) om emoties bij mensen te herkennen. Emotieherkenning gaat echter uit van omstreden aannames over emoties en de meetbaarheid daarvan. Als het toch wordt ingezet, brengt dit risico’s en ethische vragen met zich mee. Dat concludeert de Autoriteit Persoonsgegevens (AP) in de nieuwe Rapportage AI & Algoritmes Nederland (RAN).	組織は、人工知能（AI）を用いて人間の感情を認識する取り組みをますます進めています。しかし、感情認識は、感情とその測定可能性に関する議論の分かれる仮定に基づいています。感情認識を利用する場合、リスクや倫理的な問題が生じます。これは、オランダデータ保護機関（AP）が、オランダにおける AI およびアルゴリズムに関する新しい報告書（RAN）で示した結論です。
Je stem die wordt gebruikt om ‘je emotionele toestand’ te analyseren tijdens een gesprek met een klantenservice. Je smartwatch die meet of je stress hebt. Of een chatbot die je emoties herkent en daardoor empathischer kan reageren. Steeds meer organisaties gebruiken emotieherkenning met AI, omdat ze daarmee producten en diensten denken te kunnen verbeteren. Bijvoorbeeld bij marketing of klantcontact, maar ook in de openbare ruimte en de gezondheidszorg.	顧客サービスとの会話の中で、あなたの「感情の状態」を分析するためにあなたの声が使用される。スマートウォッチが、あなたがストレスを感じているかどうかを測定する。あるいは、あなたの感情を認識し、それによりより共感的な対応ができるチャットボット。AI による感情認識は、製品やサービスの改善に役立つと信じ、採用する組織が増えています。その例としては、マーケティングや顧客対応だけでなく、公共スペースや医療分野も挙げられます。
AP: ‘Zeer voorzichtig omgaan met dit soort toepassingen’	AP：「この種のアプリケーションには細心の注意を払うべき」
De AP bekeek de inzet van emotieherkenning met AI door klantenservices, in wearables (zoals een smartwatch) en in taalmodellen. Hieruit bleek dat niet altijd duidelijk is hoe AI-systemen emoties herkennen, en of de uitkomsten betrouwbaar zijn. Ondanks de groei van deze toepassingen, weten mensen ook niet altijd dat emotieherkenning wordt ingezet. En op basis van welke data dat gebeurt.	APは、カスタマーサービス部門、ウェアラブルデバイス（スマートウォッチなど）、言語モデルにおけるAIを活用した感情認識の活用状況を調査しました。その結果、AIシステムが感情をどのように認識しているのか、その結果が信頼できるかどうかが必ずしも明確ではないことが明らかになりました。これらのアプリケーションの普及にもかかわらず、人々は感情認識が使用されていることを認識していない場合が多く、その根拠となるデータについても知らない場合がほとんどです。
De AP concludeert dat er zeer voorzichtig moet worden omgegaan met dit soort toepassingen. Anders is er risico op discriminatie en inperking van de menselijke autonomie en waardigheid.	APは、このようなアプリケーションの使用には大きな注意が必要だと結論付けています。そうしないと、差別や人間の自律性および尊厳の制限というリスクが生じる。
‘Emoties raken sterk aan je menselijke autonomie. Als je emoties wilt herkennen, moet dat dan ook zeer zorgvuldig en op basis van betrouwbare technologie gebeuren. Daar is nu vaak geen sprake van,’ zegt Aleid Wolfsen, voorzitter van de AP.	「感情は人間の自律性に大きな影響を与える。感情を認識したい場合は、信頼性の高い技術に基づいて、非常に慎重に行う必要がある。しかし、現在のところ、そうではない場合が多い」と、AP の会長である Aleid Wolfsen 氏は述べている。
Emotionele uitingen zijn niet universeel én meetbaarheid is controversieel	感情表現は普遍的ではなく、測定可能性については議論がある
Veel AI-systemen die zeggen emoties te kunnen herkennen, zijn gebouwd op omstreden aannames. Daardoor worden biometrische kenmerken – zoals stem, gezichtsuitdrukking of hartritme – ongenuanceerd vertaald naar emoties.	感情を認識できると主張する AI システムの多くは、議論の余地のある仮定に基づいている。その結果、音声、顔の表情、心拍数などの生体特徴が、微妙なニュアンスを欠いた形で感情に翻訳されます。
‘Het idee dat een emotie door iedereen op dezelfde manier wordt ervaren, klopt niet. Laat staan dat die emoties meetbaar zijn aan de hand van biometrie,’ aldus Wolfsen. ‘Tussen culturen kunnen er grote verschillen zijn in hoe mensen emoties ervaren, uiten en benoemen. Ook tussen individuen kunnen verschillen bestaan, bijvoorbeeld door leeftijd. Verder kun je emoties niet altijd een-op-een vertalen. Een hoge hartslag is immers niet altijd een teken van angst, en een harde stem niet altijd een uitdrukking van woede.’	「感情が全員同じように体験されるという考えは誤りです。ましてや、これらの感情を生体認証で測定できるはずはありません」とウルフセンは指摘します。「文化によって、感情の体験、表現、名称に大きな違いがあります。また、年齢などの要因により、個人間にも違いがあります。さらに、感情は必ずしも 1 対 1 で表現できるものではありません。結局のところ、心拍数が高いからといって必ずしも恐怖を感じているとは限らず、大声で話すからといって必ずしも怒っているとは限らないのです」と
Ethisch vraagstuk	倫理的問題
Verschillende toepassingen van stemherkenning vallen straks onder specifieke AI-regelgeving en moeten nu al voldoen aan privacywetgeving, zoals de Algemene verordening gegevensbescherming (AVG). In het onderwijs en op de werkvloer is de inzet van AI-systemen voor emotieherkenning al verboden volgens de Europese AI-verordening.	音声認識のさまざまな用途は、まもなく AI に関する特定の規制の対象となり、一般データ保護規則（GDPR）などのプライバシー関連法規をすでに遵守しなければなりません。教育や職場において、AIシステムによる感情認識の使用は、欧州のAI規制により既に禁止されています。
Of deze technologie überhaupt wenselijk is, is een andere vraag. ‘Het is een ethisch vraagstuk of je als maatschappij het herkennen van emoties met AI toelaatbaar vindt,’ zegt Wolfsen. ‘Daarvoor is een maatschappelijke en democratische afweging nodig: of je deze systemen wilt gebruiken en zo ja, in welke vorm en waarvoor.’	この技術が望ましいかどうかは別の問題です。「社会がAIによる感情認識の使用を適切と考えるかどうかは、倫理的な問題です」とウルフセンは述べています。「これには社会的で民主的な議論が必要です：これらのシステムを使用するかどうか、使用する場合にはどのような形態で、何のために使用するかを決める必要があります。」

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.27 オランダデータ保護庁友情とメンタルヘルスのためのAIチャットbotアプリは時には不適切で有害 - AI及びアルゴリズム・リスクに関する報告書 (2025.02.12)

・2025.02.07 オランダデータ保護庁 AIリテラシーを持って始めよう (2025.01.30)

・2024.12.19 オランダデータ保護局意見募集社会的スコアリングのためのAIシステム + 操作および搾取的AIシステムに関する意見募集の概要と次のステップ

・2024.11.08 オランダデータ保護局意見募集職場や教育における感情認識のための特定のAIシステムの禁止 (2024.10.31)

・2024.10.30 オランダ会計検査院政府はAIのリスクアセスメントをほとんど実施していない...

・2024.10.18 オランダ AI利用ガイド (2024.10.16)

・2024.09.29 オランダデータ保護局意見募集「操作的欺瞞的、搾取的なAIシステム」

・2024.09.05 オランダデータ保護局顔認識のための違法なデータ収集でClearviewに3,050万ユーロ（48.5億円）

・2024.08.28 オランダデータ保護局ドライバーデータの米国への転送を理由にUberに2億9000万ユーロ（467億円）の罰金

・2024.08.12 オランダデータ保護局が注意喚起：AIチャットボットの使用はデータ漏洩につながる可能性がある

・2024.08.11 オランダ AI影響アセスメント (2023.03.02)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

2025.07.28 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.27

フランス CNIL AIシステムの開発：(2025.07.22)

こんにちは、丸山満彦です。

AIシステムの開発に関して、３つのファクトシート

が確定し、公表されていますね...

● CNIL

・2025.07.22 IA : la CNIL finalise ses recommandations sur le développement des systèmes d’IA et annonce ses futurs travaux

IA : la CNIL finalise ses recommandations sur le développement des systèmes d’IA et annonce ses futurs travaux	AI：CNIL、AIシステムの開発に関する勧告を最終決定、今後の取り組みを発表
La CNIL publie ses dernières fiches IA, en précisant les conditions d’applicabilité du RGPD aux modèles, les impératifs de sécurité et les conditions d’annotation des données d’entraînement. Elle poursuivra ses travaux avec des analyses sectorielles et des outils d’évaluation de la conformité.	CNIL は、モデルへの GDPR の適用条件、セキュリティ要件、トレーニングデータの注釈付けの条件などを明記した最新の AI ファクトシートを発表した。今後も、セクター別の分析やコンプライアンス評価ツールを用いた取り組みを継続する予定である。
Les nouvelles recommandations de la CNIL	CNIL の新しい勧告
Les modèles d’IA entraînés sur des données personnelles peuvent être soumis au RGPD	個人データを用いて訓練された AI モデルは GDPR の適用対象となる可能性がある
L’avis adopté par le comité européen de la protection des données (CEPD) en décembre 2024 rappelle que le RGPD s’applique, dans de nombreux cas, aux modèles d’IA entraînés sur des données personnelles en raison de leurs capacités de mémorisation.	2024 年 12 月に欧州データ保護会議（EDPB）が採択した意見では、その記憶能力から、個人データを用いて訓練された AI モデルは多くの場合 GDPR の適用対象となることを改めて確認している。
Dans ses nouvelles recommandations, la CNIL guide les acteurs dans la conduite et la documentation de l’analyse qui doit être réalisée pour savoir si l’utilisation de leur modèle est soumise ou non au RGPD. Elle propose également des solutions concrètes pour que cette utilisation n’entraîne pas le traitement de données personnelles, telles que la mise en place de filtres robustes au niveau du système encapsulant le modèle.	CNIL は、新しい勧告において、モデルの使用が GDPR の適用対象であるかどうかを判断するために実施すべき分析の実施および文書化について、関係者に指針を示している。また、モデルをカプセル化するシステムレベルで堅牢なフィルタを実装するなど、この使用が個人データの処理を伴わないことを保証するための具体的な解決策も提案している。
La conformité du processus d’annotation et la sécurité du développement d’un système d’IA doivent être assurés	AI システムの開発における注釈プロセスのコンプライアンスとセキュリティの確保
Deux fiches pratiques sont également mises à la disposition des professionnels :	専門家向けに、2 つの実用的なファクトシートも用意している。
Annoter les données	データの注釈
La phase d’annotation des données d’entraînement est déterminante pour garantir la qualité du modèle entraîné et la protection du droit des personnes, tout en développant des systèmes d’IA plus fiables et performants.	トレーニングデータの注釈段階は、トレーニングされたモデルの品質と個人の権利の保護を確保し、より信頼性が高く効果的な AI システムを開発するために非常に重要である。
Garantir la sécurité du développement d’un système d’IA	AI システム開発のセキュリティの確保
La CNIL détaille les risques et mesures à prendre en compte lors du développement d’un système d’IA pour permettre le développement de systèmes d’IA dans un environnement sécurisé.	CNIL は、AI システムを安全な環境で開発するために、AI システムを開発する際に考慮すべきリスクと対策について詳しく説明している。
Consulter les recommandations	推奨事項を確認する
Un travail élaboré en concertation avec les parties prenantes	利害関係者と協議して作成された作業
Les trois nouvelles recommandations ont, comme les précédentes, été élaborées à la suite d’une consultation publique. Entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc. ont ainsi pu s’exprimer et aider la CNIL à proposer des recommandations au plus proche de leurs questionnements et de la réalité des usages de l’IA.	以前の推奨事項と同様に、3つの新たな推奨事項は公聴会を経て作成された。企業、研究者、学術関係者、団体、法的・技術的アドバイザー、労働組合、連盟など、多様な関係者が意見を表明し、CNILが彼らの懸念とAIの実際の利用状況に即した推奨事項を提案するのを支援した。
・Consulter la synthèse des réponses au questionnaire	・アンケートへの回答の概要を見る
・Consulter la synthèse des contributions	・意見の概要を見る
Une fiche synthèse et une liste des points à vérifier	概要シートとチェックリスト
Pour permettre à tous les professionnels concernés de s’approprier facilement ces recommandations, la CNIL met à disposition deux outils pratiques :	関係するすべての専門家がこれらの推奨事項を容易に採用できるように、CNIL は 2 つの実用的なツールを提供している。
・Une synthèse des recommandations	・推奨事項の概要
・Une liste des points à vérifier	・確認すべきポイントのリスト
Ils permettent de s’assurer rapidement que les enjeux de protection des données sont bien pris en compte dans le développement d’un système d’IA.	これらのツールを使用することで、AI システムの開発においてデータ保護の問題が確実に考慮されるようになる。
L’IA au prisme du RGPD : la CNIL dévoile ses futurs travaux	GDPR の観点から見た AI：CNIL が今後の取り組みを発表
La publication de ces nouvelles recommandations marque une étape importante pour la CNIL. Elle s’inscrit dans une volonté d’encadrer le développement de systèmes d’IA respectueux des enjeux de protection des données, tout en favorisant l’innovation.	この新しい勧告の公表は、CNIL にとって重要な一歩である。これは、データ保護の問題を尊重しつつイノベーションを促進する AI システムの開発を規制する、より広範な取り組みの一環である。
Dans le cadre de son plan stratégique 2025-2028, la CNIL poursuivra ses travaux autour de plusieurs axes complémentaires.	CNIL は、2025 年から 2028 年までの戦略計画の一環として、いくつかの補完的な分野での取り組みを継続していく。
Des recommandations sectorielles	セクター別勧告
Face à la diversité des contextes d’usage de l’IA, la CNIL élabore des recommandations ciblées par secteur, afin de sécuriser juridiquement les acteurs et de favoriser une IA respectueuse des droits.	AI が利用される状況は多様であるため、CNIL は、関係者に法的確実性を提供し、権利を尊重する AI を促進するためのセクター別勧告を策定している。
IA et éducation	AI と教育
La CNIL a récemment publié deux foires aux questions (FAQ) destinées aux enseignants et aux responsables de traitement (chefs d’établissement, ministère, autorités académiques). Elles permettent d’accompagner l’usage de systèmes d’IA dans le cadre des missions pédagogiques de l’enseignant, d’apporter des conseils pratiques, et de préciser obligations légales et les conditions de mise en conformité.	CNIL は最近、教師およびデータ管理者（学校長、省庁、教育当局）向けに 2 つのよくある質問（FAQ）を公開した。この FAQ は、教師の教育業務における AI システムの利用に関するガイダンス、実践的なアドバイス、法的義務およびコンプライアンス要件の明確化について記載している。
IA et santé	AI と健康
Dans le secteur de la santé, la CNIL souhaite favoriser l’inter-régulation et a des échanges réguliers avec les autorités sanitaires afin de formuler des recommandations transversales. Elle participe activement aux travaux de la Haute autorité de santé sur l’usage des systèmes d’IA (SIA) en contexte de soins. Une fiche récapitulant les règles applicables au développement de systèmes d’IA dans le domaine de la santé, avec des exemples concrets issus des demandes d’autorisation, du bac à sable ou de l’accompagnement renforcé, sera bientôt publiée.	健康分野では、CNIL は規制間の連携を促進し、健康当局と定期的に意見交換を行い、分野横断的な勧告を策定している。CNIL は、医療における AI システム（SIA）の利用に関するフランス保健高等庁（Haute Autorité de Santé）の作業に積極的に参加している。医療分野における AI システムの開発に適用される規則を、認可申請、サンドボックス試験、支援の強化などの具体例とともにまとめたファクトシートがまもなく公開される予定である。
IA et travail	AI と仕事
Si le déploiement de l’IA dans un contexte professionnel est porteur de promesses, il soulève également des enjeux forts pour les droits et libertés fondamentaux des personnes concernées : employés, clients, usagers, prestataires. La CNIL a initié une réflexion en lien avec les acteurs du secteur (développeurs de solutions, employeurs y ayant recours, syndicats, fédérations professionnelles, institutions publiques et scientifiques, etc.) pour préciser l’encadrement de ces usages.	職業分野における AI の展開は有望である一方、従業員、顧客、ユーザー、サービスプロバイダなど、関係者の基本的権利と自由にとって大きな課題も生じている。CNIL は、この分野の関係者（ソリューション開発者、AI を利用する雇用者、労働組合、職業団体、公的機関、科学機関など）と協議を開始し、AI の利用に関する枠組みの明確化に取り組んでいる。
Des recommandations à venir sur les responsabilités des acteurs de la chaîne de valeur de l’IA	AI価値チェーンにおける関係者の責任に関する今後の推奨事項
Au second semestre 2025, la CNIL publiera de nouvelles recommandations pour éclairer les acteurs de la chaîne de création d’un système d’IA (concepteurs de modèles, hébergeurs, réutilisateurs, intégrateurs, etc.) sur leurs responsabilités au regard du RGPD.	2025年後半、CNILは、AIシステム作成チェーンの関係者（モデル設計者、ホスト、再利用者、統合者など）に対し、GDPRに基づく責任について説明する新たな推奨事項を公表する。
L’objectif sera notamment de :	主な目的は以下の通りである：
・de préciser les conséquences de l’application du RGPD aux modèles qui ne seraient pas anonymes ;	・GDPRを匿名化されていないモデルに適用した場合の影響を明確化すること；
・d’étudier le cas de l’open source, pratique essentielle pour le développement des technologies d’IA.	・AI技術の開発において不可欠な実践であるオープンソースのケースを研究すること。
Ces recommandations feront l’objet d’une consultation publique afin d’associer l’ensemble de la communauté aux réflexions.	これらの推奨事項は、議論に全関係者を巻き込むため、公開意見募集の対象となる。
Des outils techniques pour les professionnels	専門家向けの技術ツール
Pour faciliter la mise en œuvre concrète de ses recommandations, la CNIL développe un outillage technique adapté.	推奨事項の実務的な実施を容易にするため、CNILは適切な技術ツールの開発を進めている。
Elle a ainsi lancé le projet partenarial PANAME (Privacy AuditiNg of Ai ModEls) avec l’ Agence nationale de la sécurité des systèmes d'information (ANSSI), le programme et équipements prioritaires de recherche iPoP (Interdisciplinary Project on Privacy) et le Pôle d'Expertise de la Régulation Numérique (PEReN). Ce projet vise à développer une bibliothèque logicielle destinée à évaluer si un modèle traite ou non des données personnelles. Cet outil permettra d’offrir des solutions techniques concrètes et opérationnelles aux développeurs et utilisateurs de modèles d’IA, faisant le lien entre les recommandations de la CNIL et leur mise en œuvre pratique sur le terrain.	そのため、CNIL は、フランス国家サイバーセキュリティ庁（ANSSI）、iPoP（プライバシーに関する学際的プロジェクト）優先研究プログラムおよび設備、デジタル規制専門知識センター（PEReN）と共同で、PANAME（Privacy AuditiNg of Ai ModEls）パートナーシッププロジェクトを立ち上げた。このプロジェクトは、モデルが個人データを処理しているかどうかを評価するためのソフトウェアライブラリを開発することを目的としている。このツールは、AI モデルの開発者やユーザーに具体的かつ実用的な技術的ソリューションを提供し、CNIL の推奨事項を現場での実践に結びつけるものである。
Des travaux de recherche sur l’explicabilité dans le domaine de l’IA (xAI)	AI 分野の説明可能性に関する研究 (xAI)
Lancé à l’été 2024, un travail de recherche sur l’explicabilité des modèles d’IA (xAI) est en cours. La CNIL publiera prochainement, sur le site de son laboratoire LINC, les premiers résultats de ce projet. Ceux-ci s’appuient sur des analyses mathématiques des techniques utilisées, croisées avec des éléments quantitatifs et qualitatifs issus des sciences sociales, qui sont menées en collaboration avec des chercheurs de SciencesPo et du Centre de recherche en économie et statistique (CREST).	2024 年夏に開始された AI モデルの説明可能性に関する研究 (xAI) が現在進行中である。CNIL は、このプロジェクトの初期成果を LINC 研究所のウェブサイトに間もなく公開する予定である。これらの結果は、使用された手法の数学的分析と、社会科学の定量的および定性的データとの相互参照に基づいており、SciencesPo および経済統計研究センター（CREST）の研究者との協力により実施されている。
Ces travaux permettront d’apporter de la sécurité juridique aux acteurs qui souhaitent mettre en œuvre ces technologies dans ces secteurs et ainsi accompagner le développement d’une IA innovante et respectueuse des droits.	この作業は、これらの分野においてこれらの技術を実装したいと考える関係者に法的確実性を提供し、それによって権利を尊重する革新的な AI の開発を支援するものである。
Texte reference	参考資料
Pour approfondir	詳細
Les fiches pratiques IA	AI ファクトシート
Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD	AI システムの開発：GDPR の遵守に関する CNIL の推奨事項
À télécharger	ダウンロード
・Consultation publique - Questionnaire sur l'application du RGPD aux modèles d'IA : Synthèse des contributions	・公開協議 - AI モデルへの GDPR の適用に関するアンケート：意見の要約
・Consultation publique - Fiches pratiques IA sur l'annotation des données et la sécurité du développement des systèmes d'IA : Synthèse des contributions	・公開協議 - データアノテーションと AI システム開発のセキュリティに関する AI ファクトシート：意見の要約
・Développement des systèmes d'IA : Que faut-il vérifier ?	・AI システムの開発：確認すべき事項

AI実践ガイド...

・Les fiches pratiques IA

Les fiches pratiques IA	AI 実践ガイド
Fiche synthèse	概要
Les recommandations de la CNIL en bref	CNIL の推奨事項の概要
Les recommandations de la CNIL sur l’application du RGPD au développement des systèmes d’IA permettent de concilier innovation et respect des droits des personnes. Que faut-il retenir ?	AI システムの開発における GDPR の適用に関する CNIL の推奨事項は、イノベーションと個人の権利の尊重の両立を可能にする。重要なポイントは何ですか？
Note : cette synthèse ne concerne que les fiches « Introduction » à 7 pour le moment.	注：この概要は、現時点では「導入」の 7 つのシートのみを対象としている。
> En savoir plus	> 詳細
Introduction	導入
Quel est le périmètre des fiches pratiques sur l’IA ?	AI に関する実践的情報シートの範囲
La CNIL apporte des réponses concrètes pour la constitution de bases de données utilisées pour l’apprentissage des systèmes d’intelligence artificielle (IA), qui impliquent des données personnelles.	CNIL は、個人データを含む人工知能（AI）システムの学習に使用されるデータベースの構築について、具体的な回答を提供している。
> En savoir plus	> 詳細
Fiche 1	シート 1
Déterminer le régime juridique applicable	適用される法的枠組みの決定
La CNIL vous aide à déterminer le régime juridique applicable aux traitements de données personnelles en phase de développement.	CNIL は、開発段階にある個人データの処理に適用される法的枠組みの決定を支援している。
> En savoir plus	> 詳細
Fiche 2	シート 2
Définir une finalité	目的の設定
La CNIL vous aide à définir la ou les finalités en tenant compte des spécificités du développement de systèmes d’IA.	CNIL は、AI システムの開発の特殊性を考慮して、目的を設定する支援を行っている。
> En savoir plus	> 詳細
Fiche 3	シート 3
Déterminer la qualification juridique des fournisseurs de systèmes d’IA	AI システムプロバイダーの法的資格を決定する
Responsable de traitement, responsable conjoint ou sous-traitant : la CNIL aide les fournisseurs de systèmes d’IA à déterminer leur qualification.	データ管理者、共同管理者、または委託業者：CNIL は、AI システムプロバイダーが自らの資格を決定するお手伝いをしている。
> En savoir plus	> 詳細
Fiche 4	シート 4
(1/2)	(1/2)
Assurer que le traitement est licite - Définir une base légale	処理が合法であることを確認する - 法的根拠を定義する
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.	CNIL は、お客様の責任およびデータの収集または再利用の方法に応じて、お客様の義務を決定するお手伝いをします。
> En savoir plus	> 詳細
Fiche 4	シート 4
(2/2)	(2/2)
Assurer que le traitement est licite - En cas de réutilisation des données	処理が合法であることを確認する - データの再利用の場合
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.	CNIL は、お客様の責任およびデータの収集または再利用の方法に応じて、お客様の義務を決定するお手伝いをします。
> En savoir plus	> 詳細
Fiche 5	シート 5
Réaliser une analyse d’impact si nécessaire	必要に応じて影響評価を実施する
La CNIL vous explique comment et dans quels cas réaliser une analyse d’impact sur la protection des données (AIPD) en tenant compte des risques spécifiques au développement de modèles d’IA.	CNIL は、AI モデルの開発に特有のリスクを考慮して、データ保護に関する影響評価 (AIPD) を実施する方法と、その実施すべき場合について説明している。
> En savoir plus	> 詳細
Fiche 6	シート 6
Tenir compte de la protection des données dans la conception du système	システムの設計においてデータ保護を考慮する
Pour assurer le développement d’un système d’IA respectueux de la protection des données, il est nécessaire de mener une réflexion préalable lors de la conception du système. La CNIL en détaille les étapes.	データ保護に配慮した AI システムを開発するには、システムの設計段階で事前の検討を行う必要がある。CNIL はその手順を詳しく説明している。
> En savoir plus	> 詳細
Fiche 7	シート 7
Tenir compte de la protection des données dans la collecte et la gestion des données	データの収集および管理においてデータ保護を考慮する
La CNIL donne les bonnes pratiques pour sélectionner les données et limiter leur traitement afin d’entraîner un modèle performant dans le respect des principes de protection des données dès la conception et par défaut.	CNIL は、設計段階から、そしてデフォルトでデータ保護の原則を遵守しながら、高性能のモデルをトレーニングするために、データの選択と処理の制限に関するベストプラクティスを紹介している。
> En savoir plus	> 詳細
Fiche 8	シート 8
Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA	AI システムの開発における正当な利益の法的根拠の活用
La base légale de l’intérêt légitime sera la plus couramment utilisée pour le développement de systèmes d’IA. Cette base légale ne peut toutefois pas être mobilisée sans en respecter les conditions et mettre en œuvre des garanties suffisantes.	AI システムの開発には、正当な利益の法的根拠が最もよく利用される。ただし、この法的根拠は、その条件を守り、十分な保証措置を講じなければ利用できない。
> En savoir plus	> 詳細
Fiche 8 bis	シート 8 bis
Fiche focus moissonnage	フォーカスシートデータハーベスティング
La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping)	正当な利益の法的根拠：データハーベスティング（ウェブスクレイピング）によるデータ収集の際に講じるべき措置に関するフォーカスシート
La collecte des données accessibles en ligne par moissonnage (web scraping) doit être accompagnée de mesures visant à garantir les droits des personnes concernées.	ウェブスクレイピングによるオンラインでアクセス可能なデータの収集には、関係者の権利を保証するための措置を講じる必要がある。
> En savoir plus	> 詳細
Fiche 9	シート 9
Informer les personnes concernées	関係者への情報提供
Les organismes qui traitent des données personnelles pour développer des modèles ou des systèmes d’IA doivent informer les personnes concernées. La CNIL précise les obligations en la matière.	AI モデルやシステムの開発のために個人データを処理する機関は、関係者にその旨を通知しなければならない。CNIL は、この点に関する義務を明確にしている。
> En savoir plus	> 詳細
Fiche 10	シート 10
Respecter et faciliter l’exercice des droits des personnes concernées	関係者の権利の尊重と行使の促進
Les personnes dont les données sont collectées, utilisées ou réutilisées pour développer un système d’IA disposent de droits sur leurs données qui leur permettent d’en conserver la maîtrise. Il appartient aux responsables des traitements de les respecter et d’en faciliter l’exercice.	AI システムの開発のためにデータが収集、使用、再利用される個人は、そのデータに関する権利を有しており、そのデータを管理することができる。データ処理責任者は、これらの権利を尊重し、その行使を促進する義務がある。
> En savoir plus	> 詳細
Fiche 11	シート 11
Annoter les données	データの注釈
La phase d’annotation des données est cruciale pour garantir la qualité du modèle entraîné. Cet enjeu de performance peut être atteint au moyen d’une méthodologie rigoureuse garantissant le respect de la protection des données personnelles.	データの注釈段階は、トレーニングされたモデルの品質を確保するために非常に重要だ。このパフォーマンス上の課題は、個人データの保護を確実に遵守する厳格な方法論によって達成することができる。
> En savoir plus	> 詳細
Fiche 12	シート 12
Garantir la sécurité du développement d’un système d’IA	AI システム開発のセキュリティ保証
La sécurité des systèmes d’IA est une obligation afin de garantir la protection des données tant lors du développement du système que par anticipation de son déploiement. Cette fiche détaille les risques et mesures à prendre recommandées par la CNIL.	AIシステムのセキュリティは、システムの開発段階から展開前の段階まで、データの保護を保証するために必須の要件である。この資料では、CNILが推奨するリスクと対応策を詳細に説明する。
> En savoir plus	> 詳細

Fiche 13	シート 13
IA : Analyser le statut d’un modèle d’IA au regard du RGPD	AIモデルのGDPR適用の可否分析
Les modèles d’IA peuvent relever du RGPD s’ils mémorisent des données personnelles issues de leur entraînement. La CNIL propose une méthode à destination des fournisseurs pour évaluer si leurs modèles sont soumis au RGPD ou non.	AI モデルは、そのトレーニングで取得した個人データを記憶している場合、GDPR の適用対象となる可能性がある。CNIL は、サプライヤーが自社のモデルが GDPRの適用対象であるかどうかを評価するための手法を提案しています。
> En savoir plus	> 詳細

データの注釈

・2025.07.22 IA : Annoter les données

IA : Annoter les données	AI：データの注釈
La phase d’annotation des données est cruciale pour garantir la qualité du modèle entraîné. Cet enjeu de performance peut être atteint au moyen d’une méthodologie rigoureuse garantissant le respect de la protection des données personnelles.	データのannotation段階は、トレーニングされたモデルの品質を保証するために不可欠である。このパフォーマンスの課題は、個人データの保護を遵守する厳格なメソドロジーにより達成可能である。
La phase d’annotation des données est une étape déterminante dans le développement d’un modèle d’IA de qualité, tant pour des enjeux de performance que pour le respect des droits des personnes. Cette étape est centrale en apprentissage supervisé, mais peut également permettre d’obtenir un jeu de validation en apprentissage non-supervisé. Elle consiste à attribuer une description, appelée « label » ou « étiquette », à chacune des données qui servira de « vérité de terrain » (ground truth) pour le modèle qui doit apprendre à traiter, classer, ou encore discriminer les données en fonction de ces informations.	データ注釈段階は、パフォーマンスの課題と個人の権利の尊重の両方の観点から、高品質の AI モデルを開発する上で決定的な段階だ。この段階は、教師あり学習では中心的な役割を果たすが、教師なし学習では検証用データセットの取得にも役立つ。これは、学習モデルがデータを処理、分類、またはこれらの情報に基づいて判別することを学ぶための「現場真実（ground truth）」となる、各データに「ラベル」と呼ばれる説明文を割り当てる作業だ。
L’annotation peut porter sur tous types de données, personnelles ou non, et contenir tous types d’informations, personnelles ou non. L’annotation peut être humaine, semi-automatique, ou automatique. Elle peut être un procédé à part entière, ou résulter de processus existants lors desquels une caractérisation des données a déjà été réalisée pour un certain besoin, puis réutilisée pour l’entraînement de modèles d’IA (comme dans le cas du diagnostic médical décrit ci-dessous). Dans certains cas, l'entraînement de l'IA reposera sur des données et annotations existantes.	注釈は、個人データかどうかに関わらず、あらゆる種類のデータに付けられ、個人データかどうかに関わらず、あらゆる種類の情報を含むことができる。アノテーションは、人間によるもの、半自動、または自動のものがある。これは、独立したプロセスである場合もあれば、特定のニーズのためにデータの特徴付けがすでに実施されており、その特徴付けを AI モデルのトレーニングに再利用する場合もある（後述の医療診断の場合など）。場合によっては、AI のトレーニングは既存のデータおよび注釈に基づいて行われる。
Cette fiche, ainsi que celles sur la protection des données lors du développement du système et de la collecte des données, devront alors être appliquées. Le périmètre de cette fiche vise l’ensemble des cas évoqués ci-dessus où l’annotation porte sur ou contient des données personnelles.	その場合は、このシート、およびシステム開発およびデータ収集時のデータ保護に関するシートも適用する必要がある。このシートの適用範囲は、上記で述べた、注釈が個人データに関する、または個人データを含むすべてのケースである。
Exemples d’annotations :	注釈の例：
・Afin d’entraîner un modèle d’IA de reconnaissance du locuteur intégré dans un assistant vocal, des enregistrements vocaux sont annotés avec l’identité du locuteur ;	・音声アシスタントに組み込まれた話者認識 AI モデルをトレーニングするために、音声記録に話者の身元を注釈で付加する。
・Afin d’entraîner un modèle d’IA de détection de chutes intégré dans le système de vidéosurveillance d’un EHPAD, des images sont annotées avec la position des personnes représentées selon plusieurs labels tels que « debout » ou « couché » ;	・EHPAD のビデオ監視システムに組み込まれた転倒検出 AI モデルをトレーニングするために、画像に「立っている」や「横になっている」などの複数のラベルで、画像に写っている人物の位置を注釈で付加する。
・Afin d’entraîner un modèle d’IA de reconnaissance des plaques minéralogiques intégré dans une barrière d’accès à un espace privé, des images sont annotées avec la position des pixels contenant une plaque minéralogique ;	・私有地へのアクセスゲートに組み込まれたナンバープレート認識 AI モデルをトレーニングするために、ナンバープレートを含むピクセルの位置で画像に注釈を付ける。
・Afin d’entraîner un modèle d’IA de prédiction du risque d’une certaine pathologie, ayant vocation à être utilisé comme une aide au diagnostic par le personnel soignant d’un établissement hospitalier, les résultats sanguins de patients sont annotés avec le diagnostic réalisé par un médecin sur la pathologie en question.	・病院の医療スタッフが診断の補助として使用する、特定の疾患のリスクを予測する AI モデルをトレーニングするために、患者の血液検査結果に、医師が診断した疾患名が注釈として付されている。
Les enjeux de l’annotation pour les droits et libertés des personnes	注釈の課題と個人の権利・自由
Garantir la qualité de l’annotation	注釈の品質保証
L’information et l’exercice des droits	情報と権利の行使
L’annotation à partir de données sensibles	機微なデータに基づく注釈

AIシステム開発のセキュリティ保証

・2025.07.22 IA : Garantir la sécurité du développement d’un système d’IA

IA : Garantir la sécurité du développement d’un système d’IA	AI：AIシステムの開発の安全性を確保する
La sécurité des systèmes d’IA est un enjeu trop souvent mis au second plan par leurs concepteurs. Elle reste pourtant une obligation afin de garantir la protection des données tant lors du développement du système que par anticipation de son déploiement. Cette fiche détaille les risques et mesures à prendre recommandés par la CNIL.	AIシステムの安全性は、その設計者によってあまり重視されない傾向がある。しかし、システムの開発段階および導入前の段階において、データの保護を確保するためには、この安全性は依然として必須の要件である。この資料では、CNILが推奨するリスクと対策について詳しく説明している。
La sécurité des traitements de données personnelles est une obligation prévue par l’article 32 du RGPD. Celui-ci précise qu’elle doit être mise en œuvre en tenant compte « de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques ». La sécurité du traitement est donc une obligation qu’il convient de mettre en œuvre par des mesures adaptées aux risques.	個人データの処理のセキュリティは、GDPR第32条で義務付けられている。同条は、セキュリティは「知識のレベル、実施コスト、処理の性質、範囲、文脈、目的、および個人に対する権利と自由に対するリスク（その発生の可能性と深刻度の程度を含む）」を考慮して実施されなければならないと規定している。したがって、処理のセキュリティは、リスクに応じた適切な措置によって実施すべき義務である。
En pratique, pour le développement d’un système d’IA, y compris pour l’ajustement d’un modèle pré-entraîné (fine-tuning) utilisé pour le système, il convient de combiner une analyse de sécurité « classique » portant notamment sur la sécurité de l’environnement (ce qui inclut notamment les infrastructures, les habilitations, les sauvegardes, ou encore la sécurité physique) et celle du développement logiciel et de sa maintenance (ce qui inclut notamment la mise en œuvre des bonnes pratiques de développement, ou encore la gestion des vulnérabilités et des mises à jour) avec une analyse des risques spécifiques aux systèmes d’IA et aux bases de données d’entraînement de grande taille.	実際には、AI システムの開発（システムに使用される事前学習済みモデル（ファインチューニング）の調整を含む）においては、特に環境のセキュリティに関する「従来の」セキュリティ分析（インフラストラクチャ、アクセス権限、バックアップ、物理的セキュリティなど）と、ソフトウェア開発およびそのメンテナンスの安全性（開発のベストプラクティスの実施、脆弱性管理、更新管理など）を、AIシステムおよび大規模なトレーニングデータベースに特有のリスク分析と組み合わせる必要がある。
Cette fiche détaille ainsi :	このシートでは、以下の事項について詳しく説明している。
・l’approche méthodologique à adopter pour gérer la sécurité du développement d’un système d’IA ;	AI システムの開発におけるセキュリティを管理するために採用すべき方法論的アプローチ
・les objectifs de sécurité principaux à viser lors du développement d’un système d’IA ;	AI システムの開発において目指すべき主なセキュリティ目標
・les facteurs de risques à prendre en considération, dont certains sont spécifiques à l’IA ;	考慮すべきリスク要因（その一部は AI に特有のもの）
・les mesures recommandées afin de rendre le niveau de risque résiduel acceptable.	残存リスクを許容可能なレベルに抑えるために推奨される措置
L’approche méthodologique à adopter	採用すべき方法論的アプローチ
Les objectifs de sécurité liés au développement en IA	AI開発に関連するセキュリティ目標
Les facteurs de risque pour la sécurité d’un système d’IA	AIシステムのセキュリティに関するリスク要因
Les mesures de sécurité à envisager pour le développement d’un système d’IA	AIシステムの開発において検討すべきセキュリティ対策
Ressources utiles	有用なリソース

AIモデルのGDPR適用の可否分析

・2025.07.22 IA : Analyser le statut d’un modèle d’IA au regard du RGPD

IA : Analyser le statut d’un modèle d’IA au regard du RGPD	AI：AIモデルのGDPR適用の可否分析
Les modèles d’IA peuvent relever du RGPD s’ils mémorisent des données personnelles issues de leur entraînement. La CNIL propose une méthode à destination des fournisseurs pour évaluer si leurs modèles sont soumis au RGPD ou non.	AI モデルは、そのトレーニングから取得した個人データを記憶している場合、GDPR の適用対象となる可能性がある。CNIL は、サプライヤーが自社のモデルが GDPR の適用対象であるかどうかを評価するための手法を提案している。
Les modèles d’IA peuvent être anonymes : le RGPD ne leur est alors pas applicable.	AIモデルは匿名である場合があり、その場合はGDPRは適用されない。
Dans certains cas, les modèles d’IA mémorisent une partie des données utilisées pour leur apprentissage, il devient alors possible d’en extraire des données personnelles, si celles-ci étaient présentent dans le jeu d’entraînement. Quand cette extraction a lieu avec des moyens raisonnablement susceptibles d’être mis en œuvre, ces modèles entrent dans le champ d’application du RGPD. La CNIL aide les fournisseurs de modèles à déterminer si cela est le cas ou non.	場合によっては、AIモデルは学習に使用したデータの一部を記憶するため、そのデータセットに個人情報が含まれている場合、その個人情報を抽出することが可能になる。この抽出が合理的に実施される可能性のある手段によって行われる場合、これらのモデルはRGPDの適用対象となる。CNILは、モデル提供者がこれが該当するか否かを判断するための支援を行っている。
De quoi parle-t-on ?	何について話しているの？
Mise en œuvre de l’analyse	分析の実施

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.01 フランス CNIL AIシステムの開発：正当な利益に関する勧告（AIの学習のためのウェブスクレイピングの問題等）(2025.06.19)

・2025.02.10 フランス CNIL AIについてガイダンス（データ主体への通知、データ主体の権利行使の尊重と促進）(2025.02.07)

・2024.04.11 フランス CNIL 人工知能システムの開発に関する勧告

2025.07.27 04:00 in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

英国議会情報・安全保障委員会英国に対するイランの脅威と英国の対応について調査した「イラン」報告書を議会に提出（2025.07.10）

こんにちは、丸山満彦です。

英国議会の情報・安全保障委員会が、、英国に対するイランの脅威と英国の対応について調査した「イラン」と題する報告書を議会に提出し、政府は、委員会の勧告を慎重に検討し、今後回答していくようです。

この調査は2021年に開始され、2023年8月の証拠収集をもって終了したとのことです...

もちろん、スパイ活動、サイバー攻撃、干渉についても書かれていますが、そこだけ理解しようとしてもだめだということが、こういう報告書を読めばわかりますよね...

国家の政策意図があって、その目的の達成のためにスパイ活動、サイバー攻撃、干渉、もっというと軍事行動があるわけですから...

● UK Parliament - Hansard

・2025.07.10 Intelligence and Security Committee: Iran Report

・[PDF]

目次...

CONTENTS	目次
THE SCOPE OF THE INQUIRY	調査の範囲
EXECUTIVE SUMMARY	エグゼクティブサマリー
THE NATIONAL SECURITY THREAT TO THE UK	英国の国家安全保障に対する脅威
THE IRANIAN REGIME	イラン政権
Iranian leadership and wider security architecture	イランの指導部およびより広範な安全保障体制
Iran’s intelligence institutions	イランの諜報機関
Competition within the Iranian Intelligence Services	イランの諜報機関内の競争
OBJECTIVES OF THE IRANIAN STATE	イランの国家目標
Overarching objectives	包括的な目標
What motivates Iran?	イランの動機
IRAN AND THE UK	イランと英国
How does Iran perceive the UK?	イランは英国をどのように見ているか?
Iran’s strategic objectives towards the UK	イランの英国に対する戦略的目標
Overall threat to the UK	英国に対する全体的な脅威
How does the Iranian threat compare with Russia and China?	イランの脅威はロシアと中国とどのように比較されるか?
IRAN’S INTERNATIONAL PARTNERSHIPS	イランの国際パートナーシップ
Russia	ロシア
China	中国
North Korea	北朝鮮
Syria	シリア
***	***
***	***
Aligned militant and terrorist groups in the Middle East	中東の関連する過激派・テロ組織
THE THREAT: PHYSICAL ATTACKS	脅威: 物理的攻撃
Iranian intent to carry out physical hostile activity	物理的な敵対行為を実行するイランの意図
Iranian capability in the UK	英国におけるイランの能力
How will the physical threat evolve?	物理的な脅威はどのように変化していくか？
THE THREAT: NUCLEAR PROGRAMME	脅威：核開発プログラム
Iran’s previous attempts to develop a nuclear weapon	イランのこれまでの核兵器開発試み
2015 JCPOA nuclear agreement	2015 年の JCPOA 核合意
2018 US withdrawal from the JCPOA	2018 年の JCPOA から米国が離脱
Iranian nuclear intent and objectives	イランの核開発意図と目的
Iranian nuclear decision-makers and actors	イランの核開発に関する意思決定者および関係者
Iranian nuclear capability	イランの核能力
The 2015 JCPOA: impact on the threat	2015 年の JCPOA：脅威への影響
How will the Iranian nuclear threat evolve?	イランの核の脅威はどのように変化していくか？
THE THREAT: ESPIONAGE	脅威：スパイ活動
Intent and capability	意図と能力
Purposes and targets	目的と標的
Using human sources	人間情報源の活用
Using technical means	技術的手段の活用
THE THREAT: CYBER ENVIRONMENT AND CAPABILITIES	脅威：サイバー環境と能力
Iranian cyber environment	イランのサイバー環境
Cyber tools and techniques	サイバーツールと手法
THE THREAT: OFFENSIVE CYBER	脅威：攻撃的なサイバー
Objectives	目的
Iranian capability	イランの能力
Iranian intent	イランの意図
Key actors	主要アクター
Targeted sectors	標的となるセクター
THE THREAT: INTERFERENCE	脅威：干渉
The Iranian interference threat to the UK	英国に対するイランの干渉の脅威
Who is Iran targeting and why?	イランは誰を標的にしているのか、その理由
Methodology: intimidation	手法：威嚇
Methodology: hack-and-leak	手法：ハッキングと情報漏えい
Methodology: traditional and social media	手法：伝統的メディアとソーシャルメディア
Methodology: Iranian organisations in the UK	手法：英国におけるイランの組織
THE THREAT: TO UK INTERESTS IN THE MIDDLE EAST	脅威：中東における英国の利益
Overarching threat in the region	この地域における包括的な脅威
Threat to individuals	個人に対する脅威
The threat to UK maritime, commercial, energy and security interests	英国の海洋、商業、エネルギー、安全保障上の利益に対する脅威
Impact of the killing of General Soleimani	ソレイマニ将軍の殺害の影響
How will the threat to UK interests in the Middle East evolve?	中東における英国の利益に対する脅威は今後どのように変化していくか？
HOW IS THE UK RESPONDING?	英国の対応
STRATEGY AND POLICY RESPONSE	戦略と政策対応
Is HMG thinking long-term enough?	英国政府は十分な長期的な視点を持っているか？
Policy-taker or policy-maker?	政策決定者か、政策立案者か？
Overlapping strategies	重複する戦略
MINISTERIAL RESPONSIBILITIES	閣僚の責任
Foreign Secretary	外務大臣
Home Secretary	内務大臣
RESOURCING, PRIORITISATION AND EXPERTISE	資源、優先順位付け、専門知識
GCHQ	GCHQ
MI5	MI5
SIS	SIS
DI	DI
JIO	JIO
HSG	HSG
NSS	NSS
Cross-Government capability	政府横断的能力
USING INTERNATIONAL PARTNERSHIPS	国際パートナーシップの活用
Key partners	主要パートナー
***	***
***	***
***	***
Intelligence diplomacy	情報外交
UK INTELLIGENCE COVERAGE	英国の情報網
Operating against Iran	イランに対する作戦
Intelligence gaps and assessment confidence	情報ギャップとアセスメントの信頼性
DEFENDING THE UK	英国の防衛
Responsibilities	責任
LEGISLATION, SANCTIONS AND PROSCRIPTION	法律、制裁、禁止措置
Legislation	法律
Sanctions	制裁
Proscription	禁止措置
THE RESPONSE: PHYSICAL ATTACKS	対応：物理的攻撃
Operation ***	作戦 ***
Assassination	暗殺
Kidnap and lure operations	誘拐および誘引作戦
THE RESPONSE: ESPIONAGE	対応：スパイ活動
Tackling human espionage	人間によるスパイ活動への対処
Tackling cyber espionage	サイバースパイ活動への対処
THE RESPONSE: OFFENSIVE CYBER	対応：攻撃的サイバー
(i) Understanding Iranian offensive cyber activity	(i) イランの攻撃的サイバー活動の理解
(ii) Bolstering resilience	(ii) レジリエンスの強化
(iii) Active Cyber Defence	(iii) アクティブ・サイバーディフェンス
(iv) Raising the cost	(iv) コストの引き上げ
National Cyber Force activity	国家サイバー部隊の活動
THE RESPONSE: INTERFERENCE	対応：干渉
The Defending Democracy Taskforce	民主主義防衛タスクフォース
The Islamic Centre of England	イングランド・イスラムセンター
Countering online disinformation	オンライン偽情報対策
THE RESPONSE: NUCLEAR PROGRAMME	対応：核開発計画
Counter-proliferation: Iran’s declared nuclear activities	核拡散対策：イランの公表している核活動
Counter-proliferation: holding Iran to account	核拡散対策：イランの責任追及
Counter-proliferation: understanding weaponisation plans and countering progress	核拡散対策：兵器化計画の把握と進展の阻止
A new settlement: understanding and discouraging	新たな解決：理解と抑止
Monitoring effectiveness of sanctions	制裁の有効性の監視
THE RESPONSE: IN THE MIDDLE EAST	対応：中東
Individuals	個人
UK interests	英国の利益
ANNEX A: FULL LIST OF RECOMMENDATIONS AND CONCLUSIONS	附属書 A：勧告および結論の完全リスト
ANNEX B: CODE WORDS	附属書 B：コードワード
ANNEX C: LIST OF WITNESSES	附属書 C：証人リスト

エグゼクティブサマリー...

Exective Summary	概要
Iran	イラン
The Iranian regime’s fundamental objective is to ensure the survival and security of the Islamic Republic, which was founded in 1979 following the Iranian Revolution. This shapes – directly or indirectly – all of its actions.	イラン政権の基本的な目的は、イラン革命後の1979年に樹立されたイスラム共和国の存続と安全を確保することである。このことが、直接的あるいは間接的に、イランのすべての行動を形作っている。
Iran has an acute historical sense of vulnerability and believes that it can rely only on itself. As a result, beyond the survival of the regime, it has three key regional aims – to be a leading regional power, to contain perceived Western influence and hostility, and to protect Shi’a communities and sites across the Middle East. It also maintains a fierce, ideological hostility to Israel – regarding it as its arch enemy – that is part of the regime’s DNA.	イランは歴史的に脆弱性を痛感しており、自分たちだけが頼りだと考えている。その結果、イランは体制の存続のほかに、地域をリードする大国となること、欧米の影響や敵意を封じ込めること、中東全域のシーア派のコミュニティや遺跡を保護すること、という3つの重要な地域目標を掲げている。イランはまた、イスラエルを宿敵とみなし、イデオロギーに基づく激しい敵意を維持している。
Iran’s focus on survival means it is flexible, pragmatic and transactional – including in relation to its international partnerships: it is prepared to work with other state threat actors such as China and Russia if it sees a benefit for itself in doing so, as reflected in its recent support for Russia’s war in Ukraine.	イランは生存を重視しているため、柔軟で現実的かつ取引主義的である。国際的なパートナーシップに関しても同様で、中国やロシアなど他の脅威アクターと協力することで、自国に利益があると判断した場合は、ウクライナにおけるロシアの戦争への最近の支援に反映されているように、協力する用意がある。
Iran’s doctrine of ‘strategic depth’ – avoiding direct conflict with superior conventional powers and ensuring it does not enter into conflict within its own borders – has led it to develop ‘asymmetric’ capabilities such as offensive cyber and a network of regional militant and terrorist organisations across the Middle East which can undertake hostile activity on its behalf, providing it with a deniable means of threatening its adversaries. Iran has also sought to maintain the option of developing nuclear weapons as the ultimate security guarantee.	イランは、「戦略的深化」というドクトリンを掲げており、優れた通常戦力との直接的な衝突を回避し、自国内での紛争に巻き込まれないようにしている。そのため、イランは、攻撃的サイバー攻撃や、中東全域に広がる過激派・テロ組織のネットワークといった「非対称」能力を開発し、自国に代わって敵対活動を行うことで、敵対国を威嚇する否認可能な手段を提供している。イランはまた、究極の安全保障として核兵器開発の選択肢を維持しようとしている。
“They are there across the full spectrum of the kinds of threats we have to be concerned with.”	「イランは、我々が懸念しなければならない脅威の全領域にわたって存在している。
5. Iran poses a significant threat to the UK. Iran believes the UK to be a significant adversary – albeit one that sits behind the United States (US), Israel and Saudi Arabia – opposed to the Iranian regime’s values and seeking regime change in Iran. Iran’s main strategic objectives towards the UK include: reducing the UK’s military presence in the region; undermining the UK’s relationships with the US and Israel; weakening the UK’s security relationships in the Middle East; and silencing criticism of Iran, either from the UK directly or from those residing in the UK.	5. イランは英国に大きな脅威を与えている。イランは英国を、米国、イスラエル、サウジアラビアに次ぐ重要な敵対国であり、イラン政権の価値観に反対し、イランの体制転換を狙っていると考えている。イランの英国に対する主な戦略目標には、この地域における英国の軍事的プレゼンスを低下させること、英国と米国およびイスラエルとの関係を弱体化させること、英国の中東における安全保障関係を弱体化させること、英国から直接、あるいは英国に居住する人々からイランへの批判を封じ込めること、などがある。
6. The Iranian threat is more narrowly focused and opportunistic than the more strategic, all-encompassing and well-resourced threats from Russia and China. However, the Iran threat should not be underestimated: it is persistent and – crucially – unpredictable. While Iran is fundamentally a rational actor, it does not always appear to act in a coherent way and is prone to misunderstanding actions that others take.	6. イランの脅威は、ロシアや中国の戦略的かつ包括的で、十分な資源を持つ脅威と比べると、焦点が絞られており、日和見的である。しかし、イランの脅威を過小評価すべきではない。イランの脅威は持続的であり、そして決定的に予測不可能である。イランは基本的に理性的な行動主体であるが、常に首尾一貫した行動をとっているようには見えず、他国の行動を誤解しやすい。
7. Iran’s intelligence services are “ferociously well-resourced” by comparison with its size and economy, and have significant areas of asymmetric strength – notably cyber. Iranian espionage poses a significant threat to the UK and its interests, albeit as a target the UK appears to remain just below the US, Israel and Saudi Arabia. However, it should be recognised that this prioritisation could change rapidly in response to geopolitical events. Moreover, the competition, tension and disagreement between the organisations contribute to a worrying volatility around their activity.	7. イランの諜報機関は、その規模や経済力に比して「猛烈に豊富な資金力」を持ち、非対称的な強みを持つ。イランのスパイ活動は、英国およびその利益にとって重大な脅威となるが、その標的としては、英国は米国、イスラエル、サウジアラビアのすぐ下にとどまっているように見える。しかし、この優先順位は地政学的な出来事に応じて急速に変化する可能性があることを認識すべきである。さらに、各組織間の競争、緊張、意見の相違は、その活動を不安定なものにしている。
8. Iran has a high appetite for risk when conducting offensive activity, which means it poses a dynamic and erratic threat. For example, although Iran generally favours what it considers to be a proportionate, reciprocal response, it can nevertheless escalate action sharply with little warning. This was seen following the 2022 protests in Iran, when there was a significant increase in the threat of a physical attack to individuals in the UK and the Middle East whom Iran perceives to be a threat to the regime. Notably, Iran does not see attacks on UK-based targets as constituting attacks on the UK – the UK is simply seen as collateral in Iran’s handling of internal matters (i.e. removing perceived enemies of the regime) on UK soil.	8. イランは攻撃的な活動を行う際に高いリスク許容度を持つため、ダイナミックで不規則な脅威となる。例えば、イランは一般的に、比例的で相互的な対応を好むが、それにもかかわらず、ほとんど警告なしに行動を急激にエスカレートさせることがある。2022年のイランにおける抗議デモの際には、イランが政権を脅かす存在とみなす英国や中東の個人に対する物理的攻撃の脅威が著しく高まった。注目すべきは、イランは英国を拠点とする標的への攻撃を英国への攻撃とは見なしていないことである。英国は単に、イランが英国国内で内政問題（すなわち、体制の敵とみなされる人物を排除すること）を処理する際の担保とみなされているだけである。
9. A further complicating factor is that, as part of its ‘forward defence’ policy, whereby it seeks to avoid entering into conflict within its own borders, Iran often operates through proxy groups – including criminal networks, militant and terrorist organisations, and private cyber actors. This provides it with a deniable means of attacking its adversaries with minimal risk of retaliation. As Iran does not always maintain direct control of these groups, their activities (whether at Iran’s behest or not) risk escalating aggression, particularly in the Middle East region. Militant and terrorist groups in the Middle East which have a relationship with, and to varying degrees receive support from, Iran include Al-Qaeda, Kata’ib Hizbollah in Iraq, Lebanese Hizbollah and Hamas. This support may include training, lethal aid, funding and, in some cases, direction via its intelligence agencies, in particular the Islamic Revolutionary Guard Corps (IRGC).	9. さらに複雑な要因として、イランは「前方防衛」政策の一環として、自国内で紛争に巻き込まれることを避けようとするため、犯罪ネットワーク、過激派組織、テロ組織、民間のサイバーアクターなどの代理グループを通じて活動することが多い。これによってイランは、報復のリスクを最小限に抑えながら敵対勢力を攻撃する、否認可能な手段を手に入れることができる。イランがこれらのグループを常に直接掌握しているわけではないため、（イランの要請か否かにかかわらず）これらのグループの活動は、特に中東地域における侵略をエスカレートさせるリスクとなる。イランと関係を持ち、程度の差こそあれイランから支援を受けている中東の過激派・テロリスト集団には、アルカイダ、イラクのカタイブ・ヒズボラ、レバノンのヒズボラ、ハマスなどがある。この支援には、訓練、殺傷援助、資金提供、場合によっては、イランの情報機関、特にイスラム革命防衛隊（IRGC）を通じた指示が含まれる。
10. In terms of the specific elements of the threat which Iran poses to the UK and UK interests:	10. イランが英国および英国の利益にもたらす脅威の具体的な要素について：
● Physical attacks: The threat to opponents of the Iranian regime residing in the UK is “the greatest level of threat we currently face from Iran”. It is on a broadly comparable level to that posed by Russia. Iran uses assassination as an instrument of state policy – targeting dissidents is a high priority for both the Ministry of Intelligence and Security (MOIS) and the IRGC. Iran has a higher risk appetite *** when it comes to physical attacks – there have been at least 15 attempts at murder or kidnap against British nationals or UK-based individuals since the beginning of 2022.	物理的攻撃：物理的攻撃：英国に居住するイラン政権の反対派に対する脅威は、「我々が現在直面しているイランからの脅威の最大のレベル」である。それはロシアによるものとほぼ同レベルである。イランは国家政策の手段として暗殺を用いる。反体制派を標的にすることは、情報保安省（MOIS）とIRGCの双方にとって最優先事項である。イランは、物理的な攻撃に関しては、より高いリスク選好度***を有している。2022年初頭以来、英国人または英国を拠点とする個人に対する殺人または誘拐の未遂が少なくとも15件発生している。
● Nuclear: Iran proceeding with its nuclear weapon programme represents a critical threat to the UK’s national security, and to global security more broadly – with the potential for regional nuclear proliferation and exacerbated regional instability.	核兵器：イランの核兵器開発計画は、英国の国家安全保障、ひいては世界の安全保障にとって重大な脅威であり、地域の核拡散と地域の不安定化を悪化させる可能性がある。
It appears that Iran has not yet developed a nuclear weapon or taken a decision to produce one, but it maintains the option of developing one – largely as the ‘ultimate security guarantee’. It is difficult to determine what would trigger such a decision by the Supreme Leader: it is plausible that Iran’s intent is to maintain a state of ‘nuclear ambiguity’ at the threshold of weaponisation. However, it may choose to weaponise if it feels it is facing an existential threat. It is notable that since the US’s withdrawal from the Joint Comprehensive Plan of Action (JCPOA) nuclear agreement in 2018, the Iranian nuclear threat has increased as Iran has taken noncompliant steps in developing its nuclear programme. While it appears that it is still short of the ‘weaponisation’ phase, Iran nevertheless has the capability to arm in a relatively short period – possibly * to produce a testable device and * to develop a deliverable nuclear weapon.	イランはまだ核兵器を開発しておらず、製造する決断もしていないようだが、「究極の安全保障」として、核兵器開発の選択肢を持ち続けている。何が最高指導者のそのような決断の引き金となるかを判断するのは難しい。イランの意図は、兵器化の入り口に立って「核の曖昧さ」の状態を維持することであると考えるのが妥当であろう。しかし、イランが存立危機事態に直面していると感じれば、核兵器化を選択するかもしれない。2018年に米国が共同包括行動計画（JCPOA）核合意から離脱して以来、イランが核開発において非準拠の措置を取っているため、イランの核の脅威が高まっていることは注目に値する。まだ「兵器化」段階には至っていないように見えるが、それでもイランは比較的短期間で武装化する能力を持っている。おそらく、*実験可能な装置を製造し、*運搬可能な核兵器を開発する能力を持っている。
● Espionage: Until the recent sharp increase in the threat from physical attacks, espionage was viewed as the most serious threat from Iran – and, as noted above, it still poses a significant threat to the UK and its interests. It is focused on supporting Iran’s primary objective of regime survival and stability, and is at times opportunistic in nature. Iran uses both cyber capabilities and human agents: however, the Iranian espionage threat is substantially narrower in scope and scale, and less sophisticated, than that of Russia and China. The Iranian espionage threat manifests acutely in the cyber domain, since cyber espionage represents an easier way for Iran to gain information which it would not necessarily be able to obtain within the UK due to the relatively difficult operating environment.	スパイ活動：最近になって物理的攻撃による脅威が急増するまでは、スパイ活動はイランからの最も深刻な脅威と見なされていた。スパイ活動は、体制の存続と安定というイランの主目的を支援することに重点を置いており、時に日和見的な性質を持つ。イランはサイバー脅威と人的諜報活動の両方を駆使しているが、イランのスパイ脅威はロシアや中国に比べ、範囲も規模もかなり狭く、洗練されていない。イランのスパイ活動の脅威はサイバー領域で顕著に現れている。なぜなら、イランにとってサイバースパイ活動は、比較的困難な活動環境のために英国内では必ずしも入手できないような情報を、より容易に入手する手段だからである。
● Offensive cyber: Iran is a “capable and aggressive cyber actor”. It uses its extensive cyber capabilities for disruptive and destructive effect, conducting operations to attack and contain Western and regional adversaries without having to resort to conventional military action. At present, it appears that the UK is not a top priority for Iran in conducting such attacks; however, this could change rapidly in response to regional or geopolitical developments. The UK must therefore both ‘raise the resilience bar’ to improve its cyber security generally, and ‘raise the cost’ to Iran of it launching a cyber-attack on the UK (for example by publicly attributing such attacks), so as to deter it from doing so.	攻撃的サイバー：イランは「有能で攻撃的なサイバー・アクター」である。イランは、その広範なサイバー能力を破壊的、破壊的効果のために利用し、通常の軍事行動に頼ることなく、欧米や地域の敵対勢力を攻撃し、封じ込める作戦を実施している。現在のところ、イランにとって英国はこのような攻撃を行う上での最優先事項ではないようだ。しかし、地域的・地政学的な進展に応じて、この状況は急速に変化する可能性がある。したがって、英国は、サイバー・セキュリティ全般を改善するために「レジリエンスの水準を高める」ことと、イランが英国にサイバー攻撃を仕掛けた場合の「代償を高める」（たとえば、そのような攻撃の原因を公にすることによって）ことで、イランによるサイバー攻撃を抑止することの双方が必要である。
● Interference: While Iran does seek to conduct political interference activity (or ‘cognitive warfare’) – and the UK is a high priority target due to its role in multilateral negotiations relating to Iran and the presence in the UK of Iranian news outlets critical of the regime – it has had a negligible effect on UK public opinion and decision-makers, including in relation to UK elections. Of greater concern are Iran’s attempts to intimidate Iranian dissidents and employees of media organisations – such as Iran International – in the UK and beyond. Some reports suggest these efforts to intimidate the regime’s perceived opponents have had a significant impact on the Iranian diaspora community in the UK. We also note that whilst the Islamic Centre of England and other cultural and educational centres supported by Iran have legitimate roles supporting the Iranian diaspora community, there are grounds to suggest that they are also being used to promote violent and extremist ideology.	干渉：イランは政治的干渉活動（または「認知戦」）を行おうとしており、イランに関連する多国間交渉において英国がその役割を担っていることや、イラン政権に批判的なイランの報道機関が英国に存在することから、英国は優先順位の高い標的となっているが、英国の選挙に関連するなど、英国の世論や意思決定者に与える影響はごくわずかである。さらに懸念されるのは、イランが英国内外のイラン人反体制派やイラン・インターナショナルなどの報道機関の従業員を脅迫しようとしていることである。政権に反対すると思われる人々を脅迫するこうした試みが、英国のイラン人ディアスポラ・コミュニティに大きな影響を与えているとの報告もある。また、英国イスラムセンター（Islamic Centre of England）をはじめ、イランが支援する文化・教育センターは、イラン・ディアスポラ・コミュニティを支援する正当な役割を担っている一方で、暴力的で過激なイデオロギーを広めるためにも利用されていると指摘する根拠がある。
● In the Middle East: British citizens, particularly dual nationals (since Iran does not recognise dual nationality), face a risk of arbitrary detention – the likelihood of which has increased since the recent protests in Iran. The UK has substantial personnel, security, maritime and commercial interests in the Middle East which are at risk from Iranian hostile activity, along with the threat of terrorism, increased migration and nuclear proliferation. There is also a threat of collateral damage to UK Armed Forces stationed in the region (resulting from misidentification or miscalculation), due to the sizeable number of personnel and their co-location with heavily targeted US forces. One of Iran’s key asymmetric capabilities is its extensive ballistic missile programme. It has a large number of short- and medium-range systems which enable it to threaten UK interests – such as deployed forces – throughout the Middle East. This missile capability has been used to target the UK’s regional allies and represents a credible threat for Western missile defences. In 2019, Iran almost certainly used missiles and drones to target Saudi Arabia’s oil infrastructure, in response to the US policy of ‘maximum pressure’. In addition, in 2020 Iran launched a ballistic missile strike against Coalition forces at the Ayn al-Asad airbase in Iraq in response to the US killing of IRGC Quds Force (IRGC-QF) Commander General Qasem Soleimani. Given the volatility of the situation and the possibility for rapid escalation, at some point it could become necessary to evacuate UK nationals in the region. The Committee notes the importance of proper preparation for a possible evacuation. ***: the Government must ensure that it has learnt the lessons from recent evacuation operations such as the withdrawal from Afghanistan.	中東：英国市民、特に二重国籍者（イランは二重国籍を認めていないため）は、恣意的な拘束のリスクに直面している。英国は中東において、イランの敵対的活動、テロリズム、移民増加、核拡散の脅威に加え、職員のセキュリティ、海洋、商業上の大きな利益を有しており、これらのリスクもある。また、この地域に駐留する英軍には、多数の要員がおり、標的の多い米軍と同居しているため、（誤認や誤算による）巻き添え被害の脅威もある。イランの重要な非対称能力の一つは、その大規模な弾道ミサイル計画である。イランは多数の短・中距離システムを保有しており、中東全域で展開部隊など英国の利益を脅かすことができる。このミサイル能力は、英国の地域同盟国を標的にするために使用されており、西側のミサイル防衛にとって信頼できる脅威である。2019年、米国の「最大限の圧力」政策に対抗して、イランがサウジアラビアの石油インフラを標的にミサイルと無人偵察機を使用したことはほぼ確実である。さらに2020年、イランは、米国によるIRGCクッズフォース（IRGC-QF）司令官カセム・ソレイマニ将軍の殺害に対抗して、イラクのアイン・アル・アサド空軍基地の連合軍に対する弾道ミサイル攻撃を開始した。情勢の不安定さと急速なエスカレーションの可能性を考慮すると、ある時点で、この地域にいる英国国民を避難させる必要が生じる可能性がある。委員会は、起こりうる避難に備えた適切な準備の重要性に留意する。***政府は、アフガニスタンからの撤退など、最近の避難活動の教訓を確実に学ばなければならない。
“The whole toolkit is in play when it comes to Iran.”	「イランに関しては、すべての手段が有効である。
11. As for the Government’s response to this multifaceted threat, the Committee welcomed the increased focus on Iran in the 2023 Integrated Review Refresh. However, it is clear that Government policy on Iran has suffered from a focus on crisis management and has been primarily driven by concerns over Iran’s nuclear programme – to the exclusion of other issues. Our External Expert witnesses criticised the Government’s approach to Iran as being insufficiently strategic and long-term. ‘Fire-fighting’ has prevented the Government from developing a real understanding of Iran and – as we have previously noted in relation to Russia and China – ‘longer-term’ must mean the next 5, 10, 20 years – not 6–12 months.	11. この多面的な脅威に対するガバナンスの対応として、委員会は、2023年統合レビュー・リフレッシュでイランに焦点が当てられたことを歓迎した。しかし、政府のイラン政策が危機管理一辺倒に陥り、イランの核開発計画への懸念が主因となって、他の問題を排除してきたことは明らかである。私たちの外部専門家証人は、政府のイランに対するアプローチは戦略的かつ長期的なものには不十分であると批判した。消火活動」は、政府がイランに対する真の理解を深めることを妨げてきた。また、ロシアや中国との関係で以前指摘したように、「長期的」とは、6～12ヶ月ではなく、5年、10年、20年先を意味しなければならない。
12. It was also not clear to the Committee that the Government’s strategies are aligned – or who is ultimately responsible. As with our previous Inquiries into state threats, the Government appears to over-complicate its structures and strategies: too much resource goes into talking and co-ordinating, at the expense of front-line action. In particular we note that, while there are Iran-specific strategies, we were told that the Government’s new CounterState Threats Strategy is apparently actor-agnostic – addressing state threat activity thematically rather than geographically. While there will be some elements of state threats which are broadly similar – and benefits to be gained from making the UK a hard operating environment, for example – there will be fundamental differences which could be overlooked. The Iranian threat is quite different in many respects, and it is essential that it receives sufficient priority and that Russia and China do not crowd out other concerns. On the same grounds, we are concerned that there have been so few National Security Council meetings on Iran.	12. 政府の戦略が一致しているのか、あるいは誰が最終的な責任を負っているのかも、委員会には明らかではなかった。国家の脅威に関するこれまでの調査と同様、政府はその構造と戦略を複雑にしすぎているように見える。特に、イランに特化した戦略がある一方で、政府の新しい「国家脅威対策戦略」は、明らかに脅威アクターにとらわれないものであり、国家脅威の活動を地理的ではなくテーマ別に扱うものであると聞いている。国家の脅威には大まかに似た要素もあるだろうし、たとえば英国をハードな活動環境にすることで得られるメリットもあるだろうが、見過ごされかねない根本的な違いもあるだろう。イランの脅威は多くの点でまったく異なるものであり、十分な優先順位を与え、ロシアと中国が他の懸念に押しつぶされないようにすることが不可欠である。同じ理由で、イランに関する国家安全保障会議の会合があまりに少ないことを懸念している。
13. Resourcing on Iran has fluctuated over the past decade, suggesting that the response to the Iranian threat has been short-termist. ***. It is important that resourcing on Iran is consistent with the threat; the Government should take a longer-term view. We also note that MI5 has still not been given the additional funding and resources for which we called in our Extreme Right-Wing Terrorism Report. Without a commensurate increase in resources, MI5 cannot be expected to absorb responsibility for an increased range of issues, without other areas of work suffering as a consequence. In this context we particularly commend MI5’s work to respond to the rise in the threat of a physical attack by Iran – thwarting at least 15 attempts at murder or kidnap against British nationals or UK-based individuals since the beginning of 2022.	13. イランに関する予算は過去10年間変動しており、イランの脅威への対応が短期主義的であったことを示唆している。***. イランに関する資金調達が脅威に見合ったものであることが重要であり、政府はより長期的な視野に立つべきである。私たちはまた、極右テロ報告書で私たちが求めた追加的な資金と資源が、MI5にはまだ与えられていないことにも注目している。それに見合ったリソースの増額がなければ、MI5が他の業務に支障をきたすことなく、より広範な問題に対する責任を吸収することは期待できない。このような観点から、我々は特に、イランによる物理的攻撃の脅威の高まりに対応するMI5の活動（2022年初頭以来、英国人または英国を拠点とする個人に対する少なくとも15の殺人・誘拐未遂を阻止）を高く評価する。
14. In the context of the finite resources allocated to addressing the wide-ranging threat posed by Iran, it is important to factor in the ‘force multiplier’ effect of the UK’s international partnerships. UK, US, * policy objectives and intelligence requirements are broadly aligned with regard to Iran, and the Agencies’ partnerships with their US * counterparts on the Iranian threat are of critical importance. The *** countries operate with an exceptionally high level of trust. This close collaboration is one of the Agencies’ greatest assets: it yields great value and lessens burdens.	14. イランによる広範な脅威への対応に割り当てられる資源は限られているため、英国の国際的なパートナーシップによる「力の乗数」効果を考慮することが重要である。イランに関しては、英国、米国、*の政策目標と情報要件はほぼ一致しており、イランの脅威に関する米国*との協力関係は極めて重要である。カ国は、極めて高い信頼関係で結ばれている。この緊密な協力関係は情報機関の最大の資産であり、大きな価値を生むとともに、負担を軽減している。
15. In terms of the level of understanding of the threat posed by Iran, the Intelligence Community have * coverage of Iran’s capability, * understanding of its intent, particularly in relation to the *. This is of the utmost concern given the potential for misunderstanding and miscalculation between Iran and Israel. Whilst the Committee acknowledges that Iran is a hard intelligence target, the Intelligence Community must continue to prioritise improving their understanding of Iran – specifically *. In terms of the Government, we note the lack of Iran-specific expertise more broadly and that there is seemingly no interest in building a future pipeline of specialists beyond mention in a ‘Strategy campaign’: as the Committee was told, “if you have people running policy in the Foreign Office who don’t speak a word of Persian, then that is a fat lot of good, to be honest”.	15. イランがもたらす脅威の理解度という点では、インテリジェンス・コミュニティは、イランの能力を*網羅し、特にとの関連において、その意図を理解している。イランとイスラエルの間に誤解と誤算が生じる可能性を考えると、これは最大の懸念事項である。当委員会は、イランが難しいインテリジェンスの標的であることを認める一方で、インテリジェンス・コミュニティは、イラン、特に*に関する理解を改善することを引き続き優先しなければならない。政府に関しては、広くイランに特化した専門知識が不足しており、「戦略キャンペーン」で言及される以上の専門家のパイプラインを将来的に構築することに関心がないように見える。
16. The Government does have key policy tools at its disposal which could be used to good effect against the state threat. We welcome the new National Security Act 2023, which will fill previous legislative gaps in tackling state threats. However, other gaps will remain unless the Official Secrets Act 1989 is reformed. The Government now appears to be backtracking on its commitment to Parliament to take this forward: this is of significant concern given the problems with the Official Secrets Acts regime.	16. ガバナンスには、国家の脅威に対して有効活用できる重要な政策手段がある。私たちは、国家の脅威に取り組む上でこれまでの立法上のギャップを埋めることになる新しい国家安全保障法2023を歓迎する。しかし、1989年に制定された国家機密法が改正されない限り、その他のギャップは残るだろう。政府は現在、これを前進させるという議会へのコミットメントを後退させているように見える。
17. There are also concerns around the Government’s response to Iran’s use of militant and terrorist organisations. The Home Office has rightly proscribed several Iran-supported groups assessed to be concerned in terrorism – such as Al-Qaeda, Hamas and Lebanese Hizbollah – but there are increasingly calls for the UK to proscribe the IRGC as a terrorist organisation. We recognise the complexities inherent in a decision as to whether or not to proscribe the IRGC. However, it appears that the Government is paralysed by the legal and practical difficulties around proscription of a state organisation – given that membership of an organisation proscribed in the UK could lead to arrest, conviction and a custodial sentence, which would apply to around a quarter of the Iranian Cabinet. The Government should fully examine whether it would be legally possible and practicable to proscribe the IRGC and, if so, what the arguments are both for and against – and make a full statement to Parliament.	17. イランによる過激派組織やテロ組織の利用に対する政府の対応にも懸念がある。内務省は、アルカイダ、ハマス、レバノンのヒズボラなど、テロリズムに関与していると評価されるイラン支援グループのいくつかを当然ながら禁止してきたが、IRGCをテロ組織として禁止するよう英国に求める声が高まっている。我々は、IRGCを登録するか否かの決定には複雑さが伴うことを認識している。しかし、政府は国家組織の登録に関する法的・実際的な難しさにとまどっているようだ。英国で登録が禁止されている組織のメンバーであれば、逮捕、有罪判決、親告罪につながる可能性があり、イラン内閣の約4分の1がこれに該当することになる。政府は、IRGCを摘発することが法的に可能かどうか、現実的に可能かどうかを十分に検討し、もし可能であれば、賛否両論がどのようなものであるかを検討し、議会に対して声明を発表すべきである。
Terminology	用語
When referring to analytical judgements from the Intelligence Community (primarily the Joint Intelligence Organisation and Defence Intelligence), the Report uses particular terminology concerning probability and analytical confidence. Terms such as ‘likely’,‘unlikely’ and ‘almost certain’ have a specific meaning and associated probability range when used in intelligence assessment. Likewise, ‘low’, ‘medium’ and ‘high’ analytical confidence have precise definitions as to the extent to which an analytical judgement is directly informed by evidence. We provide more detail on the definitions of these terms in the ‘UK Intelligence Coverage’ chapter.	インテリジェンス・コミュニティ（主に統合情報機構と国防情報局）の分析判断に言及する際、報告書は確率と分析信頼度に関する特殊な用語を使用している。可能性が高い」、「可能性は低い」、「ほぼ確実」といった用語は、インテリジェンス・アセスメントで使用される場合、特定の意味と関連する確率の範囲を持っている。同様に、「低」、「中」、「高」の分析的確信度には、分析的判断が証拠から直接知らされる範囲に関する正確な定義がある。これらの用語の定義については、「英国の諜報活動の範囲」の章で詳しく説明している。

イラン国家の目的...

OBJECTIVES OF THE IRANIAN STATE	イラン国家の目的
Overarching objectives	包括的な目的
56. Whilst the Intelligence Community observed that Iran is an “inherently unpredictable actor”, it does nevertheless have several consistent overarching objectives. The State’s primary aim is to ensure the survival and security of the Islamic Republic: this objective fundamentally determines how Iran acts, and therefore the threat it represents to the UK and its interests. As the Foreign Secretary told the Committee: “regime survival is absolutely the top priority for the [Iranian] regime; everything else is subordinate to that”.	56. インテリジェンス・コミュニティは、イランは「本質的に予測不可能な行為者」であるとしながらも、いくつかの一貫した包括的目的を持っていると述べている。国家の第一の目的は、イスラム共和国の存続と安全を確保することである。この目的は、イランがどのように行動するか、したがってイランが英国とその国益にとってどのような脅威となるかを根本的に決定する。外務大臣が委員会で述べたように「イラン）政権にとって、体制の存続は絶対に最優先事項であり、それ以外のことはすべてそれに従属する」。
57. Linked to this primary objective, in evidence to this Inquiry we were told that Iran has three key regional aims which – given the UK’s interests in the Middle East and the propensity for Iran to project threat beyond the region – clearly affect the UK:	57. この第一の目的に関連して、イランには3つの重要な地域的目標があり、それは中東における英国の利益と、イランが域外に脅威を拡散させる傾向を考慮すれば、明らかに英国に影響を及ぼすものである：
● to be a leading regional power;	地域をリードする大国になること；
● to contain perceived US and Western influence and hostility; and	米欧の影響力と敵意を封じ込めること、そして
● to protect Shi’a communities and holy sites.	シーア派のコミュニティと聖地を守ることである。
58. Our External Expert witnesses noted that it is debatable whether Iran’s objectives reflect a ‘defensive’ stance – focused on deterrence – or an ‘offensive’ perspective, focused on a desire to be an important and influential regional power. Sir Richard Dalton suggested that the Iranian regime’s objectives are in fact “both defensive and aggressive”, with both elements driving Iranian intent.	58. 我々の外部専門家の証人は、イランの目的が、抑止力に焦点を当てた「防衛」的なスタンスを反映したものなのか、それとも重要で影響力のある地域大国になりたいという願望に焦点を当てた「攻撃」的な視点によるものなのか、議論の余地があると指摘した。リチャード・ダルトン卿は、イラン政権の目的は実際には「防衛的であると同時に攻撃的」であり、その両方の要素がイランの意図を後押ししていると示唆した。
59. Our witnesses were clear that Iran is “fundamentally a rational actor”; however, it does not always appear to act in a coherent or strategic way and is prone to misunderstanding actions that others take. This means that, whilst its overarching strategic intent may be relatively well understood, its actions – for example, its operations affecting the UK – might not be so coherently and clearly aligned. As the Joint Intelligence Committee (JIC) Chair told the Committee, the possibility of Iran and the UK misunderstanding each other “can lead to things which may look irrational to people who are not following closely what is happening”.	59. イランは「基本的に理性的な行動主体」であるが、常に首尾一貫した戦略的行動をとっているようには見えず、他国の行動を誤解しがちである。つまり、イランの包括的な戦略的意図は比較的よく理解されていても、その行動、たとえば英国に影響を及ぼすような作戦は、それほど首尾一貫して明確に一致しているとは限らないのである。合同諜報委員会（JIC）の委員長が委員会で語ったように、イランと英国が互いに誤解している可能性は、「何が起きているのかよく知らない人々には不合理に見えるかもしれない」ことにつながる。
What motivates Iran?	イランを突き動かすものは何か？
60. Iran’s acute historical sense of vulnerability and its belief that it can rely only on itself for its security has shaped its key objectives and wider foreign policy. There are several other drivers for its objectives, including:	60. イランは歴史的に脆弱性を痛感しており、自国の安全保障はイラン自身にしか頼ることができないという信念が、イランの主要な目標と広範な外交政策を形成してきた。イランの目的には、他にも以下のようないくつかの要因がある：
● a history of perceived foreign interference in Iran;	イランに対する外国からの干渉の歴史；
● Iran’s revolutionary ‘anti-imperialist’ ideology;	イランの革命的「反帝国主義」イデオロギー；
● Iran’s historical sense of regional importance;	イランの歴史的な地域的重要性；
● Israel and the West’s military superiority;	イスラエルと欧米の軍事的優位性；
● Iran’s fear of Western encirclement; and	欧米の包囲網に対するイランの恐れ
● in particular, the formative experience of the Iran–Iraq War.	特に、イラン・イラク戦争の形成的経験。
Iran–Iraq War (1980–1988)	イラン・イラク戦争（1980～1988年）
Starting just after the Iranian Revolution (1979), Iran’s experience of the Iran–Iraq War has an “important place in the Iranian psyche”. As Professor Ehteshami described, the war “shaped [the Iranian] world view on so many levels”.	イラン革命（1979年）直後に始まったイラン・イラク戦争の経験は、「イランの精神において重要な位置を占めている」。エテシャミ教授が述べたように、この戦争は「非常に多くのレベルで（イランの）世界観を形成した」。
Whilst the figures are hard to verify, Iran reportedly suffered at least a million casualties in the war (and at least 300,000 died). The war decimated Iran’s economy and infrastructure, costing as much as US$645 billion. Many of those who fought in the war – such as Islamic Revolutionary Guard Corps (IRGC) officers – hold senior positions in the Iranian regime.	数字を確認するのは難しいが、イランはこの戦争で少なくとも100万人の死傷者を出したと言われている（少なくとも30万人が死亡）。戦争はイランの経済とインフラを壊滅させ、6450億米ドルもの損害を与えた。イスラム革命防衛隊（IRGC）将校など、この戦争で戦った人々の多くがイラン政権の要職に就いている。
The academic Michael Axworthy explained that for many Iranians, the successful defence of Iran from Saddam Hussein’s invasion is a matter of pride, reflecting a shift in the perception of its history from one of “foreign interference and foreign domination … [to a country which had] set up its own government by its own efforts, had rejected foreign meddling and foreign threats, had defended itself for eight years despite great suffering against tough odds”.41	学者のマイケル・アクスワーシーは、多くのイラン国民にとって、サダム・フセインの侵攻からイランを守り抜いたことは誇りであり、「外国からの干渉と外国による支配......（から、）自らの努力によって自国の政府を樹立し、外国からの干渉と外国からの脅威を拒絶し、厳しい逆境に苦しみながらも8年間自国を守り抜いた国」という歴史認識の変化を反映していると説明している41。
The war fostered a feeling of increased isolationism, insecurity and strategic solitude amongst the leaders of the Iranian regime, and a sense that Iran was surrounded by enemies, with no natural allies to guarantee its security – particularly as Western and most Arab states supported Saddam Hussein’s efforts to contain Iran’s Revolution. As Professor Ehteshami told us: “[the Iranians] saw that they were completely alone when aggression took place … they felt they were being punished for the Revolution”.	戦争は、イラン政権の指導者たちの間に孤立主義、不安、戦略的孤独感を強め、イランは敵に囲まれており、イランの安全を保証する自然な味方はいないという感覚を醸成した。エテシャミ教授が語ったように「イラン人は）侵略が起こったとき、自分たちが完全に孤独であることを知った......自分たちは革命のために罰せられているのだと感じた」。
The Intelligence Community explained that the big lesson that the Iranian state took from the Iran–Iraq War was that “when the chips are down, people will support anybody, including Saddam Hussein, rather than Iran and therefore we [Iran] have to have the means of protecting our country in our own hands … we need to have hard power to protect Iran”.	諜報機関は、イラン・イラク戦争からイラン政府が得た大きな教訓は、「危機的状況に陥ると、人々はイランではなく、サダム・フセインを含む誰であれ支持する。したがって、私たち（イラン）は自国の防衛手段を自らの手に握らなければならない…イランを守るためのハードパワーが必要だ」ということだと説明した。
This experience also served to foster the Iranian regime’s “deep distrust of international law and institutions”,44 particularly given the perceived reluctance of the United Nations (UN) to intervene in the war.	この経験はまた、イラン政権の「国際法と機構に対する深い不信」44 を助長することになった。特に、国連（UN）が戦争への介入に消極的であると認識されていたことを考えればなおさらである。
(i) Survival of the regime	(i) 政権の存続
61. As noted already, the regime’s overarching priority is to maintain and protect the Islamic Republic. This – directly or indirectly – shapes all state policy, as the Intelligence Community explained:	61. すでに述べたように、政権の包括的な優先事項は、イスラム共和国の維持と保護である。インテリジェンス・コミュニティが説明したように、このことが、直接的または間接的に、すべての国家政策を形作っている：
The overriding objective of the Iranian regime is to preserve the Islamic Republic. That is the mission of the IRGC … [and] the Supreme Leader … and of course that means it is not simply a matter of the physical safety of Iran, it is also preserving the regime, including its religious roots and its overall ethos, and in that respect Iran regards itself as being surrounded by dangerous enemies who wish to achieve regime change.45	イラン政権の最優先の目的は、イスラム共和国を維持することである。それはもちろん、単にイランの物理的な安全の問題ではなく、宗教的なルーツや全体的なエートスを含む体制の維持であり、その点で、イランは自らを体制転換を望む危険な敵に囲まれているとみなしている45。
62. This view was consistent with that of our External Expert witnesses. Sir Richard Dalton described regime survival as the “predominant characteristic in the mindset of the rulers of Iran”.46 Dr Sanam Vakil, Director, Middle East and North Africa Programme, Chatham House, agreed, stating that “the Islamic Republic is driven, above all, by its need for security and stability [with Iran’s leadership] … looking not only to preserve the Islamic Republic but preserve their place in the Islamic Republic”.47	62. この見解は、我々の外部専門家証人の見解と一致していた。チャタムハウスの中東・北アフリカプログラム・ディレクターであるサナム・ヴァキル博士もこれに同意し、「イスラム共和国は、何よりも安全と安定の必要性によって動かされており、（イランの指導者たちは）イスラム共和国を維持するだけでなく、イスラム共和国の中での自分たちの地位を維持しようとしている」と述べている47。
63. This overarching priority completely underpins the regime’s other domestic and foreign policy objectives. It provides the driver for the security apparatus’s efforts to stifle domestic and international criticism. It also explains the development of a nuclear programme and the aspiration to become a leading regional power.	63. この包括的な優先事項は、政権の他の内政・外交目標を完全に支えている。国内外からの批判を封じ込めようとする治安当局の努力の原動力となっている。また、核開発計画や、地域をリードする大国となることを熱望する理由にもなっている。
64. According to our External Experts, it also means that the Iranian leadership is “much more of a flexible, pragmatic … regime in order to survive, rather than an ideological rigid structure”.48 It is driven more by opportunism than ideology. For example, Sir Richard Dalton described the Iranian regime’s “transactional nature of doing business bilaterally with countries … they will help you if you help them”. This flexible, pragmatic, opportunistic approach is also reflected in Iran’s relationship with other states and actors that are either ideologically opposed to them (such as Al-Qaeda) or with whom they share a turbulent history (such as Russia).	64. イラン指導部は、イデオロギーに基づく硬直的な体制というよりも、「生き残るために柔軟で実利的な......体制をとっている」48。たとえば、リチャード・ダルトン卿は、イラン政権の「国々と二国間でビジネスを行う取引主義的な性質......あなたが彼らを助けるなら、彼らはあなたを助けるだろう」と述べている。この柔軟で実利的、日和見的なアプローチは、イランとイデオロギー的に対立する（アルカイダなど）、あるいは激動の歴史を共有する（ロシアなど）他の国家やアクターとの関係にも反映されている。
(ii) Aspirations to be a leading regional power	(ii) 地域をリードする大国への憧れ
65. The Intelligence Community told the Committee that it is highly likely that Iran aspires to be a leading power in the region, capable of deterring and withstanding threats from key regional rivals such as Israel and Saudi Arabia. Several of our External Expert witnesses agreed. Professor Ansari suggested that “the strategic goal of most of the Iranian states in the modern era has been … great power status”, and Professor Ehteshami noted that Iran increasingly thinks about its “sphere of influence”.	65. インテリジェンス・コミュニティは、イランがイスラエルやサウジアラビアといった地域の主要なライバルからの脅威を抑止し、それに耐えることのできる、この地域をリードする大国になることを熱望している可能性が高いと委員会に述べた。私たちの外部専門家証人の何人かは、これに同意した。アンサリ教授は、「現代におけるイラン国家のほとんどの戦略目標は、・・・大国としての地位」であり、エテシャミ教授は、イランはますます「影響圏」について考えるようになっていると指摘した。
66. Iran’s historical sense of its regional importance is a key driver behind this objective. Our External Experts referred to the Iranian perception of being an ancient and great civilisation rather than just a state. Sir Richard Dalton stated that this translates into an “intense pride and nationalism … [a] desire for power in the region and a desire to influence what happens in neighbouring countries”.	66. イランの歴史的な地域的重要性に対する意識が、この輸入事業者の重要な原動力となっている。我々の外部専門家は、イランが単なる国家ではなく、古代の偉大な文明であるという認識について言及した。リチャード・ダルトン卿は、これが「強烈な誇りとナショナリズム......（地域における）権力への欲望、近隣諸国で起きていることに影響を与えたいという欲望」につながっていると述べている。
67. In addition to this more ‘aggressive’ desire to expand regional influence, Iran’s aspiration to be a leading regional power is also linked to more ‘defensive’ motivations. These are driven by the Iranian regime’s belief that Western powers have continually sought to interfere in Iranian affairs going back to the 19th century, concern around being surrounded by better-equipped adversaries, and the need to deter adversaries from attacking Iran (drivers, at least partly, borne of Iran’s experience of the Iran–Iraq War).	67. 地域の影響力を拡大したいという、より「攻撃的」な願望に加え、イランが地域をリードする大国になりたいという願望は、より「防衛的」な動機とも結びついている。その背景には、欧米列強が19世紀まで遡ってイラン問題への干渉を継続的に試みてきたというイラン政権の信念、より設備の整った敵対勢力に包囲されることへの懸念、敵対勢力によるイラン攻撃を抑止する必要性（少なくとも部分的には、イラン・イラク戦争でのイランの経験に由来する）などがある。
(iii) Containing perceived Western influence and hostility	(iii) 西洋の影響力と敵意に対する認識の抑制
68. Whilst Iran’s regional objective to contain perceived Western influence and hostility is particularly aimed at the US, Israel and Saudi Arabia, it is clearly also directed towards the UK. This desire to resist the West is also a key pillar of regime legitimacy, motivated by Iran’s heightened fear of being encircled by militarily superior Western and regional adversaries. The Intelligence Community explained:	68. 西側の影響力と敵意を封じ込めようというイランの地域的目標は、特にアメリカ、イスラエル、サウジアラビアに向けられたものであるが、明らかにイギリスにも向けられている。このような西側諸国への抵抗という願望は、イランが軍事的に優れた西側諸国や地域の敵対勢力に包囲されることへの恐怖を高めていることが動機となっており、政権の正統性の重要な柱にもなっている。インテリジェンス・コミュニティはこう説明する：
when they look to the west, they see Iraq, a country which was invaded by the Americans and was the source of the great patriotic war for Iran in the late 1980s … to the east they see [Afghanistan] with an extreme form of [Sunni] government, which they also regard as posing a potential threat to them … to the south, they see a range of Gulf monarchies and states who they regard as being fundamentally hostile to their interests and to the north, they see a Caucasus which is unstable and where, with some governments, such as Azerbaijan, they have a very difficult relationship. So there is that sense of feeling encircled, and then over the horizon you have the United States in particular exerting influence into the region, a country which they regard as being fundamentally determined to topple the Iranian regime … and then also Israel … [whom] they see as posing a significant threat to their interests.	西に目を向けると、アメリカによって侵略され、1980年代後半にイランにとって偉大な愛国戦争の源となったイラクがある......東に目を向けると、極端な形の［スンニ派］政権を擁する［アフガニスタン］があり、南には、湾岸諸国の君主国や、自分たちの利益に基本的に敵対する国家があり、北には、不安定なコーカサス地方があり、アゼルバイジャンなど一部の政府とは非常に難しい関係にある。そして地平線の向こうには、特にこの地域に影響力を行使している米国がある。米国は、イラン政権を打倒することを基本的に決定しているとみなし、さらにイスラエルも......自国の利益に重大な脅威を与えているとみなしている。
69. This fear has strengthened over the last few years due to several geopolitical developments, including: the US killing of IRGC Quds Force (IRGC-QF) Commander General Qasem Soleimani; Israel’s attacks on Iranian nuclear facilities and oil shipments; and the normalisation of relations between Israel and several Gulf states (known as the ‘Abraham Accords’).	69. 米国によるイラン国防軍クード部隊（IRGC-QF）司令官カセム・ソレイマニ将軍の殺害、イスラエルによるイラン核施設と石油輸送への攻撃、イスラエルと湾岸諸国との関係正常化（「アブラハム合意」として知られる）など、いくつかの地政学的な進展により、この恐怖はここ数年で強まった。
70. Nevertheless, at the time of writing, it appears highly likely that Iran wants to avoid a full-scale conflict, aiming instead to contain its main adversaries. As Sir Richard Dalton explained, Iran wishes to “keep the United States at bay … they want to challenge the United States and show strength in order to do that but they want to avoid inter-state war. They know they would come off worst”.54 Similarly, he noted that whilst Iran maintains an ideological, religion-based hostility to Israel, the fear of causing an extended conflict within Iran’s borders means that thus far there has been relatively little retaliation to Israeli attacks on Iranian assets.	70. とはいえ、本稿執筆時点では、イランは全面的な衝突を避け、その代わりに主要な敵対勢力を封じ込めることを望んでいる可能性が高い。リチャード・ダルトン卿が説明したように、イランは「米国を寄せ付けないようにしたい......そのためには米国に挑戦し、力を示したいが、国家間の戦争は避けたい。同様に、イランはイスラエルに対してイデオロギー的、宗教的な敵意を抱いているが、イラン国内で紛争が拡大することを恐れているため、イランの資産に対するイスラエルの攻撃に対する報復はこれまで比較的少なかったとダルトン卿は指摘する。
71. Professor Ehteshami described this deterrence approach as a policy of ‘strategic depth’: avoiding direct extended conflict with superior conventional powers – such as Israel – by creating buffer areas of influence, and ensuring Iran does not fight battles within its own borders. He told the Committee:	71. エテシャミ教授は、この抑止のアプローチを「戦略的深化」の政策と説明した。すなわち、影響力の緩衝地帯を作ることで、イスラエルのような優れた通常兵器保有国との直接的な長期紛争を回避し、イランが国境内で戦闘を行わないようにするのである。彼は委員会でこう語った：
That is why Syria … matters to them. That is why open access from Iranian territory to the Mediterranean matters to them. It is all about not just [the] sphere of influence but about strategic depth, that we [Iran] can do all of our deterring and fighting somewhere else so that our weaknesses are not exposed and we play into our strengths.55	だからシリアは彼らにとって重要なのだ。イランの領土から地中海への開放的なアクセスが彼らにとって重要なのはそのためだ。つまり、抑止と戦闘をすべて別の場所で行うことで、イランの弱点が露呈せず、強みを発揮できるようにするのである55。
72. Despite Iran’s wish to avoid a full inter-state conflict, the Committee was told that, where possible, Iran favours proportionality in relation to conflict, responding in a similar way to which it perceives it has been targeted. In other words, it seeks to maintain ‘escalation dominance’, always aiming to be in a position in which it is able to escalate hostilities – as that acts as a deterrent to its opponents.56 It believes that its adversaries would otherwise exploit any perceived weaknesses which could act to undermine domestic support for the regime. As the JIC Chair explained:	72. 完全な国家間紛争を避けたいというイランの希望にもかかわらず、委員会は、可能な限り、イランは紛争に関連して比例性を好み、自国が標的にされたと認識するのと同様の方法で対応すると聞いた。言い換えれば、イランは「エスカレーション優位」を維持しようと努めており、敵対行為をエスカレートさせることができる状態に常にあることを目指している。JIC委員長が説明する：
Iran thinks that it protects itself by what we would describe … as ‘forward defence’. They believe they have to be aggressive, that they cannot show weakness, because that would be exploited and therefore any provocation against Iran must be answered, partly so they show strength to their own people but partly to the outside world.	イランは、われわれが言うところの『前方防衛』によって自国を守っていると考えている。イランは、攻撃的でなければならない、弱さを見せることはできない、それは悪用されるからだ、だからイランに対するいかなる挑発にも答えなければならない、それは自国民に強さを示すためでもあるが、外部世界に対してでもある。
SIS agreed:	SISもそれに同意した：
What is always true of the Iranians is that, if we do something to them which they regard as antagonistic, they will bite back … you always have to know that if you up the ante, the Iranians, who have a very high risk threshold, will try and do it.59	イラン人について常に言えることは、我々がイランに対して敵対的とみなされるようなことをすれば、イラン人は反撃に出るということである。
73. However, a symmetrical response to conflict is not always achievable or pragmatic – particularly given the military superiority of some of Iran’s adversaries. Iran – driven by its isolation and technological inferiority – has therefore focused on the development of niche conventional and ‘asymmetric’ capabilities as well as a regional network of aligned militant and terrorist organisations in order to deter potential aggressors.	73. しかし、紛争に対する対称的な対応は、常に実現可能で現実的であるとは限らない。そのためイランは、孤立と技術的劣勢を背景に、潜在的な侵略者を抑止するために、ニッチな通常戦力と「非対称」戦力の開発、および連携する過激派組織とテロ組織の地域的ネットワークの構築に注力してきた。
(iv) Protection of Shi’a communities and sites across the region	(iv) 地域全体のシーア派コミュニティと遺跡の防御
74. Iran is a Shi’a-majority state in a region of largely Sunni-majority countries and, as such, the Iranian state is a “self-declared defender of Shi’a causes” (particularly since the Iranian Revolution of 1979), helping to correct what it perceives as the subordination of the Shi’a community. Iran has therefore supported demands for political reform in Bahrain (a state with a Shi’a majority and Sunni ruling monarchy), and criticised Saudi Arabia for its treatment of its Shi’a minority.	74. イランは、スンニ派が多数を占める地域のシーア派国家であり、イラン国家は（特に1979年のイラン革命以来）「シーア派の大義の自称擁護者」であり、シーア派共同体の従属を是正することに貢献している。そのためイランは、バーレーン（シーア派が多数を占め、スンニ派が君主制をとる国家）の政治改革要求を支持し、サウジアラビアの少数シーア派に対する扱いを批判している。
75. This helps to explain Iran’s attempts to defeat Sunni extremism, most notably its fight against the terrorist organisation, the ‘Islamic State’, when it conquered swathes of territory in neighbouring Iraq in 2014. Nevertheless, as noted above, Iran’s actions appear to be motivated not only by religious ideology but also by geopolitical pragmatism and the overriding objective of maintaining the safety and security of the regime. This demonstrates why it fought Islamic State – representing a serious threat at its borders – whilst at the same time maintaining a relationship with other Sunni extremist groups, such as Al-Qaeda.	75. このことは、イランがスンニ派過激主義を打ち負かそうとしていること、とりわけ2014年に隣国イラクの広大な領土を征服したテロ組織「イスラム国」との戦いを説明するのに役立つ。とはいえ、前述したように、イランの行動は宗教的イデオロギーだけでなく、地政学的プラグマティズムや、政権の安全と治安の維持という最優先の目的にも突き動かされているように見える。このことは、国境における深刻な脅威の代表者であるイスラム国と戦う一方で、アルカイダなど他のスンニ派過激派組織との関係を維持している理由を示している。
76. The importance of religion as a motivator in Iran is therefore a complex question. As the JIC Chair explained:	76. したがって、イランにおける宗教の重要性は複雑な問題である。JIC委員長の説明によれば
I personally think it is outdated to think of Iran as a theocracy. It is much closer to a ‘securitocracy’ than it is to a theocracy. Religion is a very important binding factor … which provides motivation through the Supreme Leader and that sense of Shi’a identity which is extremely important to the Islamic Republic but it is not the primary motivator of what they do.	個人的には、イランを神権政治と考えるのは時代遅れだと思う。イランは神権政治というよりも、『安全保障政治』に近い。宗教は非常に重要な束縛要因である......イスラム共和国にとって非常に重要な最高指導者やシーア派のアイデンティティ意識を通じて動機づけを与えるが、それが彼らの行動の主要な動機となっているわけではない。
(v) Ideological opposition to Israel	(v) イスラエルに対するイデオロギー的反対
77. Iran’s fierce opposition to Israel is an important part of the Iranian regime’s identity. It regards Israel as its “nemesis” and it is a topic on which it is continually focused. As Professor Ehteshami noted:	77. イランのイスラエルに対する激しい反発は、イラン政権のアイデンティティの重要な部分である。イランはイスラエルを「宿敵」とみなしており、常にイスラエルに焦点をあてている。エテシャミ教授が指摘するように
anti-Zionism has now become part of their DNA … it is partly because it was one of the Revolution’s narratives … they have continued to maintain this line that … the state of Israel founded on Zionism, does not have a legitimacy in the region … [and whilst former Iranian Presidents] Rafsanjani [and] … Khatami tried to dilute it … the Leader, for his own reasons and identity is so wedded to this that it is almost impossible for anyone … as far as he is alive, to challenge this as a modus operandi of the regime.	反シオニズムは今や彼らのDNAの一部となっている......それは、革命の物語のひとつであったからでもある......彼らは、シオニズムに基づいて建国されたイスラエル国家は、この地域では正当性を持たないという路線を維持し続けてきた......。[イランのラフサンジャニ前大統領やハタミ前大統領はこれを薄めようとしたが......指導者は、自分自身の理由とアイデンティティのために、この路線に固執している。
78. Iran’s animosity towards Israel is also motivated by the need to maintain the safety and security of the regime and contain regional adversaries. As the JIC Chair said, whilst religion is a factor in this animosity, it is “much more because they perceive Israel as a country which is set on toppling the Islamic Republic, or … is prepared to defend its own territory in a way which Iran will find aggressive”.	78. イランのイスラエルに対する反感は、体制の安全と治安を維持し、地域の敵対勢力を封じ込める必要性にも突き動かされている。JIC議長が述べたように、この反感は宗教も一因ではあるが、「それ以上に、イスラエルをイスラム共和国打倒を企む国、あるいは......イランが攻撃的と感じるような方法で自国の領土を守る用意のある国として認識しているため」である。
(vi) Economic growth	(vi) 経済成長
79. The Intelligence Community consider the Iranian economy to represent a “headache to be managed rather than an imminent threat to regime survival”. Dr Vakil agreed, asserting that Iran is not driven by economic objectives: “I don’t think that there are economic objectives involved for the Islamic Republic; there are only security objectives”.	79. インテリジェンス・コミュニティは、イラン経済を「政権存続への差し迫った脅威というよりも、むしろ管理すべき頭痛の種」と考えている。ヴァキル博士もこれに同意し、イランは経済的な目的によって動いているのではないと主張した：「イスラム共和国に経済的な目的があるとは思えない。
80. Nevertheless, the domestic economy is clearly of importance to Iran. The combined effect of international sanctions and years of economic mismanagement have harmed the Iranian economy. As a result, some Iranian politicians believe it needs at least some sanctions relief to safeguard the regime’s long-term future, even though they may not believe that Iran’s weak economy is an immediate threat to the regime.	80. とはいえ、イランにとって国内経済が重要であることは明らかだ。国際的な制裁と長年の経済失政が相まって、イラン経済は打撃を受けている。その結果、イランの政治家の中には、イラン経済の弱体化が政権にとって差し迫った脅威だとは考えていなくても、政権の長期的な将来を守るためには、少なくとも制裁緩和が必要だと考えている者もいる。
81. Driven by its desire for sanctions relief, it is highly likely in the medium-to-long term that the Iranian regime will seek to boost domestic production and strengthen trade ties with neighbours and eastern countries such as India and China. Sir Richard Dalton said that due to Iran’s inability to trade in Europe, Iran has “turned increasingly to people willing to trade with them who tend to be further east. So development of those strategic relationships, those comprehensive agreements with Russia and China, are front and centre”.	81. 制裁緩和を望むイラン政府は、中長期的には、国内生産を拡大し、近隣諸国やインド、中国などの東側諸国との貿易関係を強化しようとする可能性が高い。リチャード・ダルトン卿は、イランがヨーロッパで貿易ができないため、イランは「より東に位置する貿易相手国にますます目を向けている」と述べた。そのため、ロシアや中国との戦略的関係、包括的協定の発展が最重要課題となっている」と述べた。
82. We questioned whether Iran’s economy has any bearing on the threat posed by Iran to the UK. The Intelligence Community told the Committee that there was “no visible direct link” as Iran’s main priority is the survival of the regime. Nonetheless, it appears that there may still be an indirect connection. For example, in relation to the recent domestic protests in Iran, following the death in police custody of Mahsa Amini, the JIC Chair noted: “some of the unrest which we have seen in Iran over the last 12 months has partly an economic angle to it and that has actually stimulated more aggression by the Iranian security services”.	82. 我々は、イランの経済が、イランが英国にもたらす脅威と関係があるのかどうか質問した。インテリジェンス・コミュニティは委員会に対し、イランの主な優先事項は体制の存続であるため、「目に見える直接的なつながりはない」と述べた。とはいえ、間接的なつながりはあるようだ。たとえば、マフサ・アミニが警察に拘束中に死亡した後の最近のイラン国内の抗議行動に関して、JIC委員長は次のように指摘した：「この12ヵ月間にイランで見られた騒乱には、経済的な側面もあり、それがイラン治安当局の攻撃性を高めている」と述べている。
F. The Iranian regime’s fundamental objective is to ensure the survival and security of the Islamic Republic: it has an acute historical sense of vulnerability. This shapes – directly or indirectly – all of its actions. This focus on survival means Iran is a pragmatic actor, often driven more by opportunism than ideology (more ‘securitocracy’ than theocracy).	F. イラン政権の基本的な目的は、イスラム共和国の存続と安全を確保することである。このことが、直接的または間接的に、イランのすべての行動を形作っている。生存を重視するということは、イランが実利的な行為者であり、しばしばイデオロギーよりも日和見主義によって動くことを意味する（神権政治というよりは「安全保障政治」）。
G. The Iranian regime has three key regional aims: to be a leading regional power; to contain perceived US and Western influence and hostility; and to protect Shi’a communities and holy sites.	G.イラン政権には、地域をリードする大国となること、米国や欧米の影響力や敵意を封じ込めること、シーア派社会と聖地を守ること、という3つの重要な地域目標がある。
H. Whilst Iran favours proportionality in relation to conflict, this is not always achievable or pragmatic as it wants to avoid a full-scale war. It therefore has focused on the development of ‘asymmetric’ capabilities and a network of aligned militant and terrorist organisations across the Middle East to spread influence and deter potential aggressors.	H. H.イランは紛争に比例することを好むが、全面的な戦争は避けたいため、これは常に達成可能で現実的なものではない。そのためイランは、中東全域に影響力を広げ、潜在的な侵略者を抑止するために、「非対称」能力の開発と、連携した過激派組織やテロ組織のネットワークに重点を置いてきた。
I. Iran also maintains a fierce ideological, religion-based hostility to Israel, regarding it as its arch enemy. The Supreme Leader is so wedded to this narrative – from the Revolution – that it is now part of the Iranian regime’s DNA.	I. イランはまた、イスラエルを宿敵とみなし、イデオロギーと宗教に基づく激しい敵意を維持している。最高指導者は、革命以来、この物語に固執しており、今やイラン政権のDNAの一部となっている。
J. Iran is motivated by both defensive and offensive considerations. Much of Iran’s foreign policy – and the threat it represents to the UK – is borne of a historical sense of its regional importance, a fear of encirclement by better-equipped Western adversaries, a history of perceived foreign interference in Iran, and the formative experience of the Iran–Iraq War.	J. イランは防衛的、攻撃的両方の考慮によって動機づけられている。イランの外交政策の多く、そしてイランが英国に示す脅威は、地域の重要性に対する歴史的な認識、より優れた装備を持つ欧米の敵対勢力による包囲への恐怖、イランに対する外国からの干渉と認識された歴史、イラン・イラク戦争の形成的な経験から生まれたものである。
K. While Iran is fundamentally a rational actor, it does not always appear to act in a coherent way and is prone to misunderstanding actions that others take.	K. イランは基本的に理性的な行動主体であるが、常に首尾一貫した行動をとっているようには見えず、他国の行動を誤解しやすい。

サイバー関連の脅威...

↓

Continue reading "英国議会情報・安全保障委員会英国に対するイランの脅威と英国の対応について調査した「イラン」報告書を議会に提出（2025.07.10）"

2025.07.27 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.26

CRYPTREC Report 2024 (2025.07.22)

こんにちは、丸山満彦です。

CRYPTREC Report 2024が公開されていますね...

● CRYPTREC

・2025.07.22 CRYPTREC Report 2024の公開

・・[PDF] CRYPTREC Report 2024 暗号技術評価委員会報告

目次...

はじめに
本報告書の利用にあたって委員会構成
委員名簿

第 1 章活動の目的
1.1 電子政府システムの安全性確保
1.2 暗号技術評価委員会
1.3 CRYPTREC 暗号リスト
1.4 活動の方針

第 2 章委員会の活動
2.1 監視活動報告
2.1.1 公開伴暗号に関する安全性評価について
2.1.2 共通伴暗号に関する安全性評価について
2.1.3 その他注視すべき技術動向
2.2 注意喚起レポートについて
2.3 仕様書の参照先の変更について
2.4 学会等情報収集記録
2.4.1 公開伴暗号の解読技術
2.4.2 共通伴暗号の解読技術
2.4.3 その他の解読技術
2.5 量子コンピュータが共通伴暗号の安全性に及ぼす影響の調査及び評価
2.5.1 実施概要
2.5.2 調査結果の概要
2.5.3 2019 年度外部評価報告書における結論との差異
2.5.4 外部評価報告書に対する暗号技術評価委員会の見解
2.6 委員会開催記録
2.7 暗号技術調査ワーキンググループ開催記録

第 3 章暗号技術調査 WG（耐量子計算機暗号）の活動
3.1 2023 年度暗号技術調査 WG（耐量子計算機暗号）活動経緯と活動内容の概要
3.2 耐量子計算機暗号ガイドラインの作成
3.2.1 スケジュール（2023 年度第 1 回暗号技術評価委員会で承認）
3.2.2 2023 年度第 1 回 WG（9/13）での実施内容及び決定事項
3.2.3 2023 年度第 2 回 WG（2024/1/19）での実施内容及び決定事項
3.2.4 2024 年度第 1 回 WG（2024/7/26）での実施内容及び決定事項
3.2.5 2024 年度第 2 回 WG（2025/2/3）での実施内容及び決定事項
3.2.6 2024 年度メール審議（2025/2/3～）実施内容及び決定事項
3.3 「素因数分解の困難性に関する計算量評価」、「楕円曲線上の離散対数計算の困難性に関する計算量評価」の予測図の更新

付録 A 電子政府における調達のために参照すべき暗号のリスト（CRYPTREC 暗号リスト）

付録 B CRYPTREC 暗号リスト掲載暗号技術の仕様参照先・問い合わせ先一覧
B.1 電子政府推奨暗号リスト
B.2 推奨候補暗号リスト
B.3 運用監視暗号リスト

付録 C 量子コンピュータが共通伴暗号の安全性に及ぼす影響の調査及び評価

付録 D 学会等での主要論文一覧
D.1 暗号技術の安全性評価に関する論文一覧
D.2 FSE 2024
D.3 Eurocrypt 2024
D.4 PKC 2024
D.5 PQCrypto 2024
D.6 Crypto 2024
D.7 CHES 2024
D.8 TCC 2024
D.9 Asiacrypt 2024

・・[PDF] CRYPTREC Report 2024 暗号技術活用委員会報告

目次...

はじめに
本報告書の利用にあたって
委員会構成

第 1 章 2024 年度活動内容
1.1. 活動内容
1.2. 開催状況

第 2 章成果概要
2.1. 暗号鍵管理ガイダンスの拡充
2.2. クラウドにおける鍵管理ガイダンスの検討

第 3 章今後に向けて
2024 年度暗号鍵管理ガイダンス WG 活動報告

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.05.28 CRYPTREC 暗号技術検討会 2024年度報告書 (2025.05.26)

・2025.04.03 CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）2024年度版、耐量子計算機暗号の研究動向調査報告書 (2025.04.02)

Continue reading "CRYPTREC Report 2024 (2025.07.22)"

2025.07.26 00:00 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

総務省令和7年版情報通信白書 (2025.07.08)

こんにちは、丸山満彦です。

総務省から令和7年版情報通信白書が公表されていますよね...

● 総務省

・2025.07.08 令和7年「情報通信に関する現状報告」（令和7年版情報通信白書）の公表

・情報通信白書

本文等...

　情報通信白書令和7年版概要

　情報通信白書令和7年版インフォグラフィック

　情報通信白書令和7年版データ集
（データ集のみ先行公開。HTML版は準備中。）

　情報通信白書令和7年版 PDF版

本文の目次のようなもの

・[PDF] 全体版

令和7年版　情報通信白書の概要
本編
本編目次
第Ⅰ部	特集　広がりゆく「社会基盤」としてのデジタル	第Ⅱ部	情報通信分野の現状と課題
第1章	「社会基盤」としてのデジタルの浸透・拡大と動向	第1章	ICT市場の動向	第2章	総務省におけるICT政策の取組状況
第1節	社会基盤的機能を発揮するデジタル領域の拡大	第1節	ICT産業の動向	第1節	総合的なICT政策の推進
第2節	AIの爆発的な進展の動向	第2節	電気通信分野の動向	第2節	電気通信事業政策の動向
第3節	デジタル分野における海外事業者の台頭と我が国の現状	第3節	放送・コンテンツ分野の動向	第3節	電波政策の動向
第4節	世界情勢・自然環境・社会の変化と今後のデジタル社会の見通し	第4節	我が国の電波の利用状況	第4節	放送政策の動向
第2章	進展するデジタルがもたらす課題	第5節	国内外におけるICT機器・端末関連の動向	第5節	サイバーセキュリティ政策の動向
第1節	デジタル社会を支える信頼性のあるデジタル基盤の確保	第6節	プラットフォームの動向	第6節	ICT利活用の推進
第2節	AIの進展に伴う新たな課題	第7節	ICTサービス及びコンテンツ・アプリケーションサービス市場の動向	第7節	ICT技術政策の動向
第3節	インターネット上の偽・誤情報等への対応	第8節	データセンター市場及びクラウドサービス市場の動向	第8節	ICT国際戦略の推進
第4節	サイバーセキュリティ	第9節	AIの動向	政策フォーカス	グローバルな経済安全保障の確保に向けて
第3章	進展するデジタルによる社会課題解決に向けて	第10節	サイバーセキュリティの動向	第9節	郵政行政の推進
第1節	我が国の経済活性化・経済成長	第11節	デジタル活用の動向
第2節	地方創生	コラム	2024年1月に発生した石川県能登地方の地震におけるデジタル活用動向
第3節	激甚化する災害への対応	第12節	郵政事業・信書便事業の動向

資料編

付注

世界のサイバーセキュリティの市場

2024年には前年同期比9.7%増加の867億ドル

2. 世界のサイバーセキュリティ主要事業者

2023年の国内の情報セキュリティ製品市場（売上高）は、前年比12.0％増の5,574億400万円

国内5,574億円のうち、ソフトウェアは約90％、アプライアンスは10%

セキュリティ製品の機能市場セグメント別では、エンドポイントセキュリティソフトウェアやネットワークセキュリティソフトウェアなどを含む、セキュリティソフトウェア市場の2023年の売上額が4,965億1,100万円で全体の89.1％を占め、コンテンツ管理、UTMやVPNなどを含むセキュリ
ティアプライアンス市場は608億9,300万円で全体の10.9％となった。

7. 企業における情報通信ネットワーク利用の際のセキュリティ侵害（複数回答）

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.13 総務省令和6年版情報通信白書 (2024.07.05)

2025.07.26 00:00 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

2025.07.25

米国 NIST SP 800-88 Rev. 2 (初期公開ドラフト) 媒体のサニタイズに関するガイドライン (2025.07.21)

こんにちは、丸山満彦です。

NISTがSP 800-88 Rev. 2 (初期公開ドラフト) 媒体のサニタイズに関するガイドラインを公開し、意見募集をしていますね...

個人情報保護法が施行された当時、データのサニタイズについて、いろいろと議論があったようにも思いますが、改訂に向けての意見募集ということで、参考になることも多いかもですね...

● NIST - ITL

・2025.07.21 NIST SP 800-88 Rev. 2 (Initial Public Draft) Guidelines for Media Sanitization

NIST SP 800-88 Rev. 2 (Initial Public Draft) Guidelines for Media Sanitization	NIST SP 800-88 Rev. 2 (初期公開ドラフト) 媒体のサニタイズに関するガイドライン
Announcement	発表
Sanitization refers to a process that renders access to target data on the media infeasible for a given level of effort. This guide outlines the important elements of a sanitization program to assist organizations and system owners in making practical sanitization decisions based on the sensitivity of their information.	サニタイズとは、所定の努力では媒体上の対象データへのアクセスを不可能にするプロセスを指す。このガイドは、組織やシステム所有者が情報の機密性に応じて実用的なサニタイズの決定を行う際に役立つ、サニタイズプログラムの重要な要素の概要を説明している。
Important changes in this revision of SP 800-88 include:	SP 800-88 のこの改訂における重要な変更点は次のとおりである。
Focus is shifted to establishing an agency or enterprise media sanitization program	機関またはエンタープライズ媒体のサニタイズプログラムの確立に重点が移された。
Sanitization technique descriptions are replaced with recommendations to comply with the latest relevant standards	サニタイズ手法の説明は、最新の関連標準に準拠するための推奨事項に置き換えられた。
Security assurance is improved through sanitization validation, which determines the effectiveness of sanitization from a confidentiality and sensitivity perspective	機密性および機微性の観点からサニタイズの有効性を判断するためのサニタイズの妥当性確認により、セキュリティの保証が強化された。
The concept of logical sanitization is included to consider the presence of storage media in modern computing environments (e.g., the cloud)	現代のコンピューティング環境（クラウドなど）におけるストレージ媒体の存在を考慮するために、論理的サニタイゼーションの概念が追加された。
References section is updated to include the latest versions of documents and remove obsolete ones	参考文献セクションが更新され、最新の文書が追加され、廃止された文書が削除された。
The public comment period is open through August 29, 2025.	パブリックコメントの受付期間は 2025 年 8 月 29 日までである。
Abstract	要約
Media sanitization refers to a process that renders access to target data on the media infeasible for a given level of effort. This guide will assist organizations and system owners in setting up a media sanitization program with proper and applicable techniques and controls for sanitization and disposal based on the sensitivity of their information.	媒体のサニタイズとは、所定の努力では媒体上の対象データへのアクセスを不可能にするプロセスを指す。このガイドは、組織やシステム所有者が、情報の機密性に応じて、サニタイズおよび廃棄のための適切かつ適用可能な手法と管理手段を備えた媒体のサニタイズプログラムを設定するのに役立つ。

・[PDF] NIST.SP.800-88r2.ipd

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
1.1. Purpose and Scope	1.1. 目的および適用範囲
1.2. Audience	1.2. 対象読者
1.3. Assumptions	1.3. 前提
1.4. Relationship With Other NIST Documents	1.4. 他の NIST 文書との関係
1.5. Document Structure	1.5. 文書の構成
2. Background	2. 背景
2.1. Need for Proper Media Sanitization and Information Disposition	2.1. 適切な媒体のサニタイズおよび情報の処分に関する必要性
2.2. Types of Media	2.2. 媒体の種類
2.3. Target of Sanitization	2.3. サニタイズの対象
2.4. Factors Influencing Sanitization and Disposal Decisions	2.4. サニタイズと廃棄の決定に影響を与える要因
3. Summary of Sanitization Methods	3. サニタイズ方法の概要
3.1. Sanitization Methods	3.1. サニタイズ方法
3.1.1. Clear	3.1.1. クリア
3.1.2. Purge	3.1.2. パージ
3.1.3. Destroy	3.1.3. 破壊
3.2. Use of Cryptography and Cryptographic Erase	3.2. 暗号化と暗号化消去の活用
3.2.1. When Not To Use CE To Purge Media	3.2.1. CE を使用して媒体を消去しない場合
3.2.2. When to Consider Using CE	3.2.2. CE の使用を検討すべき場合
3.2.3. Additional CE Considerations	3.2.3. CE に関する追加の考慮事項
4. Media Sanitization Program	4. 媒体のサニタイズプログラム
4.1. Storage Sanitization Policy	4.1. ストレージのサニタイズポリシー
4.2. Sanitization Scope	4.2. サニタイズの適用範囲
4.3. Storage Sanitization and Disposition Decision Framework	4.3. ストレージのサニタイズおよび処分に関する決定の枠組み
4.3.1. Information Decisions in the System Life Cycle	4.3.1. システムライフサイクルにおける情報に関する決定
4.3.2. Determination of Security Categorization	4.3.2. セキュリティ分類の決定
4.3.3. Reuse of Media	4.3.3. 媒体の再利用
4.3.4. Control of Media	4.3.4. 媒体の管理
4.3.5. Data Protection Level	4.3.5. データ保護レベル
4.3.6. Sanitization and Disposal Decision	4.3.6. サニタイズおよび廃棄の決定
4.4. Performing Sanitization	4.4. サニタイズの実施
4.5. Sanitization Assurance	4.5. サニタイズの保証
4.5.1. Sanitization Verification	4.5.1. サニタイズの検証
4.5.2. Sanitization Validation	4.5.2. サニタイズの妥当性確認
4.6. Documentation	4.6. 文書化
4.7. Roles and Responsibilities	4.7. 役割と責任
4.7.1. Program Managers/Agency Heads	4.7.1. プログラムマネージャー/機関長
4.7.2. Chief Information Officer (CIO)	4.7.2. 最高情報責任者 (CIO)
4.7.3. Information System Owner	4.7.3. 情報システム所有者
4.7.4. Information Owner/Steward	4.7.4. 情報所有者/管理者
4.7.5. Senior Agency Information Security Officer (SAISO)	4.7.5. 上級機関情報セキュリティ責任者 (SAISO)
4.7.6. System Security Manager/Officer	4.7.6. システムセキュリティマネージャー/オフィサー
4.7.7. Property Management Officer	4.7.7. 資産管理オフィサー
4.7.8. Records Management Officer	4.7.8. 記録管理オフィサー
4.7.9. Privacy Officer	4.7.9. プライバシーオフィサー
4.7.10. Users	4.7.10. ユーザー
References	参考文献
Appendix A. Glossary	附属書 A. 用語集
Appendix B. Cryptographic Erase ISM Guidelines	附属書 B. 暗号化消去 ISM ガイドライン
B.1. Cryptographic Erase Considerations	B.1. 暗号化消去に関する考慮事項
B.2. Example Statement of CE Features	B.2. CE 機能の例
Appendix C. Device-Specific Characteristics of Interest	附属書 C. 注目すべきデバイス固有の特性
Appendix D. Sample "Certificate of Sanitization" Form	附属書 D. 「サニタイズ証明書」のサンプルフォーム
Appendix E. Change Log	附属書 E. 変更履歴

エグゼクティブサマリーと序論...

Executive Summary	エグゼクティブサマリー
The modern storage environment is rapidly evolving. Data may pass through multiple organizations, systems, and storage media in its lifetime. The pervasive nature of data propagation is only increasing as the internet and data storage systems move toward a distributed cloud-based architecture. As a result, more parties are responsible for effectively sanitizing media (i.e., eliminating sensitive data), and the potential is substantial for sensitive data to be collected and retained on the media. This responsibility lies with organizations that are both originators (i.e., sources) and final resting places (e.g., archives) of sensitive data, as well as intermediaries who transiently store or process the information along the way. Efficient and effective information management from origination through disposition is the responsibility of all those who have handled the data.	現代のストレージ環境は急速に進化している。データは、そのライフサイクルにおいて、複数の組織、システム、およびストレージメディアを通過する場合がある。インターネットおよびデータストレージシステムが分散型クラウドベースのアーキテクチャに移行するにつれて、データの拡散はますます広範化している。その結果、メディアを効果的にサニタイズ（機密データを削除）する責任を担う当事者が増え、機密データがメディアに収集され、保持される可能性も非常に高くなっている。この責任は、機密データの作成者（ソース）および最終的な保管場所（アーカイブなど）である組織、ならびにその過程で一時的に情報を保存または処理する仲介者にある。情報の発生から廃棄に至るまで、効率的かつ効果的な情報管理は、その情報を取り扱ったすべての者の責任である。
Sophisticated access controls and encryption help reduce the likelihood that an attacker can gain direct access to sensitive data. As a result, parties that attempt to obtain sensitive data may focus their efforts on alternative access means, such as retrieving residual data on media that has left an organization without being sufficiently sanitized. Consequently, effective sanitization techniques and the tracking of storage media are critical to ensuring that sensitive data is protected against unauthorized disclosure, whether that information is on paper, optical, electronic or magnetic media, or complex storage systems (e.g., cloud).	高度なアクセス管理および暗号化により、攻撃者が機密データに直接アクセスする可能性を低減することができる。その結果、機密データを取得しようとする者は、十分にサニタイズされていない組織から持ち出されたメディアに残っているデータを取得するなど、別のアクセス手段に努力を集中する可能性がある。したがって、機密データが紙、光、電子、磁気メディア、または複雑なストレージシステム（クラウドなど）のいずれで保存されているかに関わらず、その情報を不正開示から確実に保護するためには、効果的なサニタイズ手法とストレージメディアの追跡が不可欠だ。
An organization may choose to dispose of media by charitable donation, internal or external transfer, or recycling if that media is obsolete or no longer usable. Even internal transfers require increased scrutiny in compliance with legal and regulatory obligations for sensitive data, such as personally identifiable information (PII). Regardless of the media’s final intended destination, organizations should use approved sanitization methods and techniques to ensure that no re-constructible residual representation of the sensitive data is stored on media that has left the control of the organization.	組織は、メディアが陳腐化したり使用できなくなった場合、慈善団体への寄付、社内外への譲渡、またはリサイクルによってメディアを処分することを選択することができる。社内の譲渡であっても、個人を特定できる情報（PII）などの機密データに関する法的および規制上の義務を遵守するため、より厳格な審査が必要となる。メディアの最終的な仕向先にかかわらず、組織は、承認されたサニタイズ手法および技術を使用して、組織の管理下から離れたメディアに、機密データの再構築可能な残余表現が保存されないようにすべきだ。
Sanitization refers to a process that renders access to target data on the media infeasible for a given level of effort. This guide outlines the important elements of a sanitization program to assist organizations and system owners in making practical sanitization decisions based on the sensitivity of their information. While this document does not and cannot specifically address all known types of media, the described sanitization decision process can be applied universally.	サニタイズとは、一定の努力ではメディア上の対象データへのアクセスを不可能にするプロセスを指す。このガイドでは、組織やシステム所有者が情報の機密性に応じて実用的なサニタイズに関する決定を行う際に役立つ、サニタイズプログラムの重要な要素について概要を説明する。この文書では、既知のすべての種類のメディアについて具体的に取り上げることは不可能だが、ここで説明するサニタイズに関する決定プロセスは、あらゆるメディアに普遍的に適用することができる。
1. Introduction	1. 序論
1.1. Purpose and Scope	1.1. 目的および適用範囲
The information security concern regarding disposal and sanitization revolves around the recorded data rather than the media itself. The media used on an information system should be assumed to contain information commensurate with the security categorization of the system’s confidentiality. If not handled properly, the release of such media could lead to the unauthorized disclosure of information. Categorizing an information technology (IT) system in accordance with Federal Information Processing Standards (FIPS) Publication 199, Standards for Security Categorization of Federal Information and Information Systems [2], is the critical first step in understanding and managing system information and media.	廃棄およびサニタイズに関する情報セキュリティ上の懸念は、メディア自体ではなく、記録されたデータに関するものである。情報システムで使用されるメディアには、そのシステムの機密性分類に見合った情報が含まれていると想定すべきである。このようなメディアを適切に処理しないと、そのメディアの流出により、情報が不正に開示されるおそれがある。連邦情報処理規格（FIPS）出版物 199「連邦情報および情報システムのセキュリティ分類に関する標準」[2] に従って情報技術（IT）システムを分類することは、システム情報およびメディアを理解し、管理するための重要な第一歩である。
Based on the results of categorization, the system owner should refer to NIST Special Publication (SP) 800-53r5 (Revision 5), Security and Privacy Controls for Information Systems and Organizations [6], which states:	分類の結果に基づき、システム所有者は、NIST 特別刊行物 (SP) 800-53r5 (改訂 5)、情報システムおよび組織のためのセキュリティおよびプライバシー管理 [6] を参照すべきだ。
…the organization sanitizes information system digital media using approved equipment, techniques, and procedures. The organization tracks, documents, and verifies media sanitization and destruction actions and periodically tests sanitization equipment/procedures to ensure correct performance. The organization sanitizes or destroys information system digital media before its disposal or release for reuse outside the organization, to prevent unauthorized individuals from gaining access to and using the data contained on the media.	…組織は、承認された機器、手法、および手順を使用して、情報システムのデジタルメディアをサニタイズする。組織は、メディアのサニタイズおよび破棄の措置を追跡、文書化し、検証するとともに、サニタイズ機器/手順を定期的にテストして、その性能が適切であることを確認する。組織は、情報システムのデジタルメディアを廃棄または組織外での再利用のために放出する前に、そのメディアに保存されているデータに不正な者がアクセスして使用することを防止するため、そのメディアをサニタイズまたは破棄する。
This document will assist organizations in implementing a media sanitization program for media that require disposal or reuse or that will be leaving the effective control of an organization. Proper and applicable techniques and controls for sanitization and disposal decisions consider the security categorization of the associated system’s confidentiality. Organizations should develop and use a media sanitization program that is aligned with these guidelines to make effective, risk-based decisions on the ultimate sanitization and/or disposition of media and data throughout the system life cycle.	この文書は、廃棄または再利用が必要なメディア、あるいは組織の有効な管理下から離れるメディアについて、メディアのサニタイズプログラムの実施において組織を支援する。サニタイズおよび廃棄の決定に関する適切かつ適用可能な手法および管理は、関連するシステムの機密性のセキュリティ分類を考慮したものとする。組織は、システムライフサイクルを通じて、メディアおよびデータの最終的なサニタイズおよび/または処分について、リスクに基づいた効果的な決定を行うため、本ガイドラインに沿ったメディアのサニタイズプログラムを開発し、使用すべきだ。
Before applying any sanitization efforts to media, information system owners are strongly advised to consult with designated officials with privacy responsibilities (e.g., privacy officers), Freedom of Information Act (FOIA) officers, and/or local records retention offices to ensure compliance with record retention regulations and requirements in the Federal Records Act. Organizational management should also be consulted to ensure that historical information is 186 captured and maintained as required by business needs. Controls may need to be adjusted as the system and its environment of operation change.	メディアにサニタイズ作業を行う前に、情報システムの所有者は、プライバシーに関する責任を有する指定担当者（プライバシー担当者など）、情報公開法（FOIA）担当者、および/または地域の記録保存担当者に相談し、連邦記録法における記録保存に関する規制および要件を確実に遵守するよう強くお勧めする。また、業務上の必要性に応じて、履歴情報が確実に収集、維持されるように、組織の経営陣にも相談すべきだ。システムおよびその運用環境の変化に応じて、管理措置を調整する必要がある場合もある。
1.2. Audience	1.2. 対象読者
Protecting the confidentiality of information should be a concern for everyone, from federal agencies and businesses to home users. Interconnections and information exchange are critical to the delivery of government services, and these guidelines can inform decisions regarding sanitization and disposal processes.	情報の機密性の保護は、連邦政府機関や企業からホームユーザーに至るまで、すべての人にとって関心事であるべきだ。相互接続と情報交換は、政府サービスの提供に不可欠であり、このガイドラインは、サニタイズおよび廃棄プロセスに関する意思決定の参考となる。
1.3. Assumptions	1.3. 前提
This document presumes that organizations can correctly identify appropriate information categories, confidentiality impact levels, and information locations. Ideally, this activity is accomplished in the earliest phase of the system life cycle [9]. This critical initial step is outside of the scope of this document, but without this identification, the organization will likely lose control of some media containing sensitive data.	この文書は、組織が適切な情報カテゴリー、機密性影響レベル、および情報の場所を正しく識別できることを前提としている。理想的には、この活動は、システムライフサイクルの最も早い段階で実施されるべきである [9]。この重要な最初のステップは、この文書の範囲外ですが、この識別を行わないと、組織は機密データを含む一部のメディアの管理を失う可能性が高くなります。
This guide does not claim to cover all possible media that an organization could use to store data, nor does it attempt to forecast future media that may be developed. Organizations and users are expected to make sanitization and disposal decisions based on the security categorization of the data contained in the media.	このガイドは、組織がデータの保存に使用する可能性のあるすべてのメディアを網羅しているわけではなく、将来開発される可能性のあるメディアを予測するものでもありません。組織およびユーザーは、メディアに含まれるデータのセキュリティ分類に基づいて、サニタイズおよび廃棄の決定を行うことが期待されている。
1.4. Relationship With Other NIST Documents	1.4. 他の NIST 文書との関係
The following NIST documents, including FIPS and Special Publications, are directly related to this document:	FIPS および特別刊行物を含む、以下の NIST 文書は、この文書と直接関連している。
• FIPS 199 [2] and SP 800-60r2, Guide for Mapping Types of Information and Information Systems to Security Categories [8], provide guidance for establishing the security categorization for a system’s confidentiality. This categorization will impact the level of assurance that an organization should require when making sanitization decisions.	• FIPS 199 [2] および SP 800-60r2、「情報および情報システムのセキュリティカテゴリへのマッピングガイド [8]」は、システムの機密性に関するセキュリティ分類を確立するためのガイダンスを提供している。この分類は、組織がサニタイズに関する決定を行う際に要求すべき保証のレベルに影響を与える。
• FIPS 200, Minimum Security Requirements for Federal Information and Information Systems [3], establishes baseline security requirements for organizations to have a media sanitization program.	• FIPS 200、連邦情報および情報システムの最低セキュリティ要件 [3] は、組織がメディアのサニタイズプログラムを導入するための基本的なセキュリティ要件を規定している。
• FIPS 140-3, Security Requirements for Cryptographic Modules [1], establishes a standard for cryptographic modules used by the U.S. Government.	• FIPS 140-3、暗号モジュールのセキュリティ要件 [1] は、米国政府で使用される暗号モジュールの標準を規定している。
• SP 800-53r5 [6] provides minimum recommended security controls, including sanitization, for federal systems based on their overall system security categorization.	• SP 800-53r5 [6] は、連邦システムの全体的なシステムセキュリティ分類に基づいて、サニタイズを含む、推奨される最低限のセキュリティ管理措置を規定している。
• SP 800-53Ar1, Guide for Assessing the Security Controls in Federal Information Systems and Organizations: Building Effective Security Assessment Plans [7], provides guidelines for assessing security controls, including sanitization, for federal systems based on their overall system security categorization.	• SP 800-53Ar1、連邦情報システムおよび組織におけるセキュリティ管理の評価ガイド：効果的なセキュリティアセスメント計画の策定 [7] は、連邦システムの全体的なシステムセキュリティ分類に基づいて、サニタイズを含むセキュリティ管理の評価に関するガイドラインを規定している。
• SP 800-111, Guide to Storage Encryption Technologies for End User Devices [11], provides guidelines for selecting and using storage encryption technologies.	• SP 800-111、エンドユーザーデバイス用ストレージ暗号化技術ガイド [11] は、ストレージ暗号化技術の選択および使用に関するガイドラインを規定している。
• SP 800-122, Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [12], provides guidelines for protecting the confidentiality of PII in information systems.	• SP 800-122、個人を特定できる情報（PII）の機密性を保護するためのガイド [12] は、情報システムにおける PII の機密性を保護するためのガイドラインを規定している。
1.5. Document Structure	1.5. 文書の構成
The guide is divided into the following sections and appendices:	このガイドは、以下のセクションおよび附属書で構成されている。
• Section 1 describes this document’s authority, purpose, scope, audience, assumptions, relationship to other NIST documents, and structure.	• セクション1 では、この文書の権限、目的、適用範囲、対象読者、前提条件、他の NIST 文書との関係、および構成について説明する。
• Section 2 presents an overview of the need for sanitization and the basic types of information, sanitization, and media.	• セクション2 では、サニタイズの必要性、および情報の基本的な種類、サニタイズ、メディアの概要を説明する。
• Section 3 provides an overview of sanitization methods.	• セクション3 では、サニタイズ手法の概要を説明する。
• Section 4 summarizes a general media sanitization program.	• セクション4 では、一般的なメディアサニタイズプログラムの概要を説明する。
• The References section provides a detailed list of citations.	• 「参考文献」セクションには、詳細な引用リストが掲載されている。
• Appendix A defines important terms used in this document.	• 附属書 A では、この文書で使用される重要な用語を定義している。
• Appendix B describes considerations for selecting a storage device that implements cryptographic erase.	• 附属書 B では、暗号化消去を実装するストレージデバイスを選択する際の考慮事項について説明している。
• Appendix C identifies a set of device-specific characteristics of interest that users should request from storage device vendors.	• 附属書 C では、ユーザーがストレージデバイスベンダーに要求すべき、デバイス固有の重要な特性のセットを識別している。
• Appendix D provides a sample Certificate of Sanitization form for documenting an organization’s sanitization activities.	• 附属書 D では、組織のサニタイズ活動を文書化するための、サニタイズ証明書フォームのサンプルを提示している。

サニタイズ方法...

3.1. Sanitization Methods	3.1. サニタイズ方法
Several different methods can be used to sanitize media, including clear (see Sec. 3.1.1), purge (see Sec. 3.1.2), and destroy (see Sec. 3.1.3). One or more sanitization techniques may be available for each method.	メディアをサニタイズするには、クリア（3.1.1 節を参照）、パージ（3.1.2 節を参照）、および破壊（3.1.3 節を参照）など、いくつかの異なる方法を使用できる。各方法には、1 つ以上のサニタイズ手法が利用可能である場合がある。
ISM sanitization techniques take one of the following forms:	ISM のサニタイズ手法は、以下のいずれかの形式をとる。
• Logical techniques. Software or other tools are used over an interface to replace data in a systematic manner, issue specific commands to cause data to be eliminated, or eliminate access to the data. The confidentiality protection can vary significantly, depending on the specific technique. Logical sanitization leaves the ISM in a usable state.	• 論理的手法。ソフトウェアまたはその他のツールをインターフェースを介して使用して、体系的な方法でデータを置き換え、特定のコマンドを発行してデータを消去、またはデータへのアクセスを排除する。機密性の保護は、具体的な手法によって大きく異なる。論理的サニタイズでは、ISM は使用可能な状態のまま残る。
• Physical techniques. External physical measures are applied to eliminate data or the ISM. With few exceptions, physical techniques typically involve some form of destruction.	• 物理的手法。外部からの物理的な手段を適用して、データまたは ISM を消去する。ごく一部の例外を除き、物理的手法には通常、何らかの形の破壊が伴う。
Technology-specific sanitization techniques are out of scope for this document.	技術固有のサニタイズ手法については、この文書の対象外とする。
3.1.1. Clear	3.1.1. クリア
Clear is a method of sanitization that applies logical techniques to sanitize data in all useraddressable storage locations for protection against simple, non-invasive data recovery techniques using the same interface that is available to the user (e.g., host interface). The clear sanitization method is not appropriate for hard copy under any conditions but may be appropriate for ISM.	クリアは、論理的手法を適用して、ユーザーがアクセス可能なすべてのストレージの場所にあるデータをサニタイズし、ユーザーが利用できる同じインターフェース（ホストインターフェースなど）を使用した、単純で非侵襲的なデータ復旧手法からデータを保護するサニタイズ手法だ。クリアサニタイズ手法は、いかなる状況においてもハードコピーには適していないが、ISM には適している場合がある。
Clear is typically applied through the standard read and write commands to the ISM, such as by rewriting with a new value or using a menu option to reset the device to the factory state if rewriting is not supported. Clear sanitization operations typically have no impact on the usability of the ISM.	クリアは通常、ISM に対する標準的な読み取りおよび書き込みコマンドによって適用される。例えば、新しい値で書き換える、または書き換えがサポートされていない場合はメニューオプションを使用してデバイスを工場出荷時の状態にリセットする、などである。クリアサニタイズ操作は通常、ISM の使用性に影響を与えない。
One approach to clear is to use software or hardware products to overwrite user-addressable storage space on the ISM with non-sensitive data using the standard read and write commands for the device. This process may include overwriting both the logical storage location of a file (e.g., file allocation table) and all user-addressable locations. The security goal of the overwriting process is to replace target data with non-sensitive data. Overwriting typically hinders the recovery of data even if state-of-the-art laboratory techniques are applied to attempt to retrieve the data.	クリアの一つのアプローチは、デバイス用の標準の読み取りおよび書き込みコマンドを使用して、ISM 上のユーザーアドレス指定可能な記憶空間を、機密性のないデータで上書きするソフトウェアまたはハードウェア製品を使用することだ。このプロセスには、ファイルの論理記憶位置（ファイル割り当てテーブルなど）と、すべてのユーザーアドレス指定可能な位置の両方の上書きが含まれる場合がある。上書きプロセスのセキュリティ目標は、対象データを機密性のないデータに置き換えることだ。上書きは、最先端のラボ技術を使用してデータを回復しようとしても、データの回復を妨げる傾向がある。
In the past, hard drives were often erased using multiple overwrite passes (e.g., based on DoD 5220.22-M [21]) with specific binary patterns (e.g., a pattern of all zeros). The number of passes ranged from a single pass to as high as 39. The binary pattern could change for each pass, and there could be verification after some or all of the overwrite passes. Such practices should be avoided as very little confidentiality protection is achieved. Instead, a more secure sanitization method in the form of purge (see Sec. 3.1.2) or destroy (see Sec. 3.1.3) should be used.	過去には、ハードドライブは、特定のバイナリパターン（例：すべてゼロのパターン）を使用した複数回の上書きパス（例：DoD 5220.22-M [21] に基づく）で消去されることが多かった。上書きの回数は 1 回から 39 回までと幅があった。バイナリパターンは上書きの回数ごとに変更でき、上書きの回数の一部またはすべて終了後に検証を行うこともできた。このような方法は、機密性の保護がほとんど達成されないため、避けるべきだ。代わりに、パージ（3.1.2 節を参照）または破壊（3.1.3 節を参照）という、より安全なサニタイズ手法を使用すべきだ。
Overwriting cannot be used for damaged or non-rewriteable ISM and may not address all areas of the device where sensitive data may be retained. The ISM’s type and size may also influence whether overwriting is a suitable sanitization method. For example, flash memory-based storage devices may contain spare cells and perform wear levelling, making it infeasible for a user to sanitize all previous data using this approach because the device may not support directly addressing all areas in which sensitive data has been stored using the native read and write interface.	上書きは、損傷したまたは再書き込み不可のISMには使用できず、デバイス内の機密データが保持される可能性があるすべての領域に対応できない場合がある。ISM の種類やサイズも、上書きが適切なサニタイズ方法であるかどうかに影響する。たとえば、フラッシュメモリベースのストレージデバイスには予備セルが含まれており、ウェアレベリングが実行される場合がある。この場合、デバイスは、ネイティブの読み取りおよび書き込みインターフェースを使用して、機密データが保存されているすべての領域を直接アドレス指定できないため、このアプローチを使用して以前のデータをすべてサニタイズすることは不可能だ。
Users who have become accustomed to relying on overwrite techniques on magnetic ISM and who have continued to apply these techniques as ISM types evolved (e.g., to flash memorybased devices) may be exposing their data to increased risk of unintentional disclosure. Although the host interface may be the same or very similar across devices with varying underlying ISM types, sanitization techniques must be carefully matched to the ISM.	磁気 ISM の上書き手法に慣れているユーザーで、ISM の種類が進化しても（フラッシュメモリベースのデバイスなど）この手法を使い続けているユーザーは、意図しない開示のリスクにデータをさらしている可能性がある。ホストインターフェースは、基盤となる ISM の種類が異なるデバイス間で同じまたは非常に類似している場合があるが、サニタイズ手法は ISM に慎重に合わせる必要がある。
Alternatively, the ISM may support dedicated sanitize commands that address all storage areas more effectively. The use of such commands results in a trade-off because they require trust and assurance from the vendor that the commands have been implemented as expected.	あるいは、ISM が、すべての記憶領域をより効果的に処理する専用のサニタイズコマンドをサポートしている場合もある。このようなコマンドを使用すると、コマンドが期待どおりに実装されていることをベンダーが信頼および保証する必要があるため、トレードオフが生じる。
The clear operation may vary contextually for ISM other than dedicated storage devices, where the device (e.g., a basic cell phone, a piece of office equipment) only provides the ability to return the device to its factory state (e.g., deleting the file pointers) and does not directly support the ability to rewrite or apply ISM-specific techniques to the non-volatile storage contents. If rewriting is not supported, manufacturer resets and procedures that do not include rewriting may be the only option to clear the device and associated ISM. These still meet the definition for clear as long as the device interface available to the user does not facilitate retrieval of the cleared data.	クリア操作は、専用のストレージデバイス以外の ISM では、デバイス（基本的な携帯電話、事務機器など）がデバイスを工場出荷時の状態に戻す機能（ファイルポインタの削除など）しか提供せず、不揮発性ストレージの内容に ISM 特定の手法を書き換えたり適用したりする機能を直接サポートしていない場合、状況に応じて異なる場合がある。書き換えがサポートされていない場合、デバイスおよび関連する ISM を消去する唯一の選択肢は、製造事業者によるリセットおよび書き換えを含まない手順となる場合がある。これらは、ユーザーが利用可能なデバイス・インターフェースが、消去されたデータの取得を容易にしていない限り、消去の定義を満たしている。
3.1.2. Purge	3.1.2. パージ
Purge applies physical or logical techniques that make the recovery of target data infeasible using state-of-the-art laboratory techniques but preserves the ISM in a potentially reusable state. The purge sanitization method is not appropriate for hard copy under any conditions but may be appropriate for ISM.	パージは、最先端の実験室技術では対象データの復元を不可能にする物理的または論理的手法を採用するが、ISM は再利用可能な状態で保存されます。消去によるサニタイズ方法は、いかなる状況においてもハードコピーには適していないが、ISM には適している場合がある。
Logical purging techniques can vary by ISM and include overwrite, block erase, and cryptographic erase (see Sec. 3.2) through the use of dedicated, standardized device sanitize commands that apply ISM-specific techniques to bypass the abstraction inherent in typical read and write commands. Careful selection of the purge technique increases the likelihood of preserving the storage device in a usable state.	論理的パージ手法は ISM によって異なり、ISM 専用の標準化されたデバイスサニタイズコマンドを使用して、一般的な読み取りおよび書き込みコマンドに固有の抽象化をバイパスする ISM 特定の手法（3.2 節を参照）による上書き、ブロック消去、暗号化消去などがある。パージ手法を慎重に選択することで、ストレージデバイスを使用可能な状態で保存できる可能性が高まる。
Physical purging techniques traditionally included degaussing, which has become more complicated as magnetic ISM evolves, and some emerging variations of magnetic recording technologies incorporate ISM with higher coercivity (i.e., magnetic force) [19]. As a result, existing degaussers [20] may not have sufficient force to effectively degauss such ISMs. Additionally, degaussing may only damage some types of ISM, rendering them inoperable, but fail to sanitize the target data. Other physical purging techniques may also exist.	物理的パージ技術には伝統的に消磁処理が含まれていたが、磁気ISMの進化に伴い複雑化しており、一部の磁気記録技術の新たなバリエーションでは、より高い coercivity（磁気力）を有するISMが組み込まれている[19]。その結果、既存の消磁装置 [20] では、このような ISM を効果的に消磁するのに十分な力がない可能性がある。さらに、消磁は、一部のタイプの ISM を損傷して動作不能にするだけで、対象データのサニタイズには失敗する場合もある。その他の物理的な消去手法も存在する可能性がある。
Degaussing renders a legacy magnetic device purged when the strength of the degausser is carefully matched to the ISM coercivity. Coercivity may be difficult to determine based only on information provided on the label. Therefore, refer to the device manufacturer for coercivity details. Degaussing should never be solely relied upon for flash memory-based storage devices or magnetic storage devices that also contain non-volatile, non-magnetic storage. Degaussing renders many types of devices unusable, making it a potential destruction technique.	消磁は、消磁装置の強度が ISM の保磁力に慎重に合わせられている場合、レガシー磁気デバイスを消去する。保磁力は、ラベルに記載されている情報だけでは判断が難しい場合がある。そのため、保磁力の詳細については、デバイスの製造事業者に問い合わせること。フラッシュメモリベースのストレージデバイス、または不揮発性、非磁気のストレージも搭載している磁気ストレージデバイスについては、消磁のみに依存してはならない。消磁は多くの種類のデバイスを使用不能にするため、破壊技術として潜在的なリスクがある。
For an ISM that takes the form of logical/virtual storage (e.g., cloud storage), cryptographic erase (see Sec. 3.2) may be the only viable option. Typically, the underlying physical ISM is abstracted such that the data owner has no direct access to the physical ISM, and sanitization on them is impossible and/or practical. As such, organizations should clearly understand their purge options and the effectiveness of the technique prior to storing sensitive data on such ISMs.	論理/仮想ストレージ（例：クラウドストレージ）の形式をとる ISM に対しては、暗号化消去（セクション 3.2 参照）が唯一の現実的なオプションとなる可能性がある。通常、基礎となる物理的な ISM は、データ所有者が物理的な ISM に直接アクセスできないように抽象化されており、そのサニタイズは不可能かつ/または現実的ではない。そのため、組織は、このような ISM に機密データを保存する前に、その消去オプションと手法の有効性を明確に理解しておく必要がある。
3.1.3. Destroy	3.1.3. 破壊
Destroy renders target data recovery infeasible using state-of-the-art laboratory techniques and results in the subsequent inability to use the ISM for the storage of data. The destroy sanitization method is appropriate for all hard copy and most ISM, except for logical/virtual storage.	破壊は、最先端の実験室技術を使用しても対象データの復元を不可能にし、その結果、ISM をデータの保存に使用できなくする。破壊によるサニタイズ方法は、論理/仮想ストレージを除く、すべてのハードコピーおよびほとんどの ISM に適している。
There are many different types, techniques, and procedures for media destruction. While some techniques may render the target data infeasible to retrieve through the device interface and unable to be used for subsequent storage of data, the device is not considered destroyed unless target data access or recovery is infeasible using state-of-the-art laboratory techniques. The application of destructive techniques may be the only option when the ISM fails and other clear or purge techniques cannot be effectively applied to the ISM.	メディアの破壊には、さまざまな種類、手法、手順がある。一部の技術は、デバイスインターフェース経由でのターゲットデータの復元を不可能にし、その後のデータ保存に使用不能にするが、ターゲットデータへのアクセスまたは復元が最先端のラボラトリー技術を使用して不可能でない限り、デバイスは破壊されたとはみなされない。ISMが故障し、他のクリアまたはパージ技術がISMに効果的に適用できない場合、破壊技術の使用が唯一の選択肢となる可能性がある。
The following physical destructive techniques are commonly associated with the destroy sanitization method:	破壊サニタイズ手法には、一般的に以下の物理的破壊手法が用いられる。
• Disintegrate. Process that completely destroys the media by breaking, separating, or decomposing (e.g., dissolving with acid) media into its constituent elements, parts, or small particles such that there is nothing or very little of it that is recognizable after the process.	• 分解。メディアを破壊、分離、または分解（酸による溶解など）して、その構成要素、部品、または小さな粒子に分解し、処理後に認識できるものがほとんどまたはまったく残らないように、メディアを完全に破壊するプロセス。
• Incinerate. Process that completely destroys the media by burning it to ash.	• 焼却。メディアを灰に焼却して、完全に破壊するプロセス。
• Melt. Process that completely destroys the media by liquefying it (i.e., loses intactness or solidness), generally through the application of extreme heat.	• 溶融。極端な熱を加えるなどして、メディアを液化（完全な形状や固さを失う）させるプロセス。
• Pulverize. Process that completely destroys the media by reducing it to a fine powder or dust through crushing, grinding, or other mechanical means.	• 粉砕。破砕、研磨、その他の機械的手段により、メディアを微細な粉末や塵に還元するプロセス。
• Shred. Process that completely destroys the media by cutting or tearing it into small particles.	• 破砕。メディアを切断または引き裂いて小さな粒子に分割するプロセス。
Techniques like bending, cutting, or some emergency procedures (e.g., using a firearm to shoot a hole through a storage device) may only partly damage the ISM, leaving portions of it accessible using advanced laboratory techniques.	曲げ、切断、または一部の緊急措置（銃を使用してストレージデバイスに穴を開けるなど）などの手法では、ISM が部分的に損傷するだけで、高度な実験室技術を使用すればその一部にアクセスできるままになる場合がある。
As the density of data and the hardness of the component materials increase on an ISM, certain destructive techniques may become ineffective. Pulverize and shred techniques for ISM should be avoided for anything but the lowest security categories of data.	ISM のデータ密度および構成材料の硬度が向上すると、特定の破壊手法が効果を失う場合がある。ISM に対する粉砕および細断の手法は、セキュリティカテゴリーが最も低いデータ以外には使用しないこと。

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.24 米国 NIST SP 1334（初期公開ドラフト） OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減 (2025.07.15)

・2020.01.24 媒体の廃棄に関して

2025.07.25 09:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

米国 NIST CSWP 39（第2次公開ドラフト）暗号の機敏性を実現するための考慮事項：戦略と実践

こんにちは、丸山満彦です。

NISTが、暗号化の機敏性（アジリティ）を実現するための考慮事項：戦略と実践の第2次公開ドラフトを公表し、意見募集をしていますね...

3月に初期公開ドラフトを出していますので、早めの第2次ドラフトの公開ですね...

先日、とある委員会で暗号移行についての議論をしていたわけですが、こういう標準的なものがあれば、便利ですよね...さすが、米国、NIST!!結構、NIST頼りの面ってありますよね...　そういう意味では、親離れしろよというのがトランプ大統領の本音なのかもしれません。しかし、日本で一からつくれるかしら...

● NIST - ITL

・2025.07.17 NIST CSWP 39 (2nd Public Draft) Considerations for Achieving Cryptographic Agility: Strategies and Practices

NIST CSWP 39 (2nd Public Draft) Considerations for Achieving Cryptographic Agility: Strategies and Practices	NIST CSWP 39（第 2 公開ドラフト）暗号の機敏性を実現するための考慮事項：戦略と実践
Announcement	発表
Advances in computing capabilities, cryptographic research, and cryptanalytic techniques necessitate the replacement of cryptographic algorithms that no longer provide adequate security. A typical algorithm transition is costly, takes time, raises interoperability issues, and disrupts operations. Cryptographic (crypto) agility refers to the capabilities needed to replace and adapt cryptographic algorithms in protocols, applications, software, hardware, firmware, and infrastructures while preserving security and ongoing operations.	計算能力、暗号研究、および暗号解読技術の進歩により、もはや十分なセキュリティを提供できなくなった暗号アルゴリズムの置き換えが必要になっている。一般的なアルゴリズムの移行は、コストと時間がかかり、相互運用性の問題を引き起こし、業務に支障をきたす。暗号（クリプト）機敏性とは、セキュリティと継続的な運用を維持しながら、プロトコル、アプリケーション、ソフトウェア、ハードウェア、ファームウェア、およびインフラストラクチャの暗号アルゴリズムを置き換え、適応させるために必要な機能を指す。
This second public draft (2pd) reflects the workshop findings and the feedback received during the first draft’s public comment period. It includes sections on crypto agility for security protocols and applications, crypto agility strategic plans, and considerations for future work.	この 2 回目の公開草案 (2pd) は、ワークショップでの結果と、1 回目の草案のパブリックコメント期間に寄せられたフィードバックを反映したものである。セキュリティプロトコルおよびアプリケーションの暗号機敏性、暗号機敏性戦略計画、および今後の作業に関する考慮事項に関するセクションが含まれている。
To advance crypto agility, NIST encourages ongoing dialogue among stakeholders to establish strategies, frameworks, requirements, and metrics tailored to specific sectors and environments. This will help inform a maturity model with key performance indicators (KPIs) and facilitate the development of common crypto Application Programming Interfaces (APIs) and tools.	暗号の機敏性を推進するため、NIST は、特定の分野や環境に合わせた戦略、枠組み、要件、および測定基準を確立するために、関係者の間で継続的な対話を行うことを奨励している。これは、主要業績評価指標（KPI）を含む成熟度モデルに情報を提供し、共通の暗号アプリケーション・プログラミング・インターフェース（API）およびツールの開発を促進するのに役立つだろう。
Abstract	要約
Cryptographic (crypto) agility refers to the capabilities needed to replace and adapt cryptographic algorithms in protocols, applications, software, hardware, firmware, and infrastructures while preserving security and ongoing operations. This white paper provides an in-depth survey of current approaches to achieving crypto agility. It discusses challenges and trade-offs and identifies approaches for providing operational mechanisms to achieve crypto agility. It also highlights critical working areas that require additional consideration.	暗号（暗号）機敏性とは、セキュリティと継続的な運用を維持しながら、プロトコル、アプリケーション、ソフトウェア、ハードウェア、ファームウェア、およびインフラストラクチャの暗号アルゴリズムを置き換え、適応するために必要な機能を指す。このホワイトペーパーでは、暗号機敏性を実現するための現在のアプローチについて詳しく調査している。課題とトレードオフについて考察し、暗号機敏性を実現するための運用メカニズムを提供するアプローチを特定している。また、追加の検討が必要な重要な作業分野についても強調している。

・[PDF] NIST.CSWP.39.2pd

目次...

Executive Summary	エグゼクティブサマリー
1 Introduction	1 序論
2 Historic Transitions and Challenges	2 これまでの変遷と課題
2.1. Long Period for a Transition	2.1. 移行期間の長期化
2.2. Backward Compatibility and Interoperability Challenges	2.2. 後方互換性と相互運用性の課題
2.3. Constant Needs of Transition	2.3. 継続的な移行の必要性
2.4. Resource and Performance Challenges	2.4. リソースとパフォーマンスの課題
3. Crypto Agility for Security Protocols	3. セキュリティプロトコルの暗号の機敏性
3.1. Algorithm Identification	3.1. アルゴリズムの特定
3.1.1. Mandatory-to-Implement Algorithms	3.1.1. 実装が義務付けられているアルゴリズム
3.1.2. Dependent Specifications	3.1.2. 依存する仕様
3.2. Algorithm Transitions	3.2. アルゴリズムの移行
3.2.1. Preserving Protocol Interoperability	3.2.1. プロトコルの相互運用性の維持
3.2.2. Providing Notices of Expected Changes	3.2.2. 予想される変更の通知
3.2.3. Integrity for Algorithm Negotiation	3.2.3. アルゴリズムのネゴシエーションの完全性
3.2.4. Hybrid Cryptographic Algorithms	3.2.4. ハイブリッド暗号アルゴリズム
3.3. Cryptographic Key Establishment	3.3. 暗号鍵の確立
3.4. Balancing Security Strength and Protocol Complexity	3.4. セキュリティ強度とプロトコルの複雑さのバランス
3.4.1. Balancing the Security Strength of Algorithms in a Cipher Suite	3.4.1. 暗号スイートにおけるアルゴリズムのセキュリティ強度のバランス
3.4.2. Balancing Protocol Complexity	3.4.2. プロトコルの複雑さのバランス
4. Crypto Agility for Applications	4. アプリケーションのための暗号の機敏性
4.1. Using an API in a Crypto Library Application	4.1. 暗号ライブラリアプリケーションでの API の使用
4.2. Using APls in the Operating System Kernel	4.2. オペレーティングシステムカーネルでの API の使用
4.3. Embedded Systems	4.3. 組み込みシステム
4.4. Hardware	4.4. ハードウェア
5. Crypto Agility Strategic Plan for Managing Organizations' Crypto Risks	5. 組織の暗号リスクを管理するための暗号の機敏性戦略計画
5.1. Cryptographic Standards, Regulations, and Mandates	5.1. 暗号規格、規制、および義務
5.2. Crypto Security Policy Enforcement	5.2. 暗号セキュリティポリシーの実施
5.3. Technology Supply Chains	5.3. 技術サプライチェーン
5.4. Cryptographic Architecture	5.4. 暗号アーキテクチャ
6. Considerations for Future Works	6. 今後の課題
6.1. Resource Considerations	6.1. リソースに関する考慮事項
6.2. Agility-Aware Design	6.2. 機敏性を考慮した設計
6.3. Complexity and Security	6.3. 複雑さとセキュリティ
6.4. Crypto Agility in the Cloud	6.4. クラウドにおける暗号の機敏性
6.5. Maturity Assessment for Crypto Agility	6.5. 暗号の機敏性の成熟度アセスメント
6.6. Common Crypto API	6.6. 共通暗号 API
7. Conclusion	7. 結論
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書 A. 記号、略語、および頭字語のリスト
Appendix B. Definition of Crypto Agility in Other Literature	附属書 B. 他の文献における暗号の機敏性の定義

エグゼクティブサマリーと序論...

Executive Summary	エグゼクティブサマリー
Cryptographic algorithms have been relied upon for decades to protect every communication link and digital device. Advances in computing capabilities, cryptographic research, and cryptanalytic techniques sometimes necessitate replacing algorithms that no longer provide adequate security. A typical algorithm transition is costly, takes time, raises interoperability issues, and disrupts operations. Cryptographic (crypto) agility refers to the capabilities needed to replace and adapt cryptographic algorithms in protocols, applications, software, hardware, firmware, and infrastructures while preserving security and ongoing operations.	暗号アルゴリズムは、あらゆる通信リンクおよびデジタルデバイスを保護するために、何十年にもわたって信頼されてきた。計算能力、暗号研究、および暗号解読技術の進歩により、十分なセキュリティを提供できなくなったアルゴリズムの置き換えが必要になる場合がある。アルゴリズムの移行は、コストがかかり、時間がかかり、相互運用性の問題を引き起こし、運用を妨げる。暗号（クリプト）機敏性とは、プロトコル、アプリケーション、ソフトウェア、ハードウェア、ファームウェア、インフラストラクチャにおける暗号アルゴリズムを置き換え、適応させる能力を指し、セキュリティと継続的な運用を維持する。
The threats posed by future cryptographically relevant quantum computers to public-key cryptography demand an urgent migration to quantum-resistant cryptographic algorithms. The impact of this transition will be much larger in scale than previous transitions because all publickey algorithms will need to be replaced rather than just a single algorithm. Also, this transition will certainly not be the last one required. Future cryptographic uses will demand new strategies and mechanisms to enable smooth transitions. As a result, crypto agility is a key practice that should be adopted at all levels, from algorithms to enterprise architectures.	将来、暗号に関連する量子コンピュータ（CRQC）が公開鍵暗号に及ぼす脅威により、量子耐性のある暗号への移行が急務となっている。耐量子暗号（PQC）への移行の影響は、単一のアルゴリズムの置き換えではなく、すべての公開鍵アルゴリズムの置き換えが必要になるため、これまでの移行よりもはるかに大規模になる。また、この移行が最後の移行となることは決してない。将来の暗号の使用には、円滑な移行を可能にする新しい戦略とメカニズムが必要となる。その結果、暗号機敏性は、アルゴリズムからエンタープライズアーキテクチャに至るまで、あらゆるレベルで採用すべき重要な実践となっている。
This white paper provides an in-depth survey of current approaches for achieving crypto agility and discusses their challenges and trade-offs as an introduction for executives and policymakers. Sections 3, 4, and 6 present crypto agility considerations in technical detail and may be of interest to organizational protocol designers, implementers, operators, IT and cybersecurity architects, software and standards developers, and hardware designers. Section 5 examines strategic planning for crypto agility, which should be beneficial for organizational risk management, governance, and policy professionals.	このホワイトペーパーでは、暗号機敏性を実現するための現在のアプローチについて詳しく調査し、経営幹部や政策立案者向けの序論として、その課題とトレードオフについて考察する。セクション3 、4 、 6 では、暗号機敏性に関する考慮事項を技術的な詳細とともに紹介しており、組織のプロトコル設計者、実装者、運用者、IT およびサイバーセキュリティアーキテクト、ソフトウェアおよび標準開発者、ハードウェア設計者などに役立つだろう。セクション5 では、暗号機敏性に関する戦略的計画について考察しており、組織のリスクマネジメント、ガバナンス、およびポリシーの専門家にとって有益な情報となるはずだ。
Executives can leverage the insights in this paper to develop a comprehensive strategic and tactical plan that integrates crypto agility into the organization’s overall risk management framework, ensuring that employees, business partners, and technology suppliers involved in cryptographic design, implementation, acquisition, deployment, and use consider and adopt these practices.	経営幹部は、このホワイトペーパーの洞察を活用して、暗号機敏性を組織のリスクマネジメントの全体的な枠組みに統合する包括的な戦略的および戦術的計画を立て、暗号の設計、実装、取得、展開、および使用に携わる従業員、ビジネスパートナー、およびテクノロジーサプライヤーがこれらの実践を考慮し、採用するようにすることができる。
1. Introduction	1. 序論
Advances in computing capabilities, cryptographic research, and cryptanalytic techniques frequently create a critical need to replace algorithms that no longer provide adequate security for their use cases with algorithms that are considered secure. Historically, cryptographic transitions take place over several decades. For example, for block ciphers transitioned from single DES to Triple DES and then to AES due to rapidly increasing computing power and more sophisticated cryptanalysis techniques. Each transition is costly, takes time, raises interoperability issues, and disrupts operations. The threats posed by future cryptographically relevant quantum computers (CRQCs) to public-key cryptography demand an urgent migration to quantum-resistant cryptography. The impact of transitioning to post-quantum cryptography (PQC) will be much larger in scale than previous transitions because all public-key algorithms will need to be replaced rather than just a single algorithm. These algorithms have been used for decades to protect every communication link and digital device. With the rapid growth of computing power and cryptographic techniques, this PQC transition will certainly not be the last transition required. Future cryptographic applications will demand new strategies and mechanisms to enable smooth transitions.	計算能力、暗号研究、および暗号解読技術の進歩により、そのユースケースに十分なセキュリティを提供できなくなったアルゴリズムを、安全とみなされるアルゴリズムに置き換える必要性が頻繁に生じている。これまで、暗号の移行は数十年にわたって行われてきた。たとえば、ブロック暗号は、コンピューティング能力の急速な向上と暗号解読技術の高度化により、単一の DES からトリプル DES、そして AES へと移行してきた。各移行には多額の費用と時間がかかり、相互運用性の問題が発生し、業務が中断される。将来、暗号に関連する量子コンピュータ（CRQC）が公開鍵暗号に及ぼす脅威により、量子耐性のある暗号への移行が急務となっている。耐量子暗号（PQC）への移行の影響は、単一のアルゴリズムの置き換えではなく、すべての公開鍵アルゴリズムの置き換えが必要になるため、これまでの移行よりもはるかに大規模になる。これらのアルゴリズムは、あらゆる通信リンクやデジタルデバイスを保護するために何十年にもわたって使用されてきた。コンピューティング能力と暗号技術の急速な発展に伴い、この PQC への移行は、間違いなく最後の移行ではないだろう。将来の暗号アプリケーションでは、スムーズな移行を可能にする新しい戦略とメカニズムが必要になるだろう。
Cryptographic (crypto) agility describes the capabilities needed to replace and adapt cryptographic algorithms for protocols, applications, software, hardware, firmware, and infrastructures while preserving security and ongoing operations. Many definitions and descriptions for crypto agility have been proposed, some of which are listed in Appendix B.	暗号（クリプト）機敏性とは、セキュリティと継続的な運用を維持しながら、プロトコル、アプリケーション、ソフトウェア、ハードウェア、ファームウェア、およびインフラストラクチャの暗号アルゴリズムを置き換え、適応させるために必要な能力のことだ。暗号機敏性については、さまざまな定義や説明が提案されており、その一部は附属書 B に記載している。
Crypto agility facilitates migrations between cryptographic algorithms without significant changes to the application that is using the algorithms. Its exact definition is highly dependent on specific organizational and technical contexts. For example:	暗号機敏性により、暗号アルゴリズムを使用しているアプリケーションに大幅な変更を加えることなく、暗号アルゴリズム間の移行が容易になる。その正確な定義は、特定の組織的および技術的状況に大きく依存する。例えば、
• Crypto Agility for a Computing System: Cryptographic algorithms are implemented in software, hardware, firmware, and infrastructures to facilitate their use in applications. For example, replacing a cryptographic algorithm in applications often requires changes to application programming interfaces (APIs) and software libraries [1]. It may also necessitate the replacement of hardware to incorporate new hardware accelerators. In a system, crypto agility is the ability to adopt new cryptographic algorithms and stop the use of weak algorithms in applications without disrupting the running system.	• コンピューティングシステムの暗号機敏性：暗号アルゴリズムは、アプリケーションでの使用を容易にするために、ソフトウェア、ハードウェア、ファームウェア、およびインフラストラクチャに実装されている。例えば、アプリケーション内の暗号化アルゴリズムを置き換えるには、アプリケーションプログラミングインターフェース（API）やソフトウェアライブラリの変更が必要になる場合がある[1]。また、新しいハードウェアアクセラレータを組み込むためにハードウェアの置き換えが必要になる場合もある。システムにおいて、暗号機敏性とは、実行中のシステムを中断することなく、アプリケーションで新しい暗号化アルゴリズムを採用し、脆弱なアルゴリズムの使用を停止する能力を指す。
• Crypto Agility for a Communication Protocol: In a communication protocol, parties must agree on a common cipher suite: a common set of cryptographic algorithms used for key establishment, signature generation, hash function computation, encryption, and/or data authentication. Any update of algorithms must be reflected in the protocol specifications. In a protocol, crypto agility is the ability to maintain interoperability when introducing new cryptographic algorithms and preventing the use of weak algorithms.	• 通信プロトコルの暗号機敏性：通信プロトコルでは、当事者は、鍵確立、署名生成、ハッシュ関数の計算、暗号化、および/またはデータ認証に使用される共通の暗号アルゴリズムのセットである、共通の暗号スイートについて合意する必要がある。アルゴリズムの更新は、プロトコルの仕様に反映する必要がある。プロトコルにおける暗号機敏性とは、新しい暗号アルゴリズムを導入しても相互運用性を維持し、脆弱なアルゴリズムの使用を防ぐ能力のことである。
• Crypto Agility for an Enterprise IT Architect: Achieving crypto agility is not only a task for product designers, implementors, and operators but also for IT and cybersecurity architects, software and standards developers, hardware designers, and executives. Organizations that practice crypto agility should be able to turn off the use of weak cryptographic algorithms quickly when a vulnerability is discovered and adopt new cryptographic algorithms without making significant changes to infrastructures or suffering from unnecessary disruptions.	• エンタープライズ IT アーキテクトのための暗号機敏性：暗号機敏性を実現することは、製品設計者、実装者、運用者だけでなく、IT およびサイバーセキュリティのアーキテクト、ソフトウェアおよび標準の開発者、ハードウェア設計者、経営幹部にとっても重要な課題だ。暗号機敏性を実践する組織は、脆弱性が発見された場合に、インフラストラクチャに大幅な変更を加えたり、不必要な混乱を招いたりすることなく、脆弱性のある暗号アルゴリズムの使用を迅速に停止し、新しい暗号アルゴリズムを採用できる必要がある。
Achieving crypto agility requires a systems approach to providing mechanisms that enable the transition to alternative algorithms and limit the use of vulnerable algorithms in a seamless way while maintaining security and acceptable operation. Significant effort has been made by the research and application community in approaching crypto agility. Some sector-specific guidance and strategies were developed and are referred to in Appendix B. This white paper surveys crypto agility approaches in different implementation environments and proposes strategies for achieving the agility needs of varied applications. This paper also discusses crypto agility in different contexts and highlights the coordination needed among stakeholders.	暗号機敏性を実現するには、セキュリティと許容可能な運用を維持しながら、代替アルゴリズムへの移行を可能にし、脆弱なアルゴリズムの使用をシームレスに制限するメカニズムを提供するシステムアプローチが必要だ。暗号機敏性への取り組みについては、研究およびアプリケーションコミュニティによって多大な努力が払われてきた。セクター別のガイダンスや戦略もいくつか策定されており、附属書 B で紹介している。このホワイトペーパーでは、さまざまな実装環境における暗号機敏性への取り組みを調査し、さまざまなアプリケーションの機敏性のニーズを実現するための戦略を提案する。また、さまざまな状況における暗号機敏性について考察し、関係者間の連携の必要性を強調する。
The paper is structured as follows:	このホワイトペーパーは、以下の構成となっている。
• Section 2 discusses the challenges faced in past transitions.	• セクション 2 では、過去の移行で直面した課題について考察する。
• Section 3 examines the challenges and existing practices in achieving crypto agility for security protocols.	• セクション 3 では、セキュリティプロトコルの暗号機敏性を実現する上での課題と既存の慣行について検証する。
• Section 4 addresses strategies for supporting crypto agility for applications — from an API to software libraries or hardware. Some of the strategies have been implemented in today’s systems, and others will be considered in the future.	• セクション 4 では、API からソフトウェアライブラリ、ハードウェアに至るまで、アプリケーションの暗号機敏性をサポートするための戦略について述べる。これらの戦略の一部は、現在のシステムに実装されており、その他は将来検討される予定だ。
• Section 5 presents the use of a crypto agility strategic plan for managing an organization’s cryptographic risks in an enterprise environment.	• セクション 5 では、エンタープライズ環境における組織の暗号リスクを管理するための暗号機敏戦略計画の活用について紹介する。
• Section 6 identifies important areas for consideration and future actions.	• セクション 6 では、考慮すべき重要な分野と今後の取り組みについて識別する。
• Section 7 provides concluding thoughts.	• セクション 7 では、結論を述べる。

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.11 米国 NIST CSWP 39（初期公開ドラフト）暗号化の機敏性を実現するための考慮事項：戦略と実践

2025.07.25 02:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in パブコメ, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

米国ホワイトハウス AI行動計画(2025.07.23)

こんにちは、丸山満彦です。

トランプ政権が、バイデン政権時のAI関連大統領令 (E.O. 14110) を廃止して新たな大統領令を出して生きていましたが、それらに基づいたAI行動計画を発表しましたね...

構成としては、

AIイノベーションの加速
アメリカAIインフラの構築
国際的なAI外交・安全保障のリード

の３つの柱からできていますね...

・連邦政府は、AI 関連連邦資金が、これらの資金を無駄にする AI 規制の厳しい州に流用されることを許すべきではない。

・商務省（DOC）が国立標準技術研究所（NIST）を通じて、NIST AIリスク管理フレームワーク（NIST AI 100-1）を改訂し、誤情報、多様性、公平性、包摂性、および気候変動に関する言及を削除する。

という表現はあるものの...

・米国は、個人の権利を尊重し、市民の自由、プライバシー、機密性の保護を確保しつつ、世界最大かつ最高品質の AI 対応科学データセットの構築をリードしなければならない

・商務省（DOC）の国立標準技術研究所（NIST）を主導し、NISTの「フォレンジック証拠の守護者」ディープフェイク評価プログラムを正式なガイドラインと任意のフォレンジックベンチマークに発展させることを検討する。

といった表現も見られますね...

● U.S. White House

・2025.07.23 White House Unveils America’s AI Action Plan

White House Unveils America’s AI Action Plan	ホワイトハウス、アメリカの AI 行動計画を発表
The White House today released “Winning the AI Race: America’s AI Action Plan”, in accordance with President Trump’s January executive order on Removing Barriers to American Leadership in AI. Winning the AI race will usher in a new golden age of human flourishing, economic competitiveness, and national security for the American people.	ホワイトハウスは本日、トランプ大統領が 1 月に発令した「AI 分野におけるアメリカのリーダーシップの障害を取り除く」大統領令に基づき、「AI 競争に勝つ：アメリカの AI 行動計画」を発表しました。AI 競争に勝つことは、アメリカ国民にとって、人間の繁栄、経済競争力、国家安全保障の新たな黄金時代をもたらすでしょう。
The Plan identifies over 90 Federal policy actions across three pillars – Accelerating Innovation, Building American AI Infrastructure, and Leading in International Diplomacy and Security – that the Trump Administration will take in the coming weeks and months.	この計画では、イノベーションの加速、アメリカの AI インフラの構築、国際外交と安全保障におけるリーダーシップの確立という 3 つの柱にわたる 90 以上の連邦政府政策が、今後数週間から数カ月の間にトランプ政権によって実施される予定です。
Key policies in the AI Action Plan include:	AI 行動計画における主な政策は以下の通りです。
・Exporting American AI: The Commerce and State Departments will partner with industry to deliver secure, full-stack AI export packages – including hardware, models, software, applications, and standards – to America’s friends and allies around the world.	・アメリカの AI の輸出：商務省と国務省は、業界と提携して、ハードウェア、モデル、ソフトウェア、アプリケーション、標準など、安全でフルスタックな AI 輸出パッケージを、世界中のアメリカの友好国や同盟国に提供します。
・Promoting Rapid Buildout of Data Centers: Expediting and modernizing permits for data centers and semiconductor fabs, as well as creating new national initiatives to increase high-demand occupations like electricians and HVAC technicians.	・データセンターの迅速な構築の推進：データセンターや半導体工場の許可の迅速化および近代化、ならびに電気技師や HVAC 技術者などの需要の高い職業を増やすための新たな国家イニシアチブを創設します。
・Enabling Innovation and Adoption: Removing onerous Federal regulations that hinder AI development and deployment, and seek private sector input on rules to remove.	・イノベーションと採用を可能にする：AI の開発と展開を妨げる煩雑な連邦規制を撤廃し、撤廃すべき規則について民間部門の意見を募る。
・Upholding Free Speech in Frontier Models: Updating Federal procurement guidelines to ensure that the government only contracts with frontier large language model developers who ensure that their systems are objective and free from top-down ideological bias.	・フロンティアモデルにおける表現の自由の擁護：連邦政府の調達ガイドラインを更新し、そのシステムが客観的で、トップダウンのイデオロギー的バイアスがないことを保証するフロンティアの大規模言語モデル開発者とのみ契約を行うようにする。
“America’s AI Action Plan charts a decisive course to cement U.S. dominance in artificial intelligence. President Trump has prioritized AI as a cornerstone of American innovation, powering a new age of American leadership in science, technology, and global influence. This plan galvanizes Federal efforts to turbocharge our innovation capacity, build cutting-edge infrastructure, and lead globally, ensuring that American workers and families thrive in the AI era. We are moving with urgency to make this vision a reality,” said White House Office of Science and Technology Policy Director Michael Kratsios.	「アメリカの AI 行動計画は、人工知能分野における米国の優位性を確固たるものにする決定的な道筋を策定したものです。トランプ大統領は、AI をアメリカのイノベーションの礎として優先課題に位置付け、科学、技術、そして世界におけるアメリカのリーダーシップの新たな時代を推進しています。この計画は、イノベーション能力の飛躍的向上、最先端のインフラの構築、そして世界的なリーダーシップの発揮に向けた連邦政府の取り組みを活性化し、AI 時代においてアメリカの労働者と家族が繁栄することを保証するものです。私たちは、このビジョンを実現するために緊急に対応しています」と、ホワイトハウス科学技術政策局長のマイケル・クラティオス氏は述べています。
“Artificial intelligence is a revolutionary technology with the potential to transform the global economy and alter the balance of power in the world. To remain the leading economic and military power, the United States must win the AI race. Recognizing this, President Trump directed us to produce this Action Plan. To win the AI race, the U.S. must lead in innovation, infrastructure, and global partnerships. At the same time, we must center American workers and avoid Orwellian uses of AI. This Action Plan provides a roadmap for doing that,” said AI and Crypto Czar David Sacks.	「人工知能は、世界経済を変革し、世界の勢力均衡を変える可能性を秘めた革新的な技術です。経済および軍事大国としての地位を維持するためには、米国は AI 競争に勝利しなければなりません。このことを認識したトランプ大統領は、この行動計画の策定を指示しました。AI 競争に勝利するためには、米国はイノベーション、インフラ、グローバルなパートナーシップにおいて主導権を握らなければなりません。同時に、米国の労働者を重視し、オーウェル的な AI の使用は回避しなければなりません。この行動計画は、そのためのロードマップを提供します」と、人工知能と暗号資産に関する特別顧問のDavid Sacks 氏は述べています。
“Winning the AI Race is non-negotiable. America must continue to be the dominant force in artificial intelligence to promote prosperity and protect our economic and national security. President Trump recognized this at the beginning of his administration and took decisive action by commissioning this AI Action Plan. These clear-cut policy goals set expectations for the Federal Government to ensure America sets the technological gold standard worldwide, and that the world continues to run on American technology,” said Secretary of State and Acting National Security Advisor Marco Rubio.	「AI 競争に勝つことは、譲歩の余地のない課題です。米国は、繁栄を促進し、経済および国家安全保障を保護するために、人工知能の分野において引き続き支配的な地位を維持しなければなりません。トランプ大統領は、政権発足当初からこのことを認識し、この AI 行動計画を委託するという断固たる措置を講じました。これらの明確な政策目標は、米国が世界的な技術基準を確立し、世界が米国の技術によって動き続けることを確保するための連邦政府への期待を定めたものです」と、国務長官兼国家安全保障担当大統領補佐官のマルコ・ルビオ氏は述べています。
Learn more at AI.Gov.	詳細については、AI.Gov を参照

● AI Gov

・AI Action Plan

Action Plan	行動計画
The United States is in a race to achieve global dominance in artificial intelligence. Whoever has the largest AI ecosystem will set the global standards and reap broad economic and security benefits. Under President Trump, our Nation will win, ushering in a new Golden Age of innovation, human flourishing, and technological achievement for the American people. America’s AI Action Plan has three policy pillars – Accelerating Innovation, Building AI Infrastructure, and Leading International Diplomacy and Security.	米国は、人工知能の分野における世界的な優位性を獲得するための競争に突入しています。最大の AI エコシステムを有する者が、世界的な標準を確立し、経済および安全保障面において幅広い利益を得るでしょう。トランプ大統領の下、米国は勝利を収め、米国国民のために、イノベーション、人間の繁栄、技術的成果の新たな黄金時代を切り拓くでしょう。米国の AI 行動計画には、イノベーションの加速、AI インフラの構築、国際外交と安全保障のリードという 3 つの政策の柱があります。
introduction	序論
America is in a race to achieve global dominance in artificial intelligence (AI). Winning this race will usher in a new era of human flourishing, economic competitiveness, and national security for the American people. Recognizing this, President Trump directed the creation of an AI Action Plan in the early days of his second term in office. Based on the three pillars of accelerating innovation, building AI infrastructure, and leading in international diplomacy and security, this Action Plan is America’s roadmap to win the race.	米国は、人工知能（AI）の分野における世界的な優位性を獲得するための競争に突入しています。この競争に勝利することは、アメリカ国民にとって人類の繁栄、経済的競争力、国家安全保障の新たな時代を築くことになります。この認識に基づき、トランプ大統領は第2期政権の初期段階でAI行動計画の策定を指示しました。この行動計画は、イノベーションの加速、AIインフラの構築、国際外交と安全保障におけるリーダーシップという3つの柱に基づき、アメリカが競争に勝利するためのロードマップです。
Pillar 1	柱1
Accelerate AI Innovation	AI のイノベーションの加速
America must have the most powerful AI systems in the world, but we must also lead the world in creative and transformative application of those systems. Ultimately, it is the uses of technology that create economic growth, new jobs, and scientific advancements. America must invent and embrace productivity enhancing AI uses that the world wants to emulate. Achieving this requires the Federal government to create the conditions where private sector-led innovation can flourish.	米国は、世界最強の AI システムを持つだけでなく、そのシステムの創造的かつ変革的な活用においても世界をリードしなければなりません。結局のところ、経済成長、新たな雇用、科学の進歩をもたらすのはテクノロジーの活用です。米国は、世界が模倣したいと思うような、生産性を高める AI の活用法を発明し、積極的に取り入れる必要があります。これを実現するには、連邦政府が、民間主導のイノベーションが花開くような環境を整えることが不可欠です。
Removing Red Tape and Onerous Regulation	規制の簡素化と過剰な規制の撤廃
Ensure that Frontier AI Protects Free Speech and American Values	フロンティア AI が言論の自由とアメリカの価値観を確実に保護する
Encourage Open-Source and Open-Weight AI	オープンソースとオープンウェイトAIの促進
Enable AI Adoption	AIの採用を促進する
Empower American Workers in the Age of AI	AI時代におけるアメリカ人の労働者を支援する
Support Next-Generation Manufacturing	次世代製造業の支援
Invest in AI-Enabled Science	AIを活用した科学への投資
Build World-Class Scientific Datasets	世界最高水準の科学データセットを構築する
Advance the Science of AI	AIの科学を推進する
Invest in AI Interpretability, Control, and Robustness Breakthroughs	AIの解釈可能性、制御性、堅牢性に関する画期的な技術開発への投資
Build an AI Evaluations Ecosystem	AI評価エコシステムを構築する
Accelerate AI Adoption in Government	政府における AI の採用を加速する
Drive Adoption of AI within the Department of Defense	国防総省におけるAIの採用を推進する
Protect Commercial and Government AI Innovations	商業および政府の AI イノベーションの防御
Combat Synthetic Media in the Legal System	法制度における合成メディア対策
Pillar 2	柱 2
Build American AI Infrastructure	アメリカの AI インフラの構築
AI is the first digital service in modern life that challenges America to build vastly greater energy generation than we have today. American energy capacity has stagnated since the 1970s while China has rapidly built out their grid. America’s path to AI dominance depends on changing this troubling trend. That requires streamlining permitting, strengthening and growing the electric grid, and creating the workforce to build it all.	AI は、現代生活における最初のデジタルサービスであり、アメリカに、現在よりもはるかに大規模なエネルギー発電の構築を迫っています。1970 年代以降、アメリカのエネルギー生産能力は停滞している一方、中国は電力網の急速な整備を進めています。アメリカが AI 分野での優位性を確立するには、この憂慮すべき傾向を変える必要があります。そのためには、許可手続きの効率化、電力網の強化と拡大、そしてそれを実現するための人材の育成が必要です。
Create Streamlined Permitting for Semiconductor Manufacturing Facilities, and Energy Infrastructure while Guaranteeing Security	セキュリティを確保しつつ、データセンター、半導体製造施設、エネルギーインフラの許可手続きを効率化
Develop a Grid to Match the Pace of AI Innovation	AIイノベーションのペースに追従するグリッドを開発する
Restore American Semiconductor Manufacturing	アメリカ半導体製造の回復
Build High-Security Data Centers for Military and Intelligence Community Usage	軍事および諜報機関が使用する高セキュリティのデータセンターを構築する
Train a Skilled Workforce for AI Infrastructure	AIインフラのための高度な人材の育成
Bolster Critical Infrastructure Cybersecurity	重要インフラのサイバーセキュリティ強化
Promote Secure-By-Design AI Technologies and Applications	Secure-By-Design AI技術とアプリケーションの促進
Promote Mature Federal Capacity for AI Incident Response	AIインシデント対応における連邦政府の成熟した能力の促進
Pillar 3	柱 3
Lead in International AI Diplomacy and Security	国際的な AI 外交およびセキュリティにおけるリーダーシップ
To succeed in the global AI competition, America must do more than promote AI within its own borders. The United States must also drive adoption of American AI systems, computing hardware, and standards throughout the world. America currently is the global leader on data center construction, computing hardware performance, and models. It is imperative that the United States leverage this advantage into an enduring global alliance, while preventing our adversaries from free-riding on our innovation and investment.	グローバルな AI 競争で成功を収めるためには、米国は自国での AI の推進だけでは不十分です。米国は、米国の AI システム、コンピューティング・ハードウェア、および標準を世界中に普及させる取り組みも推進しなければなりません。米国は現在、データセンターの建設、コンピューティング・ハードウェアの性能、およびモデルにおいて世界トップの地位を占めています。米国は、この優位性を活用して永続的なグローバルな同盟関係を構築すると同時に、敵対国が米国のイノベーションや投資を無断で利用することを防止することが不可欠です。
Export American AI to Allies and Partners	同盟国とパートナーにアメリカのAIを輸出する
Counter Chinese Influence in International Governance Bodies	国際ガバナンス機関における中国の影響力に対抗する
Strengthen AI Compute Export Control Enforcement	AI計算資源の輸出管理強化
Plug Loopholes in Existing Semiconductor Manufacturing Export Controls	既存の半導体製造輸出管理の抜け穴を塞ぐ
Align Protection Measures Globally	保護措置のグローバルな整合化
Ensure that the U.S. Government is at the Forefront of Evaluating National Security Risks in Frontier Models	米国政府が、フロンティアモデルにおける国家安全保障上のリスク評価の最前線に立つことを確実にする
Invest in Biosecurity	バイオセキュリティへの投資

・[PDF] Winning the Race - AMERICA’S AI ACTION PLAN

・[DOCX][PDF] 仮訳

トランプ政権のAI関連の大統領令...

アメリカの青少年のための人工知能教育の推進

・2025.04.23 [PDF] Executive Order 14277 Advancing Artificial Intelligence Education for American Youth

人工知能分野におけるアメリカのリーダーシップの障害の除去

・2025.01 23 [PDF] Executive Order 14179 Removing Barriers to American Leadership in Artificial Intelligence

OMB

イノベーション、ガバナンス、および国民の信頼による AI の連邦政府での活用促進

・2025.04.03 M-25-21 Accelerating Federal Use of AI through Innovation, Governance, and Public Trust

政府における人工知能の効率的な取得の推進

・2025.04.03 M-25-22 Driving Efficient Acquisition of Artificial Intelligence in Government

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.21 米国トランプ大統領が大統領令14110 人工知能の安全、安心、信頼できる開発と利用を含む67の大統領令と11の覚書を撤回する大統領令を出しましたね...(2025.01.20)

・2023.10.31 米国人工知能の安全、安心、信頼できる開発と利用に関する大統領令

2025.07.25 01:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

欧州委員会汎用 AI 実践規範 (2025.07.10)

こんにちは、丸山満彦です。

欧州委員会から、汎用AI実践規範（第1章「透明性」と第2章「著作権」第3章「安全とセキュリティ」）が公表されていますね...

第1章「透明性」と第2章「著作権」は汎用 AI モデルのすべてのプロバイダを対象としtています。第3章「安全とセキュリティ」は、最先端のモデルを提供する限られたプロバイダのみを対象としていますね...

● European Commission

・2025.07.10 General-Purpose AI Code of Practice now available

General-Purpose AI Code of Practice now available	汎用 AI 実践規範が公表された
The European Commission has received the final version of the General-Purpose AI Code of Practice, a voluntary tool developed by 13 independent experts, with input from over 1,000 stakeholders, including model providers, small and medium-sized enterprises, academics, AI safety experts, rightsholders, and civil society organisations.	欧州委員会は、13 人の独立専門家が、モデルプロバイダ、中小企業、学者、AI 安全の専門家、権利者、市民団体など 1,000 以上の利害関係者の意見を取り入れて策定した自主的なツールである「汎用 AI 実践規範」の最終版を受け取った。
The Code is designed to help industry comply with the AI Act's rules on general-purpose AI, which will enter into application on 2 August 2025. The rules become enforceable by the AI Office of the Commission one year later as regards new models and two years later as regards existing models. This aims to ensure that general-purpose AI models placed on the European market — including the most powerful ones — are safe and transparent.	この規範は、2025年8月2日に施行される AI 法における汎用 AI に関する規則の遵守を支援することを目的としている。この規則は、新規モデルについては 1 年後、既存モデルについては 2 年後に、欧州委員会の AI 事務局によって施行される。これは、欧州市場に上市される汎用 AI モデル（最も強力なモデルを含む）の安全性と透明性を確保することを目的としている。
The Code consists of three chapters: Transparency and Copyright, both addressing all providers of general-purpose AI models, and Safety and Security, relevant only to a limited number of providers of the most advanced models.	この規範は 3 章で構成されており、第 1 章「透明性」と第 2 章「著作権」は汎用 AI モデルのすべてのプロバイダを対象とし、第 3 章「安全とセキュリティ」は、最先端のモデルを提供する限られたプロバイダのみを対象としている。
Once the Code is endorsed by the Member States and the Commission, providers of general-purpose AI models who voluntarily sign the Code will be able to demonstrate compliance with the relevant AI Act obligations by adhering to the Code. In doing so, signatories to the Code will benefit from a reduced administrative burden and increased legal certainty compared to providers that prove compliance in other ways.	この規範が加盟国および欧州委員会によって承認されると、この規範に自主的に署名した汎用 AI モデルのプロバイダは、この規範を順守することで、関連する AI 法の義務を順守していることを実証することができる。これにより、この規範の署名者は、他の方法で順守を証明するプロバイダに比べ、行政負担の軽減と法的確実性の向上というメリットを享受することができる。
More information on the Code of Practice can be found in the press release online.	この規範の詳細については、オンラインのプレスリリースを参照。
Find further information about:	以下の情報も参照すること：
The Code of Practice on GPAI	汎用AIに関する実践規範
Questions and Answers on the Code of Practice on GPAI	汎用AIに関する実践規範に関する質問と回答
More information about the drawing-up process of the GPAI Code of Practice	汎用AI実践規範の策定プロセスに関する詳細情報

実践規範

・The General-Purpose AI Code of Practice

The General-Purpose AI Code of Practice	汎用AI実践規範
The Code of Practice helps industry comply with the AI Act legal obligations on safety, transparency and copyright of general-purpose AI models.	この実践規範は、汎用AIモデルの安全性、透明性、著作権に関するAI法の法的義務に業界が準拠するための支援を目的としている。
The General-Purpose AI (GPAI) Code of Practice is a voluntary tool, prepared by independent experts in a multi-stakeholder process, designed to help industry comply with the AI Act’s obligations for providers of general-purpose AI models. Read more about the timeline and the drafting process of the code.	汎用 AI（GPAI）実践規範は、多国間協議プロセスにおいて独立した専門家によって作成された自主的なツールであり、業界が汎用 AI モデルのプロバイダに対する AI 法の義務を遵守するのを支援することを目的としている。規範のスケジュールおよび作成プロセスについて詳しくは、こちらを参照。
The code was published on July 10, 2025. In the following weeks, Member States and the Commission will assess its adequacy. Additionally, the code will be complemented by Commission guidelines on key concepts related to general-purpose AI models, to be published still in July.	この規範は 2025 年 7 月 10 日に公表された。今後数週間のうちに、加盟国および欧州委員会がその妥当性を評価する。さらに、この規範は、汎用 AI モデルに関する重要な概念に関する欧州委員会のガイドラインによって補完され、7 月中に公表される予定である。
After the code is endorsed by Member States and the Commission, AI model providers who voluntarily sign it can show they comply with the AI Act by adhering to the code. This will reduce their administrative burden and give them more legal certainty than if they proved compliance through other methods.	加盟国および欧州委員会によってこの規範が承認された後、自主的にこの規範に署名した AI モデルプロバイダは、この規範を順守することで AI 法を遵守していることを示すことができる。これにより、他の方法で順守を証明する場合に比べ、行政負担が軽減され、法的確実性が高まる。
Find more information on the questions and answers (Q&A) about the code of practice for General-Purpose AI.	汎用 AI 実践規範に関する質問と回答（Q&A）の詳細については、こちらを参照。
Providers of general-purpose AI models may sign the code by completing the Signatory Form and sending the signed form to [mail]. Potential Signatories may also email this address to ask any questions on the process of signing up to the code. Read more information about the signature process in this this dedicated Q&A.	汎用 AI モデルのプロバイダは、署名者フォームに記入し、署名したフォームを [mail]に送信することで、この規範に署名することができる。署名を検討している方は、このアドレスに、実践規範への署名手続きに関する質問を E メールで送付すること。署名手続きの詳細については、この専用 Q&A を参照。
The three chapters of the code	実践規範の 3 つの章
Below you can download the code, consisting of three separately authored chapters: Transparency, Copyright, and Safety and Security.	以下から、3 つの章（透明性、著作権、安全とセキュリティ）で構成される実践規範をダウンロードできる。
The Chapters on Transparency and Copyright offer all providers of general-purpose AI models a way to demonstrate compliance with their obligations under Article 53 AI Act.	透明性および著作権に関する章では、汎用 AI モデルのすべてのプロバイダが、AI 法第 53 条に基づく義務の遵守を実証する方法を紹介している。
The Chapters on Safety and Security is only relevant to the small number of providers of the most advanced models, those that are subject to the AI Act's obligations for providers of general-purpose AI models with systemic risk under Article 55 AI Act.	安全およびセキュリティに関する章は、AI 法第 55 条に基づく、システムリスクのある汎用 AI モデルのプロバイダに対する AI 法の義務の対象となる、ごく少数の最先端モデルのプロバイダにのみ関係する。
Transparency	透明性
The Transparency chapter (PDF) offers a user-friendly Model Documentation Form (DOCX) which allows providers to easily document the information necessary to comply with the AI Act obligation to on model providers to ensure sufficient transparency.	透明性に関する章（PDF）では、プロバイダが AI 法におけるモデルプロバイダに対する十分な透明性の確保義務を遵守するために必要な情報を簡単に文書化できる、ユーザーフレンドリーなモデル文書フォーム（DOCX）を提供している。
Copyright	著作権
The Copyright chapter (PDF) offers providers practical solutions to meet the AI Act's obligation to put in place a policy to comply with EU copyright law.	著作権に関する章（PDF）では、EU の著作権法を遵守するためのポリシーを策定するという AI 法の義務をプロバイダが満たすための実践的なソリューションを紹介している。
Safety and Security	安全とセキュリティ
The Safety and Security chapter (PDF) outlines concrete state-of-the-art practices for managing systemic risks, i.e. risks from the most advanced models. Providers can rely on this chapter to comply with the AI Act obligations for providers of general-purpose AI models with systemic risk.	「安全とセキュリティ」の章（PDF）では、システムリスク、すなわち最先端のモデルから生じるリスクを管理するための、具体的な最先端の慣行の概要を紹介している。プロバイダは、この章を参考にして、システムリスクのある汎用 AI モデルのプロバイダに対する AI 法の義務を遵守することができる。

・[PDF] Transparency chapter

・[PDF] Copyright chapter

・[PDF] Safety and Security chapter

３つまとめて...

・[DOCX][PDF] 仮訳

フォーム

・[DOCX] 原文仮訳

策定

・2025.07.14 Drawing-up a General-Purpose AI Code of Practice

Drawing-up a General-Purpose AI Code of Practice	汎用 AI 実践規範の策定
The first General-Purpose AI Code of Practice received by the Commission details the AI Act rules for providers of general-purpose AI models and general-purpose AI models with systemic risks.	欧州委員会が最初に受け取った汎用 AI 実践規範には、汎用 AI モデルおよびシステムリスクを伴う汎用 AI モデルのプロバイダに対する AI 法規則の詳細が記載されている。
The European AI Office facilitated the drawing-up of the , chaired by independent experts, involving nearly 1000 stakeholders, as well as EU Member States representatives, European and international observers.	欧州 AI 事務局は、独立した専門家が議長を務め、1,000 近くの利害関係者、EU 加盟国の代表者、欧州および国際的なオブザーバーが参加して、この規範の策定を支援した。
Why a Code of Practice for General-Purpose AI?	汎用 AI 実践規範が必要な理由
General-purpose AI (GPAI) models can perform a wide range of tasks and are becoming the basis for many AI systems in the EU. Some of these models could carry systemic risks if they are very capable or widely used. To ensure safe and transparent AI, the AI Act puts in place rules for providers of such models. This includes transparency and copyright-related rules. For models that may carry systemic risks, providers should assess and mitigate these risks.	汎用 AI（GPAI）モデルは、幅広いタスクを実行でき、EU の多くの AI システムの基盤となりつつある。これらのモデルの中には、非常に高性能であるか、広く使用されている場合、システムリスクをもたらす可能性があるものもある。安全で透明性の高い AI を確保するため、AI 法は、このようなモデルの提供者に規則を定めている。これには、透明性および著作権に関する規則が含まれる。システムリスクをもたらす可能性のあるモデルについては、提供者はこれらのリスクを評価し、緩和すべきである。
The AI Act rules on general-purpose AI apply from 2 August 2025. The AI Office has been facilitating the drawing-up of a Code of Practice to detail out these rules.	汎用 AI に関する AI 法規則は、2025 年 8 月 2 日から適用される。AI 事務局は、これらの規則の詳細を規定した実践規範の策定を推進している。
The Code represents a voluntary tool prepared by independent experts designed to help industry comply with the AI Act’s rules on general-purpose AI.	この規範は、業界が汎用 AI に関する AI 法規則を順守するのを支援するために、独立した専門家によって作成された自主的なツールである。
How has the Code of Practice been drawn-up?	実践規範はどのように策定されたのか？
he Code has been prepared in an iterative drafting process. On 30 September, the AI Office hosted the Kick-off Event for the Code of Practice Plenary involving nearly 1000 participants, including a high number of professional organisations. These are the eligible respondents to the call to participate in the drawing-up launched by the AI Office on 30 July 2024.	この規範は、反復的なドラフト作成プロセスを経て作成された。9 月 30 日、AI 事務局は、実践規範に関する本会議のキックオフイベントを開催し、多くの専門機関を含む 1,000 人近くの参加者が集まった。これらは、2024 年 7 月 30 日に AI 事務局が募集した、実践規範の策定への参加の呼びかけに応募した者たちだ。
The plenary was structured in four working groups on specific topics. Following the kick-off Plenary, the participants were convene three times virtually for drafting rounds with discussions organised in working groups. For each of the working groups, discussions were facilitated by chairs and vice-chairs, who were selected and appointed by the AI Office from interested independent experts. Participants were able express comments during each of those meetings or within two weeks in writing.	本会議は、特定のテーマに関する 4 つの作業部会で構成された。キックオフ本会議の後、参加者は 3 回、作業部会での議論によるドラフト作成のためのオンライン会議を開催した。各作業部会では、AI 事務局が関心のある独立した専門家の中から選任した議長と副議長が議論を進行した。参加者は、各会議で、あるいは 2 週間以内に書面で意見を表明することができた。
The Code has been drafted in an inclusive and transparent process, with a variety of interested stakeholders involved: general-purpose AI model providers, downstream providers, industry organisations, civil society, rightsholders and other entities, as well as academia and independent experts.	この規範は、汎用 AI モデルプロバイダ、下流プロバイダ、業界団体、市民社会、権利者、その他の事業体、学界、独立専門家など、さまざまな利害関係者が参加し、包括的かつ透明性の高いプロセスを経てドラフトが作成された。
As the main addressees of the Code, providers of general-purpose AI models were invited to dedicated workshops with the Chairs and Vice-Chairs, contributing to informing each iterative drafting round, in addition to their Plenary participation. The AI Office has ensured transparency into these discussions.	この規範の主な対象者である汎用 AI モデルプロバイダは、本会議への参加に加え、議長および副議長による特別ワークショップにも招待され、各ドラフト作成の反復作業に情報を提供した。AI 事務局は、これらの議論の透明性を確保した。
Close involvement of EU Member States representatives has been ensured throughout the process, via the AI Board. The AI Office also invited other public bodies and agencies from all over the world working on risk assessment and mitigation for general-purpose AI models to the Plenary as observers.	EU 加盟国の代表者は、AI 委員会を通じて、プロセス全体に密接に関与した。AI 事務局は、汎用 AI モデルのリスクアセスメントおよび緩和に取り組む世界中の他の公的機関や機関も、オブザーバーとして本会議に招待した。
The AI Office played a pivotal role throughout the process. By facilitating the drawing-up, coordinating the discussions and documenting the outcomes, the AI Office guaranteed that the Chairs, Vice-Chairs, and all the participants in the Plenary had access to the information and can contribute meaningfully. This oversight helps maintain an open and collaborative environment, fostering trust and accountability in the development of the Code of Practice.	AI事務局はプロセス全体で中心的役割を果たした。草案の作成を促進し、議論を調整し、結果を文書化することで、AI事務局は議長、副議長、および本会議のすべての参加者が情報にアクセスし、意味のある貢献ができるよう保証した。この監督は、実践規範の開発において開かれた協働的な環境を維持し、信頼と責任感を育むのに役立つ。
Template for the summary of training data	トレーニングデータの要約テンプレート
In parallel to the Code of practice process, the AI Office is also developing a template on the sufficiently detailed summary of training data that general-purpose AI model providers are required to make public according to Article 53(1)d) of the AI Act. The AI Office collected input from stakeholders during a broader multi-stakeholder consultation on general-purpose AI, where more than 430 responses were provided from a wide range of stakeholders.	実践規範のプロセスと並行して、AI 事務局は、AI 法第 53 条(1)d) に基づき、汎用 AI モデルプロバイダが公開を義務付けられている、十分に詳細なトレーニングデータの要約に関するテンプレートも作成している。AI 事務局は、汎用 AI に関する幅広いマルチステークホルダー協議において、ステークホルダーから意見を集め、430 件以上の回答が幅広いステークホルダーから寄せられた。
The template for the summary of training data is closely linked to the providers' obligations in relation to transparency and copyright that have been detailed out in the Code of Practice. Given the close interlinkages of the two processes and the participation of all interested stakeholder groups with more than 1000 participants in the Code of Practice drafting, the AI Office has presented its preliminary ideas and allowed the participants to the Code to provide additional feedback on the preliminary structure and elements of the template. The topic is also discussed with the Member States' representatives in the AI Board subgroup and the European Parliament before the Commission adopts the template in the second quarter of 2025.	トレーニングデータの要約テンプレートは、実践規範に詳述されている透明性および著作権に関するプロバイダの義務と密接に関連している。2 つのプロセスは密接に関連しており、実践規範の起草には 1,000 人以上の関係者グループが参加していることを踏まえ、AI 事務局は、その予備的な考え方を提示し、実践規範の参加者に対して、テンプレートの予備的な構造および要素について追加のフィードバックを提供する機会を設けた。また、2025 年第 2 四半期に委員会がテンプレートを採択する前に、AI 理事会小委員会および欧州議会の加盟国代表者ともこの問題について協議する予定である。

汎用AI実践規範への署名

・2025.07.17 Signing the General-Purpose AI code of practice

Signing the General-Purpose AI code of practice	汎用 AI 実践規範への署名
Questions and answers on signing the General-Purpose AI (GPAI) code of practice.	汎用 AI (GPAI) 実践規範への署名に関する質問と回答。
General FAQ	一般的な FAQ
Who can sign the code?	誰が規範に署名できるのか？
Any provider (or potential future provider) of a general-purpose AI model can sign the code by completing the Signatory Form and sending it to [mail]	汎用 AI モデルのあらゆるプロバイダ（または将来プロバイダとなる可能性のある者）は、署名者フォームに記入し、[mail] に送信することで、規範に署名することができる。
The form should be signed by a person with sufficient authority to bind the provider to the General-Purpose code of Practice (e.g. a senior executive).	このフォームには、プロバイダを汎用実践規範に拘束する十分な権限を有する者（上級幹部など）が署名する必要がある。
What does signing the code imply in terms of compliance with the AI Act?	この規範に署名することは、AI 法への遵守に関してどのような意味があるか？
Once the code is assessed as adequate by the AI Office and the AI Board, providers of general-purpose AI models may rely on the code to demonstrate compliance with Articles 53 and 55 of the AI Act. Any opt-out from chapters of the code of practice results in losing the benefits of facilitating the demonstration of compliance in that respect.	AI 事務局および AI 委員会によりこの規範が適切であると評価されると、汎用 AI モデルのプロバイダは、この規範を AI 法第 53 条および第 55 条への遵守の証明として利用することができる。実践規範の章の一部をオプトアウトすると、その部分に関する遵守の証明が容易になるというメリットは失われる。
For providers of general-purpose AI models that adhere to the code, the Commission will focus its enforcement activities on monitoring their adherence to the code. Because such providers are transparent about the measures they implement to comply with the AI Act, they benefit from increased trust from the Commission and other stakeholders.	実践規範を遵守する汎用 AI モデルのプロバイダについては、委員会は、実践規範の遵守状況を監視することに重点を置いて執行活動を行う。このようなプロバイダは、AI 法を遵守するために実施する措置について透明性を確保しているため、委員会やその他の利害関係者からの信頼を高めることができる。
What is the deadline for signing?	署名期限はいつか？
There is no deadline for signing the code. Providers may sign at any time. However, we ask existing providers to sign the code before August 1. For those signatories that agree, signatures will then be listed publicly online.	実践規範の署名期限はない。プロバイダはいつでも署名することができます。ただし、既存のプロバイダには 8 月 1 日までに署名をお願いしている。同意した署名者は、その署名がオンラインで公開される。
This way, the AI Office is aware of who intends to adhere to the code before the obligations of the AI Act start to apply on 2 August 2025. If a general-purpose AI model provider does not choose to adhere to the code, they need to demonstrate compliance through other means.	これにより、AI 事務局は、2025 年 8 月 2 日に AI 法の義務が適用される前に、実践規範の遵守を表明している者を把握することができる。汎用 AI モデルプロバイダが実践規範の遵守を選択しなかった場合は、他の手段で遵守を実証する必要がある。
Can providers of general-purpose AI models without systemic risk sign up to the Safety and Security chapter?	システミックリスクのない汎用 AI モデルのプロバイダは、「安全とセキュリティ」の章に署名することができるか？
Providers that are neither in the process of developing a general-purpose AI model with systemic risk nor intend to do so, may optionally sign the Safety and Security chapter. In this case, they are expected to specify which of their models - those that do not pose systemic risk - will be subject to the measures outlined in the Safety and Security chapter.	システミックリスクのある汎用 AI モデルを開発中ではなく、その開発も予定していないプロバイダは、「安全とセキュリティ」の章に任意で署名することができる。この場合、システミックリスクのないモデルのうち、安全とセキュリティの章で規定されている措置の対象となるモデルを明記することが求められる。
Do signatories need to comply with the full code immediately?	署名者は、実践規範の全文を直ちに遵守する必要があるか？
The AI Office acknowledges that signatories may require some time to fully implement the measures in the code (for example, time required to implement the cybersecurity measures under Commitment 6 of the Safety and Security chapter), in light of the fact that the code was published only recently on July 10, 2025. If Signatories do not fully implement all commitments immediately after signing the code, the AI Office will not necessarily consider them to have broken their commitments under the code. Instead, in such cases, the AI Office will consider them to act in good faith and will be ready to collaborate to help ensure adherence to the code.	AI オフィスは、実践規範が 2025 年 7 月 10 日に公表されたばかりであることを踏まえ、署名者が実践規範の措置を完全に実施するには、ある程度の時間が必要であることを認識している（例えば、安全・セキュリティ章のコミットメント 6 に定めるサイバーセキュリティ対策の実施に必要な時間）。署名者が実践規範署名後すぐにすべてのコミットメントを完全に実施しない場合、AI事務局は必ずしもそれらを実践規範上のコミットメント違反とみなさない。代わりに、そのような場合、AI事務局はそれらを善意に基づく行動とみなすとともに、実践規範遵守を確保するための協力を準備します。
What happens to providers that don’t adhere to the Code?	実践規範を遵守しないプロバイダはどうなるのか？
Providers that do not adhere to the code must demonstrate compliance via other adequate means and will have to report the measures they have implemented to the AI Office. Furthermore, such providers are expected to explain how the measures they implement ensure compliance with their obligations under the AI Act, for instance by carrying out a gap analysis that compares the measures they have implemented with the measures set out by the code.	この規範を遵守しないプロバイダは、他の適切な手段で遵守を証明し、実施した措置を AI 事務局に報告しなければならない。さらに、そのようなプロバイダは、実施した措置が AI 法に基づく義務をどのように確保しているかを、例えば、実施した措置と規範で定められた措置を比較するギャップ分析を行うなどして説明することが求められる。
Providers that don’t adhere to the code may also be subject to a larger number of requests for information and requests for access to conduct model evaluations throughout the entire model lifecycle because the AI Office will have less of an understanding of how they are ensuring compliance with their obligations under the AI Act and will typically need more detailed information, including about modifications made to general-purpose AI models throughout their entire lifecycle.	まこの規範を遵守しないプロバイダは、AI オフィスが AI 法に基づく義務の遵守状況を把握しにくいため、モデルライフサイクル全体を通じて、情報開示やモデル評価のためのアクセス要求がより多く発生する場合がある。また、AI オフィスは、モデルライフサイクル全体を通じて、汎用 AI モデルに加え、モデルライフサイクル全体における変更内容など、より詳細な情報を必要とする場合が多い。
How will the Code be updated?	実践規範はどのように更新されるのか？
In line with the Article 56(8) AI Act, the AI Office shall, as appropriate, encourage and facilitate the review and adaptation of the code.	AI 法第 56 条 (8) に基づき、AI 事務局は、必要に応じて、規範の見直しおよび改訂を奨励し、促進するものとする。
The AI Office may facilitate formal updates to the code in response to technological developments, changes in the risk landscape, or experience with the application of the AI Act rules. The AI Office will review the code at least every two years, and it may propose a streamlined process for reviews and updates as needed. The AI Office may also issue guidance to further clarify concepts relevant for the code as appropriate to ensure its contribution to the proper application of the obligations under the AI Act.	AI 事務局は、技術の発展、リスクの状況の変化、または AI 法規則の適用経験に応じて、規範の正式な更新を促進することができる。AI 事務局は、少なくとも 2 年に 1 回、規範を見直し、必要に応じて、見直しおよび更新のための簡素化されたプロセスを提案することができる。AI事務局は、AI法の義務の適切な適用への貢献を確保するため、必要に応じて、実践規範に関連する概念をさらに明確にするための指針を発行することができる。
Any updates to the text of the GPAI Code of Practice will be shared with the signatories for their consideration, and signatories will be invited to sign the updated code.	GPAI実践規範の文言の更新は、署名者に共有され、検討が求められ、署名者は更新された実践規範に署名するよう招待される。
Can a signatory withdraw their signature?	署名者は署名を取り消すことができるか？
Yes, a signatory may withdraw their signature to the Code at any time.	はい、署名者はいつでも実践規範への署名を撤回することができる。

AI 法における汎用 AI モデル – 質問と回答

・2025.07.16 General-Purpose AI Models in the AI Act – Questions & Answers

General-Purpose AI Models in the AI Act – Questions & Answers	AI 法における汎用 AI モデル – 質問と回答
With this Q&A, the AI Office seeks to facilitate the interpretation of certain provisions of the AI Act. This Q&A does not constitute an official position of the Commission, and it is without prejudice to any decision or position of the Commission. Only the Court of Justice of the European Union is competent to authoritatively interpret the AI Act.	この Q&A は、AI 法の一部の規定の解釈を容易にするために AI 事務局が作成したものです。この Q&A は、欧州委員会の公式見解を構成するものではなく、欧州委員会の決定や立場を妨げるものではない。AI 法を正式に解釈する権限は、欧州連合司法裁判所のみが有している。
General questions about the code of practice	実践規範に関する一般的な質問
Why do we need rules for general-purpose AI models?	汎用 AI モデルに関する規則が必要な理由
Artificial Intelligence (“AI”) promises huge benefits to our economy and society. General-purpose AI models play an important role in that regard, as they can be used for a variety of tasks and therefore form the basis for a range of downstream AI systems, used in Europe and worldwide.	人工知能（AI）は、経済および社会に大きなメリットをもたらすと期待されている。汎用 AI モデルは、さまざまなタスクに使用できるため、欧州および世界中で使用されるさまざまな下流 AI システムの基盤となる、その点で重要な役割を果たしている。
The AI Act aims to ensure that general-purpose AI models are safe and trustworthy.	AI 法は、汎用 AI モデルの安全性と信頼性を確保することを目的としている。
To achieve that aim, it is crucial that providers of general-purpose AI models ensure a good understanding of their models along the entire AI value chain, so as to allow downstream providers both to integrate such models into AI systems and to fulfil their own obligations under the AI Act. More specifically, and as explained in more detail below, providers of general-purpose AI models must draw up technical documentation of their models to make available to downstream providers and to provide upon request to the AI Office and national competent authorities, put in place a copyright policy, and publish a training content summary. In addition, providers of general-purpose AI models posing systemic risks, which may be the case either because the models are very capable or because they have a significant impact on the internal market for other reasons, must notify those models to the Commission, assess and mitigate systemic risks stemming from those models, including via performing model evaluations, reporting serious incidents, and ensuring adequate cybersecurity of these models.	その目的を達成するためには、汎用 AI モデルプロバイダが、AI バリューチェーン全体を通じて自社のモデルを十分に理解し、下流のプロバイダが AI システムに当該モデルを統合し、AI 法に基づく自らの義務を履行できるようにすることが重要である。より具体的には、以下で詳しく説明するように、汎用 AI モデルのプロバイダは、下流のプロバイダが利用できるように、また AI 事務局および各国の管轄当局の要請に応じて提供できるように、自社のモデルの技術文書を作成し、著作権ポリシーを策定し、トレーニングコンテンツの概要を公開しなければならない。 さらに、その能力が非常に高い、あるいはその他の理由により域内市場に重大な影響を及ぼすため、システミックリスクをもたらす可能性のある汎用 AI モデルのプロバイダは、そのモデルを欧州委員会に通知し、モデル評価の実施、重大なインシデントの報告、モデルの適切なサイバーセキュリティの確保などを通じて、そのモデルに起因するシステミックリスクを評価し、緩和しなければならない。
In this way, the AI Act contributes to safe and trustworthy innovation in the European Union.	このようにして、AI法は欧州連合における安全で信頼できるイノベーションに貢献する。
What are general-purpose AI models?	汎用AIモデルとは何か？
The AI Act defines a general-purpose AI model as “an AI model, including where such an AI model is trained with a large amount of data using self-supervision at scale, that displays significant generality and is capable of competently performing a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications” (Article 3(63) AI Act).	AI 法では、汎用 AI モデルを「大規模な自己監督を用いて大量のデータで訓練された AI モデルを含め、市場での上市方法に関係なく、幅広い異なるタスクを適切に実行することができ、さまざまな下流のシステムやアプリケーションに統合できる、著しい汎用性を示す AI モデル」と定義している（AI 法第 3 条（63））。
The recitals to the AI Act further clarify which models should be deemed to display significant generality and to be capable of performing a wide range of distinct tasks.	AI 法の前文では、どのモデルが「高い汎用性を示し、幅広い異なるタスクを遂行することができる」とみなされるべきかをさらに明確にしている。
According to recital 98 AI Act, “whereas the generality of a model could, inter alia, also be determined by a number of parameters, models with at least a billion of parameters and trained with a large amount of data using self-supervision at scale should be considered to display significant generality and to competently perform a wide range of distinctive tasks.”	AI 法前文 98 項では、「モデルの汎用性は、とりわけ、パラメータの数によっても決定される可能性があるが、少なくとも 10 億個のパラメータを有し、大規模な自己監督を用いて大量のデータで訓練されたモデルは、高い汎用性を有し、幅広い多様なタスクを適切に実行できるとみなすべきである」と規定されている。
Recital 99 AI Act adds that “large generative AI models are a typical example for a general-purpose AI model, given that they allow for flexible generation of content, such as in the form of text, audio, images or video, that can readily accommodate a wide range of distinctive tasks.”	AI 法前文 99 では、「大規模な生成的 AI モデルは、テキスト、音声、画像、動画などのコンテンツを柔軟に生成でき、幅広い特徴的なタスクに容易に対応できることから、汎用 AI モデルの典型的な例である」と付け加えられている。
Note that significant generality and ability to competently perform a wide range of distinctive tasks may be achieved by models within a single modality, such as text, audio, images, or video, if the modality is flexible enough. This may also be achieved by models that were developed, fine-tuned, or otherwise modified to be particularly good at a specific task or at a number of tasks in a specific domain.	なお、そのモダリティが十分に柔軟であれば、テキスト、音声、画像、動画などの単一のモダリティのモデルでも、かなりの汎用性と幅広い特徴的なタスクを適切に実行できる能力を実現できることに留意してください。これは、特定のタスクまたは特定の分野における複数のタスクに特に優れるように開発、微調整、またはその他の方法で変更されたモデルでも実現できる。
Different stages of the development of a model do not constitute different models.	モデルの開発の段階は、異なるモデルを構成するものではない。
The AI Office intends to provide further clarifications on what should be considered a general-purpose AI model, drawing on insights from the Commission’s Joint Research Centre, which is currently working on a scientific research project addressing this and other questions.	AI 事務局は、この問題やその他の問題に取り組む科学研究プロジェクトを現在進行中の欧州委員会の共同研究センターからの知見を参考にし、汎用 AI モデルとみなすべきものについてさらに明確化を図る予定である。
What are general-purpose AI models with systemic risk?	システミックリスクを伴う汎用 AI モデルとは何か？
Systemic risks are risks of large-scale harm from the most advanced (i.e. state-of-the-art) models at any given point in time or from other models that have an equivalent impact (see Article 3(65) AI Act). Such risks can manifest themselves, for example, through the lowering of barriers for chemical or biological weapons development, or unintended issues of control over autonomous general-purpose AI models (recital 110 AI Act). The most advanced models at any given point in time may pose systemic risks, including novel risks, as they are pushing the state of the art. At the same time, some models below the threshold reflecting the state of the art may also pose systemic risks, for example through reach, scalability, or scaffolding.	システミックリスクとは、ある時点における最先端（すなわち、最新鋭）のモデル、または同等の影響力を持つ他のモデルによって生じる大規模な被害のリスクを指します（AI 法第 3 条（65）参照）。このようなリスクは、例えば、化学兵器や生物兵器の開発の障壁の低下、または自律型汎用 AI モデルの制御に関する意図しない問題として現れる可能性がある（AI 法前文 110）。ある時点における最先端のモデルは、その最先端の技術をさらに押し進めているため、新たなリスクを含むシステミックリスクをもたらす可能性がある。同時に、最先端の技術を反映した基準値を下回る一部のモデルも、その到達範囲、拡張性、または足場構築力などを通じて、システミックリスクをもたらす可能性がある。
Accordingly, the AI Act classifies a general-purpose AI model as a general-purpose AI model with systemic risk if it is one of the most advanced models at that point in time or if it has an equivalent impact (Article 51(1) AI Act). Which models are considered general-purpose AI models with systemic risk may change over time, reflecting the evolving state of the art and potential societal adaptation to increasingly advanced models. Currently, general-purpose AI models with systemic risk are developed by a handful of companies, although this may change in the future.	したがって、AI 法では、その時点で最も先進的なモデルの一つである、あるいは同等の影響力を持つ汎用 AI モデルを、システムリスクのある汎用 AI モデルとして分類している（AI 法第 51 条第 1 項）。システムリスクのある汎用 AI モデルとみなされるモデルは、技術の進歩や、ますます高度化するモデルに対する社会の適応の程度に応じて、時間の経過とともに変化する可能性がある。現在、システムリスクのある汎用 AI モデルは、ごく一部の企業によって開発されているが、将来は変化する可能性がある。
To capture the most advanced models, i.e. models that match or exceed the capabilities recorded in the most advanced models so far, the AI Act lays down a threshold of 10^25 floating-point operations (FLOP) used for training the model (Article 51(1)(a) and (2) AI Act). Training a model that meets this threshold is currently estimated to cost tens of millions of Euros (Epoch AI, 2024). The AI Office is continuously monitoring technological and industrial developments, and the Commission may update the threshold, through the adoption of a delegated act (Article 51(3) AI Act), to ensure that it continues to single out the most advanced models as the state of the art evolves. For example, the value of the threshold itself could be adjusted and/or additional thresholds introduced.	最も高度なモデル、すなわちこれまで記録された最も高度なモデルと同等またはそれ以上の能力を有するモデルを捕捉するため、AI法は、モデルの訓練に用いられる浮動小数点演算（FLOP）の閾値を10^25と定めている（AI法第51条第1項(a)および(2)）。この閾値を満たすモデルの訓練には、現在、数千万ユーロのコストがかかるものと推定されている（Epoch AI、2024年）。AI事務局は、技術的・産業的な動向を継続的に監視しており、委員会は、委任行為の採択（AI法第51条第3項）を通じて、閾値を更新し、最先端技術が進化するにつれて、最も高度なモデルを最先端技術として特定し続けるよう確保することができる。例えば、閾値自体の値を調整したり、追加の閾値を導入したりすることが考えられる。
To capture models with an impact equivalent to the most advanced models, the AI Act empowers the Commission to designate additional models as posing systemic risk, based on criteria such as the evaluations of capabilities of the model, number of users, scalability, or access to tools (Article 51(1)(b) and Annex XIII AI Act).	最先端のモデルと同等の影響力を持つモデルを捕捉するため、AI 法は、モデルの機能の評価、ユーザー数、拡張性、ツールへのアクセスなどの規準に基づき、システムリスクをもたらす追加のモデルを指定する権限を委員会に与えている（AI 法第 51 条(1)(b) および附属書 XIII）。
The AI Office intends to provide further clarifications on how general-purpose AI models will be classified as general-purpose AI models with systemic risk, drawing on insights from the Commission’s Joint Research Centre which is currently working on a scientific research project addressing this and other questions.	AI 事務局は、この問題やその他の問題に取り組む科学研究プロジェクトを現在進行中の欧州委員会の共同研究センターからの知見を参考にし、汎用 AI モデルが、システムリスクのある汎用 AI モデルとしてどのように分類されるかについて、さらに明確化を行う予定である。
What is a provider of a general-purpose AI model?	汎用 AI モデルのプロバイダとは何か？
The AI Act rules on general-purpose AI models apply to providers placing such models on the market in the Union, irrespective of whether those providers are established or located within the Union or in a third country (Article 2(1)(a) AI Act).	汎用 AI モデルに関する AI 法の規定は、そのプロバイダが EU 域内に設立または所在するか、あるいは第三国に設立または所在するかに関わらず、EU 域内でそのようなモデルを上市するプロバイダに適用されます（AI 法第 2 条(1)(a)）。
A provider of a general-purpose AI model means a natural or legal person, public authority, agency or other body that develops a general-purpose AI model or that has such a model developed and places it on the market, whether for payment or free or charge (Article 3(3) AI Act).	汎用 AI モデルのプロバイダとは、汎用 AI モデルを開発する、またはその開発を委託し、有償または無償で上市する自然人、法人、公的機関、機関、その他の団体をいう（AI 法第 3 条（3））。
To place a model on the market means the first making available of the model on the Union market (Article 3(9) AI Act), that is, to supply it for distribution or use on the Union market for the first time in the course of a commercial activity, whether in return for payment or free of charge (Article 3(10) AI Act). Note that a general-purpose AI model is also considered to be placed on the market if that model’s provider integrates the model into its own AI system which is made available on the market or put into service, unless the model is (a) used for purely internal processes that are not essential for providing a product or a service to third parties, (b) the rights of natural persons are not affected, and (c) the model is not a general-purpose AI model with systemic risk (recital 97 AI Act).	モデルを市場に上市とは、そのモデルを EU 市場で初めて入手可能にすることをいう（AI 法第 3 条(9)）。つまり、有償または無償を問わず、商業活動において EU 市場で流通または使用するために、そのモデルを初めて供給することをいう（AI 法第 3 条(10)）。なお、汎用 AI モデルは、そのモデルの提供者が、市場で入手可能または使用可能な自社の AI システムに当該モデルを統合した場合も、上市されたものとみなされます。ただし、以下の条件を満たす場合を除きます。(a) サードパーティに製品またはサービスを提供するために不可欠ではない、純粋に内部的なプロセスに使用されている場合 (b) 自然人の権利が影響を受けない場合、および(c) モデルが、システムリスクを伴う汎用 AI モデルではない場合（AI 法前文 97）。
What are the obligations for providers of general-purpose AI models?	汎用 AI モデルのプロバイダにはどのような義務があるか？
Providers of general-purpose AI models must document technical information about their models for the purpose of providing that information upon request to the AI Office and national competent authorities (Article 53(1)(a) AI Act) and making it available to downstream providers (Article 53(1)(b) AI Act). They must also put in place a policy to comply with Union law on copyright and related rights (Article 53(1)(c) AI Act) and draw up and make publicly available a sufficiently detailed summary about the content used for training the model (Article 53(1)(d) AI Act).	汎用 AI モデルのプロバイダは、AI 事務局および各国の管轄当局からの要請に応じてその情報を提供するため（AI 法第 53 条(1)(a)）、また下流のプロバイダが利用できるようにするため（AI 法第 53 条(1)(b)）、そのモデルに関する技術情報を文書化しなければならない。また、著作権および関連する権利に関する連合法令に準拠するためのポリシーを策定し（AI法53条1項(c)）、モデルの訓練に使用されたコンテンツに関する十分な詳細な要約を作成し、公開しなければならない（AI法53条1項(d)）。
The General-Purpose AI Code of Practice should provide signatories with further detail on how to ensure compliance with these obligations in the sections dealing with transparency and copyright (led by Working Group 1).	汎用 AI 実践規範は、透明性および著作権に関するセクション（ワーキンググループ 1 が主導）において、これらの義務の遵守を確保する方法について、署名者にさらに詳細な情報を提供すべきである。
Under the AI Act, providers of general-purpose AI models with systemic risk have additional obligations. They must assess and mitigate systemic risks, in particular by performing model evaluations, keeping track of, documenting, and reporting serious incidents, and ensuring adequate cybersecurity protection for the model and its physical infrastructure (Article 55 AI Act).	AI 法に基づき、システミックリスクのある汎用 AI モデルのプロバイダには追加の義務が課せられる。彼らは、特に、モデル評価の実施、重大なインシデントの追跡、文書化、報告、およびモデルとその物理的インフラストラクチャの適切なサイバーセキュリティ保護の確保により、システミックリスクを評価し、緩和しなければならない（AI 法第 55 条）。
The General-Purpose AI Code of Practice should provide signatories with further detail on how to ensure compliance with these obligations in the sections dealing with systemic risk assessment, technical risk mitigation, and governance risk mitigation (led by Working Groups 2, 3, and 4 respectively).	汎用 AI 実践規範は、システミックリスクの評価、技術的リスクの緩和、およびガバナンスリスクの緩和に関するセクション（それぞれワーキンググループ 2、3、4 が主導）において、これらの義務の遵守を確保する方法について、署名者にさらなる詳細情報を提供すべきである。
The obligations for providers of general-purpose AI models apply from 2 August 2025 (Article 113(b) AI Act), with special rules for general-purpose AI models placed on the market before that date (Article 111(3)) AI Act.	汎用 AI モデルのプロバイダに対する義務は、2025 年 8 月 2 日から適用される（AI 法第 113 条（b））。ただし、その日付より前に上市された汎用 AI モデルについては、特別規則が適用される（AI 法第 111 条（3））。
What if someone open-sources a model, do they have to comply with the obligations for providers of general-purpose AI models?	誰かがモデルをオープンソース化した場合、その人は汎用 AI モデルのプロバイダに対する義務を遵守しなければならないのか？
The obligations to draw up and provide documentation to the AI Office, national competent authorities, and downstream providers (Article 53(1)(a) and (b) AI Act) do not apply if the model is released under a free and open-source license and its parameters, including the weights, the information on the model architecture, and the information on model usage, are made publicly available (Article 53(2) AI Act). Recitals 102 and 103 AI Act further clarify what constitutes a free and open-source license and the AI Office intends to provide further clarifications on questions concerning open-sourcing general-purpose AI models.	AI 事務局、国の管轄当局、および下流プロバイダに対して文書を作成し、提供するという義務（AI 法第 53 条（1）（a）および（b））は、モデルがフリーでオープンソースのライセンスに基づいて公開され、そのパラメータ（重み、モデルアーキテクチャに関する情報、モデル使用に関する情報など）が一般に公開されている場合には適用されない（AI 法第 53 条（2））。AI 法前文 102 項および 103 項では、フリーでオープンソースのライセンスとは何であるかをさらに明確化しており、AI 事務局は、汎用 AI モデルのオープンソース化に関する質問について、さらに明確化を図る予定である。
The exemption does not apply to general-purpose AI models with systemic risk. After the open-source model release, measures necessary to ensure compliance with the obligations of Article 55 may be more difficult to implement (Recital 112 AI Act). Consequently, providers of general-purpose AI models with systemic risk may need to assess and mitigate systemic risks before releasing their models as open-source.	この適用除外は、システミックリスクのある汎用 AI モデルには適用されない。オープンソースモデルがリリースされた後、第 55 条の義務を確実に遵守するために必要な措置の実施がより困難になる可能性がある（AI 法前文 112）。したがって、システミックリスクのある汎用 AI モデルのプロバイダは、モデルをオープンソースとしてリリースする前に、システミックリスクを評価し、緩和する必要があるかもしれない。
The General-Purpose AI Code of Practice should provide signatories with further detail on how to comply with the obligations in Articles 53 and 55 in relation to the different ways of releasing general-purpose AI models, including open-sourcing.	汎用 AI 実践規範は、オープンソース化を含む汎用 AI モデルのさまざまな公開方法に関して、第 53 条および第 55 条に定める義務を遵守する方法について、署名者にさらに詳細な情報を提供すべきである。
An important but difficult question underpinning the process of drawing up the Code of Practice is that of finding a balance between pursuing the benefits and mitigating the risks from the open-sourcing of advanced general-purpose AI models: open-sourcing advanced general-purpose AI models may indeed yield significant societal benefits, including through fostering AI safety research; at the same time, when such models are open-sourced, risk mitigations are more easily circumvented or removed.	実践規範の策定プロセスにおける重要かつ困難な課題は、高度な汎用 AI モデルのオープンソース化によるメリットの追求とリスクの緩和とのバランスを見出すことである。高度な汎用 AI モデルをオープンソース化することで、AI の安全性に関する研究の推進など、社会的に大きなメリットが得られる可能性がある一方で、こうしたモデルがオープンソース化されると、リスクの緩和策が回避されたり、無効化されたりする可能性が高まる。
Do the obligations for providers of general-purpose AI models apply in the development phase?	汎用 AI モデルのプロバイダに対する義務は、開発段階にも適用されるのか？
Article 2(8) AI Act provides that, as a general matter, the AI Act “does not apply to any research, testing or development activity regarding AI systems or AI models prior to their being placed on the market or put into service.”	AI 法第 2 条(8) は、AI 法は、原則として、「AI システムまたは AI モデルが上市または使用開始される前の、AI システムまたは AI モデルに関する研究、試験、開発活動には適用されない」と規定している。
At the same time, certain obligations for providers of general-purpose AI models (with and without systemic risk) explicitly or implicitly pertain to the development phase of models intended for, but prior to, the placing on the market. This is the case, for example, for the obligations for providers to notify the Commission that their general-purpose AI model meets or will meet the training compute threshold (Articles 51 and 52 AI Act), to document information about training and testing (Article 53 AI Act), and to assess and mitigate systemic risk (Article 55 AI Act). In particular, Article 55(1)(b) AI Act explicitly provides that “providers of general-purpose AI models with systemic risk shall assess and mitigate possible systemic risks at Union level, including their sources, that may stem from the development (...) of general-purpose AI models with systemic risk.	同時に、汎用 AI モデル（システミックリスクの有無を問わず）のプロバイダに対する一定の義務は、上市前のモデルの開発段階にも明示的または黙示的に適用される。例えば、プロバイダは、汎用 AI モデルがトレーニング計算のしきい値を満たしているか、または満たす予定であることを委員会に通知する義務（AI 法第 51 条および第 52 条）、トレーニングおよびテストに関する情報を文書化する義務（AI 法第 53 条）、およびシステミックリスクを評価し、緩和する義務（AI 法第 55 条）がある。特に、AI 法第 55 条 (1) (b) は、「システミックリスクのある汎用 AI モデルのプロバイダは、システミックリスクのある汎用 AI モデルの開発から生じる可能性のある、その発生源を含む、EU レベルでのシステミックリスクを評価し、緩和しなければならない」と明示的に規定している。
The AI Office expects discussions with providers of general-purpose AI models with systemic risk to start early in the development phase. This is consistent with the obligation for providers of general-purpose AI models that meet the training compute threshold laid down in Article 51(2) AI Act to “notify the Commission without delay and in any event within two weeks after that requirement is met or it becomes known that it will be met” (Article 52(1) AI Act). Indeed, training of general-purpose AI models takes considerable planning, which includes the upfront allocation of compute resources, and providers of general-purpose AI models are therefore able to know if their model will meet the training compute threshold before the training is complete (recital 112 AI Act).	AI 事務局は、開発段階の早い段階で、システムリスクのある汎用 AI モデルのプロバイダとの協議を開始することを期待している。これは、AI 法第 51 条(2)で規定されているトレーニング計算のしきい値を満たす汎用 AI モデルのプロバイダが、「その要件を満たした、またはその要件を満たすことが判明した場合は、遅滞なく、かつ、いかなる場合でもその要件を満たしてから 2 週間以内に、欧州委員会に通知する」という義務と一致している（AI 法第 52 条(1)）。実際、汎用 AI モデルのトレーニングには、計算リソースの事前割り当てなど、かなりの計画が必要であり、汎用 AI モデルのプロバイダは、トレーニングが完了する前に、そのモデルがトレーニング計算のしきい値を満たすかどうかを知ることができる（AI 法前文 112）。
The AI Office intends to provide further clarifications on this question.	AI 事務局は、この問題についてさらに明確化を行う予定である。
If someone fine-tunes or otherwise modifies a model, do they have to comply with the obligations for providers of general-purpose AI models?	モデルを微調整またはその他の方法で変更した場合、汎用 AI モデルのプロバイダとしての義務を遵守しなければならないか？
General-purpose AI models may be further modified or fine-tuned into new models (recital 97 AI Act). Accordingly, downstream entities that fine-tune or otherwise modify an existing general-purpose AI model may become providers of new models. The specific circumstances in which a downstream entity becomes a provider of a new model is a difficult question with potentially large economic implications, since many organisations and individuals fine-tune or otherwise modify general-purpose AI models developed by another entity.	汎用 AI モデルは、さらに変更または微調整して新しいモデルにすることができる（AI 法前文 97）。したがって、既存の汎用 AI モデルを微調整またはその他の方法で変更する下流事業体は、新しいモデルのプロバイダとなる可能性がある。下流事業体が新しいモデルのプロバイダとなる具体的な状況は、多くの組織や個人が他の事業体が開発した汎用 AI モデルを微調整またはその他の方法で変更しているため、経済的に大きな影響をもたらす可能性のある難しい問題である。
In the case of a modification or fine-tuning of an existing general-purpose AI model, the obligations for providers of general-purpose AI models in Article 53 AI Act should be limited to the modification or fine-tuning, for example, by complementing the already existing technical documentation with information on the modifications (Recital 109). The obligations for providers of general-purpose AI models with systemic risk in Article 55 AI Act should only apply in clearly specified cases. The AI Office intends to provide further clarifications on this question.	既存の汎用 AI モデルを変更または微調整する場合、AI 法第 53 条における汎用 AI モデルのプロバイダの義務は、例えば、既存の技術文書に変更に関する情報を追加するなど、その変更または微調整に限定すべきである。（前文 109）。AI 法第 55 条における、システミックリスクを伴う汎用 AI モデルのプロバイダの義務は、明確に規定された場合にのみ適用されるべきである。AI 事務局は、この問題についてさらに明確化を図る予定である。
Regardless of whether a downstream entity that incorporates a general-purpose AI model into an AI system is deemed to be a provider of the general-purpose AI model, that entity must comply with the relevant AI Act requirements and obligations for AI systems.	汎用 AI モデルを AI システムに組み込む下流の事業体が、汎用 AI モデルのプロバイダとみなされるかどうかに関わらず、その事業体は、AI 法における AI システムに関する要件および義務を遵守しなければならない。
What is the General-Purpose AI Code of Practice?	汎用 AI 実践規範とは何か？
Based on Article 56 of the AI Act, the General-Purpose AI Code of Practice should detail the manner in which providers of general-purpose AI models and of general-purpose AI models with systemic risk may comply with their obligations under the AI Act. The AI Office is facilitating the drawing-up of this Code of Practice, with four working groups chaired by independent experts and involving nearly 1000 stakeholders, EU Member States representatives, as well as European and international observers.	AI 法第 56 条に基づき、汎用 AI 実践規範は、汎用 AI モデルおよびシステムリスクを伴う汎用 AI モデルのプロバイダが AI 法に基づく義務を遵守する方法を詳細に規定するものとする。AI 事務局は、独立した専門家が議長を務める 4 つの作業部会と、1000 人近くの利害関係者、EU 加盟国の代表者、欧州および国際的なオブザーバーが参加して、この規範の策定を推進している。
More precisely, the Code of Practice should detail at least how providers of general-purpose AI models may comply with the obligations laid down in Articles 53 and 55 AI Act. This means that the Code of Practice can be expected to have two parts: one that applies to providers of all general-purpose AI models (Article 53), and one that applies only to providers of general-purpose AI models with systemic risk (Article 55).	より正確には、実践規範には、汎用 AI モデルの提供者が AI 法第 53 条および第 55 条に規定される義務をどのように遵守すべきかを、少なくとも詳細に規定すべきである。つまり、実践規範は 2 つの部分で構成されることが予想されます。1 つは、すべての汎用 AI モデルのプロバイダに適用される部分（第 53 条）、もう 1 つは、システムリスクのある汎用 AI モデルのプロバイダにのみ適用される部分（第 55 条）です。
What is not part of the Code of Practice?	実践規範には何が含まれないのか？
The Code of Practice should not address inter alia the following issues: defining key concepts and definitions from the AI Act (such as “general-purpose AI model”), updating the criteria or thresholds for classifying a general-purpose AI model as a general-purpose AI model with systemic risk (Article 51), outlining how the AI Office will enforce the obligations for providers of general-purpose AI models (Chapter IX Section 5), and questions concerning fines, sanctions, and liability.	実践規範は、とりわけ以下の事項については扱わないものとする。AI 法における重要な概念や定義（「汎用 AI モデル」など）の定義、汎用 AI モデルをシステムリスクのある汎用 AI モデルとして分類するための規準や閾値の更新（第 51 条）、AI 事務局が汎用 AI モデルのプロバイダに対する義務をどのように執行するかについての概要（第 IX 章第 5 節）、罰金、制裁、責任に関する問題。
These issues may instead be addressed through other means (decisions, delegated acts, implementing acts, further communications from the AI Office, etc.).	これらの事項は、他の手段（決定、委任行為、実施行為、AI 事務局からのさらなるコミュニケーションなど）によって対処することができる。
Nevertheless, the Code of Practice may include commitments by providers of general-purpose AI models that sign the Code to document and report additional information, as well as to involve the AI Office and third parties throughout the entire model lifecycle, in so far as this is considered necessary for providers to effectively comply with their obligations under the AI Act.	ただし、実践規範には、AI 法に基づく義務を効果的に遵守するために必要と認められる限り、実践規範に署名する汎用 AI モデルの提供者が、追加情報を文書化し報告すること、およびモデルのライフサイクル全体を通じて AI 事務局およびサードパーティを関与させることを約束する条項を含めることができる。
Do AI systems play a role in the Code of Practice?	AI システムは実践規範において何らかの役割を果たすのか？
The AI Act distinguishes between AI systems and AI models, imposing requirements for certain AI systems (Chapters II-IV) and obligations for providers of general-purpose AI models (Chapter V). While the provisions of the AI Act concerning AI systems depend on the context of use of the system, the provisions of the AI Act concerning general-purpose AI models apply to the model itself, regardless of what is or will be its ultimate use. The Code of Practice should only pertain to the obligations in the AI Act for providers of general-purpose AI models.	AI 法は、AI システムと AI モデルを区別し、特定の AI システムに要件（第 II 章から第 IV 章）を課し、汎用 AI モデルのプロバイダに義務を課している（第 V 章）を規定している。AI 法における AI システムに関する規定は、システムの使用状況に応じて適用されるが、汎用 AI モデルに関する規定は、その最終的な使用目的にかかわらず、モデル自体に適用される。実践規範は、汎用 AI モデルのプロバイダに対する AI 法の義務のみに関係する。
Nevertheless, there are interactions between the two sets of rules, as general-purpose AI models are typically integrated into and form part of AI systems. If a provider of a general-purpose AI model integrates that model into an AI system, that provider must comply with the obligations for providers of general-purpose AI models and, if the AI system falls within the scope of the AI Act, with the requirements for AI systems. If a downstream provider integrates a general-purpose AI model into an AI system, the provider of the general-purpose AI model must cooperate with the downstream provider of the AI system to ensure that the latter can comply with its obligations under the AI Act if the AI system falls within the scope of the AI Act (for example by providing certain information to the downstream provider).	ただし、汎用 AI モデルは通常 AI システムに統合され、その一部を構成するため、2 つの規則セット間には相互作用がある。汎用 AI モデルの提供者がそのモデルを AI システムに統合する場合、その提供者は、汎用 AI モデルの提供者に課せられる義務、および AI システムが AI 法の適用範囲に該当する場合には AI システムに関する要件を遵守しなければならない。下流のプロバイダが汎用 AI モデルを AI システムに統合する場合、 AI システムが AI 法の適用範囲に該当する場合には、汎用 AI モデルの提供者は、AI システムのダウンストリームプロバイダが AI 法に基づく義務を確実に遵守できるよう、AI システムのダウンストリームプロバイダと協力しなければならない（例えば、下流のプロバイダに特定の情報を提供するなど）。
Given these interactions between models and systems, and between the obligations and requirements for each, an important question underlying the Code of Practice concerns which measures are appropriate at the model layer, and which need to be taken at the system layer instead.	モデルとシステム、およびそれぞれの義務と要件の間にこのような相互作用があることから、実践規範の根底にある重要な問題は、モデル層で適切な措置はどれか、そしてシステム層で講じるべき措置はどれかということだ。
How does the Code of Practice take into account the needs of start-ups?	実践規範は、スタートアップのニーズをどのように考慮しているか？
The Code of Practice should set out its objectives, commitments, measures and, as appropriate, key performance indicators (KPIs) to measure the achievement of its objectives. Commitments, measures and KPIs related to the obligations applicable to providers of all general-purpose AI models should take due account of the size of the provider and allow simplified ways of compliance for SMEs, including start-ups, that should not represent an excessive cost and not discourage the use of such models (Recital 109 AI Act). Moreover, the reporting commitments related to the obligations applicable to providers of general-purpose AI models with systemic risk should reflect differences in size and capacity between various providers (Article 56(5) AI Act), while ensuring that they are proportionate to the risks (Article 56(2)(d) AI Act).	実践規範は、その目的、コミットメント、措置、および必要に応じて、その目的達成度を測定するための主要業績評価指標（KPI）を定めるべきである。すべての汎用 AI モデルのプロバイダに適用される義務に関連するコミットメント、措置、および KPI は、プロバイダの規模を十分に考慮し、スタートアップを含む中小企業に対して、過度のコストを課すことなく、またそのようなモデルの使用を妨げるようなことのない、簡素化された遵守方法を認めるべきである（AI 法前文 109）。さらに、システミックリスクのある汎用 AI モデルのプロバイダに適用される義務に関する報告のコミットメントは、さまざまなプロバイダの規模や能力の違いを反映するとともに、リスクに見合ったものであることを確保すべきである（AI 法第 56 条（5））。
When will the Code of Practice be finalised?	実践規範はいつ確定するのか？
After the publication of the third draft of the Code of Practice, it is expected that there will be one more drafting round over the coming months. Thirteen Chairs and Vice-Chairs, drawn from diverse backgrounds in computer science, AI governance and law, are responsible for synthesizing submissions from a multi-stakeholder consultation and discussions with the Code of Practice Plenary consisting of around 1000 stakeholders. This iterative process will lead to a final Code of Practice which should reflect the various submissions whilst ensuring an appropriate reflection of how to comply with the AI Act.	実践規範の 3 番目のドラフトが公表された後、今後数カ月にわたってさらに 1 回、草案の策定作業が行われる予定である。コンピュータサイエンス、AI ガバナンス、法律などのさまざまな分野から選ばれた 13 人の議長および副議長が、多国間協議で寄せられた意見や、約 1000 人の利害関係者で構成される実践規範総会での議論をまとめます。この反復プロセスを経て、さまざまな意見が反映され、AI 法への遵守方法を適切に反映した最終的な実践規範が策定される予定である。
Based on Article 56(9), “codes of practice shall be ready at the latest by 2 May 2025” in order to give providers sufficient time before the GPAI rules become applicable on 2 August 2025.	第 56 条 (9) 項に基づき、「実践規範は、GPAI 規則が 2025 年 8 月 2 日に適用されるまでに、プロバイダに十分な時間を確保するため、2025 年 5 月 2 日までに策定される」ことになっている。
Once the Code is finalised “the AI Office and the Board shall assess whether the codes of practice cover the obligations provided for in Articles 53 and 55 (...). They shall publish their assessment of the adequacy of the codes of practice. The Commission may, by way of an implementing act, approve a code of practice and give it a general validity within the Union.” (Article 56(6) AI Act).	実践規範が確定すると、「AI 事務局および委員会は、実践規範が第 53 条および第 55 条で規定される義務を網羅しているかどうかを評価する。彼らは、実践規範の妥当性に関する評価を公表する。委員会は、実施法によって、実践規範を承認し、EU 域内でその一般的有効性を付与することができる」と規定されている（AI 法第 56 条（6））。
What are the legal effects of the Code of Practice?	実践規範の法的効力とは何か？
If approved via implementing act, the Code of Practice obtains general validity, meaning that adherence to the Code of Practice becomes a means to demonstrate compliance with the AI Act, while not providing a presumption of conformity with the AI Act. Providers may also demonstrate compliance with the AI Act in other ways. In that case, providers would be expected to adopt measures to ensure compliance with their AI Act obligations that are adequate, effective, and proportionate, and which may include reporting to the AI Office.	実施法令により承認された場合、実践規範は一般的な効力を有することになり、実践規範の遵守は AI 法への準拠を示す手段となるが、AI 法への準拠を推定するものではない。プロバイダは、他の方法でも AI 法への準拠を証明することができる。その場合、プロバイダは、AI 法に基づく義務を遵守するために、適切かつ効果的かつ均衡のとれた措置を講じることを期待される。その措置には、AI 事務局への報告も含まれる。
Based on the AI Act, additional legal effects of the Code of Practice are that the AI Office may take a provider’s adherence to the Code of Practice into account when monitoring its effective implementation and compliance with the AI Act (Article 89(1) AI Act) and may favourably take into account commitments made in the Code of Practice when fixing the amount of fines depending on the specific circumstances (Article 101(1) AI Act).	AI 法に基づき、実践規範の追加的な法的効果としては、AI 事務局が、その効果的な実施および AI 法への遵守を監視する際に、プロバイダの実践規範の遵守を考慮することができる（AI 法第 89 条（1））、および特定の状況に応じて罰金の額を決定する際に、実践規範におけるコミットメントを有利に考慮することができる（AI 法第 101 条（1））ことが挙げられる。
Finally, “If, by 2 August 2025, a code of practice cannot be finalised, or if the AI Office deems it is not adequate following its assessment under paragraph 6 of this Article, the Commission may provide, by means of implementing acts, common rules for the implementation of the obligations provided for in Articles 53 and 55, including the issues set out in paragraph 2 of this Article.” (Article 56(9) AI Act).	最後に、「2025 年 8 月 2 日までに実践規範が確定できない場合、または AI 事務局が本条第 6 項に基づくアセスメントの結果、実践規範が適切でないと判断した場合、委員会は、実施法令により、本条第 2 項で規定する事項を含む、第 53 条および第 55 条に規定する義務の実施に関する共通規則を定めることができる」と規定されている。（AI 法第 56 条（9））。
How will the Code of Practice be reviewed and updated?	実践規範はどのように見直され、更新されるのか？
Based on Article 56(8) AI Act, “the AI Office shall, as appropriate, also encourage and facilitate the review and adaptation of the codes of practice, in particular in light of emerging standards”. The third draft of the Code of Practice includes a suggested mechanism for its review and updating.	AI 法第 56 条（8）に基づき、「AI 事務局は、必要に応じて、特に新たな標準の出現を踏まえて、実践規範の見直しと適応を奨励し、促進するものとする」。実践規範の 3 番目のドラフトには、その見直しと更新のための仕組み案が含まれている。
Which enforcement powers does the AI Office have?	AI 事務局にはどのような執行権限があるか？
The AI Office will supervise and enforce the obligations laid down in the AI Act for providers of general-purpose AI models (Article 88 AI Act) and, exceptionally, the obligations for providers of AI systems based on general purpose AI models if the provider of the model and the system are the same (Article 75, (1) AI Act). The AI Office will support the relevant market surveillance authorities of the Member States in their enforcement of the requirements for AI systems (Article 75 (2) and (3) AI Act), among other tasks. Enforcement by the AI Office is underpinned by the powers given to it by the AI Act, namely the powers to request information (Article 91 AI Act), conduct evaluations of general-purpose AI models (Article 92 AI Act), request measures from providers, including implementing risk mitigations, and recalling the model from the market (Article 93 AI Act), and to impose fines of up to 3% of global annual turnover or 15 million Euros, whichever is higher (Article 101 AI Act).	AI 事務局は、汎用 AI モデルの提供者に AI 法で定められた義務の監督および執行を行う（AI 法第 88 条）。また、例外的に、モデルとシステムの提供者が同一である場合は、汎用 AI モデルに基づく AI システムの提供者に義務の監督および執行を行う（AI 法第 75 条（1））。AI 事務局は、加盟国の関連市場監視当局が AI システムに関する要件を執行する支援を行う（AI 法第 75 条（2）および（3））。AI 事務局による執行は、AI 法により AI 事務局に付与された権限、すなわち、情報要求権限（AI 法第 91 条）、汎用 AI モデルの評価（AI 法第 92 条）、プロバイダに対するリスクの緩和措置の実施や市場からのモデルの回収などの措置の要請（AI 法第 93 条）、および世界全体の年間売上高の 3% または 1,500 万ユーロのうちいずれか高い方の罰金の賦課（AI 法第 101 条）である。

汎用Ai実践規範に関する追加情報

・2025.07.11 Questions and answers on the code of practice for General-Purpose AI

Questions and answers on the code of practice for General-Purpose AI	汎用AI実践規範に関する質問と回答
This Q&A gives additional information about the General-Purpose AI Code of Practice.	このQ&Aは、汎用AI実践規範に関する追加情報を提供する。
General FAQ	一般的な FAQ
What is the General-Purpose AI Code of Practice?	汎用 AI 実践規範とは何か？
The General-Purpose AI Code of Practice is a voluntary tool, prepared by independent experts in a multi-stakeholder process, designed to help industry comply with the AI Act’s obligations for providers of general-purpose AI models, ensuring that general-purpose AI models placed on the European market are safe and transparent, including the most powerful ones.	汎用 AI 実践規範は、多角的な利害関係者によるプロセスを通じて、独立した専門家によって作成された自主的なツールであり、業界が汎用 AI モデルの提供者に課せられた AI 法上の義務を遵守し、欧州市場に上市される汎用 AI モデル（最も強力なモデルを含む）の安全性と透明性を確保することを目的としている。
It outlines a way for providers of general-purpose AI models and of general-purpose AI models with systemic risk to demonstrate compliance with the AI Act’s relevant obligations.	この規範は、汎用 AI モデルおよびシステミックリスクのある汎用 AI モデルのプロバイダが、AI 法に関連する義務の遵守を実証する方法を概説している。
The Code has three chapters: Transparency and Copyright, both addressing all providers of general-purpose AI models, and Safety and Security, relevant only to a limited number of providers of the most advanced models, subject to the AI Act's obligations for providers of general-purpose AI models with systemic risk.	この規範は 3 章で構成されており、「透明性」と「著作権」は汎用 AI モデルのプロバイダすべてを対象とし、「安全とセキュリティ」は、AI 法がシステミックリスクのある汎用 AI モデルのプロバイダに課す義務の対象となる、ごく一部の最先端モデルのプロバイダのみを対象としている。
The AI Act defines systemic risk as specific to high-impact capabilities, i.e. capabilities that match or exceed the capabilities of the most advanced general-purpose AI models, that have a significant impact on the Union market. The AI Act currently presumes that models trained with a cumulative amount of compute greater than 10^25 floating-point operations possess high-impact capabilities.	AI 法では、システムリスクは、EU 市場に重大な影響を与える、最も先進的な汎用 AI モデルの能力と同等またはそれを上回る、影響力の大きい能力に特有のものとして定義されている。AI 法は現在、累積計算量が 10^25 倍以上の浮動小数点演算でトレーニングされたモデルは、影響力の大きい能力を有すると推定している。
What was the process of drafting the Code and who was involved?	実践規範のドラフトはどのようなプロセスで行われ、誰が関与したのか？
The Code was developed through an extensive multi-stakeholder process launched in July 2024, involving over 1 400 participants from industry, academia, civil society, rightsholders, and EU Member States represented in the AI Board.	この規範は、2024年7月に開始された、業界、学界、市民社会、権利者、AI 委員会に代表される EU 加盟国など、1,400 人以上の参加者が関与した広範なマルチステークホルダープロセスを通じて作成されました。
Thirteen independent experts appointed by the AI Office led the drafting process. They developed the Code through three rounds of consultations, incorporating over 1 600 written submissions and feedback from 40 workshops.	AI 事務局が任命した 13 人の独立専門家が、ドラフト作成プロセスを主導した。彼らは 3 回にわたる協議を経て、1,600 件以上の書面提出と 40 件のワークショップからのフィードバックを取り入れて、この規範を策定した。
How can general-purpose AI providers adhere to the Code, and what are the benefits?	汎用 AI プロバイダは、この規範をどのように遵守することができ、そのメリットは何か？
All providers of general-purpose AI models with existing or planned operations in the EU market will be invited to adhere to the Code, with the AI Office providing details on the process soon.	EU 市場で事業を展開している、または事業展開を計画している汎用 AI モデルのすべてのプロバイダは、この規範の遵守を求められます。AI 事務局は、そのプロセスに関する詳細をまもなく発表する予定です。
Adhering to a Code assessed as adequate by the AI Office and the Board will offer a simple and transparent way to demonstrate compliance with the AI Act. This offers a streamlined compliance process, with enforcement focused on monitoring their adherence to the Code, resulting in greater predictability and reduced administrative burden.	AI 事務局および委員会が適切と評価した規範を遵守することで、AI 法への準拠を簡単かつ透明性の高い方法で実証することができる。これにより、規範の遵守状況を監視することに重点を置いた執行により、コンプライアンスプロセスが効率化され、予測可能性が高まり、行政負担が軽減される。
Does the Code impose additional obligations beyond the AI Act?	この規範は、AI 法に追加の義務を課すものなのか？
The Code does not impose obligations. It serves as guidance to help providers meet their existing obligations under the AI Act without creating new ones, extending existing ones, or imposing additional burdens. It serves as a voluntary tool that helps providers demonstrate compliance with the AI Act's binding provisions, without exceeding its scope or imposing additional burdens.	この規範は義務を課すものではない。これは、プロバイダが AI 法に基づく既存の義務を履行するためのガイダンスとして機能し、新たな義務を課したり、既存の義務を拡大したり、追加的な負担を課したりするものではない。これは、AI 法の拘束力のある規定の範囲を超えたり、追加的な負担を課したりすることなく、プロバイダが AI 法への準拠を実証するための自主的なツールとして機能する。
What are the next steps after the Code is published?	規範の公表後の次のステップは？
After the publication, Member States and the Commission will assess the adequacy of the Code.	公表後、加盟国と欧州委員会は、規範の妥当性を評価する。
The Commission will complement the Code with the guidelines on general-purpose AI models, which will be published ahead of the entry into application of the rules for providers of general-purpose AI models. The guidelines will clarify, for example, who is in and out of scope of the AI Act’s obligations for providers of general-purpose AI models.	欧州委員会は、汎用 AI モデルに関するガイドラインを実践規範に補足する。このガイドラインは、汎用 AI モデルのプロバイダに対する規則の適用開始に先立ち公表される。このガイドラインでは、例えば、汎用 AI モデルのプロバイダに対する AI 法の義務の対象となる者および対象とならない者を明確にする。
From 2 August 2025 onwards, providers placing general-purpose AI models on the market must comply with their respective AI Act obligations. Providers must notify the AI Office of general-purpose AI models with systemic risk to be placed on the EU market without delay. In the first year from 2 August 2025 onwards, the AI Office will offer to collaborate closely in particular with providers who adhere to the Code to ensure that models can continue to be placed on the EU market without delays. In particular, if these providers do not fully implement all commitments immediately after signing the Code, the AI Office will not consider them to have broken their commitments under the Code and will not reproach them for violating the AI Act. Instead, in such cases, the AI Office will consider them to act in good faith and will be ready to collaborate to find ways to ensure full compliance. However, from 2 August 2026 onwards, the Commission will enforce full compliance with all obligations for providers of general-purpose AI models with fines.	2025 年 8 月 2 日以降、汎用 AI モデルを上市するプロバイダは、それぞれの AI 法の義務を遵守しなければならない。プロバイダは、EU 市場に上市される、システミックリスクのある汎用 AI モデルについて、AI 事務局に遅滞なく通知しなければならない。2025 年 8 月 2 日から 1 年間は、AI 事務局は、実践規範を遵守するプロバイダと特に緊密な連携を取り、モデルが EU 市場に遅滞なく上市され続けるよう努める。特に、これらのプロバイダが実践規範の署名直後にすべての約束を完全に実施しなかった場合、AI 事務局は、そのプロバイダが実践規範に基づく約束に違反したとはみなさず、AI 法違反として非難することはない。その代わりに、AI 事務局は、そのプロバイダが誠意をもって行動しているとみなして、完全な遵守を確保するための方法を見つけるために協力する用意がある。ただし、2026 年 8 月 2 日以降、欧州委員会は、汎用 AI モデルのプロバイダに対して、すべての義務の完全な遵守を罰金によって強制する。
Models placed on the market before 2 August 2025 must comply with the AI Act obligations by 2 August 2027.	2025 年 8 月 2 日より前に上市されたモデルは、2027 年 8 月 2 日までに AI 法の義務を遵守しなければならない。
How will the Code be updated?	実践規範はどのように更新されるのか？
The Chairs and Vice-Chairs have written the Code to be as future-proof as possible. However, the rapid evolution of AI technology poses a challenge. Even with the future-proof design, the Code will still require periodic updates.	議長および副議長は、実践規範を可能な限り将来も通用するものにするよう作成した。しかし、AI 技術の急速な進化は課題となっている。将来を見据えた設計であっても、実践規範は定期的な更新が必要になるだろう。
The AI Office may facilitate formal updates to the Code in response to technological developments, changes in the risk landscape, or experience with the application of the AI Act rules. The AI Office will review the Code at least every two years, and it may propose a streamlined process for reviews and updates as needed.	AI 事務局は、技術の発展、リスクの状況の変化、AI 法規則の適用経験に応じて、実践規範の正式な更新を促進することができる。AI 事務局は、少なくとも 2 年ごとに実践規範を見直し、必要に応じて、見直しと更新のための合理化されたプロセスを提案することができる。
What role will the Commission guidelines on general-purpose AI models play?	汎用 AI モデルに関する欧州委員会のガイドラインはどのような役割を果たすのか？
The Commission guidelines on general-purpose AI models will provide clarity on the scope of obligations for providers.	汎用 AI モデルに関する欧州委員会のガイドラインは、プロバイダの義務の範囲を明確にするものだ。
A public consultation in April and May collected stakeholder input on key concepts. Using feedback from providers, experts, and other stakeholders, the AI Office is finalising the guidelines, which will be published before the general-purpose AI obligations’ entry into application. The guidelines will clarify three key points:	4 月と 5 月に実施された公開協議では、主要な概念についてステークホルダーからの意見が収集された。AI 事務局は、プロバイダ、専門家、その他のステークホルダーからのフィードバックを参考にし、ガイドラインの最終案をまとめている。このガイドラインは、汎用 AI 義務の適用開始前に公表される予定である。このガイドラインでは、3 つの重要な点が明確になる。
・When a model is a general-purpose AI model	・モデルが汎用 AI モデルである場合
・When a model is a general-purpose AI model with systemic risk	・モデルが、システミックリスクを伴う汎用 AI モデルである場合
・Who is considered the provider of such a model	・そのようなモデルの提供者とみなされる者
Where to find further information?	詳細情報
Press release	プレスリリース
The Code of Practice on GPAI	GPAI に関する実践規範
More information on the Code of Practice on GPAI	GPAI に関する実践規範の詳細
More information on the Chairs and Vice-Chairs	議長および副議長に関する詳細

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.11 欧州委員会 AI大陸行動計画 (2025.04.09)

・2025.03.13 欧州委員会 AI法における汎用AIモデル - Q&A (2025.03.10)

・2025.02.08 欧州委員会規則（EU）2024/1689（AI法）が定める人工知能の禁止行為に関する欧州委員会ガイドライン

・2024.12.22 欧州委員会汎用AI実践規範の第2ドラフトを発表 (2024.12.19)

・2024.12.06 欧州委員会 AI法における汎用AIモデル - Q&A (2024.11.20)

・2024.11.17 欧州委員会汎用AI実践規範の最初のドラフトを発表 (2024.11.14)

・2024.10.30 欧州 AI法の調和標準の策定について...

・2024.09.08 欧州評議会 AI条約の署名開始... (2024.09.05)

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.19 ドイツ BfDI フランス CNIL オランダ AP EU AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

・2024.05.22 EU 欧州理事会がAI法を承認...まもなく発効されますね...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2023.12.10 欧州委員会、欧州議会がAI法について政治的合意

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

2025.07.25 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.07.24

米国 NIST SP 1334（初期公開ドラフト） OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減 (2025.07.15)

こんにちは、丸山満彦です。

NISTが、SP 1334（初期公開ドラフト） OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減を公表していますね..

チラシ風２ページ。

● NIST - ITL

・2025.07.15 NIST SP 1334 (Initial Public Draft) Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments

NIST SP 1334 (Initial Public Draft) Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments	NIST SP 1334（初期公開ドラフト） OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減
Announcement	発表
The National Cybersecurity Center of Excellence (NCCoE) has developed the draft two-pager NIST Special Publication (SP) 1334, Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments. The cybersecurity considerations in this two-pager are intended to help operational technology (OT) operators and manufacturers use Universal Serial Bus (USB) devices securely.	国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、2 ページからなる NIST 特別刊行物（SP）1334「OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減」のドラフトを作成しました。この 2 ページ分の文書に記載されているサイバーセキュリティに関する考慮事項は、運用技術 (OT) のオペレーターおよび製造事業者が、ユニバーサル・シリアル・バス (USB) デバイスを安全に使用するための参考情報です。
Portable storage media can be used to transfer data physically to and from OT environments. USB storage devices are convenient, but their use poses potential cybersecurity risks for organizations that utilize them in their OT environments. Organizations can reduce these risks with secure physical and logical controls on the access, storage, and usage of USB devices.	可搬保管媒体は、OT 環境との間でデータを物理的に転送するために使用できます。USB 保管デバイスは便利ですが、その使用は、OT 環境で USB デバイスを利用する組織にとって、サイバーセキュリティ上の潜在的なリスクをもたらします。組織は、USB デバイスのアクセス、保存、使用について、物理的および論理的なセキュリティ対策を実施することで、これらのリスクを軽減することができます。
The NCCoE created the OT Security Series to assist organizations in securing their OT systems. If you have any comments on this two-pager and/or recommendations for additional topics that the OT Security Series could cover, please reach out to the NCCoE Manufacturing team at [mail] .	NCCoE は、組織の OT システムのセキュリティ確保を支援するために、OT セキュリティシリーズを作成しました。この 2 ページ文書についてご意見や、OT セキュリティシリーズで取り上げてほしいトピックなどございましたら、NCCoE 製造チーム（mail）までお寄せください。
Abstract	要約
Portable storage media continue to be useful tools for transferring data physically to and from Operational Technology (OT) environments. Universal Serial Bus (USB) flash drives are commonly used, in addition to external hard drives, CD or DVD drives, and other removable media.	可搬保管媒体は、オペレーショナルテクノロジー（OT）環境との間でデータを物理的に転送する便利なツールとして引き続き利用されています。USBフラッシュドライブは、外部ハードドライブ、CDまたはDVDドライブ、その他の取り外し可能な媒体と並んで広く使用されています。
Though portable storage media are convenient, their usage poses cybersecurity risks for operational environments. Procedural, physical, and technical controls are important for minimizing the likelihood of a cyberattack from portable storage media usage. The National Cybersecurity Center of Excellence (NCCoE) has developed cybersecurity considerations to help OT personnel use portable storage media securely and effectively.	可搬保管媒体は便利ですが、その使用は運用環境にサイバーセキュリティのリスクをもたらします。可搬保管媒体の使用によるサイバー攻撃の可能性を最小限に抑えるためには、手順、物理的、および技術的な制御が重要です。国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、OT 担当者がポ可搬保管媒体を安全かつ効果的に使用するためのサイバーセキュリティに関する考慮事項を策定しました。

・[PDF] NIST.SP.1334.ipd

REDUCING THE CYBERSECURITY RISKS OF PORTABLE STORAGE MEDIA IN OT ENVIRONMENTS	OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減
Portable storage media continue to be useful tools for transferring data physically to and from Operational Technology (OT) environments. Universal Serial Bus (USB) flash drives are commonly used, in addition to external hard drives, CD or DVD drives, and other removable media.	可搬保管媒体は、運用技術（OT）環境との間でデータを物理的に転送するための有用なツールとして、引き続き活用されている。外付けハードドライブ、CD や DVD ドライブ、その他のリムーバブル媒体に加え、ユニバーサルシリアルバス（USB）フラッシュドライブも一般的に使用されている。
Though portable storage media are convenient, their usage poses cybersecurity risks for operational environments. Procedural, physical, and technical controls are important for minimizing the likelihood of a cyberattack from portable storage media usage. The National Cybersecurity Center of Excellence (NCCoE) has developed cybersecurity considerations to help OT personnel use portable storage media securely and effectively.	可搬保管媒体は便利ですが、その使用は運用環境にサイバーセキュリティのリスクをもたらす。可搬保管媒体の使用によるサイバー攻撃の可能性を最小限に抑えるためには、手順、物理的、および技術的な管理が重要である。国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）は、OT 担当者が可搬保管媒体を安全かつ効果的に使用するためのサイバーセキュリティに関する考慮事項を策定した。
PROCEDURAL CONTROLS	手順による制御
An organization should develop policies that enforce:	組織は、以下を義務付けるポリシーを策定する必要がある。
• Purchasing, authorizing, and managing organization-owned media. Devices provided by other sources should be considered untrusted.	• 組織が所有する媒体の購入、認可、および管理。他のソースから提供されたデバイスは、信頼できないものとみなす必要がある。
• Procuring devices that support hardware-based encryption standards such as FIPS.	• FIPS などのハードウェアベースの暗号化標準をサポートするデバイスの調達。
• Prohibiting media usage unless expressly authorized. Authorization should be limited to specific personnel and purposes.	• 明示的に認可されていない限り、媒体の使用を禁止すること。認可は、特定の担当者および目的に限定する必要がある。
• Procedures for provisioning, usage, storage, sanitation, and destruction.	• プロビジョニング、使用、保管、衛生管理、および破棄の手順。
• Enable logging for traceability (e.g., system and user identity, device serial number, date and time).	• 追跡可能性を確保するためのログ記録（システムおよびユーザーの ID、デバイスのシリアル番号、日付および時刻など）を有効にする。
• Training staff on policy and procedures.	• ポリシーおよび手順に関するスタッフのトレーニング。
PHYSICAL CONTROLS	物理的制御
One way to minimize risk when using portable storage media is to apply physical controls for accessing, labeling, and storing them.	可搬保管媒体を使用する際のリスクを最小限に抑える 1 つの方法は、媒体へのアクセス、ラベル付け、および保管に関する物理的制御を適用することである。
• Media should be stored in a physically secure location where only authorized individuals can access.	• 媒体は、許可された者だけがアクセスできる物理的に安全な場所に保管する。
• Approved portable storage media should be labeled. Labels may indicate:	• 承認された可搬保管媒体にはラベルを貼付してください。ラベルには、以下の情報を記載すること。
o Who may use it	o 使用者
o On which network/system it may be used	o 使用可能なネットワーク/システム
o Functional purpose	o 機能的な目的
Having a designated space to store approved media, in conjunction with access control and labeling, is a foundation for a well-implemented set of physical controls.	アクセス管理およびラベル貼付と併せて、承認された媒体を保管するための指定スペースを設けることは、物理的制御を適切に実施するための基礎となる。
TECHNICAL CONTROLS	技術的制御
Media should be protected consistently with guidance found in NIST SP 800-82. An organization should establish technical controls that enforce:	媒体は、NIST SP 800-82 のガイダンスに従って一貫して保護する必要があります。組織は、以下を強制する技術的制御を確立する必要がある。
• Blocking or disabling ports (e.g., USB ports, CD/DVD drives) on unauthorized machines. This could be done using physical blocks or logically disabling devices and ports.	• 不正なマシン上のポート（USB ポート、CD/DVD ドライブなど）のブロックまたは無効化。これは、物理的なブロックを使用するか、デバイスおよびポートを論理的に無効化することで実現できる。
• Scanning of media prior to and after usage.	• 使用前および使用後の媒体のスキャン。
o Automatically scan media with updated malware detection software.	o 更新されたマルウェア検出ソフトウェアを使用して、媒体を自動的にスキャンする。
o When inserting media into devices that don’t support scanning, consider alternatives such as kiosk scanning solutions.	o スキャンに対応していないデバイスに媒体を挿入する場合は、キオスクスキャンソリューションなどの代替手段を検討する。
• Reformat devices before reusing them on different equipment or environments.	• 別の機器や環境で使用する前に、デバイスを再フォーマットする。
• Write-protection when files only need to be read.	• ファイルを読み取るだけでよい場合は、書き込み保護を設定する。
• Disabling Autorun.	• オートランを無効にする。
• Encrypt the data stored on portable storage media using FIPS-compliant algorithm.	• FIPS 準拠のアルゴリズムを使用して、可搬保管媒体に保存されているデータを暗号化する。
TRANSPORT AND SANITIZATION	輸送およびサニタイズ
Transportation within and between organizations introduces risk, which can be reduced by applying additional physical and logical controls, including:	組織内および組織間の輸送には往々にしてリスクが伴いますが、次のような物理的および論理的な追加の制御を適用することで、そのリスクを軽減することができます。
• Encryption or a locked container can be used to securely transport USB devices within an organization.	• 組織内で USB デバイスを安全に輸送するには、暗号化またはロック付きコンテナを使用する。
• Hash or checksum verification should be performed when transporting files (e.g., between the integrator and the asset owner).	• ファイル（インテグレーターと資産所有者の間など）を輸送する場合は、ハッシュまたはチェックサムの検証を行う必要がある。
• Sanitation should be performed prior to disposing of the device. Media sanitation should include monitoring, reviewing, approving, tracking, and documenting actions. For more details, see NIST SP 800-88, Guidelines for Media Sanitation.	• デバイスを廃棄する前に、サニタイズを行う必要がある。媒体のサニタイズには、監視、レビュー、承認、追跡、およびアクションの文書化が含まれる。詳細については、NIST SP 800-88「媒体のサニタイズに関するガイドライン」を参照のこと。
CONCLUSION	結論
Organizations can reduce the cybersecurity risks of USB device use with secure physical and logical controls on the access, storage, and usage of USB devices, and training on how to utilize USB devices safely and effectively in OT environments.	組織は、USB デバイスのアクセス、保存、および使用に関する安全な物理的および論理的な制御、および OT 環境で USB デバイスを安全かつ効果的に利用する方法に関するトレーニングを実施することで、USB デバイスの使用に伴うサイバーセキュリティのリスクを軽減することができる。
For more information on specific controls, please refer to Guide to Operational Technology (OT) Security (NIST SP 800- 82), Security and Privacy Controls for Information Systems and Organizations (NIST SP 800-53), and Guidelines for Media Sanitation (NIST SP 800-88).	具体的な制御の詳細については、「オペレーショナルテクノロジー（OT）セキュリティガイド（NIST SP 800-82）」、「情報システムおよび組織のためのセキュリティおよびプライバシー制御（NIST SP 800-53）」、および「媒体の衛生管理に関するガイドライン（NIST SP 800-88）」を参照のこと。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.01 NIST SP 800-82 第3版 OTセキュリティガイド

・2022.04.28 NIST SP 800-82 第3版 OTセキュリティガイド（ドラフト）

・2011.06.10 NIST Special Publication 800-82, Guide to Industrial Control System (ICS) Security.

2025.07.24 02:00 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

欧州議会 Think Tank 生成的 AI と著作権 - トレーニング、作成、規制 (2025.07.09)

こんにちは、丸山満彦です。

この検討は、生成的 AI が EU の著作権法の核心的な原則にどのような課題をもたらすかを検証しているとのことです。

AI のトレーニング手法と、現在のテキストおよびデータマイニングの例外規定との法的ミスマッチや、AI によって生成されたコンテンツの不安定な地位に焦点を当てているようです。

欧州だけでなく、著作権法は日本においても大きな収益源（海外では、自動車に次いでアニメやゲームが有名ですかね...もはや電化製品はかなり駆逐されてしまったし...）となっていますから、日本でも重要な問題ですよね...

● European Parliament - Think Tank

・2025.07.09 Generative AI and Copyright - Training, Creation, Regulation

Generative AI and Copyright - Training, Creation, Regulation

生成的 AI と著作権 - トレーニング、作成、規制

This study examines how generative AI challenges core principles of EU copyright law. It highlights the legal mismatch between AI training practices and current text and data mining exceptions, and the uncertain status of AI-generated content. These developments pose structural risks for the future of creativity in Europe, where a rich and diverse cultural heritage depends on the continued protection and fair remuneration of authors. The report calls for clear rules on input/output distinctions, harmonised opt-out mechanisms, transparency obligations, and equitable licensing models. To balance innovation and authors’ rights, the European Parliament is expected to lead reforms that reflect the evolving realities of creativity, authorship, and machine-generated expression. This study was commissioned by the European Parliament’s Policy Department for Justice, Civil Liberties and Institutional Affairs at the request of the Committee on Legal Affairs.

この調査では、生成的 AI が EU の著作権法の核心的な原則にどのような課題をもたらすかを検証している。AI のトレーニング手法と、現在のテキストおよびデータマイニングの例外規定との法的ミスマッチ、および AI によって生成されたコンテンツの不安定な地位に焦点を当てている。こうした動きは、豊かで多様な文化遺産が著者の継続的な保護と公正な報酬に依存しているヨーロッパの創造性の将来に構造的なリスクをもたらす。本報告書は、入力と出力の区別に関する明確な規則、調和のとれたオプトアウトメカニズム、透明性義務、および公平なライセンスモデルを求めている。イノベーションと著者の権利のバランスをとるため、欧州議会は、創造性、著作、および機械生成表現の現実の進化に反映した改革を主導することが期待されている。本調査は、法務委員会の要請により、欧州議会の司法・市民の自由・機関問題政策部によって委託された。

・[PDF]

目次。。。

CONTENTS	目次
LIST OF ABBREVIATIONS	略語一覧
LIST OF TABLES	表一覧
LIST OF FIGURES	図一覧
EXECUTIVE SUMMARY	エグゼクティブサマリー
1. INTRODUCTION AND CONTEXT	1. 序論と背景
1.1. Purpose and scope of the study	1.1. 本調査の目的と範囲
1.2. What is generative AI	1.2. 生成的 AI とは
1.3. Copyright Law in the EU: key principles	1.3. EU の著作権法：重要な原則
1.4. The challenge: copyright law and generative AI	1.4. 課題：著作権法と生成的 AI
2. USING COPYRIGHT-PROTECTED WORKS TO TRAIN GENERATIVE AI (INPUT SIDE)	2. 著作権で保護された著作物を生成的 AI のトレーニングに使用する場合（入力側）
2.1. Text and Data Mining (TDM) in the CDSM Directive	2.1. CDSM 指令におけるテキストおよびデータマイニング（TDM）
2.1.1. Understanding the technical distinction between TDM and Generative AI	2.1.1. TDM と生成的 AI の技術的な違いの理解
2.1.2. Does Generative AI Training really qualify as Text and Data Mining?	2.1.2. 生成的 AI のトレーニングは、本当にテキストおよびデータマイニングに該当するのでしょうか？
2.1.3. Unauthorised Training and Its Legal Consequences	2.1.3. 無断トレーニングとその法的影響
2.1.4. Beyond TDM: Structural Gaps in the CDSM Directive Framework	2.1.4. TDM を超えて：CDSM 指令の枠組みにおける構造的なギャップ
2.1.5. Anticipating the CJEU’s Ruling in Case C-250/25	2.1.5. 事件 C-250/25 における CJEU の判決の予測
2.1.6. Comparative Jurisdictional Approaches to TDM: Lessons for EU Policy Reform	2.1.6. TDM に対する比較法域的アプローチ：EU 政策改革の教訓
2.2. Implementation across Member States	2.2. 加盟国における実施
2.3. Impact on rightsholders	2.3. 権利者への影響
2.4. Author’s Rights and remuneration for AI training uses	2.4. AI トレーニング利用に関する著者の権利と報酬
2.4.1. Regulatory Gaps and Remuneration Challenges	2.4.1. 規制のギャップと報酬に関する課題
2.5. The AI Act and transparency obligations	2.5. AI 法と透明性に関する義務
3. LEGAL STATUS OF AI-GENERATED OUTPUTS (OUTPUT SIDE)	3. AI 生成物の法的地位（出力側）
3.1. Originality and authorship under EU law	3.1. EU 法における独創性と著作
3.1.1. Does the Human-Centric Approach Still Make Sense in the Era of Advanced Generative AI?	3.1.1. 先進的な生成的 AI の時代において、人間中心のアプローチは依然として意味があるか？
3.2. AI-assisted vs AI-generated: where to draw the line	3.2. AI 支援と AI 生成：その境界線
3.3. Economic and Legal Challenges of AI-Generated Outputs: Disrupting Value Chains and Market Dynamics	3.3. AI 生成出力の経済的・法的課題：バリューチェーンと市場ダイナミクスの破壊
3.4. Infringement and liability	3.4. 侵害と責任
4. POLICY OPTIONS AND RECOMMENDATIONS	4. 政策オプションと提言
4.0. Three-Pillar Accountability Test (orientation tool for Sections 4.1–4.6)	4.0. 3 本柱の責任テスト（4.1～4.6 の指針となるツール
4.1. Governance and enforcement: Fragmented responsibilities	4.1. ガバナンスと執行：分断された責任
4.2. Improve implementations of TDM exceptions	4.2. TDM の例外規定の実施の改善
4.3. Possible mechanisms for remuneration	4.3. 報酬の可能な仕組み
4.4. Clarify protection status of AI-assisted vs AI-created works	4.4. AI 支援作品と AI 作成作品の保護状況の明確化
4.5. Support safeguards and content traceability	4.5. 保護措置とコンテンツのトレーサビリティの支援
4.6. Foster collaborative governance and legal coherence	4.6. 協調的なガバナンスと法的整合性の促進
4.7. Conclusion	4.7. 結論
REFERENCES	参考文献

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The integration of Generative Artificial Intelligence (GenAI) systems into creative workflows is transforming how content is processed, distributed, and accessed across the European Union. These large-scale, general-purpose computational models enable new forms of automation and synthesis, but their deployment also disrupts the established balance of rights and responsibilities within the copyright framework. While innovation is nothing new to copyright law, generative AI presents an unprecedented test of scale, opacity, and economic impact.	生成的人工知能（GenAI）システムが創造的なワークフローに統合されることで、欧州連合（EU）全域におけるコンテンツの処理、配信、アクセス方法が大きく変化している。これらの大規模で汎用的な計算モデルは、新しい形の自動化と統合を可能にするが、その展開は、著作権枠組みにおける権利と責任の確立されたバランスを乱すものとなっている。イノベーションは著作権法にとって決して新しいものではないが、生成的 AI は、その規模、不透明性、経済的な影響という点で、これまでにない試練を課している。
This study identifies five key findings:	この調査では、5 つの重要な発見を明らかにしている。
(1) The current EU text-and-data mining (TDM) exception was not designed to accommodate the expressive and synthetic nature of generative AI training, and its application to such systems risks distorting the purpose and limits of EU copyright exceptions.	(1) 現在の EU のテキストおよびデータマイニング（TDM）の例外規定は、生成的 AI トレーニングの表現力および合成的な性質に対応するようには設計されておらず、このようなシステムに適用すると、EU の著作権例外の目的および制限が歪められるリスクがある。
(2) Fully machine-generated outputs should remain unprotected; AI-assisted works require harmonised protection criteria.	(2) 完全に機械によって生成された出力は、保護の対象から除外すべきだ。AI を支援した作品には、調和のとれた保護規準が必要である。
(3) A statutory remuneration scheme is essential to bridge the growing value gap between creators and AI developers.	(3) クリエイターと AI 開発者の間の価値格差の拡大を埋めるためには、法定の報酬制度が不可欠である。
(4) The fragmented governance landscape underscores the need for more coherent, cross-sector institutional responses.	(4) ガバナンスの断片化により、より一貫性のある、セクター横断的な制度的対応の必要性が強調されている。
(5) Without timely reform, the EU risks legal uncertainty, market concentration, and cultural homogenisation.	(5) タイムリーな改革が行われない場合、EU は法的不安定、市場集中、文化の均質化というリスクに直面する。
The primary challenge today is not technological innovation, but the instrumental reinterpretation of legal principles that undermines their coherence. The proper response is not to make copyright law fit AI, but to ensure that AI development respects the core legal and policy principles of EU copyright, including authorship, originality, and fair remuneration.	現在の主な課題は、技術革新ではなく、法的原則の一貫性を損なうその目的的な再解釈である。適切な対応は、著作権法をAIに適合させることではなく、AIの開発がEUの著作権法の核心的な法的・政策原則（著作者、独創性、公正な報酬など）を尊重することを確保することである。
Against this backdrop, this study—commissioned by the European Parliament’s Committee on Legal Affairs (JURI)—examines the implications of generative AI systems for EU copyright law[1] and proposes policy options to ensure fairness, transparency, and legal clarity in the face of rapid technological change.	このような背景から、欧州議会の法務委員会（JURI）の委託を受けて、本調査では、生成的 AI システムが EU の著作権法[1] に与える影響を検証し、急速な技術変化に直面する中で、公平性、透明性、法的明確性を確保するための政策オプションを提案する。
Copyright and Training Data: Legal Gaps and Industry Workarounds	著作権とトレーニングデータ：法的ギャップと業界の回避策
A central focus of this study is the use of copyright-protected content as training data for generative AI systems. Article 4 of the Copyright in the Digital Single Market (CDSM) Directive provides a textand-data-mining (TDM) exception that allows use of such content unless the rightsholder has opted out. However, the mechanism for reserving rights lacks a harmonised, machine-readable standard and presents significant scalability challenges. No current tagging protocol can reliably track duplicates or respond to evolving extraction techniques, which undermines effective implementation. In this context, the study considers whether restoring prior authorisation for generative AI training may offer a more sustainable and enforceable framework. Already, major developers are moving toward direct licensing arrangements with publishers, image banks, and other rightsholders, reflecting growing recognition of the limitations of the current exception. These developments raise important questions about legal certainty, equity, and transparency.	この調査の主な焦点は、生成的 AI システムのトレーニングデータとしての著作権で保護されたコンテンツの使用だ。デジタル単一市場における著作権（CDSM）指令の第 4 条は、権利者がオプトアウトしない限り、そのようなコンテンツの使用を認めるテキストおよびデータマイニング（TDM）の例外規定を定めている。しかし、権利を留保する仕組みには、調和のとれた機械可読の標準が欠けており、スケーラビリティの面で大きな課題がある。現在のタグ付けプロトコルでは、重複を確実に追跡したり、進化する抽出技術に対応したりすることができないため、効果的な実施が妨げられている。このような状況において、本調査では、生成的 AI のトレーニングについて事前の許可制を復活させることが、より持続可能で実施可能な枠組みとなるかどうかを検討している。すでに、大手開発者は、現在の例外規定の限界が認識されるようになったことを受け、出版社、画像バンク、その他の権利者との直接的なライセンス契約への移行を進めている。こうした動きは、法的確実性、公平性、透明性に関する重要な問題を引き起こしている。
AI-Generated Outputs: Authorship, Protection, and Legal Uncertainty	AI によって生成された出力：著作者、保護、および法的不安定性
The outputs of generative AI models challenge traditional notions of authorship and originality.[2] Under EU law, works generated entirely by machines without human intervention do not benefit from copyright protection. However, many outputs emerge from iterative human use of algorithmic tools, raising questions about authorship boundaries. Member States differ in how they interpret such hybrid authorship, leading to legal uncertainty and fragmentation across the internal market.	生成的 AI モデルの出力は、著作者および独創性に関する従来の概念に疑問を投げかけている[2]。EU 法では、人間の介入を一切受けずに機械によって完全に生成された著作物は、著作権による保護の対象とはならない。しかし、アルゴリズムツールを人間が繰り返し使用して生成される出力も多く、著作者に関する境界の問題が浮上している。加盟国は、このようなハイブリッドな著作者の解釈について見解が分かれており、域内市場全体に法的不安定さと断片化が生じている。
The study argues that clarity is urgently needed. Fully machine-generated content should remain in the public domain, while criteria for protecting AI-assisted works should be codified in EU law. The introduction of new, sui generis rights for machine-generated content is not recommended, as it risks undermining the coherence of the copyright system. In addition to legal uncertainty around hybrid authorship, AI-generated outputs resulting from automated processing raise significant economic challenges: they introduce market displacement risks, undermine traditional licensing structures, and risk concentrating value in the hands of a few dominant platforms, thereby destabilising incentives for professional creators. In addition, the study warns that moral-rights protection (attribution and integrity) is fragmented across Member States; without minimum EU alignment, authors may resort to forum-shopping to stop reputational distortions in AI outputs. The study also identifies two structural risks: the erosion of fair bargaining conditions for authors and the displacement of human creativity through automated content saturation. Both represent market failures that must be addressed to preserve a diverse, sustainable creative economy.	この調査では、明確化が急務であると主張している。完全に機械によって生成されたコンテンツはパブリックドメインのままとし、AI を支援して作成された著作物を保護するための規準を EU 法に規定すべきです。機械によって生成されたコンテンツに対する新たな固有の権利の導入は、著作権制度の整合性を損なうリスクがあるため、推奨されない。ハイブリッドな著作者の法的地位に関する不確実性に加え、自動処理によって生成された AI による成果物は、市場での置き換えリスクをもたらし、従来のライセンス構造を損ない、少数の支配的なプラットフォームに価値が集中するリスクがあり、それによってプロのクリエイターに対するインセンティブが不安定になるなど、重大な経済的課題を引き起こす。さらに、この調査では、著作者人格権（帰属および完全性）の保護が加盟国間で統一されていないことを指摘している。EU での最低限の整合性が確保されない場合、著作者は AI 成果物の評判の低下を防ぐために、裁判管轄の選択に訴える可能性がある。また、この調査では、著作者に対する公正な交渉条件の悪化と、コンテンツの自動化による人間の創造性の置き換えという 2 つの構造的リスクも指摘している。これらはいずれも、多様で持続可能な創造経済を維持するために解決すべき市場機能の失敗である。
Fair Remuneration: Addressing the Value Gap	公正な報酬：価値のギャップへの対処
A key policy concern is the absence of any mechanism that ensures creators are remunerated when their works are used to train AI models. As things stand, the economic benefits generated by AI training are not currently accompanied by clear mechanisms for compensating rightsholders. This undermines the incentive structure on which copyright is based.	重要な政策課題は、AI モデルのトレーニングに著作物が使用された場合に、創作者に報酬が確実に支払われるような仕組みがないことである。現状では、AI トレーニングによって生み出される経済的利益に対して、権利者に報酬を支払う明確な仕組みは存在しない。これは、著作権の基本であるインセンティブ構造を損なうものである。
The study explores possible responses, including the establishment of a statutory remuneration scheme. Such a scheme could take the form of a collective licence or levy on AI outputs, administered by collective management organisations and based on transparent, auditable usage data. However, such a solution would require strong safeguards, including enforceable disclosure obligations and public oversight. In parallel, the study also considers whether certain forms of AI-generated outputs— particularly where they displace human-authored content—could justify output-linked remuneration schemes as a means to preserve fair market conditions.	この調査では、法定報酬制度の創設など、考えられる対応策を検討している。このような制度は、集団管理機関が、透明性が高く監査可能な使用データに基づいて、AI の出力に対して集団ライセンスまたは課徴金を課すという形をとることができる。ただし、このような解決策には、執行可能な開示義務や公的監督など、強力な保護措置が必要となる。同時に、この研究では、AI によって生成された出力のうち、特に人間が作成したコンテンツに取って代わるものについて、公正な市場条件を維持するための手段として、出力に連動した報酬制度を正当化できるかどうかについても検討している。
Governance and Enforcement: Fragmented Responsibilities	ガバナンスと執行：責任の分散
The institutional landscape for copyright and AI is currently fragmented. Responsibility is shared among national courts and authorities, collective management organisations (CMOs), the European Parliament (EP), the European Commission, the European Union Intellectual Property Office (EUIPO), and the AI Office. This diffusion of competences contributes to slow enforcement, jurisdictional gaps, and regulatory uncertainty.	著作権と AI に関する制度的枠組みは、現在、分散している。責任は、各国の裁判所や当局、集団管理機関（CMO）、欧州議会（EP）、欧州委員会、欧州連合知的財産庁（EUIPO）、AI 事務局に分散している。このように権限が分散していることは、執行の遅れ、管轄のギャップ、規制の不確実性につながっている。
In order to address immediate coordination gaps, the study recommends that the JURI Committee establish a dedicated Working Group on AI and Copyright to ensure political follow-up and structured inter-committee dialogue. In parallel, a six-month High-Level Expert Group (HLEG) could be convened to deliver enforceable technical standards and pilot remuneration prototypes—including assessing whether a machine-readable interim opt-out tag is a workable solution. Together, these two mechanisms would offer a dual track of expert input and parliamentary oversight, paving the way toward a more robust institutional framework.	当面の調整のギャップに対処するため、この調査では、JURI 委員会が AI と著作権に関する専門作業部会を設立し、政治的なフォローアップと構造的な委員会間対話を確保することを推奨している。これと並行して、6 ヶ月間のハイレベル専門家グループ（HLEG）を招集し、執行可能な技術標準と報酬のパイロットプロトタイプ（機械可読の一時的なオプトアウトタグが実行可能な解決策であるかどうかの評価を含む）を策定することができる。この 2 つのメカニズムを組み合わせることで、専門家の意見と議会の監督という 2 つのトラックが提供され、より強固な制度的枠組みへの道が開かれる。
For longer-term governance, the study proposes creating a specialised AI & Copyright Unit within the EU AI Office, operating in coordination with EUIPO, the European Parliament, the European Commission, and CMOs. This unit would support copyright-related audits, compliance verification, and policy alignment—ensuring legal coherence while minimising administrative costs.	長期的なガバナンスについては、EU AI 事務局内に、EUIPO、欧州議会、欧州委員会、CMO と連携して活動する AI および著作権に関する専門ユニットを設置することを提案している。このユニットは、著作権関連の監査、コンプライアンスの検証、政策の整合化を支援し、法的整合性を確保しながら行政コストを最小限に抑える。
A Framework for Accountability	説明責任の枠組み
The study proposes a ‘Three-Pillar Accountability Test’ to evaluate policy options, with three criteria: epistemic accountability (transparency about if and how copyrighted content is used in AI training), normative accountability (fair allocation of rights and revenues), and systemic accountability (effective institutional oversight). Chapter 4 maps each reform against these criteria to check its legal soundness and practical feasibility.	この研究では、政策オプションを評価するための「3 つの柱からなる説明責任テスト」を提案している。このテストでは、認識的説明責任（AI トレーニングで著作権で保護されたコンテンツが使用されているかどうか、および使用方法に関する透明性）、規範的説明責任（権利と収益の公正な配分）、および体系的説明責任（効果的な制度的監督）の 3 つの規準を採用している。第 4 章では、これらの規準に対して各改革をマッピングし、その法的妥当性と実用性を検証している。
Policy Outlook	政策の見通し
The study outlines a rights-centered reform pathway aimed at strengthening authorial control and enhancing legal clarity in the evolving landscape of generative AI. Among the proposed measures is the recalibration of Article 4 of the CDSM Directive, exploring a transition toward a default system of prior authorisation—supported by a unified, machine-readable permissions registry, potentially overseen by EUIPO. In parallel, developers of AI models would be expected to maintain standardised dataset logs and implement traceability tools (such as watermarking or fingerprinting), allowing for end-to-end auditing of protected content use. To address the value gap, the study proposes also a statutory remuneration mechanism that would allocate a fair share of AI-generated value to rightsholders, with compliance monitored through randomised corpus audits conducted by the EU AI Office. Additionally, a proportionate moral rights framework would aim to safeguard authors against reputational harm. A tiered compliance structure would ensure that non-profit and open-source GPAI projects are not unduly burdened. This “yellow-label” relief (up to certain compute or revenue thresholds) would help maintain openness and innovation beyond the dominant commercial actors.	この研究では、進化する生成的 AI の分野において、著者のコントロールを強化し、法的明確性を高めることを目的とした、権利中心の改革の道筋を概説している。提案されている措置の中には、CDSM 指令の第 4 条の再調整があり、EUIPO が監督する、統一された機械可読型の許可登録簿によってサポートされる、事前の許可をデフォルトとするシステムへの移行が検討されている。これと並行して、AI モデルの開発者は、標準化されたデータセットログを維持し、トレーサビリティツール（電子透かしやフィンガープリントなど）を導入して、保護されたコンテンツの使用をエンドツーエンドで監査できるようにすることが求められる。価値のギャップに対処するため、この研究では、AI によって生成された価値の公正な分配を権利者に保証する法定の報酬メカニズムも提案している。その遵守は、EU AI 事務局が実施するランダムなコーパス監査によって監視される。さらに、比例的な著作者人格権の枠組みにより、著者の評判の毀損を防ぐことを目指す。段階的なコンプライアンス体制により、非営利およびオープンソースの GPAI プロジェクトに過度の負担がかからないようにする。この「イエローラベル」の緩和措置（一定の計算能力または収益のしきい値まで）は、支配的な商業主体以外の開放性とイノベーションの維持に役立つだろう。
Depending on the level of regulatory action taken by the EU, this study outlines three strategic scenarios for the creative sector by 2030. In the most favourable outcome (Optimistic scenario – Guided Progress), harmonised transparency rules, enforceable remuneration mechanisms, and active EU participation in model development foster legal certainty and a thriving creative economy. A middle-ground scenario (Intermediate – Litigious Status Quo) emerges from fragmented or partial implementation, leading to legal ambiguity, uneven enforcement, and stagnant revenues. In the worstcase scenario (Regressive – Creative Erosion), continued inaction enables unchecked AI use, eroding rights, undermining creator income, and flattening cultural diversity. These scenarios illustrate what is at stake—and why timely, coordinated intervention is essential.	EUが講じる規制措置のレベルに応じて、本研究は2030年までのクリエイティブセクターに関する3つの戦略的シナリオを提示している。最も望ましい結果（楽観的シナリオ – 指導的な進展）では、調和された透明性ルール、強制可能な報酬メカニズム、およびEUのモデル開発への積極的な参加が、法的確実性と活気あるクリエイティブ経済を促進する。中間的なシナリオ（中間 – 訴訟の続く現状）は、断片的な実施や部分的な実施から生じ、法的曖昧さ、不均一な施行、収益の停滞につながる。最悪のシナリオ（後退 – 創造性の衰退）では、何もしないままの状態が続き、AI の使用が野放しになり、権利が侵食され、クリエイターの収入が損なわれ、文化の多様性が失われる。これらのシナリオは、何が問題であり、なぜタイムリーで協調的な介入が不可欠なのかを明らかにしている。
Conclusion	結論
Exploring a transition toward a structured permission-based model may represent a necessary step toward restoring coherence and legal certainty within the EU copyright framework. Generative AI systems operate at a scale and opacity that EU copyright law was never designed to address. To uphold core copyright values, the EU should pursue targeted, proportionate reforms that reinforce its existing legal architecture. A phased approach could support this evolution: first, by reinforcing authors’ existing rights and halting the erosion of foundational copyright principles; and then, by introducing statutory mechanisms that promote legal certainty, traceability, and fair remuneration without imposing unworkable transactional burdens.	構造化された許可ベースのモデルへの移行を検討することは、EU の著作権枠組みの整合性と法的確実性を回復するために必要なステップとなるかもしれない。生成的 AI システムは、EU の著作権法が対処するようには設計されていない規模と不透明性で動作している。著作権の基本的価値を維持するため、EU は、既存の法的枠組みを強化する、的を絞った、均衡の取れた改革を推進すべきだ。この進化には、段階的なアプローチが有効だ。まず、著者の既存の権利を強化し、著作権の基本原則の侵食を食い止める。次に、実行不可能な取引上の負担を課すことなく、法的確実性、トレーサビリティ、および公正な報酬を促進する法定のメカニズムを導入する。
This study outlines a path toward such reform—grounded in transparency, proportionality, and systemic coherence—so that Europe can remain both innovation-friendly and protective of creators. While there will be reasonable disagreement over the optimal regulatory path, the proposals aim to offer a balanced response that aligns technological development with cultural and legal sustainability. By reintroducing a permission-based approach, ensuring fair remuneration, and strengthening oversight, the EU can position itself as a global leader in fostering an AI-and-copyright regime that is both responsible and resilient for the future.	本調査では、透明性、比例性、および体系的な一貫性に基づく、このような改革への道筋を概説している。これにより、ヨーロッパはイノベーションに優しい環境を維持しつつ、クリエイターを保護し続けることができるだろう。最適な規制の道筋については合理的な意見の相違があるでしょうが、この提案は、技術開発と文化および法的持続可能性との調和を図ったバランスのとれた対応を目的としている。許可ベースのアプローチを再導入し、公正な報酬を確保し、監督を強化することで、EU は、将来に向けて責任あるレジリエンシーのある AI と著作権に関する体制の構築において、世界的なリーダーとしての地位を確立することができるだろう。
[1] Strictly speaking, “European copyright law” is a shorthand expression, as no single unified copyright system exists at the European Union level. Rather, each of the twenty-seven EU Member States retains its own national copyright legislation. The EU’s role has primarily been to harmonize specific aspects of these national laws through a series of directives, resulting in a partially convergent legal framework across the Union.	[1] 厳密に言えば、「欧州の著作権法」は、欧州連合（EU）レベルでは単一の統一された著作権制度が存在しないため、略語である。むしろ、EU 加盟 27 カ国は、それぞれ独自の国内著作権法を有している。EU の役割は、主に一連の指令を通じてこれらの国内法の特定の側面を調和させ、EU 全体で部分的に整合性のある法的枠組みを構築することである。
[2] For the sake of readability, this study occasionally uses expressions such as ‘AI-generated content’ or ‘generative outputs.’ These should be understood as shorthand for ‘outputs resulting from automated computational processes using AI models,’ and do not imply authorship, intentionality, or agency.	[2] 読みやすさを考慮し、本稿では「AI 生成コンテンツ」や「生成的出力」などの表現を時折使用している。これらは「AI モデルを用いた自動化された計算プロセスによって生じる出力」の略語として理解すべきであり、著作権、意図、または主体性を意味するものではない。

日本の場合...

● 文化庁 - AIと著作権について

・[PDF] 2024.07.31 AI と著作権に関するチェックリスト＆ガイダンス

・2024.04.18 文化庁、「AIと著作権に関する考え方について」を公表

・・2024.03.15 [PDF] AI と著作権に関する考え方について

2024年度

講演映像

講義資料

2023年度

講演映像

講義資料

会議...

● 内閣府 - ＡＩ戦略会議

● 官邸 - AI時代の知的財産権検討会

● 文化庁 - 著作権分科会　法制度小委員会

2025.07.24 00:00 in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.07.23

各国の中小企業向けセキュリティガイダンス

こんにちは、丸山満彦です。

中小企業のサイバーセキュリティ対策はどの国も政策的な重要性がありますよね...

ガイダンスだけでなく、政策自体の比較が本当は重要なのでしょうが、とりあえず、ガイダンス的なものの紹介...

ということで、

米国
日本
英国
欧州
ドイツ
フランス
オーストラリア
カナダ

を少し紹介...

米国

● CISA

・Small and Medium Businesses

・・2024.04 Cyber Guidance for Small Businesses

Cyber Guidance for Small Businesses	中小企業向けサイバーガイダンス
A Different Kind of Cybersecurity Advice	これまでとは違ったサイバーセキュリティのアドバイス
Small businesses often do not have the resources to defend against devastating cyber threats like ransomware. As a small business owner, you have likely come across security advice that is out of date or that does not help prevent the most common compromises. For example, odds are that you have heard advice to never shop online using a coffee shop’s wi-fi connection. While there was some truth to this fear a decade ago, that’s not how people and organizations are compromised today. The security landscape has changed, and our advice needs to evolve with it.	中小企業は、ランサムウェアのような壊滅的なサイバー脅威から身を守るためのリソースを十分に持っていない場合が多い。中小企業の経営者の方は、時代遅れのセキュリティアドバイスや、最も一般的な侵害の防止に役立たないアドバイスを耳にしたことがあるだろう。例えば、カフェのWi-Fi接続を使用してオンラインショッピングを絶対にしないようにというアドバイスを聞いたことがあるかもしれない。10年前は、この懸念には一定の真実があったが、現在では、個人や組織が侵害される方法は変わっている。セキュリティ環境は変化しており、アドバイスもそれに合わせて進化させる必要がある。
This advice is different.	このアドバイスは異なる。
Below, we offer an action plan informed by the way cyberattacks actually happen. We break the tasks down by role, starting with the Chief Executive Officer (CEO). We then detail tasks for a Security Program Manager and the Information Technology (IT) team. While following this advice is not a guarantee you will never have a security incident, it does lay the groundwork for building an effective security program.	以下では、サイバー攻撃が実際にどのように発生するかを踏まえた行動計画を紹介する。まず、最高経営責任者（CEO）から始めて、役割ごとにタスクを分類する。次に、セキュリティプログラムマネージャーおよび情報技術（IT）チームのタスクについて詳しく説明する。このアドバイスに従えば、セキュリティインシデントが絶対に発生しないという保証はないが、効果的なセキュリティプログラムを構築するための基礎を築くことができる。
Role of the CEO	CEO の役割
Cybersecurity is about culture as much as it is about technology. Most organizations fall into the trap of thinking the IT team alone is responsible for security. As a result, they make common mistakes that increase the odds of a compromise. Culture cannot be delegated. CEOs play a critical role by performing the following tasks:	サイバーセキュリティは、テクノロジーと同じくらい文化も重要だ。ほとんどの組織は、セキュリティは IT チームだけの責任だと考えるという罠に陥っている。その結果、セキュリティ侵害の可能性を高めるよくあるミスを犯してしまう。文化は委任できない。CEO は、以下のタスクを実行することで重要な役割を果たす。
1.Establish a culture of security. Make it a point to talk about cybersecurity to direct reports and to the entire organization. If you have regular email communications to staff, include updates on security program initiatives. When you set quarterly goals with your leadership team, include meaningful security objectives that are aligned with business goals. Security must be an “everyday” activity, not an occasional one. For example, set goals to improve the security of your data and accounts through the adoption of multifactor authentication (MFA) (more on that below), the percentage of systems you have fully patched, and the percentage of systems that you back up.	1. セキュリティの文化を確立する。直属の部下や組織全体に対して、サイバーセキュリティについて必ず話すようにする。スタッフと定期的に E メールでコミュニケーションを取っている場合は、セキュリティプログラムの取り組みに関する最新情報を記載する。経営陣と四半期目標を設定する際には、事業目標に沿った有意義なセキュリティ目標も盛り込む。セキュリティは、時折行うものではなく、「日常的な」活動でなければならない。たとえば、多要素認証（MFA）（詳細は後述）の導入、完全にパッチを適用したシステムの割合、バックアップを取っているシステムの割合など、データとアカウントのセキュリティを向上させるための目標を設定する。
2. Select and support a “Security Program Manager.” This person doesn’t need to be a security expert or even an IT professional. The Security Program Manager ensures your organization implements all the key elements of a strong cybersecurity program. The manager should report on progress and roadblocks to you and other senior executives at least monthly, or more often in the beginning.	2. 「セキュリティプログラムマネージャー」を選定し、サポートする。この人物は、セキュリティの専門家である必要はなく、IT 専門家である必要もない。セキュリティプログラムマネージャーは、組織が強力なサイバーセキュリティプログラムのすべての重要な要素を確実に実施するようにする。マネージャーは、少なくとも毎月 1 回、初期はそれ以上の頻度で、あなたや他の上級幹部に進捗状況や障害について報告する。
3. Review and approve the Incident Response Plan (IRP). The Security Program Manager will create a written IRP for the leadership team to review. The IRP is your action plan before, during and after a security incident. Give it the attention it deserves in “peace time,” and involve leaders from across the organization, not just the security and IT functions. There will be no time to digest and refine it during an incident.	3. インシデント対応計画 (IRP) を確認し、承認する。セキュリティプログラムマネージャーは、経営陣がレビューするための IRP を文書で作成する。IRP は、セキュリティインシデント発生前、発生中、発生後の行動計画だ。平時は、セキュリティ部門や IT 部門だけでなく、組織全体のリーダーも参加して、この計画に十分な注意を払うこと。インシデント発生時には、この計画を理解して改良する時間はない。
PRO TIP: Invoke the IRP even when you suspect a false alarm. “Near misses” drive continuous improvements in the aviation industry, and the same can be true for your security program. Never let a near miss go to waste!	プロのヒント：誤報の疑いがある場合でも、IRP を発動すること。航空業界では「ニアミス」が継続的な改善の原動力となっているが、セキュリティプログラムも同様だ。ニアミスを無駄にしないようにしよう。
4. Participate in tabletop exercise drills (TTXs). The Security Program Manager will host regular attack simulation exercises called tabletop exercises. These exercises will help you and your team build reflexes that you’ll need during an incident. Make sure your senior leaders attend and participate.	4. 机上演習（TTX）に参加する。セキュリティプログラムマネージャーは、机上演習と呼ばれる定期的な攻撃シミュレーション演習を開催する。この演習は、インシデント発生時に必要な反射神経を、あなたとあなたのチームに身につけさせる。上級幹部が必ず出席し、参加するようにしよう。
5. Support the IT leaders. There are places where the support of the CEO is critical, especially where the security program needs the help of every staff member. Take ownership of certain efforts instead of asking IT to do so. For example, do not rely on the IT team to persuade busy staff that they must enable MFA. Instead, make the MFA announcement to the staff yourself and keep track of the progress. Personally follow up with people who have not enabled MFA. Doing so creates a culture of security from the top.	5. IT リーダーをサポートする。CEOの支援が不可欠な場面がある。特に、セキュリティプログラムが全従業員の協力が必要な場合だ。ITチームに頼るのではなく、特定の取り組みを自ら主導しよう。例えば、多忙な従業員にMFAを有効化するように説得するのをITチームに任せないで、自ら従業員にMFAの有効化をアナウンスし、進捗状況を追跡しよう。MFAを有効化していない従業員には、個人でフォローアップを行う。これにより、トップダウンのセキュリティ文化が育まれる。
A note on MFA: MFA is a layered approach to securing your online accounts and the data they contain. Any form of MFA is better than no MFA. Any form of MFA (like SMS text messages, or authenticator codes) will raise the cost of attack and will reduce your risk. Having said that, phishing is consistently the most cost-effective way for attackers to compromise systems, and the only widely available phishing resistant authentication is called “FIDO authentication.” When an attacker eventually tricks you into trying to log into their imposter site to compromise your account, the FIDO protocol will block the attempt. FIDO is built into the browsers and smartphones you already use. We urge you to learn how FIDO resists phishing attacks.	MFA に関する注意：MFA は、オンラインアカウントとそのアカウントに含まれるデータを保護するための多層的なアプローチだ。MFA は、どのような形式でも、MFA を導入しないよりも優れている。MFA（SMS テキストメッセージや認証コードなど）は、攻撃のコストを高め、リスクを軽減する。とはいえ、フィッシングは、攻撃者がシステムを侵害するための最も費用対効果の高い手法であり、広く利用可能な唯一のフィッシング対策認証は「FIDO 認証」だ。攻撃者が最終的に、アカウントを侵害するために偽のサイトにログインするようユーザーを騙した場合、FIDO プロトコルがその試みをブロックする。FIDO は、ユーザーがすでに使用しているブラウザやスマートフォンに組み込まれている。FIDO がフィッシング攻撃にどのように抵抗するかを確認することをお勧めする。
The combination of a cloud-hosted email service, Secure by Design devices, and FIDO authentication will dramatically raise the cost for attackers and will dramatically reduce your risk. It’s worth considering.	クラウドホスト型のメールサービス、Secure by Design デバイス、および FIDO 認証を組み合わせることで、攻撃者のコストが大幅に上昇し、リスクが大幅に軽減される。検討する価値がある。
Role of the Security Program Manager	セキュリティプログラムマネージャーの役割
The Security Program Manager will need to drive the elements of the security program, inform the CEO of progress and roadblocks, and make recommendations. These are the Security Program Manager’s most important tasks:	セキュリティプログラムマネージャーは、セキュリティプログラムの要素を推進し、進捗状況や障害について CEO に報告し、推奨事項を提案する必要がある。セキュリティプログラムマネージャーの最も重要な業務は、次のとおりだ。
1. Training. All staff must be formally trained to understand the organization’s commitment to security, what tasks they need to perform (like enabling MFA, updating their software, and avoiding clicking on suspicious links that could be phishing attacks), and how to escalate suspicious activity	1. トレーニング。すべてのスタッフは、セキュリティに対する組織の取り組み、実行すべき業務（MFA の有効化、ソフトウェアの更新、フィッシング攻撃の可能性のある不審なリンクのクリックの回避など）、不審な活動のエスカレーション方法について、正式なトレーニングを受ける必要がある。
2. Write and maintain the IRP. The IRP will spell out what the organization needs to do before, during, and after an actual or potential security incident. It will include roles and responsibilities for all major activities and an address book for use should the network be down during an incident. Get the CEO and other leaders to formally approve it. Review it quarterly and after every security incident or “near miss”. Need to know where to start? Look to our IRP Basicstwo-pager with advice on what to do before, during and after an incident. To request assistance or to share information about an incident that can help protect other potential victims, you can contact CISA at [web] .	2. IRP の作成と維持。IRP には、実際のセキュリティインシデントまたはその可能性が発生した際、その発生前、発生中、発生後に組織が実行すべき事項が明記される。これには、すべての主要な活動における役割と責任、およびインシデント発生時にネットワークがダウンした場合に使用するアドレス帳も含まれる。CEO およびその他の経営幹部に正式に承認してもらう。四半期ごとに、およびセキュリティインシデントまたは「ニアミス」が発生したたびに、IRP を確認する。どこから始めればよいか分からない場合は、インシデント発生前、発生中、発生後にすべきことをまとめた 2 ページの IRP 基本情報をご覧ください。支援を要請したり、他の潜在的な被害者を保護するのに役立つインシデントに関する情報を共有したりするには、CISA（web）まで。
3. Host quarterly tabletop exercises (TTXs). A TTX is a role-playing game where the organizer (possibly you!) presents a series of scenarios to the team to see how they would respond. A common scenario involves one employee discovering their laptop is blocked by ransomware. Symphonies and sports teams practice regularly, and your organization should, too. CISA has Cybersecurity Tabletop Exercise Tips to get you started .	3. 四半期ごとに机上演習 (TTX) を実施する。TTX は、主催者（おそらくあなた！）がチームに一連のシナリオを提示し、その対応を確認するロールプレイングゲームだ。一般的なシナリオとしては、従業員が自分のノートパソコンがランサムウェアによってブロックされていることに気付く、というものがある。交響楽団やスポーツチームも定期的に練習を行っている。あなたの組織も同様だ。CISA には、TTX を開始するための「サイバーセキュリティ机上演習のヒント」がある。
4. Ensure MFA compliance. Yep--MFA Again! The most important step an organization can make is to ensure that all staff use MFA to log into key systems, especially email. While this task is also listed under the IT section below, multiple people must review the MFA status regularly.	4. MFA のコンプライアンスを確保する。そう、また MFA だ！組織が実行できる最も重要なステップは、すべてのスタッフが重要なシステム、特に E メールにログインする際に MFA を使用することを確実にすることだ。このタスクは、以下の IT のセクションにも記載されているが、複数の担当者が MFA のステータスを定期的に確認する必要がある。
In addition to the advice here, we urge you to look at the information and toolkits available from our Cyber Essentials series to continue to mature your program .	ここでのアドバイスに加えて、当社の Cyber Essentials シリーズで入手できる情報やツールキットも参考にして、プログラムの成熟度を高めていくことをお勧めする。
Role for the IT Lead	IT 責任者の役割
The top tasks for the IT lead and staff include the following:	IT 責任者およびスタッフの最優先課題は、次のとおりだ。
1. Ensure MFA is mandated using technical controls, not faith. Some organizations have instructed their users to enroll in MFA, but not all users complete that task. There are often MFA gaps for recently onboarded staff and for people who have migrated to a new phone. You’ll need to regularly look for non-compliant accounts and remediate them. Verify, verify, verify MFA stats.	1. 信頼ではなく、技術的な制御によって MFA の使用を義務付ける。一部の組織では、ユーザーに MFA への登録を指示しているが、すべてのユーザーが登録を完了しているわけではない。最近入社したスタッフや新しい携帯電話に移行したユーザーには、MFA のギャップがあることが多い。コンプライアンスに違反しているアカウントを定期的に検索し、修正する必要がある。MFA の統計情報を確認、確認、そして確認する。
2. Enable MFA for all system administrator accounts. System administrators are valuable targets for attackers. You might assume that they would reflexively enroll in MFA. Yet Microsoft reports that around half of Azure Active Directory global administrators use MFA. In many compromises, attackers were able to get a foothold on the system administrator’s account, and from there they had complete access to all the company’s assets.	2. すべてのシステム管理者アカウントで MFA を有効にする。システム管理者は、攻撃者にとって貴重なターゲットだ。システム管理者は反射的に MFA に登録するだろうと思うかもしれない。しかし、Microsoft の報告によると、Azure Active Directory のグローバル管理者の約半数が MFA を使用している。多くの侵害事件では、攻撃者はシステム管理者のアカウントに足場を築き、そこから会社のすべての資産に完全にアクセスできた。
3. Patch. Many attacks succeed because the victims were running vulnerable software when a newer, safer version was available. Keeping your systems patched is one of the most cost-effective practices to improve your security posture. Be sure to monitor CISA’s Known Exploited Vulnerabilities (KEV) Catalog, a list of the vulnerabilities we see attackers using in real attacks. Prioritize the vulnerabilities in the KEV. Also, where possible enable auto-update mechanisms.	3. パッチを適用する。多くの攻撃が成功するのは、より新しく安全なバージョンが利用可能になっているにもかかわらず、被害者が脆弱なソフトウェアを実行していたためだ。システムにパッチを適用し続けることは、セキュリティ体制を強化するための最も費用対効果の高い対策のひとつだ。CISA の「既知の悪用される脆弱性 (KEV) カタログ」を必ず監視して。これは、攻撃者が実際の攻撃で使用している脆弱性のリストだ。KEV に記載されている脆弱性の優先順位を付け、可能な場合は自動更新メカニズムを有効にして。
4. Perform and test backups. Many organizations that have fallen victim to ransomware either had no backups or had incomplete/damaged backups. It’s not enough to schedule all important systems to have a regular backup. It’s critical to regularly test partial and full restores. You’ll have to pick a cadence for the backups (continuous, hourly, weekly, etc.). You’ll also want to write a plan for the restoration. Some organizations experiencing ransomware attacks found that the time to restore their data was significantly longer than expected, impacting their business.	4. バックアップの実行とテスト。ランサムウェアの被害に遭った多くの組織は、バックアップをまったく取っていなかったか、バックアップが不完全または破損していた。重要なシステムすべてに定期的なバックアップをスケジュールするだけでは不十分だ。部分的な復元と完全な復元を定期的にテストすることが重要だ。バックアップの頻度（連続、1 時間ごと、1 週間ごとなど）を決める必要がある。復元計画も作成しておこう。ランサムウェア攻撃を受けた一部の組織では、データの復元時間が予想よりも大幅に長引き、事業に影響が出たケースがある。
5. Remove administrator privileges from user laptops. A common attack vector is to trick users into running malicious software. The attacker’s job is made easy when users have administrator privileges. A user who lacks administrator privileges cannot install software, and this type of attack won’t work.	5. ユーザーノートパソコンから管理者権限を削除する。一般的な攻撃手法は、ユーザーをだまして悪意のあるソフトウェアを実行させることだ。ユーザーが管理者権限を持っていると、攻撃者の作業が容易になる。管理者権限のないユーザーはソフトウェアをインストールできないため、この種の攻撃は機能しない。
6. Enable disk encryption for laptops. Modern smartphones encrypt their local storage, as do Chromebooks. Windows and Mac laptops, however, must be configured to encrypt their drives. Given how many laptops are lost or stolen each year, it’s important to ensure that your laptop fleet is protected.	6. ノートパソコンのディスク暗号化を有効にする。最近のスマートフォンや Chromebook は、ローカルストレージを暗号化している。ただし、Windows および Mac のノートパソコンは、ドライブを暗号化するように設定する必要がある。毎年、多くのノートパソコンが紛失または盗難に遭っていることを考えると、ノートパソコンの群を確実に保護することが重要だ。
All of the above steps may leave you wondering if the products you use are as secure as they could be. Very often, the answer is that the software manufacturers create products using components and practices that inevitably lead to common vulnerabilities. In addition to putting into practice the above steps, we urge you to learn more about how software companies can create software that is “secure by design”. Read more here: [web].	上記のすべての手順を実行しても、使用している製品が本当に安全であるかどうか不安が残るかもしれない。多くの場合、その答えは、ソフトウェア製造事業者が、必然的に一般的な脆弱性につながるコンポーネントや手法を使用して製品を作成しているためだ。上記の対策を実施するとともに、ソフトウェア企業が「設計段階からセキュリティを考慮した」ソフトウェアを作成する方法について、詳しくご検討いただくことをお勧めする。詳細については、[web] をご覧ください。
Achieving the Highest Security Posture	最高のセキュリティ体制の実現
When security experts give cybersecurity advice, they usually assume you are only willing to make small changes to your IT infrastructure. But what would you do if you could reshape your IT infrastructure? Some organizations have made more aggressive changes to their IT systems to reduce their “attack surface.” In some cases, they have been able to all but eliminate (YES, WE SAID ELIMINATE!) the possibility of falling victim to phishing attacks. Sound interesting? Keep reading!	セキュリティの専門家がサイバーセキュリティに関するアドバイスを行う場合、通常、IT インフラストラクチャにはわずかな変更しか加えることができないことを前提としている。しかし、IT インフラストラクチャを再構築できるとしたらどうだろうか？一部の組織では、IT システムに積極的な変更を加えて「攻撃対象領域」を削減している。場合によっては、フィッシング攻撃の被害を受ける可能性をほぼ完全に排除（そう、完全に排除！）することに成功している。興味がある方は、ぜひこのまま読み進めてください。
On premises vs cloud	オンプレミスとクラウド
One major improvement you can make is to eliminate all services that are hosted in your offices. We call these services “on premises” or “on-prem” services. Examples of on-prem services are mail and file storage in your office space. These systems require a great deal of skill to secure. They also require time to patch, to monitor, and to respond to potential security events. Few small businesses have the time and expertise to keep them secure.	大きな改善点の 1 つは、オフィスでホストされているすべてのサービスを排除することだ。これらのサービスは「オンプレミス」または「オンプレミス」サービスと呼ばれる。オンプレミスサービスの例としては、オフィススペースでのメールやファイルの保存がある。これらのシステムは、セキュリティを確保するために高度なスキルが必要だ。また、パッチの適用、監視、潜在的なセキュリティイベントへの対応にも時間がかかる。これらを安全に保つための時間と専門知識を持っている中小企業はほとんどない。
While it’s not possible to categorically state that “the cloud is more secure,” we have seen repeatedly that organizations of all sizes cannot continuously handle the security and time commitments of running on-prem mail and file storage services. The solution is to migrate those services to secure cloud versions, such as Google Workspace or Microsoft 365 for enterprise email. These services are built and maintained using world-class engineering and security talent at an attractive price point. We urge all businesses with on-prem systems to migrate to secure cloud-based alternatives as soon as possible.	「クラウドの方が安全である」と断定することはできないが、あらゆる規模の組織が、オンプレミスのメールやファイルストレージサービスの運用に伴うセキュリティと時間的な負担を継続的に処理することは不可能であることが繰り返し確認されている。解決策は、これらのサービスを、エンタープライズ向けメール用の Google Workspace や Microsoft 365 などの安全なクラウド版に移行することだ。これらのサービスは、世界トップクラスのエンジニアリングとセキュリティの専門知識を用いて構築、維持されており、魅力的な価格帯で提供されている。オンプレミスシステムを使用している企業は、できるだけ早く、安全なクラウドベースの代替サービスに移行することをお勧めする。
Secure endpoints	エンドポイントのセキュリティ
While all operating system vendors work to continuously improve the security of their products, two stand out as being “secure by design,” specifically, Chromebooks and iOS devices like iPads.	すべての OS ベンダーは、自社製品のセキュリティの継続的な改善に取り組んでいるが、その中でも、Chromebook と iPad などの iOS デバイスは、「設計段階からセキュリティが考慮されている」という点で際立っている。
Some organizations have migrated some or all of their staff to use Chromebooks and iPads. As a result, they have removed a great deal of “attack surface,” which in turn makes it much harder for attackers to get a foothold. Even if an attacker were able to find a foothold on those systems as part of a ransomware attack, the data primarily lives in a secure cloud service, reducing the severity of the attack.	一部の組織では、社員の一部または全員を Chromebook および iPad に移行している。その結果、攻撃の「攻撃対象領域」が大幅に削減され、攻撃者が足場を固めることが非常に困難になっている。たとえ攻撃者がランサムウェア攻撃の一環としてこれらのシステムに足場を固めたとしても、データは主に安全なクラウドサービスに保存されているため、攻撃の被害は最小限に抑えられる。
Additional Information*	追加情報*
For more information and resources for Small and Medium-sized businesses, visit Small and Medium Businesses \| Cybersecurity and Infrastructure Security Agency CISA and our Small Business Week page:[web]	中小企業向けの詳しい情報やリソースについては、中小企業 \| サイバーセキュリティ・インフラセキュリティ庁 CISA および、中小企業週間ページ [web] をご覧ください。
*This page was updated in April 2024.	*このページは 2024 年 4 月に更新された。

日本

● 経済産業省・IPA

・サイバーセキュリティ対策をはじめたい・支援策を知りたい

・・ぜひお読みください！　―中小企業の情報セキュリティ対策ガイドライン―

・・・中小企業の情報セキュリティ対策ガイドライン

・・・・[PDF] 中小企業の情報セキュリティ対策ガイドライン第3.1版

・・サイバー攻撃の被害に遭ってしまったら御活用を！　―中小企業のためのセキュリティインシデント対応の手引き―

英国

イギリスといえば、サイバーエッセンシャルズ...

● NCSC

・Cyber Essentials

・・Small Business Guide: Cyber Security

欧州

● ENISA

・2023.03.28 Diagnose your SME’s Cybersecurity and Scan for Recommendations

Further information

・ENISA Cybersecurity Maturity Assessment for SMEs

・SecureSME

・Cybersecurity for SMEs - Challenges and Recommendations - ENISA report 2021

・Cybersecurity guide for SMEs - 12 steps to securing your business - 2021

From our ENISA YouTube Channel

・Ransomware campaigns targeting SMEs

・Be aware, be prepared – Cybersecurity tips for SMEs – Protect your business

・Be aware, be prepared – Cybersecurity tips for SMEs – Fight ransomware

・Be aware, be prepared – Cybersecurity tips for SMEs – Protect your customers

ドイツ

● BSI（連邦情報セキュリティ庁）

・2024.07.27 Small and Medium-Sized Enterprises

・2024.07.26 Cybersicherheit für KMU

・・[PDF]

フランス

● ANSSI

・2017.01.19 Guide des bonnes pratiques de l’informatique - L’ANSSI et la CPME présentent douze règles essentielles pour la sécurité des systèmes d’information des petites et moyennes entreprises.

・・[PDF] Guide CPME : les bonnes pratiques de l'informatique

中小企業のための13の質問

・2021.02.18 La cybersécurité pour les TPE/PME en treize questions

・・・[PDF] Guide - La cybersécurité pour les TPE/PME en 13 questions

オーストラリア

● ACSC (オーストラリアサイバーセキュリティセンター)

・2023.06.13 Small business cybersecurity guide

・[PDF] Small Business Cyber Security Guide V6

カナダ

● CCCS

・Baseline cyber security controls for small and medium organizations

・2020.02 Baseline cyber security controls for small and medium organizations V1.2

中国や韓国は特に見つけられなかったけど、何かあるかもしれません...

2025.07.23 00:00 in 情報セキュリティ / サイバーセキュリティ, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.22

欧州委員会量子ヨーロッパ戦略 (2025.07.02)

こんにちは、丸山満彦です。

欧州委員会が量子ヨーロッパ戦略を公表していますね...

2030 年までにヨーロッパを量子分野における世界的なリーダーとするため戦略ということのようです...

5つの分野についてかかれていますね。。。

研究とイノベーション
量子インフラストラクチャ
量子エコシステムの強化
宇宙およびデュアルユース量子技術（セキュリティおよび防衛）
量子スキル

Q-STAR 一般社団法人量子技術による新産業創出協議会の監事をしていますが、Q-STARも米国、カナダ、欧州とも連携をしていますが、この戦略においても日本との連携も書かれていますね...

● European Commission

・2025.07.02 Quantum Europe Strategy

Quantum Europe Strategy	量子ヨーロッパ戦略
The European Commission has adopted a Quantum Strategy to position Europe as a global leader in quantum by 2030.	欧州委員会は、2030 年までにヨーロッパを量子分野における世界的なリーダーとするため、量子戦略を採択した。
Despite its remarkable progress in quantum technology, the EU is currently lagging behind in translating its innovation capabilities and future potential into real market opportunities, while also struggling with fragmentation of strategies and roadmaps across Member States.	量子技術において目覚ましい進歩を遂げているにもかかわらず、EU は現在、そのイノベーション能力と将来の可能性を実際の市場機会へと変換する上で遅れをとっており、加盟国間の戦略やロードマップの断片化にも苦しんでいる。
While highlighting Europe’s strengths, the Quantum Europe Strategy aims to turn Europe into a quantum powerhouse by fostering a resilient, sovereign quantum ecosystem, that fuels startup growth and transforms breakthrough science into market-ready applications, while maintaining its scientific leadership.	量子ヨーロッパ戦略は、ヨーロッパの強みを強調しつつ、科学分野におけるリーダーシップを維持しながら、スタートアップの成長を促進し、画期的な科学を市場投入可能なアプリケーションへと変換する、レジリエンシーに優れた主権的な量子エコシステムを構築することで、ヨーロッパを量子分野のパワーハウスに変えることを目指している。
The Strategy focuses on five interconnected areas:	この戦略は、5つの相互に関連した分野に焦点を当てている：
1. Research and Innovation: Consolidating excellence across Europe to lead in quantum science and its industrial transformation	1. 研究とイノベーション：欧州全体の卓越性を強化し、量子科学とその産業変革をリードする
2. Quantum Infrastructures: Developing scalable, coordinated infrastructure hubs to support production, design, and application development	2. 量子インフラストラクチャ：生産、設計、アプリケーション開発を支援するスケーラブルで協調的なインフラストラクチャハブを開発する
3. Strengthening the Quantum Ecosystem: through investments in startups and scaleups, securing supply chains and the industrialisation of quantum technologies	3. 量子エコシステムの強化：スタートアップとスケールアップへの投資、サプライチェーンの確保、量子技術の産業化を通じて
4. Space and Dual-Use Quantum Technologies (Security and Defence): Integrating secure, sovereign quantum capabilities into Europe’s space, security and defence strategies	4. 宇宙およびデュアルユース量子技術（セキュリティおよび防衛）：安全で主権的な量子機能を、欧州の宇宙、セキュリティ、防衛戦略に統合する
5. Quantum Skills: Building a diverse, world-class workforce through coordinated education, training, and talent mobility across the EU	5. 量子スキル：EU 全体の教育、訓練、人材の流動性を調整し、多様で世界トップクラスの人材を育成する
You can download the Communication on the Quantum Europe Strategy below.	量子ヨーロッパ戦略に関するコミュニケーションは、以下からダウンロードできます。

・[PDF] Quantum Europe Strategy: Quantum Europe in a Changing World

・[DOCX][PDF] 仮訳

関連文書

● European Commission

経済安全保障

・2023.10.03 欧州委員会勧告（EU)2023/2113（2023年10月3日）EUのための重要な技術分野に関する経済安全保障加盟国とのさらなるリスク評価のための勧告

量子技術に関する欧州宣言

・2023.12.06 European Declaration on Quantum Technologies

ドラギレポート

・2024.09.09 The Draghi report on EU competitiveness

欧州力コンパス

・2025.01.29 競争力コンパス – 欧州委員会

欧州防衛白書

・2025.03.21 欧州防衛に関する白書 – 2030年までの準備状況 | EEAS

EU国際デジタル戦略

・2025.06.05 EUの国際デジタル戦略に関する共同声明

欧州量子通信インフラストラクチャ - EuroQCI

・2025.07.08 European Quantum Communication Infrastructure - EuroQCI

国毎の量子戦略

米国

・NATIONAL QUANTUM INITIATIVE

日本

・量子技術イノベーション

オーストラリア

・2023 [PDF] National Quantum Strategy

カナダ

・Canada’s National Quantum Strategy

英国

・2023.12.14 National quantum strategy

2025.07.22 00:00 in 情報セキュリティ / サイバーセキュリティ, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.21

防衛白書（2025年）

こんにちは、丸山満彦です。

防衛省が令和7年、2025年の防衛白書を公表しましたね。。

今年も表紙がいいですね。。。

今年の表紙のコンセプトは、「国民の平和な暮らしを守る自衛隊」。

本白書の表紙は、「国民の平和な暮らしを守る自衛隊」をコンセプトとして、国民に寄り添う自衛隊の「親近感」、何気ない平和な日常を支える自衛隊の「安心感」、日本を守る自衛隊の「信頼感」を表現しています。

国の軍事的な抑止力としての自衛隊は大きな貢献をしていると思います。そういう意味も含めて、国民との距離を縮める活動をもう少ししてもよいかもですね（基地の周辺の活動には、昔からよく存じています。。。宇治や伊丹...）

特集は

統合作戦司令部と統合作戦
自衛官の処遇・勤務環境の改善及び新たな生涯設計の確立
防衛この一年

の３つですね...

● 防衛省

・令和７年版防衛白書

防衛白書

HTML版（準備中）
PDF分割版（準備中）
PDF一括（本編）【64.1 MB】
PDF一括（資料編）【5.8MB】
PDF一括（防衛年表）【1.03MB】
電子書籍（epub）版（準備中）
まるわかり！日本の防衛（2025年版）

PDF一括（本編）

サイバーという用語は565ヶ所（2024年は508、2023年は492）にでてきますね...

パンフレット

・[PDF] 日本語版パンフレット

・[PDF] 英語版パンフレット

・[PDF] 中国語版パンフレット

第4章宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など

サイバー空間、海洋、宇宙空間、電磁波領域などにおいて、自由なアクセスやその活用を妨げるリスクが深刻化している。特に、サイバー攻撃の脅威は急速に高まっており、機微情報の窃取などは、国家を背景とした形でも平素から行われている。そして、武力攻撃の前から偽にせ情報の拡散などを通じた情報戦が展開されるといった、軍事目的遂行のために軍事的な手段と非軍事的な手段を組み合わせるハイブリッド戦が、今後さらに洗練された形で実施される可能性が高い。こうした動向は、わが国を含む国際社会が直面している重大な課題である。
第1節情報戦などにも広がりをみせる科学技術をめぐる動向

1 科学技術と安全保障

科学技術とイノベーションの創出は、わが国の経済的・社会的発展をもたらす源泉であり、技術力の適切な活用は、安全保障だけでなく、気候変動などの地球規模課題への対応にも不可欠である。各国は、例えばAI Artificial Intelligence、量子技術、次世代情報通信技術など、将来の戦闘様相を一変させる、いわゆるゲーム・チェンジャーとなりうる先端技術の研究開発や、軍事分野での活用に力を入れている。
このような技術の活用は、これまで人間や従来のコンピュータなどにより行われてきた情報処理を、高速かつ自動で行うことを可能とするものであり、意思決定の精度やスピードにも大きな影響を及ぼすものとして注視していく必要がある。また、こうした技術に基づく高速大容量かつ安全な通信は、今後の防衛における大きなニーズでもある無人化や省人化にも大きく寄与するため、この観点からも注視が必要である。
さらに、サイバー領域などにおけるリスクも深刻化している。なかでも、サイバー攻撃による通信・重要インフラの妨害やドローンの活用など、純粋な軍事力に限られない多様な手段により他国を混乱させる手法はすでにいくつもの実例があり、こうした技術は、軍事と非軍事の境界を曖昧にし、いわゆるグレーゾーン事態を増加・拡大させる要因ともなっている。AI技術を応用して偽の動画を作るディープフェイクと呼ばれる技術も広がりを見せており、偽にせ情報の拡散などを通じた情報戦などが恒常的に生起するなど、安全保障面での技術の影響力が高まり続けている。
加えて、国の経済や安全保障にとって重要となる新興技術の分野で優位を獲得し、国際的な基準をリードすることが有利であるといった認識から、次世代情報通信システム（Beyond 5G）や半導体などの分野において、技術をめぐる国家間の争いが顕在化している。また、半導体やレアメタルをはじめとした重要物資について、安全保障の観点からサプライチェーンを確保することの重要性について共通の理解が進んでいる。
このような状況において、一部の国家が、サイバー空間、企業買収、投資を含む企業活動、学術交流、工作員などを利用し、他国の民間企業や大学などが開発した先端技術に関する情報を窃取した上で、自国の軍事目的に活用していることが懸念となっており、各国は、輸出管理や外国からの投資にかかる審査を強化するとともに、技術開発や生産の独立性を高めるなど、いわゆる「経済安全保障」の観点からの施策を講じている。

2 軍事分野における先端技術動向

1　極超音速兵器
...
2　高出力エネルギー技術
...
3 民生分野における先端技術動向
1　AI技術
AI技術は、自然な文章や画像などを生成できる生成AIなど技術開発が急速に進んでいる技術分野の一つであり、軍事分野においては、指揮・意思決定の補助、情報処理能力の向上に加え、無人機への搭載やサイバー領域での活用など、影響の大きさが指摘されている。AIの活用として、米陸軍は、「メいブン・スマート・システム」計画を進めている。同システムは、戦闘空間を迅速に評価、大量のデータを収集、AIを使用して収集データを分析して目標を特定、攻撃することを可能とするとされており、2024年5月、米国防省は民間企業との開発契約を公表している。
また、中国は、2020年、次世代指揮情報システムの研究・開発を目的に、中央軍事委員会がAI軍事シミュレーション競技会の開催を発表している。米国防省は、中国が2025年までにAIの研究開発で欧米を追い抜き、2030年までにAIで世界のリーダーとなることを目指していると指摘している。3
一方、イスラエルは、2023年に発生したパレスチナ武装勢力との衝突において、攻撃目標選定の過程で「Lavender」と呼ばれるAIを活用していることが指摘されている。ガザ市民のスマートフォンなどにいンストールされている通話アプリのデータをAIに解析させ、そのスマートフォンなどの持ち主とハマスなどとの関係性を評価していると指摘されている。なお、イスラエル軍は、テロ工作員の特定や工作員かどうかを予測するAI は利用していないと発表している旨、報じられている。また、各国は、AIを搭載した無人機の開発を進めている。
米国では、空対空戦闘の自動化や有人機・無人機の連携、海洋監視任務での実証など多様な研究開発を実施している。2023年、米空軍では、AI操縦のXQ-58A無人機が有人機との編隊飛行や、模擬された任務・武器・敵に対する戦術飛行の試験を行っているほか、同年には、数千規模のAIを活用した安価な自律システムを導入するとする「レプリケーター」構想を発表している。中国は、2018年、中国電子科技集団公司がAIを搭載した200機の無人機によるスウォーム飛行を成功させており、スウォーム飛行を伴う軍事行動が実現すれば、従来の防空システムでは対処が困難になることが想定される。2023年には、無人機の空中戦を想定したAIアルゴリズム競技会を開催している。
ロシアは、2019年、S-70大型無人機（オホートニク）と第5世代戦闘機であるSu-57戦闘機との協調飛行の試験を行っており、2023年以降、ウクライナへの侵略に際し、オホートニクを実戦配備しているとされている。
なお、AIの軍事利用は、自律型致死兵器システム（ローズ LAWS Lethal Autonomous Weapons Systems）に発展する可能性も指摘されており、国際社会で議論されている。2023年、同志国の取組として、国際法上の義務に従い責任ある利用を確認した「REAIM Responsible Artificial Intelligence in the Military Domain宣言」や、責任ある人間の指揮命令系統のもとで運用し、責任の所在を明らかにする必要があることを確認した「AIと自律性の責任ある軍事利用に関する政治宣言」が、2024年には「REAIM行動のためのブループリント」が発表され、わが国も支持を表明している。国連総会では、LAWSによる課題への対応が急務だとする決議が採択されている。

3 米国防省「中華人民共和国の軍事および安全保障の進展に関する年次報告」（2024年）による。

2　量子技術
量子技術は、原子核や電子などミクロな世界で働く量子力学を応用することで、社会に変革をもたらす重要な技術とされる。米国は、2023年に公表した国防科学技術戦略において、量子技術を重要技術とし、同盟国との連携や技術革新を強化するとしている。中国は、2021 年に公表した第14次5か年計画において、量子コンピュータや量子通信などの先端技術を加速し、量子技術分野における軍民の協調開発を強化するとしている。また、NATO North Atlantic Treaty Organizationも2024年1月、NATO量子技術戦略を初めて公表し、量子技術を防衛・安全保障にどのように応用できるかを概説している。
量子暗号通信は、第三者が解読できない暗号通信とされ、各国で研究されている。中国は、量子暗号通信衛星「墨子ぼくし」と北京・上海間の地上通信網からなる4,600kmの量子暗号通信網を構築したほか、2022年には、合肥ごうひ市の共産党や政府機関などに量子暗号化サービスを提供している。また、2022年7月には、量子鍵配送をテストする済南1号小型量子暗号通信衛星を打ち上げた。量子センサーは、将来的に、ミサイルや航空機の追跡用途のほか、より進化したジャイロや加速度計として使用できる可能性4が指摘されている。米国は、GPS Global Positioning Systemの代替 4 2021年2月23日付の米国防省HPによる。として、2023年、量子磁気センサーによる磁気航法の実証に成功したほか、量子慣性センサーによる慣性航法の開発のため、量子ジャイロを搭載した衛星を開発している。
量子コンピュータは、スーパーコンピュータでも膨大な時間がかかる問題を短時間で計算できるとされ、暗号解読などの分野への応用が期待されている。一方、量子コンピュータでは解読できない耐量子計算機暗号（PQC Post-Quantum Cryptography）も各国で研究されており、米国国立標準技術研究所（NIST）は2024年8月、最初のPQC標準を公表している。

4 2021年2月23日付の米国防省HPによる。

3　積層製造技術
...

4情報関連技術の広まりと情報戦
ロシアによるウクライナ侵略、2023年のイスラエル・パレスチナ武装勢力間の衝突、台湾総統選、米大統領選などでも指摘されているように、SNS Social Networking Serviceやインフルエンサーなどを媒体とし、偽情報の流布や、対象政府の信頼低下や社会の分断を企図した情報拡散などによる情報戦への懸念が高まっている。
ロシアや中国は国内外で情報戦を行い、自身にとって好ましい情報環境の構築を目指しているとみられる。例えば、中国は数十憶ドルをかけ、他国メディアへの投資を通じたプロパガンダの促進や偽情報の拡散、検閲などを実施しているとの指摘がある。ロシアも、アフリカにおいて現地のインフルエンサーなどと連携して偽情報拡散を図るなど、影響工作の範囲を拡大させている。また、中露で連携してプロパガンダや偽情報の拡散を行っているとも指摘されている。
また、AI技術の進展によって、ディープフェイクや生成AIで作成される動画、画像、文書は非常にリアルであり、簡単にアクセスできるツールにより短時間で作成できるため、一層深刻な脅威になってきている。
このような脅威に対して、米国では、2023年11月に国防省が「情報環境における作戦のための戦略2023 （SOIE Strategy for Operations in the Information Environment）」を策定し、国防長官府、統合参謀本部、各地域軍が、同一の目標のもと、一体となって実施する必要性を明示した。また、欧州ではEU European Unionが「外国による情報操作と干渉（FIMI）Foreign Information Manipulation and Interference」という概念を提唱し、対策に取り組んでいる。
また、日本と欧米諸国の離間や自衛隊を含む日本政府の信頼の失墜を試みるような、わが国を対象とする悪意あるナラティブ、偽情報、プロパガンダなどを拡散する情報戦の事例も多くみられている。
このような状況を受けて、防衛省・自衛隊において、情報戦対応の中核となる情報本部ほか、政策部門や運用部門が一体となって取組を加速させている。
参照：Ⅲ部1章2節5項3（情報戦への対応を含む情報関連機能）

KEY WORD：「外国による情報操作と干渉（FIMI）」とは
外国政府などによる自国の「価値観や手続き、政治プロセスに悪影響を及ぼす、あるいはその可能性のある一連の行動」を指す概念であり、EU、NATOはじめ欧州各国で危機感をもって捉えられている。FIMIは、多くの場合、合法的に行われ、外国や非国家主体あるいはその影響を受けた集団により、意図的・計画的に、世論への影響工作、大統領選挙などの民主的なプロセスの混乱などを目的とするものが多いとされている。このような情報操作は、私たち一人ひとりはもちろん、社会全体が自ら意思決定する機能を不全に陥らせるものであり、自由で開かれた情報に基づく民主主義社会への大きな脅威の一つとなっている。

第2節宇宙領域をめぐる動向
...

第3節サイバー領域をめぐる動向

1 サイバー空間と安全保障
サイバー空間ハインターネットをはじめとし、様々なサービスやコミュニテいが形成された、新たな社会領域空間として重要性を増している。このため、サイバー空間上の情報資産やネットワークを侵害するサイバー攻撃は、社会に深刻な影響を及ぼすことができるため、安全保障上の現実の脅威となっている。
またサイバー攻撃とは、不正アクセス、マルウェア（不正プログラム）による情報流出や機能妨害、情報の改ざん・窃取、大量のデータの同時送信による機能妨害（DDoS攻撃 Distributed Denial of Service attacks）のほか、ランサムウェアによる電力システムや医療システムなど重要インフラに対するシステム障害や乗っ取りなどがあげられる。また、AIを利用したサイバー攻撃の可能性も指摘されるなど、攻撃手法は高度化、巧妙化している。
軍隊にとっても、サイバー空間は、指揮中枢から末端部隊に至る指揮統制のための基盤であり、サイバー空間への依存度が増大している。サイバー攻撃は、攻撃主体の特定や被害の把握が容易ではないことから、敵の軍事活動を低コストで妨害できる非対称な攻撃手段として認識されており、多くの国がサイバー攻撃能力を構築・強化しているとみられる。

2 サイバー空間における脅威の動向
諸外国の政府機関や軍隊のみならず民間企業や学術機関などに対するサイバー攻撃が多発しており、重要技術、機密情報、個人情報などが標的となっている。また、高度サイバー攻撃（APT Advanced Persistent Threat）は、洗練された手法で特定の組織を執拗に攻撃するサイバー攻撃とされ、こうした攻撃には長期的な活動を行うための潤沢なリソース、体制や能力が必要となることから、組織的活動であるとされる。こうしたなか、英国は、「現実的かつ継続的な脅威」として、中国、ロシア、北朝鮮、イランによるサイバー攻撃をあげている1 。

1　中国
中国では、これまで、サイバー戦の任務を担う部隊は戦略支援部隊のもとに編成されていたとみられてきたが、この戦略支援部隊は2024年に廃止され、その隷下であったサイバー空間部隊が兵種に格上げされたとの指摘がある。台湾は中国のサイバー攻撃の手法について、サイバー部隊が段階的、継続的な基幹インフラのネットワークへの侵入を試みていること2 、また、有事において、中国軍は台湾に対する作戦を支援するためサイバー攻撃を行い、台湾の基幹インフラを破壊し軍事装備システムの運用に影響を与える能力を有していることを指摘している3 。また、中国が2019年に発表した国防白書「新時代における中国の国防」において、軍によるサイバー空間における能力構築を加速させるとしているなど、軍のサイバー戦能力を強化していると考えられる。
参照：3章2節2項5（軍事態勢）
中国は、サイバー空間において、日常的に技術窃取や国外の敵対者の監視活動を実施しているとされ4 、近年では、次の事案への関与が指摘されている。
・　2023年5月、米国と英国などは、中国政府が支援するサイバーアクター「Volt Typhoon」が米国の重要インフラに侵入していたと公表。痕跡が残らないように、侵入先の環境にある既存のツールを使用して検知を回避していたと指摘。
・　2024年2月、米国と英国などは、「Volt Typhoon」が、米国との重大な危機や紛争が発生した際に米国の重要インフラに対する破壊的なサイバー攻撃を行うためにITネットワーク上で準備活動を行っていたとして注意喚起。
・　2024年3月、米司法省は、中国国家安全部が運営しているとされるハッキンググループ「APT31」の一員が中国体制の批判を行う政治家や評論家などに対して不正なコンピュータ侵入や通信詐欺を繰り返していたとして、7人を起訴。
・　2024年11月、米連邦捜査局（F BI Federal Bureau of Investigation）と国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（C ISA Cyber Security and Infrastructure Security Agency）は共同声明で、中国関連の攻撃者が米国の複数の通信インフラに対する攻撃を行い、米国政府や政治活動に関与している個人の通話データを窃取したと発表。
・　2025年1月、米財務省は、中国を背景とするサイバーグループ「Salt Typhoon」が、米国の複数の主要な通信会社やインターネットサービスプロバイダのネットワークインフラに不正侵入したと指摘。
・　2025年1月わが国警察庁および内閣サイバーセキュリティセンターは、中国のAPTグループ「MirrorFace」が国内の組織、個人などに対するサイバー攻撃を行ったことを公表。

2　北朝鮮
北朝鮮には、偵察総局、国家保衛省、朝鮮労働党統一戦線部、文化交流局の4つの主要な情報機関と対外情報機関が存在しており、情報収集の主たる標的は韓国、米国とわが国であるとの指摘がある5 。また、人材育成はこれらの機関が行っており、軍の偵察総局を中心に、サイバー部隊を集中的に増強し、約6,800人を運用中と指摘されている6 。各種制裁措置が課せられている北朝鮮は、国際的な統制をかいくぐり、通貨を獲得するための手段としてサイバー攻撃を利用しているとみられる7ほか、軍事機密情報の窃取や他国の重要インフラへの攻撃能力の開発などを行っているとされる。2024年に発表された「国連安保理北朝鮮制裁委員会専門家パネル2023年最終報告書」においては、2017年から2023年までの北朝鮮の関与が疑われる暗号資産関連企業に対する58 件のサイバー攻撃の被害が約30億ドルにのぼるほか、北朝鮮は外貨収入の約5割をサイバー攻撃により獲得し、大量破壊兵器計画に使用していると報告されている。2024年には、主に、次の事案への関与が指摘されている。
・　2024年3月、韓国国家情報院は、韓国国内の半導体関連企業が北朝鮮のハッカーによるサイバー攻撃を受け、設計図などを窃取されたことを公表。
・　2024年4月、韓国警察庁は、北朝鮮のサイバーアクター「ラザルス」、「アンダリエル」および「キムスキー」が韓国の防衛産業企業約10社に対し、技術データを窃取するため、少なくとも1年半以上にわたってサイバー攻撃を行っていたことを公表。
・　2024年12月、米FBI、米国防省サイバー犯罪センターおよびわが国警察庁は、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」が、わが国の暗号資産関連事業者「株式会社DMM Bitcoin」から約482億円相当の暗号資産を窃取したことを特定し、合同で公表。
・　2025年1月わが国警察庁および内閣サイバーセキュリティセンターは、中国のAPTグループ「MirrorFace」が国内の組織、個人などに対するサイバー攻撃を行ったことを公表。

3　ロシア
ロシアについては、軍参謀本部情報総局、連邦保安庁、対外情報庁がサイバー攻撃に関与しているとの指摘があるほか、軍のサイバー部隊8の存在が明らかとなっている。サイバー部隊は、敵の指揮・統制システムへのマルウェアの挿入を含む攻撃的なサイバー活動を担うとされ9とされ、その要員は約1,000人と指摘されている。
また、2021年に公表した国家安全保障戦略において、宇宙・情報空間は、軍事活動の新たな領域として活発に開発されているとの認識を示し、情報空間におけるロシアの主権の強化を国家の優先課題として掲げている。
ロシアは、スパイ活動、影響力行使、攻撃に関する能力を向上させているとされ10、2024年には、次の事案への関与が指摘されている。
・　2024年3月、米IT企業は、ロシアを背景とするサイバーアクター「Midnight Blizzard」が、同社のソースコードを窃取し、内部システムへの不正なアクセスを行っていたことを公表11。
・　2024年5月、ポーランドは、ロシア軍参謀本部情報局との関連が指摘されているサイバーアクター「APT28」が、複数のポーランド政府機関に対してマルウェアをダウンロードするように仕向けたフィッシングメールを送信していたと指摘。
・　2024年9月、米FBI、CISA、国家安全保障局（N SA National Security Agency）は、ロシア軍参謀本部情報総局29155部隊とのつながりがあるサイバーアクターが、スパイ活動、破壊工作、風評被害を与えることを目的として、世界の標的に対してコンピュータ・ネットワーク上で活動を行っているとして注意喚起。
・　2024年10月、ウクライナコンピュータ緊急対応チーム（CERT-UA）は、悪意のある電子メールが政府機関、企業および軍事機関の間で大量に配布されており、また、この攻撃はロシア政府が支援するサイバーアクター「APT29」によって行われているものである可能性があると発表。

4　その他の脅威の動向
近年では、供給過程で意図的に不正改造された部品やソフトウェアが組み込まれるサプライチェーン攻撃や、重要インフラなどの産業制御システムへのサイバー攻撃、生成AIを利用したサイバー脅威の増大が注目されている。
サプライチェーン攻撃については、2024年3月、米 CISAなどは、データ圧縮ソフトウェア「XZ Utils」のバージョン5.6.0と5.6.1に不正アクセスを可能にする悪意のあるコードが埋め込まれていたとして注意喚起を行っている。産業制御システムへのサイバー攻撃については、2024年3月、米環境保護局とNSAハイラン革命ガードとの関連が指摘されるハッカー集団や「Volt Typhoon」が米国の飲料水システムを含む重要インフラに対して悪意のある攻撃を行ったとして注意喚起している。
生成AIツールは、技術力の低い脅威アクターでも迅速に悪意のあるプログラムを作成することを可能にするため、サイバー攻撃への応用が懸念されている。検出されたビジネスメール詐欺メッセージの40％がAIによって生成されたものであるとの指摘もある12。

1 英国国家サイバーセキュリティセンター「年次レビュー2024」（2024年）による。
2 台湾国家安全局「2024年中国共産党ハッキング手法分析」による。
3 台湾国防部「国防報告書」（2023年）による。
4 米国防情報局「北朝鮮の軍事力」（2021年）による。
5 韓国国防部「2016国防白書」（2017年）による。
6 韓国国防部「2022国防白書」（2023年）による。
7 米国防情報局「北朝鮮の軍事力」（2021年）による。
8 2017年2月、ロシアのショイグ国防相（当時）の下院の説明会での発言による。ロシア軍に「情報作戦部隊」が存在するとし、欧米との情報戦が起きており「政治宣伝活動に対抗する」としている。ただし、ショイグ国防相（当時）は部隊名の言及はしていない。
9 2015年9月、クラッパー米国家情報長官（当時）が下院情報委員会で「世界のサイバー脅威」について行った書面証言による。
10 米国防省「サイバー戦略2023」（2023年）による。
11 2024年3月8日のマイクロソフト社の発表による。
12 2024年7月31日のVIPRE社の発表による。

3 サイバー空間における脅威に対する動向
こうしたサイバー空間における脅威の増大を受け、各国で各種の取組が進められている。
サイバー空間に関しては、国際法の適用のあり方など、基本的な点についても国際社会の意見の隔たりがあるとされ、例えば、米国、欧州、わが国などが自由なサイバー空間の維持を訴える一方、ロシアや中国、新興国などの多くは、サイバー空間の国家管理の強化を訴えている。国連では、2021年から2025年にかけ、サイバー空間における脅威認識、規範、国際法の適用など幅広い議論をするオープン・エンド作業部会が開催されている。
参照　Ⅲ部1章1節1項5（サイバー領域における対応）、Ⅲ部1章2節4項2（サイバー領域）

1　米国
米国では、連邦政府のネットワークや重要インフラのサイバー防護に関しては、国土安全保障省が責任を有しており、CISAが政府機関のネットワーク防御に取り組んでいる。また、重要インフラなどに関する機微な情報の流出への対策として、2023年9月には、中国やロシアとのつながりが認められる企業によって設計、開発、製造および販売されたコネクテッドカー13の輸入を禁止する新たな規則案が示されている。
戦略面では、国家サイバーセキュリティ戦略を発表し、重要インフラの防御や脅威アクターの阻止・解体などに注力するとしている。また、連邦政府機関のサイバーセキュリティを強化するための「ゼロトラスト14戦略」を発表し、各省庁に対してゼロトラストモデルのセキュリティ対策を求めている。さらに、不足するサイバー人材を確保するため国家サイバー人材・教育戦略を発表し、国民の基本的サイバースキルの習得やサイバー教育の変革などに長期的に対処するとしている。
安全保障に関しては、国家安全保障戦略において、サイバー攻撃の抑止を目指し、サイバー空間における敵対的行動に断固として対応するとし、国家防衛戦略では、サイバー領域における抗たん性の構築を優先し、直接的な抑止力の手段として攻勢的サイバー防御をあげている。また、国防省の「サイバー戦略2023」では、攻撃者の組織・能力・意図を追跡し、悪意のあるサイバー活動を妨害・劣化させて防御するほか、統合軍のサイバー領域での作戦を支援し、同盟国や関係国と協力して防御するとしている。
なお、2019年日米「2＋2」では、サイバー分野における協力を強化していくことで一致し、国際法がサイバー空間に適用されるとともに、一定の場合には、サイバー攻撃が日米安全保障条約にいう武力攻撃に当たりうることを確認している。
米軍は、2018年に統合軍に格上げされたサイバー軍が、サイバー空間における作戦を統括している。米サイバー軍は、国防省の情報ネットワークの防護、敵のサイバー活動監視や攻撃防御、統合軍の作戦支援などのチームから構成されており、6,200人規模である。また、米軍は、ラトビアやリトアニアなどのパートナー国において、重要なネットワーク上の悪意のあるサイバー活動に対して、防御し妨害する作戦を実施している。

2　韓国
韓国は、2024年2月、北朝鮮などによるサイバー脅威や高度化するサイバー環境に対応するため、攻勢的サイバー防御や抗たん性確保などを目標とする新しい「国家サイバー安保戦略」を発表している。2024年9月には、下位文書として「国家サイバー安全保障基本計画」が策定され、目標の達成に向けた具体的な方針が示された。
国防部門では、韓国軍は、サイバー作戦態勢を強化し、サイバー空間における脅威に効果的に対応するため、2019年に合同参謀本部を中心としたサイバー作戦の遂行体系を構築するとともに、合同参謀本部、サイバー作戦司令部、各軍の連携体制を整備した。また、2024年8 月の乙支ウルチ演習の際には、サイバーレジリエンス15の確保を目的として、官・軍・民による初の実動型統合訓練が実施された。

3　オーストラリア
オーストラリアは、2022年に発表した「国防サイバーセキュリティ戦略」において、サイバー脅威環境に適応した任務を重視し、かつ最新のサイバーセキュリティをベストプラクティスとパートナーシップによって実現するとし、運用モデル実装や能力取得など行動目標を定めている。また、2023年に公表した「2023年から2030 年までのサイバーセキュリティ戦略」において、2030 年までにサイバーセキュリティの世界的なリーダーになるためのロードマップを定めている。
2024年11月には国内初となるサイバーセキュリティ法案、ランサムウェア報告やスマートデバイスのセキュリティ基準の成文化、重大なサイバーインシデント管理のための枠組みの導入を目指している。
組織面では、オーストラリアサイバーセキュリティセンター（ACSC Australian Cyber Security Centre）を設置し、政府機関と重要インフラに関する重大なサイバーセキュリティ事案に対処している。また、2023年には、豪内務省傘下に、サイバー政策の総合調整などを担う国家サイバー局（NOCS National Office for Cyber Security）を設置している。
豪軍は、2017年に統合能力群内に情報戦能力部を、2018年にその隷下に国防通信情報・サイバー・コマンド（DSCC Defence Signals Intelligence and Cyber Command）を設立した。空軍では、職種区分としてネットワーク、データ、情報システムなどを防護するサイバー関連特技を新設し、2019年に新設した特技の募集を開始した。

4　欧州
EUは、2020年に「デジタル10年のためのEUのサイバーセキュリティ戦略」を発表し、強靱なインフラと重要サービスのための規則改正や、民間・外交・警察・防衛各分野横断型の共同サイバーユニットの設立などを目標としている。加えて、EUの市民とインフラの保護能力強化などのため、2022年にEUサイバー防衛政策を発表している。2024年には、消費者や企業の保護を目的としてサイバーレジリエンス法が施行され、他のデバイスやネットワークに直接または間接的に接続されるすべての製品に、サイバーセキュリティ要件が課されるようになった。
NATOは、2014年のNATO首脳会合において、加盟国に対するサイバー攻撃をNATOの集団防衛の対象とみなすことで合意している。また、2024年のNATO首脳会合では、統合サイバー防衛センターを新たに設置することが合意された。これは、既存の各種サイバー関連機能の統合を試みるものであり、これによってサイバー空間における状況把握、抗たん性、集団防衛を強化するとしている。
また、研究や訓練などを行う機関としてNATOサイバー防衛協力センター（CCDCOE Cooperative Cyber Defence Centre of Excellence）が2008年に認可された。CCDCOEは、サイバー活動に適用される国際法をとりまとめたタリンマニュアル2.0を2017年に公表しており、このマニュアルを3.0へ更新する取組が進められている。また、2024年、CCDCOE主催「ロックド・シールズ」や、NATO主催「サイバー・コアリション」のサイバー防衛演習が開催され、NATO加盟国のほか、わが国も参加している。
英国は、2021年に公表した国家サイバー戦略において、敵対勢力の探知・阻止・抑止などの戦略的目標を掲げている。また、2023年に公表した「国家サイバー部隊：責任あるサイバー戦力の実践」では、テロ活動の妨害、APT脅威への対抗、選挙干渉の軽減などを実施し、今後、国家サイバー部隊の規模・能力・機能統合を追求するとしている。
フランスは、2015年に発表した国家デジタルセキュリティ戦略において、サイバー空間の基本的利益を保護し、サイバー犯罪への対応を強化するなどとしている。また、2018年の「サイバー防御の戦略見直し」では、サイバー危機管理プロセスを明確化している。

13 ICT端末としての機能を有する自動車のことをさす。車両の状態や周囲の道路状況などの様々なデータをセンサーにより取得し、ネットワークを介して集積・分析することができる。米国政府によれば、コネクテッドカーは、車両の安全性の促進や運転手のナビゲーション支援といった利点を持つ一方で、収集された地理情報や重要インフラに関する機微な情報の悪用や自動車の運用の妨害といったリスクも有している。
14 「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という性悪説に基づいた考え方。利用者を疑い、端末などの機器を疑い、許されたアクセス権でも、なりすましなどの可能性が高い場合は動的にアクセス権を停止する。防御対象の中心はデータや機器などの資源。
15 サイバー攻撃時によって指揮統制システムや情報通信ネットワークの一部が損なわれた場合においても、柔軟に対応して運用可能な状態に回復する能力。

第4節電磁波領域をめぐる動向
...

第5節海洋をめぐる動向
...

第6節大量破壊兵器の移転・拡散
...

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.07.13 防衛白書（2024年）

・2023.07.28 防衛白書（2023年）（+ 能動的サイバー防衛...）

・2022.07.26 防衛白書（2022年）

・2021.07.14 日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

・2021.07.13 防衛白書（2021年）

2025.07.21 05:10 in 情報セキュリティ / サイバーセキュリティ, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.20

警察庁ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールを開発 (2025.07.17)

こんにちは、丸山満彦です。

関東管区警察局サイバー特別捜査部が、ランサムウェアPhobos/8Baseによって暗号化された被害データを復号するツールを開発し、世界中で利用できるようにしたようですね...

素晴らしいことだと思います。

ランサムウェアにより、多くの組織の事業に影響が出たり、払われた身代金により別の犯罪や、戦争やテロの資金になったりしている可能性もあり、ランサムウェアによる被害は世界的にも課題なわけですが、復号ツールはその被害を軽減するためにも重要なもので、今回の取り組みは世界に影響を与えるよい成果だと思います。とても素晴らしいことだと思います。

オランダ警察の全国ハイテク犯罪ユニット、ユーロポールの欧州サイバー犯罪センター、Kaspersky、McAfeeが主導している、ランサムウェアにより暗号化されたデータを取り戻すための支援を目的としている、NO MORE RANSOMのウェブページの復号ツールの一覧にも掲載されていますね...

● 警察庁

発表...

・2025.07.17 ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの開発について

復号ツール...

・ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの利用について

このウェブページに復号ツールはあります。（復号ツールは警察のウェブサイトから直接ダウンロードしてくださいませ...）

・[PDF] Phobos/8Base復号ツールガイドライン（日本語版）

2025.07.19

ノルウェイ意見募集 – 人工知能に関する新法案 – ノルウェー法における人工知能に関するEU規制の実施 2025.06.30)

こんにちは、丸山満彦です。

EUにおいてはAI法が2024年8月に施行されましたが、その法律を補足する法律をノルウェイが検討しているようで、法案を作成し、その内容についての意見募集をしていますね...

ノルウェイは世界で最も民主主義が高い国の一つ（例えば、民主主義指数[wikipedia]）ですね...

Høring – utkast til ny lov om kunstig intelligens – gjennomføring av EUs forordningen om kunstig intelligens i norsk rett	意見募集 – 人工知能に関する新法案 – EUの人工知能に関する規則のノルウェー法への実施
Digitaliserings- og forvaltningsdepartementet (DFD) sender med dette på høring forslag til ny lov om kunstig intelligens (KI-loven), som gjennomfører EUs forordning om kunstig intelligens (AI Act, på norsk KI-forordningen), reg. EU/1684/2024, i norsk rett.	デジタル化・行政省（DFD）は、EUの人工知能に関する規則（AI Act、ノルウェー語ではKI規則）をノルウェー法に実施する、人工知能に関する新法案（KI法）を公聴会に提出する。
Høringsfrist: 30.09.2025	意見募集期限：2025年9月30日
Høringsbrev	協議書
Vår ref.: 25/2019	当省の参照番号：25/2019
Høringsnotat - utkast til ny lov om kunstig intelligens (KI-loven)	意見募集メモ - 人工知能に関する新法（AI法）の草案
Digitaliserings- og forvaltningsdepartementet (DFD) sender med dette på høring forslag til ny lov om kunstig intelligens (KI-loven), som gjennomfører EUs forordning om kunstig intelligens (AI Act, på norsk KI-forordningen), reg. EU/1684/2024, i norsk rett.	デジタル化・行政省（DFD）は、EUの人工知能に関する規則（AI法、ノルウェー語ではKI規則）をノルウェーの国内法に実施する、人工知能に関する新法（AI法）の草案を、意見募集のために送付する。
KI-forordningen ble vedtatt 13. juni 2024, og trådte i kraft i EUs medlemsstater 1. august 2024.	AI 規則は 2024 年 6 月 13 日に採択され、2024 年 8 月 1 日に EU 加盟国において発効した。
Departementet foreslår at forordningen gjennomføres i norsk rett ved inkorporasjon, det vil si at forordningen gjøres gjeldende som norsk rett gjennom en henvisningsbestemmelse i den nye KI-loven. Videre foreslår departementet lovbestemmelser som utfyller bestemmelsene i forordningen.	同省は、この規則をノルウェーの国内法に組み込むことで実施することを提案している。つまり、新しい AI 法に参照規定を設けることで、この規則をノルウェーの国内法として適用することとなる。さらに、同省は、この規則の規定を補完する法律の規定を提案している。
I høringen ønsker departementet særlig innspill på følgende:	同省は、この公聴会において、特に以下の点について意見を求めている。
・KI-lovens forslag til ansvarsfordeling mellom Nkom som koordinerende markedstilsynsmyndighet og øvrige sektormyndigheter. Se høringsnotatet kapittel 14.2, 15.3.1 og 15.4.	・AI 法における、市場監督当局としての Nkom とその他の部門当局との責任分担に関する提案。意見募集文書第 14.2 章、15.3.1 章および 15.4 章を参照のこと。
・Departementets vurdering av at markedstilsynsmyndighetene uavhengighet i utførelsen av tilsynsoppgaver er tilstrekkelig regulert i KI-forordningen. Se høringsnotatet kapittel 14.2.	・市場監督当局の監督業務の実施における独立性は、AI 規則で十分に規定されているという同省の判断。意見募集文書第 14.2 章を参照のこと。
・KI-lovens forslag om bruk av tvangsmulkt som sanksjon. Se høringsnotatet kapittel 19.2.3.	・AI 法における強制罰則の制裁措置の使用に関する提案。意見募集メモの 19.2.3 章を参照のこと。
・KI-lovens forslag om å kunne ilegge offentlig sektor overtredelsesgebyr. Se høringsnotatet kapittel 19.2.2.	・AI 法における公共部門に違反罰金を科すことができるとする提案。意見募集メモの 19.2.2 章を参照のこと。
・Hvorvidt det er behov for en foreldelsesfrist for adgangen til å ilegge overtredelsesgebyr og hvor lang en slik frist eventuelt bør være. Se høringsnotatet kapittel 19.2.2.	・違反罰金を科す権限の消滅期限の必要性、およびそのような期限を定める場合その期間について。意見募集文書第 19.2.2 章を参照のこと。
・Departementets vurdering om ikke å innta straffebestemmelser i KI-loven. Se høringsnotatet kapittel 19.2.4.	・AI 法に罰則規定を盛り込まないという同省の判断。意見募集文書第 19.2.4 章を参照のこと。
・KI-lovens geografiske anvendelsesområde, herunder om KI-loven skal få anvendelse på kontinentalsokkelen. Se høringsnotatet kapittel 3.3.2.	・AI 法の地理的適用範囲、KI 法が大陸棚にも適用されるかどうか。意見募集メモの 3.3.2 章を参照のこと。
・Terminologi (legaldefinisjoner) brukt i den uoffisielle oversettelsen av KI-forordningen.	・AI 規則の非公式翻訳で使用されている用語（法律上の定義）。
Vi ber om at adressatene forelegger høringsbrevet med vedlegg for berørte underliggende etater og organer som ikke er oppført på mottakerlisten.	宛先は、受信者リストに記載されていない関係機関および団体にも、意見募集文書および添付書類を提出するようお願いする。
Alle kan avgi høringsuttalelse, men merk at uttalelser er offentlige etter offentlighetsloven og blir publisert på våre nettsider.	意見は誰でも提出することができるが、意見は情報公開法に基づき公開され、当社のウェブサイトに掲載されることにご留意ください。
Høringsfristen er 30. september 2025. Det kan ikke påregnes utsatt høringsfrist.	意見提出の期限は 2025 年 9 月 30 日です。意見提出期限の延長は予定されていません。
Eventuelle spørsmål om høringen kan sendes postmottak@dfd.dep.no.	意見募集に関するご質問は、postmottak@dfd.dep.no までお送りください。
Med hilsen	敬具
Høringsnotat	意見募集メモ
Høringsnotat - Gjennomføring av forordningen om kunstig intelligens (KI-forordningen)	意見募集メモ - 人工知能に関する規則（AI 規則）の実施
Europarådets rammeverkskonvensjon om kunstig intelligens og menneskerettigheter, demokrati og rettsstaten [Engelsk versjon]	欧州評議会の人工知能、人権、民主主義、法の支配に関する枠組み条約 [英語版]
Europarådets rammeverkskonvensjon om kunstig intelligens og menneskerettigheter, demokrati og rettsstaten [Uoffisiell norsk oversettelse]	欧州評議会の人工知能、人権、民主主義、法の支配に関する枠組み条約 [非公式のノルウェー語訳]
KI-forordningen EU 2024 [Uoffisiell norsk oversettelse]	AI 規則 EU 2024 [非公式のノルウェー語訳]

・[PDF] Høringsnotat - Gjennomføring av forordningen om kunstig intelligens (KI-forordningen)　意見募集メモ - 人工知能に関する規則（AI 規則）の実施

2025.07.19 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in パブコメ, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2025.07.18

欧州議会 Think Tank 欧州の民主主義の盾 (2025.06.25)

こんにちは、丸山満彦です。

欧州議会のThink Tankから、European democracy shield（欧州の民主主義の盾）という報告書が公表されていますね...

ちょうど今、欧州を旅しているわけですが、最初に到着をしたのは、ベルギーのブラッセル。欧州委員会、欧州議会、欧州理事会等が設置されている地です。その中で、欧州議会の建物内部を見学しました。民主主義を最初におこなったとされるアテネも訪れました。そして、7月14日はフランスでバスティーユ監獄を解放した日を祝うNational Dayを迎えました。

ギリシャ時代、ローマ時代から、第一次戦争、第二次戦争まで国と国との争い、宗教の争い、民族の争い、一族の争いで多くの犠牲を払ってきた欧州が、その歴史の上に築いている民主主義の思想。海に守られてきた日本や、他国からの直接的な侵略の可能性がほぼない米国の感覚とは少し違うようにも思います。

正しい世界とはないか？は一つに決められないのかもしれません。それぞれの歴史を踏まえた価値観があるので...

ただ、力がない一個人としては、同じように力がない大多数の個人が安心して、自由に生活できる社会であってほしいと思います。そのための手段として、民主主義や、人権の保護というのは何にも増して重要なのではないかとも思います。民主主義はみんなが政治にも参加するということだと思います。そのためには、みんながみんなのことを考えるということが重要だと思います。

自分やその家族が大切なのはもちろんそうです。ただ、それだけではなく、つらい生活を強いられている人々にも力をあたえるような社会でないと結局、自分やその家族が幸せになれないのだろうと思います。（米国に住んでいる時、富裕層が厳重な城壁のような街を築き、その中に住んでいる光景を見ました。結局、閉じ込められているようにも見えました。）

犯罪を犯す人もいるでしょうし、経済的に社会の負担となっている人もいると思います。でも、そういう人を切ってすててしまってよいのでしょうか？

努力した人が多くのお金を稼ぎ、いろいろと自分のやりたいことをするのは良いと思います。でも、自分のためというのは本当に自分やその家族、知り合いのためだけで良いのでしょうか？それぞれ持っている力に応じて、社会にできることは違うとは思います。

全員が政治に参加するというのは、全員が本当に社会全体を考えるということができないといけないわけで、国民に知識と勇気が必要ということだと思います。

その知識と勇気が、日本を含め、多くの国の人々からなくなっていっているとしたら、とても残念なことだと思います...

あっ、この報告書は、海外からの干渉やデジタル規制に関する話題もあります(^^)

● European Parliament - Think Tank

・2025.06.25 European democracy shield

European democracy shield

欧州の民主主義の盾

ISSUES AT STAKE • Increasing strategic and systemic attacks on European democracy and fundamental values reflect growing pressures on democracy as a system across the world. In addition to threats from traditional authoritarian adversaries, risks in the digital realm are growing. • The proposed European democracy shield aims to counter foreign information manipulation and interference, preserve fairness and integrity of elections, support independent media and journalists as well as protect civil society. • Moreover, EU digital regulation put in place in recent years to protect citizens is facing increasingly organised challenges from big corporate players, which are also picking up growing support from political actors outside as well as inside the EU. • This challenges the strategically important enforcement of the EU's digital regulation – initially a key dimension of the initiative – while at the same time reducing the number of democratic allies on which the EU can rely for support. • The outgoing Polish EU Presidency placed the defence of democracy and the fight against disinformation under a broad security umbrella, emphasising the role of civil society in building resilience. The incoming Danish Presidency further builds on the EU's whole-of-society approach with an explicit focus on the role of media and culture for democratic resilience. • The European Parliament's special committee on the European Democracy Shield (EUDS), which was set up in December 2024, is playing an active and visible role in providing input to the Commission, further building on previous work. As the only directly elected institution – representing all political groups – the outcome of the work of Parliament's EUDS carries special democratic legitimacy of strategic importance for the future of European democracy and, by extension, for the European project.

課題 • 欧州の民主主義と基本的価値観に対する戦略的かつ組織的な攻撃の増加は、世界中で民主主義体制に対する圧力が高まっていることを反映している。従来の権威主義的な敵からの脅威に加え、デジタル分野におけるリスクも増大している。• 提案されている欧州の民主主義の盾は、外国による情報操作や干渉に対抗し、選挙の公平性と完全性を維持し、独立したメディアやジャーナリストを支援し、市民社会を保護することを目的としている。• さらに、市民を保護するために近年導入された EU のデジタル規制は、大企業による組織的な挑戦に直面しており、EU 内外の政治関係者からも支持が高まっている。• これは、当初このイニシアチブの重要な側面であった EU のデジタル規制の戦略的に重要な実施に課題をもたらし、同時に EU が支援を期待できる民主主義の同盟国の数を減少させている。• 退任するポーランド EU 議長国は、民主主義の防衛と偽情報との闘いを幅広い安全保障の枠組みの下に置き、レジリエンスの構築における市民社会の役割を強調した。次期議長国であるデンマークは、民主的なレジリエンスのためのメディアと文化の役割に明確に焦点を当て、EU の社会全体のアプローチをさらに発展させる。• 2024年12月に設立された欧州議会欧州民主主義保護委員会（EUDS）は、これまでの取り組みをさらに発展させ、欧州委員会に意見を提供するなど、積極的かつ目に見える役割を果たしている。すべての政治団体を代表する唯一の直接選挙による機関である欧州議会のEUDSの作業結果は、欧州の民主主義の将来、ひいては欧州プロジェクトにとって戦略的に重要な、特別な民主的正当性を持っている。

・[PDF]

・[DOCX][PDF] 仮訳

2025.07.18 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.17

マネーロンダリングに関する金融活動作業部会（FATF）暗号資産及び暗号資産サービス・プロバイダーに係るFATF基準の実施状況についての報告書とベストプラクティス集 (2025.06.26)

こんにちは、丸山満彦です。

マネーロンダリングおよびテロ資金調達の国際的な政府間の監視機関である金融活動作業部会（Financial Action Task Force; FATF）[wikipedia] が、暗号資産及び暗号資産サービス・プロバイダーに係るFATF基準の実施状況についての報告書とベストプラクティス集を公表していますね...

● Financial Action Task Force; FATF

・2025.06.26 FATF urges stronger global action to address Illicit Finance Risks in Virtual Assets

FATF urges stronger global action to address Illicit Finance Risks in Virtual Assets	FATF、仮想資産における不正な資金調達リスクに対処するためのより強力なグローバルな行動を求める
Paris, 26 June 2025 - In its sixth targeted update on the global implementation of anti-money laundering and counter-terrorist financing (AML/CFT) measures to virtual assets (VA) and virtual asset service providers (VASPs), published today, the Financial Action Task Force (FATF) highlights where stronger action is needed to safeguard the integrity of the international financial system.	2025年6月26日、パリ - 仮想資産（VA）および仮想資産サービスプロバイダ（VASP）に対するマネーロンダリング（AML）およびテロ資金供与（CFT）対策のグローバルな実施に関する第6回ターゲット更新を本日公表した金融活動作業部会（FATF）は、国際金融システムの健全性を保護するために、より強力な措置が必要な分野を強調した。
The report assesses jurisdictions’ compliance with the FATF’s Recommendation 15 and its Interpretative Note (R.15/INR.15), which was updated in 2019 to apply AML/CFT measures to VAs and VASPs. It finds that overall, jurisdictions—including those with materially important VASP activity—have made progress since 2024 towards developing or implementing AML/CFT regulation and taking supervisory and enforcement actions.	この報告書は、VA および VASP に AML/CFT 措置を適用するために 2019 年に更新された FATF の勧告 15 およびその解釈指針（R.15/INR.15）に対する各管轄区域の遵守状況を評価している。報告書は、全体として、重要な VASP 活動を行う管轄区域を含め、2024 年以降、AML/CFT 規制の策定または実施、監督および執行措置の講じ方において進展が見られたと結論付けています。
However, the FATF highlights the need for further work on licensing and registration, and that jurisdictions continue to face difficulties in identifying natural or legal persons that conduct VASP activities. Jurisdictions have also reported challenges with mitigating the risk of offshore VASPs.	しかし、FATF は、免許の付与および登録に関するさらなる取り組みの必要性を強調するとともに、管轄区域は VASP 活動を行う自然人または法人の識別において引き続き困難に直面していると指摘しています。また、管轄区域は、オフショア VASPs のリスクの緩和に関する課題も報告しています。
99 jurisdictions have passed or are in the process of passing legislation implementing the Travel Rule, which ensures transparency of information around cross-border payments. To assist global implementation of the Travel Rule, the FATF has also published Best Practices on Travel Rule Supervision today. This report provides examples of good practices that jurisdictions may consider when developing their supervisory frameworks.	99 の管轄区域は、国境を越えた支払に関する情報の透明性を確保する「トラベル・ルール」を実施する法律をすでに可決、または可決の過程にあります。トラベル・ルールの世界的な実施を支援するため、FATF は本日、「トラベル・ルールの監督に関するベストプラクティス」も公表しました。この報告書は、管轄区域が監督枠組みを策定する際に参考となる、グッドプラクティスの例を紹介しています。
The report also includes an updated table of the steps taken by jurisdictions in the FATF’s Global Network with materially important VASP activity to regulate VA/VASPS. With these jurisdictions constituting approximately 98 percent of the global VA market, ensuring the FATF Standards are fully implemented by jurisdictions within this group will significantly help to reduce global risks overall. The FATF acknowledges the role of Chainalysis, Lukka Inc, Merkle Science, and TRM Labs who contributed to this exercise.	また、この報告書には、VA/VASP を規制するために、FATF のグローバルネットワークに参加し、VASP 活動において重要な役割を果たしている管轄区域が講じた措置の更新表も掲載されている。これらの管轄区域は、世界の VA 市場の約 98% を占めているため、このグループ内の管轄区域が FATF 標準を完全に実施することで、世界全体のリスクを大幅に軽減することができるだろう。FATF は、この作業に貢献した Chainalysis、Lukka Inc、Merkle Science、および TRM Labs の役割を認識している。
With virtual assets inherently borderless, regulatory failures in one jurisdiction can have global consequences. The report highlights emerging risks arising from the criminal exploitation of virtual assets including:	仮想資産は本質的に国境のないものであるため、ある管轄区域における規制の失敗は世界的な影響をもたらす可能性がある。本報告書では、仮想資産の犯罪的な悪用から生じる新たなリスクを強調している。
The use of stablecoins by various illicit actors, including Democratic People’s Republic of Korea (DPRK) actors, terrorist financiers, and drug traffickers, has continued to increase since the 2024 Targeted Update, and most on-chain illicit activity now involves stablecoins (p. 20). Mass adoption of stablecoins or VAs more broadly could amplify illicit finance risks, particularly with uneven implementation of the FATF Standards for VAs/VASPs.	2024 年のターゲット更新以降、朝鮮民主主義人民共和国（DPRK）の関係者、テロ資金調達者、麻薬密売者など、さまざまな違法行為者によるステーブルコインの利用は増加の一途を辿っており、現在、オンチェーンでの違法行為のほとんどはステーブルコインが関与している（20 ページ）。ステーブルコインや VA のより広範な採用は、特に VA/VASP に関する FATF 標準の実施が不均一な場合、違法な資金調達リスクを増幅させる可能性がある。
The DPRK this year carried out the largest single VA theft in history, stealing $1.46 billion from the VASP ByBit. Only 3.8% of the stolen funds have been recovered, highlighting the need to address asset recovery challenges and improve international co-operation (p.19).	今年、北朝鮮は、VASP の ByBit から 14 億 6000 万ドルを盗む、史上最大の単一の VA 盗難事件を起こした。盗まれた資金の 3.8% しか回収されておらず、資産回収の課題に対処し、国際協力を強化する必要性が浮き彫りになっている（19 ページ）。
The FATF also noted the significant uptick in the use of VAs in fraud and scams, with one industry participant estimating that there was approximately $51 billion in illicit on-chain activity relating to fraud and scams in 2024 (p. 20).	FATFはまた、VAの詐欺や詐欺行為における利用が大幅に増加していることを指摘し、業界関係者の推計では、2024年に詐欺や詐欺に関連する不正なオンチェーン活動が約$510億に達したとされています（p. 20）。
Findings from significant cases over the past year, such as the UK’s Operation Destabilise (p. 19), underscore the importance of international co-operation and the ability to freeze and seize assets to disrupt criminal networks and their activities. Key areas for improvement are laid out for both the private and public sector to better address persistent and significant threats, such as taking effective countermeasures to address the increased professionalisation of scammers.	英国の「Operation Destabilise」（19 ページ）など、過去 1 年間の重要な事件の調査結果は、犯罪ネットワークとその活動を阻止するために、国際協力と資産の凍結・押収能力の重要性を強調している。詐欺師の専門化に対応するための効果的な対策など、持続的かつ重大な脅威によりよく対処するために、民間部門と公共部門の両方に改善すべき主要分野が示されている。

・2025.06.26 [PDF] Targeted Update on Implementation of the FATF Standards on Virtual Assets and Virtual Asset Service Providers

仮想資産および仮想資産サービスプロバイダに関する FATF 標準の実施に関する的を絞った最新情報

・[DOCX][PDF] 仮訳

ベストプラクティス...

・2025.06.26 [PDF] Best Practices Travel Rule Supervision

2025.07.17 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.16

金融庁「金融商品取引業者等向けの総合的な監督指針」等の一部改正（案） (2025.07.15)

こんにちは、丸山満彦です。

金融庁が、金融庁「金融商品取引業者等向けの総合的な監督指針」等の一部改正（案）を公表し、意見募集をしていますね...

証券会社のウェブサイトを装ったフィッシングサイト等で窃取した顧客情報（ログインIDやパスワード等）によるインターネット取引サービスでの不正アクセス・不正取引（第三者による取引）の被害が多発したことを踏まえ、インターネット取引における認証方法や不正防止策を強化するために行う改正ということのようですね...

インターネット取引の不正アクセス・不正取引等の犯罪行為に対する対策を中心にした改正案なわけですが、技術的な話だけでなく、ガバナンス、業務プロセスも含めた広範な記述（観点）となっていますね...

「多要素認証必須化」（法的な必須化というよりも、実質的な必須化ということですかね...）もなされていますね...

システム対応に多額な費用が係るという話もありますが、社会的な影響も踏まえると仕方がない面もありますね...ただ、合わせて利用者側のリテラシーを向上がなければ、社会的なコストはより膨らむという面もあるので、そちらも合わせて実施していく（国や業界も含めて）必要がありますよね...

多要素認証って何？って正確に理解できている利用者も少ないと思うので、まずはそこからかもしれませんね...

● 金融庁

・2025.07.15 「金融商品取引業者等向けの総合的な監督指針」等の一部改正（案）の公表について

・・（別紙１）「金融商品取引業者等向けの総合的な監督指針」の一部改正（案）【新旧対照表】

・・（別紙２）「信用格付業者向けの監督指針」の一部改正（案）【新旧対照表】

・・（別紙３）「高速取引行為者向けの監督指針」の一部改正（案）【新旧対照表】

・・（別紙４）「投資運用関係業務受託業者向けの監督指針」の一部改正（案）【新旧対照表】

参照

● NHK

・2025.07.15 「多要素認証」必須化など証券口座乗っ取り対策強化へ金融庁

証券口座の乗っ取りによる株式の不正な売買などが相次いでいる問題を受けて、金融庁は証券会社などに対する監督指針を見直し、ログイン時に異なる複数の方法で本人確認を行う「多要素認証」を必須化するなど対策の強化を促す方針を明らかにしました。

ことしに入ってから、証券口座のIDやパスワードなどの情報が盗まれ、身に覚えのない株式などの売買が行われる被害が相次いでいて、先月までの半年間に不正に取り引きされた売買額は5700億円を超えています。

こうしたことを受け、金融庁は証券会社などに対策の強化を促すため、監督指針を見直すことになり、15日、改正案を公表しました。

改正案には、顧客が証券口座のサイトにログインする時にIDやパスワードに加えて、生体認証やメールなど別の手段でも本人確認を行う「多要素認証」を必須化することや、多要素認証の導入に時間がかかる場合には導入時期を顧客に通知することが盛り込まれました。

また、不正なログインを顧客に早く知らせるサービスの提供や、ログインに連続して失敗した場合にはアカウントを凍結するなどの対応も求めています。

この改正案はパブリックコメントを経て、正式に決定される見通しです。

● 朝日新聞

・2025.07.16 証券口座乗っ取り対策、指針改定案　金融庁・日証協、多要素認証の必須化明記

証券口座が乗っ取られ、株式が勝手に売買されている問題で、金融庁と日本証券業協会は１５日、不正アクセスの防止策を強化するため、指針の改定案をそれぞれ発表した。ＩＤ・パスワードだけでなく二つ以上の手段を用いる「多要素認証」の必須化を証券会社に求めている。

...

● 毎日新聞

・2025.07.15 「多要素認証」必須化を要望　口座乗っ取りで金融庁が改正案

証券会社の顧客口座が不正アクセスで乗っ取られ株を勝手に売買された問題を受け、金融庁は15日、監督指針の改正案を公表した。インターネットからのログインや出金などの取引の際に、パスワードだけではなく顔や指紋などの複数の情報を組み合わせる「多要素認証」を必須化するよう求める内容を盛り込んだ。8月18日までパブリックコメント（意見公募）を実施する。

　改正案では新たにネット取引に関する項目を新設。セキュリティー対策を十分に講じることや、顧客への情報提供の重要性などを明記した。利用者を本物と似た偽のウェブサイトに誘導してIDやパスワードを盗む「フィッシング詐欺」を巡っては、メールや交流サイト（SNS）

にパスワードの入力を促すリンクを記載しないなど適切な不正防止策を講じることを盛り込んだ。

● 日本経済新聞

・2025.07.15 証券口座乗っ取り対策、生体認証を必須に　金融庁・日証協が新指針

金融庁と日本証券業協会は15日、証券口座の乗っ取り事件を受け、インターネット取引の対策を盛り込んだ指針案を公表した。顔や指紋を使った生体認証やPKI（公開鍵暗号基盤）と呼ぶ暗号化技術など高い安全性を備えた本人確認の手法を必須にする。

導入には多額の投資が必要となり、顧客の利便性確保のため増勢が続いていたネット取引に逆風となる可能性がある。

証券口座が犯罪組織による不正アクセスで乗っ取られ、株式が勝手に売買される問題が起きたことを受けて、金融庁や日証協は安全対策を議論していた。金融庁は証券会社に適用する監督指針、日証協は会員会社が参照するネット取引に関するガイドラインをそれぞれ改定する。

金融庁・日証協の新指針案の主な内容

不正アクセス対策を最優先の経営課題に

ログイン、出金、出金先銀行口座の変更時にパスキーやPKIなど高度な多要素認証の必須化

メールやSMSにパスワード入力を促すURLを記載しない（法令上必要な場合は除く）

不正取引発生時は被害補償を含めた真摯な対応

フィッシングサイトの閉鎖活動

連続で認証失敗した際の自動アカウントロックの必須化

...

2025.07.16 12:34 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 安全保障 | Permalink | Comments (0)
Tweet

英国 ICO データ管理者調査 2025

こんにちは、丸山満彦です。

政策立案のためには、政治家の大きな声をきっかけにするのはよいのですが、データに基づくファクトをおさえてから適切な政策を考えることが重要ですよね。。。継続的な分析は重要なのでしょうね...

● U.K. ICO

・2025.06 Data Controller Study 2025

Data Controller Study 2025	データ管理者調査 2025
The Data Controller Study is a piece of research that aims to provide insight and support our strategic, regulatory, and research activities. The study was launched in 2023 and the findings of Year 2 of the study are presented in the dashboard below. To view the dashboard in full screen, click the button in the bottom-right corner below.	データ管理者調査は、当社の戦略、規制、調査活動を支援するための洞察を提供することを目的とした調査です。この調査は 2023 年に開始され、2 年目の調査結果は、以下のダッシュボードにまとめられています。ダッシュボードを全画面で表示するには、右下隅のボタンをクリックしてください。
The study includes both quantitative and qualitative data collection with organisations that collect, process and store personal data, with the aim to understand:	この調査では、個人データを収集、処理、保存する組織に対して、定量的および定性的データの収集を行い、以下の事項について理解を深めることを目的としている。
・the demographic characteristics and personal data processing activities of data controllers;	・データ管理者の人口統計学的特性および個人データの処理活動
・the technology used by data controllers;	・データ管理者が使用する技術
・innovation considerations of data controllers; and	・データ管理者のイノベーションに関する考慮事項
・data controllers’ views of both the work of the ICO and data protection in general.	・データ管理者の ICO の業務およびデータ保護全般に関する見解
The findings of the quantitative survey are presented in an interactive dashboard and accompanying findings report, helping bring the findings to life. A summary of the qualitative findings provides an insight into data controllers’ experiences with use of technological processes such as anonymisation, pseudonymisation, artificial intelligence, automated decision making and biometric and facial recognition technology to process personal data.	定量調査の結果は、インタラクティブなダッシュボードと付随する調査報告書で提示されており、調査結果をわかりやすく理解することができる。定性調査の結果の概要では、個人データの処理において、匿名化、仮名化、人工知能、自動意思決定、生体認証、顔認識などの技術的プロセスを利用したデータ管理者の経験について、洞察を提供している。
We have published the quantitative survey questionnaire, technical report and raw data for broader research and analytical purposes, in line with our enduring ICO25 objectives. We aspire for the data and findings to contribute to the development of collective data insights and support policy development and research that take into consideration data controllers’ views and experiences, support public welfare and safeguard individuals’ data protection rights.	当社は、ICO25 の永続的な目標に沿って、より広範な調査および分析の目的で、定量調査のアンケート、技術報告書、および生データを公開している。このデータと調査結果が、データに関する集合的な知見の蓄積に貢献し、データ管理者の見解や経験を考慮した政策の策定や研究を支援し、公共の福祉と個人のデータ保護の権利の保護に役立てられることを願っている。
We would be keen to discuss the use of data and findings across a range of sectors, such as public, regulatory and academic. If you wish to get in touch or have questions about the research, please email the team: [mail]	公共、規制、学術など、さまざまな分野におけるデータと調査結果の利用について、議論したいと考えている。この調査についてのお問い合わせやご質問は、[mail] までメールでお寄せください。
Supporting documents	関連資料
Findings report	調査結果報告書
Accompanies the dashboard and provides an overview of the findings of this study.	ダッシュボードに付属し、この調査の結果の概要を記載しています。
Qualitative findings report	定性調査結果報告書
Summarises findings from the qualitative interviews conducted as part of this study.	この調査の一環として実施された定性インタビューの結果を要約しています。
Data summary tables	データ要約表
Excel file providing a summary of all the survey questions in a table format.	すべての調査質問を表形式で要約した Excel ファイル。
Raw data file	生データファイル
Excel file containing the raw data of the quantitative survey results.	定量調査結果の生データを含む Excel ファイル。
Technical report	技術報告書
Report setting out the methodology for the quantitative survey findings.	定量調査結果の方法論を記載した報告書。
Qualitative infographic	定性インフォグラフィック
A shorter, more visual infographic that summarises the findings from the qualitative interviews.	定性インタビューの結果を要約した、より簡潔で視覚的なインフォグラフィック。

・Findings report

・[DOCX][PDF]仮訳

・Qualitative findings report

・Technical report

・Qualitative infographic

昨年度

見逃していましたね...

・Data controller study 2024

Continue reading "英国 ICO データ管理者調査 2025"

2025.07.16 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2025.07.15

米国司法省北朝鮮の遠隔情報技術従事者の違法な収益創出スキームに対抗するための全国的な協調措置 (2025.06.30)

こんにちは、丸山満彦です。

これも少し古い情報ですが...

米国の司法省が、北朝鮮の遠隔情報技術従事者の違法な収益創出スキームに対抗するための全国的な協調措置についての発表を行なっていますね...

北朝鮮は、国家の財政状況を踏まえた金銭の獲得と先端的な軍事技術の獲得に興味があるようで、その手段として、IT作業者になりお宝のある企業に潜り込んで、求めているものを入手しようという活動を国家単位で行っているのでしょうかね...

日本の企業においても、裁判関連の文書も参考にして、分析し、対応をしておくことは重要だろうと思います...

● Department of Justice

・2025.06.30 Justice Department Announces Coordinated, Nationwide Actions to Combat North Korean Remote Information Technology Workers’ Illicit Revenue Generation Schemes

Justice Department Announces Coordinated, Nationwide Actions to Combat North Korean Remote Information Technology Workers’ Illicit Revenue Generation Schemes	司法省、北朝鮮の遠隔情報技術従事者の違法な収益創出スキームに対抗するための全国的な協調措置を発表
Law Enforcement Actions Across 16 States Result in Charges, Arrest, Plea Agreement and Seizures of 29 Financial Accounts, 21 Fraudulent Websites, and Approximately 200 Computers	16 州にわたる法執行措置により、29 件の起訴、逮捕、有罪答弁合意、21 件の不正ウェブサイト、および約 200 台のコンピュータの押収に至る
Note: This press release has been updated to reflect new information regarding the guilty plea of one defendant in the District of Massachusetts.	注：このプレスリリースは、マサチューセッツ州で 1 人の被告が有罪を認めたという新たな情報を反映して更新されました。
The Justice Department announced today coordinated actions against the Democratic People’s Republic of North Korea (DPRK) government’s schemes to fund its regime through remote information technology (IT) work for U.S. companies. These actions include two indictments, an information and related plea agreement, an arrest, searches of 29 known or suspected “laptop farms” across 16 states, and the seizure of 29 financial accounts used to launder illicit funds and 21 fraudulent websites.	司法省は本日、米国企業に対する遠隔情報技術（IT）業務を通じて政権の資金調達を行う、朝鮮民主主義人民共和国（DPRK）政府の計画に対する協調措置を発表しました。これらの措置には、2件の起訴状、情報提供と関連する有罪答弁合意、逮捕、16州にまたがる29の「ノートパソコン農場」とみられる施設の捜索、および不正資金の洗浄に用いられた29の金融口座と21の詐欺サイト押収が含まれる。
According to court documents, the schemes involve North Korean individuals fraudulently obtaining employment with U.S. companies as remote IT workers, using stolen and fake identities. The North Korean actors were assisted by individuals in the United States, China, United Arab Emirates, and Taiwan, and successfully obtained employment with more than 100 U.S. companies.	裁判文書によると、この計画では、北朝鮮の個人が、盗んだ身分証明書や偽の身分証明書を使用して、米国の企業に遠隔 IT 作業員として不正に就職していた。北朝鮮の関係者は、米国、中国、アラブ首長国連邦、台湾の個人に支援を受け、100 社以上の米国企業に就職に成功していた。
As alleged in court documents, certain U.S.-based individuals enabled one of the schemes by creating front companies and fraudulent websites to promote the bona fides of the remote IT workers, and hosted laptop farms where the remote North Korean IT workers could remote access into U.S. victim company-provided laptop computers. Once employed, the North Korean IT workers received regular salary payments, and they gained access to, and in some cases stole, sensitive employer information such as export controlled U.S. military technology and virtual currency. In another scheme, North Korean IT workers used false or fraudulently obtained identities to gain employment with an Atlanta, Georgia-based blockchain research and development company and stole virtual currency worth approximately over $900,000.	裁判文書によると、米国在住の特定の個人は、リモート IT 作業員の信頼性を高めるためのダミー会社や詐欺ウェブサイトを作成し、北朝鮮の IT 作業員が米国の被害企業から提供されたノートパソコンにリモートアクセスできるノートパソコンファームを運営することで、この手口の 1 つを可能にした。雇用されると、北朝鮮の IT 労働者は定期的な給与を受け取り、輸出規制の対象となる米国の軍事技術や仮想通貨などの機密情報を入手し、場合によっては盗んだ。別の計画では、北朝鮮の IT 労働者が、偽の身分証明書や不正に取得した身分証明書を使用して、ジョージア州アトランタのブロックチェーン研究開発会社に就職し、約 90 万ドル相当の仮想通貨を盗んだ。
“These schemes target and steal from U.S. companies and are designed to evade sanctions and fund the North Korean regime’s illicit programs, including its weapons programs,” said Assistant Attorney General John A. Eisenberg of the Department’s National Security Division. “The Justice Department, along with our law enforcement, private sector, and international partners, will persistently pursue and dismantle these cyber-enabled revenue generation networks.”	「これらの手口は、米国企業を標的にして盗み出し、制裁を回避し、北朝鮮の武器プログラムを含む違法なプログラムに資金を提供することを目的としている」と、司法省国家安全保障局副局長ジョン・アイゼンバーグ氏は述べた。「司法省は、法執行機関、民間部門、国際的なパートナーと協力し、これらのサイバーを利用した収益生成ネットワークを執拗に追跡し、解体していく」と述べた。
“North Korean IT workers defraud American companies and steal the identities of private citizens, all in support of the North Korean regime,” said Assistant Director Brett Leatherman of FBI’s Cyber Division. “That is why the FBI and our partners continue to work together to disrupt infrastructure, seize revenue, indict overseas IT workers, and arrest their enablers in the United States. Let the actions announced today serve as a warning: if you host laptop farms for the benefit of North Korean actors, law enforcement will be waiting for you.”	FBI サイバーディビジョン副局長ブレット・レザーマンは、「北朝鮮の IT 労働者は、北朝鮮政権を支援するために、米国企業を詐欺し、民間人の身元情報を盗んでいる。そのため、FBI とそのパートナーは、インフラを破壊し、収益を押収し、海外の IT 労働者を起訴し、米国で彼らを支援する者たちを逮捕するために、引き続き協力していく。本日発表された措置は、警告として受け止めてほしい。北朝鮮の関係者のためにラップトップファームを運営している者は、法執行機関が待ち構えていることを知っておくべきだ」と述べた。
“North Korea remains intent on funding its weapons programs by defrauding U.S. companies and exploiting American victims of identity theft, but the FBI is equally intent on disrupting this massive campaign and bringing its perpetrators to justice,” said Assistant Director Roman Rozhavsky of the FBI Counterintelligence Division. “North Korean IT workers posing as U.S. citizens fraudulently obtained employment with American businesses so they could funnel hundreds of millions of dollars to North Korea’s authoritarian regime. The FBI will do everything in our power to defend the homeland and protect Americans from being victimized by the North Korean government, and we ask all U.S. companies that employ remote workers to remain vigilant to this sophisticated threat.”	「北朝鮮は、米国企業を詐欺し、身元情報を盗んだ米国人を悪用して、武器開発プログラムに資金を提供し続ける意向である。しかし、FBI も、この大規模なキャンペーンを阻止し、その実行者を法廷で裁く決意である」と、FBI 反諜報部門のロマン・ロザフスキー副部長は述べた。「米国市民を装った北朝鮮の IT 作業員たちは、米国の企業に不正に就職し、北朝鮮の独裁政権に数億ドルの資金を送り込んでいた。FBI は、祖国を守り、米国国民を北朝鮮政府による被害から守るために全力を尽くす。また、遠隔作業員を採用しているすべての米国企業に、この巧妙な脅威に対して警戒を続けるよう求める」と述べた。
Zhenxing Wang, et al. Indictment, Seizure Warrants, and Arrest – District of Massachusetts	Zhenxing Wang ほか、起訴、捜索令状、逮捕 – マサチューセッツ州
Today, the United States Attorney’s Office for the District of Massachusetts and the National Security Division announced the arrest of U.S. national Zhenxing “Danny” Wang of New Jersey pursuant to a five-count indictment. The indictment describes a multi-year fraud scheme by Wang and his co-conspirators to obtain remote IT work with U.S. companies that generated more than $5 million in revenue. The indictment also charges Chinese nationals Jing Bin Huang (靖斌黄), Baoyu Zhou (周宝玉), Tong Yuze (佟雨泽), Yongzhe Xu (徐勇哲 andيونجزهي أكسو), Ziyou Yuan (زيو) and Zhenbang Zhou (周震邦), and Taiwanese nationals Mengting Liu (劉孟婷) and Enchia Liu (刘恩) for their roles in the scheme. A second U.S. national, Kejia “Tony” Wang of New Jersey, has agreed to plead guilty for his role in the scheme and was charged separately in an information unsealed today.	本日、マサチューセッツ州連邦検事局および国家安全保障局は、5 件の容疑で起訴されたニュージャージー州在住の米国籍の Zhenxing “Danny” Wang の逮捕を発表した。起訴状によると、王氏とその共犯者は、米国企業から遠隔 IT 業務を受注し、500 万ドル以上の収益を上げた、数年間にわたる詐欺行為を行っていた。また、起訴状では、中国国籍の Jing Bin Huang (靖斌黄)、Baoyu Zhou (周宝玉)、Tong Yuze (佟雨泽)、 Yongzhe Xu（徐勇哲）、Ziyou Yuan（Ziyou）、Zhenbang Zhou（周震邦）、台湾国籍のMengting Liu（劉孟婷）とEnchia Liu（劉恩）を、この計画への関与で起訴している。ニュージャージー州のケジア・「トニー」・ワンという 2 人目の米国国民も、この計画における自分の役割について有罪を認めることに合意し、本日公開された情報で別途起訴された。
“The threat posed by DPRK operatives is both real and immediate. Thousands of North Korean cyber operatives have been trained and deployed by the regime to blend into the global digital workforce and systematically target U.S. companies,” said U.S. Attorney Leah B. Foley for the District of Massachusetts. “We will continue to work relentlessly to protect U.S. businesses and ensure they are not inadvertently fueling the DPRK’s unlawful and dangerous ambitions.”	「北朝鮮の工作員たちがもたらす脅威は、現実的かつ差し迫ったものだ。何千人もの北朝鮮のサイバー工作員が、世界的なデジタル労働力の中に溶け込み、米国の企業を組織的に標的にするために、政権によって訓練され、展開されている」とマサチューセッツ州連邦検事、リア・B・フォーリー氏は述べた。「私たちは、米国の企業を保護し、彼らが不注意に北朝鮮の違法で危険な野望を助長することのないよう、引き続き断固として取り組んでいく」と述べた。
According to the indictment, from approximately 2021 until October 2024, the defendants and other co-conspirators compromised the identities of more than 80 U.S. persons to obtain remote jobs at more than 100 U.S. companies, including many Fortune 500 companies, and caused U.S. victim companies to incur legal fees, computer network remediation costs, and other damages and losses of at least $3 million. Overseas IT workers were assisted by Kejia Wang, Zhenxing Wang, and at least four other identified U.S. facilitators. Kejia Wang, for example, communicated with overseas co-conspirators and IT workers, and traveled to Shenyang and Dandong, China, including in 2023, to meet with them about the scheme. To deceive U.S. companies into believing the IT workers were located in the United States, Kejia Wang, Zhenxing Wang, and the other U.S. facilitators received and/or hosted laptops belonging to U.S. companies at their residences, and enabled overseas IT workers to access the laptops remotely by, among other things, connecting the laptops to hardware devices designed to allow for remote access (referred to as keyboard-video-mouse or “KVM” switches).	起訴状によると、2021年ごろから2024年10月まで、被告人と他の共謀者は、80人を超える米国人の身分を不正に取得し、フォーチュン500企業を含む100社を超える米国企業でリモートワークの職を得た。これにより、被害を受けた米国企業は、法的費用、コンピュータネットワークの修復費用、その他の損害と損失として少なくとも$300万ドルを被った。海外の IT 労働者は、Kejia Wang、Zhenxing Wang、および少なくとも 4 人の特定された米国の仲介者によって支援されていた。例えば、Kejia Wang は、海外の共謀者および IT 労働者と連絡を取り合い、2023 年を含め、中国瀋陽および丹東を訪れ、この計画について彼らと会談した。米国企業に IT 作業員が米国に所在していると偽って信じ込ませるため、Kejia Wang、 Zhenxing Wang、および他の米国人仲介者は、米国企業の所有するノートパソコンを自宅に受け取りまたはホストし、海外のIT労働者がリモートでアクセスできるようにした。具体的には、リモートアクセスを可能にするハードウェアデバイス（キーボード・ビデオ・マウスまたは「KVM」スイッチと呼ばれるもの）にノートパソコンを接続するなどの手段を用いた。
Kejia Wang and Zhenxing Wang also created shell companies with corresponding websites and financial accounts, including Hopana Tech LLC, Tony WKJ LLC, and Independent Lab LLC, to make it appear as though the overseas IT workers were affiliated with legitimate U.S. businesses. Kejia Wang and Zhenxing Wang established these and other financial accounts to receive money from victimized U.S. companies, much of which was subsequently transferred to overseas co‑conspirators. In exchange for their services, Kejia Wang, Zhenxing Wang, and the four other U.S. facilitators received a total of at least $696,000 from the IT workers.	ケジア・ワンとゼンシン・ワンは、ホパナ・テックLLC、トニー・WKJ LLC、インディペンデント・ラボLLCを含む、対応するウェブサイトと財務口座を有する shell companies を設立し、海外のIT労働者が合法的な米国企業と関連しているように見せかけた。ケジア・ワンとジェンシン・ワンは、これらの財務口座を含む複数の口座を設立し、被害を受けた米国企業から資金を受け取り、その大部分はその後、海外の共謀者に送金された。その見返りとして、ケジア・ワン、ジェンシン・ワン、および他の4人の米国人仲介者は、IT労働者から合計少なくとも$696,000を受け取った。
IT workers employed under this scheme also gained access to sensitive employer data and source code, including International Traffic in Arms Regulations (ITAR) data from a California-based defense contractor that develops artificial intelligence-powered equipment and technologies. Specifically, between on or about Jan. 19, 2024, and on or about April 2, 2024, an overseas co-conspirator remotely accessed without authorization the company’s laptop and computer files containing technical data and other information. The stolen data included information marked as being controlled under the ITAR.	この制度の下で雇用されたIT従事者は、カリフォルニア州を拠点とする人工知能搭載の機器および技術の開発を行う防衛関連企業から、国際武器取引規制（ITAR）に関するデータを含む機密性の高い雇用主のデータおよびソースコードへのアクセス権限を取得した。具体的には、2024年1月19日頃から4月2日頃にかけて、海外の共謀者が、技術データやその他の情報を含む同社のノートパソコンやコンピュータのファイルに、無断で遠隔アクセスした。盗まれたデータには、ITAR の管理下にあると記載された情報も含まれていた。
Simultaneously with today’s announcement, the FBI and Defense Criminal Investigative Service (DCIS) seized 17 web domains used in furtherance of the charged scheme and further seized 29 financial accounts, holding tens of thousands of dollars in funds, used to launder revenue for the North Korean regime through the remote IT work scheme.	本日の発表と並行して、FBIと国防省刑事調査局（DCIS）は、起訴された計画の遂行に利用された17のウェブドメインを差し押さえ、さらに北朝鮮政権への資金洗浄に利用されたリモートIT作業計画を通じて得た収益を洗浄するために使用された29の金融口座を差し押さえ、数万ドルの資金を回収した。
Previously, in October 2024, as part of this investigation, federal law enforcement executed searches at eight locations across three states that resulted in the recovery of more than 70 laptops and remote access devices, such as KVMs. Simultaneously with that action, the FBI seized four web domains associated with Kejia Wang’s and Zhenxing Wang’s shell companies used to facilitate North Korean IT work.	以前、2024年10月、この調査の一環として、連邦捜査当局は3州にわたる8か所で捜索を実施し、70台を超えるノートパソコンとリモートアクセスデバイス（KVMなど）を回収した。同時に、FBIは、ケジア・ワンとゼンシン・ワンの shell companies（ダミー会社）が北朝鮮のIT業務を支援するために使用していた4つのウェブドメインを差し押さえた。
The FBI Las Vegas Field Office, DCIS San Diego Resident Agency, and Homeland Security Investigations San Diego Field Office are investigating the case.	FBIラスベガス支局、DCISサンディエゴ駐在事務所、および国土安全保障調査局サンディエゴ支局が、この事件を捜査している。
Assistant U.S. Attorney Jason Casey for the District of Massachusetts and Trial Attorney Gregory J. Nicosia, Jr. of the National Security Division’s National Security Cyber Section are prosecuting the case, with significant assistance from Legal Assistants Daniel Boucher and Margaret Coppes. Valuable assistance was also provided by Mark A. Murphy of the National Security Division’s Counterintelligence and Export Control Section and the U.S. Attorneys’ Offices for the District of New Jersey, Eastern District of New York, and Southern District of California.	マサチューセッツ州連邦検事局のアシスタント連邦検事ジェイソン・ケイシーと国家安全保障局国家安全保障サイバー部門の裁判弁護士グレゴリー・J・ニコシア・ジュニアが、法務アシスタントのダニエル・ブーシェとマーガレット・コッペスの多大な支援を受けて、この事件を起訴している。また、国家安全保障局の反情報・輸出管理課のマーク・A・マーフィー氏、ニュージャージー州、ニューヨーク州東部地区、カリフォルニア州南部地区の各連邦検事局も、貴重な支援を提供した。
Kim Kwang Jin et al. Indictment – Northern District of Georgia	キム・クァンジンら、ジョージア州北部地区で起訴
Today, the Northern District of Georgia unsealed a five-count wire fraud and money laundering indictment charging four North Korean nationals, Kim Kwang Jin (김관진), Kang Tae Bok (강태복), Jong Pong Ju (정봉주) and Chang Nam Il (창남일), with a scheme to steal virtual currency from two companies, valued at over $900,000 at the time of the thefts, and to launder proceeds of those thefts. The defendants remain at large and wanted by the FBI .	本日、ジョージア州北部地区は、5 件の電信詐欺および資金洗浄の容疑で、北朝鮮国民 4 人、キム・クァンジン（김관진）、カン・テボク（강태복）、ジョン・ポンジュ（정봉주）、チャン・ナムイル（창남일）の4人の北朝鮮国民を、2社から盗んだ仮想通貨（盗難当時$900,000を超える価値）を盗み、その盗難の収益を資金洗浄する計画に関与したとして起訴した。被告人は現在も逃走中で、FBIが指名手配している。
“The defendants used fake and stolen personal identities to conceal their North Korean nationality, pose as remote IT workers, and exploit their victims’ trust to steal hundreds of thousands of dollars,” said U.S. Attorney Theodore S. Hertzberg for the Northern District of Georgia. “This indictment highlights the unique threat North Korea poses to companies that hire remote IT workers and underscores our resolve to prosecute any actor, in the United States or abroad, who steals from Georgia businesses.”	「被告たちは、偽の個人情報や盗んだ個人情報を使用して北朝鮮国籍を隠し、遠隔地の IT 作業員を装い、被害者の信頼を悪用して数十万ドルを盗んだ」と述べた。ジョージア州北部地区連邦検事、セオドア・S・ハーツバーグ氏は、「この起訴は、遠隔地の IT 作業員を採用する企業にとって北朝鮮が特有の脅威であることを浮き彫りにするとともに、ジョージア州の企業から盗んだ者については、米国国内か国外かを問わず、あらゆる脅威アクターを起訴する我々の決意を強調するものである」と述べた。
According to the indictment, the defendants traveled to the United Arab Emirates on North Korean travel documents and worked as a co-located team. In approximately December 2020 and May 2021, respectively, Kim Kwang Jin (using victim P.S.’s stolen identity) and Jong Pong Ju (using the alias “Bryan Cho”) were hired by a blockchain research and development company headquartered in Atlanta, Georgia, and a virtual token company based in Serbia. Both defendants concealed their North Korean identities from their employers by providing false identification documents containing a mix of stolen and fraudulent identity information. Neither company would have hired Kim Kwang Jin and Jong Pong Ju had they known that they were North Korean citizens. Later, on a recommendation from Jong Pong Ju, the Serbian company hired “Peter Xiao,” who in fact was Chang Nam Il.	起訴状によると、被告らは北朝鮮の旅券を使用してアラブ首長国連邦に旅行し、共同作業チームとして働いていた。2020年12月ごろと2021年5月ごろ、キム・グァンジン（被害者P.S.の盗まれた身分証明書を使用）とジョン・ポンジュ（偽名「ブライアン・チョ」を使用）は、ジョージア州アトランタに本社を置くブロックチェーン研究開発会社とセルビアに本社を置くバーチャルトークン会社から雇用された。両被告は、盗んだ身分情報と偽の身分情報を組み合わせた偽の身分証明書を提出して、雇用主に北朝鮮国民であることを隠した。両社は、キム・クァンジンとジョン・ポンジュが北朝鮮国民であることを知っていたならば、彼らを採用することはなかっただろう。その後、ジョン・ポンジュの推薦により、セルビアの会社は「ピーター・シャオ」を雇用したが、この人物は実際にはチャン・ナムイルだった。
After gaining their employers’ trust, Kim Kwang Jin and Jong Pong Ju were assigned projects that provided them access to their employers’ virtual currency assets. In February 2022, Jong Pong Ju used that access to steal virtual currency worth approximately $175,000 at the time of the theft, sending it to a virtual currency address he controlled. In March 2022, Kim Kwang Jin stole virtual currency worth approximately $740,000 at the time of theft by modifying the source code of two of his employer’s smart contracts, then sending it to a virtual currency address he controlled.	雇用主の信頼を得たキム・クァンジンとジョン・ポンジュは、雇用主の仮想通貨資産にアクセスできるプロジェクトに配属された。2022年2月、ジョン・ポンジュはそのアクセス権を利用して、盗難当時約17万5000ドル相当の仮想通貨を盗み、自分が管理する仮想通貨アドレスに送金した。2022年3月、キム・グァンジンは、雇用主のスマートコントラクト2件のソースコードを改変し、盗難当時の価値で約74万ドル相当の仮想通貨を盗み、自分が管理する仮想通貨アドレスに送金した。
To launder the funds after the thefts, Kim Kwang Jin and Jong Pong Ju “mixed” the stolen funds using the virtual currency mixer Tornado Cash and then transferred the funds to virtual currency exchange accounts controlled by defendants Kang Tae Bok and Chang Nam Il but held in the name of aliases. These accounts were opened using fraudulent Malaysian identification documents.	盗難後の資金洗浄のため、キム・グァンジンとジョン・ポンジュは、仮想通貨ミキサー「Tornado Cash」を使用して盗んだ資金を「混合」し、その後、被告カン・テボクとチャン・ナムイルが管理する仮想通貨取引所口座に送金した。これらの口座は、偽造されたマレーシアの身分証明書を使用して開設された。
The FBI Atlanta Field Office is investigating the case.	この事件は、FBI アトランタ支局が捜査している。
Assistant U.S. Attorneys Samir Kaushal and Alex Sistla for the Northern District of Georgia and Trial Attorney Jacques Singer-Emery of the National Security Division’s National Security Cyber Section are prosecuting the case.	ジョージア州北部地区連邦検事局のアシスタント連邦検事であるサミール・カウシャル氏およびアレックス・シストラ氏、ならびに国家安全保障局国家安全保障サイバー部門の裁判弁護士であるジャック・シンガー・エメリー氏が、この事件を起訴している。
21 Searches of Known or Suspected U.S.-based Laptop Farms – Multi-District	21件の米国拠点のノートパソコン農場に関する捜索 – 多地区
Between June 10 and June 17, 2025, the FBI executed searches of 21 premises across 14 states hosting known and suspected laptop farms. These actions, coordinated by the FBI Denver Field Office, related to investigations of North Korean remote IT worker schemes being conducted by the U.S. Attorneys’ Offices of the District of Colorado, Eastern District of Missouri, and Northern District of Texas. In total, the FBI seized approximately 137 laptops.	2025年6月10日から6月17日にかけて、FBIは、既知または疑わしいノートパソコン農場をホストする14州にわたる21の施設で捜索を実施した。これらの措置は、デンバーFBI支局が調整し、コロラド州地方検察庁、ミズーリ州東部地方検察庁、テキサス州北部地方検察庁が実施している北朝鮮の遠隔IT労働者 schemeに関する捜査に関連している。FBIは合計で約137台のノートパソコンを押収した。
Valuable assistance was provided by the U.S. Attorney’s Offices for the District of Connecticut, the Eastern District of Michigan, the Eastern District of Wisconsin, the Middle District of Florida, the Northern District of Georgia, the Northern District of Illinois, the Northern District of Indiana, the District of Oregon, the Southern District of Florida, the Southern District of Ohio, the Western District of New York, and the Western District of Pennsylvania.	コネチカット州、ミシガン州東部地区、ウィスコンシン州東部地区、フロリダ州中部地区、ジョージア州北部地区、イリノイ州北部地区、インディアナ州北部地区、オレゴン州、フロリダ州南部地区、オハイオ州南部地区、ニューヨーク州西部地区、ペンシルベニア州西部地区の各連邦検事局が、貴重な支援を提供した。
***	***
The Department’s actions to combat these schemes are the latest in a series of law enforcement actions under a joint National Security Division and FBI Cyber and Counterintelligence Divisions effort, the DPRK RevGen: Domestic Enabler Initiative. This effort prioritizes targeting and disrupting the DPRK’s illicit revenue generation schemes and its U.S.-based enablers. The Department previously announced other actions pursuant to the initiative, including in January 2025 and prior, as well as the filing of a civil forfeiture complaint in early June 2025 for over $7.74 million tied to an illegal employment scheme.	これらの計画に対抗するための同省の措置は、国家安全保障局と FBI のサイバー・対諜報ディビジョンが共同で実施している「DPRK RevGen：国内支援者イニシアチブ」という一連の法執行措置の最新のものです。この取り組みは、北朝鮮の違法な収益創出計画と、米国を拠点とするその支援者を優先的に標的にし、その活動を阻止することを目的としています。同省は、このイニシアチブに基づき、2025年1月以前を含む他の措置を発表しており、2025年6月初旬には、違法な雇用スキームに関連する$774万ドルを超える資産の民事没収請求を提出した。
As the FBI has described in Public Service Announcements published in May 2024 and January 2025, North Korean remote IT workers posing as legitimate remote IT workers have committed data extortion and exfiltrated the proprietary and sensitive data from U.S. companies. DPRK IT worker schemes typically involve the use of stolen identities, alias emails, social media, online cross-border payment platforms, and online job site accounts, as well as false websites, proxy computers, and witting and unwitting third parties located in the U.S. and elsewhere.	FBIが2024年5月と2025年1月に発表した公共サービス公告で説明したように、北朝鮮の遠隔IT労働者が合法的な遠隔IT労働者を装い、米国企業からデータ恐喝を行い、機密情報や専有データを不正に流出させた。北朝鮮の IT 作業員による手口は、通常、盗んだ ID、偽のメールアドレス、ソーシャルメディア、オンラインの越境決済プラットフォーム、オンライン求人サイトのアカウント、偽のウェブサイト、プロキシコンピュータ、および米国やその他の地域にある故意または無意識のサードパーティの利用を含む。
Other public advisories about the threats, red flag indicators, and potential mitigation measures for these schemes include a May 2022 advisory released by the FBI, Department of the Treasury, and Department of State; a July 2023 advisory from the Office of the Director of National Intelligence; and guidance issued in October 2023 by the United States and the Republic of Korea (South Korea). As described the May 2022 advisory, North Korean IT workers have been known individually to earn up to $300,000 annually, generating hundreds of millions of dollars collectively each year, on behalf of designated entities, such as the North Korean Ministry of Defense and others directly involved in the DPRK’s weapons programs.	これらの手口に関する脅威、危険信号、および潜在的な緩和措置に関するその他の公開勧告には、2022年5月にFBI、財務省、および国務省が発表した勧告、2023年7月に国家情報長官室が発表した勧告、および2023年10月に米国と韓国（大韓民国）が発表したガイダンスがある。2022 年 5 月の勧告で述べられているように、北朝鮮の IT 労働者は、北朝鮮国防省や北朝鮮の武器開発プログラムに直接関与するその他の指定事業体に代わって、個人で年間 30 万ドルもの収入を得ており、その総額は毎年数億ドルに達すると見られている。
The U.S. Department of State has offered potential rewards for up to $5 million in support of international efforts to disrupt the DPRK’s illicit financial activities, including for cybercrimes, money laundering, and sanctions evasion.	米国務省は、北朝鮮の違法な金融活動（サイバー犯罪、資金洗浄、制裁回避を含む）を妨害するための国際的な努力を支援するため、最大$500万の報奨金を提示している。
The details in the above-described court documents are merely allegations. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law.	上記裁判書類に記載された詳細は単なる主張に過ぎない。すべての被告は、法廷で合理的な疑いを超えて有罪が証明されるまで無罪と推定される。

・Kim Kwang Jin et al. Indictment – Northern District of Georgia

・・[PDF]

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.02.28 米国 FBI 北朝鮮が15億ドル（2.3兆円）のBybitハッキングに関与 (2025.02.26)

・2025.01.28 米国司法省北朝鮮IT労働者をリモート雇用させるスキームの関係者を逮捕...(2025.01.23)

・2024.12.25 金融庁「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について（注意喚起）」に伴う「暗号資産の流出リスクへの対応等に関する再度の自主点検要請」

・2024.09.07 外務省第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催

・2024.09.05 米国 FBI 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮 (2024.09.03)

・2024.07.27 米国司法省米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴

・2024.05.07 米国 NSA FBI 国務省北朝鮮がDMARCの脆弱なセキュリティポリシーを悪用してスピアフィッシング

・2024.03.28 外務省警察庁財務省経済産業省北朝鮮IT労働者に関する企業等に対する注意喚起

・2023.06.03 米国韓国北朝鮮のサイバー部隊がシンクタンク、学術機関、ニュースメディア部門を標的にした攻撃をしていると注意喚起

・2023.03.29 米国司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.02.13 米国・韓国「重要インフラへのランサムウェア攻撃は北朝鮮のスパイ活動の資金源になる」から身代金は払うなよ...

・2022.10.15 警察庁金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について（注意喚起）

・2022.07.08 米国 CISA 北朝鮮の国家支援によるサイバーアクターがマウイ・ランサムウェアを使ってヘルスケアおよびパブリックヘルス分野を標的にしていると警告

・2022.04.22 米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています

・2022.03.20 米国ハーバード・ベルファ科学国際問題センター「サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり」

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出（100億円以上？）

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2020.11.16 ロシアと北朝鮮のハッカーがCOVID 19のワクチン研究者からデータを盗もうとしている by Microsoft

・2020.08.29 米国司法省北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.05.13 CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

・2020.04.16 US-CERT 北朝鮮のサイバー脅威に関するガイダンス

2025.07.15 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.14

米国 CISA等イランのサイバー攻撃者は、脆弱な米国のネットワークおよび関心のある事業体を標的にする可能性がある (2025.06.30)

こんにちは、丸山満彦です。

2025.06.30の注意喚起を今頃紹介するか？という話ですが(^^;;

イランの核計画を進展させることを防ぐために 2025.06.21に米国がイランの3カ所の核施設（フォルドゥ、ナタンズ、イスファハン）を対象に攻撃を実行したと発表し、2025.06.24に停戦が合意？したと発表されているのですが、両国政府とも停戦についての正式な発表はしていないし、攻撃が全くなくなったわけではなく、緊張関係は続いているので、こういう話も出しておこうということですかね...

発表は、CISA、連邦捜査局（FBI）、国防総省サイバー犯罪センター（DC3）、国家安全保障局（NSA）の共同で行われていますね...

ちなみに、司法省による北朝鮮の遠隔情報技術従事者の違法な収益創出スキームに対抗するための全国的な協調措置についての発表も同日に行われています...

● CISA

・2025.06.30 Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest

Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest	イランのサイバー攻撃者は、脆弱な米国のネットワークおよび関心のある事業体を標的にする可能性がある
CISA, the Federal Bureau of Investigation (FBI), the Department of Defense Cyber Crime Center (DC3), and the National Security Agency (NSA) published Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest. This joint fact sheet details the need for increased vigilance for potential cyber activity against U.S. critical infrastructure by Iranian state-sponsored or affiliated threat actors.	CISA、連邦捜査局（FBI）、国防総省サイバー犯罪センター（DC3）、および国家安全保障局（NSA）は、「イランのサイバーアクターが米国の脆弱なネットワークおよび関心のある事業体を標的にする可能性がある」という共同事実報告書を発表した。この共同事実報告書は、イランの国家支援または関連脅威アクターによる米国の重要インフラに対する潜在的なサイバー活動に対する警戒を強化する必要性について詳しく説明している。
Defense Industrial Base companies, particularly those possessing holdings or relationships with Israeli research and defense firms, are at increased risk.	防衛産業基盤企業、特にイスラエルの研究機関や防衛企業と提携関係にある企業は、リスクが高まっている。
At this time, we have not seen indications of a coordinated campaign of malicious cyber activity in the U.S. that can be attributed to Iran. However, CISA urges owners and operators of critical infrastructure organizations and other potentially targeted entities to review this fact sheet to learn more about the Iranian state-backed cyber threat and actionable mitigations to harden cyber defenses. For an overview of the Iranian threat, refer to CISA’s Iran Threat Overview and Advisories and the FBI’s The Iran Threat webpages .	現時点では、イランによるものと推定される、米国における悪意のあるサイバー活動の組織的なキャンペーンを示す兆候は確認されていない。しかし、CISA は、重要インフラ組織およびその他の標的となる可能性のある事業体の所有者および運営者に、このファクトシートを確認し、イランが支援するサイバー脅威と、サイバー防御を強化するための実行可能な緩和策について詳しく確認するよう強くお勧めする。イランの脅威の概要については、CISA の「イランの脅威の概要と勧告」および FBI の「イランの脅威」のウェブページを参照すること。

・[PDF]

Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest	イランのサイバーアクターは、脆弱な米国のネットワークおよび関心のある事業体を標的とする可能性がある
Overview	概要
The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), the Department of Defense Cyber Crime Center (DC3), and the National Security Agency (NSA) (hereafter referred to as the authoring agencies) strongly urge organizations to remain vigilant for potential targeted cyber activity against U.S. critical infrastructure and other U.S. entities by Iranian-affiliated cyber actors. Despite a declared ceasefire and ongoing negotiations towards a permanent solution, Iranian-affiliated cyber actors and hacktivist groups may still conduct malicious cyber activity. The authoring agencies are continuing to monitor the situation and will release pertinent cyber threat and cyber defense information as it becomes available.	サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）、国防総省サイバー犯罪センター（DC3）、および国家安全保障局（NSA）（以下、「作成機関」という）は、イラン関連のサイバーアクターによる米国の重要インフラおよびその他の米国事業体に対する標的型サイバー活動の可能性について、引き続き警戒を続けるよう強くお勧めする。停戦が宣言され、恒久的な解決に向けた交渉が継続しているにもかかわらず、イラン関連のサイバーアクターやハクティビスト集団は、依然として悪意のあるサイバー活動を行う可能性がある。作成機関は、引き続き状況を監視し、関連するサイバー脅威およびサイバー防衛に関する情報を入手次第、公開する。
Threat Activity	脅威活動
Based on the current geopolitical environment, Iranian-affiliated cyber actors may target U.S. devices and networks for near-term cyber operations. Defense Industrial Base (DIB) companies, particularly those possessing holdings or relationships with Israeli research and defense firms, are at increased risk. Hacktivists and Iranian-government-affiliated actors routinely target poorly secured U.S. networks and internet-connected devices for disruptive cyberattacks.	現在の地政学的状況に基づき、イラン関連のサイバーアクターは、短期的なサイバー作戦の標的として米国のデバイスやネットワークを攻撃する可能性がある。防衛産業基盤（DIB）企業、特にイスラエルの研究機関や防衛企業と提携関係にある企業は、リスクが高まっている。ハクティビストやイラン政府関連のアクターは、セキュリティ対策が不十分な米国のネットワークやインターネットに接続されたデバイスを、破壊的なサイバー攻撃の標的として日常的に狙っている。
Iranian-affiliated cyber actors and aligned hacktivist groups often exploit targets of opportunity based on the use of unpatched or outdated software with known Common Vulnerabilities and Exposures (CVEs) or the use of default or common passwords on internet-connected accounts and devices. (Note: See CISA’s Known Exploited Vulnerabilities Catalog for more information on vulnerabilities that have been exploited in the wild). These malicious cyber actors commonly use techniques such as automated password guessing, cracking password hashes using online resources, and inputting default manufacturer passwords. When specifically targeting operational technology (OT), these malicious cyber actors also use system engineering and diagnostic tools to target entities such as engineering and operator devices, performance and security systems, and vendor and third-party maintenance and monitoring systems.	イラン関連のサイバーアクターや、彼らと提携するハクティビストグループは、既知の共通脆弱性およびエクスポージャー（CVE）を含むパッチが適用されていない、または古いソフトウェア、あるいはインターネットに接続されたアカウントやデバイスでデフォルトまたは一般的なパスワードが使用されていることを利用して、機会を捉えて攻撃を行うことが多い。（注：実際に悪用されている脆弱性に関する詳細については、CISA の「既知の悪用されている脆弱性カタログ」を参照のこと）。これらの悪意のあるサイバーアクターは、通常、自動パスワード推測、オンラインリソースを使用したパスワードハッシュの解読、製造事業者のデフォルトパスワードの入力などの手法を使用している。運用技術（OT）を具体的に標的とする場合、これらの悪意のあるサイバーアクターは、システムエンジニアリングおよび診断ツールを使用して、エンジニアリングおよびオペレーターデバイス、パフォーマンスおよびセキュリティシステム、ベンダーおよびサードパーティの保守および監視システムなどの事業体を標的とする。
Over the past several months, Iranian-aligned hacktivists have increasingly conducted website defacements and leaks of sensitive information exfiltrated from victims. These hacktivists are likely to significantly increase distributed denial of service (DDoS) campaigns against U.S. and Israeli websites due to recent events.	ここ数ヶ月、イランと関係のあるハクティビストは、ウェブサイトの改ざんや、被害者から盗んだ機密情報の漏洩をますます頻繁に行っている。これらのハクティビストは、最近の出来事を受けて、米国およびイスラエルのウェブサイトに対する分散型サービス妨害（DDoS）キャンペーンを大幅に増加させる可能性が高い。
Iranian-affiliated cyber actors may also conduct ransomware attacks in collaboration with other cybercriminal groups. These actors have been observed working directly with ransomware affiliates to conduct encryption operations, as well as steal sensitive information from these networks and leaking it online.	イランと関係のあるサイバー攻撃者は、他のサイバー犯罪グループと協力してランサムウェア攻撃を行う可能性もある。これらのアクターは、ランサムウェアの関連組織と直接連携して、暗号化操作を実施したり、これらのネットワークから機密情報を盗み出し、オンラインで漏洩したりしていることが確認されている。
Previous Cyber Campaigns	これまでのサイバーキャンペーン
Between November 2023 and January 2024, during the Israel-Hamas conflict, Iranian Islamic Revolutionary Guard Corps (IRGC)-affiliated cyber actors actively targeted and compromised Israeli-made programmable logic controllers (PLCs) and human machine interfaces (HMIs). This global campaign included dozens of U.S. victims in the water and wastewater, energy, food and beverage manufacturing, and healthcare and public health sectors. The actors leveraged public internet-connected industrial control systems (ICSs) that used factory-default passwords, or no passwords, and default Transmission Control Protocol (TCP) ports.	2023年11月から2024年1月にかけて、イスラエルとハマス間の紛争中に、イランのイスラム革命防衛隊（IRGC）に所属するサイバーアクターが、イスラエル製のプログラマブル・ロジック・コントローラ（PLC）およびヒューマン・マシン・インターフェース（HMI）を積極的に標的にし、侵害しました。この世界規模のキャンペーンでは、水道・下水、エネルギー、食品・飲料製造、医療・公衆衛生の各分野において、米国で数十人の被害者が発生した。攻撃者は、工場出荷時のデフォルトのパスワード、あるいはパスワードが設定されていない、インターネットに接続された産業用制御システム（ICS）と、デフォルトの伝送制御プロトコル（TCP）ポートを悪用した。
Following the onset of the Israel-Hamas conflict, Iranian-affiliated cyber actors conducted several hack-andleak operations to protest the conflict in Gaza. This campaign combined hacking and theft of data with information operations (e.g., online amplification through social media or threats and harassment using direct messaging). These operations resulted in financial losses and reputational damage for victims. The purpose of these campaigns was to undermine public confidence in the security of victim networks and data, as well as embarrass targeted companies and countries. While hacktivists primarily targeted Israeli companies, one instance involved a U.S. internet protocol television (IPTV) company.	イスラエルとハマス間の紛争が始まってから、イラン関連のサイバーアクターは、ガザでの紛争に抗議するために、いくつかのハッキングおよび情報漏えい作戦を実施した。このキャンペーンでは、ハッキングやデータ盗難と、情報操作（ソーシャルメディアによるオンラインでの拡散、ダイレクトメッセージによる脅迫や嫌がらせなど）が組み合わされていた。これらの作戦により、被害者は金銭的損失と評判の低下という損害を被った。これらのキャンペーンの目的は、被害者のネットワークおよびデータのセキュリティに対する国民の信頼を損なうとともに、標的となった企業や国を恥辱にさらすことだった。ハクティビストは主にイスラエルの企業を標的としていたが、ある事例では、米国のインターネットプロトコルテレビ（IPTV）企業が標的となった。
Mitigations	緩和策
The authoring agencies strongly urge critical infrastructure asset owners and operators to implement the following mitigations to harden their cyber defenses against malicious actors.	作成機関は、重要なインフラ資産の所有者および運営者に、悪意のある攻撃者に対するサイバー防御を強化するため、以下の緩和策の実施を強く推奨する。
§ Identify and disconnect OT and ICS assets from the public internet.	§ OT および ICS 資産を識別し、パブリックインターネットから切断する。
o Focus on remote access technologies such as virtual network computing (VNC), remote desktop protocol (RDP), Secure Shell Protocol (SSH) and web management interfaces (as part of an HMI, virtual private network [VPN], or otherwise).	o 仮想ネットワークコンピューティング (VNC)、リモートデスクトッププロトコル (RDP)、Secure Shell Protocol (SSH)、ウェブ管理インターフェース (HMI、仮想プライベートネットワーク [VPN] の一部など) などのリモートアクセス技術に重点を置く。
o Adopt a deny-by-default allowlist policy to prevent unauthorized access if an asset’s remote access cannot be removed.	o 資産のリモートアクセスを削除できない場合は、不正アクセスを防止するために、デフォルトで拒否する許可リストポリシーを採用する。
§ Ensure devices and accounts are protected with strong, unique passwords (if not using multifactor authentication [MFA]) and immediately replace weak or default passwords.	§ デバイスおよびアカウントが、強固で固有のパスワード（多要素認証（MFA）を使用していない場合）で保護されていることを確認し、脆弱なパスワードやデフォルトのパスワードは直ちに交換する。
o Use Role-Based Access Controls (RBAC) and conditional access policies for cloud service or managed service providers.	o クラウドサービスまたはマネージドサービス・プロバイダには、役割ベースのアクセス管理（RBAC）および条件付きアクセスポリシーを使用する。
§ Implement phishing-resistant MFA for accessing OT networks from any other network.	§ 他のネットワークから OT ネットワークにアクセスするには、フィッシング対策機能を備えた MFA を実装する。
o Consider strategically requiring MFA for changes to high value controllers that are difficult to replace or could be significantly impacted if compromised.	o 交換が困難な、または侵害された場合に重大な影響を受ける可能性のある高価値のコントローラに変更を加える場合は、MFA を戦略的に要求することを検討する。
§ Apply the manufacturer’s latest software patches for internet-facing systems to ensure protection against known vulnerabilities.	§ インターネットに接続するシステムには、製造事業者の最新のソフトウェアパッチを適用して、既知の脆弱性に対する保護を確保する。
§ Prioritize monitoring user access logs for remote access to the OT network and for implementation of any firmware or configuration changes.	§ OT ネットワークへのリモートアクセス、およびファームウェアや設定の変更の実施について、ユーザーアクセスログの監視を優先する。
§ To reduce the impact of a successful intrusion, establish OT processes that prevent unauthorized changes, loss of view, or loss of control (e.g., PLCs in run mode rather than program mode, hardware or software interlocks, safety systems, and redundant sensors).	§ 侵入が成功した場合の影響を軽減するため、不正な変更、表示の喪失、制御の喪失を防ぐ OT プロセスを確立する（プログラムモードではなく実行モードの PLC、ハードウェアまたはソフトウェアのインターロック、安全システム、冗長センサーなど）。
§ Ensure business continuity and incident response plans are in place for a swift recovery, including implementing full system and data backups to facilitate any recovery efforts.	§ 迅速な復旧のための事業継続およびインシデント対応計画を策定し、復旧作業を円滑に進めるためのシステムおよびデータの完全なバックアップの実施を含む。
o Review incident response plans and update as needed.	o インシデント対応計画を見直し、必要に応じて更新する。
o Rehearse critical system recovery efforts and related actions, and update incident response plans based on results.	o 重要なシステムの復旧作業および関連措置をリハーサルし、その結果に基づいてインシデント対応計画を更新する。
§ Consider how exfiltrated data, such as leaked credentials, could be leveraged to conduct further malicious activity against your network, and ensure security mechanisms are in place to reduce the impact of a potential leak.	§ 漏洩した認証情報などの盗み出されたデータが、ネットワークに対するさらなる悪意のある活動に利用される可能性について検討し、潜在的な漏洩の影響を軽減するためのセキュリティメカニズムを確実に導入する。
Resources	参考資料
The authoring agencies, in collaboration with U.S. and foreign government partners, have previously released advisories describing high-level cyber tactics employed by Iranian-affiliated cyber actors and general guidance to harden systems and networks against this threat. The authoring agencies strongly recommend critical infrastructure organizations and other entities review the following resources for more information on this cyber threat and additional mitigations. The list below also incorporates physical security resources.	作成機関は、米国および外国の政府機関と協力し、イラン関連のサイバーアクターが採用する高レベルのサイバー戦術、およびこの脅威からシステムやネットワークを強化するための一般的なガイダンスについて記載した勧告を、これまで発表してきた。作成機関は、重要インフラ組織およびその他の事業体に、このサイバー脅威に関する詳細情報と追加の緩和策について、以下の参考資料を確認することを強くお勧めする。以下のリストには、物理的なセキュリティに関するリソースも含まれている。
§ For an overview of the Iranian threat, refer to CISA’s Iran Threat Overview and Advisories and the FBI’s The Iran Threat webpages.	§ イランの脅威の概要については、CISA の「イランの脅威の概要とアドバイザリ」および FBI の「イランの脅威」のウェブページを参照のこと。
§ For a list of cybersecurity advisories attributed to Iranian state-sponsored cyber actors, refer to CISA’s Iran State-Sponsored Cyber Threat: Advisories webpage.	§ イランの国家支援サイバーアクターによるサイバーセキュリティアドバイザリのリストについては、CISA の「イランの国家支援サイバー脅威：アドバイザリ」のウェブページを参照のこと。
§ Refer to the following FBI resources for additional Iranian-attributed joint products:	§ イランによるものとされるその他の共同製品については、以下の FBI のリソースを参照すること。
o Joint cybersecurity advisory: New Tradecraft of Iranian Cyber Group Aria Sepehr Ayandehsazan aka Emennet Pasargad.	o 共同サイバーセキュリティアドバイザリ：イランのサイバーグループ Aria Sepehr Ayandehsazan（別名 Emennet Pasargad）の新しい手口。
o Joint cybersecurity advisory: Iranian Cyber Actors Targeting Personal Accounts to Support Operations.	o 共同サイバーセキュリティアドバイザリ：作戦を支援するために個人アカウントを標的とするイランのサイバーアクター。
o Private industry notification (PIN): Iranian Cyber Group Emennet Pasargad Conducting Hackand-Leak Operations Using False-Flag Personas.	o 民間企業向け通知 (PIN): イランのサイバーグループ Emennet Pasargad が偽の身分を装ってハッキングおよび情報漏えい作戦を実施。
§ For Unitronics PLC-specific background and mitigations, refer to the joint cybersecurity advisory IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including US Water and Wastewater Systems Facilities.	§ Unitronics PLC に関する具体的な背景および緩和策については、共同サイバーセキュリティアドバイザリ「IRGC 所属のサイバーアクターが、米国の上下水道施設を含む複数のセクターの PLC を悪用」を参照すること。
§ For more information on CyberAv3ngers, refer to the Department of State’s Reward for Justice:	§ CyberAv3ngers の詳細については、米国務省の「正義のための報奨金：
CyberAv3ngers.	CyberAv3ngers」を参照すること。
§ For more information on techniques used to target OT and ICS, refer to the joint cybersecurity advisory Control System Defense: Know the Opponent.	§ OT および ICS を標的とする手法の詳細については、共同サイバーセキュリティ勧告「制御システムの防御：敵を知る」を参照すること。
§ For more information on reducing the risk of cyber threats to OT, refer to the joint fact sheet Primary Mitigations to Reduce Cyber Threats to Operational Technology.	§ OT に対するサイバー脅威のリスクを軽減する方法の詳細については、共同ファクトシート「運用技術に対するサイバー脅威を軽減するための主な緩和策」を参照すること。
§ For more information on defending against DDoS attacks, refer to the joint guide Understanding and Responding to DDoS Attacks.	§ DDoS 攻撃の防御に関する詳細については、共同ガイド「DDoS 攻撃の理解と対応」を参照すること。
§ For more information on CVEs, refer to the joint advisory 2023 Top Routinely Exploited Vulnerabilities.	§ CVE に関する詳細については、共同勧告「2023 年に最も頻繁に悪用される脆弱性」を参照すること。
§ For more information on improving cybersecurity and physical defenses, refer to CISA Insights: Increased Geopolitical Tensions and Threats.	§ サイバーセキュリティおよび物理的防御の改善に関する詳細については、CISA Insights「地政学的緊張と脅威の高まり」を参照すること。
§ For more information on protecting physical environments, refer to CISA’s Physical Security – Preventative and Protective Strategies webpage.	§ 物理的環境の保護に関する詳細については、CISA の「物理的セキュリティ – 予防および保護戦略」のウェブページを参照すること。

合わせて、情報提供の呼びかけもしていますね...

Contact Information	お問い合わせ先
The authoring agencies recommend U.S. organizations report suspicious or criminal activity related to information in this fact sheet.	作成機関は、米国の組織に対して、このファクトシートの情報に関連する不審な活動や犯罪行為を報告するよう推奨しています。
§ CISA: Contact CISA via CISA’s 24/7 Operations Center (report@cisa.gov or 888-282-0870).	§ CISA：CISA の 24 時間 365 日体制のオペレーションセンター（report@cisa.gov または 888-282-0870）までお問い合わせください。
o When available, please include the following information regarding the incident: date, time, and location of the incident; type of activity; number of people affected; type of equipment used for the activity; the name of the submitting company or organization; and a designated point of contact.	o 可能であれば、インシデントに関する以下の情報も併せてお寄せください：インシデントの発生日時と場所、活動の種類、影響を受けた人数、活動に使用された機器の種類、報告する企業または組織の名称、および指定の連絡先。
o For more information on reporting a cyber incident, refer to CISA’s Voluntary Cyber Incident Reporting webpage.	o サイバーインシデントの報告に関する詳細については、CISA の「自主的なサイバーインシデントの報告」のウェブページを参照して下さい。
§ FBI: If you believe you have been the victim of Iranian cyber activity as described above, contact your relevant security officials and the FBI. The FBI requests victims report any incident to your local FBI Field Office or the Internet Crime Complaint Center (IC3) at www.ic3.gov . Include as much detailed information about the incident as possible.	§ FBI：上記のようなイランのサイバー活動の被害を受けたと思われる場合は、関連するセキュリティ担当者および FBI に連絡して。FBI は、被害者にインシデントを最寄りの FBI 支局またはインターネット犯罪苦情センター (IC3) (www.ic3.gov) に報告するよう求めている。インシデントに関する情報は、できるだけ詳しく記載して下さい。
§ NSA: For NSA cybersecurity guidance inquiries, contact [mail].	§ NSA：NSA のサイバーセキュリティに関するガイダンスについては、[mail] までお問い合わせください。
§ DC3: For DIB inquiries and cybersecurity services, contact [mail]. For media inquiries or the press desk, contact [mail].	§ DC3：DIB に関するお問い合わせおよびサイバーセキュリティサービスについては、 [mail] までお問い合わせください。メディアからの問い合わせまたはプレスデスクについては、[mail] までお問い合わせください。

2025.07.14 00:00 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.13

金融庁「マネー・ローンダリング等及び金融犯罪対策の取組と課題（2025年６月）」 (2025.06.27)

こんにちは、丸山満彦です。

金融庁が、「マネー・ローンダリング等及び金融犯罪対策の取組と課題（2025年６月）」を公表しています...

私もよく読んでおかないといけないので、よく読んでおきます...

● 金融庁

・2025.06.27 「マネー・ローンダリング等及び金融犯罪対策の取組と課題（2025年６月）」の公表について

・[PDF] 「マネー・ローンダリング等及び金融犯罪対策の取組と課題（2025年６月）」（概要）

・[PDF] 「マネー・ローンダリング等及び金融犯罪対策の取組と課題（2025年６月）」

・[PDF] （別紙１）金融セクター分析結果概要

・[PDF] （別紙２）口座不正利用対策等に係る要請文フォローアップアンケートの実施結果

・金融機関におけるマネロン・テロ資金供与・拡散金融対策について

関連リンク

ガイドライン関係

ディスカッション・ペーパー

取組と課題

現状と課題

FATF関係資料

金融活動作業部会（FATF）

関係省庁等の取組

その他

2025.07.13 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

総務省オンラインカジノに係るアクセス抑止の在り方に関する検討会中間論点整理（案）についての意見募集 (2025.07.10)

こんにちは、丸山満彦です。

総務省が、オンラインカジノに係るアクセス抑止の在り方に関する検討会中間論点整理（案）を公表し、意見募集をしていますね...

ギャンブル依存症に漬け込んで、ギャンブル依存症の患者等から金銭を搾取する行為は適切な行為ではないので、禁止し、適切に取り締まることが重要なわけですが、中間報告でも記載の通り、オンラインカジノの場合、海外で実行されているなど、実質的な取り締まりが困難であるため、十分抑止効果が働かず、犯罪が減らないという点が課題としてりますよね...

そこで、オンラインブロッキングという手段が考えられるわけですが、通信の秘密の問題と関係してくるということで、児童ポルノサイトへのブロッキング等の手続きを参考に検討が加えられているということなのだろうと思います。

ブロッキングは海外で実施している国もあり、一定の成果をあげているといるという意見もあり、魅力的な手段の一つであるものの、どんどんブロッキングに頼っていくということにもなりかねず、通信の秘密の保護とのバランスをどのような場合にとるべきかという話がありますよね...

いくつくとこまでいくつくと、グレートジャパンウォールという話にもなり得る（ならないとは思いますが...最近の政治、国民の状況をみていると、権威主義国家にならないとも限らず...）わけですからね...

通信の秘密の論点は、児童ポルノサイトへのブロッキング、サイバー対処能力強化法に基づく政府によるフィルタリングと、いろいろと出てきているわけですが、効果が見込まれるだけに、悩ましい（なので、乱用すると人権侵害につながるので、禁止されているわけですが...）ですね...

● 総務省

・2025.07.10 オンラインカジノに係るアクセス抑止の在り方に関する検討会中間論点整理（案）についての意見募集

本研究会では、オンラインカジノへのアクセス抑止の在り方に関して議論を行っているところですが、今後の検討の参考とするため、今般とりまとめたオンラインカジノに係るアクセス抑止の在り方に関する検討会中間論点整理（案）について広く意見を募集することとしたものです。

...

意見募集の結果を踏まえ、オンラインカジノに係るアクセス抑止の在り方に関する検討会中間論点整理を策定する予定です。

・[PDF] 別紙１

目次...

はじめに
１. 検討の基本的視座

２. 検討の背景
２.１. オンラインカジノの現状認識
２.２. 包括的な対策の必要性
２.３. アクセス抑止の在り方

３. アクセス抑止の全体像とブロッキング

４. ブロッキングに関する法的検討
４.１. 必要性・有効性
４.２. 許容性（ブロッキングにより得られる利益が失われる利益と均衡するか）
４.３. 実施根拠（仮にブロッキングを実施する場合どのような根拠で行うか）
４.４. 妥当性（仮に制度的措置を講じる場合どのような枠組みが適当か）

kenn５. 諸外国の状況
５.１. フランス
５.２. イギリス

６. ブロッキングに関する技術的検討
６.１. 具体的な方式
６.２. 技術的回避策への対応

７．概括的整理と今後の検討に向けて

検討委員会

・オンラインカジノに係るアクセス抑止の在り方に関する検討会

開催に関する報道発表（令和7年4月16日）

オンラインカジノに係るアクセス抑止の在り方に関する検討会中間論点整理（案）についての意見募集に関する報道発表（令和7年7月10日）

第1回（令和7年4月23日）

〇開催案内

〇配布資料

資料1-1 「オンラインカジノに係るアクセス抑止の在り方に関する検討会」開催要綱

資料1-2 「オンラインカジノに係るアクセス抑止の在り方に関する検討会（第1回）」（事務局資料）

資料1-3 オンラインカジノの実態把握のための調査研究（警察庁）（警察庁ホームページにおいて公開）

〇議事概要

第2回（令和7年4月28日）

〇開催案内

〇配布資料

資料2-1 ギャンブル依存症とオンラインギャンブルの危険性について（松﨑参考人）

資料2-2 ギャンブル等依存症対策御説明資料（内閣官房ギャンブル室）

資料2-3 オンラインカジノに係るアクセス抑止の在り方に関する検討会資料（田中構成員）

資料2-4 オンラインカジノに関する政策提言（小寺参考人）

〇議事概要

第3回（令和7年5月14日）

〇開催案内

〇配布資料

資料3-1 これまでにいただいたご意見を踏まえた検討の基本的視座について（事務局）

資料3-2-1 オンラインカジノのアクセス抑止に関するフランス・イギリスの動向（本編）（野村総合研究所）

資料3-2-2 オンラインカジノのアクセス抑止に関するフランス・イギリスの動向（別紙）（野村総合研究所）

資料3-3 オンラインカジノと賭博罪（橋爪構成員）

資料3-4 通信の秘密に関する検討（上沼参考人）

〇議事概要

第4回（令和7年5月27日）

〇開催案内

〇配布資料

資料4-1 これまでにいただいたご意見を踏まえた検討の基本的視座について（事務局）

資料4-2-1 DNSブロッキングに関するインターネット技術コミュニティの見解（前村構成員）

資料4-2-2 （参考）SAC127 DNSブロッキングの再考　（前村構成員）（非公開）

資料4-3 ブロッキングによるアクセス抑止について（JAIPA）

資料4-4 児童ポルノブロッキングの現状と課題（ICSA）

資料4-5 オンラインカジノサイトに関するYahoo!検索の取組（LINEヤフー）

〇議事概要

第5回（令和7年6月20日）

〇開催案内

〇配布資料

資料5-1 これまでにいただいたご意見を踏まえた検討の基本的視座について（事務局）

資料5-2 中間論点整理案（骨子）（事務局）

〇議事概要

第6回（令和7年7月8日）

〇開催案内

〇配布資料

資料6-1 オンラインカジノに係るアクセス抑止の在り方に関する検討会中間論点整理（案）（事務局）

資料6-2 中間論点整理（案）の概要（事務局）

〇議事概要

構成員...

	黒坂達也	慶應義塾大学大学院政策・メディア研究科特任准教授（ジョージタウン大学客員研究員）
	鎮目征樹	学習院大学法学部教授
（座長）	曽我部真裕	京都大学大学院法学研究科教授
	田中紀子	ギャンブル依存症問題を考える会代表
	長瀬貴志	山﨑法律事務所弁護士
	長田三紀	情報通信消費者ネットワーク代表
（座長代理）	橋爪隆	東京大学大学院法学政治学研究科教授
	前村昌紀	日本ネットワークインフォメーションセンター政策主幹
	森亮二	英知法律事務所弁護士
	山口寿一	読売新聞グループ本社代表取締役社長

2025.07.13 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2025.07.12

個人情報保護委員会個人情報の保護に関する法律施行規則並びに行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等に関する報告等に関する規則の一部を改正する規則（案）等の意見募集 (2025.07.10)

こんにちは、丸山満彦です。

個人情報保護委員会のウェブページにはまだ見つけられていないのですが、

個人情報の保護に関する法律施行規則並びに行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等に関する報告等に関する規則の一部を改正する規則（案）等の意見募集

が行われています...長っ...

ただし、内容は簡単で、例えば事業者の場合、個人情報保護法第26条第１項により、第16条第２項に規定する個人情報取扱事業者がその取り扱う個人データを漏えい等した場合の報告を、個人情報保護委員会（施行規則第８条第３項第１号）、事業所管大臣（施行規則第８条第３項第２号）になっているが、内閣官房国家サイバー統括室から「被害報告一元化に関するDDoS事案及びランサムウェア事案報告様式」（案）についてのパブコメが公表されている通り、これが確定すれば、個人情報保護委員会は、ランサムウェアに係る報告については、共通の報告様式でも受け付けますよ...ということです...

● eGov

・2025.07.10 個人情報の保護に関する法律施行規則並びに行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等に関する報告等に関する規則の一部を改正する規則（案）等の意見募集について

改正概要

・[PDF] 改正概要

意見募集対象

・[PDF] 規則（案）

・[PDF] 告示（案）

・[PDF] サイバーセキュリティ戦略本部（令和７年５月２９日）第４３回会合＿資料５ー２

・[PDF] サイバーセキュリティ戦略本部（令和７年５月２９日）第４３回会合＿資料５ー４

参考...

● 個人情報保護委員会

・2025.07.09 第328回個人情報保護委員会

議事次第

議題

（１）個人情報の保護に関する法律施行規則並びに行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等に関する報告等に関する規則の一部を改正する規則（案）等の意見募集について

（２）監視・監督について

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.12 内閣官房国家サイバー統括室「被害報告一元化に関するDDoS事案及びランサムウェア事案報告様式」（案）(2025.07.10)

・2025.06.08 内閣官房 NISC サイバーセキュリティ戦略本部第43回会合 - インシデント報告様式の統一 (2025.05.29)

・2025.02.08 内閣官房サイバー対処能力強化法案及び同整備法案 (2025.02.07)

2025.07.12 11:50 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in 安全保障 | Permalink | Comments (0)
Tweet

内閣官房国家サイバー統括室「被害報告一元化に関するDDoS事案及びランサムウェア事案報告様式」（案）(2025.07.10)

こんにちは、丸山満彦です。

NISC改め国家サイバー統括室が、「被害報告一元化に関するDDoS事案及びランサムウェア事案報告様式」（案）を公表し、意見募集をしていますね...

背景にも書かれていますが、個人情報漏えい等にかかるインシデントについての報告、重要インフラ等についてのサイバーセキュリティ事案の報告、金融等の行政監督上の必要性に基づくセキュリティ事案の報告、上場企業に対するリスク情報としての適時開示等、企業によるインシデント報告、開示業務の負担がましている中、行政機関への報告フォーマットを共通化することにより、事業者の負担を軽減しようという取り組みです。

合わせて、政府の対応迅速化を図り、（関係者へのフィードバックを含む？）被害拡大の防止と政策への反映をより迅速、かつ適切に行うことが目的なのでしょうね...

届出にこの様式を使うことは義務ではなく、法令、各省庁ガイドライン等により決められている場合は、それに従うことになりますね...ランサムウェアについては、場合によっては個人データの漏えいにもつながるので、その報告については、個人情報保護委員会及び所管省庁に届け出る必要があるわけですが、その際の報告様式について、個人情報保護委員会は、共通報告書様式でうけつけますよと、規則と告示を変更するための意見募集をしていますね...

今回は、報告書様式（紙・PDFで処理をすることを前提？）の統一を行い、サイバー対処脳梁強化法の施行時には、統一フォーマットへの入力による報告にするように考えていますよね...

なので、「報告書様式による報告による不便」は当面のこと、ということになります。インシデント報告を受け付ける政府側の機械処理による迅速化も統一フォーマット導入のタイミングということになりますかね...システム開発はすぐにはできないですからね...

以前のブログにも記載しましたが、金融業界では、金融安定理事会 (FSB) が、インシデント報告の共通フォーマット (FIRE) を国際的に定めていますので、今後の参考になるかもですね...

システム化する際には、、、

おそらくポータルのようなウェブページを作って

そこで法人番号を入力し、関係する省庁（あるいはガイドライン）にチェックマークを入れると必要な報告内容が表示され、入力していくような感じですかね...メンテが大変そうですが...そうなると本来的にはまずはガイドラインの整理かもですね...

あと、企業グループでの報告をどのように簡便化できるかですかね...究極的な親会社が関連する会社の分も合わせて報告できるようにするというのもありかもですね...（同じガイドラインであればまとめてというのも意味があるけど、適用されるガイドラインが異なる場合は、それぞれでした方がメリットがあるか...）

あと、報告項目の記載内容だけでなく、報告タイミングというのもありますよね...これは、早いタイミングに収斂していくことになりますよね...同じ会社が複数のガイドラインの適用を受けている場合で、あるガイドラインでは72時間と期日が切られているが、別のガイドラインでは期日が切られていない場合など...やっぱりガイドラインの整理だ...

業務プロセスの効率化というのは、システムの共通化ではなく、業務プロセスを共通化したり、無駄なプロセスを省くことで、業務が効率化するだけでなく、その結果システムもシンプルにできて、全体的な効率があがるということなんですよね...

なので、やはり報告書フォーマットの共通化が重要というよりも、各省庁等におけるガイドラインの要求内容の共通化（標準化）、効率化が重要なんでしょうね...

日本はSAPで多くの失敗を重ねている分野かもしれませんが...

そこまで考えると、事業者の報告義務の効率化というのも結果なのでしょうね...政府全体で、報告結果を迅速に対応をするための業務プロセス設計があっての、事業者の報告義務の効率化なのでしょうから...（政府が適正に利用する前提で、事業者に報告させているわけですからね...）

これから、国家サイバー統括室がリーダーシップをとってやっていくのでしょうね(^^)

新法③【分析情報・脆弱性情報の提供等】(新法第８章関係）の業務プロセスの設計が肝ですね...

● 国家サイバー統括室

・2028.07.10 「被害報告一元化に関するDDoS事案及びランサムウェア事案報告様式」（案）に関する意見の募集について

１．背景

　我が国全体のサイバーセキュリティを強化するためには、官民双方向の情報共有を促すことが必要不可欠である一方、サイバー攻撃による被害報告件数は増加の一途を辿っており、また、報告先となる官公署も多いことから、サイバー攻撃を受けた被害組織に過度な報告負担がかかっている旨の指摘がされています。
　このような中、「サイバー安全保障分野での対処能力の向上に向けた提言」（令和６年11月29日付、サイバー安全保障分野での対応能力の向上に向けた有識者会議）では、「被害組織の負担軽減と政府の対応迅速化を図るため、報告先や様式の一元化、簡素化を進めるべき」との提言が行われるとともに、サイバーセキュリティ戦略本部第42回会合（令和７年２月５日）では、「現行制度下において喫緊に取り組むべき事項」の検討事項の一つとして、被害組織の負担軽減（報告様式一元化）が掲げられたことを踏まえ、サイバー攻撃に係る被害組織の負担を軽減し、政府の対応迅速化を図るため、報告のあり方について、令和７年５月28日に関係省庁において申し合わせを行いました。
　当該申し合わせにおいて、DDoS攻撃事案及びランサムウェア事案が発生した場合において、関係省庁への報告等に利用可能な共通様式を策定しましたので、国民の皆様から広く意見を募集するため、令和７年７月10日（木）から同年８月９日（土）までの間、意見公募手続（パブリックコメント）を実施いたします。

・・[PDF] DDoS事案共通様式（案）

・・[PDF] ランサムウェア事案共通様式（案）

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.12 個人情報保護委員会個人情報の保護に関する法律施行規則並びに行政手続における特定の個人を識別するための番号の利用等に関する法律第二十九条の四第一項及び第二項に基づく特定個人情報の漏えい等に関する報告等に関する規則の一部を改正する規則（案）等の意見募集 (2025.07.10)

・2025.06.08 内閣官房 NISC サイバーセキュリティ戦略本部第43回会合 - インシデント報告様式の統一 (2025.05.29)

・2025.02.08 内閣官房サイバー対処能力強化法案及び同整備法案 (2025.02.07)

FIRE関係...

・2025.05.02 金融安定理事会 (FSB) インシデント報告交換フォーマット（FIRE）を公表 (2025.04.15)

・2024.11.01 金融安定理事会 (FSB) 市中協議文書「インシデント報告交換フォーマット（FIRE）」の公表 (2024.10.17)

・2023.04.17 金融安定理事会 (FSB) サイバーインシデント報告におけるより大きな収束を実現するための提言

・2022.10.23 金融安定理事会サイバーインシデント報告における収斂を高めるための提言

2025.07.12 11:27 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in 安全保障 | Permalink | Comments (0)
Tweet

欧州 ENISA 2024年統合活動報告書 (2025.06.30)

こんにちは、丸山満彦です。

ENISAの2024年の活動報告が公表されています。ある意味、ENISAの統合報告書ですね...

民主主義国家では、政府がおこなっている活動については、議会による承認が重要となるわけですが、その承認をとるためにも、議会が承認をした計画通りに執行され（予算もふくめて）いることを説明することが重要となりますね...

政府と国民の代表である議会との間に適切な緊張関係がないと良くないというわけですよね...

ENISAはEUの機関なので、EU議会による承認ということが重要となりますね...

ENISAの報告書では、内部統制についても報告されていますね...内部統制については、COSOをベースにしているようですね...（５つの構成要素について17の原則...）。上場企業の経理、金融庁の開示関係の関係者には馴染みがある概念だと思います...

もちろん、決算書は、いわゆる貸借対照表も公表されています...

同じ民主主義国家の日本がこのレベルをめざしているのかどうかはわかりませんが、参考になると思います...

ちなみに、強調されている主な成果...

最初の欧州連合のサイバーセキュリティ状況報告書
CVE 番号付与機関
NIS2 指令のサポート
認証(EUCC)
サイバーヨーロッパ演習
ENISA サイバーセキュリティ支援活動
状況認識

● ENISA

・2025.06.30 ENISA Consolidated Annual Activity Report 2024

・[PDF]

目次...

ABOUT ENISA	ENISA について
FOREWORD	まえがき
ENISA MANAGEMENT BOARD ASSESSMENT	ENISA 経営委員会アセスメント
EXECUTIVE SUMMARY	エグゼクティブサマリー
PART I ACHIEVEMENTS OF THE YEAR	第 I 部 2024年の成果
PART II (a) MANAGEMENT	第 II 部 (a) 経営
2.1 Management Board	2.1 経営委員会
2.2 Major developments	2.2 主な進展
2.3 Budgetary and financial management	2.3 予算および財務管理
2.4 Delegation and sub delegation ...	2.4 権限の委譲および再委譲 ...
2.5 Human resources management	2.5 人事管理
2.6 Strategy for efficiency gains	2.6 効率向上のための戦略
2.7 Assessment of audit and ex post evaluation results during the reporting year	2.7 報告年度における監査および事後評価の結果の評価
2.8 a Follow up of recommendations and action plans for audits and evaluations	2.8 a 監査および評価に関する勧告および行動計画のフォローアップ
2.8 b Follow-up of recommendations issued following investigations by the European Anti-Fraud Office	2.8 b 欧州不正対策局による調査の結果として出された勧告のフォローアップ
2.9 Follow-up of observations from the discharge authority	2.9 予算承認機関からの意見のフォローアップ
2.10 Environmental management	2.10 環境管理
2.11 Assessment by management	2.11 経営陣による評価
PART II (B) EXTERNAL EVALUATIONS	第 II 部 (B) 外部評価
PART III ASSESSMENT OF THE EFFECTIVENESS OF THE INTERNAL SYSTEMS	第 III 部内部システムの有効性のアセスメント
3.1 Effectiveness of internal control systems	3.1 内部統制システムの有効性
3.1.1 Assessment of the control environment component	3.1.1 統制環境要素のアセスメント
3.1.2 Assessment of the risk assessment component	3.1.2 リスクアセスメント要素のアセスメント
3.1.3 Assessment of the control activities component	3.1.3 統制活動要素のアセスメント
3.1.4 Assessment of the information and communication component	3.1.4 情報と伝達要素の評価
3.1.5 Assessment of the monitoring activities component	3.1.5 モニタリング活動要素の評価
3.2 Conclusions of assessment of internal control systems	3.2 内部統制システムの評価結果
3.3 Statement of the internal control coordinator in charge of risk management and internal control	3.3 リスクマネジメントおよび内部統制を担当する内部統制コーディネーターの声明
PART IV MANAGEMENT ASSURANCE	第 IV 部経営陣の保証
4.1 Review of the elements supporting assurance	4.1 保証を裏付ける要素のレビュー
4.2 Reservations ..	4.2 留保事項
PART V DECLARATION OF ASSURANCE	第 5 部保証の表明
ANNEX I CORE BUSINESS STATISTICS	附属書 I 主要事業統計
ANNEX II STATISTICS ON FINANCIAL MANAGEMENT	附属書 II 財務管理に関する統計
ANNEX III ORGANISATION CHART	附属書 III 組織図
ANNEX IV 2023 ESTABLISHMENT PLAN AND ADDITIONAL INFORMATION ON HUMAN RESOURCES MANAGEMENT	附属書 IV 2023 年の設立計画および人事管理に関する追加情報
ANNEX V HUMAN AND FINANCIAL RESOURCES BY ACTIVITY	附属書 V 活動別の人材および財源
ANNEX VI GRANT, CONTRIBUTION AND SERVICE-LEVEL AGREEMENT	附属書 VI 助成金、拠出金およびサービスレベル契約
ANNEX VII ENVIRONMENTAL MANAGEMENT	附属書 VII 環境管理
ANNEX VIII ANNUAL ACCOUNTS ...	附属書 VIII 年次決算
ANNEX IX LIST OF ABBREVIATIONS	附属書 IX 略語一覧

まえがき...

FOREWORD	まえがき
by the Executive Director	事務局長
Jun-25	2024年6月25日
I2024 marked a significant milestone for the Agency on its 20-year anniversary. Since 2004, ENISA has been dedicated to pursuing and to a great extent, achieving a high common level of cybersecurity across the European Union. I would like to thank the ENISA Management Board, all ENISA stakeholders and particularly its staff, past and present, for their important contributions to 20 years of making Europe more cybersecure.	2024年は、ENISA が 20 周年を迎える重要な節目となった。2004年以来、ENISA は、欧州連合（EU）全域におけるサイバーセキュリティの共通レベルの高さを追求し、その大部分を達成するために尽力してきた。ENISA 経営委員会、ENISAのすべての関係者、そして特に、過去および現在の ENISA スタッフのメンバーが、20 年間にわたり、ヨーロッパのサイバーセキュリティの向上に多大な貢献をしてきたことに感謝する。
In 2024, the Agency marked several significant achievements over the year, with the following milestones standing out:	2024年、ENISAは年間を通じていくつかの重要な成果を上げた。特に以下のマイルストーンが際立っている。
• First State of the Union Cybersecurity Report: This report provides an evidence-based overview of the state of play of cybersecurity and an assessment of cybersecurity capabilities across Europe. Since its establishment, ENISA has been steadfast in its commitment to providing expertise and strategic support to EU Member States. This report has been made possible by means of input sourced from the ENISA Cybersecurity Index, that provides a baseline for the State of the Union Cybersecurity Report, the NIS Investment Report and both the ENISA Threat Landscape 2024 and the updated Foresight 2030 Threats Report, all of which provide long term strategic guidance on cybersecurity challenges. The State of the Union Cybersecurity Report provides policy recommendations to address shortcomings identified and bolster cybersecurity, cooperation and resilience.	• 最初の欧州連合のサイバーセキュリティ状況報告書：この報告書は、サイバーセキュリティの現状に関する証拠に基づく概要と、欧州全体のサイバーセキュリティ能力のアセスメントを記載している。ENISA は設立以来、EU 加盟国に対して専門知識と戦略的支援を提供することに堅固な姿勢で取り組んでいる。この報告書は、サイバーセキュリティに関する EU 連合の現状報告書、NIS 投資報告書、ENISA 脅威の展望 2024、および更新された Foresight 2030 脅威報告書に基礎となる ENISA サイバーセキュリティ指数から得られた情報に基づいて作成された。これらの報告書はすべて、サイバーセキュリティの課題に関する長期的な戦略的指針を示している。EU サイバーセキュリティ報告書は、特定された課題に対処し、サイバーセキュリティ、協力、レジリエンスを強化するための政策提言を提示している。
• CVE Numbering Authority: ENISA has been authorised as a Common Vulnerabilities and Exposures (CVE) Numbering Authority, which has enhanced the support that ENISA renders to EU CSIRTs in terms of Coordinated Vulnerability Disclosure. Under this light, the EU has been equipped with an essential tool designed to substantially improve the management of vulnerabilities and the risks associated with it. ENISA progressed with the implementation of the vulnerability database requirement from the NIS 2 Directive. The database will provide aggregated, reliable, and actionable information on cybersecurity vulnerabilities affecting ICT products and services. The database ensures transparency to all users and will stand as an efficient source of information to find mitigation measures.	• CVE 番号付与機関：ENISA は、共通脆弱性およびエクスポージャー (CVE) 番号付与機関として認可され、脆弱性の調整開示に関して ENISA が EU CSIRT に提供する支援を強化している。この観点から、EU は、脆弱性およびそれに関連するリスクの管理を大幅に改善するために設計された重要なツールを装備している。ENISA は、NIS 2 指令の脆弱性データベース要件の実施を進めた。このデータベースは、ICT 製品およびサービスに影響を与えるサイバーセキュリティの脆弱性に関する、集約された信頼性の高い実用的な情報を提供する。このデータベースは、すべてのユーザーに透明性を確保し、緩和措置を見つけるための効率的な情報源となる。
• NIS2 Directive Support: ENISA continued to work closely with EU Member States to support them with implementing the NIS2 Directive. ENISA provided expertise and guidance to build up cybersecurity resilience and deploy comprehensive, purpose-made, awareness material.	• NIS2 指令のサポート：ENISA は、NIS2 指令の実施を支援するため、EU 加盟国と緊密な連携を継続した。ENISA は、サイバーセキュリティのレジリエンスを構築し、包括的で目的別意識向上資料を展開するための専門知識とガイダンスを提供した。
• Certification: In early 2024, the Implementing Regulation on the EU cybersecurity certification scheme on Common Criteria (EUCC), was published on the Official Journal marking a significant achievement. Furthermore, a new Commission request for a cybersecurity certification scheme on the certification of the EU Digital Identity Wallets has been received and met with the acceptance of the Agency and the establishing of a dedicated Ad Hoc Working Group, to complement ongoing work on EUCS and EU5G.	• 認証：2024 年初頭、共通基準に関する EU サイバーセキュリティ認証スキームの実施規則（EUCC）が官報に掲載され、大きな成果となった。さらに、EU デジタル ID ウォレットの認証に関するサイバーセキュリティ認証スキームに関する新たな委員会要請が受理され、EUCS および EU5G に関する継続的な作業を補完するため、当機関がこれを受け入れ、専用のアドホック作業部会が設立された。
• Cyber Europe Exercise: The 7th edition has been one of the largest cybersecurity exercises in Europe ever and it focused on the resilience of the EU energy sector. This exercise is evidence of the commitment of ENISA to advancing preparedness and response capacities to protect critical infrastructure, a building block of the digital single market. This pan-European exercise brought together 30 national cybersecurity agencies, several EU agencies, bodies and networks and over 1000 experts supporting a broad range of areas including incident response, decision-making etc. In addition, the exercises performed by ENISA currently map to the roles identified in the European Cybersecurity Skills Framework (ECSF), thus allowing actors across sectors and Members States to foster a resilient and skilled workforce capable of addressing evolving threats.	• サイバーヨーロッパ演習：第7回目は、これまでで最大規模のサイバーセキュリティ演習のひとつであり、EU エネルギーセクターのレジリエンスに焦点を当てた。この演習は、デジタル単一市場の基盤である重要インフラを保護するための準備と対応能力の向上に ENISA が取り組んでいることを示す証拠だ。この汎欧州演習には、30 の国のサイバーセキュリティ機関、複数の EU 機関、団体、ネットワーク、およびインシデント対応、意思決定など幅広い分野を支援する 1000 人以上の専門家が参加した。さらに、ENISA が実施する演習は、欧州サイバーセキュリティスキルフレームワーク（ECSF）で識別された役割に対応しており、これにより、セクターや加盟国間の関係者が、進化する脅威に対処できる、レジリエンスとスキルを備えた人材の育成を促進することができる。
• ENISA Cybersecurity Support Action: By implementing and delivering ex-ante and ex-port services via the Agency’s Cybersecurity Support Action, ENISA contributed to further developing cyber preparedness and response capabilities at the EU and MS level. All 27 Member States participated in the programme, which consolidated a total of 482 requests for services.	• ENISA サイバーセキュリティ支援活動： ENISA は、サイバーセキュリティ支援活動を通じて事前および事後対応サービスを実施・提供することにより、EU および加盟国レベルでのサイバー準備および対応能力のさらなる向上に貢献した。27 加盟国すべてがプログラムに参加し、合計 482 件のサービス要請が統合された。
• Situational Awareness: The Agency established a Threat Information Management system, thus contributing to the cooperative response by further strengthening its situational awareness capabilities. It also consolidated and leveraged the ENISA Cyber Partnership Programme, which onboarded 10 companies to embed the private sector contribution primarily within the EU Joint Cyber Assessment Report (EU-JCAR). The number of contributing MS also increased and the CSIRTs Network and EU-CyCLONe contributed to the cooperative response through effective situational awareness. ENISA provided 8 briefings to HWPCI which contributed to increased situational awareness at Council level.	• 状況認識：ENISA は脅威情報管理システムを構築し、状況認識能力をさらに強化することで、協調的な対応に貢献した。また、ENISA サイバーパートナーシッププログラムを統合・活用し、10 社の企業を参加させて、主に EU 共同サイバーアセスメント報告書（EU-JCAR）に民間部門の貢献を反映させた。貢献する加盟国の数も増え、CSIRT ネットワークと EU-CyCLONe は、効果的な状況認識を通じて協力的な対応に貢献した。ENISA は HWPCI に 8 回のブリーフィングを実施し、理事会レベルでの状況認識の向上に貢献した。
In 2024, the revised strategic objectives adopted by the ENISA Management Board and restructuring of ENISA’s operational services will likely empower the Agency to remain agile and ahead of cybersecurity challenges. In early 2025, a comprehensive survey of operational activities highlighted the strong added value of ENISA’s deliverables in the past two years, with 88% of stakeholders reporting significant benefits from our outputs. Significantly 89% of stakeholders confirmed that ENISA’s work does not duplicate, or it only partially duplicates, albeit at very small proportions, Member States efforts—underscoring the Agency’s alignment with the needs of Member States. Finally, 96% of respondents had trust in ENISA’s ability to achieve its mandate. The survey results will shape our future processes, ensuring that we continue meeting stakeholder needs and delivering high-value results in a timely fashion.	2024 年には、ENISA 理事会が採択した戦略目標の改訂と ENISA の業務サービスの再編により、ENISA は引き続き機敏性を発揮し、サイバーセキュリティの課題に先んじて対応することができるようになるだろう。2025 年初めに実施された業務活動に関する包括的な調査では、過去 2 年間の ENISA の成果の付加価値の高さが強調され、88% の利害関係者が ENISA の成果から大きな恩恵を受けたと報告している。重要なことに、89% の利害関係者が、ENISA の業務は加盟国の取り組みと重複していない、あるいはごくわずかに重複しているだけであると回答しており、ENISA が加盟国のニーズに合致していることを強調している。最後に、回答者の 96% が、ENISA の任務達成能力に信頼を寄せている。この調査結果は、私たちの今後のプロセスに活かされ、ステークホルダーのニーズに応え、価値の高い成果をタイムリーに提供し続けることを保証するものである。
I would like to thank all contributors to the survey for their invaluable feedback provided. I am immensely grateful to the broader cybersecurity community, including experts, advisors, partners, and staff, alike, for all their contributions throughout 2024. Together, we continue keeping Europe cyber secure.	この調査に協力いただいた皆様、貴重なご意見をお寄せくださった皆様に、心より感謝申し上げる。2024 年を通じて、専門家、アドバイザー、パートナー、スタッフなど、サイバーセキュリティコミュニティの皆様からいただいたご支援に、心より感謝する。今後も、皆様と協力し、ヨーロッパのサイバーセキュリティの確保に努めていく。

内部統制...

III ASSESSMENT OF THE EFFECTIVENESS OF THE INTERNAL CONTROL SYSTEMS	III 内部統制システムの有効性のアセスメント
3.1. Effectiveness of internal control systems	3.1. 内部統制システムの有効性
Internal control is established in the context of ENISA’s fundamental budgetary principles and associated with sound financial management. Internal control is broadly defined in the agency’s financial regulation as a process designed to provide reasonable assurance of achieving objectives. This definition very much mirrors the standard definition of internal control adopted by the Committee of Sponsoring Organizations of the Treadway Commission (https://www.coso.org).	内部統制は、ENISA の基本的な予算原則の文脈で確立されており、健全な財務管理と関連している。内部統制は、機関の財務規則において、目標の達成を合理的に保証するためのプロセスとして広く定義されている。この定義は、トレッドウェイ委員会支援組織委員会（https://www.coso.org）が採用している内部統制の標準的な定義と非常によく似ている。
In this context, ENISA adopted its internal control framework by Management Board Decision No MB/2019/12 and amending Management Board Decision No MB/2022/11. It is based on the relevant framework of the Commission (which follows the Committee of Sponsoring Organizations of the Treadway Commission framework) and includes five internal control components and 17 internal control principles. The five internal control components are the building blocks that underpin the structure of the framework; they are interrelated and must be present and effective at all levels of ENISA for internal control over operations to be considered effective. Each component comprises one or more internal control principles. Applying these principles helps to provide reasonable assurance that ENISA’s objectives have been met. The principles specify the actions required for the internal control to be effective.	この文脈において、ENISA は、理事会決定 MB/2019/12 および理事会決定 MB/2022/11 の改正により、内部統制の枠組みを採用した。これは、欧州委員会の関連枠組み（トレッドウェイ委員会支援組織委員会（Committee of Sponsoring Organizations of the Treadway Commission）の枠組みに準拠）に基づき、5 つの内部統制構成要素と 17 の内部統制原則で構成されています。5 つの内部統制構成要素は、枠組みの構造を支える構成要素であり、相互に関連しており、業務に対する内部統制が有効であると認められるためには、ENISA のすべてのレベルにおいて存在し、有効に機能している必要があります。各要素は、1 つ以上の内部統制原則で構成されている。これらの原則を適用することで、ENISA の目標が達成されていることを合理的に保証することができる。原則は、内部統制を有効にするために必要な措置を規定している。
To assess the components and principles of the internal control framework, a set of 66 indicators was adopted (as amended by Management Board Decision No MB/2022/11). The indicators are assessed individually and supported by the relevant evidence. The assessment of the internal control is an important part of ENISA’s internal control framework, and it is conducted on an annual basis. For 2024, this assessment was based on the indicators of the framework, and also on additional information from specific (risk) assessment reports, audit findings and other relevant sources. The assessment also followed the related guidance and templates developed through the EU agencies’ Performance Development Network.	内部統制枠組みの要素および原則を評価するために、66 の指標（経営委員会決定 MB/2022/11 により改正）が採用されている。指標は個別に評価され、関連する証拠によって裏付けられている。内部統制の評価は、ENISA の内部統制の枠組みの重要な部分であり、毎年実施されている。2024 年の評価は、枠組みの指標に加え、特定の（リスク）アセスメント報告書、監査結果、その他の関連情報源からの追加情報に基づいて実施された。また、この評価は、EU 機関パフォーマンス開発ネットワークを通じて作成された関連ガイダンスおよびテンプレートにも準拠している。
3.1.1. Assessment of the control environment component	3.1.1. 統制環境の構成要素の評価
The control environment component consists of five principles, as described below.	統制環境の構成要素は、以下の 5 つの原則で構成されている。
Principle 1 – ENISA demonstrates commitment to integrity and ethical values	原則 1 – ENISA は、誠実さと倫理的価値観へのコミットメントを表明する
The assessment concluded that this principle is present and functioning, but some improvements are needed, mainly in the area of training sessions on ethics and integrity for staff	評価の結果、この原則は存在し、機能しているものの、主に職員に対する倫理および誠実さに関する研修の分野において、いくつかの改善が必要であると結論付けられました。
To increase the rate of participation in such training, the agency should consider a diversity of training plans/programmes to address different levels of staff knowledge/maturity. Nevertheless, various types of information materials are at the disposal of staff, such as training content and the most up-to-date reports by the Commission’s Investigation and Disciplinary Office.	このような研修への参加率を高めるため、機関は、職員の知識・成熟度の違いに対応するための多様な研修計画・プログラムを検討すべきである。とはいえ、研修内容や欧州委員会の調査・懲戒局による最新の報告書など、さまざまな種類の情報資料が職員に提供されている。
Principle 2 – ENISA’s management exercises responsibility for overseeing the development and performance of its internal control systems	原則 2 – ENISA の経営陣は、内部統制システムの開発と運用を監督する責任を果たす
The ENISA strategy, adopted in 2020, was reviewed during the reporting period and the MB adopted the new version in November 2024. The revised strategy is a cooperative effort of the Executive Director, the MB and the ENISA Task Force on supporting the review of ENISA’s strategy and mandate. For this purpose, input was gathered from the ENISA Advisory Group, the NLO network and ENISA staff.	2020 年に採択された ENISA の戦略は、報告期間中に見直され、2024 年 11 月に MB が新しいバージョンを採択した。改訂された戦略は、ENISA の戦略と任務の見直しを支援する ENISA タスクフォース、事務局長、MB の協力による成果である。この目的のために、ENISA 諮問グループ、NLO ネットワーク、および ENISA 職員から意見が収集された。
The assessment concluded that this principle is present and functioning well, and only minor improvements are needed. ENISA’s management is regularly updated on the result of its internal controls, but some recommendations should be more actively and formally followed up, in order to improve the overall effectiveness of ENISA’s internal control systems.	アセスメントの結果、この原則は存在し、適切に機能しており、わずかな改善で十分であると結論付けられた。ENISA の経営陣は、内部統制の結果について定期的に最新情報を受け取っているが、ENISA の内部統制システムの全体的な有効性を向上させるため、一部の勧告については、より積極的かつ正式なフォローアップを行う必要がある。
Principle 3 – ENISA’s management establishes structures, reporting lines and appropriate authorities and responsibilities in pursuit of the agency’s objectives	原則 3 – ENISA の経営陣は、機関の目標を達成するために、組織、報告系統、適切な権限および責任を確立する
The assessment concluded that this principle is present and functioning well, and only minor improvements are needed. On a regular basis, the agency publishes on its intranet the adopted and updated organisation charts. Delegation of authority is clearly documented and regularly updated via various executive director decisions, notably on specifying the roles and responsibilities of ENISA’s structural entities and on a framework of the financial delegation of the authorising officer.	この原則は存在し、適切に機能していると評価され、わずかな改善で十分であると結論付けられた。ENISA は、採用および更新された組織図をイントラネットに定期的に公開している。権限の委譲は、ENISA の組織体の役割と責任、および財務担当官の財務権限の委譲に関する枠組みについて、執行取締役の決定を通じて明確に文書化され、定期的に更新されている。
Principle 4 – ENISA demonstrates commitment to attracting, developing and retaining competent individuals in alignment with its objectives	原則 4 – ENISA は、その目標に沿って、有能な人材の採用、育成、維持に努める。
The assessment concluded that this principle is present and functioning well. One minor improvement is needed, in the area of learning opportunities for ENISA’s staff, which should be more comprehensive. This point was further addressed in 2024 with the introduction of a new competence framework for ENISA.	アセスメントの結果、この原則は存在し、適切に機能していると結論付けられた。ENISA 職員の学習機会の分野において、より包括的な内容とするという軽微な改善が必要だ。この点は、2024 年に ENISA の新しいコンピテンシー枠組みが導入されることでさらに改善される予定だ。
Principle 5 – ENISA holds itself accountable for its internal control responsibilities in pursuit of the agency’s objectives	原則 5 – ENISA は、機関の目標の達成に向けて、内部統制の責任について自ら説明責任を果たす。
The assessment concluded that this principle is present and functioning well, and only minor improvements are needed. As part of its internal controls, the agency regularly reviews and monitors its annual objectives to ensure that pre-set objectives will be reached. While midterm reviews are planned, significant effort is expended on the ex ante evaluation and continuous monitoring of projects through the weekly ENISA management team meetings. In particular, each project starts with an inception, meaning that it passes an assessment by the management team, may be further reviewed for guidance and then finally presented to the management team for closure. This ensures that the management team has a clear view of, and is able to follow up on, the agency’s annual objectives throughout the year.	評価の結果、この原則は存在し、適切に機能しており、わずかな改善点のみが必要であると結論付けられた。内部統制の一環として、ENISA は、あらかじめ設定した目標が確実に達成されるように、年間目標を定期的に見直し、監視している。中間レビューも予定されているが、毎週開催される ENISA 経営陣会議を通じて、事前の評価とプロジェクトの継続的なモニタリングに多大な努力が払われている。特に、各プロジェクトは、経営陣によるアセスメントに合格し、指導のためにさらにレビューされる場合があり、最終的に経営陣に提出されて終了となる。これにより、経営陣は、年間を通じて、機関の年間目標を明確に把握し、その達成状況をフォローアップすることができる。
3.1.2. Assessment of the risk assessment component	3.1.2. リスクアセスメント要素の評価
The risk assessment component consists of four principles, as presented below.	リスクアセスメント要素は、以下の 4 つの原則で構成されている。
Principle 6 – ENISA specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives	原則 6 – ENISA は、目標に関連するリスクの特定と評価を可能にするよう、目標を十分に明確に規定する。
The assessment concluded that this principle is present and functioning well. Pre-defined targets for annual objectives are set in the SPD. ENISA’s SPD is drafted based on input from all units and teams across the agency, and in consultation with stakeholders, before it is formally adopted by the agency’s MB. Throughout the year, the agency’s outputs are planned, reviewed and finalised in close consultation with stakeholders, including ENISA’s MB, the advisory group and the NLO network. ENISA uses its objectives as a basis for allocating resources to achieve policy, operational and financial performance goals. [Indicator 26 on 73% of SPD KPIs met or outperformed target set]	評価の結果、この原則は存在し、適切に機能していると結論付けられました。年間目標の事前目標は、SPD に設定されています。ENISA の SPD は、機関全体のすべての部門およびチームからの意見、および利害関係者の協議に基づいてドラフトが作成され、その後、機関の MB によって正式に採択される。年間を通じて、ENISA の MB、諮問グループ、NLO ネットワークなどの利害関係者と緊密な協議を行い、機関の成果を計画、見直し、確定する。ENISA は、政策、業務、財務のパフォーマンス目標を達成するための資源の配分基準として、その目標を用いる。[指標 26：SPD KPI の 73% が目標を達成または上回った]
Principle 7 – ENISA identifies risks to the achievement of its objectives across the organisation and analyses risks as a basis for determining how the risks should be managed	原則 7 – ENISA は、組織全体の目標達成に対するリスクを識別し、そのリスクを分析して、リスクの管理方法を決定する。
The assessment concluded that this principle is present and functioning well, but improvement is needed in the follow-up of implementation of mitigating measures. Since 2022, a centralised risk management approach has been implemented at the agency level. An enterprise risk management (ERM) framework was adopted based on the Commission’s risk assessment guidance. An IT security risk management framework was also formalised and interlinked with the ERM framework. Based on the frameworks adopted, a risk assessment exercise is conducted on an annual basis (entailing an ERM and an IT security risk assessment). The cross-cutting risks were presented in a corporate risk register, and specific risks in each unit/team were also identified. As regards these assessments, no critical risks were identified in 2024.	評価の結果、この原則は存在し、適切に機能しているが、緩和措置の実施のフォローアップには改善が必要であると結論付けられた。2022 年以降、機関レベルで一元化されたリスクマネジメントアプローチが実施されている。欧州委員会のリスクアセスメントガイダンスに基づき、エンタープライズリスクマネジメント（ERM）の枠組みが採用された。また、IT セキュリティリスクマネジメントの枠組みも正式に策定され、ERM 枠組みと相互に関連付けられた。採用された枠組みに基づき、リスクアセスメントが毎年実施されている（ERM および IT セキュリティリスクアセスメントを含む）。部門横断的なリスクは企業リスク登録簿に記載され、各部門/チームにおける具体的なリスクも識別された。これらのアセスメントに関しては、2024 年には重大なリスクは識別されなかった。
Principle 8 – ENISA considers the potential for fraud in assessing risks to the achievement of objectives	原則 8 – ENISA は、目標の達成に対するリスクを評価する際に、不正の可能性を考慮する
The assessment concluded that this principle is present and functioning well.	評価の結果、この原則は実施されており、適切に機能していると結論付けられた。
The agency’s anti-fraud strategy was updated in 2021 and formally adopted by Management Board Decision No B/2021/5. Within 2024, the revision of the antifraud strategy took place and a new action plan was put forward for adoption by the MB within 2025. A dedicated anti-fraud web page is available on ENISA’s intranet, where all staff can access relevant regulations, documents and training material. Training in fraud prevention, which forms part of training in ethics and integrity, is delivered regularly (however, the participation rate should be improved).	機関の不正防止戦略は2021年に更新され、管理委員会決定第B/2021/5号により正式に採択された。2024年中に不正防止戦略の見直しが行われ、2025年中に管理委員会で採択される新たな行動計画が提示された。ENISA のイントラネットには、全職員が関連規則、文書、研修資料にアクセスできる不正防止専用のウェブページが用意されている。倫理および誠実性に関する研修の一部として、不正防止に関する研修が定期的に実施されている（ただし、参加率の向上が必要）。
Principle 9 – ENISA identifies and analyses significant change	原則 9 – ENISA は、重要な変化を識別し、分析する
The assessment concluded that this principle is present and functioning well and that only minor improvements are needed. Change is managed through different processes within the agency. At the operational level, continuous monitoring of the work programme activities in the weekly management team meetings enables the identification and analysis of any significant change (thus enabling further reflection of this change in internal activities). The establishment of dedicated committees (the IT Management Committee, the Budget Management Committee and the Intellectual Property Rights Management Committee) further supports change management at the corporate level. In 2024, whereas the Cybersecurity Act, which outlines the mandate and tasks of ENISA, has been complemented with the adoption of the NIS2 and conclusion of legislative negotiations on CRA and CSOA, ENISA Management has revised the establishment of ENISA’s internal structures via its decision 2024/10. This revision was further complemented by Executive Director Decision No 63/2024, which further specifies the roles and responsibilities of ENISA’ s structural entities. In the context of this structural adjustment, three Task Forces were established by the Executive Director, with a view to engage staff members, managers and that agency’s HR in the change management process. Several relevant trainings sessions were also organised to that end. This shows ENISA’s capacity to identify new challenges and to quickly react by adapting itself to best meet the underlying objectives and to best deliver additional tasks entrusted to ENISA.	評価の結果、この原則は存在し、適切に機能しており、わずかな改善で十分であると結論付けられた。変化は、機関内のさまざまなプロセスを通じて管理されている。業務レベルでは、毎週開催される経営陣会議で作業プログラムの活動を継続的に監視することで、重要な変化を特定・分析することができ（その結果、この変化を内部活動にもさらに反映させることができる）、変化の管理がさらに強化されている。また、専門委員会（IT 管理委員会、予算管理委員会、知的財産権管理委員会）の設置により、企業レベルでの変化の管理がさらに強化されている。2024 年、ENISA の使命と任務を規定するサイバーセキュリティ法が、NIS2 の採択および CRA および CSOA に関する立法交渉の妥結により補完されたことを受け、ENISA 経営陣は、決定 2024/10 により ENISA の内部構造の再編を見直した。この見直しは、ENISA の組織体の役割と責任をさらに明確にした執行取締役決定第 63/2024 号によってさらに補完された。この組織調整に関連して、執行取締役は、スタッフ、管理職、および同機関の HR を変更管理プロセスに関与させることを目的として、3 つのタスクフォースを設立した。この目的のために、いくつかの関連トレーニングセッションも開催された。これは、ENISA が新たな課題を識別し、その根本的な目標を最もよく達成し、ENISA に委託された追加の業務を最善の方法で遂行するために、自らを適応させて迅速に対応できる能力を有していることを示している。
3.1.3. Assessment of the control activities component	3.1.3. 統制活動要素の評価
The control activities component consists of three principles, as presented below.	統制活動要素は、以下に示す 3 つの原則で構成されている。
Principle 10 – ENISA selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to an acceptable level	原則 10 – ENISA は、目標の達成に対するリスクを許容可能なレベルまで緩和するのに貢献する統制活動を選択し、開発する。
The assessment concluded that this principle is present and functioning, but some improvements are needed, in particular the agency’s business continuity plan, which needs to be finalised and tested.	アセスメントの結果、この原則は存在し、機能しているが、特に、最終決定と試験が必要な機関の事業継続計画について、いくつかの改善が必要であると結論付けられた。
Principle 11 – ENISA selects and develops general controls on technology to support the achievement of objectives	原則 11 – ENISA は、目標の達成を支援するための技術に関する全般統制を選択し、開発する。
The assessment concluded that this principle is present and functioning, but some improvements are needed. Efforts to mitigate IT risks yielded results in 2024, leading to the downgrading of certain identified risks. However, some IT risks are of a continuous nature, such as the risks stemming from cybersecurity threats, which are constantly evolving.	この原則は存在し、機能していると評価されたが、いくつかの改善が必要だ。IT リスクの緩和に向けた取り組みは 2024 年に成果を上げ、特定されたリスクの一部は格下げされた。しかし、サイバーセキュリティの脅威に起因するリスクなど、絶えず進化する継続的な IT リスクも存在する。
Principle 12 – ENISA deploys control activities through policies that establish what is expected and through procedures that put policies into action	原則 12 – ENISA は、期待される事項を定めた方針および方針を実施するための手順を通じて、管理活動を展開する。
The assessment concluded that this principle is present and functioning, but some improvements are needed. Recurrent weaknesses identified by internal control tools (such as the registry of exceptions) in recent years have not yet been effectively addressed. In addition, ENISA’s internal policies and procedures are not always adequately documented or communicated to staff. For example, from the analysis of the 2024 register of exception, out of 15 noncompliant events (i.e. exceptions), the vast majority (11) concerned a posteriori transactions (i.e. the budgetary or legal commitments were not compliant to proceed forward with the transaction). This weakness was identified by previous control activities, but no specific procedure was introduced to further mitigate this usually minor risk.	評価の結果、この原則は存在し、機能しているが、いくつかの改善が必要であると結論付けられた。近年、内部統制ツール（例外登録簿など）によって特定された繰り返しの弱点は、まだ効果的に対処されていない。さらに、ENISA の内部方針および手順は、必ずしも適切に文書化または職員に伝達されているわけではない。例えば、2024 年の例外登録簿の分析によると、15 件の違反事例（すなわち例外）のうち、その大部分（11 件）は事後的な取引（すなわち、予算上または法律上の約束が取引の遂行に準拠していなかった）に関するものであった。この弱点は、以前の統制活動によって特定されていたが、この通常軽微なリスクをさらに緩和するための具体的な手続きは導入されていなかった。
Nevertheless, none of the 15 identified exceptions was assessed as being of high risk (13 were assessed as low risk and two as medium risk) and only four exceptions were deemed to be of material relevance. Out of these four exceptions, two were related to non-compliance with the contractual terms for the supply of services (i.e. 1) price indexation required by national laws was not foreseen in the original contract and 2) contract extension was not formally signed), one was related to a late budgetary commitment (a posteriori transaction) and the last one was related to non-compliance with procurement rules.	それにもかかわらず、特定された 15 件の例外のうち、リスクが高いと評価されたものは 1 件もなかった（13 件はリスクが低い、2 件はリスクが中程度と評価された）。これらの4件の例外のうち、2件はサービス供給に関する契約条項の不遵守（1）国内法で要求される価格指数連動が元の契約に明記されていなかった、2）契約延長が正式に署名されていなかった）に関連し、1件は事後的な予算コミットメント（事後的な取引）に関連し、最後の1件は調達規則の不遵守に関連していました。
3.1.4. Assessment of the information and communication component	3.1.4. 情報と伝達の構成要素の評価
The information and communication component consists of three principles, as presented below.	情報と伝達の構成要素は、以下の 3 つの原則で構成されている。
Principle 13 – ENISA obtains or generates and uses relevant quality information to support the functioning of its internal control systems	原則 13 – ENISA は、内部統制システムの機能を支援するために、関連する質の高い情報を取得または生成し、活用する。
The assessment concluded that this principle is present and functioning, and only minor improvements are needed. For example, internal information-sharing and the mapping of information could be improved and the compliance with need-toknow principle (to access internal information) needs further monitoring.	評価の結果、この原則は存在し、機能しており、わずかな改善のみが必要であると結論付けられました。例えば、内部情報共有や情報マッピングの改善、および（内部情報へのアクセスに関する）必要に応じた情報開示の原則の遵守について、さらなるモニタリングが必要だ。
Principle 14 – ENISA communicates information internally, including objectives and responsibilities for internal control, that is necessary to support the functioning of its internal control systems	原則 14 – ENISA は、内部統制システムの機能を支援するために必要な、内部統制に関する目標や責任などの情報を内部で伝達する
The assessment concluded that this principle is present and functioning well. There is transparency in the agency regarding objectives, challenges, actions taken or to be taken and results achieved. Minutes of the weekly management team meeting are made available by email to all staff. In addition, frequent question-and-answer sessions for all staff on various relevant topics were held during 2024. Midterm reviews are used to communicate objectives achieved and ongoing, and substantial effort is put into ex ante evaluation of the projects, starting with a detailed inception presentation during management team meetings. The same projects may then be reviewed for guidance during management team meetings and are then presented to the management team for finalisation. This ensures that the management team has a clear view of and is able to follow up on the annual objectives throughout the year. Moreover, there is a separate communication line for whistleblowing arrangements. The basic principles, relevant definitions and the reporting mechanism are described in ENISA’s Management Board Decision No MB/2018/10 on whistleblowing.	評価の結果、この原則は存在し、適切に機能していると結論付けられた。目標、課題、実施済みまたは実施予定の措置、および達成結果については、機関内に透明性が確保されている。毎週開催される経営陣会議の議事録は、全職員に電子メールで配布されている。さらに、2024 年には、さまざまな関連トピックに関する全職員向けの質疑応答セッションが頻繁に開催された。中間レビューは、達成目標および進行中の目標の伝達に利用されており、経営陣会議での詳細な開始プレゼンテーションから始まる、プロジェクトの事前評価に多大な努力が払われている。その後、同じプロジェクトは、経営陣会議で指導のために見直され、経営陣に提出されて最終決定される。これにより、経営陣は年間目標を明確に把握し、年間を通じてその達成状況をフォローアップすることができる。さらに、内部通報制度に関する別のコミュニケーションルートも設けられている。基本原則、関連定義、報告メカニズムについては、内部通報に関する ENISA の経営委員会決定 MB/2018/10 に記載されている。
Principle 15 – ENISA communicates with external parties about matters affecting the functioning of its internal control systems	原則 15 – ENISA は、内部統制システムの機能に影響を与える事項について、外部関係者とコミュニケーションを図る
The assessment concluded that this principle is present and functioning well. ENISA communicates its activities in a transparent way and in line with internal control principles. Moreover, ENISA has an up-to-date communication strategy and stakeholder strategy in place.	アセスメントの結果、この原則は満たされており、適切に機能していると結論付けられた。ENISA は、内部統制の原則に従って、その活動を透明性をもって伝達している。さらに、ENISA は、最新のコミュニケーション戦略およびステークホルダー戦略を策定している。
3.1.5. Assessment of the monitoring activities component	3.1.5. モニタリング活動要素の評価
The monitoring activities component consists of two principles, as presented below.	モニタリング活動要素は、以下の 2 つの原則で構成されている。
Principle 16 – ENISA selects, develops and conducts ongoing and/or separate assessments to ascertain whether the components of internal control are present and functioning	原則 16 – ENISA は、内部統制の構成要素が整備され、機能しているかどうかを検証するために、継続的および/または個別の評価を選択、開発、実施する。
The assessment concluded that this principle is present and functioning, but some improvement is needed, mainly in the area of timely follow-up of recommendations issued by internal controls.	評価の結果、この原則は存在し、機能しているものの、主に内部統制による勧告のタイムリーなフォローアップの分野において、いくつかの改善が必要であると結論付けられました。
Principle 17 – ENISA assesses and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management as appropriate	原則 17 – ENISA は、内部統制の欠陥をタイムリーに評価し、必要に応じて上級管理職を含む是正措置を担当する関係者に伝達する。
The assessment concluded that this principle is present and functioning, but the effectiveness of the monitoring of mitigation measures remains to be demonstrated.	この原則は存在し、機能していると評価されたが、緩和措置のモニタリングの有効性については、まだ実証されていない。
3.2. Conclusions of the assessment of internal control systems	3.2. 内部統制システムの評価結果
Weaknesses identified by ENISA’s internal and external auditors, respectively IAS and ECA ⁽⁷⁵⁾, are duly taken into account when assessing ENISA’s internal controls. In its 2024’s assessment, ENISA concluded that appropriate corrective actions have been internally	ENISA の内部監査人および外部監査人である IAS および ECA ⁽⁷⁵⁾ がそれぞれ指摘した弱点は、ENISA の内部統制の評価において適切に考慮されている。2024 年の評価において、ENISA は、IAS および ECA が指摘した監査所見に対処するための適切な是正措置が内部的に実施されていると結論付けた。
implemented to address the audit observations raised by IAS and ECA. In particular, the implementation of the enhanced cybersecurity support action which originally triggered the 2023 ECA’s qualified opinion on the legality and regularity of payments ⁽⁷⁶⁾ is, since late 2023, governed by a contribution agreement signed between DG CNECT and ENISA. This formal agreement adequately removed any legal barrier impeding a smooth and efficient operational deployment of the cybersecurity support action in order to best meet the requests and needs of the Member States.	特に、2023 年の ECA の支払いの合法性および適正性に関する限定的意見⁽⁷⁶⁾ のきっかけとなった、サイバーセキュリティ支援措置の強化の実施は、2023 年後半以降、DG CNECT と ENISA との間で締結された貢献協定によって規定されている。この正式な協定により、加盟国の要請やニーズに最善で対応するための、サイバーセキュリティ支援措置の円滑かつ効率的な運用展開を妨げる法的障害が適切に排除された。
3.3. Statement of the Manager in charge of risk management and internal control	3.3. リスクマネジメントおよび内部統制担当マネージャーの声明
The overall assessment shows that the internal controls at ENISA provide reasonable assurance that policies, processes, tasks and behaviours of the agency, taken together, facilitate its effective and efficient operation, help to ensure the quality of internal and external reporting, and help to ensure compliance with its regulations. That being said, some improvements are needed in certain areas, in order to increase effectiveness and ensure proper implementation of the internal controls in the future.	総合的な評価によると、ENISA の内部統制は、その政策、プロセス、業務、および行動が総合的に、機関の効率的かつ効果的な運営を促進し、内部および外部報告の品質の確保、ならびにその規制の遵守の確保に貢献していることを合理的に保証している。とはいえ、将来的に内部統制の有効性を高め、その適切な実施を確保するためには、特定の分野においていくつかの改善が必要だ。
I, the undersigned,	私、
Andreas MITRAKAS,	アンドレアス・ミトラカス
in charge of risk management and internal control within ENISA,	は、ENISA 内のリスクマネジメントおよび内部統制を担当する
In my capacity as Head of Unit for Executive Directors Office in charge of risk management and internal control, I declare that in accordance with ENISA’s Internal Control Framework, I have reported my advice and recommendations on the overall state of internal control in the Agency to the Executive Director.	私は、リスクマネジメントおよび内部統制を担当する事務局長室長として、ENISA の内部統制の枠組みに従い、機関の内部統制の全体的な状況に関する助言および勧告を事務局長に報告したことをここに宣言する。
I hereby certify that the information provided in the present Consolidated Annual Activity Report and in its annexes is, to the best of my knowledge, accurate, reliable and complete.	私は、本統合年次活動報告書およびその附属書に記載された情報は、私の知る限り、正確、信頼性が高く、完全であることをここに証明する。
Andreas Mitrakas	アンドレアス・ミトラカス
Head of Unit for Executive Directors Office	事務局長室ユニット長
⁽⁷⁵⁾For more details, please see also section “2.7. Assessment of audit and ex post evaluation results during the reporting year”	⁽⁷⁵⁾詳細については、「2.7. 報告年度における監査および事後評価の結果のアセスメント」も参照のこと。
⁽⁷⁶⁾For more details, please see also section “2.7.2. European Court of Auditors”	⁽⁷⁶⁾詳細については、「2.7.2. 欧州会計監査院」も参照のこと。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.08 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」の公表について

2025.07.12 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in ESG/CSR, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2025.07.11

欧州 ENISA NIS2の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル (2025.06.26)

こんにちは、丸山満彦です。

ENISAが、NIS2関連で２つの報告書を公表しています...

NIS2 Technical Implementation Guidance	NIS2 技術実施ガイダンス
This report provides technical guidance to support the implementation of the NIS2 Directive for several types of entities in the NIS2 digital infrastructure, ICT service management and digital providers sectors. The cybersecurity requirements for these entities are defined at EU level by Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024. ENISA’s guidance offers practical advice, examples of evidence, and mappings of security requirements to help companies implement the regulation.	この報告書は、NIS2 デジタルインフラストラクチャ、ICT サービス管理、およびデジタルプロバイダセクターのいくつかの種類の事業体における NIS2 指令の実施を支援するための技術ガイダンスを提供するものだ。これらの事業体に対するサイバーセキュリティ要件は、2024 年 10 月 17 日付の欧州委員会実施規則 (EU) 2024/2690 で EU レベルで定義されている。ENISA のガイダンスは、企業が規則の実施を支援するための実践的なアドバイス、証拠の例、セキュリティ要件のマッピングを提供している。

Cybersecurity roles and skills for NIS2 Essential and Important Entities	NIS2 の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル
ENISA in line with articles 6 and 10 of the Cybersecurity Act , prepared this guidance document on the skills and roles for the cybersecurity professionals needed to meet these legal requirements effectively. The guidance is based on the European Cybersecurity Skills Framework (ECSF) , the EU’s reference framework for defining and assessing cybersecurity skills for professionals as mentioned in the Communication on the Cybersecurity Skills Academy.	ENISA は、サイバーセキュリティ法の第 6 条および第 10 条に基づき、これらの法的要件を効果的に満たすために必要なサイバーセキュリティ専門家のスキルと役割に関するガイダンス文書を作成した。このガイダンスは、サイバーセキュリティスキルアカデミーに関するコミュニケーションで言及されている、専門家のサイバーセキュリティスキルを定義および評価するための EU の参照枠組みである欧州サイバーセキュリティスキル枠組み（ECSF）に基づいている。

次に、NIS2 NIS2 の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル

● ENISA

・2025.06.26 Cybersecurity roles and skills for NIS2 Essential and Important Entities

・[PDF]

・[DOCX][PDF] 仮訳

目次...

1. INTRODUCTION	1. 序論
1.1 PURPOSE AND TARGET AUDIENCE	1.1 目的と対象読者
1.1.1 Purpose	1.1.1 目的
1.1.2 Target Audience	1.1.2 対象読者
1.2 DOCUMENT STRUCTURE	1.2 文書構成
2. NIS2 OBLIGATIONS	2. NIS2の義務
2.1 ARTICLE 21: CYBERSECURITY RISK-MANAGEMENT MEASURES	2.1 第21条：サイバーセキュリティリスクマネジメント対策
2.2 ARTICLE 23: REPORTING OBLIGATIONS	2.2 第23条：報告義務
3. USE CASES	3. ユースケース
3.1 SCENARIO 1: NIS2 IMPLEMENTATION OF CYBERSECURITY RISK MEASURES	3.1 シナリオ1：NIS2によるサイバーセキュリティリスク対策の実施
3.1.1 Introduction	3.1.1 序論
3.1.2 Organisational Tasks	3.1.2 組織の課題
3.1.3 Strategical organisational alignment and Resource allocation	3.1.3 戦略的組織調整と資源配分
3.1.4 Summary	3.1.4 概要
3.2 SCENARIO 2: NIS2 IMPLEMENTATION FOR POST-INCIDENT RESPONSE AND REPORTING	3.2 シナリオ2：インシデント発生後の対応と報告のためのNIS2の導入
3.2.1 The Team	3.2.1 チーム
3.2.2 Organisational Alignment and Implementation through Resource Allocation	3.2.2 リソース配分による組織の調整と実施
3.2.3 Summary	3.2.3 概要
4. DETAILED MAPPING OF ECSF AND NIS2	4 .ECSFとNIS2の詳細なマッピング
4.1 MAPPING BENEFITS	4.1 利点のマッピング
ANNEX I: METHODOLOGY	附属書 I：方法論

・エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The national transpositions of the NIS2 Directive^[1] are going to affect tens of thousands of entities^[2] across the European Union (EU), many of which are facing new legal requirements for the first time and will need to address new staffing needs to ensure compliance^[3].	NIS2指令^[1] の各国への移管は、欧州連合（EU）全域の何万もの事業体^[2] に影響を与え、その多くが初めて新たな法的要件に直面し、コンプライアンス^[3] を確保するために新たな人材ニーズに対応する必要がある。
For organisations — especially medium sized enterprises — translating legal requirements into clear tasks for their workforce is a major challenge. They are asking questions such as the following:	組織（特に中堅エンタープライズ）にとって、法的要件を従業員の明確なタスクに変換することは大きな課題である。彼らは次のような疑問を抱いている：
• Which roles and skills are needed to meet these requirements?	• これらの要件を満たすには、どのような役割とスキルが必要か？
• Which step-by-step approach can guide my organisation in implementing the necessary organisational, workforce, and strategic planning?	• 必要な組織計画、人材計画、戦略計画を実施するために、どのような段階的アプローチが組織を導いてくれるのか？
For EU Member States, ensuring compliance with the NIS2 Directive is not just about drafting legislation — it’s important to set up the right conditions so these laws can be put into practice effectively. Competent authorities must translate regulatory obligations into clear policies, capacity-building initiatives, and workforce strategies that empower both the public and private sectors to meet cybersecurity requirements.	EU加盟国にとって、NIS2指令へのコンプライアンスを確保することは、単に法律を起草することではなく、これらの法律が効果的に実践されるように、適切な条件を整えることが重要である。認可当局は、規制上の義務を明確な政策、能力開発イニシアティブ、および官民両部門がサイバーセキュリティ要件を満たすための労働力戦略に転換しなければならない。
To help overcome these challenges, ENISA in line with articles 6 and 10 of the Cybersecurity Act^[4], prepared this guidance document on the skills and roles for the cybersecurity professionals needed to meet these legal requirements effectively. The guidance is based on the European Cybersecurity Skills Framework (ECSF)^[5], the EU’s reference framework for defining and assessing cybersecurity skills for professionals as mentioned in the Communication on the Cybersecurity Skills Academy^[6].	このような課題を克服するために、ENISA はサイバーセキュリティ法（^[4] ）の第 6 条と第 10 条に基づき、これらの法的要件を効果的に満たすために必要なサイバーセキュリティ専門家のスキルと役割に関する本ガイダンス文書を作成した。本ガイダンスは、サイバーセキュリティ・スキル・アカデミーに関するコミュニケーション^[5] で言及された、専門家のサイバーセキュリティ・スキルを定義し、アセスメントするための EU の参照枠組みである欧州サイバーセキュリティ・スキルフレームワーク）^[6] に基づいている。
This guidance presents a detailed mapping between the obligations outlined in the NIS2 Directive and the ECSF role profiles. It focuses exclusively on essential and important entities covered by the directive. Each role is mapped to its specific tasks, assisting entities in understanding what personnel capabilities are required to fulfil these obligations successfully. The detailed connections aim to guide entities in deploying the right team members to adhere to these standards.	このガイダンスは、NIS2 指令に概説されている義務と ECSF の役割プロファイルとの間の詳細なマッピングを提示している。指令の対象となる必須事業体および重要事業体のみに焦点を当てている。各役割は具体的な業務にマッピングされており、事業体がこれらの義務を成功裏に果たすためにはどのような人材能力が必要かを理解するのに役立つ。詳細なつながりは、事業体がこれらの標準を遵守するために適切なチームメンバーを展開する際の指針となることを目的としている。
Additionally, this guidance acts as a valuable resource for Member States, assisting them in evaluating and improving the cybersecurity preparedness of essential and important entities. It clarifies key deliverables, highlights opportunities for cross-role collaboration, and ensures that cybersecurity skills are strategically aligned with the NIS2 Directive’s risk management, incident responding and reporting requirements.	さらに、このガイダンスは加盟国にとって貴重なリソースとして機能し、必須事業体や重要事業体のサイバーセキュリティ態勢の評価と改善を支援する。主要な成果物を明確にし、、役割横断的な協力の機会を強調し、サイバーセキュリティのスキルがNIS2指令のリスクマネジメント、インシデント対応、報告要件と戦略的に整合していることを保証する。
At its core, this initiative supports the vision of a secure and resilient Europe, where a skilled and well-prepared cybersecurity workforce plays a vital role in maintaining regulatory compliance and operational strength. In an era of increasingly complex threats, this effort is a step toward building a trusted and cyber-secure future for the EU.	このイニシアチブの核心は、安全でレジリエンスの高い欧州というビジョンを支援することであり、そこでは、熟練した十分な準備の整ったサイバーセキュリティ人材が、規制遵守と業務強度の維持に重要な役割を果たしている。脅威がますます複雑化する時代において、この取り組みは、EUが信頼され、サイバーセキュアな未来を築くための一歩である。

^[1] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance) (OJ L 194, 19.7.2016, pp. 1–30, ELI:[web]	[1]欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する2022年12月14日付欧州議会および理事会指令（EU）2022/2555、規則（EU）No 910/2014および指令（EU）2018/1972を改正し、指令（EU）2016/1148（NIS2指令）を廃止するもの（EEA関連文書）（OJ L 194, 19.7.2016, pp.1–30, ELI:[web]
^[2] Compared to NIS1, the NIS2 Directive introduces several new sectors, including waste water, space, public administration, ICT service management (business-to-business), postal and courier services, and waste management, among others — bringing the total to 18 sectors across essential and important entities. [web]	^[2]NIS1と比較して、NIS2指令は、廃水、宇宙、公共行政、ICTサービス管理（企業間）、郵便・宅配便サービス、廃棄物管理など、いくつかの新しいセクターを導入しており、必須事業体および重要事業体全体で合計18セクターとなる[web] 。
^[3] According to ENISA’s NIS Investments 2024 report, a significant 89% of surveyed organisations reported that they will require additional cybersecurity staff to comply with NIS 2. [web]	^[3]ENISAのNIS Investments 2024報告書によると、調査対象組織の89%が、NIS 2に準拠するためにサイバーセキュリティ担当者の増員が必要になると回答している。[web]
^[4] Cybersecurity Act of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, pp. 15–69, ELI: [web]	^[4]ENISA（欧州連合サイバーセキュリティ機関）および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日の欧州議会および理事会のサイバーセキュリティ法および規則（EU）No 526/2013（サイバーセキュリティ法）の廃止（OJ L 151, 7.6.2019, pp.15-69, ELI: [web]）
^[5] ENISA (2022): [web]	^[5]ENISA (2022): [web]
[6] Communication from the Commission to the European Parliament and the Council – Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience (‘The Cybersecurity Skills April 2023, [web] Academy’), COM(2023/207) final of 18	^[6] 欧州委員会から欧州議会および理事会へのコミュニケーション – EU の競争力、成長、レジリエンスを強化するためのサイバーセキュリティ人材のギャップの解消（「サイバーセキュリティスキルアカデミー」）、COM(2023/207) 最終版、2023 年 4 月 18 日、 [web]

2025.07.11 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.10

欧州 ENISA NIS2 技術実施ガイダンス (2025.06.26)

こんにちは、丸山満彦です。

ENISAが、NIS2関連で２つの報告書を公表しています...

NIS2 Technical Implementation Guidance	NIS2 技術実施ガイダンス
This report provides technical guidance to support the implementation of the NIS2 Directive for several types of entities in the NIS2 digital infrastructure, ICT service management and digital providers sectors. The cybersecurity requirements for these entities are defined at EU level by Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024. ENISA’s guidance offers practical advice, examples of evidence, and mappings of security requirements to help companies implement the regulation.	この報告書は、NIS2 デジタルインフラストラクチャ、ICT サービス管理、およびデジタルプロバイダセクターのいくつかの種類の事業体における NIS2 指令の実施を支援するための技術ガイダンスを提供するものだ。これらの事業体に対するサイバーセキュリティ要件は、2024 年 10 月 17 日付の欧州委員会実施規則 (EU) 2024/2690 で EU レベルで定義されている。ENISA のガイダンスは、企業が規則の実施を支援するための実践的なアドバイス、証拠の例、セキュリティ要件のマッピングを提供している。

Cybersecurity roles and skills for NIS2 Essential and Important Entities	NIS2 の必須事業体および重要事業体におけるサイバーセキュリティの役割とスキル
ENISA in line with articles 6 and 10 of the Cybersecurity Act , prepared this guidance document on the skills and roles for the cybersecurity professionals needed to meet these legal requirements effectively. The guidance is based on the European Cybersecurity Skills Framework (ECSF) , the EU’s reference framework for defining and assessing cybersecurity skills for professionals as mentioned in the Communication on the Cybersecurity Skills Academy.	ENISA は、サイバーセキュリティ法の第 6 条および第 10 条に基づき、これらの法的要件を効果的に満たすために必要なサイバーセキュリティ専門家のスキルと役割に関するガイダンス文書を作成した。このガイダンスは、サイバーセキュリティスキルアカデミーに関するコミュニケーションで言及されている、専門家のサイバーセキュリティスキルを定義および評価するための EU の参照枠組みである欧州サイバーセキュリティスキル枠組み（ECSF）に基づいている。

まずは、NIS2 技術実施ガイダンス

● ENISA

・2025.06.26 NIS2 Technical Implementation Guidance

・[PDF]

・[DOCX] [PDF] 仮訳

参考となっていますが...

Commission Implementing Regulation (EU) 2024/2690 of 17.10.2024 (Annex)と

ISO standard 27001:2022
NIST Cybersecurity Framework v2.0
ETSI Standard EN 319 401 V3.1.1
CEN/TS 18026:2024
BE-CyFun®2023
FI-Kybermittari
EL- Ministerial decision 1689/2025
ENS-Royal Decree 311/2022
FR

とのマッピング表がありますね...

・[EXSX] ENISA_Technical_Implementation_Guidance_Mapping_table_version_1.0

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.19 欧州 NIS2 指令条文 (2022.12.27)

2025.07.10 00:00 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2025.07.09

欧州 ENISA マネージドセキュリティサービス市場分析 (2025.06.24)

こんにちは、丸山満彦です。

ENISAがマネージドセキュリティサービス (MSS) について「需要側」と「供給側」の両面からMSS市場の特徴を評価するための分析した報告書を公表していますね...

マネージドセキュリティサービス (MSS) は、

インシデントハンドリング、侵入テスト、セキュリティ監査、技術サポートに関連する専門家の助言を含むコンサルティングなど、サイバーセキュリティリスク管理に関連する活動の実施または支援からなるサードパーティに提供されるサービス。

のことで、

検討した範囲には、

サービスのサイバーセキュリティ関連特性、サイバーセキュリティ要件、脅威エクスポージャー、市場動向のほか、市場の主な利害関係者に関する人口統計学的情報

も含まれていますね...

結論的な話...

需要側の投資動向から、ほとんどの事業体が予算の10％未満しかMSSに割り当てていないことが明らかになった。
需要側ではハイブリッドソリューションが好まれ、定期的な調達見直しが行われていることから、安定性と適応性のバランスがとれており、セキュリティ投資が長期的な運用ニーズに合致していることがうかがえる。
MSS導入の主な障壁としては、コストへの懸念、社内の専門知識の不足、サービス・レベル・アグリーメント（SLA）のカスタマイズに関するプロバイダ関連の問題、技術的・プロセス的統合の課題などが挙げられる。
法規制の導入は依然としてプロバイダ主導であり、情報セキュリティ・マネジメント・システムや品質システムなどの枠組みへの投資が増えている。需要側では、情報セキュリティマネジメントシステムの監査やサプライヤとの関係管理など、特定の分野への取り組みが強化されており、的を絞った規制アプローチを反映している。
サイバー脅威に対する認識は利害関係者によって異なり、MSSの導入と実施におけるギャップにつながっている。これは、脅威管理戦略の盲点を生み、最終的に全体的なレジリエンスに影響を及ぼす。
現在のMSS適用可能な規制枠組みは、検知やレスポンスの仕組みといった技術的な管理を重視しており、ガバナンスの問題は二の次である。しかし、運用プロセスの採用には、需要と供給の間にギャップがある。これは、技術的な実装と運用セキュリティガバナンスの間に不均衡を生む可能性がある。後者は、長期的なレジリエンスとサービスパフォーマンスに必要な場合が多い。

興味深い報告書だと思います...

● ENISA

・2025.06.24 Managed Security Services Market Analysis

Managed Security Services Market Analysis	マネージドセキュリティサービス市場分析
This report addresses the market for Managed Security Services (MSS) on both the demand and the supply side. It addresses MSS usage patterns, compliance and skills certification, threats, requirements, incidents and challenges relating to MSS, along with MSS market and research trends.	本レポートは、マネージドセキュリティサービス（MSS）市場を需要側と供給側の両面から分析しています。MSSの利用パターン、コンプライアンスとスキル認定、脅威、要件、インシデント、およびMSSに関連する課題に加え、MSS市場と研究動向についても取り上げている。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

Exective Summary	エグゼクティブサマリー
1. INTRODUCTION	1. 序論
1.1 AIM OF THE REPORT	1.1 報告書の目的
1.2 LEGAL AND POLICY CONTEXT	1.2 法的および政策的背景
1.3 SCOPING MSS	1.3 MSSのスコープ
1.4 ENISA SURVEY ON MSS	1.4 MSSに関するENISA調査
1.5 TARGET AUDIENCE OF THE REPORT	1.5 報告書の対象読者
1.6 STRUCTURE OF THE REPORT	1.6 レポートの構成
2. DEMOGRAPHICS OF THE STAKEHOLDERS INVOLVED	2. 関係者の属性
2.1 OVERVIEW OF DEMOGRAPHICS FOR DEMAND, SUPPLY AND REGULATORS	2.1 需要、供給、規制当局の人口統計の概要
2.2 FINANCIAL DEMOGRAPHICS	2.2 財務統計
3. MSS USAGE PATTERNS	3. MSSの利用パターン
3.1 USAGE PATTERNS OF SUPPLY AND DEMAND	3.1 需要と供給の利用パターン
4. COMPLIANCE AND SKILLS CERTIFICATIONS	4. コンプライアンスとスキル認証
4.1 RELEVANT REQUIREMENTS, REGULATIONS, STANDARDS AND FRAMEWORKS	4.1 関連要件、規制、標準、枠組み
4.2 SKILLS AND COMPETENCES	4.2 スキルと能力
5. THREATS, REQUIREMENTS, INCIDENTS AND CHALLENGES	5. 脅威、要件、インシデント、課題
5.1 MARKET THREATS, CHALLENGES AND REQUIREMENTS FOR MSS	5.1 MSSに対する市場の脅威、課題、要件
5.2 INCIDENTS AND INCIDENT REPORTING	5.2 インシデントとインシデント報告
6. MSS MARKET AND RESEARCH TRENDS	6. MSS 市場と研究動向
6.1 MSS MARKET EVOLUTION	6.1 MSS市場の進化
6.2 MSS MARKET BARRIERS	6.2 MSS市場の障壁
6.3 MSS INNOVATION IDEAS	6.3 MSSイノベーションのアイデア
7. CONCLUDING REMARKS	7. 結論
7.1 MAIN MARKET FEATURES AND TRENDS	7.1 市場の主な特徴と傾向
7.2 MAIN GAPS	7.2 主なギャップ
7.3 MAIN BARRIERS	7.3 主要な障壁
7.4 MAIN POINTS WITH REGULATORY RELEVANCE	7.4 規制関連の主なポイント
7.5 MAIN RESEARCH TRENDS	7.5 主要な研究動向
ANNEX A: COMPLIANCE AND SKILLS	附属書A：コンプライアンスとスキル
ANNEX B: REQUIREMENTS	附属書B：要求事項
ANNEX C: MARKET RESEARCH AND INNOVATION	附属書C：市場調査とイノベーション
ANNEX D: ABBREVIATIONS	附属書D：略語

エグゼクティブサマリー...

Exective Summary	エグゼクティブサマリー
Managed security services (MSS) are continuing to gain in importance in relation to enhancing cybersecurity levels for almost all types of customers, from small to large organisations and from the public to the private sector, and for all types of infrastructure, from commercial to critical. The MSS market is important for the internal market of the European Union (EU), as shown by a dedicated amendment to the Cybersecurity Act (CSA) ([1]) to clarify the definition and an ongoing request to develop a candidate certification scheme. MSS are a focus of the European Commission and the Member States. In a situation of increasing infrastructure complexity, MSS are seen as an important tool in mastering cybersecurity challenges and enhancing cybersecurity cyber resilience in the EU.	マネージドセキュリティサービス（MSS）は、小規模組織から大規模組織まで、公共部門から民間部門まで、また、商業的なものから重要なものまで、あらゆる種類のインフラまで、ほとんどすべての顧客のサイバーセキュリティレベルの強化に関連して、重要性を増し続けている。MSS市場は欧州連合（EU）の輸入事業者にとっても重要であり、サイバーセキュリティ法（CSA）（[1] ）の定義を明確にするための改正や、認証スキームの候補を開発するための継続的な要請が行われている。MSSは欧州委員会と加盟国の焦点である。インフラが複雑化する中、MSSは、サイバーセキュリティの課題を克服し、EUのサイバーセキュリティ・サイバーレジリエンスを強化するための重要なツールと考えられている。
This report addresses the market for MSS on both the demand and the supply side. It addresses MSS usage patterns, compliance and skills certification, threats, requirements, incidents and challenges relating to MSS, along with MSS market and research trends.	本報告書では、MSSの市場を需要と供給の両面から取り上げている。MSSの利用パターン、コンプライアンスとスキル認定、脅威、要件、インシデント、MSSに関連する課題を、MSS市場と調査動向とともに取り上げている。
The aim of this analysis is to assess the characteristics of the MSS market to the benefit of various stakeholders who will find this information useful for their plans. At the same time, its aim is to deliver market-related data in support of other activities within the EU, such as the CSA amendment and the EU Cybersecurity Reserve provided for in the Cyber Solidarity Act ([2]), within the scope of the European Union Agency for Cybersecurity’s (ENISA) role therein. For the purpose of this work, internal and external synergies were established.	この分析の目的は、MSS市場の特徴を評価することであり、この情報を計画に役立てようとする様々な利害関係者にとって有益なものとなる。同時に、その目的は、サイバーセキュリティに関する欧州連合機関（ENISA）の役割の範囲内で、CSAの改正やサイバー連帯法（[2] ）に規定されたEUサイバーセキュリティ準備金など、EU内の他の活動を支援する市場関連データを提供することである。この作業のために、内的および外的な相乗効果が確立された。
For this analysis, ENISA performed primary research, i.e. a survey involving the main stakeholder types in the MSS ecosystem by means of dedicated questionnaires. The survey was disseminated via ENISA’s social media channels and the ENISA website to all related European Commission and Member State groups, and also via direct emails. A number of replies were collected via the survey. However, as the data collected, especially from the demand side, are limited in comparison to the entire existing demand and supply of MSS, it is not possible to provide complete assurance that the dataset used for the analysis is representative of the MSS needs of all Member State organisations.	この分析のために、ENISAは一次調査、すなわち専用の質問票によるMSSエコシステムの主要な利害関係者を対象とした調査を実施した。このアンケートは、ENISAのソーシャルメディア・チャンネルおよびENISAのウェブサイトを通じて、欧州委員会および加盟国の関連グループすべてに周知され、また直接電子メールでも送信された。アンケートを通じて多数の回答が寄せられた。しかし、収集されたデータ、特に需要側からのデータは、MSSの既存の需要と供給全体と比較すると限定的であるため、分析に使用されたデータセットがすべての加盟国組織のMSSニーズを代表するものであるという完全な保証を提供することはできない。
Qualitative checks of the data collected from the survey and validation of the findings were carried out via desk research.	調査から収集したデータの定性的チェックと調査結果の妥当性確認は、机上調査によって実施した。
Although international organisations participated in the ENISA survey, the main geographical focus of the report remains the EU.	ENISAの調査には国際機関も参加したが、本報告書の主な対象地域は依然としてEUである。
Among the conclusions drawn from this market analysis, the following can be highlighted.	この市場分析から導き出された結論のうち、以下の点を強調することができる。
• Investment trends from the demand side reveal that most entities allocate less than 10 % of their budget to MSS.	• 需要側の投資動向から、ほとんどの事業体が予算の10％未満しかMSSに割り当てていないことが明らかになった。
• The preference for hybrid solutions on the demand side and periodic procurement reviews suggests a balance between stability and adaptability, ensuring security investments align with long-term operational needs.	• 需要側ではハイブリッドソリューションが好まれ、定期的な調達見直しが行われていることから、安定性と適応性のバランスがとれており、セキュリティ投資が長期的な運用ニーズに合致していることがうかがえる。
• The main barriers to MSS adoption include cost concerns, a lack of internal expertise, provider-related issues regarding the customisation of service level agreements (SLAs) and challenges with technical and process integration.	• MSS導入の主な障壁としては、コストへの懸念、社内の専門知識の不足、サービス・レベル・アグリーメント（SLA）のカスタマイズに関するプロバイダ関連の問題、技術的・プロセス的統合の課題などが挙げられる。
• Regulatory adoption remains supplier driven, with service providers investing more in frameworks such as information security management systems and quality systems. The demand side exhibits stronger engagement in specific areas such as information security management system auditing and supplier relationship management, reflecting a targeted regulatory approach.	• 法規制の導入は依然としてプロバイダ主導であり、情報セキュリティ・マネジメント・システムや品質システムなどの枠組みへの投資が増えている。需要側では、情報セキュリティマネジメントシステムの監査やサプライヤとの関係管理など、特定の分野への取り組みが強化されており、的を絞った規制アプローチを反映している。
• The perception of cyber threats varies among stakeholders, leading to gaps in the adoption and implementation of MSS. This creates blind spots in threat management strategies, ultimately affecting overall resilience.	• サイバー脅威に対する認識は利害関係者によって異なり、MSSの導入と実施におけるギャップにつながっている。これは、脅威管理戦略の盲点を生み、最終的に全体的なレジリエンスに影響を及ぼす。
• Current MSS-applicable regulatory frameworks emphasise technical controls, such as detection and response mechanisms, with a secondary emphasis on governance issues. However, there is a gap in the adoption of operational processes between demand and supply. This may generate imbalances between technical implementation and operations security governance, the latter of which is often necessary for long-term resilience and service performance.	• 現在のMSS適用可能な規制枠組みは、検知やレスポンスの仕組みといった技術的な管理を重視しており、ガバナンスの問題は二の次である。しかし、運用プロセスの採用には、需要と供給の間にギャップがある。これは、技術的な実装と運用セキュリティガバナンスの間に不均衡を生む可能性がある。後者は、長期的なレジリエンスとサービスパフォーマンスに必要な場合が多い。

^[1] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act), OJ L 151, 7.6.2019, p. 15, [web].	^[1] ENISA（欧州連合サイバーセキュリティ機関）および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日付欧州議会および理事会規則（EU）2019/881および規則（EU）No 526/2013（サイバーセキュリティ法）の廃止、OJ L 151, 7.6.2019, p. 15, [web].
^[2] Regulation (EU) 2025/38 of the European Parliament and of the Council of 19 December 2024 laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cyber threats and incidents and amending Regulation (EU) 2021/694 (Cyber Solidarity Act), OJ L, 2025/38, 15.1.2025, ELI: [web].	^[2] 2024年12月19日付欧州議会及び理事会規則（EU）2025/38は、サイバー脅威及びインシデントを検知、準備及び対応するための欧州連合の連帯及び能力を強化するための措置を定め、規則（EU）2021/694（サイバー連帯法）を改正するものであり、OJ L, 2025/38, 15.1.2025, ELI: [web].

2025.07.09 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2025.07.08

欧州 ENISA 年次報告書 - 2024年トラストサービス・セキュリティ・インシデント (2025.06.23)

こんにちは、丸山満彦です。

ENISAがトラストサービス・セキュリティインシデント 2024年を公表していました。。。今年で8年目でEU27カ国とEEA3カ国が参加しています。。。
2024年に通知された違反の集計概要を提供し、根本原因、統計、傾向を分析したもののようですね。。。

従来は12月ごろ（1年前の話）に報告をしていたのですが、今年は約半年で公表されていますね...（報告の遅い6カ国を待たずに報告をしているようです）

なお、分析はENISAのCIRAS（the Cybersecurity Incident Reporting and Analysis System）でみることができます...

各企業でこれから、サイバーダッシュボードを作成する企業が増えてくると思いますが、CIRASのダッシュボードを参考にしてもよいかもです...

● ENISA

・2025.06.23 Annual Report - Trust Services Security Incidents 2024

Annual Report - Trust Services Security Incidents 2024

年次報告書 - トラストサービスのセキュリティインシデント 2024

Every year national supervisory bodies must send annual summary reports about the notified breaches to ENISA and the Commission according to art 19 of the eIDAS regulation. This is the eighth round of reporting produced by ENISA, for the EU’s trust services sector, analysing root causes, statistics and trends. It is an aggregated overview of the reported breaches for 2024 as reported to ENISA by 21 EU Member States and 3 EFTA countries.

eIDAS 規則第 19 条に基づき、各国の監督機関は、報告された違反について、ENISA および欧州委員会に年次概要報告書を提出しなければならない。これは、ENISA が EU のトラストサービス部門について、根本原因、統計、傾向を分析した 8 回目の報告書である。これは、21 の EU 加盟国および 3 つの EFTA 諸国から ENISA に報告された 2024 年の報告された侵害の集計概要である。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

EXECUTIVE SUMMARY	エグゼクティブサマリー
1. INTRODUCTION	1.序論
1.1 SCOPE	1.1 範囲
1.2 EIDAS REGULATION	1.2 eIDAS規制
1.3 DISCLAIMER	1.3 免責事項
1.4 STRUCTURE	1.4 構造
2. INCIDENT REPORTING FRAMEWORK	2.インシデント報告の枠組み
2.1 OVERVIEW OF INCIDENT REPORTING PROCESS	2.1 インシデント報告プロセスの概要
2.2 INCIDENT REPORTING TOOL	2.2 インシデント報告ツール
2.3 ANONYMISED EXAMPLES OF SECURITY INCIDENTS	2.3 匿名化されたセキュリティインシデントの例
3. INCIDENT ANALYSIS	3.インシデント分析
3.1 ROOT CAUSE CATEGORIES	3.1 根本原因のカテゴリー
3.1.1 System Failures	3.1.1 システム障害
3.1.2 Human errors	3.1.2 ヒューマンエラー
3.1.3 Malicious actions	3.1.3 悪意ある行為
3.2 TECHNICAL CAUSES	3.2 技術的原因
3.3 SERVICES AFFECTED	3.3 影響を受けるサービス
3.4 ASSETS AFFECTED	3.4 影響を受ける資産
3.5 QUALIFIED SERVICES VERSUS NON-QUALIFIED SERVICES	3.5 適格サービスと非適格サービス
4. MULTIANNUAL TRENDS 2017–2024	4.2017～2024年の複数年トレンド
4.1 ROOT CAUSE TRENDS	4.1 根本原因の傾向
4.2 IMPACT SEVERITY TRENDS	4.2 影響の重大性の傾向
4.3 IMPACT ON SERVICES TRENDS	4.3 サービスへの影響傾向
5 CONCLUSIONS	5 結論

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
Every year national supervisory bodies must send annual summary reports about the notified breaches to ENISA and the Commission according to art 19 of the eIDAS[1] regulation.	各国の監督団体は、eIDAS[1] 規則の第19条に従い、ENISAおよび欧州委員会に対し、毎年、被認定違反に関する年次報告書を送付しなければならない。
Highlights 2024	ハイライト 2024
System failures account for more than half of incidents and have been the dominant root cause for the last 8 years of incident reporting.	システム障害がインシデントの半数以上を占め、過去8年間のインシデント報告の主な根本原因となっている。
Malicious actions is the most impactful root cause in terms of user hours lost with more than 92% of all user hours lost attributed to this root cause.	悪意のある行為は、ユーザー損失時間の点で最も影響力のある根本原因であり、全ユーザー損失時間の92％以上がこの根本原因によるものである。
This is the eighth round of reporting produced by ENISA, for the EU’s trust services sector, analysing root causes, statistics and trends. It is an aggregated overview of the reported breaches for 2024 as reported to ENISA by 21 EU Member States and 3 EFTA countries.	これは、ENISAがEUのトラストサービス部門向けに作成した、根本原因、統計、傾向を分析した第8回目の報告である。これは、EU加盟国21カ国およびEFTA加盟国3カ国からENISAに報告された、2024年に報告された違反の概要をまとめたものである。
In 2024, a total of 44 incidents were reported by these countries.	2024年には、これらの国から合計44件のインシデントが報告された。
Key findings from the 2024 incident reports are summarised in the following list of points.	2024年のインシデント報告から得られた主な知見は、以下のリストにまとめられている。
• Half of the EU supervisory bodies (SBs) – 12 out of 24 – sent their respective reports with 0 incidents reported.	• EUの監督団体（SB）の半数（24カ国中12カ国）は、報告されたインシデントが0件であったとして、それぞれの報告書を送付した。
• Reported incidents decreased to 44, compared to 63 in 2023. However, it should be noted that in 2023 there were 6 more MS reporting incidents.	• 報告されたインシデントは、2023年の63件から44件に減少した。しかし、2023年にはインシデントを報告したMSが6つ多かったことに留意すべきである。
• The distribution of incidents remains similar percentage-wise compared to 2023 with system fail taking the major cut at 63% (64% in 2023), human error 23% (same for 2023) and malicious actions 14% (same for 2023).	• インシデントの分布は、システム障害が63％（2023年は64％）、人為的ミスが23％（2023年も同じ）、悪意ある行為が14％（2023年も同じ）となっており、2023年と比較すると、割合的にはほぼ同じである。
• The overall impact of the incidents amounted to 618 million user hours lost which is a decrease of 5 times compared to 3 184 million user hours lost in 2023[2].	• インシデントによる全体的な影響は6億1,800万ユーザー時間の損失で、2023年の31億8,400万ユーザー時間の損失と比べると5分の1に減少している[2] 。
• Malicious actions are the most impactful root cause with 571 million user hours lost with over 92% of all hours lost, which is a decline compared to 2023 where we had 98% of all hours lost (3140 million).	• 悪質な行為による影響が最も大きく、5億7,100万時間が失われ、全喪失時間の92%以上を占めた。2023年には全喪失時間の98%（3億1,400万時間）が失われたが、それと比べて減少している。

• In terms of impact, large incidents continue to raise	• 影響という点では、大規模なインシデントが引き続き増加している。


^[1] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC: [web]	^[1] 2014年7月23日付欧州議会および理事会規則（EU）第910/2014号「域内市場における電子取引のための電子的本人確認およびトラストサービスに関する規則であり、指令1999/93/ECを廃止するもの」 [web]
[2] Please, take into consideration that we have 6 member states less reporting at the time of writing of the report than what was on 2023	[2] 報告書作成時点では、2023年時点よりも6加盟国の報告が少ないことを考慮されたい。

ダッシュボード

・CIRAS incident reporting

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.29 ENISA 年次報告書 - 2023年トラストサービス・セキュリティ・インシデント (2024.12.20)

・2023.12.09 ENISA トラストサービス・セキュリティインシデント 2022年 (2023.11.30)

2025.07.08 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2025.07.07

欧州 ENISA EUサイバーセキュリティ指数 (EU-CUI) 2024 (2025.06.17)

こんにちは、丸山満彦です。

ENISAが、EUサイバーセキュリティ指数 (EU-CSI) の2024年版を公表していますね...EUサイバーセキュリティ指数 (EU-CSI)は、加盟国とEUのサイバーセキュリティ態勢を示すものとして、ENISAが開発したものですね...

この報告書の目的は...

・2024年12月に発行されたEUのサイバーセキュリティ状況に関する最初の報告書の分析に使用された、2024年EUサイバーセキュリティ指数（EU-CSI）のEUレベルの主要な洞察を提示すること。

・ENISAと加盟国が実施してきた作業を評価するとともに、2026年の次回のEU-CSI発行に向けた基盤を構築すること。

ということのようです...

まず、EUサイバーセキュリティ指数（EU-CSI）ですが...

加盟国と EU のサイバーセキュリティ態勢を説明するツールで、

・サイバーセキュリティの成熟度と能力に関する洞察を提供する

・加盟国間の相互学習の機会を提供する

に役立ち、

・NIS2 指令の第 18 条に規定されている、EU 全体のサイバーセキュリティ能力およびリソースの成熟度の定量的・定性的評価の基礎

となるものですね...

2年ごとにおこなわれるようです...

階層構造を持つ複合指標を単一の値に統合することで、直接測定できない多次元的な概念を定量化するもので、0 から 100 までのスコアで評価されます...

EU-CSIは、OECD/JRCの「複合指標の構築に関するハンドブック」のガイドラインと勧告に従って、ENISA国家連絡官（NLO）ネットワークに代表される加盟国と協力してENISAが開発し、実施していますね...

得られた洞察は...

EU全体の指数値は62.65で、加盟国ごとのばらつきはそれほど大きくない。

サイバーセキュリティ能力分野	社会が脅威を認識し、サイバーセキュリティ・インシデントを防止する能力を測る	64.51
サイバーセキュリティの市場/産業分野	サイバー脅威を予防、検知、分析する民間セクターの能力を測る	62.36
サイバーセキュリティ・オペレーションの分野	加盟国のサイバーセキュリティ・オペレーションの実施能力とレジリエンスの確保を測る	57.63
サイバーセキュリティ政策分野	サイバーセキュリティ政策の策定と実施状況を測る	66.09

個別の指標に注目すると...

スコアの高い指標（EU平均スコアが最も高い5つの指標）

中小企業：セキュリティインシデント - 機密データの開示	EU の中小企業のほとんどは、機密データの漏洩につながるインシデント（侵入、ファーミング、フィッシング、自社の従業員による意図的または非意図的な行為など）を経験していない。	98.02
中小企業：セキュリティインシデント - データの破壊または破損	EUの中小企業のほとんどは、データの破壊や破損につながるインシデント（悪意のあるソフトウェアの感染、不正侵入、ハードウェアやソフトウェアの故障など）を経験していない。	94.99
大企業：セキュリティインシデント - 機密データの開示	EUの大企業のほとんどは、機密データの漏洩につながるインシデント（侵入、ファーミング、フィッシング、自社の従業員による意図的または非意図的な行為など）を経験していない	93.83
CSIRT の国際的な存在	EU 加盟国の CSIRT が FIRST メンバーであり、TI に登録/認定/認証されている	97.62
市民：インターネットの安全な利用	EU 内のユーザーがインターネットを利用するときの行動に関するもの	93.29

インシデントの経験が少ないというのは、認識されていないからという可能性もあると言っていますね...

スコアの低い指標（EU平均スコアが最も低い5つの指標）

ICT セキュリティに AI 技術を利用しているエンタープライズ		3.18
必須/重要事業体によるサイバーセキュリティへの投資		7.14
CSIRT 認証	この指標のスコアと加盟国間の整合性の双方を改善するための厳しい努力の必要性を強調している。	10.31
EU の研究開発資金	国ごとに付与されるEUの研究開発資金の配分を測定する指標	24.93
組織体：リスクアセスメント	サイバーセキュリティリスクアセスメントを実施している組織体を測定する指標	32.01

ENISAと加盟国は現在、2024年からの教訓を反映し、加盟国から寄せられたフィードバックを統合するために、EU-CSIのさらなる改良に取り組んでいて、一般からの意見も募集しているようです...

● ENISA

・2025.06.17 The EU Cybersecurity Index 2024

・[PDF]

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.09 欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書（2024）(2024.12.03)

・2024.06.22 OECD サイバーセキュリティ測定の新たな視点

2025.07.07 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.06

創建エース（東証スタンダード）の特別調査委員会が、2022年3月期で91％、2023年3月期で95％の売上の取消しが必要と報告 (2025.6.30)

こんにちは、丸山満彦です。

創建エース（東証スタンダード）の特別調査委員会が、2022年3月期で91％、2023年3月期で95％の売上の取消しが必要と報告していますね...

すごい金額です...

調査報告書 (downloaded) は外部公表用で70ページほどです...

前任の社長等が粉飾をおこなっていた可能性が高い感じですね...そして、創業者の関係者の現社長の関係会社から資金を借りる (downloaded) という状況になり、監理銘柄に指定 (downloaded) されていますね...

また、報告書の発表に先立ち、株主総会をもって監査人も交代 (downloaded) すると発表されていますね...

フォレンジックスについては、IDFの会員企業でもある、foxcale さんがやっていますね...

建設工事には多重下請け構造があるわけですが、その構造の中で、発注先と下請け先の間に入って資金提供をするという役回りを演じさせられるという構造ですかね...

会計監査をしているときに、同じような状況を発見しました。通常の売買取引ではなく、実態は金融取引ということで、売上と対応する売上原価を相殺し、残りを手数料（金利）として営業外費用にすることにしましたね...

その時は、

・間に入って実質的に何をしているのか？

・発注先と下請け先の関係はどうなっているのか（結託しているのか）？

ということを論点にして、確認しました。

見つけたきっかけは特定の事業者への売上と仕入れが急増していること、その取引の利益率が低いことから、通常ではない取引として、特に注意をして確認しないといけないなぁ...と思ったわけです（データ監査の走りです(^^)。エクセルでグラフを描いて上司に説明しました）。

調べると一級建築士を雇っていたものの、実態的には建設業務に関わる作業はほぼ何もしておらず、全ての作業の差配は下請け企業がしていたので、下請け企業から借入れて、発注先に貸付けている金融取引と判断しました...

登記簿等を取り寄せると、発注先と下請け先で役員が兼務してたりで、これは実態的に経済的に一体だということで、借入と貸付行為なので、借入と貸付行為として、稟議しないといけないという話をしました...

構造としては、今回の事案と同じ話です...

粉飾は、それぞれ独立していろいろな人がいろいろ頭を使って考えているのでしょうが、行き着く先がだいたい同じなので、場数を踏んでいる会計士であれば、だいたい見抜けるはずなんですよね...

そして、粉飾とか詐欺をする人って、繰り返すケースが多いんですよね...抜け出せない沼にはまったように...

創建エースが現在の社長のもとで、再建できることを祈念いたします...

● 創建エース

・2025.07.01 当社株式の監理銘柄（審査中）の指定に関するお知らせ

・2025.06.30 （開示事項の経過）資金の借入および関連当事者取引に関するお知らせ

・2025.06.30 特別調査委員会の調査報告書受領に関するお知らせ

・2025.06.27 2025年３月期有価証券報告書の提出期限延長申請の承認に関するお知らせ

・2025.06.27 2025 年３月期有価証券報告書の提出期限延長に関する承認申請書提出のお知らせ

・2025.06.23 公認会計士等の異動に関するお知らせ

・2025.06.23 公認会計士等の一部委任に関するお知らせ

・2025.06.23 2025年3月期有価証券報告書の提出期限延長申請の検討に関するお知らせ

・2025.06.12 第61回定時株主総会招集のための基準日設定に関するお知らせ

・2025.06.12 第61回定時株主総会の延期に関するお知らせ

・2025.05.30 （開示事項の経過）資金の借入および関連当事者取引に関するお知らせ

・2025.04.30 （開示事項の経過）資金の借入および関連当事者取引に関するお知らせ

1_20250705060801

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.06 日本公認会計士協会監査提言集 (2025年度版) 会員・準会員限定 (2025.07.01)

・2023.07.08 日本公認会計士協会「監査提言集」の公表について

・2008.12.07 ナナボシ監査法人損害賠償事件　大阪高裁で和解

・2008.08.08 経営者からの売上目標達成のプレッシャーが強い環境下では、架空売上のリスクが高まるが内部にいる人に他社よりプレッシャーが高いことを認識できるのでしょうか？

・2008.07.28 監査提言集から読み取る内部統制の文書化の限界・・・

・2008.07.22 JICPA 監査提言集

・2008.04.20 粉飾を見抜けなかった監査法人に損害賠償を認める判決

・2007.06.23 監査をめぐる雑誌の記事 (2) 「会計士が落ちた罠」

・2007.06.23 監査をめぐる雑誌の記事 (1) 「監査法人は四面楚歌」

2025.07.06 00:00 in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

日本公認会計士協会監査提言集 (2025年度版) 会員・準会員限定 (2025.07.01)

こんにちは、丸山満彦です。

監査提言集は、2008年から会員の監査業務遂行に際し参考となるよう調査事案を踏まえた提言を取りまとめたものとして、会員・準会員向けに毎年公表しています。（2023年までは一般用も公開していました...）

2025 年版の公表に際して、掲載事例、インサイダー取引や監査調書の管理等に関するコラムを複数追加しているということですが、会員、準会員でないと読めないです。。。

ただし、過去の一般用にも記載されている「17の提言」は、会計監査以外の内部監査、情報セキュリティ監査、システム監査、環境監査をしている方にも参考になる部分があると思いますので、参考まで2023年版（一般用）を共有しておきますね...

● 日本公認会計士協会

・2025.07.01 「監査提言集」の公表について（会員・準会員限定）

・[PDF] 監査提言集 (2025年版）

2023年一般用と2025年版はほぼ同じなので、公表されている2023年版の17の提言

リスク・アプローチに基づく監査においては、リスクの適切な識別・評価が決定的に重要である。
形式的な内部統制の評価は、リスクの適切な識別・評価に結びつかないことを理解する。
重要な虚偽表示リスクは、常時変化しているため、変化を見過ごさない。
業界慣行という言葉に捉われず、一般的なビジネスに関する知識や一般常識を踏まえることも必要である。
新規事業等への参入は、新たな重要な虚偽表示リスクを生み出すことがあることを理解する。
経営者の誠実性は先入観を持たずに検討する。
識別したリスクに対して、効果的な監査手続を具体的に検討する。
監査手続は納得感を得るまで慎重に実施し、必要な監査証拠を入手する。
入手した監査証拠の証明力の強弱を適切に評価する。
質問の回答を鵜呑みにせず、裏付けを入手する。
契約書等の証憑が揃っていることと、取引が実在することとは必ずしも同じでない場合があることを理解する。入出金の事実も過信しない。
投融資は、経済合理性だけでなく、事業上の合理性を吟味し、その内容を十分把握する。
損失処理することと重要な虚偽表示リスクが解消することとは別の問題であることを理解する。
会計基準の適用には、その設定趣旨を尊重した正しい理解が必要である。
連結子会社等にも虚偽表示リスクは親会社と同様に存在する。グループ全体と構成単位の環境の理解を深める。
時間的制約のある監査人交代は、監査リスクが著しく高いことがあることを理解する。
監査調書は、監査人の行為の正当性を立証する唯一のものである。監査調書は適時に作成し、適切に整理し保存する。

参考

一般用

監査提言集は積み重ねなのので、最新のを読めば、だいたい過去のもはいってい...

2023.07.03	「監査提言集」の公表について	[PDF]（一般用）
2022.07.01	「監査提言集」の公表について	[PDF]（一般用）
2021.07.01	「監査提言集」の公表について	[PDF]（一般用）
2020.07.01	「監査提言集」の公表について	[PDF]（一般用）
2019.07.01	「監査提言集」の公表について	[PDF]（一般用）
2018.07.02	「監査提言集」の公表について	[PDF]（一般用）
2017.07.03	「監査提言集」の公表について	[PDF]（一般用）
2016.07.01	「監査提言集」の公表について	[PDF]（一般用）
2016.01.27	「監査提言集(特別版)「財務諸表監査における不正への対応」」の公表について	[PDF]（特別版）
2015.07.01	「監査提言集」の公表について	[PDF]（一般用）
2014.07.01	「監査提言集」の公表について	[PDF]（一般用）
2013.07.01	「監査提言集」の公表について	[PDF]（一般用）
2012.07.03	「監査提言集」の公表について	[PDF]（一般用）
2011.07.01	「監査提言集」の公表について	[PDF]（一般用）
2010.07.01	「監査提言集」の公表について	[PDF]（一般用）
2009.10.07	「監査提言集」について	[PDF]

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.08 日本公認会計士協会「監査提言集」の公表について

・2008.07.28 監査提言集から読み取る内部統制の文書化の限界・・・

・2008.07.22 JICPA 監査提言集

Continue reading "日本公認会計士協会監査提言集 (2025年度版) 会員・準会員限定 (2025.07.01)"

2025.07.06 00:00 in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2025.07.05

米国 NIST CSWP 46 半導体サプライチェーンにおける共謀脅威の分析 (2025.06.30)

こんにちは、丸山満彦です。

NISTが、半導体サプライチェーンにおける共謀脅威の分析についてのホワイトペーパーを公表していますね...

「共謀」という現実的なポイントを押さえた白書で興味深いです...

経済産業省も「半導体デバイス工場におけるOTセキュリティガイドライン（案）」を公表し、意見募集しているところですね...

● NIST - ITL

・2025.06.30 NIST CSWP 46 Analyzing Collusion Threats in the Semiconductor Supply Chain

NIST CSWP 46 Analyzing Collusion Threats in the Semiconductor Supply Chain	NIST CSWP 46 半導体サプライチェーンにおける共謀脅威の分析
Abstruct	概要
This work proposes a framework for analyzing threats related to the semiconductor supply chain. The framework introduces a metric that quantifies the severity of different threats subjected to a collusion of adversaries from different stages of the supply chain. Two different case studies are provided to describe the real-life application of the framework. The metrics and analysis aim to guide security efforts and optimize the trade-offs of hardware security and costs.	この研究では、半導体サプライチェーンに関連する脅威を分析するための枠組みを提案している。この枠組みでは、サプライチェーンのさまざまな段階における敵対者による共謀によるさまざまな脅威の深刻度を定量化する指標を導入している。この枠組みの実際の適用例として、2 つのケーススタディを紹介している。この指標と分析は、セキュリティ対策の指針となり、ハードウェアのセキュリティとコストのトレードオフを最適化することを目的としている。

・[PDF] NIST.CSWP.46

・[DOCX][PDF] 仮訳

目次...

1. Introduction	1. 序論
2. Stages of Semiconductor Supply Chain Stages	2. 半導体サプライチェーンの段階
3. Framework for Supply Chain Threat Analysis	3. サプライチェーン脅威分析の枠組み
3.1. Identify the Intent of the Adversary	3.1. 敵の意図を識別する
3.2. Identify Hardware Threats	3.2. ハードウェアの脅威を識別する
3.3. Analyze Stages of Hardware Development Life Cycle for Exploitability of the Threat	3.3. 脅威の悪用可能性について、ハードウェア開発ライフサイクルの段階を分析する
3.4. Analyze the Effect of Collusion Among Adversaries in Different Stages	3.4. 異なる段階における敵対者間の共謀の効果を分析する
3.5. Identify Security-Critical Stages for the Respective Threat	3.5. 各脅威のセキュリティ上重要な段階を識別する
4. Case Study	4. ケーススタディ
4.1. Hardware Infiltration	4.1. ハードウェア侵入
4.2. IP Theft	4.2. 知的財産盗難
5. Conclusions and Future Work	5. 結論と今後の課題
References	参考文献

序論...

1. Introduction	1. 序論
There are numerous security challenges in the semiconductor supply chain. As most chip design companies have become fabless, they rely on offshore foundries for fabrication. This is especially true for the most advanced technology nodes, and the semiconductor supply shock in 2021 has manifested these supply chain security issues. In addition to availability uncertainty, there are many more nuanced security risks in the current semiconductor supply chain, such as IP theft, counterfeiting, Trojan insertion, and reverse engineering.	半導体のサプライチェーンには数多くのセキュリティ上の課題がある。ほとんどのチップ設計会社はファブレスとなり、製造はオフショア・ファウンドリーに依存している。これは特に最先端技術ノードに当てはまることであり、2021年の半導体供給ショックは、こうしたサプライチェーンのセキュリティ問題を顕在化させた。可用性の不確実性に加え、現在の半導体サプライチェーンには、IPの盗難、偽造、トロイの木馬の挿入、リバースエンジニアリングなど、より微妙なセキュリティリスクが数多く存在する。
In order to counteract these security risks, many types of solutions have been proposed, ranging from design to test phases of the supply chain. Numerous government-funded research programs have been established to develop countermeasures, such as the Defense Advanced Research Projects Agency (DARPA) Automated Implementation of Secure Silicon (AISS) program [1], the DARPA Structured Array Hardware for Automatically Realized Applications (SAHARA) program [2], the Naval Surface Warfare Center (NSWC) Crane State-of-the-Art Heterogeneous Integration Prototype (SHIP) program [3], the Air Force Research Laboratory (AFRL) Locked Electronics for Assured Design (LEAD) program [4], and the AFRL Aether Spy program [5], just to name a few, as addressing these security issues is crucial to national security. Dealing with such serious challenges necessitates directing security countermeasure initiatives in stages where the severity of the threat can be best diminished.	これらのセキュリティリスクに対抗するため、サプライチェーンの設計段階からテスト段階に至るまで、さまざまなソリューションが提案されている。対策の開発のために、国防高等研究計画局（DARPA）の「セキュアシリコンの自動実装（AISS）プログラム」[1]、DARPA の「自動実現アプリケーション用構造化アレイハードウェア（SAHARA）プログラム」[2]、海軍水上戦センター（NSWC）クレーン最先端異種統合プロトタイプ（SHIP）プログラム[3]、空軍研究実験所（AFRL）の「保証された設計のためのロックドエレクトロニクス（LEAD）」プログラム[4]、およびAFRLの「エーテルスパイ」プログラム[5]など、これらセキュリティ問題に対処することは国家安全保障上極めて重要であるため、数多くの政府資金による研究プログラムが設立されている。このような深刻な課題に対処するためには、脅威の深刻度を最も効果的に軽減できる段階で、セキュリティ対策の取り組みを段階的に進めることが不可欠である。
Supply chain threat analysis is an essential component of security research. The goals of such analysis are to 1) identify the different threats and related vulnerabilities associated with integrated circuits, 2) analyze how severe the threats become at different stages of the supply chain, and 3) quantify the severity of threats due to collusion among adversaries. The first thing to acknowledge before beginning any such analysis is that, while there are many threats and related vulnerabilities, not all of them can be exploited at every stage in the semiconductor supply chain. Threats vary in severity depending on the stage of supply chain.	サプライチェーンの脅威分析は、セキュリティ研究に不可欠な要素である。このような分析の目的は、1）集積回路に関連するさまざまな脅威と関連する脆弱性を識別すること、2）サプライチェーンのさまざまな段階で脅威がどの程度深刻化するかを分析すること、3）敵対者間の共謀による脅威の深刻度を定量化することである。このような分析を始める前にまず認識しておくべきことは、多くの脅威と関連する脆弱性が存在する一方で、半導体のサプライチェーンのすべての段階でそのすべてが悪用されるわけではないということである。脅威の深刻度はサプライチェーンの段階によって異なる。
For example, the risk of side-channel analysis is more common in chip use scenarios, whereas the risk of a hardware Trojan is more common in the early stages of design and manufacturing, as shown in Fig. 1.	例えば、サイドチャンネル解析のリスクはチップの使用シナリオにおいてより一般的であるのに対し、ハードウェアのトロイの木馬のリスクは、図1に示すように、設計と製造の初期段階においてより一般的である。

Fig. 1. Security challenges in the semiconductor supply chain	図1. 半導体サプライチェーンにおけるセキュリティの課題
This implies that threat analysis must consider both the type of threat and the various phases of the supply chain in which the threat is most effective. Moreover, one or more adversaries from different stages of supply chain can collaborate to compromise a hardware, which increases the severity of threats. Such insider threats are called collusion threats [6].	このことは、脅威分析が、脅威の種類と、脅威が最も効果的に作用するサプライチェーンの様々な段階の両方を考慮しなければならないことを意味している。さらに、サプライチェーンの異なる段階から1人以上の敵対者が協力してハードウェアを侵害することもあり、脅威の深刻度が増す。このような内部脅威は共謀の脅威と呼ばれる[6]。
This document focuses on potential collusion risks in the hardware supply chain and is organized as follows:	本文書は、ハードウェアのサプライチェーンにおける潜在的な共謀リスクに焦点を当て、以下のように構成する：
• Section 2 outlines the different phases of a semiconductor supply chain.	• セクション 2 では、半導体サプライチェーンの様々なフェーズについて概説する。
• Section 3 describes a framework for analyzing supply chain threats.	• セクション 3 では、サプライチェーンの脅威を分析する枠組みを説明する。
• Section 4 presents two real-life examples of hardware security threats to provide a comprehensive explanation of the proposed framework.	• セクション4では、提案する枠組みを包括的に説明するために、ハードウェアのセキュリティ脅威の2つの実例を示す。
• Section 5 concludes the discussion and provides directions for future work.	• セクション5では、議論を締めくくり、今後の研究の方向性を示す。

半導体サプライチェーンの段階

1. Concept	1. コンセプト
2. Design	2. 設計
3. Integration	3. 統合
4. Manufacturing	4. 製造
5. Testing	5. テスト
6. Provisioning	6. プロビジョニング
7. Deployment and Use:	7. 展開と使用
8. End of Life	8. 使用終了

サプライチェーン脅威分析の枠組み

1. Identify the Intent of the Adversary	1. 敵の意図を識別する
2. Identify Hardware Threats	2. ハードウェアの脅威を識別する
3. Analyze Stages of Hardware Development Life Cycle for Exploitability of the Threat	3. 脅威の悪用可能性について、ハードウェア開発ライフサイクルの段階を分析する
4. Analyze the Effect of Collusion Among Adversaries in Different Stages	4. 異なる段階における敵対者間の共謀の効果を分析する
5. Identify Security-Critical Stages for the Respective Threat	5. 各脅威のセキュリティ上重要な段階を識別する

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.05 米国 NIST CSWP 46 半導体サプライチェーンにおける共謀脅威の分析 (2025.06.30)

・2025.07.05 経済産業省「半導体デバイス工場におけるOTセキュリティガイドライン（案）」(2025.06.27)

・2025.03.11 米国 NIST IR 8546（初期公開ドラフト）サイバーセキュリティフレームワーク2.0 半導体製造プロファイル (2025.02.27)

・2022.02.24 半導体製造業界：SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様・ SEMI E188 - マルウェアフリー機器統合のための仕様

2025.07.05 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in IoT, in 安全保障 | Permalink | Comments (0)
Tweet

経済産業省「半導体デバイス工場におけるOTセキュリティガイドライン（案）」(2025.06.27)

こんにちは、丸山満彦です。

経済産業省が、「半導体デバイス工場におけるOTセキュリティガイドライン（案）」の日本語版・英語版を公表し、意見募集をしていますね...

これは、経済産業省の産業サイバーセキュリティ研究会ワーキンググループ1 半導体産業サブワーキンググループで検討されていたものですね...

日本語版110ページ...PDFではなく、HTMLで公開してもよいかもですね...

ちなみに、NISTが、2025.06.30にCSWP 46 半導体サプライチェーンにおける共謀脅威の分析を公表していますね...

適用範囲や問題意識の違いなども参考になるかもですね...

● 経済産業省

・2025.06.27 「半導体デバイス工場におけるOTセキュリティガイドライン（案）」の日本語版・英語版を取りまとめました

概要...

本ガイドライン（案）は、主として半導体デバイスメーカーの製造部門（実務者レベル）向けに、「生産目標の維持」、「機密情報の保護」、「半導体品質の維持」を守るべき対象として、最も高度な攻撃者（国家の支援を受けたAPTグループ等）を想定した対策レベルを実現するために必要な工場セキュリティ対策の指針を示すものです。当該セキュリティ対策指針は、上述したE187/E188やNIST CSF 2.0などの各種セキュリティ規格と整合しています。
本ガイドライン（案）は、工場のセキュリティ対策を進めるための一般的なプロセスにおいて、リスクベースのサイバーセキュリティフレームワーク（サイバー空間とフィジカル空間を統合的に保護するための基本原則と具体的な指針を定めた「サイバー・フィジカル・セキュリティ対策フレームワーク」（CPSF）及びNIST CSF2.0）を活用したリスク分析や、具体的な対策を検討する際などに活用されることが想定されます。
本ガイドライン（案）で示す対策項目としては、大きく以下の2点です。

半導体デバイス工場のリファレンスアーキテクチャに基づき、リスク対策フレームワーク（CPSF及びNIST CSF2.0）を活用して洗い出された、半導体デバイス工場の特徴を踏まえたリスク源（脅威、脆弱性）に対応するセキュリティ対策項目
Purdueモデルで分類したファブエリア、ファブシステムエリア、外部サービス及びIT/OT DMZ（ネットワーク間の緩衝領域）、組織・ヒト側面についての対策項目

・[PDF] 「半導体デバイス工場におけるOTセキュリティガイドライン（案）」概要資料日本語版

・[PDF] 半導体デバイス工場におけるOTセキュリティガイドライン（案）日本語版

・[PDF] 「半導体デバイス工場におけるOTセキュリティガイドライン（案）」概要資料英語版

・[PDF] 半導体デバイス工場におけるOTセキュリティガイドライン（案）英語版

議論の経過...

● 経済産業省 - 産業サイバーセキュリティ研究会 - WG1（実効性強化・国際連携） - 半導体産業サブWG

・2025.06.19 第3回

資料1　議事次第・配布資料一覧

資料2　委員等名簿

資料3　ローム様講演資料工場セキュリティリスクコントロール戦略

資料4　日本電子様講演資料 SEMI E187スタンダード概要と実施例の紹介

資料5　事務局説明資料

資料6　半導体デバイス工場におけるOTセキュリティガイドライン概要資料

資料7　半導体デバイス工場におけるOTセキュリティガイドライン（案）

資料8　半導体デバイス工場におけるOTセキュリティガイドライン（案）

資料9　半導体産業におけるセキュリティ対策基準について

・2025.03.31 第2回

資料1　議事次第・配布資料一覧

資料2　委員等名簿

資料3　SEAJ講演資料 SEAJサイバーセキュリティ活動状況

資料4　IPA講演資料（1）J-CSIP半導体業界SIGについて

資料5　IPA講演資料（2）ICSCoEの事業説明

資料6　事務局説明資料

資料7　サプライチェーン強化に向けたセキュリティ対策評価制度について

参考資料1　半導体デバイス工場におけるOTガイドライン（案）概要資料【関係者限り】

参考資料2　半導体デバイス工場におけるOTガイドライン（案）【関係者限り】

資料3　本サブワーキンググループの運営について（案）

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.07.05 米国 NIST CSWP 46 半導体サプライチェーンにおける共謀脅威の分析 (2025.06.30)

・2025.07.05 経済産業省「半導体デバイス工場におけるOTセキュリティガイドライン（案）」(2025.06.27)

・2025.03.11 米国 NIST IR 8546（初期公開ドラフト）サイバーセキュリティフレームワーク2.0 半導体製造プロファイル (2025.02.27)

・2022.02.24 半導体製造業界：SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様・ SEMI E188 - マルウェアフリー機器統合のための仕様

2025.07.05 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in パブコメ, in IoT, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.04

米国 NIST SP 800-228 クラウドネイティブシステムのための API 保護に関するガイドライン (2025.06.27)

こんにちは、丸山満彦です。

クラウドネイティブ時代になり、システムの連携にAPIが多用され、不可欠となっている状況で、外部との接点をもつAPIが適切に設計、保護されていることは、サイバー攻撃から組織内外のプロセスを保護する上でも重要となっていますよね...

ということで、APIに特化したセキュリティのガイダンス...

● NIST - ITL

・2025.06.27 NIST SP 800-228 Guidelines for API Protection for Cloud-Native Systems

NIST SP 800-228 Guidelines for API Protection for Cloud-Native Systems	NIST SP 800-228 クラウドネイティブシステムのための API 保護に関するガイドライン
Abstract	要約
Modern enterprise IT systems rely on a family of application programming interfaces (APIs) for integration to support organizational business processes. Hence, a secure deployment of APIs is critical for overall enterprise security. This, in turn, requires the identification of risk factors or vulnerabilities in various phases of the API life cycle and the development of controls or protection measures. This document addresses the following aspects of achieving that goal: (a) the identification and analysis of risk factors or vulnerabilities during various activities of API development and runtime, (b) recommended basic and advanced controls and protection measures during the pre-runtime and runtime stages of APIs, and (c) an analysis of the advantages and disadvantages of various implementation options for those controls to enable security practitioners to adopt an incremental, risk-based approach to securing their APIs.	現代のエンタープライズ IT システムは、組織のビジネスプロセスをサポートするための統合に、一連のアプリケーション・プログラミング・インターフェース（API）に依存している。したがって、API の安全な展開は、エンタープライズ全体のセキュリティにとって極めて重要だ。そのためには、API ライフサイクルのさまざまな段階でリスク要因や脆弱性を特定し、制御や保護手段を開発する必要がある。この文書では、その目標を達成するための以下の側面について取り上げる。(a) API の開発および実行のさまざまな活動におけるリスク要因や脆弱性の特定と分析、(b) API の実行前および実行段階における推奨される基本および高度な制御および保護対策、(c) セキュリティ担当者が API のセキュリティ確保のために、リスクベースの段階的なアプローチを採用できるようにするための、これらの制御のさまざまな実装オプションの長所と短所の分析。

・[PDF] NIST.SP.800-228

・[DOCX][PDF] 仮訳

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序論
1.1. Zero Trust and APIs: The Vanishing Perimeter	1.1. ゼロ・トラストとAPI消えゆく境界
1.2. API Life Cycle	1.2. APIのライフサイクル
1.3. Document Goals	1.3. 文書の目標
1.4. Relationship to Other NIST Documents	1.4. 他の NIST 文書との関係
1.5. Document Structure	1.5. 文書の構成
2. API Risks: Vulnerabilities and Exploits	2. API リスク：脆弱性と悪用
2.1. Lack of Visibility of APIs in the Enterprise Inventory	2.1. エンタープライズインベントリにおける API の可視性の欠如
2.2. Missing, Incorrect, or Insufficient Authorization	2.2. 認可の欠落、不正確、不十分
2.3. Broken Authentication	2.3. 壊れた認証
2.4. Unrestricted Resource Consumption	2.4. 無制限のリソース消費
2.4.1. Unrestricted Compute Resource Consumption	2.4.1. 無制限の計算消費
2.4.2. Unrestricted Physical Resource Consumption	2.4.2. 無制限の物理リソース消費
2.5. Leaking Sensitive Information to Unauthorized Callers	2.5. 権限のない発信者への機密情報の漏えい
2.6. Insufficient Verification of Input Data	2.6. 入力データの不十分な検証
2.6.1. Input Validation	2.6.1. 入力の妥当性確認
2.6.2. Malicious Input Protection	2.6.2. 悪意のある入力防御
2.7. Credential Canonicalization: Preparatory Step for Controls	2.7. クレデンシャルの正規化：コントロールの準備段階
2.7.1. Gateways Straddle Boundaries	2.7.1. ゲートウェイは境界をまたぐ
2.7.2. Requests With a Service Identity But No User Identity	2.7.2. サービスIDはあるがユーザーIDがないリクエスト
2.7.3. Requests With a User Identity But No Service Identity	2.7.3. ユーザーIDを持つがサービスIDを持たないリクエスト
2.7.4. Requests With Both User and Service Identities	2.7.4. ユーザーIDとサービスIDの両方を持つリクエスト
2.7.5. Reaching Out to Other Systems	2.7.5. 他のシステムへのリーチアウト
2.7.6. Mitigating the Confused Deputy	2.7.6. 混乱した代理の緩和
2.7.7. Identity Canonicalization	2.7.7. ID の正規化
3. Recommended Controls for APIs	3. API に対する推奨コントロール
3.1. Pre-Runtime Protections	3.1. ランタイム前の防御
3.1.1. Basic Pre-Runtime Protections	3.1.1. 基本的なランタイム前の防御
3.1.2. Advanced Pre-Runtime Protections	3.1.2. 高度なランタイム前の防御
3.2. Runtime Protections	3.2. ランタイム防御
3.2.1. Basic Runtime Protections	3.2.1. 基本的なランタイム防御
3.2.2. Advanced Runtime Protections	3.2.2. 高度なランタイム防御
4. Implementation Patterns and Trade-Offs for API Protections	4. API保護の実装パターンとトレードオフ
4.1. Centralized API Gateway	4.1. 集中型APIゲートウェイ
4.2. Hybrid Deployments	4.2. ハイブリッド展開
4.3. Distributed Gateway Pattern	4.3. 分散ゲートウェイパターン
4.4. Related Technologies	4.4. 関連技術
4.4.1. Web Application Firewalls	4.4.1. ウェブアプリケーションファイアウォール
4.4.2. Bot Detection	4.4.2. ボット検知
4.4.3. Distributed Denial of Service (DDoS) Mitigation	4.4.3. 分散サービス拒否（DDoS）の緩和
4.4.4. API Endpoint Protection	4.4.4. API エンドポイントの防御
4.4.5. Web Application and API Protection (WAAP)	4.4.5. ウェブアプリケーションとAPIの防御（WAAP）
4.5. Summary of Implementation Patterns	4.5. 実装パターンのまとめ
5. Conclusions and Summary	5. 結論とまとめ
References	参考文献
Appendix A. API Classification Taxonomy	附属書A.API分類の分類法
A.1. API Classification Based on Degree of Exposure	A.1. エクスポージャーの程度に基づくAPIの分類
A.2. API Classification Based on Communication Patterns	A.2. コミュニケーションパターンに基づくAPIの分類
A.3. API Classification Based on Architectural Style or Pattern (API Types)	A.3. アーキテクチャのスタイルやパターンに基づくAPIの分類（APIタイプ）
A.4 API Classification Based on Data Sensitivity	A.4 データ機密性に基づくAPI分類
Appendix B. DevSecOps Phases and Associated Classes of API Controls	附属書B. DevSecOpsフェーズとAPIコントロールの関連クラス
Appendix C. Limit Types Configured During Runtime	附属書C. ランタイム中に設定されるリミットタイプ

List of Figures	図一覧
Fig. 1. API, API endpoint, service, and service instance	図1. API、APIエンドポイント、サービス、サービスインスタンス
Fig. 2. Service API, facade API, and application (monolithic)	図2. サービスAPI、ファサードAPI、アプリケーション（モノリシック）
Fig. 3. DevSecOps life cycle phases	図3. DevSecOpsライフサイクルのフェーズ
Fig. 4. Handling API calls with user identity but no service identity	図4 .ユーザーIDはあるがサービスIDがないAPIコールの処理
Fig. 5. Identity canonicalization for handling API calls	図5. API 呼び出しを処理するための ID の正規化
Fig. 6. API gateway patterns	図6 .APIゲートウェイのパターン
Fig. 7. Centralized API gateway pattern	図7. 集中型APIゲートウェイのパターン
Fig. 8. Hybrid gateway pattern	図8. ハイブリッド・ゲートウェイ・パターン
Fig. 9. Distributed API gateway pattern	図9. 分散APIゲートウェイパターン
Fig. 10. Service-to-service traffic flows in distributed API gateway pattern	図10. 分散APIゲートウェイパターンにおけるサービス間トラフィックの流れ

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Application programming interfaces (APIs) provide the means to integrate and communicate with the modern enterprise IT application systems that support business processes. However, a lack of due diligence can introduce vulnerabilities and risk factors that exploit the connectivity and accessibility features of APIs. If these vulnerabilities are not identified, analyzed, and addressed through control measures, attack vectors could threaten the security posture of the application systems spanned by these APIs. A systematic and effective means of identifying and addressing these vulnerabilities is only possible by treating the development and deployment of APIs as an iterative life cycle using paradigms like development, security, and operations (DevSecOps).	アプリケーション・プログラミング・インターフェース（API）は、ビジネス・プロセスをサポートする最新のエンタープライズITアプリケーション・システムと統合し、コミュニケーションするための手段を提供する。しかし、デューディリジェンスの欠如は、API の接続性とアクセシビリティの特徴を悪用する脆弱性とリスク要因を導入する可能性がある。これらの脆弱性が識別され、分析され、管理策を通じて対処されない場合、攻撃ベクトルは、APIによってスパンされるアプリケーションシステムのセキュリティ体制を脅かす可能性がある。これらの脆弱性を識別し、対処する体系的で効果的な手段は、開発、セキュリティ、及び、運用（DevSecOps）のようなパラダイムを使用して、API の開発と展開を反復的なライフサイクルとして扱うことによってのみ可能である。
This document provides guidelines and recommendations on controls and protection measures for secure API deployments in the enterprise. In addition, an analysis of the advantages and disadvantages of various implementation options (called patterns) for those controls enable security practitioners to choose the most effective option for their IT ecosystem.	この文書は、エンタープライズにおける安全なAPI展開のためのコントロールと保護対策に関するガイドラインと推奨事項を提供する。加えて、これらのコントロールの様々な実装オプション（パターンと呼ばれる）の長所と短所を分析することで、セキュリティ担当者が、その IT エコシステムに最も効果的なオプションを選択できるようにする。
Developing these controls and analyzing their implementation options should be guided by several overarching principles:	このような管理策の策定と実装オプションの分析は、いくつかの包括的な原則によって導かれなければならない：
• The guidance for controls should cover all APIs, regardless of whether they are exposed to customers/partners or used internally within the enterprise.	• 管理策のガイダンスは、API が顧客／パートナーに公開されているか、エンタープライズ内部で使用されているかに関係なく、すべての API を対象とすべきである。
• With the vanishing of perimeters in modern enterprise IT applications, all controls should incorporate the concept of zero trust.	• 現代のエンタープライズITアプリケーションでは境界がなくなりつつあるため、全ての管理はゼロトラストの概念を取り入れるべきである。
• The controls should span the entire API life cycle and be classified into (a) pre-runtime protections and (b) runtime protections that are then subdivided into basic and advanced protections to enable incremental risk-based adoption.	• コントロールはAPIのライフサイクル全体に及び、(a)実行前の防御と(b)実行時の防御に分類され、さらにリスクベースの段階的な導入を可能にするために基本的な防御と高度な防御に細分化されるべきである。

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.03.26 米国 NIST SP 800-228（初期公開ドラフト）クラウドネイティブシステムのAPI防御ガイドライン

2025.07.04 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in クラウド | Permalink | Comments (0)
Tweet

2025.07.03

ドイツデータ保護会議安全保障についての意見「安全なくして自由はない – 自由なくして安全はない」と「AIシステムの開発と運用のための推奨される技術的・組織的措置に関するガイダンス」(2025.06.17)

こんにちは、丸山満彦です。

ドイツは、連邦政府レベルの個人データ保護機関（Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: BfDI）と16ある州の単位による個人データ保護機関（例えば、ベルリン州ではBerliner Beauftragte für Datenschutz und Informationsfreiheit）があり、それらを連携するための独立連邦・州データ保護監督機関会議（Datenschutzkonferenz: DSK）がありますね...

ドイツのデータ保護会議（DSK）で、2025.06.16に第2回中間会議が開催され、安全保障についての意見「安全なくして自由はない – 自由なくして安全はない」と「AIシステムの開発と運用のための推奨される技術的・組織的措置に関するガイダンス」等が決議され、公表されています...

日本でも、安全保障の議論が活発になっていますが、安全保障とプライバシーの関係について、日本でも第3条委員会の個人情報保護委員会が積極的に意見をだしていくべきなのかもしれませんね...

民主主義国家にとって自由は前提ですし、もちろん国民の安全も国家としての前提です。その両者を対立する概念ではなく、民主主義国家にとって不可欠な要素として、高次に融合することが重要なのではないかと思います。（辻井重男先生のいうところの、止揚、アウフヘーベンなのだろうと思います。戦前生まれの辻井先生の思考は重要なのだろうと思います）この発表は、一つのヒントになるのではないかと思います。

2003年に経済産業省の本館３F西のセキュリティ等を担当している部門を訪問していたのですが、その本棚に「Security and Privacy」という小さな冊子のような本があったのを記憶しています。（Securityは情報セキュリティではなく、安全保障という意味です）。担当官が来るまでの間、何気なく手に取って、ペラペラと見ていたのですが、「こういうことも、意識しているんだ...」と少し、私の視界が広がった記憶があります。

● Datenschutzkonferenz: DSK

NEU Pressemitteilung: Datenschutzkonferenz mahnt beim Thema Innere Sicherheit und veröffentlicht Anwendungshilfen zu KI, Cloud Computing und Onlinebuchungen von Arztterminen	新着プレスリリース：データ保護会議が国内治安に関する警告を発し、AI、クラウドコンピューティング、および医師の予約のオンライン予約に関する適用ガイダンスを公開
NEU Positionspapier: Datenschutz bei der Terminverwaltung durch Heilberufspraxen	新着ポジションペーパー：医療従事者による予約管理におけるデータ保護
NEU Entschließung: Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit	新着決議：安全なくして自由はない – 自由なくして安全はない
NEU Entschließung: Confidential Cloud Computing	新着決議：機密クラウドコンピューティング
NEU Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen	新着 AI システムの開発および運用における推奨される技術的および組織的措置に関するガイダンス
NEU Musterrichtlinien für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden (MRiDaVG)	新着データ保護監督当局による罰金処分手続きに関するモデルガイドライン（MRiDaVG）

気になるもの...

安全と自由

NEU Entschließung: Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit

新着決議：安全なくして自由はない – 自由なくして安全はない

・[PDF]

Entschließung	決議
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden	連邦および州独立データ保護監督当局会議
des Bundes und der Länder vom 16. Juni 2025	2025年6月16日
Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit	安全なくして自由はない – 自由なくして安全はない
In der aktuellen Diskussion um die Novellierung verschiedener Sicherheitsgesetze betont die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), dass ein starker Datenschutz kein Selbstzweck, sondern ein wesentliches Element des Rechtsstaats und die Voraussetzung für Sicherheit und Freiheit ist.	さまざまなセキュリティ関連法の改正に関する現在の議論において、連邦および州独立データ保護監督機関会議（DSK）は、強力なデータ保護は自己目的ではなく、法の支配の重要な要素であり、安全と自由の前提条件であると強調している。
Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), dass ein starker Datenschutz kein Selbstzweck, sondern ein wesentliches Element des Rechtsstaats und die Voraussetzung für Sicherheit und Freiheit ist.	連邦および州独立データ保護監督機関会議（DSK）は、強力なデータ保護は自己目的ではなく、法の支配の重要な要素であり、安全と自由の前提条件であると強調している。
Grundrechte sind Errungenschaften moderner Demokratien und sichern Wert und Würde der Person und die Teilhabe der Bürgerinnen und Bürger am Gemeinwesen, zum Beispiel bei der Teilnahme an Versammlungen, bei öffentlichen Meinungsäußerungen oder bei Wahlen. Dazu gehört auch die freie Entfaltung der Persönlichkeit in der verfassungsrechtlich anerkannten Ausprägung des Rechts auf informationelle Selbstbestimmung.	基本権は、現代民主主義の成果であり、個人の価値と尊厳、および集会への参加、公の意見表明、選挙など、市民が社会に参加する権利を保障する。これには、憲法で認められた情報自己決定権という形で表現される、人格の自由な発展も含まれる。
Freiheit ist eine wichtige Voraussetzung für eine Demokratie. Ein Leben in Freiheit setzt zugleich voraus, dass die Sicherheit der Bürgerinnen und Bürger gewährleistet ist. Zur Sicherheit gehört wiederum auch, dass sich die Menschen im Land darauf verlassen können, dass der Staat und seine Institutionen ihre Rechte und Freiheiten achten, sich an verfassungskonforme Gesetze und gegebene Garantien halten.	自由は民主主義にとって重要な前提条件である。自由な生活は、同時に、市民の安全が確保されていることを前提としている。安全には、国民が、国家とその機関が、憲法に則った法律と与えられた保証を遵守し、自らの権利と自由を尊重することを信頼できることも含まれる。
Auf der Welt lässt sich an vielen Stellen beobachten, wie freiheitliche Demokratien in Bedrängnis geraten. In nichtdemokratischen Systemen werden Eingriffsbefugnisse der Sicherheitsbehörden zur Einschüchterung von Bürgerinnen und Bürgern genutzt, sodass letztlich auch die bürgerliche Teilhabe am staatlichen Gemeinwesen ausgehöhlt wird. Das Datenschutzrecht spielt insofern eine wichtige Rolle, da es staatliche Datenverarbeitungen rechtsstaatlich einhegt. Datenschutz ist daher keine bloße Formalie und kein schmückendes Beiwerk.	世界では、自由民主主義が危機に瀕している例が数多く見られる。非民主的な体制では、治安当局の介入権限が市民を威嚇するために利用され、最終的には市民が国家の共同体に参加する権利が侵食される。データ保護法は、国家によるデータ処理を法の支配の範囲内に収めるという点で重要な役割を果たしている。したがって、データ保護は単なる形式や飾りではない。
Daher appelliert die DSK, in der politischen Diskussion Datenschutz und Sicherheit nicht gegeneinander auszuspielen. Zwar stehen sicherheitspolitische Erfordernisse und das Recht auf informationelle Selbstbestimmung in einem gewissen Spannungsverhältnis, allerdings ist dieses nicht unlösbar und kann in verhältnismäßiger Art und Weise aufgelöst werden. Das Datenschutzrecht zielt nicht darauf ab, Täterinnen und Täter oder Gefährderinnen und Gefährder vor Strafverfolgung oder Gefahrenabwehrmaßnahmen zu bewahren. Vielmehr schützt das Datenschutzrecht die Bürgerinnen und Bürger davor, dass ungerechtfertigt in ihre Freiheitsrechte eingegriffen wird.	そのため、DSK は、政治的な議論において、データ保護と安全を対立させるべきではないと訴えている。確かに、安全保障上の必要性と情報に関する自己決定権には一定の矛盾があるが、これは解決不可能なものではなく、比例的な方法で解決することができる。データ保護法は、犯罪者や危険人物が刑事訴追や危険防止措置の対象から逃れることを目的としたものではない。むしろ、データ保護法は、市民が不当に自由権を侵害されることから保護するものである。
Datenschutz und Datenqualität in der polizeilichen Praxis	警察の実務におけるデータ保護とデータ品質
Die Gewährleistung von Datenqualität, klaren Verantwortlichkeiten, effizienten Verfahrensstrukturen sowie digitaler Souveränität sind Belange, die für die Gewährleistung von Sicherheit ebenso wichtig sind wie für den Datenschutz. Die Sicherheitsbehörden wollen Straftaten verfolgen und nicht Personen, die dafür keinen Anlass gegeben haben. Die Sicherheitsbehörden möchten qualitativ hochwertige und sorgfältig austarierte Datenbestände, weil sie rechtsstaatlich arbeiten und nur mit qualitativ hochwertigen Systemen gute Ergebnisse erzielen können. Nichts Anderes wollen die Datenschutzaufsichtsbehörden. Deren Arbeit ist insofern in weiten Teilen eine wesentliche Instanz der Qualitätssicherung. In der Praxis der Sicherheitsbehörden sehen die Datenschutzaufsichtsbehörden eine breite Akzeptanz datenschutzrechtlicher Vorgaben.	データ品質、明確な責任、効率的な手続き構造、およびデジタル主権の確保は、セキュリティの確保にとって、データ保護と同様に重要な課題だ。治安当局は、犯罪を捜査したいのであって、その理由のない個人を捜査したいわけではない。治安当局は、法の支配の下で業務を行い、高品質のシステムによってのみ良い結果を得ることができるため、高品質で慎重に調整されたデータセットを望んでいる。データ保護監督当局も、それ以外を望んでいるわけではない。その意味で、データ保護監督当局の業務は、その大部分が品質保証の重要な機関としての役割を果たしている。治安当局の実務において、データ保護監督当局は、データ保護に関する法的要件が広く受け入れられていると認識している。
Datenschutz steht notwendigem Fortschritt polizeilicher Datenverarbeitung nicht entgegen	データ保護は、警察のデータ処理に必要な進歩を妨げるものではない
Es ist selbstverständlich, dass Sicherheitsbehörden stetig prüfen, an welcher Stelle sie ihre Arbeit weiter verbessern und modernisieren können. Ein Beispiel ist das polizeiliche Projekt P20 zur Harmonisierung der polizeilichen IT-Struktur und -Architektur, das die Datenschutzaufsichtsbehörden lösungsorientiert und konstruktiv beraten. Hierbei ist es aber wichtig, zunächst den genauen fachlichen Bedarf zu analysieren und abzustecken, welche verhältnismäßigen Lösungen möglich sind. Die DSK hält es hingegen für das falsche Signal, auf Herausforderungen für die innere Sicherheit mit dem Ruf nach weiteren Einschnitten in Grundrechte zu reagieren.	治安当局が、業務の改善と近代化を進めるべき点を常に検討することは当然のことだ。その一例が、警察の IT 構造とアーキテクチャの調和を目的とした警察プロジェクト P20 で、データ保護監督当局は、解決策重視の建設的な助言を行っている。ただし、ここではまず、正確な専門的ニーズを分析し、どのような比例的な解決策が可能かを明確にする必要がある。一方、DSK は、国内治安の課題に対して、基本権のさらなる制限を求めることは誤った対応だと考えている。
Anstelle voreiliger Gesetzgebungsaktivitäten hält es die DSK für dringend notwendig, die vorhandenen – in den vergangenen Jahren stetig erweiterten – Eingriffsbefugnisse der Sicherheitsbehörden, ihre Anwendung in der Praxis und ihre Wirksamkeit weiter umfassend zu evaluieren. Vorliegende wissenschaftliche Arbeiten zu einer Überwachungsgesamtrechnung, insbesondere die vom Max-Planck-Institut zur Erforschung von Kriminalität, Sicherheit und Recht im Auftrag des Bundes durchgeführte Studie, bieten hierfür eine geeignete Grundlage.	DSK は、性急な立法活動を行うよりも、過去数年間に継続的に拡大されてきた治安当局の介入権限、その実際の適用状況、および有効性をさらに包括的に評価することが急務だと考えている。監視の総合評価に関する既存の学術研究、特にマックス・プランク犯罪・治安・法研究所が連邦政府の委託を受けて実施した研究は、このための適切な基礎を提供している。
Die unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder werden künftige Novellierungen der Sicherheitsgesetze eng begleiten und sich weiter dafür einsetzen, dass neue Befugnisse für Sicherheitsbehörden den grundrechtlichen, vom Bundesverfassungsgericht ausgeformten, Maßstäben entsprechen.	連邦および州レベルの独立したドイツのデータ保護監督当局は、今後の治安関連法の改正を注視し、治安当局に付与される新たな権限が、連邦憲法裁判所が定めた基本的人権の基準に適合するよう引き続き努力していく。

機密クラウドコンピューティング...

NEU Entschließung: Confidential Cloud Computing

新着決議：機密クラウドコンピューティング

・[PDF]

Entschließung	決議
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden	連邦および州独立データ保護監督機関会議
des Bundes und der Länder vom 16. Juni 2025	2025年6月16日
Confidential Cloud Computing	機密クラウドコンピューティング
Der Begriff „Confidential Computing“ bezeichnet nicht eine einzelne Technologie, sondern wird von verschiedenen Anbietern unterschiedlich belegt. So wird beispielsweise eine Verschlüsselung von Daten im Arbeitsspeicher oder aber auch eine reine Zugriffsbeschränkung auf reservierte Speicherbereiche als Confidential Computing bezeichnet. Unter dem Begriff „Confidential Cloud Computing” werden teilweise Technologien damit beworben, dass Daten sogar vor dem Cloud-Betreiber geheim gehalten werden können. Eine solche allgemeine Aussage trägt jedoch nicht der tatsächlichen Komplexität der eingesetzten Technologie Rechnung. Um solche Werbeversprechen kritisch einzuordnen, werden im Nachfolgenden wichtige zu berücksichtigende Punkte angesprochen.	「機密コンピューティング」という用語は、単一の技術を指すものではなく、さまざまなプロバイダーによってさまざまな意味で使用されている。例えば、作業メモリ内のデータの暗号化、あるいは予約されたメモリ領域へのアクセス制限のみも、機密コンピューティングと呼ばれている。「機密クラウドコンピューティング」という用語は、クラウド事業者からもデータを秘密に保つことができると宣伝して、一部の技術の販売促進に使用されている。しかし、このような一般的な表現は、実際に使用されている技術の複雑さを反映したものではない。このような宣伝文句を批判的に評価するために、以下では考慮すべき重要なポイントについて説明する。
Angreifermodell	攻撃者のモデル
Zuerst sollte festgehalten werden, dass die zugrundeliegenden Technologien ursprünglich insbesondere dem Szenario entstammen, in welchem sich mehrere Nutzende die gleiche Hardware bei einem Cloud-Betreiber teilen. In einer solchen Situation soll sichergestellt werden, dass die eigenen Daten vor den Daten anderer Nutzender geheim gehalten werden können, möglicherweise sogar dann, wenn sich ein anderer Nutzender Administrationsrechte verschafft und auf Teile der Cloud-Betriebsinfrastruktur zugreift.	まず、この技術の基礎となっているものは、もともと、複数のユーザーがクラウド事業者に同じハードウェアを共有するシナリオから生まれたものであることを指摘しておこう。このような状況では、他のユーザーが管理者権限を取得してクラウド運用インフラストラクチャの一部にアクセスした場合でも、自分のデータを他のユーザーから秘密に保つことができるようにする必要がある。
Wenn jedoch die Daten nicht mehr nur vor anderen Nutzenden, sondern vor dem Cloud-Betreiber geheim gehalten werden sollen, erfordert dies ein komplett anderes und viel stärkeres Angreifermodell. Denn der Betreiber hat physikalischen Zugang zu den Systemen und umfangreiche Möglichkeiten, die Hardware und Software zu manipulieren. Für eine valide Bewertung der Wirksamkeit von Maßnahmen ist ein differenziertes Angreifermodell erforderlich, das auch unterschiedlichen Gruppen von Mitarbeitenden des Betreibers und seiner Auftragnehmer berücksichtigt.	しかし、データを他のユーザーからだけでなく、クラウド事業者からも秘密に保つ必要がある場合は、まったく異なる、より強力な攻撃者モデルが必要になる。なぜなら、事業者はシステムに物理的にアクセスでき、ハードウェアやソフトウェアを改ざんする幅広い手段を持っているからだ。対策の有効性を適切に評価するには、事業者とその委託業者のさまざまな従業員グループも考慮した、差別化された攻撃者モデルが必要だ。
Eine Verbesserung der Sicherheit kann sich dadurch ergeben, dass (z. B. mittels Verschlüsselung) Zugriffsmöglichkeiten innerhalb der Organisation des Betreibers (und ggf. seiner Auftragsverarbeiter) eingeschränkt werden. Auch vor einer missbräuchlichen Nutzung (z. B. Start geklonter virtueller Maschinen oder Container) oder Manipulation gibt es einen gewissen Schutz.	セキュリティの向上は、事業者（および必要に応じてその委託業者）の組織内でのアクセス権を（暗号化などを用いて）制限することで実現できる。また、不正使用（クローンされた仮想マシンやコンテナの起動など）や操作に対する一定の保護も実現できる。
Solche Maßnahmen gehören aber nicht im engeren Sinne zum „Confidential Computing“: Sie ändern nichts an der Tatsache, dass der Betreiber grundsätzliche Zugriff auf die Daten hat bzw. sich verschaffen kann. Die teilweise anzutreffende Behauptung, dass die Kontrolle über die Datenverarbeitung vollständig auf den Nutzenden übergehe, ist nicht haltbar. So ist es beispielsweise offensichtlich, dass die Kontrolle über die Verfügbarkeit der Datenverarbeitung auch beim Cloud-Betreiber liegt. Auch ist es offensichtlich nicht möglich, jede unrechtmäßige Datenverarbeitung im Cloud-Kontext zu verhindern, beispielsweise eine unrechtmäßige Löschung.	ただし、このような措置は、厳密な意味での「機密コンピューティング」には含まれない。これらは、事業者がデータに基本的にアクセスできる、あるいはアクセスできる状態にあるという事実を変えるものではない。データ処理の管理が完全にユーザーに移転すると主張する意見も一部にあるが、これは成り立たない。例えば、データ処理の可用性の制御はクラウド事業者にもあることは明らかだ。また、クラウド環境では、不正なデータ処理（不正な削除など）をすべて防止することは明らかに不可能だ。
Schlüsselmanagement	鍵管理
Eine besondere Bedeutung kommt dem eingesetzten Schlüsselmanagement zu. Tatsächliche Geheimhaltung vor dem Cloud-Betreiber (als Organisation) ist nur gewährleistet, wenn die Daten zu jedem Zeitpunkt so verschlüsselt sind, dass der Cloud-Betreiber den zur Entschlüsselung notwendigen Schlüssel nicht in Erfahrung bringen oder nutzen kann. Vor dem Hintergrund des oben angesprochenen sehr starken Angreifermodells eines „bösartigen Cloud-Betreibers“ müssen hierbei auch Analysen und Manipulationen von Hardware und Software berücksichtigt werden. Das bedeutet auch, dass der Cloud-Betreiber nachweisen muss, dass er zu keinem Zeitpunkt die Möglichkeit hat, die Verschlüsselung zu manipulieren (z. B. durch Machine-in-the-Middle-Angriffe oder den Austausch eines Nutzenden-Schlüssels durch einen selbst gewählten Schlüssel).	使用される鍵管理には特別な意味がある。クラウド事業者（組織として）に対する実際の機密性は、データが常に暗号化され、クラウド事業者が復号化に必要な鍵を入手または使用できない場合にのみ保証される。上記の「悪意のあるクラウド事業者」という非常に強力な攻撃モデルを背景に、ハードウェアおよびソフトウェアの分析や操作も考慮する必要がある。これはまた、クラウド事業者が、いかなる時点においても暗号化を操作する可能性がないことを証明しなければならないことを意味する（例：中間者攻撃や、ユーザーキーを自ら選択したキーに置き換えること）。
Nicht in allen Fällen ist für die Nutzenden klar überprüfbar, ob Confidential Computing überhaupt eingesetzt wird. Zwar ist es je nach Technologie möglich, dass über auf der Hardware hinterlegte Zertifikate attestiert wird, dass eine Operation in einer vertraulichen Umgebung ausgeführt wird. Um diese Attestierung aber an die Nutzenden durchreichen zu können und somit überprüfbar zu machen, muss die jeweilige Anwendung i.d.R. speziell dafür implementiert werden.	ユーザーが、機密コンピューティングが実際に使用されているかどうかを明確に確認できるとは限らない。技術によっては、ハードウェアに保存された証明書によって、操作が機密環境で実行されていることを証明することは可能だ。しかし、この証明をユーザーに伝達し、確認可能にするためには、通常、そのアプリケーションを特別に実装する必要がある。
Ein besonderes Augenmerk sollte hier auf die Übergänge zwischen den verschiedenen „Verschlüsselungsdomänen“ gelegt werden, etwa der Übergang von „data-at-rest“ zu „data-inuse“. Wenn bei solchen Übergängen ein Wechsel der eingesetzten Schlüssel vorgenommen wird, und zu diesem Zweck eine kurzzeitige Entschlüsselung der Daten stattfindet, liegen die Daten möglicherweise kurzzeitig in unverschlüsselter Form vor.	ここでは、さまざまな「暗号化ドメイン」間の移行、たとえば「保存データ」から「使用中データ」への移行に特に注意を払う必要がある。このような移行の際に、使用されている鍵が変更され、そのためにデータが一時的に復号化される場合、データは一時的に暗号化されていない状態で存在することになる。
Um die Aussagen der Cloud-Betreiber sowie der Hersteller der eingesetzten Hard- und Software (z. B. Hersteller von Chips, Firmware, Virtualisierungssoftware etc.) einordnen zu können, müssen Einsatzszenarien transparent sein. Ebenso müssen die der Sicherheitsanalyse zugrundeliegenden Annahmen offen kommuniziert werden. Eine typische Annahme ist, dass es keine physikalischen Angriffe (z. B. Seitenkanalattacken) gibt. Unter dieser Annahme kann diese Technik einen hohen Mehrwehrt an Sicherheit und Datenschutz bieten. Ist hingegen die Annahme nicht zutreffend (etwa, weil der Cloud-Betreiber einem Dritten physikalischen Zugang zur Hardware ermöglichen oder Schlüssel bzw. Zertifikate auf Hardware herausgeben oder austauschen muss) oder vertraut man Zusagen von Herstellern oder Betreibern nicht, so hat diese Technik nicht den versprochenen Effekt.	クラウド事業者や、使用するハードウェアおよびソフトウェア（チップ、ファームウェア、仮想化ソフトウェアなどのメーカー）のメーカーの主張を正しく理解するためには、使用シナリオを透明化する必要がある。また、セキュリティ分析の基礎となる仮定も、明確に伝える必要がある。典型的な仮定としては、物理的な攻撃（サイドチャネル攻撃など）がないことが挙げられる。この仮定の下では、この技術はセキュリティとデータ保護において高い付加価値を提供することができる。一方、この仮定が当てはまらない場合（例えば、クラウド事業者が第三者にハードウェアへの物理的なアクセスを許可したり、ハードウェア上の鍵や証明書を発行または交換しなければならない場合など）、あるいはメーカーや事業者の約束を信頼できない場合、この技術は期待される効果を発揮しない。
Als Fazit kann „Confidential Cloud Computing“ das allgemeine Sicherheitsniveau erhöhen und typischerweise einen wertvollen Schutz gegen andere Nutzende auf der gleichen Hardware und gegen einzelne Innentäter bieten – letztlich eine weitere Schicht eines „defense-indepth“-Ansatzes. Der Einsatz sollte daher empfohlen werden, auch wenn nicht alle Datenschutzprobleme so einfach gelöst werden, wie es teilweise beworben wird: Absolute Vertraulichkeit ist nicht möglich und grundsätzlich ist davon auszugehen, dass ein Cloud-Betreiber Zugriffsmöglichkeiten auf die zu schützenden Daten besitzt. Für eindeutig formulierte Angreifermodelle können jedoch konkretere Aussagen getroffen werden. Die Aussagen, mit denen diese Technologie beworben wird, sind daher im Hinblick auf das differenzierte Angreifermodell kritisch zu hinterfragen und die Schlussfolgerungen und die sich aus dem Angebot ergebenden bzw. zusätzlich zu ergreifenden Maßnahmen aus Gründen der Nachweis- und Rechenschaftspflicht nachvollziehbar dokumentieren.	結論として、「機密クラウドコンピューティング」は、一般的なセキュリティレベルを向上させ、通常、同じハードウェアを使用する他のユーザーや社内の不正ユーザーに対する貴重な保護を提供し、最終的には「防御の多層化」アプローチのさらなる層となる。したがって、すべてのデータ保護の問題が宣伝されているほど簡単に解決できるわけではないものの、この技術の使用は推奨されるべきだ。絶対的な機密性は不可能であり、原則として、クラウド事業者は保護対象のデータにアクセスできると想定すべきだ。ただし、明確に定義された攻撃モデルについては、より具体的な結論を導き出すことができる。したがって、この技術を宣伝する主張は、差別化された攻撃モデルに照らして批判的に検討し、証明および説明責任の観点から、その結論と、この製品から導き出される、あるいは追加で講じるべき措置を、理解しやすい形で文書化する必要がある。

AI システムの開発および運用における推奨される技術的および組織的措置に関するガイダンス

NEU Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen

新着 AI システムの開発および運用における推奨される技術的および組織的措置に関するガイダンス

・[PDF]

・[DOCX][PDF] 仮訳

2025.07.03 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

2025.07.02

金融庁金融分野におけるITレジリエンスに関する分析レポート 2025

こんにちは、丸山満彦です。

金融庁が「金融分野におけるITレジリエンスに関する分析レポート」の2025年版を公表していますね...

過去は、「金融機関のシステム障害に関する分析レポート」といわれていたものですかね...

2019年（2018年度版）から毎年公開しているものです...

「第２章　主な障害事例、第１節　サイバー攻撃・不正アクセス等の意図的なもの」のシステム障害の事例として、

第１項標的型ソーシャルエンジニアリングを用いたサイバー攻撃の事案

朝鮮を背景とするサイバー攻撃グループによる標的型ソーシャルエンジニアリングを用いた攻撃にて従業員になりすまし、正規取引のリクエストを改ざんしたことにより、顧客暗号資産（ビットコイン）が不正に流出する事案

第２項マルウェア感染に係る事案

外部委託先にて運用されているサーバーが第三者から不正アクセスを受け、個人情報を含む電子ファイルがランサムウェアにより暗号化され、さらに窃取された同電子ファイルの情報がダークウェブ上に公開されたことにより、個人情報の漏えいが生じた事案

海外支店のプライベートクラウド環境が第三者から不正アクセスを受け、海外支店のサーバーを経由して国内外拠点への水平展開を試み
ようとしていた事案

第３項 DDoS 攻撃に係る事案

金融機関（外部委託先を含む。）を標的とした DDoS 攻撃等のサービス不能攻撃が相次いで発生し、IB にログインしにくいなど一時的にサービスへ繋がりにくくなる事案

DDoS 攻撃（通信量増加）によりアプリ上で行う決済サービスが利用しづらくなる事案

第４項不正アクセスに係る事案

金融機関のウェブサイトを装った偽のウェブサイト（フィッシングサイト）や情報を窃取するマルウェア15等で窃取した顧客情報（ログイン ID やパスワード等）によるインターネット取引サービスでの不正アクセス・不正取引（第三者による取引）の被害に関する事案

ちなみに昨年度は...

１　外部委託先のランサムウェア感染によるサービス停止（地域銀行、信用金庫・信用組合等）
２　マルウェア感染による個人データ流出（金融商品取引業者等）
３　DDoS攻撃による決済不可（資金移動業者等）
４　外部委託先が提供するサービスへのDDoS攻撃（地域銀行）

が新規として紹介されていましたね...

なお、システム障害の原因として多いのは、ソフトウェア障害、管理面・人的要因ですね...

・[XLSX] 20250702.xlsx

● 金融庁

・2025.06.30「金融分野におけるITレジリエンスに関する分析レポート」の公表について

・・[PDF] 「金融分野におけるITレジリエンスに関する分析レポート」の概要

・・[PDF] 「金融分野におけるITレジリエンスに関する分析レポート」

なお、過去分も...

・2025.06 [PDF] 2024.pdf

・2024.06 [PDF] 2023.pdf

・2023.06 [PDF] 2022.pdf

・2022.06 [PDF] 2021.pdf

・2021.06 [PDF] 2020.pdf

・2020.06 [PDF] 2019.pdf

・2019.06 [PDF] 2018.pdf

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.29 金融庁金融機関のシステム障害に関する分析レポート 2024 (2024.06.26)

・2023.07.07 金融庁「「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」の改訂（案）に対するパブリック・コメントの結果等の公表」及び「金融機関のシステム障害に関する分析レポート」 (2023.06.30)

・2022.07.05 金融庁「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」

・2021.07.02 金融庁「金融機関のITガバナンス等に関する調査結果レポート」及び「金融機関のシステム障害に関する分析レポート」の公表について

2025.07.02 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 脆弱性, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 安全保障 | Permalink | Comments (0)
Tweet

NIST IR 8579 (初期公開ドラフト) NCCoEチャットボットの開発：初期実装から得られた技術的およびセキュリティ上の教訓 (2025.06.18)

こんにちは、丸山満彦です。

NISTが、NCCoEの過去の出版物を含むサイバーセキュリティ知識のリポジトリを使った検索拡張生成（retrieval-augmented generation: RAG）ベースのLLM技術のAI ChatBotを開発したようです。その際の、ツール開発に対する NCCoE のアプローチと、特定のセキュリティ課題に対する NCCoE の対応について概説し、その時点における検証を行った教訓（ドラフト）を公表していますね...

ざっとしか読んでいませんが、興味深いですね...

RAGの活用はこれからどの企業でも重要視されるでしょうから参考になることも多いかもしれませんね...ただ、あくまでも内部情報が正確で、適切であることが重要で、学習させるデータの内容が不適切なものが混じっていたりすると大変なことになりますよね...

● NIST - ITL

・2025.06.18 NIST IR 8579 (Initial Public Draft) Developing the NCCoE Chatbot: Technical and Security Learnings from the Initial Implementation

NIST IR 8579 (Initial Public Draft) Developing the NCCoE Chatbot: Technical and Security Learnings from the Initial Implementation	NIST IR 8579 (初期公開ドラフト) NCCoE チャットボットの開発：初期導入から得た技術的およびセキュリティ上の教訓
Announcement	発表
The NIST National Cybersecurity Center of Excellence (NCCoE) identified a potential application for a chatbot to support its mission and developed a secure, internal-use chatbot to assist NCCoE staff with discovering and summarizing cybersecurity guidelines tailored to specific audiences or use cases.	NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) は、その使命を支援するチャットボットの潜在的な用途を特定し、NCCoE スタッフが特定のユーザーやユースケースに合わせたサイバーセキュリティガイドラインを発見、要約するのを支援する、安全な内部用チャットボットを開発した。
The chatbot was built using retrieval-augmented generation (RAG)-based LLM technology. This approach combines techniques from information retrieval and natural language generation, enabling the chatbot to provide more focused, contextually relevant responses by leveraging a repository of cybersecurity knowledge, including previous NCCoE publications. Compared to search engines, LLM-based chatbots provide more contextually relevant and precise responses by understanding the nuances of natural language queries.	このチャットボットは、検索拡張生成 (RAG) ベースの LLM 技術を使用して構築された。このアプローチは、情報検索と自然言語生成の技術を組み合わせたもので、チャットボットは、NCCoE の過去の出版物など、サイバーセキュリティに関する知識のレポジトリを活用することで、より的を絞った、文脈に即した応答を提供することができる。検索エンジンと比較すると、LLM ベースのチャットボットは、自然言語のクエリのニュアンスを理解することで、より文脈に即した、正確な応答を提供することができる。
This report provides a point in time examination of the NCCoE Chatbot, outlining the NCCoE’s approach to developing the tool, as well as the NCCoE’s response to specific security challenges. In addition, this report provides an overview of the chatbot and its supporting technologies so that other organizations might consider the benefits of their use.	このレポートでは、NCCoE チャットボットの現時点での検証結果、NCCoE によるツール開発のアプローチ、および特定のセキュリティ課題に対する NCCoE の対応について概要を説明する。さらに、他の組織がチャットボットとその支援技術の利用メリットを検討できるよう、チャットボットとその支援技術の概要も紹介する。
Abstract	要約
Chatbots are emerging as alternative interfaces for structured information retrieval and internal knowledge access. Chatbots can utilize the capabilities of large language models (LLMs) to help interpret user-provided input and provide responses to a variety of requests. This paper describes the development of an LLM chatbot by the National Cybersecurity Center of Excellence (NCCoE) at NIST to enable internal search across its published cybersecurity guidance. The paper provides a point-in-time examination of the tool’s development process, including the architecture, the system configuration, and the NCCoE’s approach to addressing cybersecurity challenges throughout the design and deployment lifecycle. Specific attention is given to threats such as prompt injection, hallucinations, data exposure, and unauthorized access. The paper also discusses the mitigations applied, including local deployment, access controls, and validation filters. This paper is not intended to serve as implementation guidance. Instead, it documents technical decisions, observed limitations, and risk-informed safeguards that shaped the prototype. It provides an overview of the chatbot and its supporting technologies so that other organizations might consider the benefits of their use.	チャットボットは、構造化された情報の検索や内部知識へのアクセスのための代替インターフェースとして台頭してきている。チャットボットは、大規模言語モデル（LLM）の機能を利用して、ユーザーからの入力を解釈し、さまざまな要求に対応することができる。本論文では、NIST の国立サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）が、公開しているサイバーセキュリティガイダンスの内部検索を可能にする LLM チャットボットの開発について紹介する。この論文では、アーキテクチャ、システム構成、設計および展開のライフサイクルを通じてサイバーセキュリティの課題に対処するための NCCoE のアプローチなど、ツールの開発プロセスをその時点での状況に基づいて検証している。プロンプト・インジェクション、幻覚（ハルシネーション）、データエクスポージャー、不正アクセスなどの脅威に特に注目している。また、ローカル展開、アクセス管理、妥当性確認フィルタなど、適用された緩和策についても説明している。この論文は、実装ガイダンスを目的としたものではない。むしろ、プロトタイプを形作った技術的な決定、観察された制限、およびリスク情報に基づく安全対策について記載したものだ。他の組織がチャットボットとその支援技術の利用メリットを検討できるように、チャットボットとその支援技術の概要を紹介している。

・[PDF] NIST.IR.8579.ipd

目次...

1. Introduction	1. 序論
1.1. Project Overview	1.1. プロジェクトの概要
1.2. Related Work	1.2. 関連研究
2. Retrieval-Augmented Generation Technical Details	2. 検索拡張生成の技術的詳細
2.1. The Foundation Mode	2.1. 基礎モード
2.2. Preprocessing External Data	2.2. 外部データの事前処理
2.3. Creating an Index	2.3. インデックスの作成
2.4. Retrieving Relevant Information	2.4. 関連情報の検索
2.5. Querying the LLM	2.5. LLM へのクエリ
3. Implementation Details and Considerations	3. 実装の詳細と考慮事項
3.1. Chatbot Configuration	3.1. チャットボットの構成
3.1.1. Virtual/Physical Environment and Configuration	3.1.1. 仮想/物理環境と構成
3.1.2. Preprocessing and Page-Level Citations	3.1.2. 前処理とページレベルの引用
3.1.3. The Software Development Framework	3.1.3. ソフトウェア開発フレームワーク
3.1.4. The Embedding Function and Vector Database	3.1.4. 埋め込み機能とベクトルデータベース
3.1.5. The Foundation Model	3.1.5. 基礎モデル
3.2. Risk Mitigation and Discussion Around Threat Analysis	3.2. リスクの緩和と脅威分析に関する考察
3.2.1. Hallucinations	3.2.1. 幻覚
3.2.2. Threat Analysis	3.2.2. 脅威分析
3.3. Deployment	3.3. 展開
3.4. Testing and Evaluation	3.4. テストと評価
3.5. Risks and Limitations	3.5. リスクと制限
4. Comparison Against COTS Tools	4. COTS ツールとの比較
5. Future Considerations	5. 今後の検討事項
5.1. Future Considerations for Testing and Evaluation	5.1. テストと評価に関する今後の検討事項
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronym	附属書 A. 記号、略語、頭字語の一覧

2025.07.02 00:00 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

2025.07.01

内閣官房国家サイバー統括室になりました...サイバーセキュリティ2025、重点計画

こんにちは、丸山満彦です。

NISCの発展的改組の結果、内閣サイバーセキュリティセンターから、内閣官房国家サイバー統括室 (NCO) に変わりましたね...

新しいロゴ？もかわりましたね...

6月27日に持ち回り開催されたサイバーせっきゅりティ本部会合で、サイバーセキュリティ2025、来年度予算の重点化方針等が決定さsれていますね...

● NCO (NISC) - サイバーセキュリティ戦略本部

・2025.06.27 第44回会合

決定文書

提出資料

サイバーセキュリティ2025は1年間の活動の内容がまとめられていて、復習によいです(^^)

重点化方針は、これからどのようなことをしようとしているのか、理解するのによいです(^^)

また、統一基準も令和7年度版になっていますね...

（今のところリンクが切れているのもありますすが、いずれ直ると思います...）

・政府機関等の対策基準策定のためのガイドライン（令和７年度版）

・政府機関等のサイバーセキュリティ対策のための統一規範（令和７年度版）

・政府機関等のサイバーセキュリティ対策のための統一基準（令和７年度版）

・政府機関等のサイバーセキュリティ対策のための統一基準群に基づく情報セキュリティ監査の実施手引書（令和７年７月）

2025.07.01 12:55 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 安全保障 | Permalink | Comments (0)
Tweet

フランス CNIL AIシステムの開発：正当な利益に関する勧告（AIの学習のためのウェブスクレイピングの問題等）(2025.06.19)

こんにちは、丸山満彦です。

CNILが正当な利益に関する勧告を発表していますね...AIによる学習の際に、ウェブスクレイピングをすることもあると思いますが、その際に個人情報を取得することになるわけですが、合法的にそれを行うためには、どのようにすればよいのか？ということが問題となりますよね...ということで...

GDPRの場合は、第6条で、個人情報の適法な取り扱いについて6つの類型（a.同意、b.契約、c.法的義務、d.公益、e.重大な利益の保護、f.正当な利益）が示されています。

で、AIによる学習の際のウェブスクレイピングにより個人データを取得して取り扱う際は、f.正当な利益ということで処理をすればよいということになるのですが、「正当な利益」というのはどういう条件を満たせば認められるのかということが気になりますよね...ということで、この勧告です...

GDPRの第6条はつぎのようになっていますね...（個人情報保護委員会の仮訳をつかってます...）

Article 6 Lawfulness of processing	第6 条取扱いの適法性
1. Processing shall be lawful only if and to the extent that at least one of the following applies:	1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である：
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;	(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;	(b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
(c) processing is necessary for compliance with a legal obligation to which the controller is subject;	(c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;	(d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;	(e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.	(f) 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks.	第1 項(f)は、公的機関によってその職務の遂行のために行われる取扱いには適用されない。

日本の個人情報保護法でもいわゆる3年毎の見直しで検討されていたように思いますが、法案が国会に提出されませんでしたからね...

でCNILの発表...

● CNIL

・2025.06.19 Développement des systèmes d’IA : la CNIL publie ses recommandations sur l’intérêt légitime

Développement des systèmes d’IA : la CNIL publie ses recommandations sur l’intérêt légitime	AIシステムの開発：CNILが「正当な利益」に関する指針を公表
À l’issue d’une consultation publique, la CNIL publie de nouvelles recommandations sur le développement des systèmes d’intelligence artificielle. Elles précisent les conditions pour recourir à l’intérêt légitime, notamment en cas de moissonnage (web scraping).	公開協議の結果、CNIL は人工知能システムの開発に関する新たな勧告を発表した。この勧告では、特にウェブスクレイピング（ウェブの情報を収集・抽出）の場合に、正当な利益のために人工知能システムを利用するための条件について詳しく規定している。
Le RGPD contribue à une IA innovante et respectueuse des données personnelles	GDPRは、個人データを尊重する革新的なAIの発展に貢献している
Consciente des enjeux de clarification du cadre juridique, la CNIL s’emploie, à travers l’ensemble de ses actions, à sécuriser les acteurs afin de favoriser l’innovation en IA tout en assurant le respect des droits fondamentaux des Européens.	法的枠組みの明確化の重要性を認識しているCNILは、そのすべての活動を通じて、欧州市民の基本的権利を尊重しつつ、AIのイノベーションを促進するために、関係者の安全確保に努めている。
Depuis le lancement de son plan d’action sur l’IA en mai 2023, la CNIL a adopté une série de recommandations pour le développement de systèmes d’IA afin d’apporter de la sécurité juridique aux entreprises. Ainsi éclairé et clarifié, l’application du RGPD est un facteur de confiance pour les personnes.	2023年5月にAIに関する行動計画を発表して以来、CNILは、企業に法的安定性をもたらすため、AIシステムの開発に関する一連の勧告事項を採用してきた。このように明確化され、明確化されたGDPRの適用は、人々にとって信頼の要因となる。
Plusieurs fiches ont déjà été publiées, permettant en particulier aux acteurs de :	すでにいくつかの資料が公表されており、特に関係者は以下のことが可能になっている。
・déterminer le régime juridique applicable ;	・適用される法的枠組みの決定
・définir une finalité ;	・目的の設定
・déterminer la qualification juridique des acteurs ;	・関係者の法的地位の決定
・définir une base légale ;	・法的根拠の決定
・effectuer des tests et vérifications en cas de réutilisation des données ;	・データの再利用の場合のテストおよび検証の実施
・réaliser une analyse d’impact si nécessaire ;	・必要に応じて影響評価の実施
・tenir compte de la protection des données dès les choix de conception du système ;	・システムの設計段階からデータ保護を考慮
・tenir compte de la protection des données dans la collecte et la gestion des données ;	・データ収集および管理におけるデータ保護を考慮する
・informer les personnes ;	・個人に情報を提供する
・garantir et faciliter l’exercice des droits.	・権利の行使を保証し、容易にする
Consulter les recommandations	勧告事項を参照
Les nouvelles recommandations de la CNIL	CNIL の新しい勧告事項
Une concertation avec les parties prenantes	関係者との協議
La CNIL publie aujourd’hui deux nouvelles recommandations, élaborées à la suite d’une consultation publique, pour assurer que le développement des systèmes d’IA soit respectueux des données personnelles. Les parties prenantes (entreprises, chercheurs, universitaires, associations, conseils juridiques et techniques, syndicats, fédérations, etc.) ont ainsi pu s’exprimer et permettre à la CNIL de proposer des recommandations au plus proche de leurs questionnements et de la réalité des usages de l’IA.	CNIL は本日、公開協議を経て、AI システムの開発が個人データを尊重したものとなるよう確保するための 2 つの新しい勧告事項を発表しました。関係者（企業、研究者、学者、団体、法律・技術顧問、労働組合、連盟など）は、それぞれの意見を発表し、CNIL が彼らの疑問や AI の実際の利用状況により近い勧告事項を提案できるようにした。
Consulter la synthèse des contributions	意見の概要を見る
L’intérêt légitime, une base légale possible sous conditions	正当な利益、条件付きでの法的根拠
Dans le prolongement de l’avis adopté par le CEPD en décembre 2024, la CNIL considère que le développement des systèmes d’IA ne nécessite pas systématiquement le consentement des personnes. L’intérêt légitime est une base légale possible pour le développement des systèmes d’IA, sous réserve de prendre des garanties fortes :	2024年12月にCEPDが採択した意見を受けて、CNILは、AIシステムの開発には必ずしも個人の同意が必要ではないと考えている。正当な利益は、強力な保証措置を講じることを条件として、AIシステムの開発における法的根拠となり得る。
・Dans ces recommandations, la CNIL aide les acteurs à évaluer les cas dans lesquels ils pourront mobiliser cette base légale, en fournissant les critères permettant de faire l’analyse, y compris dans le cas spécifique du moissonnage de données en ligne (web scraping). Elle propose des exemples de garanties concrètes et adaptés aux différents types de systèmes d’IA : exclusion de certaines données de la collecte, transparence accrue, facilitation de l’exercice des droits, etc .	・この勧告では、CNILは、関係者がこの法的根拠を利用できるケースを評価するための分析基準を提供し、オンラインデータ収集（ウェブスクレイピング）の具体的なケースも含め、関係者の支援を行っている。また、さまざまな種類の AI システムに適した具体的な保証の例も提案している。例えば、特定のデータの収集からの除外、透明性の向上、権利の行使の容易化などだ。
・Les recommandations donnent des exemples concrets de traitements de données qui peuvent se fonder ou non sur l’intérêt légitime. Ainsi, par exemple, la réutilisation des conversations futures des utilisateurs d’un agent conversationnel pour l’amélioration du modèle d’IA peut se fonder sur l’intérêt légitime à condition de mettre en place certaines garanties fortes : information des personnes, droit d’opposition discrétionnaire, limitation du traitement à certaines données pseudonymisées/anonymisées, etc.	・この勧告では、正当な利益に基づく、あるいは正当な利益に基づかないデータ処理の具体例も挙げている。例えば、会話型エージェントのユーザーの将来の会話の再利用は、AI モデルの改善のために、特定の強力な保証措置（個人への情報提供、任意での反対権、特定の仮名化/匿名化されたデータへの処理の制限など）を講じることを条件として、正当な利益に基づいて行うことができる。
Les prochaines étapes	今後の予定
Les travaux de la CNIL pour assurer une application entière et pragmatique du RGPD dans le domaine de l’IA se poursuivront dans les prochains mois avec de nouvelles recommandations. Elle publiera prochainement des recommandations concernant le statut d’un modèle d’IA au regard du RGPD, les enjeux de sécurité du développement d’un système d’IA et l’annotation des données. Elle annoncera également son programme de travail à venir à cette occasion.	CNIL は、AI 分野における GDPR の完全かつ実用的な適用を確保するため、今後数カ月にわたって新たな勧告を発表する予定です。また、GDPR における AI モデルの地位、AI システムの開発におけるセキュリティ上の課題、およびデータの注釈に関する勧告も間もなく発表する予定です。また、その際に今後の作業計画も発表する予定だ。
Par ailleurs la CNIL poursuit les travaux au sein du Comité européen de la protection des données (CEPD) sur l’articulation entre le RGPD et le RIA ainsi que sur le moissonnage de données dans le contexte de l’IA générative.	さらに、CNIL は、欧州データ保護委員会（CEPD）において、GDPR と RIA の連携、および生成型 AI の文脈におけるデータハーベスティングに関する作業を継続している。
Elle suit également les travaux du bureau de l’IA de la Commission européenne pour l’élaboration d’un code de bonnes pratiques sur l’IA à usage général et s’articule avec le travail de clarification du cadre légal mené au niveau européen.	また、欧州委員会 AI 事務局による汎用 AI に関する行動規範の策定作業もフォローし、欧州レベルで進められている法的枠組みの明確化作業と連携している。
La synthèse des contributions	意見の要約
Consultation publique - Fiches pratiques IA sur la mobilisation de l’intérêt légitime pour le développement de systèmes d’intelligence artificielle - Synthèse des contributions	公開協議 - AI に関する実践的情報シート AI システムの開発における正当な利益の動員 - 意見の要約
Pour approfondir	詳細
Les fiches pratiques IA	AI 実践ガイド
Modèles d’IA et RGPD : le CEPD publie son avis pour une IA responsable	AI モデルと GDPR：CEPD が責任ある AI に関する意見書を公表
Texte de référence	参考文書
Le règlement général sur la protection des données (RGPD)	一般データ保護規則（GDPR）

・[PDF]

AI実践ガイド...

・Les fiches pratiques IA

Les fiches pratiques IA	AI 実践ガイド
Fiche synthèse	概要
Les recommandations de la CNIL en bref	CNIL の推奨事項の概要
Les recommandations de la CNIL sur l’application du RGPD au développement des systèmes d’IA permettent de concilier innovation et respect des droits des personnes. Que faut-il retenir ?	AI システムの開発における GDPR の適用に関する CNIL の推奨事項は、イノベーションと個人の権利の尊重の両立を可能にする。重要なポイントは何ですか？
Note : cette synthèse ne concerne que les fiches « Introduction » à 7 pour le moment.	注：この概要は、現時点では「導入」の 7 つのシートのみを対象としている。
> En savoir plus	> 詳細
Introduction	導入
Quel est le périmètre des fiches pratiques sur l’IA ?	AI に関する実践的情報シートの範囲
La CNIL apporte des réponses concrètes pour la constitution de bases de données utilisées pour l’apprentissage des systèmes d’intelligence artificielle (IA), qui impliquent des données personnelles.	CNIL は、個人データを含む人工知能（AI）システムの学習に使用されるデータベースの構築について、具体的な回答を提供している。
> En savoir plus	> 詳細
Fiche 1	シート 1
Déterminer le régime juridique applicable	適用される法的枠組みの決定
La CNIL vous aide à déterminer le régime juridique applicable aux traitements de données personnelles en phase de développement.	CNIL は、開発段階にある個人データの処理に適用される法的枠組みの決定を支援している。
> En savoir plus	> 詳細
Fiche 2	シート 2
Définir une finalité	目的の設定
La CNIL vous aide à définir la ou les finalités en tenant compte des spécificités du développement de systèmes d’IA.	CNIL は、AI システムの開発の特殊性を考慮して、目的を設定する支援を行っている。
> En savoir plus	> 詳細
Fiche 3	シート 3
Déterminer la qualification juridique des fournisseurs de systèmes d’IA	AI システムプロバイダーの法的資格を決定する
Responsable de traitement, responsable conjoint ou sous-traitant : la CNIL aide les fournisseurs de systèmes d’IA à déterminer leur qualification.	データ管理者、共同管理者、または委託業者：CNIL は、AI システムプロバイダーが自らの資格を決定するお手伝いをしている。
> En savoir plus	> 詳細
Fiche 4	シート 4
(1/2)	(1/2)
Assurer que le traitement est licite - Définir une base légale	処理が合法であることを確認する - 法的根拠を定義する
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.	CNIL は、お客様の責任およびデータの収集または再利用の方法に応じて、お客様の義務を決定するお手伝いをします。
> En savoir plus	> 詳細
Fiche 4	シート 4
(2/2)	(2/2)
Assurer que le traitement est licite - En cas de réutilisation des données	処理が合法であることを確認する - データの再利用の場合
La CNIL vous aide à déterminer vos obligations en fonction de votre responsabilité et des modalités de collecte ou de réutilisation des données.	CNIL は、お客様の責任およびデータの収集または再利用の方法に応じて、お客様の義務を決定するお手伝いをします。
> En savoir plus	> 詳細
Fiche 5	シート 5
Réaliser une analyse d’impact si nécessaire	必要に応じて影響評価を実施する
La CNIL vous explique comment et dans quels cas réaliser une analyse d’impact sur la protection des données (AIPD) en tenant compte des risques spécifiques au développement de modèles d’IA.	CNIL は、AI モデルの開発に特有のリスクを考慮して、データ保護に関する影響評価 (AIPD) を実施する方法と、その実施すべき場合について説明している。
> En savoir plus	> 詳細
Fiche 6	シート 6
Tenir compte de la protection des données dans la conception du système	システムの設計においてデータ保護を考慮する
Pour assurer le développement d’un système d’IA respectueux de la protection des données, il est nécessaire de mener une réflexion préalable lors de la conception du système. La CNIL en détaille les étapes.	データ保護に配慮した AI システムを開発するには、システムの設計段階で事前の検討を行う必要がある。CNIL はその手順を詳しく説明している。
> En savoir plus	> 詳細
Fiche 7	シート 7
Tenir compte de la protection des données dans la collecte et la gestion des données	データの収集および管理においてデータ保護を考慮する
La CNIL donne les bonnes pratiques pour sélectionner les données et limiter leur traitement afin d’entraîner un modèle performant dans le respect des principes de protection des données dès la conception et par défaut.	CNIL は、設計段階から、そしてデフォルトでデータ保護の原則を遵守しながら、高性能のモデルをトレーニングするために、データの選択と処理の制限に関するベストプラクティスを紹介している。
> En savoir plus	> 詳細
Fiche 8	シート 8
Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA	AI システムの開発における正当な利益の法的根拠の活用
La base légale de l’intérêt légitime sera la plus couramment utilisée pour le développement de systèmes d’IA. Cette base légale ne peut toutefois pas être mobilisée sans en respecter les conditions et mettre en œuvre des garanties suffisantes.	AI システムの開発には、正当な利益の法的根拠が最もよく利用される。ただし、この法的根拠は、その条件を守り、十分な保証措置を講じなければ利用できない。
> En savoir plus	> 詳細
Fiche 8 bis	シート 8 bis
Fiche focus moissonnage	フォーカスシートデータハーベスティング
La base légale de l’intérêt légitime : fiche focus sur les mesures à prendre en cas de collecte des données par moissonnage (web scraping)	正当な利益の法的根拠：データハーベスティング（ウェブスクレイピング）によるデータ収集の際に講じるべき措置に関するフォーカスシート
La collecte des données accessibles en ligne par moissonnage (web scraping) doit être accompagnée de mesures visant à garantir les droits des personnes concernées.	ウェブスクレイピングによるオンラインでアクセス可能なデータの収集には、関係者の権利を保証するための措置を講じる必要がある。
> En savoir plus	> 詳細
Fiche 9	シート 9
Informer les personnes concernées	関係者への情報提供
Les organismes qui traitent des données personnelles pour développer des modèles ou des systèmes d’IA doivent informer les personnes concernées. La CNIL précise les obligations en la matière.	AI モデルやシステムの開発のために個人データを処理する機関は、関係者にその旨を通知しなければならない。CNIL は、この点に関する義務を明確にしている。
> En savoir plus	> 詳細
Fiche 10	シート 10
Respecter et faciliter l’exercice des droits des personnes concernées	関係者の権利の尊重と行使の促進
Les personnes dont les données sont collectées, utilisées ou réutilisées pour développer un système d’IA disposent de droits sur leurs données qui leur permettent d’en conserver la maîtrise. Il appartient aux responsables des traitements de les respecter et d’en faciliter l’exercice.	AI システムの開発のためにデータが収集、使用、再利用される個人は、そのデータに関する権利を有しており、そのデータを管理することができる。データ処理責任者は、これらの権利を尊重し、その行使を促進する義務がある。
> En savoir plus	> 詳細
Fiche 11	シート 11
En cours de finalisation	最終ドラフト段階
Annoter les données	データの注釈
La phase d’annotation des données est cruciale pour garantir la qualité du modèle entraîné. Cet enjeu de performance peut être atteint au moyen d’une méthodologie rigoureuse garantissant le respect de la protection des données personnelles.	データの注釈段階は、トレーニングされたモデルの品質を確保するために非常に重要だ。このパフォーマンス上の課題は、個人データの保護を確実に遵守する厳格な方法論によって達成することができる。
> En savoir plus	> 詳細
Fiche 12	シート 12
En cours de finalisation	最終ドラフト段階
Garantir la sécurité du développement d’un système d’IA	AI システム開発のセキュリティ保証
La sécurité des systèmes d’IA est une obligation afin de garantir la protection des données tant lors du développement du système que par anticipation de son déploiement. Cette fiche détaille les risques et mesures à prendre recommandées par la CNIL.	AIシステムのセキュリティは、システムの開発段階から展開前の段階まで、データの保護を保証するために必須の要件である。この資料では、CNILが推奨するリスクと対応策を詳細に説明する。
> En savoir plus	> 詳細

Continue reading "フランス CNIL AIシステムの開発：正当な利益に関する勧告（AIの学習のためのウェブスクレイピングの問題等）(2025.06.19)"

2025.07.01 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

・2024.02.26 10-K (Annual report)	・2025.02.25 10-K (Annual report)
Item 1C.Cybersecurity:	Item 1C.Cybersecurity:
Risk Management and Strategy	Risk Management and Strategy
Cybersecurity is a critical part of risk management at IBM and is integrated with the company’s overall enterprise risk management framework. The Board of Directors and the Audit Committee of the Board are responsible for overseeing management’s execution of cybersecurity risk management and for assessing IBM’s approach to risk management. Senior management is responsible for assessing and managing IBM’s exposure to cybersecurity risks on an ongoing basis.	Cybersecurity is a critical part of risk management at IBM and is integrated with the company’s overall enterprise risk management framework. The Board of Directors and the Audit Committee of the Board are responsible for overseeing management’s execution of cybersecurity risk management and for assessing IBM’s approach to risk management. Senior management is responsible for assessing and managing IBM’s exposure to cybersecurity risks on an ongoing basis.
From an enterprise perspective, we implement a multi-faceted risk management approach based on the National Institute of Standards and Technology Cybersecurity Framework. We have established policies and procedures that provide the foundation upon which IBM’s infrastructure and data are managed. We regularly assess and adjust our technical controls and methods to identify and mitigate emerging cybersecurity risks. We use a layered approach with overlapping controls to defend against cybersecurity attacks and threats on IBM networks, end-user devices, servers, applications, data, and cloud solutions.	From an enterprise perspective, we implement a multi-faceted risk management approach based on the National Institute of Standards and Technology Cybersecurity Framework. We have established policies and procedures that provide the foundation upon which IBM’s infrastructure and data are managed. We regularly assess and adjust our technical controls and methods to identify and mitigate emerging cybersecurity risks. We use a layered approach with overlapping controls to defend against cybersecurity attacks and threats on IBM networks, end-user devices, servers, applications, data, and cloud solutions.
We draw heavily on our own commercial security solutions and services to manage and mitigate cybersecurity risks. IBM maintains a Security Operations Center (“SOC”) that monitors for threats to IBM’s networks and systems, utilizing threat intelligence provided by a range of sources, including the IBM Security X-Force Exchange platform, which maintains one of the largest compilations of threat intelligence in the world. We also rely on tools licensed from third party security vendors to monitor and manage cybersecurity risks. We periodically engage third parties to supplement and review our cybersecurity practices and provide relevant certifications.	We draw heavily on our own commercial security solutions and services to manage and mitigate cybersecurity risks. IBM maintains a Security Operations Center (“SOC”) that monitors for threats to IBM’s networks and systems, utilizing threat intelligence provided by a range of sources, including the IBM Security X-Force Exchange platform, which maintains one of the largest compilations of threat intelligence in the world. We also rely on tools licensed from third party security vendors to monitor and manage cybersecurity risks. We periodically engage third parties to supplement and review our cybersecurity practices and provide relevant certifications.
We have a global incident response process, managed by IBM’s Computer Security Incident Response Team (“CSIRT”), that relies primarily on internal expertise to respond to cybersecurity threats and attacks. We utilize a combination of online training, educational tools, videos and other awareness initiatives to foster a culture of security awareness and responsibility among our workforce, including responsibility for reporting suspicious activity.	We have a global incident response process, managed by IBM’s Computer Security Incident Response Team (“CSIRT”), that relies primarily on internal expertise to respond to cybersecurity threats and attacks. We utilize a combination of online training, educational tools, videos and other awareness initiatives to foster a culture of security awareness and responsibility among our workforce, including responsibility for reporting suspicious activity.
IBM has a third party supplier risk management program to oversee and identify risks from cybersecurity threats associated with its use of third party service providers and vendors. Risks are assessed and prioritized based, among other things, on the type of offering/engagement, supplier assessments, threat intelligence, and industry practices.	IBM has a third party supplier risk management program to oversee and identify risks from cybersecurity threats associated with its use of third party service providers and vendors. Risks are assessed and prioritized based, among other things, on the type of offering/engagement, supplier assessments, threat intelligence, and industry practices.
As discussed in greater detail in Item 1A., "Risk Factors," the company faces numerous and evolving cybersecurity threats, including risks originating from intentional acts of criminal hackers, hacktivists, nation states and competitors; from intentional and unintentional acts or omissions of customers, contractors, business partners, vendors, employees and other third parties; and from errors in processes or technologies, as well as the risks associated with an increase in the number of customers, contractors, business partners, vendors, employees and other third parties working remotely. While the company continues to monitor for, identify, investigate, respond to and remediate cybersecurity risks, including incidents and vulnerabilities, there have not been any that have had a material adverse effect on the company, though there is no assurance that there will not be cybersecurity risks that will have a material adverse effect in the future.	As discussed in greater detail in Item 1A., "Risk Factors," the company faces numerous and evolving cybersecurity threats, including risks originating from the increased use of AI, intentional acts of individual and groups of criminal hackers, hacktivists, state-sponsored organizations, nation states and competitors; from intentional and unintentional acts or omissions of customers, contractors, business partners, vendors, employees and other third parties; and from errors in processes or technologies, as well as the risks associated with the number of customers, contractors, business partners, vendors, employees and other third parties working remotely. While the company continues to monitor for, identify, investigate, respond to and remediate cybersecurity risks, including incidents and vulnerabilities, there have not been any that have had a material adverse effect on the company, though there is no assurance that there will not be cybersecurity risks that will have a material adverse effect in the future.
Governance	Governance
IBM’s Enterprise & Technology Security (“E&TS”) organization has oversight responsibility for the security of both IBM’s internal systems and external offerings and works across all of the organizations within the company to protect IBM, its brand, and its clients against cybersecurity risks. E&TS also addresses cybersecurity risks associated with third party suppliers. For these purposes, E&TS includes a dedicated Chief Information Security Officer (“CISO”) whose team is responsible for leading enterprise-wide information security strategy, policy, standards, architecture, and processes for IBM’s internal systems. The CISO manages the CSIRT. The CISO also manages the Product Security Incident Response Team (“PSIRT”), which focuses on product vulnerabilities potentially affecting the security of offerings sold to customers. IBM also has Business Information Security Officers (“BISO”) who coordinate with the Office of the CISO on security issues specific to particular business segments.	IBM’s Enterprise & Technology Security (“E&TS”) organization has oversight responsibility for the security of both IBM’s internal systems and external offerings and works across all of the organizations within the company to protect IBM, its brand, and its clients against cybersecurity risks. E&TS also addresses cybersecurity risks associated with third party suppliers. For these purposes, E&TS includes a dedicated Chief Information Security Officer (“CISO”) whose team is responsible for leading enterprise-wide information security strategy, policy, standards, architecture, and processes for IBM’s internal systems. The CISO manages the CSIRT. The CISO also manages the Product Security Incident Response Team (“PSIRT”), which focuses on product vulnerabilities potentially affecting the security of offerings sold to customers. IBM also has Business Information Security Officers (“BISO”) who are coordinated by the Office of the CISO on security issues specific to particular business segments.
The CSIRT team, together with the Office of the Chief Information Officer (“CIO”), Cyber Legal, Corporate Security, and BISOs, engages in on-going reviews of incidents, threat intelligence, detections, and vulnerabilities, including to assess client and regulatory impact. Events of interest are promptly reported to the Senior Vice President (“SVP”) for Legal & Regulatory Affairs and General Counsel (“GC”) and the SVP overseeing cybersecurity (“SVP Sponsor”).	The CSIRT team, together with the Office of the Chief Information Officer (“CIO”), Cyber Legal, Corporate Security, and BISOs, engages in on-going reviews of incidents, threat intelligence, detections, and vulnerabilities, including to assess client and regulatory impact. Events of interest are promptly reported to the Senior Vice President (“SVP”) and Chief Legal Officer ("CLO"), and the SVP overseeing cybersecurity (“SVP Sponsor”).
Incidents are delegated to an appropriate incident response team for assessment, investigation, and remediation. Depending on the nature of the matter, the incident response team may include individuals from E&TS, the Office of the CISO, the Office of the CIO, Cyber Legal, Business Units, the Chief Privacy Office, Human Resources, Procurement, Finance and Operations, and Corporate Security. The incident response teams advise and consult with the GC and the SVP Sponsor, as appropriate.	Incidents are delegated to an appropriate incident response team for assessment, investigation, and remediation. Depending on the nature of the matter, the incident response team may include individuals from E&TS, the Office of the CISO, the Office of the CIO, Cyber Legal, Business Units, the Office of Privacy and Responsible Technology, Human Resources, Procurement, Finance and Operations, and Corporate Security. The incident response teams advise and consult with the CLO and the SVP Sponsor, as appropriate.
The Cybersecurity Advisory Committee (“CAC”) meets regularly and is responsible for overseeing management of the Company’s cybersecurity risk. The CAC is composed of, among others, SVPs from the major business units, the SVP Sponsor, and the GC. The CAC is responsible for, among other things, setting the Company’s governance structure for managing cybersecurity risk and reviewing noteworthy cybersecurity incidents and strategies to prevent recurrence. IBM management responsible for managing cybersecurity risk reflects a cross-section of functions from across the organization with significant experience in managing such risk as well as the technologies underlying these risks. They also hold leadership positions outside of IBM in the field of cybersecurity, serving on governing and advisory boards of public and private institutions at the forefront of issues related to cybersecurity, including technology development, cybersecurity policy, and national security.	The Cybersecurity Advisory Committee (“CAC”) meets regularly and is responsible for overseeing management of the Company’s cybersecurity risk. The CAC is composed of, among others, SVPs from the major business units, the SVP Sponsor, and the CLO. The CAC is responsible for, among other things, setting the Company’s governance structure for managing cybersecurity risk and reviewing noteworthy cybersecurity incidents and strategies to prevent recurrence. IBM management responsible for managing cybersecurity risk reflects a cross-section of functions from across the organization with significant experience in managing such risk as well as the technologies underlying these risks. They also hold leadership positions outside of IBM in the field of cybersecurity, serving on governing and advisory boards of public and private institutions at the forefront of issues related to cybersecurity, including technology development, cybersecurity policy, and national security.
The Board of Directors and the Audit Committee oversees the cyber governance process. Leadership from E&TS, including the CISO, make regular presentations to the Audit Committee and the full Board on identification, management, and remediation of cybersecurity risks, both internal and external, as well as threat intelligence, emerging global policies and regulations, cybersecurity technologies, and best practices. In addition, senior management provides briefings as needed to the Audit Committee Chair, the Audit Committee, and, as appropriate, the full Board, on cybersecurity issues and incidents of potential interest.	The Board of Directors and the Audit Committee oversee the cyber governance process. Leadership from E&TS, including the CISO, make regular presentations to the Audit Committee and the full Board on identification, management, and remediation of cybersecurity risks, both internal and external, as well as threat intelligence, emerging global policies and regulations, cybersecurity technologies, and best practices. In addition, senior management provides briefings as needed to the Audit Committee Chair, the Audit Committee, and, as appropriate, the full Board, on cybersecurity issues and incidents of potential interest.

・2024.02.22 10-K (Annual report)	・2025.02.27 10-K (Annual report)
ITEM 1C CYBERSECURITY	ITEM 1C CYBERSECURITY
Managing cybersecurity risk is a crucial part of our overall strategy for safely operating our business. We incorporate cybersecurity practices into our Enterprise Risk Management (ERM) approach, which is subject to oversight by our BOD. Our cybersecurity policies and practices are aligned with relevant industry standards.	Managing cybersecurity risk is a crucial part of our overall strategy for safely operating our business. We incorporate cybersecurity practices into our Enterprise Risk Management (ERM) program. Management is responsible for assessing and managing risk, including through the ERM program, subject to oversight by our BOD. Our cybersecurity policies and practices are aligned with NIST (National Institute of Standards and Technology) industry standards.
Consistent with our overall ERM program and practices, our cybersecurity program includes:	Consistent with our overall ERM program and practices, our cybersecurity program includes:
• Vigilance: We maintain a global cybersecurity operation that endeavors to detect, prevent, contain, and respond to cybersecurity threats and incidents in a prompt and effective manner with the goal of minimizing business disruptions. <	•Vigilance: We maintain a global cybersecurity operation that endeavors to detect, prevent, contain, and respond to cybersecurity threats and incidents in a prompt and effective manner with the goal of minimizing business disruptions.
• External Collaboration: We collaborate with public and private entities, including intelligence and law enforcement agencies, industry groups and third-party service providers to identify, assess and mitigate cybersecurity risks.	•External Collaboration: We collaborate with public and private entities, including intelligence and law enforcement agencies, industry groups and third-party service providers to identify, assess and mitigate cybersecurity risks.
• Systems Safeguards: We deploy technical safeguards that are designed to protect our information systems, products, operations and sensitive information from cybersecurity threats. These include firewalls, intrusion prevention and detection systems, disaster recovery capabilities, malware and ransomware prevention, access controls and data protection. We continuously conduct vulnerability assessments to identify new risks and periodically test the efficacy of our safeguards through both internal and external penetration tests.	•Systems Safeguards: We deploy technical safeguards that are designed to protect our information systems, products, operations and sensitive information from cybersecurity threats. These include firewalls, intrusion prevention and detection systems, disaster recovery capabilities, malware and ransomware prevention, access controls and data protection. We continuously conduct vulnerability assessments to identify new risks and periodically test the efficacy of our safeguards through both internal and external penetration tests.
• Education: We provide periodic training for all personnel regarding cybersecurity threats, with such training appropriate to the roles, responsibilities and access of the relevant Company personnel. Our policies require all workers to report any real or suspected cybersecurity events.	•Education: We provide periodic training for all personnel regarding cybersecurity threats, with such training appropriate to the roles, responsibilities and access of the relevant Company personnel. Our policies require all workers to report any real or suspected cybersecurity events.
• Supplier Ecosystem Management: We extend our cybersecurity management control expectations to our supply chain ecosystem, as applicable. This includes identifying cybersecurity risks presented by third parties.	•Supplier Ecosystem Management: We extend our cybersecurity management control expectations to our supply chain ecosystem, as appropriate. This includes identifying cybersecurity risks presented by third parties.
• Incident Response Planning: We have established, and maintain and periodically test, incident response plans that direct our response to cybersecurity events and incidents. Such plans include the protocol by which material incidents would be communicated to executive management, our BOD, external regulators and shareholders.	•Incident Response Planning: We have established, and maintain and periodically test, incident response plans that direct our response to cybersecurity events and incidents. Such plans include the protocol by which certain significant or potentially material incidents would be communicated to executive management, our BOD, external regulators and shareholders, as appropriate.
• Enterprise-Wide Coordination: We engage experts from across the Company to identify emerging risks and respond to cybersecurity threats. This cross-functional approach includes personnel from our R&D, manufacturing, commercial, technology, legal, compliance, internal audit and other business functions.	•Enterprise-Wide Coordination: We engage relevant stakeholders from across the Company to identify emerging risks and respond to cybersecurity threats. This cross-functional approach includes personnel from our R&D, manufacturing, commercial, technology, legal, compliance, internal audit and other business functions.
• Governance: Our BOD’s oversight of cybersecurity risk management is led by the Audit Committee, which oversees our ERM program. Cybersecurity threats, risks and mitigation are periodically reviewed by the Audit Committee and such reviews include both internal and independent assessment of risks, controls and effectiveness.	•Governance: Our BOD’s oversight of cybersecurity risk management is led by the Audit Committee, which oversees our ERM program. Cybersecurity threats, risks and mitigation are periodically reviewed by the Audit Committee and such reviews include both internal and independent assessment of risks, controls and effectiveness.
Our risk assessment efforts have indicated that we are a target for theft of intellectual property, financial resources, personal information, and trade secrets from a wide range of actors including nation states, organized crime, malicious insiders and activists. The impacts of attacks, abuse and misuse of Pfizer’s systems and information include, without limitation, loss of assets, operational disruption and damage to Pfizer’s reputation.	Our risk assessment efforts have indicated that we are a target for theft of intellectual property, financial resources, personal information, and trade secrets from a wide range of actors including nation states, organized crime, malicious insiders and activists. The impacts of attacks, abuse and misuse of Pfizer’s systems and information could include, without limitation, loss of assets, operational disruption and damage to Pfizer’s reputation.
A key element of managing cybersecurity risk is the ongoing assessment and testing of our processes and practices through auditing, assessments, drills and other exercises focused on evaluating the sufficiency and effectiveness of our risk mitigation. We regularly engage third parties to perform assessments of our cybersecurity measures, including information security maturity assessments and independent reviews of our information security control environment and operating effectiveness. Certain results of such assessments and reviews are reported to the Audit Committee and the BOD, as appropriate, and we make adjustments to our cybersecurity processes and practices as necessary based on the information provided by the third-party assessments and reviews.	A key element of managing cybersecurity risk is the ongoing assessment and testing of our processes and practices through auditing, assessments, drills and other exercises focused on evaluating the sufficiency and effectiveness of our risk mitigation. We regularly engage third parties to perform assessments of our cybersecurity measures, including information security maturity assessments and independent reviews of our information security control environment and operating effectiveness. Certain results of such assessments and reviews are reported by the Chief Information Security Officer (CISO) to certain senior leaders, the Audit Committee and the BOD, as appropriate, and we make adjustments to our cybersecurity processes and practices as necessary based on the information provided by the third-party assessments and reviews.
The Audit Committee oversees cybersecurity risk management, including the policies, processes and practices that management implements to prevent, detect and address risks from cybersecurity threats. The Audit Committee receives regular briefings on cybersecurity risks and risk management practices, including, for example, recent developments in the external cybersecurity threat landscape, evolving standards, vulnerability assessments, third-party and independent reviews, technological trends and considerations arising from our supplier ecosystem. The Audit Committee may also promptly receive information regarding any material cybersecurity incident that may occur, including any ongoing updates regarding the same. The Audit Committee periodically discusses our approach to cybersecurity risk management with our Chief Information Security Officer (CISO).	The Audit Committee oversees cybersecurity risk management, including the policies, processes and practices that management implements to prevent, detect and address risks from cybersecurity threats. The Audit Committee receives periodic briefings on, and discusses with our CISO, cybersecurity risks and risk management practices, including, for example, recent developments in the external cybersecurity threat landscape, evolving standards, vulnerability assessments, third-party and independent reviews, technological trends and considerations arising from our supplier ecosystem. The Audit Committee may also promptly receive information regarding certain significant or potentially material cybersecurity incidents that may occur, including any ongoing updates regarding the same.
Our CISO is a member of our management team who is principally responsible for overseeing our cybersecurity risk management program, in partnership with other business leaders across the Company. The CISO works in coordination with other members of the management team, including, among others, the Chief Digital Officer, the Chief Financial Officer, the Chief Compliance and Risk Officer and the General Counsel and their designees. We believe our business leaders have the appropriate expertise, background and depth of experience to manage risks arising from cybersecurity threats.	Our CISO is a member of our management team who is principally responsible for overseeing our cybersecurity risk management program, in partnership with other business leaders across the Company. We believe our CISO and the information security organization have the appropriate expertise, background and depth of experience relating to monitoring the prevention, mitigation, detection and remediation of cybersecurity incidents to manage risks arising from cybersecurity threats. The CISO works in coordination with other members of the management team, including, among others, the Chief Digital Officer, the Chief Financial Officer and the Chief Legal Officer and their designees.
Our CISO, along with leaders from our privacy and corporate compliance functions, collaborate to implement a program designed to manage our exposure to cybersecurity risks and to promptly respond to cybersecurity incidents. Prompt response to incidents is delivered by multi-disciplinary teams in accordance with our incident response plan. Through ongoing communications with these teams during incidents, the CISO monitors the triage, mitigation and remediation of cybersecurity incidents, and reports such incidents to executive management, the Audit Committee and other Pfizer colleagues in accordance with our cybersecurity policies and procedures, as is appropriate.	Our CISO, along with leaders from our privacy and corporate compliance functions, collaborate to implement a program designed to manage our exposure to cybersecurity risks and to promptly respond to cybersecurity incidents. Prompt response to incidents is delivered by multi-disciplinary teams in accordance with our incident response plan. Through ongoing communications with these teams during incidents, the CISO monitors the triage, mitigation and remediation of cybersecurity incidents, and reports such incidents to executive management, the Audit Committee and other Pfizer colleagues in accordance with our cybersecurity policies and procedures, as is appropriate.
As of the date of this Form 10-K, we are not aware of any cybersecurity incidents that have materially affected or are reasonably likely to materially affect the Company, including our business strategy, results of operations, or financial condition at this time. For further discussion of the risks associated with cybersecurity incidents, see the Item 1A. Risk Factors—Information Technology and Security section in this Form 10-K.	For the fiscal year ended December 31, 2024, we are not aware of any cybersecurity incidents that have materially affected or are reasonably likely to materially affect the Company, including our business strategy, results of operations, or financial condition. For further discussion of the risks associated with cybersecurity incidents, see the Item 1A. Risk Factors—Information Technology and Security section in this Form 10-K.

・2024.06.27 20-F (Annual report - foreign issuer)	・2025.06.24 20-F (Annual report - foreign issuer)
Item 16K.Cybersecurity	Item 16K.Cybersecurity
(1) Risk management and strategy	(1) Risk management and strategy
Our Information Security Control Department reports to and manages cyber and information security risks to the Information Technology Management Committee.	Our Information Security Control Department reports to and manages cyber and information security risks to the Information Technology Management Committee.
Our Information Security Control Department has established a cyber and information security awareness training program for our consolidated group companies. All employees of our consolidated group companies, including investee companies, and employees of outsourcing companies with access to our network are required to take online training at least once a year. These educational programs also include phishing e-mails simulations, which are conducted several times a year on an irregular basis. We also provide training through escalation and response simulations in the event of a cyber or information security incident.	Our Information Security Control Department has established a cyber and information security awareness training program for our consolidated group companies. All employees of our consolidated group companies, including investee companies, and employees of outsourcing companies with access to our network are required to take online training at least once a year. These educational programs also include phishing e-mails simulations, which are conducted several times a year on an irregular basis. We also provide training through escalation and response simulations in the event of a cyber or information security incident.
Each of our consolidated group companies is assigned an Information Security Accountable Owner, and cyber and information security knowledge and the Group’s security policies are shared with the companies on a quarterly basis to raise readiness levels across the ORIX Group.	Each of our consolidated group companies is assigned an Information Security Accountable Owner, and cyber and information security knowledge and the Group’s security policies are shared with the companies on a quarterly basis to raise readiness levels across the ORIX Group.
In order to control cyber and information security risks we face through our interactions with and reliance on third parties, such as through our outsourcing activities and use of cloud services, we conduct regular security assessments of business partners and outsourcing vendors. In addition, we have a framework in place for the Information Security Control Department to evaluate the security risks of information systems and cloud services provided by business partners and outsourcing vendors.	In order to control cyber and information security risks we face through our interactions with and reliance on third parties, such as through our outsourcing activities and use of cloud services, we conduct regular security assessments of business partners and outsourcing vendors. In addition, we have a framework in place for the Information Security Control Department to evaluate the security risks of information systems and cloud services provided by business partners and outsourcing vendors.
The Information Security Control Department is responsible for assessing and managing our cyber and information security risks and where necessary, engages third-party consultants for advice regarding specific areas where enhanced controls or in-depth analysis is required.	The Information Security Control Department is responsible for assessing and managing our cyber and information security risks and where necessary, engages third-party consultants for advice regarding specific areas where enhanced controls or in-depth analysis is required.
The ORIX Group has also established a framework to respond to cyber and information security incidents and to mitigate the risk of security breaches, system failures and information leaks, including cyber attacks and damage to information security systems. A system has been established to assess the impact on operations and the likelihood of secondary damage in the event of a cyber and information security incident caused by cyber attacks. The Information Security Control Department analyzes and investigates the incident and also works with the legal department and compliance department to minimize the impact of the incident and prevent secondary damage. Any serious incidents are reported to the Executive Officer in charge of the Information Security Control Department and appropriate action is taken under his/her direction. The current Executive Officer in charge of information security at ORIX has extensive knowledge of information technology and security, cultivated through his experience with system development, project management and security management in over two decades at various international companies prior to joining ORIX Corporation, including over a decade of experience in the financial business sector.	The ORIX Group has also established a framework to respond to cyber and information security incidents and to mitigate the risk of security breaches, system failures and information leaks, including cyber attacks and damage to information security systems. A system has been established to assess the impact on operations and the likelihood of secondary damage in the event of a cyber and information security incident caused by cyber attacks. The Information Security Control Department analyzes and investigates the incident and also works with the legal department and compliance department to minimize the impact of the incident and prevent secondary damage. Any serious incidents are reported to the Executive Officer in charge of the Information Security Control Department and appropriate action is taken under his/her direction. The current Executive Officer in charge of information security at ORIX has extensive knowledge of information technology and security, cultivated through his experience with system development, project management and security management in over two decades at various international companies prior to joining ORIX Corporation, including over a decade of experience in the financial business sector.
In the current fiscal year, we did not identify any cyber or information security incidents that have materially affected or are reasonably likely to materially affect our business activities, results of operations or financial condition.	In the current fiscal year, we did not identify any cyber or information security incidents that have materially affected or are reasonably likely to materially affect our business activities, results of operations or financial condition.
(2) Governance	(2) Governance
The ORIX Group has established internal rules governing the structure, basic policies, management standards for information security, education, and audits in accordance with global standards for information security controls such as ISO and NIST.	The ORIX Group has established internal rules governing the structure, basic policies, management standards for information security, education, and audits in accordance with global standards for information security controls such as ISO and NIST.
The Information Security Management Rules stipulate that strategies and policies regarding cyber and information security and its response policies for cyber and information security incidents, are to be discussed and determined at the Information Technology Committee, consisting of the Group CEO, CFO and other members. In addition, the response status of any cyber or information security incident is reported to the Audit Committee by the Executive Officer in charge of the Information Security Control Department to ensure appropriate information sharing.	The Information Security Management Rules stipulate that strategies and policies regarding cyber and information security and its response policies for cyber and information security incidents, are to be discussed and determined at the Information Technology Committee, consisting of the Group CEO, chief financial officer (“CFO”) and other members. In addition, the response status of any cyber or information security incident is reported to the Audit Committee by the Executive Officer in charge of the Information Security Control Department to ensure appropriate information sharing.
We have a system in place to determine the seriousness of cyber or information security incidents, report to the Disclosure Committee in a timely manner, as well as to disclose information on cyber security risks, strategies, and governance on a regular basis, in addition to the status of incident management. In addition to the management of incidents, we have also established a system that enables regular disclosure of cyber security risks, strategies, and governance.	We have a system in place to determine the seriousness of cyber or information security incidents, report to the Disclosure Committee in a timely manner, as well as to disclose information on cyber security risks, strategies, and governance on a regular basis, in addition to the status of incident management. In addition to the management of incidents, we have also established a system that enables regular disclosure of cyber security risks, strategies, and governance.
We have also established company-wide security requirements with which all consolidated group companies must comply, such as keeping systems up to date through vulnerability management program and technical measures for network defense. We have also established internal rules for security log management that take into account physical and logical boundaries with external networks as well as information breaches caused by internal fraud.	We have also established company-wide security requirements with which all consolidated group companies must comply, such as keeping systems up to date through vulnerability management program and technical measures for network defense. We have also established internal rules for security log management that take into account physical and logical boundaries with external networks as well as information breaches caused by internal fraud.

・2024.06.25 20-F (Annual report - foreign issuer)	・2025.06.20 20-F (Annual report - foreign issuer)
Item 16K. Cybersecurity	Item 16K. Cybersecurity
Sony recognizes the importance of cybersecurity, both in achieving financial success for the company and in maintaining the trust of its stakeholders, which include shareholders, customers, employees, suppliers, and business partners.	Sony recognizes the importance of cybersecurity, both in achieving financial success for the company and in maintaining the trust of its stakeholders, which include shareholders, customers, employees, suppliers, and business partners.
Risk Management & Strategy	Risk Management & Strategy
As part of Sony’s risk management framework, Sony maintains and continuously strives to enhance its information security program. This program covers the entire Sony Group and is implemented in accordance with policies and standards, which include cybersecurity risk management and governance frameworks, and guidance, developed by Sony and based on globally recognized industry best practices and standards. The policies define information security responsibilities within Sony and outline certain actions and procedures that officers and employees are required to follow, including with respect to the assessment and management of cybersecurity risks to Sony, including its systems and information. The policies, standards, and guidance are structured to help Sony respond effectively to the dynamically changing environment of cybersecurity threats, cybersecurity risks, technologies, laws, and regulations. Sony modifies its policies, standards, and guidance as needed to adjust to this changing environment.	As part of Sony’s risk management framework, Sony maintains and continuously strives to enhance its information security program. This program covers the entire Sony Group and is implemented in accordance with policies and standards, which include cybersecurity risk management and governance frameworks, and guidance, developed by Sony and based on globally recognized industry best practices and standards. The policies define information security responsibilities within Sony and outline certain actions and procedures that officers and employees are required to follow, including with respect to the assessment and management of cybersecurity risks to Sony, including its systems and information. The policies, standards, and guidance are structured to help Sony respond effectively to the dynamically changing environment of cybersecurity threats, cybersecurity risks, technologies, laws, and regulations. Sony modifies its policies, standards, and guidance as needed to adjust to this changing environment.
If Sony’s cybersecurity risk management controls are overcome by a cyber attacker, Sony follows an incident response plan and escalation process as defined in the information security program. The response process includes an assessment of whether an incident may be material, and this assessment is adjusted as necessary as additional facts become known during the incident response. Any incident that is assessed as potentially material is escalated to Sony’s senior management and is reported to the two outside Directors in charge of information security on Sony Group Corporation’s Board of Directors (the “Board”).	If Sony’s cybersecurity risk management controls are overcome by a cyber attacker, Sony follows an incident response plan and escalation process as defined in the information security program. The response process includes an assessment of whether an incident may be material, and this assessment is adjusted as necessary as additional facts become known during the incident response. Any incident that is assessed as potentially material is escalated to Sony’s senior management and is reported to the two outside Directors in charge of information security on Sony Group Corporation’s Board of Directors (the “Board”).
In the fiscal year ended March 31, 2024, Sony was the victim of several cyberattacks. None of these incidents was assessed to be material, nor did they materially affect Sony’s business strategy, the results of its operations, or its financial condition. However, there can be no guarantee that this will be the case with a future incident. For more information about risks Sony faces from cyberattacks, please refer to “Sony’s brand image, reputation and business may be harmed and Sony may be subject to legal claims if there is a breach or other compromise of Sony’s information security or that of its third-party service providers or business partners.” included in “Risk Factors” in “Item 3. Key Information.”	In the fiscal year ended March 31, 2025, Sony was the victim of several cyberattacks. None of these incidents was assessed to be material, nor did they materially affect Sony’s business strategy, the results of its operations, or its financial condition. However, there can be no guarantee that this will be the case with a future incident. For more information about risks Sony faces from cyberattacks, please refer to “Sony’s brand image, reputation and business may be harmed and Sony may be subject to legal claims if there is a breach or other compromise of Sony’s information security or that of its third-party service providers or business partners.” included in “Risk Factors” in “Item 3. Key Information.”
Sony has also established policies and processes to help identify and manage cybersecurity risks associated with third parties, including companies that provide services and products to Sony, and companies that hold Sony information or have electronic access to Sony systems or information. The policies and processes include assessment of the cybersecurity and privacy programs at certain third parties, the use of this risk information when making contracting decisions, and the use of contract language that includes cybersecurity and privacy requirements.	Sony has also established policies and processes to help identify and manage cybersecurity risks associated with third parties, including companies that provide services and products to Sony, and companies that hold Sony information or have electronic access to Sony systems or information. The policies and processes include assessment of the cybersecurity and privacy programs at certain third parties, the use of this risk information when making contracting decisions, and the use of contract language that includes cybersecurity and privacy requirements.
Most of the information security program is implemented by Sony employees. Sony also engages the services of external providers to enhance and support its information security program, including leading cyber response specialists as may be needed, and consultants to evaluate and help improve organization, policies, and other aspects of the program.	Most of the information security program is implemented by Sony employees. Sony also engages the services of external providers to enhance and support its information security program, including leading cyber response specialists as may be needed, and consultants to evaluate and help improve organization, policies, and other aspects of the program.
Structure and Governance of Sony’s Information Security Program	Structure and Governance of Sony’s Information Security Program
Sony’s information security program is under the responsibility of a Senior Executive, specifically, the Sony Group Chief Digital Officer (“CDO”), and the Sony Group Chief Information Security Officer (“CISO”), who reports to the CDO.	Sony’s information security program is under the responsibility of a Senior Executive, specifically, the Sony Group Chief Digital Officer (“CDO”), and the Sony Group Global Information Security Officer (“GISO”), who reports to the CDO.
Under the leadership of the CDO and CISO, and supported by a global information security team that works across the entire Sony Group, Sony implements the cybersecurity risk management and governance frameworks that are described in its policies and standards. Each business segment of Sony has a senior information security leader, called an Executive Information Security Officer (“EISO”), who reports both to the CISO and to the senior management of the particular business unit. EISOs and their associated teams are responsible for ensuring implementation and operation of the information security program in a way that is tailored to each specific business unit, including as it relates to the assessment and management of cybersecurity risks. The CISO coordinates with the EISOs to monitor the proper implementation and compliance with Sony’s cybersecurity policies and standards.	Under the leadership of the CDO and the GISO, and supported by a global information security team that works across the entire Sony Group, Sony implements the cybersecurity risk management and governance frameworks that are described in its policies and standards. Each business segment of Sony has a senior information security leader, called an Executive Information Security Officer (“EISO”), who reports both to the GISO and to the senior management of the particular business unit. The EISOs and their associated teams are responsible for ensuring implementation and operation of the information security program in a way that is tailored to each specific business unit, including as it relates to the assessment and management of cybersecurity risks. The GISO coordinates with the EISOs to monitor the implementation of Sony’s cybersecurity policies and standards.
The current CDO has experience within Sony in launching and overseeing the development, technical operation, and business operations of large-scale network products and services, including overseeing implementation and operation of the information security program. The current CISO has more than 40 years of experience in cybersecurity. Before joining Sony, the CISO served as Deputy Chief Information Officer for Cybersecurity of the U.S. Department of Defense (the department’s equivalent of a CISO) and before that, as the Chief Information Assurance Executive at the Defense Information Systems Agency (DISA), an agency of the U.S. Department of Defense.	The current CDO has experience in launching and overseeing the development, technical operation, and business operations of large-scale network products and services at Sony, including overseeing implementation and operation of the information security program. The current GISO has more than 40 years of experience in cybersecurity. Before joining Sony, the GISO served as Deputy Chief Information Officer for Cybersecurity of the U.S. Department of Defense (the Department’s equivalent of a Chief Information Security Officer) and before that, as the Chief Information Assurance Executive at the Defense Information Systems Agency (DISA), an agency of the U.S. Department of Defense.
To oversee the information security program, the Sony Group CEO and COO receive regular reports from the CDO, monthly reports from the CISO, additional reports as needed during the response to a cyber incident, and briefings from the CDO and CISO at various times during the year. The head of each Sony business segment also receives the monthly reports from the CDO and the CISO, as well as reports and briefings from the business segment EISO.	The Sony Group CEO receives regular reports from the CDO and/or the GISO, additional reports as needed during the response to a cyber incident, and briefings from the CDO and GISO at various times during the year. The head of each Sony business segment also receives regular briefings from the CDO and the GISO, as well as reports and briefings from the business segment EISO.
The Board oversees Sony’s information security efforts, including in the following ways:	The Board oversees Sony’s information security risks, significant incidents, policies and key initiatives, including in the following ways. The full Board receives reports from the outside Directors in charge of information security as well as briefings several times a year from the CDO and the GISO, and also engages in discussion of these matters.
• Two outside Directors oversee Sony’s information security efforts, via monthly meetings and ad-hoc incident response communications with the CDO and CISO. Those meetings address, among other matters, significant cybersecurity incidents and Sony Group-level policies and key initiatives regarding cybersecurity.	• As of the date of this report, the following two outside Directors oversee Sony’s information security efforts, via monthly meetings and ad-hoc incident response communications with the CDO and GISO.(*)
- One of these two outside Directors has extensive experience in the development of large-scale information systems, including experience with management of the risks associated with cyberattacks.	- Joseph A. Kraft Jr., outside Director, serves simultaneously as the Chair of the Audit Committee.
- The other outside Director serves simultaneously as the Chair of the Audit Committee.	- Neil Hunt, outside Director, has extensive experience in the development of large-scale information systems, including experience with the management of cybersecurity risks.
• The full Board receives reports from the outside Directors in charge of information security and briefings several times a year from the CDO and the CISO. The full Board also engages in discussion of these matters.	* Sony Group Corporation has proposed “To elect 11 Directors” as an agenda item for the Ordinary General Meeting of Shareholders to be held on June 24, 2025. If the proposal is approved, three (3) outside Directors in charge of information security (the current outside Directors Joseph A. Kraft Jr. and Neil Hunt, and a new outside Director, Ms. Nora Denzel) will be appointed at the Board of Directors meeting to be held after the Ordinary General Meeting of Shareholders.
	- Ms. Nora Denzel has wide experience in information technology cultivated at several Silicon Valley-based companies, including experience with the management of cybersecurity risks.

・2024.06.20 20-F (Annual report - foreign issuer)	・2025.06.18 20-F (Annual report - foreign issuer)
Item 16K. Cybersecurity	Item 16K. Cybersecurity
Risk Management and Strategy	Risk Management and Strategy
Honda has established a management system and standards for information system security in order to minimize the negative impact on its business and business results from the occurrence of cybersecurity incidents. Based on these standards, we have implemented security measures in both hardware and software aspects to strengthen the security of our information systems. To address security, including product security, we have established a cross-functional system across business and manufacturing systems, software, quality, and other areas.	Honda has established a management system and standards for information system security in order to minimize the negative impact on its business and business results from the occurrence of cybersecurity incidents. Based on these standards, we have implemented security measures in both hardware and software aspects to strengthen the security of our information systems. To address security, including product security, we have established a cross-functional system across business and manufacturing systems, software, quality, and other areas.
We develop rules and procedures based on laws and regulations, formulate response flows, verify and implement measures for improvement through cybersecurity exercises, and develop human resources, among other things. We also utilize solutions for managing cybersecurity information and monitoring malicious activities to monitor and analyze cybersecurity threats and vulnerabilities, and in the event of a security incident related to a cyberattack with a significant impact on Honda, we establish a Global Emergency Headquarters under the supervision and monitoring of the Risk Management Officer, and the supervisory division in charge of risks from cybersecurity threats plays a central role in quickly ascertaining the actual situation and taking measures to minimize the impacts of cybersecurity incidents from a company-wide perspective.	We develop rules and procedures based on laws and regulations, formulate response flows, verify and implement measures for improvement through cybersecurity exercises, and develop human resources, among other things. We also utilize solutions for managing cybersecurity information and monitoring malicious activities to monitor and analyze cybersecurity threats and vulnerabilities, and in the event of a security incident related to a cyberattack with a significant impact on Honda, we establish a Global Emergency Headquarters under the supervision and monitoring of the Risk Management Officer, and the supervisory division in charge of risks from cybersecurity threats plays a central role in quickly ascertaining the actual situation and taking measures to minimize the impacts of cybersecurity incidents from a company-wide perspective.
When implementing third-party packaged software and cloud services, we make decisions based on risk assessments following established security standards and conduct annual checks after implementation. In response to cyberattacks on production facilities and suppliers, we verify the status of security measures at both domestic and overseas production facilities and suppliers. Based on the results of these verifications, we take measures to strengthen security, such as supporting the introduction of solutions for managing cybersecurity incident information, and monitoring malicious activities. For such activities to strengthen security, we have concluded outsourcing agreements with security consulting companies and external specialists to receive support.	When implementing third-party packaged software and cloud services, we make decisions based on risk assessments following established security standards and conduct annual checks after implementation. In response to cyberattacks on production facilities and suppliers, we verify the status of security measures at both domestic and overseas production facilities and suppliers. Based on the results of these verifications, we take measures to strengthen security, such as supporting the introduction of solutions for managing cybersecurity incident information, and monitoring malicious activities. For such activities to strengthen security, we have concluded outsourcing agreements with security consulting companies and external specialists to receive support.
With regard to personal information protection regulations and cybersecurity-related laws and regulations in various countries, in addition to current regulations, we collect and monitor information on regulatory trends that are expected to be enforced in the future.	With regard to personal information protection regulations and cybersecurity-related laws and regulations in various countries, in addition to current regulations, we collect and monitor information on regulatory trends that are expected to be enforced in the future.
These comprehensive cybersecurity response processes are incorporated into Honda’s comprehensive risk management system and will be discussed in detail in the following “Governance” section.	These comprehensive cybersecurity response processes are incorporated into Honda’s comprehensive risk management system and will be discussed in detail in the following “Governance” section.
For a description of information security-related risks, including risks from cybersecurity threats, identified by Honda as of the filing date of this Annual Report, please refer to Item 3. “Key Information—D. Risk Factors—Information Security Risks”.	For a description of information security-related risks, including risks from cybersecurity threats, identified by Honda as of the filing date of this Annual Report, please refer to Item 3. “Key Information—D. Risk Factors—Information Security Risks”.
Honda has been targeted by cyberattacks in the past; however, no risks from cybersecurity threats have been identified that have materially affected or are reasonably likely to materially affect us, including our business strategy, results of operations or financial condition, over the past three fiscal years, including the fiscal year that is the subject of this annual report.	Honda has been targeted by cyberattacks in the past; however, no risks from cybersecurity threats have been identified that have materially affected or are reasonably likely to materially affect us, including our business strategy, results of operations or financial condition, over the past three fiscal years, including the fiscal year that is the subject of this annual report.
Governance	Governance
Based on the resolution of the Board of Directors, the Board of Directors has appointed the Director, Executive Vice President and Representative Executive Officer as the Risk Management Officer, who monitors and supervises the response status of significant risks, including risks from cybersecurity threats.	Based on the resolution of the Board of Directors, the Board of Directors has appointed the Senior Managing Executive Officer and Chief Officer for Automobile Operations as the Risk Management Officer*, who monitors and supervises the response status of significant risks, including risks from cybersecurity threats.
The Risk Management Committee, chaired by the Risk Management Officer, has been established to deliberate on important matters related to risk management, including risk from cybersecurity threats. Honda has established the Honda Global Risk Management Policy, which stipulates the Company’s basic policy for risk management, the collection of risk information, and the response system in the event of risk occurrence.	The Risk Management Committee, chaired by the Risk Management Officer, has been established to deliberate on important matters related to risk management, including risk from cybersecurity threats. Honda has established the Honda Global Risk Management Policy, which stipulates the Company’s basic policy for risk management, the collection of risk information, and the response system in the event of risk occurrence.
In accordance with the aforementioned Policy, Honda has designated its cybersecurity supervisory divisions to conduct risk assessments and report the status of cybersecurity risk responses to the Risk Management Officer through the Risk Management Committee. The designated cybersecurity supervisory divisions consisted of 64 members as of the filing date of this Annual Report with practical experience in various roles related to information technology, including security, auditing, and systems are established in both the Quality Innovation Operations and Corporate Administration Operations divisions. The Risk Management Officer, who has knowledge and experience in overall risk management, receives technical support from the cybersecurity risk supervisory divisions, and monitors and supervises the responses to risks from cybersecurity threats.	In accordance with the aforementioned Policy, Honda has designated its cybersecurity supervisory divisions to conduct risk assessments and report the status of cybersecurity risk responses to the Risk Management Officer through the Risk Management Committee. The designated cybersecurity supervisory divisions consists of members with practical experience in various roles related to information technology, including security, auditing, and systems are established in both the Quality Innovation Operations and Corporate Administration Operations divisions. The Risk Management Officer, who has knowledge and experience in overall risk management, receives technical support from the cybersecurity risk supervisory divisions, and monitors and supervises the responses to risks from cybersecurity threats.
In the event of a material cybersecurity incident, the cybersecurity risk supervisory divisions are to immediately report it to the Risk Management Officer. Upon receiving the report, the Risk Management Officer is to establish a Global Emergency Headquarters, which coordinate with relevant organizations affected by the incident in order to prevent and contain the crisis. Such response status is reported to the Board of Directors and the Executive Council as necessary based on the judgment of the Risk Management Officer.	In the event of a material cybersecurity incident, the cybersecurity risk supervisory divisions are to immediately report it to the Risk Management Officer through the Risk Management Committee. Upon receiving the report, the Risk Management Officer is to establish a Global Emergency Headquarters, which coordinate with relevant organizations affected by the incident in order to prevent and contain the crisis. Such response status is reported to the Board of Directors and the Executive Council as necessary based on the judgment of the Risk Management Officer.
	* After the ordinary general meeting of shareholders to be held on June 19, 2025 and the resolution of the Board of Directors following such meeting, the position will become Director, Senior Managing Executive Officer and Chief Officer for Automobile Operations.

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

July 2025

2025.07.31

2025.07.30

2025.07.29

2025.07.28

2025.07.27

2025.07.26

2025.07.25

2025.07.24

2025.07.23

2025.07.22

2025.07.21

防衛白書

2025.07.20

2025.07.19

2025.07.18

2025.07.17

2025.07.16

2025.07.15

2025.07.14

2025.07.13

ガイドライン関係

ディスカッション・ペーパー

取組と課題

現状と課題

FATF関係資料

関係省庁等の取組

その他

2025.07.12

2025.07.11

2025.07.10

2025.07.09

2025.07.08

2025.07.07

2025.07.06

2025.07.05

2025.07.04

2025.07.03

2025.07.02

2025.07.01

ココログ

まるちゃん

関連団体

情報法関連Blog

情報法 Web

セキュリティ Blog

セキュリティ web

内部統制