まるちゃんの情報セキュリティ気まぐれ日記: January 2026

February 2026
Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28

January 2026

2026.01.31

欧州 ETSI EN 304 223 V2.1.1 (2025-12) 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)

こんにちは、丸山満彦です。

EUではAI法が施行され始めていますが、技術仕様としてETSI EN 304 223 V2.1.1 (2025-12) Securing Artificial Intelligence (SAI);
Baseline Cyber Security Requirements for AI Models and Systems 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件も確定して、公表されていますね...

この文書は、設計、開発、展開、保守、廃棄までのシステムライフサイクル全体にかかるセキュリティの標準になっていますね...

13の原則は次のとおりです...

AI Security Principles and Provisions	AIセキュリティ原則と規定
Secure Design	セキュア設計
Principle 1: Raise awareness of AI security threats and risks	原則 1：AIセキュリティ上の脅威とリスクに対する認識の向上
Principle 2: Design the AI system for security as well as functionality and performance	原則 2: セキュリティと機能性・性能を両立した AI システムの設計
Principle 3: Evaluate the threats and manage the risks to the AI system	原則 3：AIシステムに対する脅威評価とリスクマネジメント
Principle 4: Enable human responsibility for AI systems	原則 4：AIシステムに対する人間の責任の実現
Secure Development	セキュア開発
Principle 5: Identify, track and protect the assets	原則 5：資産の識別、追跡、防御
Principle 6: Secure the infrastructure	原則 6: インフラの保護
Principle 7: Secure the supply chain	原則 7：サプライチェーンの安全確保
Principle 8: Document data, models and prompts	原則 8：データ、モデル、プロンプトの文書化
Principle 9: Conduct appropriate testing and evaluation	原則 9: 適切なテストと評価の実施
Secure Deployment	セキュア展開
Principle 10: Communication and processes associated with End-users and Affected Entities	原則 10: エンドユーザーおよび影響を受ける事業体に関連するコミュニケーションとプロセス
Secure Maintenance	セキュア保守
Principle 11: Maintain regular security updates, patches and mitigations	原則 11：定期的なセキュリティ更新、パッチ適用、緩和策の実施
Principle 12: Monitor the system's behaviour	原則 12: システムの動作の監視
Secure End of Life	セキュア廃止
Principle 13: Ensure proper data and model disposal	原則 13：適切なデータおよびモデルの廃止の確保

● ETSI

・2025.01.15 ETSI releases world-leading standard for securing AI

ETSI releases world-leading standard for securing AI	ETSIがAIのセキュリティ確保に向けた世界最先端の標準を発表
Today ETSI announces the publication of its new standard, ETSI EN 304 223, that provides baseline cybersecurity requirements for AI models and systems. Building on the foundational work set out in its recent Technical Specification, it is a first globally applicable European Standard (EN) for AI cybersecurity. The EN has been extensively reviewed, and formally approved by National Standards Organisations voting, giving it a broader international scope and strengthening its authority across global markets.	本日、ETSIは新たな標準「ETSI EN 304 223」の公表を発表した。これはAIモデル及びシステムに対するサイバーセキュリティの基盤要件を規定するものである。最近の技術仕様で示された基礎的な取り組みを基に構築された本標準は、AIサイバーセキュリティ分野において世界で初めて適用可能な欧州標準（EN）となる。本標準は各国標準化機関による投票を経て正式に承認され、広範な国際的適用範囲と世界市場における権威性を強化している。
ETSI EN 304 223 establishes a robust framework to shield AI systems from growing and increasingly sophisticated cyber threats. Reinforcing the principles introduced in ETSI TS 104 223, the new standard guarantees a mature, structured and lifecycle-based set of baseline security requirements for AI models and systems.	ETSI EN 304 223は、増大し高度化するサイバー脅威からAIシステムを保護する強固な枠組みを確立する。ETSI TS 104 223で導入された原則を強化し、AIモデル及びシステム向けの成熟した構造化ライフサイクルベースの基盤セキュリティ要件を保証する。
The standard acknowledges that AI represents a distinct cybersecurity challenge that traditional software has not offered. Traditional software introduced the world to the need for cybersecurity awareness. Today the risks emerging from AI require cyber defences that account for these new and unique characteristics. These risks include data poisoning, model obfuscation, indirect prompt injection, and vulnerabilities created by complex data management and operational practices. The ETSI EN reconciles established best practices in cybersecurity with targeted, novel measures designed specifically for AI systems.	本標準は、AIが従来のソフトウェアでは生じなかった独自のサイバーセキュリティ課題をもたらすことを認識している。従来のソフトウェアは世界に対しサイバーセキュリティ意識の必要性を示したが、今日AIから生じるリスクには、こうした新奇かつ特異な特性を考慮した防御策が求められる。これらのリスクにはデータ・ポイズニング、モデル・難読化、間接的プロンプト・インジェクション、複雑なデータ管理・運用慣行が生む脆弱性などが含まれる。ETSI ENは確立されたサイバーセキュリティのベストプラクティスと、AIシステム向けに特別に設計された標的型の新規対策を調和させている。
Adopting a whole life-cycle approach, ETSI EN 304 223 defines 13 principles and requirements across five phases: secure design, secure development, secure deployment, secure maintenance, and secure end of life. Each one of these phases align with internationally recognised AI lifecycle models, ensuring consistency and interoperability with existing standards and guidance. Relevant standards and publications are referenced at the start of each principle to support implementation and harmonisation within the wider AI ecosystem.	全ライフサイクルアプローチを採用したETSI EN 304 223は、5つのフェーズ（セキュア設計、セキュア開発、セキュア展開、セキュア保守、セキュア廃棄）にわたり13の原則と要件を定義する。各フェーズは国際的に認知されたAIライフサイクルモデルと整合し、既存の標準やガイダンスとの一貫性と相互運用性を確保する。各原則の冒頭では、関連標準や出版物を参照することで、より広範なAIエコシステム内での実装と調和を支援している。
The EN will be instrumental for stakeholders throughout the AI supply chain, from vendors to integrators and operators, and will provide them with a clear and logical baseline for AI security. Its scope covers AI systems incorporating deep neural networks, including generative AI, and is developed for systems intended for real-world deployments. It reflects the expertise of international organisations, government bodies, and the cybersecurity and AI communities whose contributions ensure this collaborative, cross‑disciplinary effort is both globally relevant and practically applicable across diverse sectors.	この標準は、ベンダーからインテグレーター、オペレーターに至るAIサプライチェーン全体の関係者にとって有用であり、AIセキュリティの明確かつ論理的な基盤を提供する。その適用範囲は、生成的AIを含む深層ニューラルネットワークを組み込んだAIシステムをカバーし、実世界での展開を目的としたシステム向けに開発されている。国際機関、政府団体、サイバーセキュリティおよびAIコミュニティの専門知識を反映しており、これらの貢献により、この協力的かつ学際的な取り組みが世界的に関連性を持つと同時に、多様な分野で実用的に適用可能となっている。
Finally, an upcoming Technical Report, ETSI TR 104 159, will further this work with a domain-specific application of the ETSI EN 304 223 principles to generative AI, focusing on deepfakes, misinformation, disinformation, confidentiality risks, copyright and IPR concerns, while delivering more prescriptive specifications for this domain where necessary.	最後に、近々公開予定の技術報告書ETSI TR 104 159は、生成的AIに特化した形でETSI EN 304 223の原則を適用し、ディープフェイク、誤情報、偽情報、機密性リスク、著作権および知的財産権に関する懸念に焦点を当てつつ、必要に応じてこの分野向けのより規範的な技術仕様を提供する。
"ETSI EN 304 223 represents an important step forward in establishing a common, rigorous foundation for securing AI systems", said Scott Cadzow, Chair of ETSI's Technical Committee for Securing Artificial Intelligence". "At a time when AI is being increasingly integrated into critical services and infrastructure, the availability of clear, practical guidance that reflects both the complexity of these technologies and the realities of deployment cannot be underestimated. The work that went into delivering this framework is the result of extensive collaboration and it means that organisations can have full confidence in AI systems that are resilient, trustworthy, and secure by design."	「ETSI EN 304 223は、AIシステムのセキュリティ確保に向けた共通の厳格な基盤を確立する上で重要な前進だ」と、ETSI人工知能セキュリティ技術委員会委員長スコット・カズォウは述べた。「AIが重要サービスやインフラにますます統合される中、これらの技術の複雑性と展開の現実の両方を反映した明確で実践的な指針の重要性は計り知れない。この枠組みの策定には広範な協力が結実しており、組織は設計段階でレジリエンス・信頼性・安全性を備えたAIシステムを完全に信頼できるようになる。」

・[PDF]

・[DOCX][PDF] 仮訳

CSET AIがAIを構築するとき - AI研究開発の自動化に関するワークショップの知見 (2026.01)

こんにちは、丸山満彦です。

AIがAIを開発するようになったとき、AIの出力に対して人間が関与するというプロセスはどこまで機能するのか？

AIによるAI開発の自動化は、2028年の実現を目指している企業もあり、近い将来の実務上の課題となっていますよね。。。である。技術の進歩が人間の制御を離れないよう、ガバナンスと安全性の議論を並行して進める必要があるということなのでしょうが...

AIを利用している人はすでに気づいていると思うが、AIの出力に人間が関与しつづけるのは物理的に無理がありそうですね。人間が関与しきれていないAIの結果が溢れる時、人間の社会はどこまで事実に基づいた判断、行動ができるのか？

中国では、AIが出力したものにはマークをつけることになっているが、国外からもAIに生成された結果はどんどん入ってくるだろうしね。。。

今は、人間が意識して作ったものの中に人間が関与していないAI生成物がすこーし混じっているくらいだが、その比率が完全に逆転してしまったら...

いろいろと考えることはありそうですね...

● Center for Security and Emerging Technology: CSET

・2026.01 When AI Builds AI - Findings From a Workshop on Automation of AI R&D

Executive Summary	エグゼクティブサマリー
For decades, scientists have speculated about the possibility of machines that can improve themselves. Today, artificial intelligence (AI) systems are increasingly integral parts of the research pipeline at leading AI companies. Some observers see this as evidence that fully automated AI research and development (R&D) is on the way, potentially leading to a rapid acceleration of AI capabilities and impaired ability for humans to understand and control AI. Others see the use of AI for research as a mundane extension of existing software tools.	何十年もの間、科学者たちは自らを改善できる機械の可能性について推測してきた。今日、人工知能（AI）システムは、主要なAI企業における研究プロセスの不可欠な要素となりつつある。一部の観察者は、これを完全自動化されたAI研究開発（R&D）が目前に迫っている証拠と見なし、AI能力の急速な加速と、人間がAIを理解し制御する能力の低下につながる可能性があると指摘する。一方で、研究におけるAIの活用を既存ソフトウェアツールの平凡な拡張と見る者もいる。
This Workshop Report shares findings and conclusions from an expert workshop CSET hosted in July 2025. The workshop covered a range of issues related to automation of AI R&D. In this report, ‘AI R&D’ refers to scientific and engineering work that improves the capabilities of AI systems and ‘AI R&D automation’ refers broadly to any use of AI that accelerates progress in AI R&D.	本ワークショップ報告書は、CSETが2025年7月に主催した専門家ワークショップの知見と結論を共有するものである。ワークショップではAI R&Dの自動化に関連する多様な課題が議論された。本報告書において「AI R&D」とはAIシステムの能力向上を図る科学技術的作業を指し、「AI R&D自動化」とはAI R&Dの進展を加速させるあらゆるAIの活用を広く意味する。
Key takeaways from the workshop were as follows:	ワークショップの主な要点は以下の通りである：
1. Increasingly automated AI R&D is a potential source of major strategic surprise. While experts disagree on likelihood, scenarios are possible in which AI R&D becomes highly automated, the pace of AI R&D accelerates dramatically, and the resulting systems pose extreme risks. This warrants preparatory action now.	1. AI研究開発の自動化が進むことは、重大な戦略的サプライズの潜在的な要因である。専門家はその可能性について意見が分かれるものの、AI研究開発が高度に自動化され、そのペースが劇的に加速し、その結果として生み出されるシステムが極度のリスクをもたらすシナリオはあり得る。これは今、準備的な行動を取ることを正当化する。
2. Frontier AI companies are already using AI to accelerate AI R&D, and usage is increasing as AI models get more advanced. New models are often used internally to advance AI R&D before they are released to the public.	2. 最先端のAI企業は既にAIを活用してAI研究開発を加速させており、AIモデルの高度化に伴いその利用は増加している。新モデルは一般公開前に、内部でAI研究開発を推進するために使用されることが多い。
3. Experts’ views differ on how rapid and impactful AI R&D automation is likely to be. Even if the use of AI in AI R&D continues to increase, there is no consensus on whether AI progress is more likely to accelerate or plateau. What’s more, because different views are associated with different assumptions about how AI R&D works, new data on how AI R&D automation is progressing in practice may be insufficient to resolve conflicting perspectives. It thus may be difficult to either detect or rule out extreme ‘intelligence explosion’ scenarios in advance.	3. AI研究開発の自動化がどれほど急速かつ影響力を持つかについて、専門家の見解は分かれている。AI研究開発におけるAIの活用が今後も増加するとしても、AIの進歩が加速するか、それとも頭打ちになるかについては合意が得られていない。さらに、異なる見解はAI研究開発の仕組みに関する異なる仮定に基づいているため、AI研究開発自動化の進捗状況に関する新たな実データだけでは、相反する見解を解決するには不十分かもしれない。したがって、極端な「知能爆発」シナリオを事前に検知したり排除したりすることは困難かもしれない。
4. Despite challenges in interpreting new evidence, better access to indicators of progress in AI R&D automation would be valuable. Existing empirical evidence, including existing benchmark evaluations, is insufficient for measuring, understanding, and forecasting the trajectory of automated AI R&D. More systematic collection of existing indicators—as well as developing ways of gathering new indicators—could provide a significantly clearer picture.	4. 新たな証拠の解釈には課題があるものの、AI研究開発の自動化進捗を示す指標へのアクセス向上は価値がある。既存の実証的証拠（既存のベンチマーク評価を含む）は、自動化されたAI研究開発の軌跡を測定・理解・予測するには不十分だ。既存指標の体系的な収集と新たな指標収集手法の開発により、状況は大幅に明確化されるだろう。
5. Thoughtfully designed transparency efforts could improve access to valuable empirical information about AI R&D automation, which at present is almost fully dependent on patchy, voluntary releases of information from companies. While some early transparency mandates on frontier AI development have recently been enacted, they do not focus on indicators of progress in AI R&D automation. Policymakers have a range of options for how to increase visibility of these indicators.	5. 慎重に設計された透明性向上策は、AI研究開発の自動化に関する貴重な実証情報へのアクセスを改善し得る。現状では、こうした情報はほぼ完全に、企業による断片的で任意の情報開示に依存している。最先端AI開発に関する初期の透明性義務化措置が最近導入されたものの、AI研究開発自動化の進捗指標には焦点を当てていない。政策立案者は、これらの指標の可視性を高めるために様々な選択肢を有している。
The full report elaborates on these takeaways, including providing examples of how frontier AI companies are using AI for R&D, delving into experts’ differing views and assumptions, suggesting priority indicators to track, and laying out policy options and implications.	本報告書では、これらの要点を詳細に解説している。具体的には、最先端AI企業がAIを研究開発に活用する事例の提供、専門家の異なる見解や前提条件の掘り下げ、追跡すべき優先指標の提案、政策オプションと示唆の提示などである。

・[PDF]

・[DOCX][PDF] 仮訳

Continue reading "CSET AIがAIを構築するとき - AI研究開発の自動化に関するワークショップの知見 (2026.01)"

2026.01.31 00:00 in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

英国 NAO 監査の知見：2024-25年度NAO財務監査からの教訓と発見 (2026.01.26)

こんにちは、丸山満彦です。

英国の国家検査院（NAO）が年間に発行された個別の400の報告書を統合し、横断的な洞察を示した報告書を公表していますね。。。

英国のNAOでは、財務報告の監査のみならず、はやくからValue for Money監査を始めています。興味深い内容です。

ITアクセス権の話も少しありますね...

● UK National Audit Office: NAO

・2026.01.26 Audit insights: lessons and findings from the NAO’s financial audits in 2024-25

Audit insights: lessons and findings from the NAO’s financial audits in 2024-25	監査の知見：2024-25年度NAO財務監査からの教訓と発見
Background to the report	報告書の背景
This report, for the first time, brings together thematic insights from our recent financial audits and wider assurance work. It explains key accounting terms in the context of government finances, and highlights opportunities to strengthen financial management and reporting in government which can help improve productivity and resilience in public service delivery.	本報告書は、最近の財務監査及び広範な保証業務から得られたテーマ別知見を初めてまとめたものである。政府財政の文脈における主要な会計用語を説明し、公共サービス提供の生産性とレジリエンスを向上させるのに役立つ、政府の財務管理及び報告を強化する機会を強調する。
This report supports our strategic ambitions for:	本報告書は、以下の戦略的目標達成を支援するものである：
・more productive and resilient public services, and	・より生産的でレジリエンスのある公共サービス
・better financial management and reporting in government	・政府におけるより優れた財務管理と報告
Scope of the report	報告書の範囲
This report:	本報告書は：
・provides background and context to the National Audit Office’s annual cycle of financial audits, how we work with audited bodies, and how we report the results to Parliament	・国家監査局の年次財務監査サイクルの背景と文脈、監査対象団体との連携方法、議会への結果報告方法を説明する
・outlines the importance of good annual reports, focussing on two areas where there are opportunities to improve financial management and reporting in government	・優れた年次報告書の重要性を概説し、政府の財務管理と報告を改善する機会がある二つの分野に焦点を当てる
・sets out insights from our financial audits in three areas that present particular challenges to financial management and the production of timely, high-quality accounts	・財務管理とタイムリーで高品質な会計報告の作成に特に課題がある三つの分野における財務監査からの知見を示す

・[PDF]

追記に概要。。。

↓

Continue reading "英国 NAO 監査の知見：2024-25年度NAO財務監査からの教訓と発見 (2026.01.26)"

2026.01.31 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2026.01.30

ASKUL ランサムウェア攻撃によるシステム障害に伴う特別損失の計上、通期連結業績予想の取り下げ、中間配当・期末配当予想の修正（中間配当無配、期末配当未定）および役員報酬の減額に関するお知らせ他 (2026.01.28)

こんにちは、丸山満彦です。

ASKULのランサムウェア攻撃によるシステム障害対応費用を特別費用として特別損失に挙げていますね...52.16億円。。。

それ以外にも前期と比較し、売上減少に伴う利益減少（45億円）、一時的な物流効率の低下による物流費増（25億円のうち18億〜19億円）と言うのも影響額ですかね...

ざっとで120 億円程度の影響があったと言う感じですかね...

52億円の特別費用は、物流基盤を維持するための費用と、取引先ごとに今後発生しうる損害に対する引当金で全体の9割強となっているようです。ただ、BSを見てもそれっぽい引当金の顕著な増加は見られませんね...

アスクルさん頑張って欲しいですね...

● ASKUL

・2026.01.28 2026年５月期第２四半期（中間期）決算短信〔日本基準〕(連結)

・2026.01.28 2026年5月期第２四半期決算概要

これを見ると分かりやすいかもです...

・2026.01.29 2026年5月期第2四半期　決算説明資料（スクリプト付き）

・2026.01.29 アスクル株式会社 2026年5月期第2四半期決算説明質疑応答要旨

...

【ランサムウェア攻撃に伴う影響について】

Q：第 3 四半期以降、一過性コストや固定費増をどの程度見込んでいるのか？ロジスティクス事業の一時停止に伴う補償等の追加コストは発生するのか？

A：決算説明資料の 7 ページをベースにご説明すると、11 月度はランサムウェア攻撃の影響により大幅な減収となり、アスクル単体で約 300 億円の売上減が発生しており、限界利益ベースでは約 45 億円の利益減となる。また、一時的な物流効率の低下による物流費増の 25 億円については、夏場の猛暑による飲料等のケース品出荷の増加や、関東 DC 立ち上げ時に想定していた一時的な物流効率の低下（下期には改善見込み）も含まれているが、約 7 割にあたる 18～19 億円は、ランサムウェア攻撃に伴う手作業出荷などによる効率悪化が要因と考えている。

営業外費用については、稼働停止期間中に発生した物流センターや Web サイト等に係る償却費を計上している。これは本来であれば販管費として処理すべき費用を営業外として計上しているものであり、ランサムウェア攻撃による追加的なコストではない。

最も大きいのは特別損失の 52 億円であり、短期間で売上が急減した中でも当社の強みである物流基盤を維持するための車両確保など一定の維持コスト等が必要となった点が影響している。取引先への対応についても、契約上発生し得る損害額を見積もり計上しており、確定分と見積もり分の双方を含んでいる。これらはすべて第 2 四半期で織り込んでおり、第 3 四半期以降に大きな特別損失が新たに発生する見込みはない。なお、ロジスティクス事業も稼働停止の影響を受けている。以上を合計すると、第 2 四半期におけるランサムウェア関連の影響額は約 120 億円と見込んでいる。

Q：特別損失 52 億円の内訳について教えて頂きたい。出荷期限切れ商品の評価損の金額や対象品目、物流基盤の維持費用やシステム調査・復旧費用に要した人数規模、またその中には親会社からの支援も含まれているのか？

A：特別損失（システム障害対応費用）52 億円の主な内容は、物流基盤を維持するための費用と、取引先様ごとに今後発生し得る損害に対する引当金の 2 点であり、この 2 つで全体の約 9 割強を占めている。期限切れ商品の評価損や廃棄損については、規模としては数億円程度であり、応援に来ていただいた方の人件費等についても、大きな金額にはなっていない。

Q：第 3 四半期においても、償却費は営業外費用として計上されるのか？また、特別損失について、既にキャッシュアウトしている費用はあるのか？

A：営業外費用として計上している償却費は、稼働停止期間中に発生した減価償却費およびソフトウェア償却費で、本来は販管費となるものを営業外に振り替えて処理したものになる。稼働再開後は従来どおり販管費として計上されるため、あくまで区分が元に戻るという理解でいただきたい。特別損失については、第 2 四半期時点でキャッシュアウトしているものも一部あるが、第 3 四半期以降に確定し、追加でキャッシュアウトが発生する費用もある。

Q：下期は、ロジスティクス事業において大きな赤字が発生しないという理解でよいか？

A：ロジスティクス事業は 11 月度に大きな影響を受けたが、12 月中旬以降徐々に再開しており、12 月度も一定の影響は残るものの、その後は赤字幅が縮小していく見通しである。前期までは概ねマイナス 1 億円程度で推移していたが、今期、第 2 四半期はランサムウェアの影響によりマイナス 4 億円となっている。

...

【システム障害の原因／セキュリティ対策について】

Q：決算説明資料の 11 ページに記載されている原因分析について詳細を教えて頂きたい。

A：まず、ID・パスワードの漏洩については、業務委託先アカウントからのアクセスは確認しているものの、漏洩の直接的な原因はデータ上確認できていない。

バックアップについては、攻撃者がシステム内部に侵入し、一般的なランサムウェアの手法によりバックアップデータを暗号化したものである。ハードウェア機器に関するセキュリティ対策手順の課題については、一般的なネットワーク機器における脆弱性対策が十分に徹底されていなかった点にある。今後、このプロセスの健全化を進めていく方針である。

Ｑ：ランサムウェア被害におけるサイバー保険の有無や適用範囲について教えて頂きたい。

A：サイバー保険には加入しているが、今回のランサムウェア攻撃について満額の補償が出るわけではない。保険自体の補償範囲も限定的であるため、今回の被害額と比べると、保険金が下りたとしても補填されるのは一部にとどまる。

Q: 被害を受けたシステムの復旧やセキュリティ対策に要する今後の費用をどの程度見込んでいるのか？

A：最も被害を受けた物流システムについては既に再構築が完了しており、ソフトウェア投資も大きな金額ではないため、来期の業績に大きな影響を与えるものではないと考えている。一方で、セキュリティ対策は今後さらに強化していく必要があり、これまで手を抜いていたわけではないものの、最優先で投資していく方針である。ただし、セキュリティ関連の投資についても巨額になることは想定しておらず、業績への影響は限定的であるとみている。

...

・2026.01.28 2026年5月期_1月度月次業績のお知らせ

・2026.01.28 ランサムウェア攻撃によるシステム障害に伴う特別損失の計上、通期連結業績予想の取り下げ、中間配当・期末配当予想の修正（中間配当無配、期末配当未定）および役員報酬の減額に関するお知らせ

1．特別損失の計上について

...システム障害対応費用として特別損失 52 億 16 百万円を計上しております。これは主にサービス復旧に備えた物流基盤等の維持費用、システム調査・復旧費用、出荷期限切れ商品の評価損等になります。...

2．通期連結業績予想の取り下げについて

...（２）取り下げの理由

...すでに 2025年 12 月中旬より本格的なサービスの復旧フェーズをスタートし、お客様の信頼および業績を回復するために全社一丸となり、販売促進施策や営業活動の準備を進めておりますが、今後の見通しを合理的に見積もることは困難と判断し、2025 年 7 月 4 日公表の 2026 年 5 月期通期連結業績予想を取り下げ、未定とすることといたします。

3．中間配当・期末配当予想の修正（中間配当無配、期末配当未定）について

...（３）修正理由

...配当については、財務体質の強化を図りつつ、毎期の業績等を勘案しながら、中間配当と期末配当の年２回の剰余金の配当を安定的に行うことを基本方針としておりますが、本事案による一時的な業績への影響と売上高回復に向けた資金投下等を鑑み、誠に遺憾ながら、2025 年 11 月 20 日を基準日とする中間配当につきましては無配とさせていただきます。なお、期末配当につきましては、現時点では未定とさせていただき、今後の業績動向を見極めつつ慎重に検討してまいります。

4．役員報酬の減額について

（１）役員報酬減額の内容

このたびの業績への影響を受け、役員報酬の支給対象取締役に対する月額固定報酬を 20％減額といたします。

２）減額の期間

2026 年 1 月支給分から 2026 年 5 月支給分まで

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.12.14 ASKUL ランサムウェア攻撃の影響調査結果および安全性強化に向けた取り組みの報告 (2025.12.12)

・2025.11.30 アサヒホールディングスサイバー攻撃によるシステム障害発生についての記者会見他 (2025.11.27)

2026.01.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

IPA 「情報セキュリティ10大脅威 2026」を公開 (2026.01.29)

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2026」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの6年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この5年間で上昇していますね。。。

今年は「AIの利用をめぐるサイバーリスク」が3位に初登場。字を読んだだけではいまいち分かりにくいですが、、、

個人については、昨年から順序付けせずに、あいうえお順...

ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。

● IPA

・2025.01.30 情報セキュリティ10大脅威 2025

「個人」向け脅威（五十音順）	2026		「組織」向け脅威	2025
インターネット上のサービスからの個人情報の窃取		1位	ランサム攻撃による被害	1位
インターネット上のサービスへの不正ログイン		2位	サプライチェーンや委託先を狙った攻撃	2位
インターネットバンキングの不正利用	＊	3位	AIの利用をめぐるサイバーリスク	-
クレジットカード情報の不正利用		4位	システムの脆弱性を悪用した攻撃	3位
サポート詐欺（偽警告）による金銭被害		5位	機密情報等を狙った標的型攻撃	5位
スマホ決済の不正利用		6位	地政学的リスクに起因するサイバー攻撃（情報戦を含む）	7位
ネット上の誹謗・中傷・デマ		7位	内部不正による情報漏えい等	4位
フィッシングによる個人情報等の詐取		8位	リモートワーク等の環境や仕組みを狙った攻撃	6位
不正アプリによるスマートフォン利用者への被害		9位	DDoS攻撃（分散型サービス妨害攻撃）	8位
メールやSNS等を使った脅迫・詐欺の手口による金銭要求		10位	ビジネスメール詐欺	9位

＊：昨年ランク外から

過去からの流れ。。。

pdf

2026.01.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 個人情報保護 / プライバシー, in 脆弱性, in ウイルス, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

米国 NIST IR 8576（初期ドラフト）　公共交通サイバーセキュリティ枠組みコミュニティプロファイル

こんにちは、丸山満彦です。

NISTがIR 8576（初期ドラフト）　公共交通サイバーセキュリティ枠組みコミュニティプロファイルを公表し、意見募集をしていますね。。。

CSF 2.0をベースに、策定したものですね。。。このアプローチはガイドラインがとっちらからなくてよいですよね...で、

交通セクターの優先事項とベストプラクティスに沿っており、サイバーセキュリティ活動と成果の優先順位付けの指針として、あるいは新たなプログラム構築の出発点として活用できる。交通機関向けプロファイルは、交通機関が依存している、あるいは既に導入している既存のサイバーセキュリティプログラム、ガイドライン、ポリシーを補完するものであり、それらに取って代わるものではない。

ということのようです...

● NIST - ITL

・2026.01.22 NIST IR 8576 (Initial Public Draft) Transit Cybersecurity Framework Community Profile

NIST IR 8576 (Initial Public Draft)　Transit Cybersecurity Framework Community Profile	NIST IR 8576（初期ドラフト）　公共交通サイバーセキュリティ枠組みコミュニティプロファイル
Announcement	発表
Transit operators face increasing cybersecurity risks that can impact the delivery of safe and reliable services. They must manage IT and OT system risks while meeting strict safety and operating demands. The Transit Cybersecurity Framework (CSF) Community Profile is a voluntary, risk-based guide designed to help U.S. transit agencies enhance cybersecurity while maintaining safe and efficient transit services. Built on CSF 2.0, it translates transit mission needs into a cybersecurity outcomes baseline that transit agencies can adopt and tailor to their unique operational environments.	公共交通事業者は、安全で信頼性の高いサービスの提供に影響を及ぼす可能性のあるサイバーセキュリティリスクの増大に直面している。厳格な安全基準と運用要件を満たしつつ、ITシステムとOTシステムのリスクを管理しなければならない。公共交通サイバーセキュリティ枠組み（CSF）コミュニティプロファイルは、米国の公共交通機関が安全かつ効率的な交通サービスを維持しつつサイバーセキュリティを強化するための、自主的なリスクベースの指針である。CSF 2.0を基盤とし、公共交通の使命上の必要性をサイバーセキュリティ成果の基準に翻訳したもので、公共交通機関が独自の運用環境に合わせて採用・調整できる。
As a non-regulatory and neutral entity, NIST developed the Transit Profile in collaboration with the transit community to provide cybersecurity considerations and guidelines tailored to the sector’s unique challenges. By working closely with transit operators, federal agencies, and other stakeholders, NIST ensures the Profile reflects industry needs while supporting voluntary adoption of cybersecurity best practices.	非規制かつ中立的な事業体であるNISTは、交通業界の特有の課題に合わせたサイバーセキュリティ上の考慮事項とガイドラインを提供するため、交通コミュニティと協力して本プロファイルを開発した。NISTは交通事業者、連邦機関、その他の関係者と緊密に連携することで、業界のニーズを反映しつつ、サイバーセキュリティのベストプラクティスの自主的な採用を支援している。
Abstract	概要
This document is a Cybersecurity Framework (CSF) Community Profile developed to support United States-based transit agencies. This “Transit Profile” is aligned with transit sector priorities and best practices and can be used as a guide for prioritizing cybersecurity activities and outcomes or as a starting point for building a new program. The Transit Profile was developed to complement, not replace, any existing cybersecurity programs, guidelines, or policies that transit agencies may rely on or have in place.	本文書は、米国を拠点とする交通機関を支援するために開発されたサイバーセキュリティ枠組み（CSF）コミュニティプロファイルである。この「交通機関向けプロファイル」は、交通セクターの優先事項とベストプラクティスに沿っており、サイバーセキュリティ活動と成果の優先順位付けの指針として、あるいは新たなプログラム構築の出発点として活用できる。交通機関向けプロファイルは、交通機関が依存している、あるいは既に導入している既存のサイバーセキュリティプログラム、ガイドライン、ポリシーを補完するものであり、それらに取って代わるものではない。

・[PDF] NIST.IR.8576.ipd

Executive Summary	エグゼクティブサマリー
The Transit Cybersecurity Framework (CSF) Community Profile (“Transit Profile”) is a voluntary, risk-based guide designed to help U.S. transit agencies enhance cybersecurity while maintaining safe and efficient transit services. Built on the National Institute of Standards and Technology (NIST) CSF 2.0, it translates transit mission needs into a baseline of cybersecurity outcomes that transit agencies can adopt and tailor to their unique operational environments.	公共交通サイバーセキュリティ枠組み（CSF）コミュニティプロファイル（「公共交通プロファイル」）は、米国の公共交通機関が安全かつ効率的な交通サービスを維持しつつサイバーセキュリティを強化するための、自主的なリスクベースの指針である。国立標準技術研究所（NIST）CSF 2.0を基盤とし、公共交通のミッション要件をサイバーセキュリティ成果の基盤に翻訳したもので、各交通機関が独自の運用環境に合わせて採用・調整できる。
Transit agencies operate complex networks of business and operational systems, such as rail signaling, bus charging, scheduling, ticketing, and public information systems. The transition to digital, network-based communication has expanded the cyber attack surface, requiring agencies to manage cybersecurity risks alongside safety and operational demands. To address these challenges, the Transit Profile focuses on three strategic priorities: securing and managing critical assets to ensure safe and reliable operations, fostering collaboration with stakeholders and suppliers to enhance resilience and supply chain security, and continuously improving organizational processes and workforce cybersecurity awareness and capabilities.	公共交通機関は、鉄道信号、バス充電、運行計画、発券、公共情報システムなど、複雑な業務・運用システムのネットワークを運用している。デジタル化やネットワークベースの通信への移行によりサイバー攻撃対象領域が拡大し、安全性と運用上の要求に加え、サイバーセキュリティリスクの管理が機関に求められるようになった。これらの課題に対処するため、トランジット・プロファイルは三つの戦略的優先事項に焦点を当てる。安全で信頼性の高い運営を確保するための重要資産の保護と管理、レジリエンスとサプライチェーンの安全性を高めるための関係者・供給業者との連携促進、組織プロセスと従業員のサイバーセキュリティ意識・能力の継続的改善である。
The Transit Profile can help transit agencies focus resources on cybersecurity activities aligned with these strategic priorities by mapping them to relevant CSF Subcategories. This enables transit leaders to prioritize cybersecurity capabilities, perform gap analyses, and make informed decisions. The Profile integrates industry-specific cybersecurity considerations and guidelines for agencies of all sizes, including small- and medium-sized transit agencies (SMTAs) with limited resources, and supports scalable actions based on size and maturity. The Profile can enhance existing cybersecurity programs, helping agencies adopt best practices, establish a shared taxonomy for discussing cybersecurity risk with leadership, plan strategically, and communicate cybersecurity needs to stakeholders, suppliers, and funding entities.	トランジット・プロファイルは、これらの戦略的優先事項に関連するCSFサブカテゴリーにマッピングすることで、交通機関がリソースをこれらの活動に集中させることを支援する。これにより、交通機関のリーダーはサイバーセキュリティ能力の優先順位付け、ギャップ分析の実施、情報に基づいた意思決定が可能となる。本プロファイルは、業界固有のサイバーセキュリティ上の考慮事項とガイドラインを統合し、限られた資源を持つ中小規模交通機関（SMTA）を含むあらゆる規模の機関に対応する。また、規模と成熟度に基づいた拡張可能な行動を支援する。本プロファイルは既存のサイバーセキュリティプログラムを強化し、機関がベストプラクティスを採用し、経営陣とサイバーセキュリティリスクを議論するための共通分類法を確立し、戦略的に計画を立て、ステークホルダー、サプライヤー、資金提供事業体にサイバーセキュリティの必要性を伝達することを支援する。
The Profile is intended to complement, not replace, existing programs, standards, and regulatory obligations. As a non-regulatory and neutral entity, NIST developed the Transit Profile in collaboration with the transit community to provide cybersecurity considerations and guidelines tailored to the sector’s unique challenges. By working closely with transit operators, federal agencies, and other stakeholders, NIST ensures the Profile reflects industry needs while supporting voluntary adoption of cybersecurity best practices.	本プロファイルは、既存のプログラム、標準、規制上の義務を補完するものであり、それらに取って代わるものではない。非規制かつ中立的な事業体として、NISTは交通機関コミュニティと協力して交通機関向けプロファイルを開発し、この分野特有の課題に合わせたサイバーセキュリティ上の考慮事項とガイドラインを提供した。NISTは交通事業者、連邦機関、その他の利害関係者と緊密に連携することで、プロファイルが業界のニーズを反映しつつ、サイバーセキュリティのベストプラクティスの自主的な採用を支援することを保証している。
1. Introduction	1. 序論
The National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF) 2.0 introduced the concept of a Community Profile. A Community Profile is a baseline of CSF cybersecurity outcomes that is created and published to address shared interests and goals among a number of organizations. It is typically developed for a particular sector, subsector, technology, threat type, or other use case, and can be used by an organization as the basis for its own Organizational Target Profile [CSF2.0].	国立標準技術研究所（NIST）のサイバーセキュリティ枠組み（CSF）2.0は、コミュニティプロファイルの概念を導入した。コミュニティプロファイルとは、複数の組織間で共有される関心事や目標に対応するために作成・公開される、CSFサイバーセキュリティ成果の基盤である。通常、特定のセクター、サブセクター、技術、脅威の種類、その他のユースケース向けに開発され、組織が自らの組織別目標プロファイル[CSF2.0]の基盤として利用できる。
NIST developed the Transit Profile to provide a voluntary, risk-based approach for managing cybersecurity activities, reducing cybersecurity risks, and improving the cybersecurity posture of the transit community.	NISTは、公共交通コミュニティにおけるサイバーセキュリティ活動の管理、サイバーセキュリティリスクの低減、サイバーセキュリティ態勢の改善に向けた自発的かつリスクベースのアプローチを提供するため、公共交通プロファイルを開発した。
1.1. Purpose and Scope	1.1. 目的と範囲
This document represents a CSF Community Profile that describes shared interests, goals, and outcomes for mitigating cybersecurity risk within the transit community. Transit agencies, as defined in this Profile, include owners and operators of public transportation services, including bus and transit rail systems (e.g., light rail, subway, commuter rail), as well as affiliated entities such as county governments overseeing and/or funding transit operations.	本文書は、公共交通コミュニティにおけるサイバーセキュリティリスク緩和のための共通の関心事項、目標、成果を記述するCSFコミュニティプロファイルである。本プロファイルで定義する公共交通機関には、バスや公共鉄道システム（例：ライトレール、地下鉄、通勤鉄道）を含む公共交通サービスの所有者・運営者、ならびに公共交通運営を監督・資金提供する郡政府などの関連事業体が含まれる。
The Transit Profile suggests prioritization of cybersecurity outcomes to meet specific strategic business/mission focus areas for the transit community and identifies relevant and actionable security practices that can be implemented in support of those areas. It is intended to complement, not replace, any existing cybersecurity programs, guidelines, or policies that transit agencies may already have in place.	本トランジット・プロファイルは、公共交通コミュニティの特定の戦略的事業／ミッション重点領域に対応するため、サイバーセキュリティ成果の優先順位付けを提案し、それらの領域を支援するために実施可能な関連性のあるセキュリティ実践を識別する。これは、公共交通機関が既に導入している既存のサイバーセキュリティプログラム、ガイドライン、またはポリシーを補完するものであり、それらに取って代わるものではない。
The Transit Community Profile:	公共交通コミュニティ・プロファイル：
• Describes a shared taxonomy to support communication about cybersecurity risk management for transit owners/operators	• 交通機関の所有者・運営者向けサイバーセキュリティリスクマネジメントに関する共通の分類体系を提示する
• Offers a framework to aggregate transit cybersecurity considerations and guidelines from multiple industry resources	• 複数の業界リソースから交通機関のサイバーセキュリティに関する考慮事項とガイドラインを集約する枠組みを提供する
• Develops common target outcomes that transit owners and operators can use to support strategic planning efforts and cybersecurity assessments	• 交通機関の所有者・運営者が戦略的計画策定やサイバーセキュリティアセスメントに活用できる共通目標成果を開発する
• Assists in identifying and communicating cybersecurity needs to the broader transit community of suppliers, operating partners, and funding entities	• 供給業者、運営パートナー、資金提供事業体など広範な交通コミュニティに対し、サイバーセキュリティニーズの特定と伝達を支援する
• Provides scalable and achievable cybersecurity considerations and guidelines for transit owners/operators of all sizes	• あらゆる規模の交通機関所有者・運営者向けに、拡張性と実現可能性を備えたサイバーセキュリティ上の考慮事項とガイドラインを提供する。
1.2. Audience	1.2. 対象読者
This document focuses on cybersecurity considerations specific to transit agencies and assumes readers have a foundational understanding of operational technology (OT) and general information technology (IT) security concepts. The intended audience includes:	本文書は交通機関特有のサイバーセキュリティ上の考慮事項に焦点を当て、読者が運用技術（OT）および一般的な情報技術（IT）セキュリティ概念の基礎的理解を有することを前提とする。対象読者は以下の通りである：
• Control engineers, integrators, system suppliers, and architects involved in designing or implementing secure transit systems.	• 安全な交通システムの設計または実装に携わる制御エンジニア、インテグレーター、システム供給業者、アーキテクト。
• System and network administrators, cybersecurity professionals, physical security personnel, and OT operators responsible for managing, patching, or securing transit systems.	• 交通システムの管理、パッチ適用、セキュリティ確保を担当するシステム・ネットワーク管理者、サイバーセキュリティ専門家、物理的セキュリティ担当者、OTオペレーター。
• Executives and management teams overseeing transit operations.	• 交通運営を監督する経営幹部および管理チーム。
• Senior security officials evaluating cyber risks and implementing cybersecurity programs to support transit operations.	• 交通運営を支援するため、サイバーリスクを評価しサイバーセキュリティプログラムを実施する上級セキュリティ担当者。
• Affiliated entities, such as federal agencies and county governments that oversee and/or fund transit agencies.	• 交通機関を監督および／または資金提供する連邦機関や郡政府などの関連事業体。
• Transit industry associations and researchers seeking to understand the unique cybersecurity needs of transit systems.	• 交通システムの特有のサイバーセキュリティニーズを理解しようとする交通業界団体および研究者。
1.3. Document Structure	1.3. 文書構成
The remainder of the Transit Profile is divided into the following sections:	本交通プロファイルの残りの部分は以下のセクションに分かれる：
• Section 2 provides a summary of challenges to securing transit systems.	• セクション2は交通システムのセキュリティ確保における課題の概要を提供する。
• Section 3 provides an overview of the NIST CSF 2.0.	• セクション3はNIST CSF 2.0の概要を説明する。
• Section 4 describes the Transit Profile development methodology.	• セクション4は交通プロファイルの開発手法を記述する。
• Section 5 provides the transit sector-specific rationale, guidelines, and considerations for prioritized CSF Subcategories.	• セクション5は優先順位付けされたCSFサブカテゴリーに関する交通セクター固有の根拠、ガイドライン、考慮事項を提供する。
• References provide a list of references used in the development of this document.	• 参考文献は、本文書作成に使用した参考文献の一覧を提供する。
• Appendix A provides a selected bibliography of resources used to inform the Profile.	• 附属書Aは、プロファイル作成の参考とした選定文献目録を提供する。
• Appendix B provides a complete listing of all CSF Subcategory designations.	• 附属書Bは、全てのCSFサブカテゴリーの名称を完全なリストとして提供する。
• Appendix C provides a list of acronyms and abbreviations used in this document.	• 附属書Cは、本文書で使用した頭字語と略語の一覧を提供する。
2. Challenges to Securing Transit Systems	2. 公共交通システムのセキュリティ確保における課題
Transit agencies manage a complex network of business and operational systems in service to their mission. Examples can include:	公共交通機関は、その使命を果たすために複雑な業務・運用システムのネットワークを管理している。例としては以下が挙げられる：
• Rail signaling and train control systems	• 鉄道信号および列車制御システム
• Bus fueling, battery-electric charging, and charge management systems	• バス燃料補給、バッテリー電気充電、充電管理システム
• Scheduling and dispatching	• 運行計画と配車
• Facility management systems	• 施設管理システム
• Emergency communications systems	• 緊急通信システム
• Control and communication systems	• 制御およびコミュニケーションシステム
• Ticketing systems	• チケットシステム
• Command centers	• 指令センター
• Revenue collection systems, including back office and fare payment systems	• 収益徴収システム、バックオフィスおよび運賃支払いシステムを含む
• Public information systems, such as station-based electronic signage and web and mobile applications/systems	• 公共情報システム、例えば駅に設置された電子看板やウェブ・モバイルアプリケーション／システムなど
Traditionally, many of these systems relied on direct connections for communications. Today, communication between and among these systems is digital and network-based, including through the extensive use of wireless connectivity. This dependence on digital technology and interconnections to sustain daily operations has widened the cyber attack surface for transit agencies. Operators must now manage the cybersecurity risk of their IT and OT systems while meeting increasingly demanding safety and operating requirements.	従来、こうしたシステムの多くはコミュニケーションに直接接続に依存していた。今日では、これらのシステム間のコミュニケーションはデジタル化されネットワークベースとなり、無線接続の広範な利用も含まれる。日常業務を維持するためのデジタル技術と相互接続への依存は、交通機関のサイバー攻撃対象領域を拡大させた。運営者は今や、ますます厳しくなる安全性と運用要件を満たしつつ、ITシステムとOTシステムのサイバーセキュリティリスクを管理しなければならない。
Several aspects of the transit sector make it uniquely challenging to protect and require a more tailored approach to prioritize and apply cybersecurity risk management measures. These include:	交通部門には、防御が特に困難で、サイバーセキュリティリスクマネジメント措置の優先順位付けと適用により特化したアプローチを必要とする点がいくつかある。具体的には以下の通りだ：
• Safety-centric culture. A transit agency’s top responsibility is safety. Cybersecurity knowledge and awareness in many agencies is still maturing. The American Public Transportation Association (APTA), federal agencies, suppliers, and the operating agencies themselves have worked to develop and organize resources to advance cybersecurity awareness and protections specific to transit operations. Cybersecurity measures and training must continue to be integrated into an agency’s overall safety framework to improve effectiveness.	• 安全中心の文化。交通機関の最優先責任は安全である。多くの機関ではサイバーセキュリティに関する知識と認識がまだ成熟段階にある。米国公共交通協会（APTA）、連邦機関、サプライヤー、そして運営機関自身が連携し、公共交通事業に特化したサイバーセキュリティ意識向上および保護策を推進するための資源開発・体系化に取り組んできた。効果を高めるためには、サイバーセキュリティ対策と訓練を機関全体の安全枠組みに継続的に統合する必要がある。
• Safety-critical control systems. Safety-critical control systems—such as signaling and train control for rail, and steering, acceleration, and brake control for buses—are governed by standards which may not fully account for cybersecurity risk. Cybersecurity risk mitigations for these systems must be carefully implemented to ensure they meet safety and industry standards without triggering the need for safety recertification.	• 安全上重要な制御システム。鉄道の信号・列車制御システムや、バスの操舵・加速・ブレーキ制御システムなど、安全上重要な制御システムは、サイバーセキュリティリスクを完全に考慮していない標準によって管理されている。これらのシステムに対するサイバーセキュリティリスク緩和策は、安全基準や業界基準を満たしつつ、安全再認証の必要性を引き起こさないよう慎重に実施されねばならない。
• Long-lived and legacy systems. Most transit agencies simultaneously manage both modern and legacy IT and OT infrastructure and systems. Many systems and assets in the transit sector have long lifecycles measured in decades, not years, and may not be able to accommodate modern cybersecurity controls (e.g., multifactor authentication (MFA), advanced encryption). This is evident in legacy systems and also applies to longlived OT systems that are remote, difficult to access, or challenging to update. Retrofitting these systems for cybersecurity purposes can be cost-prohibitive and disruptive, and compensating cybersecurity controls may be needed to meet security outcomes.	• 長寿命かつレガシーなシステム。ほとんどの交通機関は、現代的なIT・OTインフラとレガシーなIT・OTインフラ・システムを同時に管理している。交通分野の多くのシステムや資産は、数年ではなく数十年単位の長いライフサイクルを持ち、現代的なサイバーセキュリティ対策（例：多要素認証（MFA）、高度な暗号化）に対応できない場合がある。これはレガシーシステムに顕著であり、遠隔地にある、アクセスが困難な、更新が難しい長寿命のOTシステムにも当てはまる。これらのシステムをサイバーセキュリティ対策のために改修することは、費用がかかりすぎて現実的ではなく、業務に支障をきたす可能性がある。そのため、セキュリティ目標を達成するには、代替となるサイバーセキュリティ対策が必要となる場合がある。
• Communication systems. Communication systems (e.g., Wi-Fi, radio, cellular, satellite, wired) are the backbone of public transit operations, supporting coordination between buses, vehicles, trains, control centers, and infrastructure. They facilitate real-time updates, signaling, dispatching, and monitoring. Any disruption or compromise of these systems can lead to operational failures and delays, adversely affecting the safety and reliability of transit systems.	• コミュニケーションシステム。コミュニケーションシステム（例：Wi-Fi、無線、携帯電話、衛星、有線）は公共交通運営の基盤であり、バス、車両、列車、管制センター、インフラ間の連携を支えている。これらはリアルタイムの更新、信号伝達、配車、監視を可能にする。これらのシステムの障害や侵害は、運行の失敗や遅延を引き起こし、交通システムの安全性と信頼性に悪影響を及ぼす。
• Vendor supply chain. Transit agency systems and components are supplied by a large variety of domestic and global suppliers. Likewise, transit agencies rely heavily on vendor services and contractors to install, manage, and maintain their IT and OT systems and infrastructure. Cybersecurity supply chain risk management must be part of an organization-wide risk management strategy.	• ベンダーのサプライチェーン。交通機関のシステムや構成部品は、国内外の多様なサプライヤーから供給されている。同様に、交通機関はITシステムやOTシステム、インフラの設置・管理・保守においてベンダーサービスや請負業者に大きく依存している。サイバーセキュリティのサプライチェーンリスクマネジメントは、組織全体のリスクマネジメント戦略の一部でなければならない。
• Distributed and mobile operations. Transit operations and their support systems are geographically dispersed with rolling stock. Rail operators, for example, manage systems and sensors that encompass the rail network and associated facilities. Likewise, bus operators support moving assets, garages, and maintenance facilities that are deployed across a metropolitan region.	• 分散型・移動型運用。交通運用とその支援システムは、車両と共に地理的に分散している。例えば鉄道事業者は、線路網と関連施設を網羅するシステムやセンサーを管理する。同様にバス事業者は、大都市圏全体に展開された移動資産、車庫、保守施設を支援する。
• Physical security concerns. Transit assets and infrastructure are both accessible to and used by the public. Many of the supporting systems are also distributed across a broad region, making physical security more challenging and exposing certain elements, such as telecommunications systems or wayside equipment, to potential unauthorized physical and logical access by malicious actors.	• 物理的セキュリティ上の懸念。公共交通資産とインフラは一般市民が利用可能であり、実際に利用されている。多くの支援システムも広域に分散しているため、物理的セキュリティの確保がより困難であり、通信システムや沿線設備などの特定要素が悪意ある者による不正な物理的・論理的アクセスに晒されるリスクがある。
• Funding. Transit agencies, as public sector entities, generally rely on subsidies to cover their capital and operating costs. This creates a unique challenge in obtaining the necessary funds to implement and manage cybersecurity measures for protecting their systems. While agencies can pursue a variety of funding sources, such as capital funding, operating funding, and grant funding, these sources must address multiple competing priorities. Additionally, even when funding is approved, it typically involves a lengthy authorization process, making it difficult to secure resources for cybersecurity needs. This unpredictability and long lead time can work against efforts to address cybersecurity needs promptly.	• 資金調達。公共交通機関は公共部門の事業体として、一般的に資本コストと運営コストを賄うために補助金に依存している。このため、システム防御のためのサイバーセキュリティ対策を実施・管理するに必要な資金調達が特有の課題となる。機関は資本資金、運営資金、助成金など多様な資金源を追求できるが、これらの資金源は複数の競合する優先事項に対応しなければならない。さらに、資金が承認された場合でも、通常は長い認可プロセスを伴うため、サイバーセキュリティのニーズに対応する資源を確保するのは困難だ。この予測不可能性と長いリードタイムは、サイバーセキュリティのニーズに迅速に対応する取り組みの妨げとなり得る。

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.12.26 米国 NIST IR 8596（初期ドラフト）人工知能向けサイバーセキュリティ枠組みプロファイル（Cyber AI Profile）：NISTコミュニティプロファイル (2025.12.16)

・2025.10.03 米国 NIST IR 8183 Rev. 2 (初期公開ドラフト) サイバーセキュリティ・フレームワーク2.0 製造業プロファイル (2025.09.29)

・2025.08.22 米国 NIST CSWP 51（初期公開ドラフト）交通機関のサイバーセキュリティフレームワークコミュニティプロファイルの開発：プロジェクトの最新情報

・2025.04.07 米国 NIST SP 800-61 Rev. 3 サイバーセキュリティリスク管理のためのインシデント対応に関する推奨事項および考慮事項：CSF 2.0 コミュニティプロファイル (2025.04.03)

・2025.03.11 米国 NIST IR 8546（初期公開ドラフト）サイバーセキュリティフレームワーク2.0 半導体製造プロファイル (2025.02.27)

・2025.01.26 米国 NIST IR 8374 Rev.1（初期公開ドラフト）ランサムウェアのリスクマネジメント：サイバーセキュリティフレームワーク2.0コミュニティ (2025.01.13)

・2024.12.26 米国 NIST CSWP 35（初期公開ドラフト）ゲノムデータシーケンスワークフローのサイバーセキュリティ脅威モデリング：ゲノムデータシーケンスおよび分析のための脅威モデル実装例

・2024.12.26 米国 NIST IR 8467 (第２次公開ドラフト) ゲノムデータのサイバーセキュリティとプライバシーフレームワークコミュニティプロファイル (2024.12.16)

・2024.07.31 米国 NIST SP 800-218A 生成的AIとデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス： SSDFコミュニティプロファイル

・2024.04.05 米国意見募集 NIST SP 800-61 Rev.3（初期公開ドラフト）サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項： CSF 2.0 コミュニティプロファイル

・2024.03.07 米国 NSIT サイバーセキュリティ・フレームワーク（CSF）2.0 関連 SP 1299, 1300, 1301, 1302, 1303, 1305 (2024.02.26)

・2024.03.06 米国 NIST CSWP 32（初期公開ドラフト）サイバーセキュリティフレームワーク 2.0：コミュニティプロファイル作成ガイド (2024.02.26)

・2024.02.28 米国 NIST CSWP 29 NISTサイバーセキュリティフレームワーク（CSF）2.0

2026.01.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.29

米国 NIST SP 800-82「運用技術（OT）セキュリティガイド」の改訂プロセスを開始 (2026.01.22)

こんにちは、丸山満彦です。

NISTがｍ2023年9月に公表された、NIST SP 800-82　Rev.3の発表後に得られた教訓を反映し、関連するNISTガイダンス（例：サイバーセキュリティ枠組み（CSF）2.0、NIST IR 8286 Rev. 1、NIST SP 800-53 Rev. 5.2.0）およびOTサイバーセキュリティ標準・実践と整合させ、OT脅威環境の変化に対応するため、Rev.4への改訂をすすめているようですね...

● NIST - ITL

・2026.01.22 NIST SP 800-82 Rev. 4 (Initial Preliminary Draft) Pre-Draft Call for Comments: Guide to Operational Technology (OT) Security

NIST SP 800-82 Rev. 4 (Initial Preliminary Draft) Pre-Draft Call for Comments: Guide to Operational Technology (OT) Security	NIST SP 800-82 Rev. 4（初期ドラフト）ドラフト前の意見募集：運用技術（OT）セキュリティガイド
Announcement	お知らせ
NIST has initiated the process of revising SP 800-82, Guide to Operational Technology (OT) Security, to incorporate lessons learned, align with relevant NIST guidance (e.g., Cybersecurity Framework (CSF) 2.0, NIST IR 8286 Rev. 1, NIST SP 800-53 Rev. 5.2.0) and OT cybersecurity standards and practices, and address changes in the OT threat landscape.	NISTはSP 800-82「運用技術（OT）セキュリティガイド」の改訂プロセスを開始した。これは、得られた教訓を反映し、関連するNISTガイダンス（例：サイバーセキュリティ枠組み（CSF）2.0、NIST IR 8286 Rev. 1、NIST SP 800-53 Rev. 5.2.0）およびOTサイバーセキュリティ標準・実践と整合させ、OT脅威環境の変化に対応するためである。
NIST invites the public to suggest improvements on the document’s effectiveness, relevance, and general use to better help the OT community understand and manage their cybersecurity risk.	NISTは、OTコミュニティがサイバーセキュリティリスクを理解し管理する上でより役立つよう、本文書の有効性、関連性、一般的な利用性に関する改善提案を公衆から募集する。
The public comment period is open through February 23, 2026. Submit comments to sp800-82rev4@nist.gov with the subject “Comments on SP 800-82.”	パブリックコメントの受付期間は2026年2月23日までである。コメントは件名を「SP 800-82に関するコメント」としてsp800-82rev4@nist.gov宛に提出すること。
Specifically, NIST requests input on the following proposed changes:	具体的には、NISTは以下の変更案について意見を求めます：
1. Expanded guidance for different types of OT systems	1. 様々な種類のOTシステムに対するガイダンスの拡充
The proposed revision would expand guidance for different types of OT systems (e.g., building automation systems, transit systems, maritime systems). What types of OT systems should be highlighted in this expanded guidance?	提案された改訂では、様々な種類のOTシステム（例：ビルオートメーションシステム、交通システム、海事システム）に対するガイダンスを拡充する。この拡充されたガイダンスで特に強調すべきOTシステムの種類は何か？
2. Expanded guidance for the application of technologies and capabilities in OT environments	2. OT環境における技術・機能の適用に関する拡張ガイダンス
The proposed revision would provide new or expanded guidance on the use of various technologies and capabilities (e.g., behavioral anomaly detection, digital twins, Internet of Things, artificial intelligence, machine learning, zero trust, cloud, 5G and advanced wireless, edge computing) in OT environments. What technologies and capabilities should be highlighted in the revised guidance?	提案された改訂では、OT環境における様々な技術・機能（例：行動異常検知、デジタルツイン、モノのインターネット、人工知能、機械学習、ゼロトラスト、クラウド、5G及び先進無線技術、エッジコンピューティング）の使用に関する新規または拡張されたガイダンスを提供する。改訂ガイダンスで強調すべき技術・機能は何か？
3. Updates to OT threats, vulnerabilities, standards, and recommended practices	3. OT脅威、脆弱性、標準、推奨実践の更新
The proposed revision would update guidance throughout the document to align with current OT cybersecurity standards and recommended practices. Updates would also be made to the OT threat landscape, vulnerabilities, incidents that have occurred, current activities in OT cybersecurity, and the cybersecurity capabilities, tools, and mitigations sections. How can NIST best both capture theses updates and provide an ongoing reference to other resources?	提案された改訂では、現在のOTサイバーセキュリティ標準および推奨実践に整合させるため、文書全体のガイダンスを更新する。また、OT脅威状況、脆弱性、発生したインシデント、OTサイバーセキュリティにおける現在の活動、ならびにサイバーセキュリティ能力、ツール、緩和策のセクションについても更新が行われる。NISTはこれらの更新をどのように捉え、他のリソースへの継続的な参照を提供するのが最適か？
4. Move various appendices to separate documents or web resources	4. 各種附属書を別文書またはウェブリソースへ移動
The proposed revision would move Appendix F (OT Overlay), to its own separate document. The proposed revision would also move Appendix C (Threat Sources, Vulnerabilities, and Incidents), Appendix D (OT Security Organizations, Research, and Activities), and Appendix E (OT Security Capabilities and Tools) to dynamic web resources. Would moving these Appendices improve the readability of the document?	提案された改訂では、附属書F（OTオーバーレイ）を独立した文書に移す。また附属書C（脅威源、脆弱性、インシデント）、附属書D（OTセキュリティ組織、研究、活動）、附属書E（OTセキュリティ能力とツール）を動的なウェブリソースに移す。これらの附属書を移すことで文書の読みやすさは向上するか？
5. Removal of material from the current document	5. 現行文書からの内容削除
The proposed revision would consider removing material that is outdated, unneeded, or no longer applicable. What material is seen as no longer needed or applicable in the document? When providing comments, please be specific and include the rationale for any proposed additions or deletions of material.	提案された改訂では、時代遅れ、不要、または適用されなくなった内容の削除を検討する。文書内で不要または適用されなくなったと見なされる内容は何か。コメントを提出する際は、具体的に記載し、内容の追加または削除提案の根拠を含めること。

現在のものは、

・[PDF] NIST.SP.800-82r3

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.10.03 米国 NIST SP 1334 OT環境における可搬保管媒体のサイバーセキュリティリスク低減 (2025.09.30)

・2025.07.24 米国 NIST SP 1334（初期公開ドラフト） OT 環境における可搬保管媒体のサイバーセキュリティリスクの軽減 (2025.07.15)

・2023.10.01 NIST SP 800-82 第3版 OTセキュリティガイド

・2022.04.28 NIST SP 800-82 第3版 OTセキュリティガイド（ドラフト）

・2021.08.02 米国連邦政府重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

少し昔ですが...

・2011.06.10 NIST Special Publication 800-82, Guide to Industrial Control System (ICS) Security.

2026.01.29 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in IoT | Permalink | Comments (0)
Tweet

欧州 EDPB GDPR第46条(3)(a)に基づく契約条項の認可、およびGDPR第46条(2)(d)に基づく標準契約条項の採択に関する協力手続きを定めたEDPB文書

こんにちは、丸山満彦です。

個人データを相互承認がなく、またBCRやSCCが利用できない場合のEEA域外へ移転する際のルールに関して、加盟国の監督当局と申請者の相互理解を深めるための文書ってところですかね...

ということで、文書名の通り個別承認が必要なAd hoc CCs（Art.46(3)(a)）と、監督当局が採択して欧州委承認を得るSA SCCs（Art.46(2)(d)）の両方が対象です。。。

日本も海外に移転する場合についての参考になるかもですね...

● EDPB

・2026.01.22 EDPB Document setting forth a Cooperation Procedure for the Authorisation of Contractual Clauses under Article 46(3)(a) GDPR and for the Adoption of Standard Contractual Clauses under Article 46(2)(d) GDPR

・[PDF]

・[DOCX][PDF] 仮訳

● EU-Lex

・Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

個人情報保護委員会

・EU（外国制度）GDPR（General Data Protection Regulation：一般データ保護規則）

第46条。。。

Article 46	第46 条
Transfers subject to appropriate safeguards	適切な保護措置に従った移転
1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.	1. 第45 条第3 項による決定がない場合、管理者又は処理者は、その管理者又は処理者が適切な保護措置を提供しており、かつ、データ主体の執行可能な権利及びデータ主体のための効果的な司法救済が利用可能なことを条件としてのみ、第三国又は国際機関への個人データを移転することができる。
2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:	2. 第1 項で定める適切な保護措置は、監督機関から個別の承認を必要とせず、以下のいずれかによって講じることができる：
(a) a legally binding and enforceable instrument between public authorities or bodies;	(a) 公的機関又は公的組織の間の法的拘束力及び執行力のある文書；
(b) binding corporate rules in accordance with Article 47;	(b) 第47 条に従う拘束的企業準則；
(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);	(c) 第93 条第2 項で定める審議手続に従って欧州委員会によって採択された標準データ保護条項；
(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);	(d) 監督機関によって採択され、かつ、第93 条第2 項で定める審議手続に従って欧州委員会によって承認された標準データ保護条項；
(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights; or	(e) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第40 条による承認された行動規範；又は、
(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights.	(f) データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な第三国の管理者又は処理者の約定を伴った、第42 条による承認された認証方法。
3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:	3. 所轄監督機関から承認を受けることを条件として、第1 項で定める保護措置は、特に、以下の方法によっても講じることができる：
(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or	(a) 管理者又は処理者と第三国又は国際機関内の管理者、処理者又は個人データの取得者との間の契約条項；又は、
(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.	(b) 公的機関又は公的組織の間の取決めの中に入れられる条項であって、執行可能かつ効果的なデータ主体の権利を含むもの。
4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.	4. 監督機関は、本条第3 項で定める場合において、第63 条で定める一貫性メカニズムを適用する。
5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.	5. 指令95/46/EC の第26 条第2 項に基づく加盟国又は監督機関による承認は、その必要に応じて、監督機関によって改正され、差し替え、又は、廃止されるまで、その有効性が維持されなければならない。指令95/46/EC の第 26 条第 4 項に基づき欧州委員会によって採択された決定は、必要に応じて、本条第 2 項に従って採択される欧州委員会決定により改正され、差し替え、又は、廃止されるまでその有効性が維持されなければならない。

2026.01.29 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in IoT | Permalink | Comments (0)
Tweet

2026.01.28

欧州サイバーセキュリティ法(CSA)の改正法案 (2025.01.20)

こんにちは、丸山満彦です。

欧州委員会がサイバーセキュリティ法(CSA)の改正法案を公表していますね...

改訂の背景...

(i) 脅威環境の悪化に伴い、EUのサイバーセキュリティ政策枠組みと関係者のニーズとの間に生じた不整合
(ii) 欧州サイバーセキュリティ認証枠組み（ECCF）の実施停滞
(iii) 連合のサイバー態勢に影響を与えるサイバーセキュリティ関連政策の複雑さと多様性
(iv) 増加するICTサプライチェーンのセキュリティリスク

で、総合目標は

サイバーセキュリティ能力とレジリエンシーの強化、
単一市場における分断の防止

で、これは次の施策により達成される...

EUのサイバーセキュリティガバナンス強化に貢献し、関連機構、当局、その他の利害関係者が、サイバーセキュリティ脅威を協調的かつ効果的に予防、検知、対応する準備を整えることの支援
認証スキームなどの共通のEUサイバーセキュリティ手段の開発、実施、普及の支援、加盟国間の信頼と相互運用性を構築する調和された枠組みの提供

でその達成のために、具体的な目標(SPO)として、

EUサイバーセキュリティ政策枠組みとステークホルダーのニーズとの不整合に対処する：
- SPO1：EUサイバーセキュリティ政策を効果的に実施する能力を構築し、加盟国間のより構造化された協力を可能にする継続的な運用協力体制を確立する。
- SPO2：加盟国、産業界、その他の関係者のニーズを効果的に支援・対応するための手段と仕組みを開発・実施する。
ECCFの普及と有効性の低さに対処する：
- SPO3：ECCFの範囲を拡大し、効果的な保守と迅速な手続きを確保し、透明性を高めることで、市場ニーズに基づくサイバーセキュリティ認証スキームの迅速な提供のための前提条件を整える。
分断されたコンプライアンス環境と、横断的・分野別枠組みの複雑さに対処するため：
- SPO4：サイバーセキュリティ要件へのコンプライアンスを促進する仕組みと条件を整え、その実施をより一貫性があり効果的なものとする。
サプライチェーンにおけるサイバーセキュリティリスクに対処するため：
- SPO5：サイバーセキュリティ上の懸念を抱える第三国に設立された、または第三国の事業体に支配される事業体（ハイリスクサプライヤー）からの重要ICTサプライチェーンのリスクを軽減し、EUレベルでICTサプライチェーンのセキュリティリスクに対処するための一貫性のある効果的な枠組みを開発することで、重要な依存関係を削減する。

であわせて、サイバーセキュリティ関連法令等との整合性も図る...

サイバーセキュリティ関連法令等には、

(i) NIS2指令は重要インフラのサイバーセキュリティ強化を目的とする；

(ii) 物理的セキュリティ対策は「姉妹指令」である重要事業体レジリエンス（CER）指令で定義される；

(iii) サイバーレジリエンス法（CRA）は製品のサイバーセキュリティを強化する；

(iv) サイバー連帯法（CSoA）はEU全域の対応能力を構築する；

(v) EUサイバー青写真はEUレベルでの危機管理協力を支援し、委員会と上級代表が大規模サイバーセキュリティインシデントへの準備と対応において主要な役割を担う；

(vi) 5Gサイバーセキュリティツールボックス（5Gツールボックス）は5Gネットワークのサイバーセキュリティを支援する；

(vii) 病院及び医療プロバイダのサイバーセキュリティに関する欧州行動計画は、それらのサイバーセキュリティ向上に寄与する；

(viii) サイバーセキュリティスキルアカデミー

及び、これらを補完するセクター別の法令である

・金融セクター向けのデジタル運用レジリエンス法（DORA規則）、

・電力サブセクター向けの越境電力流通におけるサイバーセキュリティ側面に関するセクター別規則ネットワークコード（NCCS）、

・航空輸送サブセクター向けの情報セキュリティ規則（PartIS）

があるという感じです...

ということで...

● European Commission

・EU Cybersecurity Act

Commission strengthens EU cybersecurity resilience and capabilities	欧州委員会、EUのサイバーセキュリティレジリエンスと能力を強化
Europe faces daily cyber and hybrid attacks on essential services and democratic institutions, carried out by sophisticated state and criminal groups.	欧州では、高度な国家組織や犯罪集団による、重要サービスや民主的機構へのサイバー攻撃やハイブリッド攻撃が日常的に発生している。
The European Commission has proposed a new cybersecurity package to further strengthen the EU’s cybersecurity resilience and capabilities in the face of these growing threats.	欧州委員会は、こうした増大する脅威に直面するEUのサイバーセキュリティレジリエンスと能力をさらに強化するため、新たなサイバーセキュリティ対策パッケージを提案した。
The package includes a proposal for a revised Cybersecurity Act, which enhances the security of the EU’s Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats.	このパッケージには、EUの情報通信技術（ICT）サプライチェーンの安全性を強化する改正サイバーセキュリティ法の提案が含まれる。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階でサイバーセキュリティを確保することを保証する。また、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁（ENISA）が加盟国とEUのサイバーセキュリティ脅威管理を支援する機能を強化する。
Read the full press release.	プレスリリース全文を読む。
Find more information:	詳細情報：
Questions & Answers	Q&A
Factsheet	ファクトシート
The revised Cybersecurity Act	改正サイバーセキュリティ法
The NIS2 targeted amendments	NIS2対象改正
Remarks by Executive Vice-President Virkkunen on the Cybersecurity Package	サイバーセキュリティ対策パッケージに関するヴィルクネン執行副委員長の発言

プレスリリース...

・2026.01.20 Commission strengthens EU cybersecurity resilience and capabilities

Commission strengthens EU cybersecurity resilience and capabilities	欧州委員会、EUのサイバーセキュリティレジリエンスと能力を強化
Europe faces daily cyber and hybrid attacks on essential services and democratic institutions, carried out by sophisticated state and criminal groups. The European Commission has today proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities in the face of these growing threats.	欧州では、高度な国家組織や犯罪集団による重要サービスや民主的機構へのサイバー攻撃やハイブリッド攻撃が日常的に発生している。欧州委員会は本日、こうした増大する脅威に対処するため、EUのサイバーセキュリティレジリエンスと能力をさらに強化する新たなサイバーセキュリティ対策パッケージを提案した。
The package includes a proposal for a revised Cybersecurity Act, which enhances the security of the EU's Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats.	このパッケージには、EUの情報通信技術（ICT）サプライチェーンの安全性を高める改正サイバーセキュリティ法の提案が含まれる。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階からサイバーセキュリティを確保することを保証する。また、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁（ENISA）が加盟国とEUのサイバーセキュリティ脅威管理を支援する機能を強化する。
Bolstering the security of ICT supply chains in the EU	EUにおけるICTサプライチェーンのセキュリティ強化
The new Cybersecurity Act aims to reduce risks in the EU's ICT supply chain from third-country suppliers with cybersecurity concerns. It sets out a trusted ICT supply chain security framework based on a harmonised, proportionate and risk-based approach. This will enable the EU and Member States to jointly identify and mitigate risks across the EU's 18 critical sectors, considering also economic impacts and market supply.	新たなサイバーセキュリティ法は、サイバーセキュリティ上の懸念がある第三国サプライヤーによるEUのICTサプライチェーンへのリスク低減を目指す。調和のとれた、比例原則に基づくリスクベースのアプローチに基づく信頼できるICTサプライチェーンセキュリティ枠組みを定める。これによりEUと加盟国は、経済的影響や市場供給も考慮しつつ、EUの18の重要分野全体でリスクを共同で識別・緩和できるようになる。
Recent cybersecurity incidents have highlighted the major risks posed by vulnerabilities in the ICT supply chains, which are essential to the functioning of critical services and infrastructure. In today's geopolitical landscape, supply chain security is no longer just about technical product or service security, but also about risks related to a supplier, particularly dependencies and foreign interference.	最近のサイバーセキュリティインシデントは、重要サービスやインフラの機能に不可欠なICTサプライチェーンの脆弱性がもたらす重大なリスクを浮き彫りにした。今日の世界情勢において、サプライチェーンのセキュリティはもはや技術的な製品やサービスの安全性だけでなく、供給業者に関連するリスク、特に依存関係や外国の干渉も対象となる。
The Cybersecurity Act will enable the mandatory derisking of European mobile telecommunications networks from high-risk third-country suppliers, building on the work already carried out under the 5G security toolbox.	サイバーセキュリティ法は、5Gセキュリティツールボックスの下で既に実施された取り組みを基盤とし、欧州の移動体通信ネットワークから高リスク第三国サプライヤーを排除する義務付けを可能にする。
Simplifying and enhancing European Cybersecurity Certification Framework	欧州サイバーセキュリティ認証枠組みの簡素化と強化
The revised Cybersecurity Act will ensure that products and services reaching EU consumers are tested for security in a more efficient way. This will be done through a renewed European Cybersecurity Certification Framework (ECCF). The ECCF will bring more clarity and simpler procedures, allowing certification schemes to be developed within 12 months by default. It will also introduce more agile and transparent governance to better involve stakeholders through public information and consultation.	改正サイバーセキュリティ法は、EU消費者に届く製品・サービスのセキュリティ試験をより効率的に実施することを保証する。これは刷新された欧州サイバーセキュリティ認証枠組み（ECCF）を通じて行われる。ECCFはより明確で簡素化された手続きをもたらし、認証スキームをデフォルトで12ヶ月以内に開発できるようにする。また、公開情報と協議を通じてステークホルダーをより効果的に関与させるため、より機敏で透明性の高いガバナンスを導入する。
Certification schemes, managed by ENISA, will become a practical, voluntary tool for businesses. They will allow businesses to demonstrate compliance with EU legislation, reducing the burden and costs. Beyond ICT products, services, processes and managed security services, companies and organisations will be able to certify their cyber posture to meet market needs. Ultimately, the renewed ECCF will be a competitive asset for EU businesses. For EU citizens, businesses and public authorities, it will ensure a high level of security and trust in complex ICT supply chains.	ENISAが管理する認証スキームは、企業にとって実用的で任意のツールとなる。これにより企業はEU法規への準拠を実証でき、負担とコストを削減できる。ICT製品、サービス、プロセス、管理型セキュリティサービスに加え、企業や組織は市場のニーズに応えるサイバー態勢の認証が可能となる。最終的に刷新されたECCFはEU企業の競争力強化に寄与する。EU市民、企業、公共機関にとって、複雑なICTサプライチェーンにおける高度なセキュリティと信頼性を保証するものだ。
Facilitating compliance with cybersecurity rules	サイバーセキュリティ規則への準拠促進
The package introduces measures to simplify compliance with EU cybersecurity rules and risk-management requirements for companies operating in the EU, complementing the single-entry point for incident reporting proposed in the Digital Omnibus. Targeted amendments to the NIS2 Directive aim to increase legal clarity. They will ease compliance for 28,700 companies, including 6,200 micro and small-sized enterprises. They will also introduce a new category of small mid-cap enterprises to lower compliance costs for 22,500 companies. The amendments will simplify jurisdictional rules, streamline the collection of data on ransomware attacks and facilitate the supervision of cross-border entities with ENISA's reenforced coordinating role	本パッケージは、EU域内で事業を行うエンタープライズ向けのEUサイバーセキュリティ規則及びリスクマネジメント要件への準拠を簡素化する措置を導入し、デジタルオムニバスで提案されたインシデント報告の単一窓口を補完する。NIS2指令への対象を絞った改正は法的明確性の向上を目的とする。これにより、6,200の零細・中小企業を含む28,700社の準拠負担が軽減される。また、新たに「中小中堅エンタープライズ」というカテゴリーを導入し、22,500社のコンプライアンスコストを削減する。改正により管轄規則が簡素化され、ランサムウェア攻撃に関するデータ収集が効率化される。さらにENISAの調整役が強化され、越境事業体の監督が円滑化される。
Empowering ENISA to boost Europe's cybersecurity resilience	ENISAの権限強化による欧州サイバーセキュリティレジリエンスの向上
Since the adoption of the first Cybersecurity Act in 2019, ENISA has grown as a cornerstone of the EU cybersecurity ecosystem. The revised Cybersecurity Act presented today enables ENISA to help the EU and its Member States understand the common threats. It also enables them to prepare and respond to cyber incidents.	2019年に最初のサイバーセキュリティ法が採択されて以来、ENISAはEUサイバーセキュリティエコシステムの基幹として成長してきた。本日提示された改正サイバーセキュリティ法により、ENISAはEU及び加盟国が共通の脅威を理解する支援が可能となる。また、サイバーインシデントへの準備と対応も可能にする。
The agency will further support companies and stakeholders operating in the EU by issuing early alerts of cyber threats and incidents. In cooperation with Europol and Computer Security Incident Response Teams, it will support companies in responding to and recovering from ransomware attacks. ENISA will also develop a Union approach to provide better vulnerabilities management services to stakeholders. It will operate the single-entry point for incident reporting proposed in the Digital Omnibus.	同機関は、サイバー脅威やインシデントの早期警報を発出することで、EU域内で事業を行う企業や関係者をさらに支援する。欧州刑事警察機構やコンピュータセキュリティ・インシデント対応チームと連携し、企業がランサムウェア攻撃に対応し復旧するのを支援する。ENISAはまた、関係者に優れた脆弱性管理サービスを提供するためのEU全体のアプローチを構築する。デジタルオムニバスで提案されたインシデント報告の単一窓口を運営する。
ENISA will continue to play a key role in further building a skilled cybersecurity workforce in Europe. It will do so by piloting the Cybersecurity Skills Academy and establishing EU-wide cybersecurity skills attestation schemes.	ENISAは、欧州における熟練したサイバーセキュリティ人材のさらなる育成において、引き続き重要な役割を果たす。具体的には、サイバーセキュリティスキルアカデミーのパイロット事業を実施し、EU全域のサイバーセキュリティスキル認定制度を確立する。
Next steps	今後の手順
The Cybersecurity Act will be applicable immediately after approval by the European Parliament and the Council of the EU. The accompanying NIS2 Directive amendments will also be presented for approval. Once adopted, Member States will have one year to implement the Directive into national law and communicate the relevant texts to the Commission.	サイバーセキュリティ法は、欧州議会とEU理事会の承認後、直ちに適用される。付随するNIS2指令改正案も承認のために提出される。採択後、加盟国は1年以内に指令を国内法に組み込み、関連文書を欧州委員会に通知しなければならない。
For more information	詳細情報
Questions & Answers	Q&A
Factsheet	ファクトシート
Revised Cybersecurity Act	改正サイバーセキュリティ法
NIS2 targeted amendments	NIS2対象改正案

Questions & Answers

Cybersecurity Package - Questions & Answers	サイバーセキュリティ対策パッケージ - 質問と回答
On 20 January 2026, the Commission has proposed a new cybersecurity package to further strengthen the EU’s cybersecurity resilience, and capabilities in the face of these growing threats, including amendments to the NIS2 Directive.	2026年1月20日、欧州委員会は新たなサイバーセキュリティ対策パッケージを提案した。これはEUのサイバーセキュリティレジリエンスと能力を強化し、増大する脅威に対処するためのもので、NIS2指令の改正案も含まれる。
1. Why did the Commission propose a new Cybersecurity Act?	1. 欧州委員会が新たなサイバーセキュリティ法を提案した理由は何か？
Since the adoption of the Cybersecurity Act in 2019, the geopolitical landscape has changed, with a significant worsening of the cyber threat landscape, affecting critical sectors in the European Union. Technological advancements have given rise to ever more sophisticated cyber threats, with players including state actors developing capabilities to disrupt critical economic sectors and societal functions in Europe.	2019年のサイバーセキュリティ法採択以降、地政学的状況は変化し、重要なサイバー脅威の状況は著しく悪化し、欧州連合の重要分野に影響を与えている。技術進歩により、国家主体を含むプレイヤーが欧州の重要経済分野や社会機能を混乱させる能力を開発するなど、サイバー脅威はますます高度化している。
To address these new concerns, the Commission has proposed to revise the Cybersecurity Act to make the EU’s cybersecurity framework and capabilities more agile and efficient, reinforcing the overall Europe’s preparedness.	こうした新たな懸念に対処するため、欧州委員会はサイバーセキュリティ法の改正を提案した。これによりEUのサイバーセキュリティ枠組みと能力をより機敏かつ効率的にし、欧州全体の備えを強化する。
2. What are the key elements of the Cybersecurity Act?	2. サイバーセキュリティ法の主な要素は何か？
The new Cybersecurity Act will strengthen the cybersecurity framework with four key elements:	新たなサイバーセキュリティ法は、以下の4つの主要要素でサイバーセキュリティ枠組みを強化する：
1. Develop a framework for addressing the ICT supply chain security challenges in critical infrastructure.	1. 重要インフラにおけるICTサプライチェーンのセキュリティ課題に対処する枠組みを構築する。
2. Simplify and enhance the European cybersecurity certification framework.	2. 欧州サイバーセキュリティ認証枠組みの簡素化と強化。
3. Introduce simplification measures to reduce unnecessary administrative burden related to the implementation of the NIS2 Directive.	3. NIS2指令実施に関連する不必要な行政負担を軽減するための簡素化措置の導入。
4. Strengthened European Union Agency for Cybersecurity (ENISA) to make it fit for purpose.	4. 欧州サイバーセキュリティ機関（ENISA）の機能強化による目的適合性の確保。
3. How will the Cybersecurity Act strengthen cybersecurity in the EU?	3. サイバーセキュリティ法はEUのサイバーセキュリティをどう強化するのか？
A shared European approach to cybersecurity is essential for protecting Europe’s overall security. The proposal will enhance the cybersecurity resilience of Europe’s critical infrastructures by setting up a horizontal framework for trusted ICT supply chain security. This will allow the EU and Member States to act together to address strategic risks of undue foreign interference and critical dependencies in critical ICT supply chains with targeted and proportionate measures. It will also ensure that operators of electronic communications networks do not rely on high-risk suppliers for their critical assets.	欧州全体の安全保障を守るには、サイバーセキュリティに対する欧州共通のアプローチが不可欠である。本提案は、信頼できるICTサプライチェーンセキュリティのための横断的枠組みを構築することで、欧州の重要インフラのサイバーセキュリティレジリエンスを強化する。これによりEUと加盟国は、重要ICTサプライチェーンにおける不当な外国干渉や重大な依存関係という戦略的リスクに対し、的を絞った均衡のとれた措置で共同対応できるようになる。また、電子通信ネットワーク事業者が重要資産において高リスクな供給業者に依存しないことも保証する。
4. Who will benefit from the revised Cybersecurity Act?	4. 改正サイバーセキュリティ法は誰に利益をもたらすか？
The revised Cybersecurity Act will reinforce the cybersecurity posture of the EU, benefiting the wider economy, citizens, businesses and public authorities. It will provide streamlined ways for businesses to demonstrate their compliance with Union cybersecurity rules, reducing their administrative costs. The Act will also help businesses recruit and train cybersecurity professionals.	改正サイバーセキュリティ法はEUのサイバーセキュリティ態勢を強化し、広範な経済、市民、企業、公共機関に利益をもたらす。企業がEUのサイバーセキュリティ規則への準拠を証明する方法を合理化し、行政コストを削減する。また企業がサイバーセキュリティ専門家を採用・育成する支援も行う。
5. How does this initiative interact with other EU policies?	5. この取り組みは他のEU政策とどう連携するのか？
The proposal for the revised Cybersecurity Act is complementary to the upcoming Cloud and AI Development Act (CADA) and the Digital Omnibus. The CADA will ensure highly critical use cases in the public sector are powered by secure EU-base cloud and AI computing services. The Digital Omnibus aims to simplify the implementation of EU cybersecurity rules.	改正サイバーセキュリティ法案の提案は、今後制定予定のクラウド・AI開発法（CADA）およびデジタルオムニバス法と補完関係にある。CADAは公共部門における極めて重要なユースケースが、EUベースの安全なクラウドコンピューティング・サービスによって支えられることを保証する。デジタルオムニバス法はEUサイバーセキュリティ規則の実施を簡素化することを目的とする。
6. How will the security of ICT supply chains be strengthened?	6. ICTサプライチェーンの安全性はどのように強化されるのか？
The Cybersecurity Act aims to reduce risks in the EU’s ICT supply chain from third-country suppliers with cybersecurity concerns. It sets a trusted ICT supply chain security framework using a harmonised, proportionate and risk-based approach.	サイバーセキュリティ法は、サイバーセキュリティ上の懸念がある第三国サプライヤーによるEUのICTサプライチェーンにおけるリスクを低減することを目指す。調和のとれた、比例原則に基づくリスクベースのアプローチを用いて、信頼できるICTサプライチェーンのセキュリティ枠組みを設定する。
Recent cybersecurity incidents have highlighted the major risks of vulnerabilities in the ICT supply chains, which are essential for critical services and infrastructure. In today’s geopolitical landscape, supply chain security is no longer only a question of the product and service technical security. It is also a question of risks related to a supplier, particularly related to dependencies and foreign interference.	最近のサイバーセキュリティインシデントは、重要サービスやインフラに不可欠なICTサプライチェーンの脆弱性がもたらす重大なリスクを浮き彫りにした。今日の世界情勢において、サプライチェーンの安全保障はもはや製品やサービスの技術的安全性の問題だけではない。サプライヤーに関連するリスク、特に依存関係や外国の干渉に関連する問題でもある。
7. How is the EU Agency for Cybersecurity being reinforced?	7. EUサイバーセキュリティ庁はどのように強化されるのか？
The proposal reinforces ENISA’s role in operational cooperation, shared situational awareness of cyber threats and incidents, standards and certification, as well as support with ransomware attack mitigation measures and the implementation of the Cybersecurity Skills Academy.	本提案は、ENISAの役割を以下の分野で強化する：運用協力、サイバー脅威・インシデントに関する状況認識の共有、標準化・認証、ランサムウェア攻撃緩和支援、サイバーセキュリティ技能アカデミーの実施。
The proposal aims to ensure that ENISA has the resources to carry out its tasks by increasing its budget by more than 75%.	ENISAが任務を遂行するための資源を確保するため、予算を75％以上増額する。
Member States would contribute to this increase by designating two liaison officers per Member State, facilitating operational cooperation and the exchange of information between Member States.	加盟国は、各加盟国から2名の連絡担当官を指名することでこの増額に貢献し、加盟国間の運用協力と情報交換を促進する。
8. What will be ENISA’s role on standardisation?	8. ENISAの標準化における役割は何か？
Standards and technical specifications play an essential role in facilitating implementation efforts for businesses and public authorities and guarantee uniform application of cybersecurity rules across the internal market, in particular those stemming from the Cyber Resilience Act.	標準と技術仕様は、企業や公的機関の実施努力を促進し、特にサイバーレジリエンス法に由来するサイバーセキュリティ規則の域内市場全体での統一的な適用を保証する上で不可欠な役割を果たす。
At international level, they shape state-of-the-art cybersecurity practices and the way technologies are designed and maintained. In line with the European Standardisation Regulation, ENISA’s role will be strengthened to be more effectively involved in the making of cybersecurity standards at European and international level in accordance with EU values. It will ensure that standardisation deliverables meet legal needs in the area of cybersecurity, for instance by supporting the Commission in assessing harmonised standards. Where no standards are available to meet legislative needs, ENISA will develop technical specifications, in particular for European cybersecurity schemes.	国際レベルでは、これらは最先端のサイバーセキュリティ実践や技術設計・維持の方法形成に寄与する。欧州標準化規則に沿い、ENISAの役割は強化され、EUの価値観に則った欧州・国際レベルでのサイバーセキュリティ標準策定へより効果的に関与する。例えば調和規格のアセスメントにおいて委員会を支援するなど、標準化成果物がサイバーセキュリティ分野の法的要件を満たすことを確保する。立法上のニーズを満たす標準が存在しない場合、ENISAは特に欧州サイバーセキュリティスキーム向けに技術仕様を開発する。
9. What are the main changes introduced in the European Cybersecurity Certification Framework (ECCF)?	9. 欧州サイバーセキュリティ認証枠組み（ECCF）に導入された主な変更点は何か？
The new ECCF will introduce three main changes:	新たなECCFでは主に3つの変更が導入される：
1. The scope of the frameworks is clarified and extended to ensure legal certainty and meet market needs. Certification is a means of technical cybersecurity assurance that will be complemented by the ICT supply chain security mechanism. Entities will be able to certify their cyber posture, next to ICT products, services, processes and managed security services, this means that entities will be able to use such certificates to demonstrate compliance and get presumption of conformity with NIS2 and other Union legislations.	1. 枠組みの適用範囲を明確化し拡大することで、法的確実性を確保し市場のニーズに応える。認証は技術的なサイバーセキュリティ保証の手段であり、ICTサプライチェーンセキュリティメカニズムによって補完される。事業体はICT製品・サービス・プロセス・マネージドセキュリティサービスに加え、自らのサイバー態勢を認証できるようになる。これは事業体が当該認証を活用し、NIS2やその他のEU法規制への適合性を証明し、適合性の推定を得られることを意味する。
2. Clear deadlines and deliverables, as well as a more efficient and effective governance framework to develop and maintain schemes. ENISA, as scheme manager, will be responsible for the maintenance of the schemes. It defines legal timelines for the development of schemes. Following the Commission request, ENISA shall develop a candidate scheme within one year as a rule.	2. 明確な期限と成果物、ならびにスキームの開発・維持のための効率的かつ効果的なガバナンス枠組みが導入される。スキーム管理者であるENISAはスキームの保守を担当する。スキーム開発の法的タイムラインが定義される。委員会の要請を受け、ENISAは原則として1年以内に候補スキームを開発しなければならない。
3. Schemes should serve as compliance tools for businesses. Any scheme must be aligned with existing cybersecurity legislation. Consistency and greater harmonisation across schemes will mean less compliance burden for businesses.	3. スキームは企業のコンプライアンスツールとして機能すべきである。あらゆるスキームは既存のサイバーセキュリティ法規と整合していなければならない。スキーム間の一貫性と調和の強化は、企業のコンプライアンス負担軽減につながる。
10. What is the state of play of the current schemes?	10. 現行スキームの進捗状況はどうか？
In 2024, the EU adopted as a first scheme the EUCC (European cybersecurity certification scheme based on Common Criteria). Currently, there are two schemes under development, respectively for certifying Digital Identity Wallets (EUID) and for managed security services (EUMSS) that could be adopted soon.	2024年、EUは初のスキームとしてEUCC（共通規準に基づく欧州サイバーセキュリティ認証スキーム）を採択した。現在、デジタルIDウォレット（EUID）認証とマネージドセキュリティサービス（EUMSS）認証の2つのスキームが開発中であり、近く採択される可能性がある。
Furthermore, the work related to the schemes for cloud services (EUCS) and 5G (EU5G) is expected to resume. Regarding 5G, the new Cybersecurity Act provides for a phase-out of high-risk suppliers from mobile networks meaning that conformity assessment bodies cannot certify products or services from those suppliers. On cloud, the new Cybersecurity Act complemented by the upcoming CADA will fill gaps related to sovereignty aspects and non-technical risks. Anchored in this legislative context, the EUCS will resume and is set up for a successful conclusion.	さらに、クラウドサービス（EUCS）および5G（EU5G）向けスキームに関する作業が再開される見込みだ。5Gに関しては、新たなサイバーセキュリティ法がモバイルネットワークからの高リスクプロバイダの段階的排除を規定しており、適合性評価団体はそれらのプロバイダの製品やサービスを認証できなくなる。クラウド分野では、新たなサイバーセキュリティ法と今後施行されるCADA（サイバーセキュリティ・アクセス・データ・保護法）が、主権的側面や非技術的リスクに関する空白を埋める。この法的枠組みに基づき、EUCSは再開され、成功裏に完了する見込みだ。
Finally, following the entry into force of the new Cybersecurity Act, the Commission intends to issue a request for a certification scheme for the cyber posture of entities.	最後に、新たなサイバーセキュリティ法の施行後、欧州委員会は事業体のサイバー態勢に関する認証スキームの要求を発行する意向である。
11. How will the new measures facilitate compliance with cybersecurity rules?	11. 新たな措置はサイバーセキュリティ規則の順守をどのように促進するのか？
The new Cybersecurity Act package also introduces clarification and simplification measures to facilitate compliance with existing cybersecurity rules and risk-management requirements for companies operating in the EU.	新たなサイバーセキュリティ法パッケージは、EU域内で事業を行う企業に対する既存のサイバーセキュリティ規則およびリスクマネジメント要件の順守を促進するため、明確化および簡素化措置も導入する。
This complements the single-entry point for incident reporting proposed in the Digital Omnibus.	これはデジタルオムニバスで提案されたインシデント報告の単一窓口を補完するものである。
The package also proposes targeted amendments to the NIS 2 Directive:	本パッケージはNIS 2指令に対する以下の対象を絞った改正も提案している：
To clarify certain aspects regarding the scope and definitions, increasing legal clarity and removing compliance burden for 28,700 companies, including 6,200 micro and small-sized enterprises;	適用範囲と定義に関する特定の側面を明確化し、法的明確性を高め、6,200の零細・中小企業を含む28,700社のコンプライアンス負担を軽減する；
To introduce a new category of small mid-cap enterprises that will reduce the compliance costs for 22,500 companies;	・新たな「中小中堅エンタープライズ」カテゴリーを導入し、22,500社のコンプライアンスコストを削減する；
To add measures simplifying jurisdictional rules, streamlining the collection of data on ransomware attacks and facilitating the supervision of cross-border entities with ENISA’s reinforced coordinating role.	・管轄規則を簡素化する措置を追加し、ランサムウェア攻撃に関するデータ収集を効率化するとともに、ENISAの強化された調整役を通じて越境事業体の監督を容易にする。
12. Why is the Commission proposing to modify the scope of the NIS2 Directive?	12. 欧州委員会がNIS2指令の適用範囲修正を提案する理由は何か？
The targeted amendments to the NIS2 Directive are informed by experience gained during the transposition and the implementation of the Directive, as well as by emerging security threats and new EU policy developments.	NIS2指令の改正案は、同指令の国内法化・実施過程で得られた知見、新たなセキュリティ脅威、EU政策の進展を踏まえて策定された。
For instance, the amendments aim to ensure proportionality in the implementation of the NIS2 Directive in sectors such as electricity or chemicals, where more precise legal drafting is necessary to appropriately define the scope of the Directive. At the same time, they ensure that submarine data cable infrastructure, as an increasingly critical type of infrastructure, is more comprehensively covered by the scope of the Directive. Furthermore, the amendments to the Directive ensure coherence with the recent legislative proposal for a regulation on establishing a framework of measures to facilitate the transport of military equipment, goods and personnel across the Union.	例えば、改正案は、電気や化学などの分野におけるNIS2指令の実施において比例原則を確保することを目的としている。これらの分野では、指令の適用範囲を適切に定義するために、より精緻な法的文言が必要である。同時に、海底データケーブルインフラがますます重要化するインフラ種別として、本指令の適用範囲により包括的に包含されることを保証する。さらに、本指令の改正は、軍事装備品・物資・要員の域内輸送を円滑化するための措置枠組みを確立する規則に関する最近の立法提案との整合性を確保するものである。
The EU’s agency for Cybersecurity is well-placed to maintain an overview of cross-border cybersecurity risks under the NIS2 Directive. By defining its role in mutual assistance under the NIS2 Directive, the proposal leverages ENISA’s capacities to better support Member States’ competent authorities in the application of the NIS2 Directive rules.	EUサイバーセキュリティ機関（ENISA）は、NIS2指令に基づく越境サイバーセキュリティリスクの全体像を把握するのに適した立場にある。NIS2指令における相互支援におけるENISAの役割を定義することで、本提案はENISAの能力を活用し、加盟国の管轄当局がNIS2指令の規則を適用する際の支援を強化する。

Factsheet

・Factsheet: New Cybersecurity Package

法案...

・Proposal for a Regulation for the EU Cybersecurity Act

Proposal for a Regulation for the EU Cybersecurity Act	EUサイバーセキュリティ法に関する規則案
The Commission has proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities.	欧州委員会は、EUのサイバーセキュリティ耐性と能力をさらに強化するため、新たなサイバーセキュリティ対策パッケージを提案した。
The Proposal for a revised Cybersecurity Act is part of this package. It aims to increase cybersecurity capabilities and resilience and prevent fragmentation across the EU digital single market. It also enhances the security of the EU's Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats.	改正サイバーセキュリティ法に関する提案は、このパッケージの一部である。EUデジタル単一市場におけるサイバーセキュリティ能力とレジリエンスの向上、および分断の防止を目的とする。また、EUの情報通信技術（ICT）サプライチェーンの安全性を強化する。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階からサイバーセキュリティを確保することを保証する。さらに、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁（ENISA）が加盟国及びEUのサイバーセキュリティ脅威管理を支援する役割を強化する。
You can download the Proposal and the annexes below.	提案書及び附属書は以下からダウンロードできる。
Downloads	ダウンロード
1. COM(2026) 11 - Proposal for a Regulation for the EU Cybersecurity Act	1. COM(2026) 11 - EUサイバーセキュリティ法に関する規則案
2. COM(2026) 11 - Annexes to the Proposal for a Regulation for the EU Cybersecurity Act	2. COM(2026) 11 - EUサイバーセキュリティ法に関する規則案の附属書
3. Impact Assessment - Proposal for a Regulation for the EU Cybersecurity Act	3. 影響アセスメント - EUサイバーセキュリティ法に関する規則案
4. Summary of the Impact Assessment - Proposal for a Regulation for the EU Cybersecurity Act	4. 影響アセスメントの概要 - EUサイバーセキュリティ法に関する規則案
Related topics	関連トピック
Cybersecurity Strengthening trust and security An agile rulebook	サイバーセキュリティ信頼と安全の強化柔軟なルールブック

The NIS2 targeted amendments

・Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act

Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act	簡素化措置及びサイバーセキュリティ法との整合性に関する指令案
The Commission has proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities.	欧州委員会は、EUのサイバーセキュリティレジリエンスと能力をさらに強化するため、新たなサイバーセキュリティパッケージを提案した。
The package introduces measures to simplify compliance with EU cybersecurity rules and risk-management requirements for companies operating in the EU, complementing the single-entry point for incident reporting proposed in the Digital Omnibus. Targeted amendments to the NIS2 Directive aim to increase legal clarity by simplifying jurisdictional rules, streamlining the collection of data on ransomware attacks and facilitating the supervision of cross-border entities with ENISA's reinforced coordinating role.	このパッケージは、EU内で事業を行う企業に対するEUサイバーセキュリティ規則及びリスクマネジメント要件の遵守を簡素化する措置を導入し、デジタルオムニバスで提案されたインシデント報告の単一窓口を補完するものである。NIS2指令に対する対象を絞った改正は、管轄規則の簡素化、ランサムウェア攻撃に関するデータ収集の効率化、ENISAの強化された調整役割による越境事業体の監督促進を通じて、法的明確性を高めることを目的としている。
You can download the Proposal and its annex below.	提案書とその附属書は以下からダウンロードできる。
Downloads	ダウンロード
1. COM(2026) 13 - Directive Proposal for simplification measures and alignment with the Cybersecurity Act	1. COM(2026) 13 - 簡素化措置及びサイバーセキュリティ法との整合化に関する指令提案書
2. COM(2026) 13 - Annex to the Directive Proposal for simplification measures and alignment with the Cybersecurity Act	2. COM(2026) 13 - 簡素化措置及びサイバーセキュリティ法との整合化に関する指令提案書の附属書

法案の条項...

	編		章		節		条
第1編	一般規定					第1条	対象及び適用範囲
第1編	一般規定					第2条	定義
第２編	欧州連合サイバーセキュリティ庁	第1章	使命と目的			第3条	ENISAの使命
		第1章	使命と目的			第4条	ENISAの目的
		第2章	任務	第1節	連合の政策及び法律の実施支援	第5条	連合の政策及び法の実施に対する支援
						第6条	能力構築
						第7条	啓発活動と人材育成
						第8条	市場知識と分析
						第9条	国際協力
				第2節	業務上の協力	第10条	連合レベルでの運用協力
						第11条	共有サイバーセキュリティ状況認識
						第12条	早期警報
						第13条	インシデント対応及びレビューの支援
						第14条	連合レベルにおけるサイバーセキュリティ演習
						第15条	ツール及びプラットフォームの提供
						第16条	脆弱性管理サービス
				第3節	サイバーセキュリティ認証及び標準化	第17条	サイバーセキュリティ認証
				第3節	サイバーセキュリティ認証及び標準化	第18条	標準化、技術仕様及びガイダンス
				第4節	サイバーセキュリティ技能アカデミーの実施	第19条	欧州サイバーセキュリティ技能枠組み
						第20条	欧州個人サイバーセキュリティ技能認定スキームの開発、採用及び保守
						第21条	認可された認証プロバイダ
						第22条	認定認証プロバイダとなるための申請の審査及び認定の保守
						第23条	公開情報
		第3章	ENISAの組織			第24条	ENISAの行政及び管理構造
				第1節	管理委員会	第25条	管理委員会の構成
						第26条	管理委員会の委員長
						第27条	管理委員会の会議
						第28条	管理委員会の機能
						第29条	理事会の議決規則
				第2節	執行委員会	第30条	執行委員会
				第3節	事務局長	第31条	任命、解任及び任期延長
				第3節	事務局長	第32条	事務局長の任務及び責任
				第4節	副事務局長	第33条	副事務局長
				第4節	副事務局長	第34条	副執行理事の任務及び責任
				第5節	ENISA諮問グループ	第35条	ENISA諮問グループ
				第6節	上訴委員会	第36条	上訴委員会の設置及び構成
						第37条	上訴委員会の委員
						第38条	除斥及び忌避
						第39条	決定及び不作為に対する不服申立て
						第40条	上訴権者、期限及び形式
						第41条	中間的な見直し
						第42条	不服申立てに関する決定の審査
						第43条	欧州連合司法裁判所における訴訟
				第7節	業務	第44条	単一プログラム文書
		第4章	ENISAの予算の編成と構造			第45条	ENISAの予算の編成
						第46条	ENISAの予算の構成
						第47条	手数料
						第48条	ENISAの予算の実施
						第49条	決算報告と免責
						第50条	財務規則
						第51条	不正対策
						第52条	利害関係の申告
						第53条	透明性
						第54条	ENISA内の守秘義務
						第55条	文書へのアクセス
						第56条	一般規定
		第5章	職員及び連絡担当官			第57条	特権及び免除
						第58条	連絡担当官
						第59条	派遣された国内専門家及びその他の職員
		第6章	ENISAに関する一般規定			第60条	ENISAの法的地位
						第61条	所在地
						第62条	本部協定及び運営条件
						第63条	行政上の監督
						第64条	ENISAの責任
						第65条	言語の取扱い
						第66条	個人データの保護
第67条	機密扱いでない機微情報及び機密情報の防御に関するセキュリティ規則
第68条	EU事業体および各国当局との協力
第69条	利害関係者との協力
第70条	第三国及び国際機関との協力
第３編	欧州サイバーセキュリティ認証枠組み	第1章	目的、範囲及び手続			第71条	欧州サイバーセキュリティ認証枠組みの目的及び範囲
						第72条	公開情報と協議
						第73条	欧州サイバーセキュリティ認証スキームの要請
						第74条	欧州サイバーセキュリティ認証スキームの作成及び採択
						第75条	欧州サイバーセキュリティ認証スキームの保守
						第76条	欧州サイバーセキュリティ認証スキームの評価、見直し及び廃止
						第77条	欧州サイバーセキュリティ認証スキームにおける技術仕様
						第78条	EU法令の遵守の促進
						第79条	欧州サイバーセキュリティ認証スキームの採用、ENISAウェブサイト及び証明書の公表
		第2章	欧州サイバーセキュリティ認証スキームの内容			第80条	欧州サイバーセキュリティ認証スキームのセキュリティ目標
						第81条	欧州サイバーセキュリティ認証スキームの構成要素
						第82条	欧州サイバーセキュリティ認証スキームの保証レベル及び評価レベル
						第83条	適合性自己アセスメント
						第84条	認証済みICT製品、ICTサービス及びICTプロセスに関する補足サイバーセキュリティ情報
		第3章	欧州サイバーセキュリティ認証枠組みのガバナンス	第1節	欧州サイバーセキュリティ認証スキームの一般規則及び管理	第85条	欧州サイバーセキュリティ証明書の発行
						第86条	国内サイバーセキュリティ認証制度及び認証書
						第87条	欧州サイバーセキュリティ証明書の国際的承認
						第88条	国内サイバーセキュリティ認可機関
						第89条	ピアレビュー
						第90条	欧州サイバーセキュリティ認証グループ
				第2節	適合性アセスメント団体	第91条	適合性アセスメント団体の能力
						第92条	適合性アセスメント団体の能力に関する追加的な調和
						第93条	適合性アセスメント団体の通知
						第94条	適合性アセスメント団体の能力に関する異議申立て
						第95条	適合性アセスメント団体の情報提供及び保存義務
				第3節	その他の規定	第96条	苦情申立権及び実効的な司法救済を受ける権利
				第3節	その他の規定	第97条	罰則
第4編	情報通信技術サプライチェーンのセキュリティ	第1章	信頼できるICTサプライチェーンの枠組み			第98条	枠組みの適用範囲
						第99条	セキュリティリスクアセスメント
						第100条	サイバーセキュリティ上の懸念を生じさせる第三国の指定
						第101条	ICTサプライチェーンのセキュリティに関する一般的な仕組み
						第102条	主要なICT資産の特定
						第103条	ICTサプライチェーンにおける緩和措置
						第104条	高リスク供給者の特定
						第105条	サイバーセキュリティ上の懸念がある第三国の事業体によって設立または支配されている事業体に対する免除
						第106条	防御権
						第107条	登録簿
						第108条	守秘義務
						第109条	手数料
		第2章	電子通信ネットワークにおけるICTサプライチェーン			第110条	移動体、固定及び衛星電子コミュニケーションネットワークのための主要ICT資産
		第2章	電子通信ネットワークにおけるICTサプライチェーン			第111条	移動体、固定及び衛星電子コミュニケーションネットワークに関する禁止事項
		第3章	管轄当局、監督及び執行、管轄権、防御権			第112条	管轄当局
						第113条	委員会の協力・支援サービスネットワーク
						第114条	監督及び執行措置
						第115条	罰則
						第116条	相互援助
						第117条	管轄権及び属地主義
						第118条	委員会手続
第6編	最終規定					第119条	委任の行使
						第120条	評価及び見直し
						第121条	廃止及び活動の継続
						第122条	発効

COM(2026) 11 - Proposal for a Regulation for the EU Cybersecurity Actの前半部分の仮訳...

・[DOCX][PDF] 仮訳

ちなみに現在のCyersecurity Acut

● EU-Lex

・Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.07 欧州サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

2026.01.28 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証 | Permalink | Comments (0)
Tweet

米国 NIST IR 8214C NIST マルチパーティしきい値方式に関する最初の公募

こんにちは、丸山満彦です。

NIST IR 8214C NIST マルチパーティしきい値方式に関する最初の公募が確定しました。

これは、閾値（マルチパーティ）スキームや関連ガジェット（FHE、ZKPoK等）を公的に収集・評価し、将来の標準化や参考資料を整備することを目的として作成されていますね...

● NIST - ITL

・2026.01.20 NIST IR 8214C NIST First Call for Multi-Party Threshold Schemes

NIST IR 8214C NIST First Call for Multi-Party Threshold Schemes	NIST IR 8214C NIST マルチパーティしきい値方式に関する最初の公募
Abstract	要約
This is the NIST Threshold Call, calling for public submissions of multi-party threshold schemes, and other related crypto-systems, to support the United States' National Institute of Standards and Technology (NIST) in gathering a public body of reference materials on advanced cryptography. In a threshold scheme, a reference cryptographic primitive (e.g., signing, encryption, decryption, key generation) is computed in a distributed manner, while its private/secret key is or becomes secret-shared across various parties. The threshold schemes submitted in reply to this call will be interchangeable with a reference non-threshold primitive of interest, in the sense that their outputs can be used interchangeably in a subsequent operation. The primitives of interest are organized into various categories, across two classes: Class N, for selected NIST-specified primitives; and Class S, for special primitives that are not specified by NIST but are threshold-friendly or have useful functional features. The scope of Class S also includes fully-homomorphic encryption, zero-knowledge proofs, and auxiliary gadgets. This document specifies submission phases and the requirements for submitting a package, including a technical specification, a reference implementation, and a report on experimental evaluation. A subsequent phase of public analysis will support the elaboration of a characterization report, which may help assess new interests beyond the cryptographic techniques currently standardized by NIST, and may include recommendations for future processes.	これはNISTしきい値方式公募であり、米国国立標準技術研究所（NIST）が高度な暗号技術に関する公開参照資料を収集するのを支援するため、マルチパーティしきい値方式およびその他の関連暗号システムの公募を呼びかけるものである。しきい値方式では、参照暗号プリミティブ（例：署名、暗号化、復号、鍵生成）が分散的に計算される一方、その秘密鍵は複数の当事者間で秘密分散される。本公募に応募されるしきい値方式は、関心のある参照用非しきい値プリミティブと互換性を持つ必要がある。具体的には、それらの出力が後続の操作において互換的に使用可能であることが求められる。対象プリミティブは二つのカテゴリーに分類される：カテゴリーNはNISTが指定した選定プリミティブ、カテゴリーSはNIST非指定だがしきい値方式に適した、あるいは有用な機能特性を持つ特殊プリミティブである。クラスSの範囲には、完全準同型暗号、ゼロ知識証明、補助ガジェットも含まれる。本文書は、技術仕様書、参照実装、実験評価報告書を含むパッケージ提出の段階と要件を規定する。続く公開分析段階では特性評価報告書の作成を支援し、NISTが現在標準化する暗号技術を超えた新たな関心事項の評価に寄与し、将来のプロセスに関する提言を含む可能性がある。

・[PDF] NIST.IR.8214C

目次...

Abstract	要約
List of Tables	図表一覧
List of Requirements (shall statements)	要求事項一覧（必須事項）
Preface	序文
Acknowledgments	謝辞
Note to the Readers	読者への注記
1. Introduction	1. 序論
1.1. Cryptographic Schemes and Primitives	1.1. 暗号方式と基本要素
1.2. Developing a Public Call	1.2. 公募の策定
1.3. Document Organization	1.3. 文書の構成
2. Scope of the Call: Two Classes	2. 公募の範囲：2つのクラス
2.1. Class N: NIST-Specified Primitives	2.1. クラスN：NIST指定の基本要素
2.2. Class S: Special Primitives Not Specified by NIST	2.2. クラスS：NISTが規定しない特殊プリミティブ
3. Vision	3. ビジョン
3.1. Reliance on Contributions and Collaboration	3.1. 貢献と協働への依存
3.2. Post-Quantum and Quantum-Vulnerable Cryptography	3.2. 耐量子暗号と量子脆弱性暗号
3.3. Selective exploration of a wide scope	3.3. 広範な範囲の選択的探索
3.3.1. Encouraged Pertinence	3.3.1. 推奨される関連性
3.3.2. Interchangeability	3.3.2. 互換性
3.3.3. Provable Security	3.3.3. 証明可能な安全性
4. Phases and Timeline	4. フェーズとタイムライン
4.1. Phase 1: Previews	4.1. フェーズ1：プレビュー
4.2. Phase 2: Packages	4.2. フェーズ2：パッケージ
4.3. Phase 3: Public Analysis of Crypto-Systems	4.3. フェーズ3：暗号システムの公開分析
5. Expectations About Submitted Material	5. 提出物に関する期待
5.1. Original Work	5.1. オリジナルな作業
5.2. Security Guarantees	5.2. セキュリティ保証
5.3. Availability of the Submitted Materials	5.3. 提出物の利用可能性
5.4. Notes on Patent Claims	5.4. 特許クレームに関する注記
6. Technical Specification	6. 技術仕様
6.1. Front Matter	6.1. 序文
6.2. Chapter Preliminaries	6.2. 章の予備事項
6.3. Chapters “Crypto-System 𝑋”	6.3. 「暗号システム 𝑋」の章
6.4. Back Matter	6.4. 付録
7. Reference Implementation	7. 参照実装
7.1. Compatibility With a Baseline Platform	7.1. ベースラインプラットフォームとの互換性
7.2. Implementation of Crypto-Systems	7.2. 暗号システムの実装
7.3. Code Availability	7.3. コードの入手可能性
7.4. Code Licensing and Posting	7.4. コードのライセンスと公開
7.5. Clear Code	7.5. 明確なコード
7.6. Useful Scripts and Instructions	7.6. 有用なスクリプトと手順
7.6.1. Software Build	7.6.1. ソフトウェアビルド
7.6.2. Configuration	7.6.2. 設定
7.6.3. Performance Measurements and Operational Testing	7.6.3. 性能測定と動作テスト
7.6.4. Input/Output Testing	7.6.4. 入出力テスト
8. Report on Experimental Evaluation	8. 実験的評価に関する報告書
8.1. Parametrizations and Computational Resources	8.1. パラメータ化と計算資源
8.2. Structure of the Report on Experimental Evaluation	8.2. 実験的評価報告書の構成
8.3. Chapter “Overview”	8.3. 「概要」章
8.4. Chapters “Crypto-System X”	8.4. 「暗号システムX」の章
9. Security Requirements	9. セキュリティ要件
9.1. Security Strength Levels	9.1. セキュリティ強度レベル
9.1.1. Computational Security	9.1.1. 計算上のセキュリティ
9.1.2. Statistical Security	9.1.2. 統計的セキュリティ
9.2. Security of Threshold Schemes	9.2. 閾値スキームのセキュリティ
9.2.1. Security Formulation/Idealization and Security Analysis	9.2.1. セキュリティの定式化／理想化とセキュリティ分析
9.2.2. Adversarial Corruption Capabilities to Consider	9.2.2. 考慮すべき敵対的改ざん能力
9.2.3. Threshold Profiles	9.2.3. しきい値プロファイル
9.2.4. Threshold Security (Safety Goals)	9.2.4. しきい値セキュリティ（安全性目標）
9.2.4.1. Active Security (Against Active Corruptions)	9.2.4.1. アクティブセキュリティ（アクティブ破壊に対する）
9.2.4.2. Adaptive Security (Against Adaptive Corruptions)	9.2.4.2. 適応セキュリティ（適応型破壊に対する）
9.2.4.3. Recovery Mechanisms (Against Mobile Attacks)	9.2.4.3. 回復メカニズム（移動型攻撃に対する）
9.2.5. Security Strength Across Formulations	9.2.5. 構成間におけるセキュリティ強度
10.Requirements for Class N Schemes	10.クラスNスキームの要件
10.1. Category N1: Signing	10.1. カテゴリーN1：署名
10.2. Category N2: PKE (Encryption/Decryption)	10.2. カテゴリーN2：PKE（暗号化／復号）
10.2.1. Threshold Higher-Level Primitives	10.2.1. 閾値高レベルプリミティブ
10.2.2. Threshold PKE-Decryption	10.2.2. 閾値PKE復号
10.2.3. Threshold PKE-Encryption	10.2.3. 閾値PKE暗号化
10.2.4. Threshold Security	10.2.4. 閾値セキュリティ
10.3. Category N3: Symmetric Primitives	10.3. カテゴリー N3: 対称プリミティブ
10.4. Category N4: KeyGen for Class N schemes	10.4. カテゴリー N4: クラス N スキームのための鍵生成
10.4.1. Subcategory N4.1: ECC KeyGen	10.4.1. サブカテゴリー N4.1: ECC 鍵生成
10.4.2. Subcategory N4.2: RSA KeyGen	10.4.2. サブカテゴリー N4.2: RSA 鍵生成
10.4.3. Subcategory N4.3: ML KeyGen	10.4.3. サブカテゴリー N4.3: ML 鍵生成
10.4.4. Subcategory N4.4: HBS KeyGen	10.4.4. サブカテゴリー N4.4: HBS 鍵生成
10.4.5. Subcategory N4.5: Secret RBG	10.4.5. サブカテゴリー N4.5: 秘密 RBG
11.Requirements for Class S Schemes	11.クラス S スキームの要件
11.1. Category S1: Signing	11.1. カテゴリー S1: 署名
11.2. Category S2: PKE	11.2. カテゴリー S2: PKE
11.3. Category S3: Symmetric	11.3. カテゴリー S3: 対称
11.4. Category S4: Keygen	11.4. カテゴリー S4: 鍵生成
11.5. Category S5: FHE	11.5. カテゴリー S5: FHE
11.5.1. Threshold Schemes for FHE	11.5.1. FHE のしきい値方式
11.5.2. Conventional FHE	11.5.2. 従来型 FHE
11.6. Category S6: ZKPoK	11.6. カテゴリー S6: ZKPoK
11.7. Category S7: Gadgets	11.7. カテゴリー S7: ガジェット
References	参考文献
Appendix A. Notes on Categories in Class N	附属書 A. クラス N のカテゴリーに関する注記
A.1. Category N1: NIST-Specified Signing Primitives	A.1. カテゴリー N1: NIST 指定署名プリミティブ
A.1.1. Subcategory N1.1: EdDSA Signing	A.1.1. サブカテゴリー N1.1: EdDSA 署名
A.1.2. Subcategory N1.2: ECDSA Signing	A.1.2. サブカテゴリー N1.2: ECDSA 署名
A.1.3. Subcategory N1.3: RSADSA Signing	A.1.3. サブカテゴリー N1.3: RSADSA 署名
A.1.4. Subcategory N1.4: ML-DSA Signing	A.1.4. サブカテゴリー N1.4: ML-DSA 署名
A.1.5. Subcategory N1.5: HBS Signing	A.1.5. サブカテゴリー N1.5: HBS 署名
A.1.5.1. Conventional SLH-DSA (Stateless)	A.1.5.1. 従来型 SLH-DSA (ステートレス)
A.1.5.2. Conventional Stateful HBS	A.1.5.2. 従来型ステートフル HBS
A.1.5.3. Threshold Hash-Based Signatures	A.1.5.3. 閾値ハッシュベース署名
A.2. Category N2: NIST-Specified PKE Primitives	A.2. カテゴリー N2: NIST 指定 PKE プリミティブ
A.2.1. Subcategory N2.1: RSA Encryption/Decryption	A.2.1. サブカテゴリー N2.1: RSA 暗号化/復号化
A.2.1.1. Conventional RSA-PKE	A.2.1.1. 従来型 RSA-PKE
A.2.1.2. Higher-Level Constructions (Based on RSAEP/ RSADP)	A.2.1.2. 高度な構成（RSAEP/RSADP に基づく）
A.2.2. Subcategory N2.2: K-PKE Encryption/Decryption	A.2.2. サブカテゴリー N2.2: K-PKE 暗号化/復号化
A.2.2.1. Conventional K-PKE	A.2.2.1. 従来型 K-PKE
A.2.2.2. Higher-Level Constructions (Based on K-PKE)	A.2.2.2. 高次構造（K-PKEに基づく）
A.3. Category N3: NIST-Specified Symmetric Primitives	A.3. カテゴリー N3: NIST指定対称プリミティブ
A.3.1. Subcategory N3.1: AES Enciphering/Deciphering	A.3.1. サブカテゴリー N3.1: AES暗号化/復号
A.3.2. Subcategory N3.2: Ascon-AEAD Encrypt/Decrypt	A.3.2. サブカテゴリー N3.2: Ascon-AEAD暗号化/復号
A.3.3. Subcategory N3.3: Hash and XOF	A.3.3. サブカテゴリー N3.3: ハッシュおよび XOF
A.3.4. Subcategory N3.4: MAC	A.3.4. サブカテゴリー N3.4: MAC
A.4. Category N4: NIST-Specified KeyGen Primitives	A.4. カテゴリー N4: NIST 指定の鍵生成プリミティブ
A.4.1. Subcategory N4.1: ECC KeyGen	A.4.1. サブカテゴリー N4.1: ECC 鍵生成
A.4.1.1. Conventional ECC KeyGen	A.4.1.1. 従来型 ECC 鍵生成
A.4.1.2. Extension to CDH and MQV primitives for ECC-2KE	A.4.1.2. ECC-2KE 向け CDH および MQV プリミティブへの拡張
A.4.2. Subcategory N4.2: RSA KeyGen	A.4.2. サブカテゴリー N4.2: RSA 鍵生成
A.4.2.1. Size of an RSA Modulus	A.4.2.1. RSA 係数のサイズ
A.4.2.2. Criteria for the Private Exponent and the Prime Factors	A.4.2.2. 秘密指数および素因数に関する規準
A.4.3. Subcategory N4.3: ML KeyGen	A.4.3. サブカテゴリー N4.3: ML 鍵生成
A.4.5. Subcategory N4.5: Secret RBG	A.4.5. サブカテゴリー N4.5: 秘密 RBG
Appendix B. Notes on FHE and ZKPoK in Class S	附属書 B. クラス S における FHE および ZKPoK に関する注記
B.1. Category S5: Fully-Homomorphic Encryption (FHE)	B.1. カテゴリー S5: 完全準同型暗号 (FHE)
B.1.1. Use Case: FHE-Based AES Oblivious Enciphering	B.1.1. ユースケース: FHE ベースの AES オブリビアス暗号化
B.1.1.1. Non-Threshold FHE-Based AES Oblivious Enciphering	B.1.1.1. 非しきい値 FHE ベースの AES オブリビアス暗号化
B.1.1.2. Threshold FHE-Based AES Oblivious Enciphering	B.1.1.2. 閾値型FHEベースのAESオブリビオウス暗号化
B.2. Category S6: Zero-Knowledge Proof of Knowledge (ZKPoK)	B.2. カテゴリーS6: 知識のゼロ知識証明（ZKPoK）
B.2.1. Example Proofs of Interest	B.2.1. 注目すべき証明例
B.2.2. Distinguishing Features and Types of “Proof”	B.2.2. 「証明」の識別特徴と種類
B.2.3. Threshold Considerations	B.2.3. 閾値に関する考慮事項
B.2.4. Computational Soundness From Statistical Soundness	B.2.4. 統計的健全性からの計算的健全性
B.2.5. Specialized Versus Generic ZKPoKs	B.2.5. 特殊化型と汎用型 ZKPoK
Appendix C. Notes on the Threshold Setting	附属書 C. 閾値設定に関する注記
C.1. System Model	C.1. システムモデル
C.1.1. Participants	C.1.1. 参加者
C.1.2. Distributed Systems and Communication	C.1.2. 分散システムとコミュニケーション
C.1.3. Adversary	C.1.3. 敵対者
C.2. Security in the Threshold Setting	C.2. 閾値設定におけるセキュリティ
C.2.1. Security Analysis (Based on the Specification)	C.2.1. セキュリティ分析（仕様に基づく）
C.2.2. Practical Feasibility Versus Adaptive Security	C.2.2. 実用的な実現可能性と適応的セキュリティ
C.2.3. Implementation and Deployment Security	C.2.3. 実装と展開のセキュリティ
C.3. Threshold Profiles	C.3. 閾値プロファイル
C.4. Secret-Shared Input/Output (I/O) Interfaces	C.4. 秘密分散型入出力（I/O）インターフェース
Appendix D. Acronyms	附属書 D. 略語

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.04 米国 NIST IR 8214C（第2次公開ドラフト） NISTがマルチパーティ閾値スキームを最初に募集 (2025.03.27)

・2020.07.09 NIST NISTIR 8214A「閾値暗号」開発の取り組みを開始

2026.01.28 00:00 in 情報セキュリティ / サイバーセキュリティ, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2026.01.27

欧州 EDPB EDPS 欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書

こんにちは、丸山満彦です。

欧州データ保護会議（EDPB）と欧州データ保護監察機関（EDPS）は、欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書を採択していますね...

提案の簡素化努力は支持するけど、EDPB/EDPSは個人データ保護の明確化・厳格化・監督体制の整備は不可欠で、それを踏まえて提案されている法文の修正と実務上の具体化が必要としていますね...

特別カテゴリ個人データ（センシティブデータ）：バイアス検出・是正のための例外的処理範囲を限定し、現行の「strict necessity（厳格な必要性）」基準を全体に再導入すべきと主張。曖昧な文言（“may”など）は法的不確実性を招く。
登録・文書化：Annex III に該当するが事業者が「非ハイリスク」と判断した場合でも、EUデータベースへの登録義務は維持すべきと警告（透明性・説明責任の確保）。
EUレベルのAI規制サンドボックス：革新支援は評価するが、DPA（データ保護当局）の関与・監督権限とGDPR協力メカニズムの整合性を明確化することを要求。EDPBの助言的関与も提案。
AI事務局の監督権限：汎用モデルに関する専権範囲を明確化し、DPAとの緊密な協力を求める。EU機関内の監督はEDPSの管轄である旨を明文化することを推奨。
実施時期の遅延：一部遅延は理解するが、透明性等の義務は維持すべきで、遅延採択時は関係者の協調行動を要請。

● EDPB

・2026.01.21 114th Plenary meeting

・・EDPB and EDPS support streamlining AI Act implementation but call for stronger safeguards to protect fundamental rights

・2026.01.21 EDPB and EDPS support streamlining AI Act implementation but call for stronger safeguards to protect fundamental rights

EDPB and EDPS support streamlining AI Act implementation but call for stronger safeguards to protect fundamental rights	欧州データ保護会議（EDPB）と欧州データ保護監察機関（EDPS）は、欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書を採択した。
Brussels, 21 January - The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) have adopted a Joint Opinion on the European Commission’s Proposal for the ‘Digital Omnibus on AI’. The Proposal seeks to simplify the implementation of certain harmonised rules under the AI Act to ensure their effective application.	ブリュッセル、1月21日 - 欧州データ保護委員会（EDPB）と欧州データ保護監察機関（EDPS）は、欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書を採択した。本提案は、AI法の特定の調和規則の実施を簡素化し、その効果的な適用を確保することを目的としている。
The EDPB and the EDPS support the objective of addressing practical challenges relating to the implementation of the AI Act. Administrative simplification must not, however, lower the protection of fundamental rights. The Joint Opinion acknowledges the complexity of the AI landscape and welcomes efforts to ease burdens for organisations. However, certain proposed changes could undermine the protection of individuals in the context of AI.	EDPBとEDPSは、AI法実施に関連する実務上の課題に対処するという目的を支持する。ただし、行政手続きの簡素化が基本権の保護水準を低下させてはならない。共同意見書はAI環境の複雑性を認め、組織の負担軽減に向けた取り組みを歓迎する。しかし、提案されている変更の一部は、AIの文脈における個人の保護を損なう可能性がある。
“Innovation and efficiency are crucial and can coexist with maintaining accountability of AI providers. We welcome EU-level regulatory sandboxes and simplified procedures to promote innovation and support SMEs in Europe. However, Data Protection Authorities must maintain a central role when it comes to the processing of individuals’ personal data. Cooperation between Data Protection Authorities, the AI Office and Market Surveillance Authorities is essential to ensure legal certainty for organisations and foster innovation while upholding individuals’ fundamental rights.”	「イノベーションと効率性は極めて重要であり、AI プロバイダの説明責任の維持と両立することができる。我々は、イノベーションを促進し、欧州の中小企業を支援するための EU レベルの規制サンドボックスと簡素化された手続きを歓迎する。しかし、個人データの処理に関しては、データ保護当局が中心的な役割を維持しなければならない。組織にとっての法的確実性を確保し、個人の基本的権利を擁護しながらイノベーションを促進するためには、データ保護当局、AI 事務局、市場監視当局間の協力が不可欠である」
EDPB Chair, Anu Talus	EDPB 議長、Anu Talus
“Simplification is welcome when it clarifies obligations, empowers individuals, and strengthens trust. A careful balance needs to be kept by reducing administrative burden where possible, without undermining the protection of fundamental rights. Furthermore, we must ensure that the role of the AI Office is clearly defined and does not affect the independent supervision of European Union Institutions’ own use of AI systems.”	「簡素化は、義務を明確にし、個人に権限を与え、信頼を強化する場合に歓迎される。基本的人権の保護を損なうことなく、可能な限り行政負担を軽減することで、慎重なバランスを保つ必要がある。さらに、AI 事務局の役割が明確に定義され、欧州連合機構自身の AI システムの使用に関する独立した監督に影響を与えないことを確保しなければならない。
European Data Protection Supervisor, Wojciech Wiewiórowski	欧州データ保護監察機関、ヴォイチェフ・ヴィエヴィオロフスキ
The Proposal would extend the possibility to process special categories of personal data (such as ethnicity or health data) for bias detection and correction to providers and deployers of any AI systems and models, subject to appropriate safeguards. The EDPB and the EDPS recommend specifying that these data may be used for bias detection and correction only in circumscribed situations where the risk of adverse effects from such bias is considered sufficiently serious.	本提案は、適切な保護措置を条件に、あらゆるAIシステム及びモデルのプロバイダ・展開者に対し、バイアス検出・是正を目的とした特別カテゴリー個人データ（民族性や健康データなど）の処理可能性を拡大する。EDPB及びEDPSは、こうしたデータがバイアス検出・是正に使用されるのは、当該バイアスによる悪影響のリスクが十分に深刻と認められる限定的な状況に限定すべきと勧告する。
The EDPB and the EDPS advise against the proposed deletion of the obligation to register AI systems, when they fall under the categories listed as high-risk, even if the providers deem their systems to be ‘non-high risk’. The EDPB and the EDPS consider that this change would significantly undermine accountability and create an undesirable incentive for providers to unduly claim exemptions to avoid public scrutiny.	欧州データ保護委員会（EDPB）と欧州データ保護監督官（EDPS）は、プロバイダが自社のシステムを「高リスクではない」と判断した場合であっても、高リスクに分類されるカテゴリーに該当するAIシステムの登録義務を削除する提案に反対する。この変更は説明責任を著しく損ない、プロバイダが公的監視を回避するために不当に免除を主張する望ましくない動機を生み出すと考える。
The EDPB and the EDPS welcome the creation of EU-level AI regulatory sandboxes to promote innovation. To ensure legal certainty, the Joint Opinion recommends the direct involvement of competent Data Protection Authorities (DPAs) in the supervision of data processing within sandboxes. In addition, the EDPB should be afforded an advisory role and the status of observer at the European Artificial Intelligence Board to ensure consistency in relation to EU-level sandboxes. Furthermore, the supervisory role of the AI Office with regard to AI systems based on a general-purpose AI model should be clearly delineated in the operative part and should not overlap with the independent supervision by the EDPS of AI systems developed or used by Union institutions, bodies, offices or agencies.	EDPBとEDPSは、イノベーション促進のためのEUレベルにおけるAI規制サンドボックス創設を歓迎する。法的確実性を確保するため、共同意見書はサンドボックス内でのデータ処理監督に管轄データ保護当局（DPA）の直接関与を推奨する。加えて、EUレベルでのサンドボックス関連の一貫性を確保するため、EDPBには欧州人工知能委員会における助言的役割とオブザーバーとしての地位を付与すべきである。さらに、汎用AIモデルに基づくAIシステムに関するAI事務局の監督役割は、本意見の執行部分において明確に規定されるべきであり、欧州連合の機構、団体、事務所または機関が開発または使用するAIシステムに対するEDPSによる独立した監督と重複してはならない。
The EDPB and the EDPS support the goal of streamlining cooperation between fundamental rights authorities or bodies and Market Surveillance Authorities, and the reliance on a central point of contact to increase efficiency. However, they recommend clarifying the role of the MSAs as administrative points of contact for the execution and transmission of requests to providers and deployers, and ensuring that the independence and powers of DPAs are unaffected.	EDPBとDPSは、基本権当局または団体と市場監視当局（MSA）間の協力の効率化、および効率向上のための単一窓口への依存という目標を支持する。ただし、MSAがプロバイダおよび展開者への要請の執行・伝達における行政窓口としての役割を明確化し、DPAの独立性と権限が損なわれないことを確保するよう勧告する。。
The EDPB and the EDPS also recommend maintaining a duty for AI providers and deployers to ensure AI literacy among their staff. Any new obligation to foster AI literacy placed on the Commission or Member States should complement, not replace, the responsibilities of the organisations actually developing and using these systems.	EDPBとEDPSはまた、AIプロバイダ及び展開者が従業員のAIリテラシーを確保する義務を維持することを推奨する。欧州委員会や加盟国に課されるAIリテラシー育成の新たな義務は、実際にこれらのシステムを開発・使用する組織の責任を補完するものであり、置き換えるものではない。
Finally, the EDPB and the EDPS express concerns regarding the proposed postponement of core provisions for high-risk AI systems. Given the rapid evolution of the AI landscape, they invite the co-legislators to consider whether the original timeline can be maintained for certain obligations, such as transparency requirements, and to minimise delays to the extent possible.	最後に、EDPBとEDPSは、高リスクAIシステムに関する中核規定の延期提案について懸念を表明する。AI環境の急速な進化を踏まえ、透明性要件などの特定の義務について当初のスケジュールを維持できるか否かを共同立法者に検討するよう要請し、可能な限り遅延を最小限に抑えるべきである。

・2026.01.21 EDPB-EDPS Joint opinion 1/2026 on the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI)

EDPB-EDPS JOINT OPINION 1/2026	EDPB-EDPS共同意見書 1/2026
On the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI)	人工知能に関する調和された規則の実施の簡素化に関する規則案（AIに関するデジタルオムニバス）について
Adopted on 20 January 2026	2026年1月20日採択
Table of Contents	目次
1 BACKGROUND	1 背景
2 GENERAL REMARKS	2 総括的見解
3 PROCESSING OF SPECIAL CATEGORIES OF PERSONAL DATA FOR BIAS DETECTION AND CORRECTION	3 バイアス検出及び是正のための特別カテゴリーの個人データの処理
4 REGISTRATION AND DOCUMENTATION	4 登録及び文書化
5 AI REGULATORY SANDBOXES AT UNION LEVEL	5 連合レベルにおけるAI規制サンドボックス
6 SUPERVISION AND ENFORCEMENT BY THE AI OFFICE	6 AI事務局による監督及び執行
7 POWERS OF AUTHORITIES/BODIES PROTECTING FUNDAMENTAL RIGHTS AND COOPERATION WITH MSA	7 基本権保護団体の権限及びMSAとの協力
8 AI LITERACY	8 AIリテラシー
9 IMPLEMENTATION TIMELINE OF HIGH-RISK RULES	9 高リスク規則の実施スケジュール
Executive summary	エグゼクティブサマリー
On 19 November 2025, the European Commission issued a Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) (hereafter, ‘the Proposal’). On 25 November 2025, the Commission formally consulted the EDPB and the EDPS in accordance with Article 42(2) of Regulation (EU) 2018/1725.	2025年11月19日、欧州委員会は、人工知能に関する調和規則の実施簡素化に関する規則（EU）2024/1689及び（EU）2018/1139を改正する欧州議会及び理事会規則の提案（以下「本提案」という）を発表した。2025年11月25日、欧州委員会は規則（EU）2018/1725第42条(2)に基づき、欧州データ保護委員会（EDPB）及び欧州データ保護監督官（EDPS）に対し正式な意見照会を行った。
The EDPB and the EDPS support the Proposal’s general objective to address certain implementation challenges of Regulation (EU) 2024/1689 (the ‘AI Act’), with a view to the effective application of the relevant rules. In the same spirit, they recall that the EDPB and the European Commission are working on joint guidelines on the interplay between the GDPR and the AI Act to be issued later this year.	EDPB及びEDPSは、関連規則の効果的な適用を目的として、規則（EU）2024/1689（「AI法」）の特定の実施上の課題に対処するという本提案の一般的な目的を支持する。同様の観点から、EDPBと欧州委員会は今年後半に発表予定の、GDPRとAI法の相互関係に関する共同ガイドラインの策定を進めていることを想起する。
Processing of special categories of personal data for bias detection and correction	バイアス検出・修正のための特別カテゴリーの個人データ処理
The EDPB and the EDPS support in principle the proposed extension of the legal basis allowing the exceptional processing of special categories of personal data for purposes of bias detection and correction. At the same time, to avoid potential abuse, the cases where providers and deployers would be able to rely on this legal ground in the context of non-high risk AI systems and models should be clearly circumscribed and limited to cases where the risk of adverse effects caused by such bias is sufficiently serious. In the same vein, the EDPB and the EDPS recommend maintaining the standard of strict necessity currently applying for the processing of special categories of personal data for bias detection and correction in relation to high-risk AI systems.	EDPBとEDPSは、バイアス検出・修正を目的とした特別カテゴリーの個人データの例外的な処理を認める法的根拠の拡大案を原則として支持する。同時に、潜在的な濫用を回避するため、非高リスクAIシステム・モデルにおいてプロバイダ及び展開者がこの法的根拠に依拠できるケースは、当該バイアスによる悪影響のリスクが十分に深刻な場合に限定し、明確に範囲を定めるべきである。同様に、EDPBとEDPSは、高リスクAIシステムに関連するバイアス検知・修正のための特別カテゴリー個人データの処理に現在適用されている厳格な必要性の標準を維持することを推奨する。
Registration and documentation	登録と文書化
The EDPB and the EDPS support the general aim of the Proposal to ease administrative burdens for operators. However, they recommend maintaining the obligation for providers to register AI systems in the EU database for high-risk systems also in the cases where the provider has concluded the system is - despite being referred to in Annex III AI Act - not highrisk. The proposed deletion of such registration obligation would significantly decrease the accountability of providers of AI systems and would provide an undesirable incentive for providers to unduly invoke this exemption.	EDPBとEDPSは、提案が事業者の行政負担軽減を目指すという一般的な目的を支持する。ただし、プロバイダがAIシステムをEUの高リスクシステムデータベースに登録する義務については、プロバイダが当該システムが（AI法附属書IIIに言及されているにもかかわらず）高リスクではないと結論付けた場合でも維持すべきだと勧告する。この登録義務の削除は、AIシステムプロバイダの説明責任を著しく低下させ、プロバイダが不当にこの免除を主張する望ましくない動機を与える。
AI regulatory sandboxes at EU level	EUレベルにおけるAI規制サンドボックス
The EDPB and the EDPS support the creation of EU-level AI regulatory sandboxes to promote innovation and help small and medium-sized enterprises (‘SMEs’) across the EEA. However, they suggest improvements to ensure better legal certainty:	EDPBとEDPSは、イノベーションを促進しEEA全域のエンタープライズ（SME）を支援するため、EUレベルでのAI規制サンドボックス創設を支持する。ただし、法的確実性を高めるため以下の改善を提案する：
- competent Data Protection Authorities (DPAs) should be involved in the operation and supervision of the corresponding data processing carried out in these sandboxes, in line with Regulation (EU) 2016/679 (‘the GDPR’);	- 管轄データ保護当局（DPA）は、EU規則2016/679（GDPR）に沿い、これらのサンドボックス内で行われるデータ処理の運用・監督に関与すべきである；
- the competence of DPAs in these sandboxes and its interplay with the GDPR cooperation mechanism should be clarified;	- これらのサンドボックスにおけるDPAの権限と、GDPR協力メカニズムとの相互関係は明確化されるべきである。
- the EDPB should have (1) an advisory role to ensure consistency on data protection aspects, specifically in cases where several DPAs would be concerned by the EU-level AI sandbox, and (2) the status of observer at the European Artificial Intelligence Board.	- EDPBは（1）データ保護面での一貫性を確保するための助言的役割（特にEUレベルの人工知能サンドボックスに関与する複数のDPAが存在する場合）、および（2）欧州人工知能委員会におけるオブザーバーとしての地位を有するべきである。
Supervision and enforcement by the AI Office	AI事務局による監督と執行
The EDPB and the EDPS welcome the introduction of the requirement for active cooperation between the AI Office and authorities involved in the application of AI Act for the supervision of AI systems based on a general-purpose AI model, where the provider of the model is also the provider of the system. Whenever necessary, close cooperation should take place, as well as close coordination with the competent DPAs where there are risks to the fundamental rights to privacy and data protection. Moreover, the EDPB and the EDPS recommend to clearly delimitate the types of general-purpose AI models that would trigger the exclusive competence of the AI Office, to ensure effective supervision of such AI systems.	欧州データ保護委員会（EDPB）及び欧州データ保護監督官（EDPS）は、汎用AIモデルに基づくAIシステムの監督において、AI事務局とAI法の適用に関わる当局との積極的な協力が義務付けられたことを歓迎する。この場合、モデルのプロバイダがシステムのプロバイダでもある。必要に応じて緊密な協力を行うとともに、プライバシー及びデータ保護に関する基本的権利へのリスクが存在する場合、管轄データ保護当局との緊密な調整を図るべきである。さらに、EDPB及びEDPSは、当該AIシステムの効果的な監督を確保するため、AI事務局の専属的管轄権が発生する汎用AIモデルの種類を明確に限定することを推奨する。
In addition, the EDPB and the EDPS positively note the recital clarifying that the AI Office would not be competent for AI systems placed on the market, put into service or used by Union institutions, bodies, offices or agencies, which are under the supervision of the EDPS. In the interest of legal certainty and independence of the supervision, the EDPB and the EDPS recommend introducing such clarification in the enacting terms.	さらに、EDPBとEDPSは、AI事務局がAIシステムを上市し、欧州連合の機構・団体・事務所・機関が使用し、EDPSの監督下にあるAIシステムについては管轄権を持たないことを明確化する前文を肯定的に評価する。法的確実性と監督機関の独立性を考慮し、EDPBとEDPSは、この明確化を本条文に盛り込むことを推奨する。
Powers of authorities/bodies protecting fundamental rights and cooperation with MSA	基本権保護機関の権限及び市場監視当局との連携
The EDPB and the EDPS support the goal of streamlining cooperation between fundamental rights authorities or bodies (‘FRABs’) and market surveillance authorities (‘MSAs’). They welcome the idea of a central point of contact to increase efficiency, but recommend:	基本権保護機関（FRAB）と市場監視当局（MSA）間の連携効率化という目標を支持する。効率性向上のための単一窓口設置の構想を歓迎するが、以下の点を推奨する：
- clarifying the role of the MSAs as administrative points of contact for the execution and transmission of requests to providers and deployers;	- プロバイダ及び展開者への要請の執行・伝達における行政連絡窓口としてのMSAの役割を明確化すること；
- ensuring that the proposed change does not affect the independence and powers of DPAs;	- 提案された変更がDPAの独立性及び権限に影響を与えないことを確保すること；
- adding details to the Proposal, such as requiring MSAs to provide the information requested by FRABs without undue delay;	- 提案書に、MSAがFRABからの要請情報を不当な遅延なく提供することを義務付けるなど、詳細を追加すること；
- further clarifying the new obligation for cooperation and mutual assistance between MSAs and FRABs, particularly for cross-border cases.	- 特に越境事例において、MSAとFRAB間の協力・相互支援に関する新たな義務をさらに明確化すること。
AI literacy	AIリテラシー
The EDPB and the EDPS consider that AI systems providers and deployers should not be released from their obligation to ensure that their staff have a sufficient level of AI literacy, as it helps raising ethical and social awareness on AI benefits and risks. If the co-legislators decide to maintain the new obligation for the Commission and Member States to foster AI literacy, it should apply in addition to the current obligation applying to AI systems providers and deployers, instead of replacing it.	EDPBとEDPSは、AIシステムのプロバイダと展開者が、従業員に十分なAIリテラシーを確保する義務を免除されるべきではないと考える。これはAIの利点とリスクに関する倫理的・社会的認識を高めるのに役立つからである。共同立法者が、欧州委員会及び加盟国に対するAIリテラシー促進の新たな義務を維持することを決定した場合、それはAIシステムプロバイダ及び展開者に対する現行の義務に追加して適用されるべきであり、これに取って代わるべきではない。
Implementation timeline of high-risk rules	高リスク規則の実施スケジュール
With regard to the implementation timeline of high-risk rules and the proposed postponement of a number of core provisions, the EDPB and the EDPS acknowledge that some of the reasons for the delay of the application might be deemed at least partially objective, however they express concerns about the potential impact on the protection of fundamental rights in the fast-evolving AI landscape. In this regard, the Joint Opinion invites the co-legislators to consider whether it would be appropriate and feasible to maintain the current timeline for certain obligations, e.g. on transparency. In case the proposed delay of the timeline for entry into application is nevertheless adopted by the co-legislators, the EDPB and the EDPS call for concerted actions by all relevant stakeholders, and in particular by the Commission, in order to minimise the delay to the extent possible.	高リスク規則の実施スケジュール及び主要規定の延期提案に関し、EDPB及びEDPSは、適用遅延の理由の一部が少なくとも部分的に客観的とみなされる可能性を認める。しかしながら、急速に進化するAI環境における基本権保護への潜在的影響について懸念を表明する。この点に関して、共同意見は共同立法者に対し、透明性に関する義務など特定の義務について現行のスケジュールを維持することが適切かつ実現可能かどうかを検討するよう要請している。仮に共同立法機関が施行時期の延期案を採用する場合、欧州データ保護会議と欧州データ保護監察機関は、遅延を可能な限り最小限に抑えるため、すべての関係当事者、特に欧州委員会による協調的な行動を求める。
The European Data Protection Board and the European Data Protection Supervisor	欧州データ保護会議（EDPB）及び欧州データ保護監察機関（EDPS）
Having regard to Article 42(2) of the Regulation 2018/1725 of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC.	2018年10月23日付規則2018/1725（欧州連合の機構、団体、事務所及び機関によるパーソナルデータの処理及び当該データの自由な移動に関する自然人の保護、並びに規則（EC）No 45/2001及び決定No 1247/2002/ECの廃止に関する規則）第42条(2)を参照する。
HAVE ADOPTED THE FOLLOWING JOINT OPINION (the ‘Opinion’)	以下の共同意見（以下「本意見」）を採択した。
1 BACKGROUND	1 背景
1. On 19 November 2025, the European Commission (‘the Commission’) issued a Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI) (‘the Proposal’). On 25 November 2025, the Commission formally consulted the EDPB and the EDPS in accordance with Article 42(2) of Regulation (EU) 2018/1725 (‘EUDPR’)[1].	1. 2025年11月19日、欧州委員会（以下「委員会」）は、人工知能に関する調和規則の実施簡素化に関する規則（EU）2024/1689及び（EU）2018/1139の改正を目的とした欧州議会及び理事会規則の提案（人工知能に関するデジタルオムニバス法案、以下「提案」）を発表した。2025年11月25日、欧州委員会は規則（EU）2018/1725（「EUDPR」）[1]第42条(2)に基づき、欧州データ保護委員会（EDPB）及び欧州データ保護監督官（EDPS）に正式に諮問を行った。
2. The Proposal aims to amend Regulation 2024/1689[2] (the ‘AI Act’ or ‘AIA’) to address certain implementation challenges by way of targeted simplification measures. The proposed amendments relate to various topics, ranging from the implementation timeline of the rules for high-risk AI systems, to reducing the registration burden for certain AI systems and extending regulatory simplifications granted to small and medium-sized enterprises (‘SMEs’) to small mid-caps (‘SMCs’) [3].	2. 本提案は、特定の対象を絞った簡素化措置を通じて、実施上の課題に対処するため、規則2024/1689^[2]（「AI法」または「AIA」）を改正することを目的としている。提案された改正は、高リスクAIシステムに関する規則の実施スケジュールから、特定のAIシステムに対する登録負担の軽減、中小企業（SME）に認められている規制上の簡素化措置を中小中堅企業（SMC）に拡大することまで、様々な主題に関わるものである。
3. The aim of this Joint Opinion is not to provide an assessment of all the proposed amendments, but instead, to address the most relevant aspects of the Proposal which are of particular importance for the protection of individuals’ rights and freedoms with regard to the processing of personal data.	3. 本共同意見書の目的は、提案された改正案の全てをアセスメントすることではなく、個人データの処理に関する個人の権利と自由の保護にとって特に重要な、提案の最も関連性の高い側面に対処することである。
2 GENERAL REMARKS	2 総括的見解
4. The EDPB and the EDPS support the Proposal’s general objective to address certain implementation challenges of the AI Act, with a view to the effective application of the relevant rules. In the same spirit, the EDPB and the EDPS recall that the EDPB and the European Commission are working on joint guidelines on the interplay between the GDPR and the AI Act to be issued later this year. This echoes the commitments of the EDPB in its Helsinki Statement to take up initiatives to facilitate GDPR compliance and strengthen consistency, in order to empower responsible innovation and reinforce competitiveness in Europe[4].	4. EDPBとEDPSは、AI法の特定の実施上の課題に対処し、関連規則の効果的な適用を図るという本提案の一般的な目的を支持する。同様の精神に基づき、EDPBとEDPSは、EDPBと欧州委員会がGDPRとAI法の相互作用に関する共同ガイドラインを今年後半に発行すべく作業中であることを想起する。これは、責任あるイノベーションを促進し欧州の競争力を強化するため、GDPR遵守を促進し一貫性を強化する取り組みを推進するという、EDPBのヘルシンキ声明における公約を反映している[4]。
5. Another aim of the Proposal is to significantly reduce the administrative burden for businesses, national administrations, and the public at large[5]. The EDPB and the EDPS support this general objective of the Proposal, as long as pursuing this objective does not result in lowering the protection of fundamental rights of individuals, in particular the fundamental right to protection of personal data. The EDPB and the EDPS also wish to recall that, already during the initial drafting of the AI Act, several amendments were introduced to help reduce administrative burdens while still protecting the fundamental rights of individuals[6]. A careful balance needs to be kept between reducing administrative burden where possible, without undermining the protection of fundamental rights in the context of AI. Therefore, the EDPB and the EDPS warn against reducing the existing protection offered under the AI Act without careful consideration of the protection of the rights of individuals. In the remainder of this Joint Opinion, the EDPB and the EDPS highlight specific aspects of the Proposal that warrant further consideration and provide specific recommendations to help ensure that the final text of the Proposal maintains a high level of protection of the fundamental rights of individuals, and with a view of providing greater legal certainty for all actors involved.	5. 本提案の別の目的は、企業、国家行政機関、そして一般市民に対する行政負担を大幅に軽減することである^[5]。EDPBとEDPSは、この提案の一般的な目的を支持する。ただし、この目的の追求が個人の基本的権利、特に個人データの保護という基本的権利の保護水準を低下させる結果とならない限りにおいてである。EDPBとEDPSはまた、AI法の初期ドラフト段階ですでに、個人の基本的権利を保護しつつ行政負担を軽減するための複数の修正が導入されたことを想起したい^[6]。AIの文脈において、基本権の保護を損なうことなく、可能な範囲で行政負担を軽減する慎重なバランスが求められる。したがって、EDPBとEDPSは、個人の権利保護を慎重に考慮せずに、AI法が提供する既存の保護水準を低下させることに対して警告する。本共同意見書の残りの部分では、EDPBとEDPSは、提案の特定の側面についてさらなる検討が必要であることを強調し、提案の最終案が個人の基本的権利を高度に保護し、関係する全ての主体にとってより大きな法的確実性を提供することを確保するための具体的な提言を行う。
6. The references to Data Protection Authorities (‘DPAs’) in this Joint Opinion should be understood as the supervisory authorities within the meaning of Article 4(21) GDPR and Article 3(15) Law Enforcement Directive (‘LED’)[7], regardless of whether they have been entrusted with additional tasks or powers under the AI Act, as market surveillance authorities (‘MSAs’).	6. 本共同意見におけるデータ保護当局（DPA）への言及は、AI法の下で市場監視当局（MSA）としての追加的任務または権限を付与されているか否かにかかわらず、GDPR第4条(21)および法執行指令（LED）[7]第3条(15)の意味における監督当局として理解されるべきである。
3 PROCESSING OF SPECIAL CATEGORIES OF PERSONAL DATA FOR BIAS DETECTION AND CORRECTION	3 バイアス検知・修正のための特別カテゴリーの個人データの処理
7. According to Article 10(5) AI Act, providers of high-risk systems may exceptionally process special categories of personal data to the extent that it is strictly necessary for the purpose of ensuring bias detection and correction in accordance with the requirements of Article 10(2)(f) and (g) AI Act. Such processing must be subject to appropriate safeguards for the fundamental rights and freedoms of natural persons.	7. AI法第10条(5)によれば、高リスクシステムのプロバイダは、AI法第10条(2)(f)及び(g)の要件に従い、バイアス検知及び修正を確保する目的で厳密に必要な範囲において、例外的に特別カテゴリーの個人データを処理することができる。かかる処理は、自然人の基本的権利及び自由に対する適切な保護措置の対象とならなければならない。
8. The Proposal would introduce a new Article 4a, replacing Article 10(5), that would allow, where necessary, processing of special categories of personal data by providers and deployers of all AI systems and models, subject to appropriate safeguards as specified in the draft Proposal that complement the GDPR, EUDPR and LED, as applicable. Thus, the Proposal would extend the material and personal scope of Article 10(5) AI Act to all AI systems and models and would also cover deployers.	8. 本提案は、必要に応じて、全てのAIシステム及びモデルのプロバイダ及び展開者による特別カテゴリーの個人データの処理を、GDPR、EUDPR及びLED（該当する場合）を補完する本提案ドラフトで規定される適切な保護措置を条件として認める新たな第4a条を導入し、第10条(5)に代わるものである。したがって、本提案はAI法の10条(5)の適用範囲を、すべてのAIシステム及びモデルに拡大するとともに、展開者も対象とする。
9. While the processing of special categories of personal data for bias detection and correction can entail additional risks to the fundamental rights and freedoms of the affected data subjects, it is also true that if bias detection and correction are unsuccessful or insufficient, bias in AI systems may present a wider risk to those whose personal data would be processed by the AI system after it has been put on the market, and even to society as a whole.	9. バイアス検出・修正のための特別カテゴリーの個人データ処理は、影響を受けるデータ対象者の基本的権利・自由に対する追加的リスクを伴う可能性がある。しかし同時に、バイアス検出・修正が不成功または不十分な場合、AIシステム内のバイアスは、当該システムが市場投入後に個人データを処理する対象者、さらには社会全体に対してより広範なリスクをもたらす可能性があることも事実である。
10. The EDPB and the EDPS also understand that the list of high-risk AI systems can never be exhaustive in referencing all possible AI systems that present substantial risks to the rights and freedoms of individuals. Consequently, systems that have not been identified as high-risk could still lead, in certain cases, to negative consequences for individuals.	10. EDPBとEDPSは、個人の権利と自由に対して重大なリスクをもたらす可能性のある全てのAIシステムを網羅することは不可能であるため、高リスクAIシステムのリストが完全なものではないことも理解している。したがって、高リスクと識別されていないシステムであっても、特定の状況下では個人に悪影響を及ぼす可能性がある。
11. At the same time, the EDPB and the EDPS recall that processing special categories of personal data is in principle prohibited under EU data protection law and the exceptions to this prohibition should be narrowly defined. To avoid potential abuse, the cases where providers and deployers would be able to rely on this legal ground in the context of non-high risk AI systems and models should be clearly circumscribed and limited to cases where the risk of adverse effects caused by such bias is sufficiently serious to justify the processing of special categories of personal data.	11. 同時に、EDPB及びEDPSは、EUデータ保護法の下では原則として特別な種類の個人データの処理が禁止されており、この禁止の例外は厳格に定義されるべきであることを想起する。潜在的な濫用を避けるため、非高リスクAIシステム・モデルにおいてプロバイダや展開者がこの法的根拠に依拠できるケースは、明確に限定されなければならない。具体的には、当該バイアスによる悪影響のリスクが、特別の種類の個人データの処理を正当化するほど十分に深刻な場合にのみ適用されるべきである。
12. The current text of Article 10(5) AI Act refers to processing of special categories of personal data that is ‘strictly necessary’ to detect and correct biases. The proposed new provision of Article 4a(1) refers only to ‘necessary’, while the new Article 4a(2) refers to ‘necessary and proportionate’. The EDPB and the EDPS recommend (re)instating the standard of strict necessity, which currently applies for high-risk AI systems, for all providers and deployers of AI systems and models referred in Article 4a, for the processing of special categories of personal data for the purpose of ensuring bias detection and correction.	12. 現行のAI法第10条(5)項は、バイアスの検知・修正に「厳密に必要な」特別カテゴリーの個人データ処理を規定している。提案された新条項である第4a条(1)項は単に「必要な」処理に言及し、新第4a条(2)項は「必要かつ比例的な」処理に言及している。欧州データ保護委員会（EDPB）及び欧州データ保護監督官（EDPS）は、第4a条に規定されるAIシステム及びモデルの全てのプロバイダ・展開者に対し、バイアス検知及び是正を目的とした特別の種類の個人データの処理について、現在高リスクAIシステムに適用されている厳格な必要性の標準を（再）導入することを推奨する。
13. Current Article 10(5) AI Act limits the possibility to process special categories of personal data to cases where it is necessary to comply with the obligations under Article 10(2)(f) and (g) AI Act. The EDPB and the EDPS stress that the scope of the new Article 4a(2) should be understood as similarly limited to the detection, prevention and mitigation of biases that are likely to affect the health and safety of persons, have a negative impact on fundamental rights or lead to discrimination prohibited under Union law, as provided for by the current Article 10(2)(f) and (g) AI Act, and as already referred to in paragraph 1 of the proposed Article 4a[8]. However, currently, neither the Proposal, nor the Staff Working Document[9] accompanying it, provide any specific guidance or examples.	13. 現行のAI法第10条(5)は、特別のカテゴリーの個人データを処理する可能性を、AI法第10条(2)(f)および(g)に基づく義務を遵守するために必要な場合に限定している。欧州データ保護委員会（EDPB）及び欧州データ保護監督官（EDPS）は、新規第4a条(2)の適用範囲は現行第10条(2)(f)及び(g)並びに提案第4a条[8]第1項で規定される通り、人の健康・安全に影響を及ぼす可能性のあるバイアス、基本権への悪影響、または連合法で禁止される差別に繋がるバイアスの検知・予防・緩和に限定されるべきだと強調する。(g)の規定と同様に限定的に解釈されるべきであると強調する。ただし、現時点では、提案書も、それに付随するスタッフ作業文書も、具体的なガイダンスや事例を提供していない。
14. The EDPB and the EDPS recommend providing, by way of a recital, more detailed justifications for the envisaged extension of the scope of the exception by indicating specific examples of non-high-risk AI systems or models that could adversely affect individuals based on protected characteristics that would warrant processing of special categories of data to counter such bias.	14. EDPB及びEDPSは、例外の適用範囲拡大を想定するにあたり、保護特性に基づく個人への悪影響を及ぼす可能性があり、そのようなバイアスに対抗するために特別カテゴリーのデータ処理を正当化できる、非高リスクAIシステムまたはモデルの具体例を示すことで、より詳細な根拠を前文によって提供することを推奨する。
15. The wording used in Article 4a(2) Proposal should also be revised to enhance legal certainty as regards the application of Articles 6 and 9 GDPR which require a clear legal basis and derogation for the processing of special categories of personal data. In this regard, the EDPB and the EDPS note that the wording used in Article 4a(2), in particular the use of ‘may’, is likely to give rise to legal uncertainty. If it is the intention of the co-legislators to extend the duty under current Article 10(2)(f) and (g) AI Act (and the corresponding derogation under Article 9 GDPR[10]) to providers and deployers of all AI systems and models, this should be clearly stated[11].	15. 提案第4a条(2)項の文言も、GDPR第6条及び第9条の適用に関する法的確実性を高めるため修正すべきである。同条項は、特別な種類の個人データの処理について明確な法的根拠と例外規定を要求している。この点に関して、EDPB及びEDPSは、第4a条(2)項の文言、特に「may」の使用が法的不確実性を招く可能性が高いと指摘する。共同立法者が、現行のAI法第10条(2)(f)および(g)（ならびにGDPR第9条^[10]に基づく対応する例外規定）に基づく義務を、あらゆるAIシステムおよびモデルのプロバイダおよび展開者に拡大する意図であるならば、これを明確に明記すべきである^[11]。
16. Finally, the EDPB and the EDPS recall that, as explained in Recital 70 AI Act, the current provision of Article 10(5) AI Act and thus the new Article 4a, regulate a specific case of processing of special categories of personal data as a matter of substantial public interest within the meaning of Article 9(2)(g) GDPR and Article 10(2)(g) EUDPR. Consequently, all the conditions laid down in the GDPR and the EUDPR would fully apply whenever a developer or a deployer relies on this legal ground. Moreover, the Commission explicitly clarifies that the aim of the amendment is ‘facilitating compliance with the data protection laws’ by providers and deployers of AI systems[12]. Against this background, the EDPB and the EDPS stress that DPAs would first and foremost be competent to supervise the processing of personal data pursuant to Article 4a AIA, also in line with Article 2(7) AIA.	16. 最後に、EDPB及びEDPSは、AI法前文70項で説明されている通り、現行のAI法第10条(5)項、ひいては新設の第4a条は、GDPR第9条(2)(g)及びEUDPR第10条(2)(g)の意味における「重要な公共の利益」に基づく、特定の種類の個人データの処理を規制するものであることを想起する。したがって、開発者または展開者がこの法的根拠に依拠する場合、GDPRおよびEUDPRに定められた全ての条件が完全に適用される。さらに、欧州委員会は改正の目的が「AIシステムのプロバイダおよび展開者によるデータ保護法への順守を促進すること」であると明示的に説明している[12]。こうした背景を踏まえ、EDPBとEDPSは、AIA第4a条に基づくパーソナルデータの処理の監督については、AIA第2条(7)にも沿い、何よりもまずデータ保護当局（DPA）が管轄権を有すると強調している。
4 REGISTRATION AND DOCUMENTATION	4 登録と文書化
17. The EDPB and the EDPS support the general aim of the Proposal to ease administrative burdens for operators. However, the EDPB and the EDPS recommend maintaining the obligation for providers to register AI systems in the EU database for high-risk systems also in the cases where the provider has concluded the system is - despite being referred to in Annex III AI Act - not high-risk, under the conditions set by Article 6(3) AIA[13].	17. EDPBとEDPSは、事業者の行政負担を軽減するという本提案の一般的な目的を支持する。ただし、EDPBとEDPSは、プロバイダがAI法附属書IIIに記載されているにもかかわらず、AIA第6条(3)[13]の条件に基づき当該システムが高リスクではないと判断した場合においても、プロバイダがEUの高リスクシステムデータベースにAIシステムを登録する義務を維持することを推奨する。
18. The registration obligation, as envisaged by the current text of the AIA [14] , ensures the transparency and traceability of these systems towards the public as well as the national competent authorities[15]. Given that the AI systems in question could still pose potentially significant risks, the registration obligation does not seem unreasonable or disproportionate. The proposed deletion of the existing obligation [16] would significantly decrease the accountability of providers of AI systems and would provide an undesirable incentive for providers to unduly invoke this exemption without critical analysis.	18. 現行のAIA条文[14]で想定されている登録義務は、これらのシステムが公衆および国内管轄当局[15]に対して透明性と追跡可能性を確保するものである。当該AIシステムが依然として潜在的に重大なリスクをもたらし得ることを考慮すれば、登録義務は不合理でも不均衡でもない。既存の義務^[16]の削除案は、AIシステムプロバイダの説明責任を著しく低下させ、プロバイダが批判的分析なしに不当にこの免除を主張する望ましくない動機を与えることになる。
19. First, the registration obligation allows the public to be informed about the grounds under which the provider considers that the AI system ‘does not pose a significant risk of harm to the health, safety or fundamental rights of natural persons’[17], despite it being referred to in Annex III AI Act. The public registration further allows deployers to carry out proper due diligence (before deciding whether to make use of the exempted AI system) and risk-management of these AI systems (in the context of the deployment of the AI system). The public disclosure of the assessment conducted by providers that is mandated by the current text, and the related possible reputational risks for providers, are better aligned with the possible risks posed by these AI systems.	19. 第一に、登録義務により、一般公衆は、プロバイダがAIシステムを「自然人の健康、安全または基本的権利に対する重大なリスクをもたらさない」[17]と考える根拠について、AI法附属書IIIで言及されているにもかかわらず、情報を得ることができる。公開登録はさらに、導入者が（免除対象AIシステムの利用可否決定前に）適切なデューデリジェンスを実施し、これらのAIシステム（展開の文脈において）のリスクマネジメントを行うことを可能にする。現行条文で義務付けられているプロバイダによるアセスメントの公開開示、およびそれに関連するプロバイダの評判リスクの可能性は、これらのAIシステムがもたらす可能性のあるリスクとの整合性がより高い。
20. Second, such registration also serves the purpose of informing national competent authorities and national public authorities or bodies which supervise or enforce the respect of obligations under Union law protecting fundamental rights (‘FRABs’) before these systems are placed in the market or put into service[18], which in turns may lead them to requesting the documentation and possibly engaging in enforcement activities where appropriate [19] . The registration obligation enables a timely response by national competent authorities and FRABs to mitigate risks. Moreover, the leeway afforded to providers of high-risk AI systems does not appear to be justified by the negligible savings that would arise from this proposed modification[20].	20. 第二に、この登録は、当該システムが市場に投入されるか運用開始される前に^[18]、基本権保護に関する連合法上の義務の遵守を監督・執行する国内管轄当局及び国内公的団体（以下「FRABs」）に情報を提供するという目的も果たす。これにより、FRABsは文書提出を要求し、必要に応じて執行活動を行う可能性がある^[19]。登録義務により、国家管轄当局及びFRABはリスク緩和のため適時に対応できる。さらに、高リスクAIシステムプロバイダに与えられる猶予期間は、本改正案^[20]により生じるわずかなコスト削減では正当化されないと考えられる。
21. While providers would still be obliged to document their assessment that the AI system referred to in Annex III AIA is not high-risk before that system is placed on the market or put into service, and to make the documentation available to the national competent authorities upon request[21], this does not appear to be sufficient if not accompanied by the registration. The exemption foreseen by Article 6(3) and 6(4) AIA must remain counter-balanced by appropriate accountability, also considering the existing differing interpretations of the relevant provisions and risks of incorrect assessment[22].	21. プロバイダは、AIA附属書IIIに規定されるAIシステムが上市または使用される前に、当該システムが高リスクではないとのアセスメントを文書化し、要請に応じて国内管轄当局に提出する義務を負う^[21]。しかし、登録を伴わない場合、この措置だけでは不十分である。AIA第6条(3)および(4)で規定される免除は、関連規定の解釈の相違や誤ったアセスメントのリスクも考慮し、適切な説明責任によって相殺され続けなければならない^[22]。
22. Finally, the EDPB and the EDPS note that the Proposal extends certain regulatory privileges to SMEs and SMCs, defined on the basis of staff headcount and turnover or balance sheet numbers[23].	22. 最後に、EDPBおよびEDPSは、本提案が従業員数および売上高または貸借対照表の数値に基づいて定義される中小企業（SME）および小規模企業（SMC）に対して特定の規制上の特権を拡大していることに留意する[23]。
23. In this regard, it should be recalled that, in light of AI’s features of scalability and autonomy, the headcount and more generally the company size may not be a decisive factor to assess the possible harm posed by high-risk AI systems placed on the market by such enterprises.	23. この点に関して、AIの拡張性と自律性という特性を踏まえると、従業員数やより一般的な企業規模は、こうしたエンタープライズが上市する高リスクAIシステムがもたらす可能性のある危害を評価する上で決定的な要素とはならないことを想起すべきである。
24. As a consequence, the EDPB and the EDPS express concerns as to the approach of simplifying the obligations relating to product safety of AI systems on the basis of the size of the company and especially headcount.	24. したがって、EDPBとEDPSは、企業の規模、特に従業員数に基づいてAIシステムの製品安全に関する義務を簡素化するアプローチについて懸念を表明する。
5 AI REGULATORY SANDBOXES AT UNION LEVEL	5 連合レベルにおけるAI規制サンドボックス
25. The EDPB and the EDPS welcome the introduction of AI regulatory sandboxes at EU level, to support innovation and SMEs across the EEA (new Article 57(3a) AIA). The proposed changes to Articles 57 and 58 AIA introduce the possibility for the AI Office to establish such sandboxes with regard to certain AI systems, such as those based on a general-purpose AI model (subject to the specifications provided under Article 1(25), para.1, Proposal)[24]. These sandboxes would be established in addition to those at national level that should be established on the basis of Article 57 AIA[25].	25. EDPBとEDPSは、EEA全域におけるイノベーションと中小企業を支援するため、EUレベルでのAI規制サンドボックスの導入を歓迎する（AIA新第57条(3a)）。AIA第57条及び第58条への改正案は、汎用AIモデルに基づくものなど特定のAIシステムに関して、AI事務局がこのようなサンドボックスを設置する可能性を導入する（提案第1条(25)項1号に規定される要件に従うものとする）^[24]。これらのサンドボックスは、AIA第57条^[25]に基づき設立されるべき国家レベルのサンドボックスに追加して設立されるものである。
26. With respect to national sandboxes, Article 57(10) AIA currently requires national competent authorities to ensure that, to the extent the AI systems involve personal data processing, the national DPAs are associated with the operation of the national sandbox and involved in the supervision of those aspects to the extent of their respective tasks and powers. There is no similar provision in relation to EU-level sandboxes, even though they may involve processing of personal data which is subject to the oversight of DPAs. The EDPB and the EDPS recommend clarifying, directly in the AI Act, that competent DPAs should be associated with the operation of EU-level sandboxes and involved in the supervision and enforcement of the corresponding data processing[26] in line with Articles 55 et seq. GDPR.	26. 国内サンドボックスに関しては、AIA 第 57 条(10) は現在、AI システムが個人データの処理を伴う場合、国内 DPA が国内サンドボックスの運用に関与し、それぞれの任務と権限の範囲内で、それらの側面の監督に関与することを国内管轄当局が確保することを要求している。EUレベルでのサンドボックスに関しては、DPAの監督対象となる個人データの処理を伴う可能性があるにもかかわらず、同様の規定は存在しない。欧州データ保護委員会（EDPB）及び欧州データ保護監督官（EDPS）は、GDPR第55条以下に沿い、EUレベルサンドボックスの運用に管轄データ保護当局を関与させ、対応するデータ処理[26]の監督・執行に関与させることを、AI法において直接明記するよう勧告している。
27. Further, it is unclear how the competent DPA would be identified in the context of EU-level sandboxes and how this relates to the cooperation mechanism under the GDPR. The amended Article 58(1)(d) AIA requires the Commission to address, in an implementing act, ‘common principles’ on ‘the detailed rules applicable to the governance of AI regulatory sandboxes covered under Article 57, including as regards the exercise of the tasks of the competent authorities and the coordination and cooperation at national and EU level’. Since association to a sandbox involves significant limitations to the powers of the competent DPAs[27], the issue of the competence of DPAs and its interplay with the GDPR cooperation mechanism should be addressed directly in the AI Act to avoid any legal uncertainty.	27. さらに、EUレベルでのサンドボックスにおいて管轄DPAをどのように識別するか、またこれがGDPRに基づく協力メカニズムとどのように関連するかは不明確である。改正されたAIA第58条(1)(d)は、欧州委員会に対し、実施法令において「第57条に規定されるAI規制サンドボックスのガバナンスに適用される詳細な規則に関する共通原則」を、主たる監督機関の任務の遂行及び国内・EUレベルでの調整・協力に関して含む形で、実施法令において定めることを求めている。サンドボックスへの参加は、管轄DPAの権限に重大な制限を伴うため[27]、DPAの権限問題とGDPR協力メカニズムとの相互作用は、法的な不確実性を回避するため、AI法において直接規定すべきである。
28. In addition, the EDPB and the EDPS consider that the EDPB should be involved in order to ensure a coordinated and consistent approach[28]. To that end, the EDPB and the EDPS recommend modifying Article 57 AIA to specifically refer to the advisory role of the EDPB for ensuring consistency on data protection aspects, specifically in cases where several DPAs would be concerned by the AI system developed in the EU-level AI sandbox pursuant to Article 57(3a) AIA.	28. さらに、EDPBとEDPSは、調整された一貫性のあるアプローチを確保するため、EDPBの関与が必要であると考えている[28]。この目的のため、EDPBとEDPSは、AIA第57条を改正し、特にAIA第57条(3a)に基づきEUレベルAIサンドボックスで開発されたAIシステムに関与する複数のDPAが存在する場合において、データ保護面での一貫性を確保するためのEDPBの助言的役割を明示的に言及するよう勧告する。
29. Additionally, the EDPB should be granted, directly in the AI Act, the status of observer at the European Artificial Intelligence Board (‘AI Board’) [29] . This could ensure the continuous involvement of the EDPB when matters related to the application of data protection law, such as in the context of EU-level sandboxes[30], are discussed within the AI Board.	29. さらに、欧州人工知能委員会（以下「AI委員会」）^[29]において、EDPBにオブザーバーとしての地位をAI法で直接付与すべきである。これにより、EUレベルでのサンドボックス^[30]の文脈など、データ保護法の適用に関連する事項がAI委員会内で議論される際、EDPBの継続的な関与が確保される。
30. The new obligation of national competent authorities to support the joint establishment and operation of AI regulatory sandboxes in the revised Article 57(14) AIA is welcomed by the EDPB and the EDPS. This new obligation, which does not affect the possibility of additional sandboxes according to Article 57(2) AIA, and could ensure coordinated cross-border approaches among authorities. However, how such obligation will be operationalised in practice remains unclear, hence the EDPB and the EDPS recommend clarifying these aspects.	30. 改正AIA第57条(14)で定められた、AI規制サンドボックスの共同設立・運営を支援する新たな国内管轄当局の義務は、EDPB及びEDPSが歓迎するものである。この新たな義務は、AIA第57条(2)に基づく追加サンドボックスの可能性に影響を与えず、当局間の調整された越境的アプローチを確保し得る。しかしながら、この義務が実際にどのように運用されるかは依然不明確であるため、EDPB及びEDPSはこれらの点を明確化するよう勧告する。
31. Lastly, a clear distinction should be made between AI sandboxes for Union institutions, bodies, offices or agencies, which may be established by the EDPS pursuant to Article 57(3) AIA, and the EU-level AI sandbox established by the AI Office pursuant to Article 57(3a) AIA, which would in any event remain limited to AI systems covered by Article 75(1) AIA. In line with Recital 14 Proposal (see also Section 6 of the Joint Opinion below), the EDPB and the EDPS understand that AI systems placed on the market, put into service or used by Union institutions, bodies, offices or agencies would not be involved in the AI regulatory sandbox at EU-level within the meaning of Article 57(3a) AIA, as the EDPS is the sole competent authority under the AI Act for such AI systems, pursuant to Article 74(9) AIA. Moreover, the EDPB and the EDPS recall that the EDPS remains the competent authority under Regulation (EU) 2018/1725 to supervise any processing of personal data by the AI Office itself, as EU body, including in the context of EU-level sandboxes.	31. 最後に、EDPSが人工知能法（AIA）第57条(3)に基づき設置する可能性のある、連合の機構、団体、事務所または機関向けのAIサンドボックスと、AI事務局がAIA第57条(3a)に基づき設置するEUレベルのAIサンドボックスとは、明確に区別すべきである。後者はいずれにせよ、AIA第75条(1)の対象となるAIシステムに限定される。前文14（下記の共同意見第6節も参照）に沿い、EDPB及びEDPSは、EU機構・団体・事務所・機関が上市、運用開始、または使用するAIシステムは、AIA第57条(3a)の意味におけるEUレベルでのAI規制サンドボックスの対象外であると理解する。さらに、EDPBとEDPSは、EU機関であるAI事務局自身による個人データの処理（EUレベルでのサンドボックスを含む）を監督する権限は、規則(EU)2018/1725に基づきEDPSが保持していることを改めて指摘する。
6 SUPERVISION AND ENFORCEMENT BY THE AI OFFICE	6 AI庁による監督と執行
32. Pursuant to Article 75 AI Act, the AI Office is competent to monitor and supervise compliance of AI systems based on a general-purpose AI model, when the model and the system are developed by the same provider. The Proposal further extends this exclusive competence to AI systems that constitute or are integrated into a designated very large online platform (‘VLOP’) or very large online search engine (‘VLOSE’) within the meaning of Regulation (EU) 2022/2065 (‘DSA’)[31].	32. AI法第75条に基づき、AI庁は汎用AIモデルに基づくAIシステムの適合性を監視・監督する権限を有する。ただし、当該モデルとシステムが同一プロバイダによって開発された場合に限る。本提案はさらに、この専属的権限を、規則（EU）2022/2065（「DSA」）[31]の定義に基づく指定超大規模オンラインプラットフォーム（「VLOP」）または超大規模オンライン検索エンジン（「VLOSE」）を構成する、もしくはそれらに統合されるAIシステムにまで拡大する。
33. The EDPB and the EDPS acknowledge that the monitoring, supervision, and enforcement of such systems would benefit from centralising competencies at the EU level. In this regard, they welcome the fact that Article 75(1), last subparagraph AIA, requires active cooperation between the authorities involved in the application of AI Act in the exercise of these powers. However, the EDPB and the EDPS consider this active cooperation provision may not be sufficient to guarantee the ability of national competent authorities to initiate actions if the AI Office has not already acted or does not want to, given the exclusivity of the authority granted to the AI Office. Finally, the AI Office should coordinate closely with the competent national data protection authorities when the aforementioned AI systems present risks to the fundamental rights to privacy and data protection, in compliance with Article 8(3) of the Charter of Fundamental Rights of the EU and in line with Article 2(7) AIA. Moreover, the EDPB and the EDPS recommend to clearly delimitate the types of general-purpose AI models that trigger ’exclusive competence’ to ensure effective supervision of AI systems.	33. EDPB及びEDPSは、こうしたシステムの監視・監督・執行にはEUレベルでの権限集中が有益であると認める。この点において、AIA第75条(1)項最終項が、AI法の適用に関わる当局間の積極的な協力関係をこれらの権限行使において要求している事実を歓迎する。しかしながら、欧州データ保護委員会及び欧州データ保護監督官は、AI庁に付与された権限の排他性を考慮すると、AI庁が既に措置を講じていない場合、あるいは講じようとしていない場合に、各国の管轄当局が措置を開始する能力を保証するには、この積極的な協力規定だけでは不十分である可能性があると考えている。最後に、前述の人工知能システムがプライバシー及びデータ保護に関する基本的権利にリスクをもたらす場合、EU基本権憲章第8条(3)及びAIA第2条(7)に準拠し、人工知能庁は各国のデータ保護主管当局と緊密に連携すべきである。さらに、EDPBおよびEDPSは、AIシステムの効果的な監督を確保するため、「専属的権限」を発動させる汎用AIモデルの種類を明確に区別することを推奨する。
34. In addition, the EDPB and the EDPS positively note that Recital 14 Proposal clarifies that the AI Office would not be competent for AI systems placed on the market, put into service or used by Union institutions, bodies, offices or agencies, which are under the supervision of the EDPS pursuant to Article 74(9) AI Act. However, this clarification is not provided in the operative part of the draft Regulation. Therefore, in the interest of legal certainty, as well as to ensure the necessary independent character of the supervision by the competent authority, the EDPB and the EDPS consider it necessary that, in addition to Recital 14, the amended Article 75 should expressly exclude from the competence of the AI Office the supervision of AI systems developed or used by Union institutions, bodies, offices or agencies and covered by Article 74(9) AI Act.	34. さらに、EDPB及びEDPSは、提案された前文第14項が、欧州連合（EU）の機構、団体、事務所又は機関が上市し、使用を開始し、又は使用するAIシステムについては、AI法第74条(9)に基づきEDPSの監督下に置かれるため、AI事務局の管轄権が及ばないことを明確にしている点を評価する。しかしながら、この明確化は規則案の本文部分には記載されていない。したがって、法的確実性の観点から、また管轄当局による監督に必要な独立性を確保するため、EDPB及びEDPSは、前文に加え、改正後の第75条において、EU機構・団体・事務所・機関が開発または使用するAIシステムで、AI法第74条(9)の適用対象となるものについて、AI事務局の監督権限から明示的に除外することが必要であると考える。
7 POWERS OF AUTHORITIES/BODIES PROTECTING FUNDAMENTAL RIGHTS AND COOPERATION WITH MSA	7 基本権保護団体の権限及び市場監視当局との協力
35. The EDPB and the EDPS support the general objective of clarifying the scope of the cooperation between market surveillance authorities (‘MSAs’) and FRABs. This is also in line with the EDPB’s recommendations included in its Statement 3/2024 on data protection authorities’ role in the AIA[32].	35. EDPB及びEDPSは、市場監視当局（MSA）と基本権保護団体（FRAB）との協力範囲を明確化するという一般的な目的を支持する。これは、AIAにおけるデータ保護当局の役割に関するEDPBの声明3/2024[32]に含まれる勧告とも一致するものである。
36. Article 77 AIA currently allows FRABs to directly request documentation produced for the purpose of AIA compliance to deployers or providers, and the proposed change would, in practice, place the MSAs as an intermediary between the FRABs on one side, and the deployers or providers on the other. The establishment of a centralised point of contact with the objective of increasing efficiency is welcomed by the EDPB and the EDPS as this would reduce the administrative burden for companies. However, the EDPB and the EDPS note that, requiring FRABs to obtain information or documentation produced for the purpose of AIA compliance from providers or deployers solely through MSAs may actually result in inefficiencies. Therefore, they recommend ensuring that the establishment of a centralised point of contact achieves, in practice, the objective of making the procedure more efficient.	36. 第77条 AIAは現在、FRABがAIA遵守のために作成された文書をデプロイヤーまたはプロバイダに直接要求することを認めている。提案された変更は、実際にはMSAをFRABとデプロイヤーまたはプロバイダの間の仲介者として位置づけることになる。効率性向上を目的とした一元的な連絡窓口の設置は、企業の事務負担を軽減するため、EDPB及びEDPSはこれを歓迎する。しかしながら、EDPB及びEDPSは、FRABがAIA遵守のために作成された情報または文書を、プロバイダまたは展開業者からMSAを通じてのみ取得することを義務付けることは、実際には非効率を招く可能性があることに留意する。したがって、中央連絡窓口の設置が、実務上、手続きの効率化という目的を達成することを確保すべきであると勧告する。
37. The EDPB and the EDPS recommend further clarifying the competence and the role of MSAs under Article 77 AIA. In this regard, the EDPB and the EDPS consider it important to explicitly clarify that the role of MSAs should be strictly that of an administrative point of contact for the execution and transmission of requests of information or documentation to providers and deployers, and should not lead to MSAs assessing the necessity or proportionality of the request.	37. EDPB および EDPS は、AIA 第 77 条に基づく MSA の権限と役割をさらに明確化することを勧告する。この点に関して、EDPB および EDPS は、MSA の役割は、プロバイダおよびデプロイヤーに対する情報または文書の要求の実行および伝達のための管理上の連絡窓口に厳密に限られるべきであり、要求の必要性または比例性を評価することにはつながらないことを明示的に明確化することが重要であると考える。
38. Moreover, the Proposal should clarify that it does not affect the independence and existing powers of DPAs, in particular, the powers of DPAs to obtain, from the controller and the processor, access to all information necessary for the purpose of monitoring compliance with data protection law[33].	38. さらに、本提案は、データ保護当局（DPA）の独立性及び既存の権限、特にデータ保護法遵守の監視目的に必要な全ての情報をデータ管理者とデータ処理者から取得するDPAの権限に影響を与えないことを明確にすべきである[33]。
39. Article 77(1a) AIA, added by the Proposal, should be more specific in order to build a workable information exchange system in case of cross-border cooperation[34]. In addition, the Proposal should specify that MSAs should provide the information requested by FRABs without undue delay, where the information is exchanged at national level, and also in cross-border cases. These additional elements would ensure legal certainty and smooth cooperation between the relevant authorities.	39. 提案により追加されるAIA第77条(1a)は、越境協力の場合に運用可能な情報交換システムを構築するため、より具体的にすべきである[34]。加えて、提案は、国内レベルで情報が交換される場合、また越境事例においても、MSAがFRABから要求された情報を不当な遅滞なく提供すべきことを明記すべきである。これらの追加要素は、法的確実性と関連当局間の円滑な協力を確保するものである。
40. Should the proposed changes to Article 6(4) AIA (registration obligation for providers of AI systems, see Section 4 of the Joint Opinion) be maintained in spite of the opinion of the EDPB and the EDPS on this matter, the clarifications mentioned above would all the more be beneficial as these latter changes would reduce the information publicly available.	40. EDPB及びEDPSの意見にかかわらず、人工知能法（AIA）第6条(4)項（人工知能プロバイダの登録義務、共同意見書第4節参照）への提案変更を維持する場合、前述の明確化は一層有益となる。なぜなら、後者の変更は公開される情報を減少させるからである。
41. Lastly, the EDPB and the EDPS positively note the addition of Article 77(1b) AIA, which creates a new obligation of cooperation and mutual assistance between MSAs and FRABs. This proposed addition could be beneficial in case of cross-border cooperation[35] (e.g. in case one FRAB sends a request to an MSA, which needs the assistance of an MSA from another Member State[36] to answer it), provided that it aligns with the principle of sincere cooperation provided by Article 4(3) of the TEU. This new obligation could be further completed by clarifying how this mutual assistance under the added Article 77(1b) AIA interplays, for AI systems, with the cross-border mutual assistance for market surveillance and compliance of products[37] under Regulation (EU) 2019/1020 and Article 75 AIA.	41. 最後に、EDPB および EDPS は、MSA と FRAB 間の新たな協力および相互支援義務を創設する AIA 第 77 条 (1b) の追加を肯定的に評価する。この追加規定は、EU基本条約第4条(3)が定める誠実な協力の原則に沿う限り、国境を越えた協力^[35]（例えば、あるFRABがMSAに要請を送り、そのMSAが回答するために別の加盟国のMSAの支援を必要とする場合^[36]）において有益となり得る。この新たな義務は、追加されたAIA第77条(1b)に基づく相互支援が、AIシステムに関して、市場監視及び製品の適合性に関する越境相互支援^[37]（EU規則2019/1020及びAIA第75条に基づく）とどのように連携するかを明確化することで、さらに補完され得る。
8 AI LITERACY	8 AIリテラシー
42. The EDPB and the EDPS recommend maintaining the obligation, for providers and deployers of AI systems, to take measures to ensure a sufficient level of AI literacy of their staff and other relevant persons (Article 4 AIA).	42. EDPB及びEDPSは、AIシステムのプロバイダ及び展開者が、従業員及びその他の関係者に対して十分なAIリテラシーを確保するための措置を講じる義務（AIA第4条）を維持することを推奨する。
43. AI literacy ensures an understanding of AI concepts and helps raising ethical and social awareness about the benefits and risks of AI. It plays a key role in empowering individuals that develop, deploy, or otherwise work or decide on working with AI systems and allows them to develop critical thinking with regard to this new technology and inform their decision-making. AI literacy is therefore crucial to ensure appropriate knowledge and skills across the AI lifecycle in order to protect fundamental rights, including the right to data protection, and support compliance with AI rules, including the provisions on processing of personal data.	43. AIリテラシーは、AIの概念に対する理解を確保し、AIの利点とリスクに関する倫理的・社会的認識を高めるのに役立つ。これは、AIシステムを開発・展開する者、あるいはAIシステムに関わる業務や意思決定を行う者を支援する上で重要な役割を果たし、この新技術に対する批判的思考を育み、意思決定の根拠となる情報を提供する。したがってAIリテラシーは、データ保護権を含む基本的権利を保護し、パーソナルデータの処理に関する規定を含むAI規則の遵守を支援するため、AIライフサイクル全体にわたる適切な知識と技能を確保する上で不可欠である。
44. Transforming the current obligation into an obligation for the European Commission and the Member States to ‘encourage’ providers and deployers to do so would significantly soften this obligation and ultimately undermine its very objective.	44. 現行の義務を欧州委員会及び加盟国がプロバイダ・展開者に「奨励」する義務へと転換することは、この義務を大幅に緩和し、最終的にその目的そのものを損なうことになる。
45. To help providers and deployers comply with their AI-literacy obligation, the European Commission and regulators could be required to issue guidance on how this obligation may be implemented in practice, instead of removing the AI literacy requirement on providers and deployers.	45. プロバイダ・展開者がAIリテラシー義務を遵守できるよう支援するため、欧州委員会及び規制当局は、プロバイダ・展開者に対するAIリテラシー要件を撤廃する代わりに、この義務を実務でどのように実施すべきかに関するガイダンスを発行することが求められる可能性がある。
46. Lastly, if the new obligation for the European Commission and Member States to ‘encourage’ providers and deployers to take measures to ensure a sufficient AI literacy would be kept, it should apply in parallel with the current obligation in Article 4 AI Act, as opposed to replacing it.	46. 最後に、欧州委員会と加盟国がプロバイダと展開者に十分なAIリテラシーを確保する措置を講じるよう「奨励」する新たな義務を維持する場合、それは現行のAI法第4条の義務に取って代わるのではなく、並行して適用されるべきである。
9 IMPLEMENTATION TIMELINE OF HIGH-RISK RULES	9 高リスク規則の実施スケジュール
47. Under the current Article 113 AI Act, the provisions governing high-risk AI systems included in Annex III[38] will start to apply from 2 August 2026. For high-risk AI systems under Annex I[39], the starting date is 2 August 2027.	47. 現行のAI法第113条によれば、附属書III^[38]に規定される高リスクAIシステムに関する条項は2026年8月2日から適用開始となる。附属書I^[39]に該当する高リスクAIシステムについては、適用開始日は2027年8月2日である。
48. Pursuant to the Proposal, the rules on high-risk AI systems should start to apply 6 or 12 months following the decision of the Commission confirming that adequate measures in support of compliance with Chapter III are available, but not later than 2 December 2027 for high-risk AI systems in Annex III, and 2 August 2028 as regards high-risk AI systems in Annex I. The Commission justifies the proposed delay with implementation challenges such as delays in designating national competent authorities and conformity assessment bodies, as well as a lack of harmonised standards for the AI Act’s high-risk requirements, guidance, and compliance tools.	48. 提案によれば、高リスクAIシステムに関する規則は、第III章の遵守を支援する適切な措置が利用可能であることを委員会が決定してから6か月または12か月後に適用を開始すべきである。ただし、附属書IIIの高リスクAIシステムについては2027年12月2日までに、附属書Iの高リスクAIシステムについては2028年8月2日までに適用を開始しなければならない。欧州委員会は、提案された遅延の理由として、国家管轄当局及び適合性評価団体の指定遅延、AI法のハイリスク要件・ガイダンス・遵守ツールに関する調和された標準の欠如といった実施上の課題を挙げている。
49. The proposed postponement of the application of a number of core provisions of AI Act should also be considered in the context of the extension of the temporal scope of the existing ‘grandfathering clause’ of Article 111(2) AI Act, pursuant to which high-risk AI systems already placed in the EU market would largely be excluded from the scope of the Act unless they are subject to significant changes in their design. According to the Proposal, the cut-off date would be changed from 2 August 2026 to 2 December 2027, thus allowing an increased number of high-risk AI systems to benefit from the exception as ‘legacy’ systems.	49. AI法の中核的規定の適用延期提案は、既存の「経過措置条項」（AI法第111条(2)）の時間的適用範囲の拡大という文脈でも検討されるべきである。同条項によれば、EU市場に既に流通している高リスクAIシステムは、設計に重大な変更が加えられない限り、同法の適用範囲からほぼ除外される。提案によれば、適用除外となる基準日は2026年8月2日から2027年12月2日に変更される。これにより、より多くの高リスクAIシステムが「レガシー」システムとして例外措置の恩恵を受けられるようになる。
50. While the EDPB and the EDPS acknowledge that some of the reasons for the delay of the application might be deemed at least partially objective and not fully under the control of the Commission, they are nevertheless sincerely concerned about the potential impact on the protection of fundamental rights in the fast-evolving and transformative AI landscape. In addition, it should be assessed whether the introduction of a moveable deadline would not also undermine legal certainty. The EDPB and the EDPS also recall that, in their Joint Opinion 5/2021 on the proposal for Artificial Intelligence Act, they had already objected to the exemption from the obligations of AI systems already placed on the market[40].	50. EDPBとEDPSは、申請遅延の一部の理由が少なくとも部分的には客観的であり、欧州委員会の完全な管理下にはない可能性があることを認める。しかしながら、急速に進化し変革を遂げるAI環境における基本権保護への潜在的影響について、両機関は真摯な懸念を抱いている。加えて、移動可能な期限の導入が法的確実性を損なう可能性についてもアセスメントすべきである。EDPBとEDPSはまた、人工知能法案に関する共同意見書5/2021において、既に上市されているAIシステムに対する義務の免除に反対していたことを想起する[40]。
51. Furthermore, given the different nature of the obligations for providers and deployers of highrisk AI systems laid down in Chapter III, Sections 1, 2, and 3 AI Act, the EDPB and the EDPS invite the co-legislators to consider whether it would be appropriate and feasible to maintain the current timeline for certain obligations, e.g. on transparency.	51. さらに、AI法第III章第1節、第2節、第3節に定められた高リスクAIシステムのプロバイダと展開者に対する義務の性質が異なることを踏まえ、EDPBとEDPSは共同立法者に対し、透明性に関する義務など特定の義務について現行のタイムラインを維持することが適切かつ実現可能かどうかを検討するよう要請する。
52. Finally, if the proposed delay of the timeline for entry into application is nevertheless adopted by the co-legislators, the EDPB and the EDPS call for concerted actions by all relevant stakeholders, and in particular by the Commission, in order to minimise the delay to the extent possible.	52. 最後に、仮に共同立法機関が適用開始時期の延期案を採用する場合、EDPB及びEDPSは、遅延を可能な限り最小限に抑えるため、全ての関係当事者、特に欧州委員会による協調的な行動を求める。

[1] Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, OJ L 295, 21.11.2018, pages 39–98.	[1] 欧州議会及び理事会規則（EU）2018/1725（2018年10月23日）— 連合機構、団体、事務所及び機関によるパーソナルデータの処理及び当該データの自由な移動に関する自然人の保護、並びに規則 (EC) No 45/2001 および決定 No 1247/2002/EC を廃止する、OJ L 295、2018年11月21日、39–98頁。
[2] Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act), OJ L, 2024/1689, 12.7.2024.	[2] 欧州議会及び理事会規則（EU）2024/1689（2024年6月13日）は、人工知能に関する調和規則を定め、規則（EC）No 300/2008、(EU) No 167/2013、(EU) No 168/2013、 (EU) 2018/858、(EU) 2018/1139、(EU) 2019/2144、並びに指令2014/90/EU、(EU) 2016/797、(EU) 2020/1828を改正する規則（人工知能法）、OJ L、 2024/1689、2024年7月12日。
[3] Recital 3 Proposal. Also see COM(2025) 836 final, p.2, in the Explanatory Memorandum accompanying the Proposal.	[3] 前文3。提案に付随する説明文書（COM(2025) 836 final、p.2）も参照のこと。
[4] EDPB’s Helsinki Statement on enhanced clarity, support and engagement, A fundamental rights approach to innovation and competitiveness, adopted on 2 July 2025.	[4] 欧州データ保護委員会（EDPB）による「明確化・支援・関与の強化に関するヘルシンキ声明」、イノベーションと競争力に対する基本的権利アプローチ、2025年7月2日採択。
[5] COM(2025) 836 final, p. 6.	[5] COM(2025) 836 final、p. 6。
[6] For example, Article 6(3) AI Act already provides a derogation for AI systems that do not pose a significant risk to the health, safety or fundamental rights.	[6] 例えば、AI法6条(3)は既に、健康・安全・基本権に重大なリスクをもたらさないAIシステムに対する例外規定を設けている。
[7] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016, pp. 89–131.	[7] 欧州議会及び理事会指令（EU）2016/680（2016年4月27日）犯罪の予防、捜査、発見又は追訴、又は刑事罰の執行を目的として、管轄当局による個人データの処理に関する自然人の保護、並びに当該データの自由な移動について、及び理事会枠組み決定2008/977/JHAの廃止に関するもの OJ L 119, 2016年5月4日, pp. 89–131.
[8] In this regard, the EDPB and the EDPS consider it of utmost importance in order to avoid potential inconsistencies and confusion as to the scope of the derogation and the requirements for the providers and deployers of non-high-risk AI systems or models, and to ensure that the scope of Article 4a remains clearly circumscribed.	[8] この点に関して、欧州データ保護委員会（EDPB）及び欧州データ保護監督官（EDPS）は、例外規定の適用範囲及び非高リスクAIシステム・モデルのプロバイダ・展開者に対する要件に関する潜在的な矛盾や混乱を回避し、第4a条の適用範囲が明確に限定された状態を維持するために、これが極めて重要であると考える。
[9] Commission Staff Working Document accompanying the documents Proposal for a Regulation of the European Parliament and the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), COM(2025) 837 final, COM(2025) 836 final, SWD/2025/836 final, 19.11.2025.	[9] 欧州議会及び理事会規則（EU）2016/679、(EU) 2018/1724、(EU) 2018/1725、(EU) 2023/2854、指令2002/58/EC、(EU) 2022/2555、(EU) 2022/2557を改正し、デジタル立法枠組みの簡素化を図るとともに、規則(EU) 2018/1807、(EU) 2019/1150、 (EU) 2022/868、および指令 (EU) 2019/1024（デジタルオムニバス）を廃止する。また、人工知能に関する調和規則の実施簡素化に関して、規則 (EU) 2024/1689 および (EU) 2018/1139 を改正する（AI に関するデジタルオムニバス）。COM(2025) 837 final、COM(2025) 836 final、SWD/2025/836 final、2025年11月19日。
[10] See Recital 70 AI Act.	[10] AI法の前文70を参照せよ。
[11] If that is the case, the EDPB and the EDPS further recommend replacing the wording ‘paragraph 1 may apply’ by ‘paragraph 1 shall also apply’. In addition, the EDPB and the EDPS recommend replacing the wording ‘if the processing occurs’ by ‘where such processing occurs’.	[11] その場合、欧州データ保護委員会（EDPB）及び欧州データ保護監督官（EDPS）は、「第1項が適用される場合がある」という表現を「第1項も適用される」に置き換えることをさらに推奨する。加えて、EDPB及びEDPSは、「処理が行われる場合」という表現を「そのような処理が行われる場合」に置き換えることを推奨する。
[12] COM(2025) 836 final, p.2, see the Explanatory Memorandum accompanying the Proposal.	[12] COM(2025) 836 final, p.2, 提案に付随する説明覚書を参照せよ。
[13] Article 6(3) and Recital 53 AIA.	[13] AIA第6条(3)及び前文53項。
[14] Articles 6(3) and 49(2) AIA; Section B in Annex VIII AIA (points 6 and 7).	[14] AIA第6条(3)及び第49条(2)；AIA附属書VIIIセクションB（第6項及び第7項）。
[15] See Recital 131 AIA.	[15] AIA前文131項参照。
[16] Article 1(6) Proposal (modifying Article 6(4) AIA), Article 1(14) Proposal (deleting Article 49(2) AIA) and Article 1(32) Proposal (deleting Section B in Annex VIII AIA).	[16] 提案第1条(6)（AIA第6条(4)を修正）、提案第1条(14)（AIA第49条(2)を削除）、提案第1条(32)（AIA附属書VIIIセクションBを削除）。
[17] Article 6(3) AIA.	[17] AIA第6条(3)。
[18] See Article 6(4) AIA.	[18] AIA第6条(4)参照。
[19] See Article 80 AIA.	[19] AIA第80条参照。
[20] According to the documents supporting the Proposal, this change would benefit a maximum of 1485 companies, saving each EUR 100, thus providing for total savings up to EUR 148,500 per year. Commission Staff Working Document accompanying the Proposal for a Regulation of The European Parliament and of the Council Amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus) and the Proposal for a Regulation of the European Parliament and of the Council Amending Regulations (EU) 2024/1689 and (EU) 2018/1139 as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), SWD/2025/836 final, p. 78.	[20] 提案を裏付ける文書によれば、この変更により最大1485社が恩恵を受け、各社100ユーロの節約となり、年間総節約額は最大148,500ユーロとなる。欧州議会及び理事会規則（EU）2016/679、(EU) 2018/1724、(EU) 2018/1725、(EU) 2023/2854、指令2002/58/EC、(EU) 2022/2555、(EU) 2022/2557の改正、ならびに規則(EU) 2018/1807、 (EU) 2019/1150、(EU) 2022/868、指令 (EU) 2019/1024 （デジタルオムニバス）及び欧州議会及び理事会規則案（人工知能に関する調和規則の実施簡素化に関する規則（EU）2024/1689及び（EU）2018/1139の改正）（人工知能に関するデジタルオムニバス）、SWD/2025/836最終版、78頁。
[21] Article 6(4) AIA. See also Recital 53 AIA.	[21] AIA第6条(4)。AIA前文53項も参照。
[22] Fundamental Rights Agency (FRA): “Assessing High-risk Artificial Intelligence: Fundamental Rights Risk”, 2025, p. 8, 28.	[22] 基本権庁（FRA）：「高リスク人工知能のアセスメント：基本権リスク」、2025年、8頁、28頁。
[23] More specifically, the Proposal extends certain regulatory privileges to SMEs and SMCs, relating to simplified technical documentation (Article 1(8) Proposal), proportionate implementation of quality management systems (QMS) (Article 1(9) Proposal), complying with certain elements of the QMS in a simplified manner (SME only) (Article 1(21) Proposal), the facilitation and acceleration of access to the sandbox (Article 1(17) Proposal) and specific support from authorities, Member States or the Commission (e.g. Article 1(23), (27), (28) Proposal)).	[23] 具体的には、本提案は中小企業（SME）及び小規模企業（SMC）に対し、以下の規制上の特権を拡大する：簡素化された技術文書（提案第1条(8)）、品質管理システム（QMS）の比例原則に基づく実施（提案第1条(9)）、簡素化された方法によるQMS特定要素の遵守（提案第1条(21)）、サンドボックスへのアクセス促進・加速（提案第1条(17)）、当局・加盟国・欧州委員会による特定支援（例：提案第1条(23)、(27)、(28)）である。
[24] See in particular Articles 57 and 58 AI Act. These systems are those identified under Article 1(25), para. 1, Proposal (modifying Article 75(1) AI Act), which establishes that “Where an AI system is based on a general-purpose AI model, with the exclusion of AI systems related to products covered by the Union harmonisation legislation listed in Annex I, and that model and that system are developed by the same provider, the AI Office shall be exclusively competent for the supervision and enforcement of that system with the obligations of this Regulation in accordance with the tasks and responsibilities assigned by it to market surveillance authorities. The AI Office shall also be exclusively competent for the supervision and enforcement of the obligations under this Regulation in relation to AI system that constitute or that are integrated into a designated very large online platform or very large online search engine within the meaning of Regulation (EU) 2022/2065.”	[24] 特にAI法第57条及び第58条を参照のこと。これらのシステムは、提案第1条(25)第1項（AI法第75条(1)を改正）で特定されるものであり、以下のように定めている。「AIシステムが汎用AIモデルに基づく場合（附属書Iに記載されたEU調和立法の対象製品に関連するAIシステムを除く）、かつ当該モデルとシステムが同一のプロバイダによって開発された場合、AI庁は、市場監視当局に割り当てられた任務及び責任に基づき、本規則の義務に関する当該システムの監督及び執行について専属的な権限を有する。また、AI庁は、規則（EU）2022/2065の定義に基づく指定された超大規模オンラインプラットフォームまたは超大規模オンライン検索エンジンを構成する、もしくはそれらに統合されたAIシステムに関する本規則の義務の監督及び執行についても専属的権限を有する。」
[25] Based on Article 57(2) and (3) AIA, AI regulatory sandboxes at regional or local level may also be established by competent authorities, as well as AI regulatory sandbox for Union institutions, bodies, offices and agencies which may be established by the EDPS.	[25] AIA第57条(2)及び(3)に基づき、地域または地方レベルにおけるAI規制サンドボックスは、管轄当局によって設立される可能性がある。また、EU機構、団体、事務所及び機構向けのAI規制サンドボックスは、EDPSによって設立される可能性がある。
[26] The EDPB and the EDPS note that if a national DPA is actively involved in the supervision of the AI system in the sandbox and provided guidance for compliance with respect to the GDPR, no administrative fines can be imposed under the GDPR, pursuant to Article 57(12) AI Act.	[26] EDPB及びEDPSは、国家データ保護機関がサンドボックス内の人工知能システムの監督に積極的に関与し、GDPR遵守に関するガイダンスを提供した場合、AI法第57条(12)に基づき、GDPRに基づく行政罰金を科すことはできないと指摘する。
[27] As per Article 57(12) AI Act.	[27] AI法第57条(12)に基づく。
[28] As per Article 70(1) GDPR, the EDPB’s mission is to ensure the consistent application of the GDPR.	[28] GDPR第70条(1)に基づき、EDPBの使命はGDPRの一貫した適用を確保することである。
[29] This status is for example already granted to the EDPS in Article 65(1) AI Act, which is the supervisor for the EU institutions.	[29] この地位は、例えばEU機構の監督者であるEDPSに対し、AI法第65条(1)で既に付与されている。
[30] According to Article 57(14) AIA, as modified by Article 1(17) Proposal, coordination and cooperation on sandboxes should be done within the AI Board.	[30] 提案第1条(17)により修正されたAI法57条(14)によれば、サンドボックスに関する調整と協力はAI理事会内で行うべきである。
[31] Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market for Digital Services and amending Directive 2000/31/EC (Digital Services Act), OJ L 277, 27.10.2022, p. 1.	[31] 欧州議会及び理事会規則（EU）2022/2065（2022年10月19日）デジタルサービス単一市場に関する規則及び指令2000/31/EC（デジタルサービス法）の改正、OJ L 277、2022年10月27日、p. 1。
[32] EDPB Statement 3/2024 on data protection authorities’ role in the Artificial Intelligence Act framework, adopted on 16 July 2024, paragraphs 11, 13 and 15.	[32] 人工知能法枠組みにおけるデータ保護当局の役割に関する欧州データ保護委員会声明3/2024（2024年7月16日採択）、パラグラフ11、13及び15。
[33] Article 58(1)(e) GDPR and Art. 47(1) LED. See also Recital 157 of the current AIA.	[33] GDPR第58条(1)(e)及びLED第47条(1)。現行AIAの前文157も参照。
[34] An example of an elaborate procedure for information exchange in case of cross-border cooperation is for example Article 61 GDPR.	[34] 国境を越えた協力における情報交換のための精巧な手続きの一例としては、例えばGDPR第61条がある。
[35] Judgment of 4 July 2023, Bundeskartellamt, C-252/21, EU:C:2023:537, paragraphs 54, 58 and 63.	[35] 2023年7月4日付判決、Bundeskartellamt、C-252/21、EU:C:2023:537、54項、58項及び63項。
[36] Or needs assistance from the AI Office in the circumstances addressed in Article 75(3) AIA.	[36] あるいは、AIA第75条(3)で規定される状況においては、AI事務局の支援を必要とする。
[37] See Chapter VI of Regulation (EU) 2019/1020 of the European Parliament and of the Council of 20 June 2019 on market surveillance and compliance of products and amending Directive 2004/42/EC and Regulations (EC) No 765/2008 and (EU) No 305/2011.	[37] 製品市場監視及び適合性に関する欧州議会及び理事会規則（EU）2019/1020（2019年6月20日）第VI章を参照。同規則は指令2004/42/EC及び規則（EC）No 765/2008並びに（EU）No 305/2011を改正するものである。
[38] High-risk AI systems in the areas of, among others, biometrics, law enforcement, migration, asylum and border control management, education, employment, judiciary, etc.	[38] 生体認証、法執行、移民・難民・国境管理、教育、雇用、司法などの分野における高リスクAIシステム。
[39] High-risk AI systems covered by Union harmonisation legislation, related, among others, to civil aviation, medical devices, toys, etc.	[39] 民間航空、医療機器、玩具などに関連する、連合の調和化法規の対象となる高リスクAIシステム。
[40] EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence, adopted on 18 June 2021, para. 41.	[40] 欧州議会及び理事会による人工知能に関する調和化規則の提案に関するEDPB-EDPS共同意見書5/2021（2021年6月18日採択）、パラグラフ41。

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.07 欧州サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

・2025.12.22 ドイツ DSK GDPRの改革案（AIの利用に関する明確な法規制、IT企業に責任を持たせる）を提案 (2025.12.12)

・2025.11.28 オランダデータ保護庁はプライバシーと安全保障、経済効率性（技術革新）の間でいろいろと考えていますね

・2025.11.22 欧州委員会 EU企業の成長を支援する簡素化されたデジタル規則（オムニバス法）

・2025.05.24 欧州単一市場戦略「今日の不確実な世界において、欧州人の最初のパートナーは欧州人自身でなければならない」(2025.05.21)

2026.01.27 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2026.01.26

欧州 EDPB EU-米国データ・プライバシー枠組みに関するFAQ等 (2026.01.23)

こんにちは、丸山満彦です。

2026.01.23にEU-米国データ・プライバシー枠組みに関するFAQ等が公表されていますね。。。2024年に公開されたものの更新ですね...

● EDPB

Rules of Procedure for the “Informal Panel of EU DPAs” according to the EU-U.S. Data Privacy Framework - version 2.0	EU-米国データ・プライバシー枠組みに基づく「EUデータ保護当局非公式パネル」手続規則 - バージョン2.0	PDF
EU-U.S. Data Privacy Framework F.A.Q. for European businesses - version 2.0	EU-米国データ・プライバシー枠組みに関する欧州企業向けFAQ - バージョン2.0	PDF
EU-US Data Privacy Framework FAQ for European individuals - version 2.0	EU-米国データ・プライバシー枠組みに関する欧州個人向けFAQ - バージョン2.0	PDF
EU-US Data Privacy Framework Template Complaint Form for Submitting Complaints to EU DPAs related to the Data Privacy Framework Principles - version 2.0	EU-米国データ・プライバシー枠組み原則に関連するEUデータ保護当局への苦情提出用テンプレート苦情申立書 - バージョン2.0	PDF

そのうちにEU-米国データ・プライバシー枠組みに関する欧州企業向けFAQの内容は次のとおり...

・[PDF] EU-US Data Privacy Framework FAQ for European individuals - version 2.0

EU-U.S. Data Privacy Framework F.A.Q. for European businesses[1]	EU-米国データ・プライバシー枠組みに関する欧州企業向けFAQ[1]
Version 2.0	バージョン2.0
Adopted on 15 January 2026	2026年1月15日採用
Version history	バージョン履歴
Version Date Adoption information	バージョン　日付　採用情報
version 1.0 16 July 2024 adoption of the FAQ	バージョン1.0　2024年7月16日　FAQ採用
version 2.0 15 January 2026 adoption of updated version	バージョン2.0　2026年1月15日　更新版採用
Table of Contents	目次
1 What is the EU-U.S. Data Privacy Framework?	1 EU-米国データ・プライバシー枠組みとは何か？
2 Which U.S. companies are eligible to the EU-U.S. Data Privacy Framework?	2 EU-米国データ・プライバシー枠組みの対象となる米国企業は？
3 What to do before transferring personal data to a company in the U.S. which is, or claims to be certified under the EU-U.S. Data Privacy Framework?	3 EU-米国データ・プライバシー枠組みの認証を取得している、または取得を主張する米国企業に個人データを移転する前にすべきことは？
3.1 Transfers to U.S. subsidiaries of companies certified under the EU-U.S. Data Privacy Framework	3.1 EU-米国データ・プライバシー枠組み認証取得企業の米国子会社への移転
3.2 Transfers to a company in the U.S. acting as a controller	3.2 データ管理者として機能する米国企業への移転
3.3 Transfers to a company in the U.S. acting as a processor	3.3 データ処理者として機能する米国企業への移転
4 Where can I find guidance regarding the certification of U.S. subsidiary companies of European businesses?	4 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか？
1 What is the EU-U.S. Data Privacy Framework?	1 EU-米国データ・プライバシー枠組みとは何か？
The EU-U.S. Data Privacy Framework (“DPF”) is a self-certification mechanism for companies in the U.S.[2] Companies that have self-certified under the DPF must comply with its principles, rules and obligations related to the processing of personal data of EEA individuals. For more information about these commitments, see the Data Privacy Framework Principles.[3]	EU-米国データ・プライバシー枠組み（以下「DPF」）は、米国企業向けの自己認証制度である[2]。DPFに基づき自己認証した企業は、EEA域内個人のパーソナルデータの処理に関連する原則、規則、義務を遵守しなければならない。これらの約束事項の詳細については、データ・プライバシー枠組み原則を参照のこと。[3]
The European Commission considered that transfers of personal data from the EEA to companies certified under the DPF enjoy an adequate level of protection.[4] As a result, personal data can be transferred freely to U.S. certified companies, without the need to put in place further safeguards or obtain an authorisation. Here are some relevant links for more information:	欧州委員会は、EEAからDPF認証企業への個人データ移転が十分な保護水準を享受すると判断した[4]。その結果、追加的な保護措置や認可を取得する必要なく、個人データを米国認証企業へ自由に移転できる。詳細は以下の関連リンクを参照のこと：
- The European Commission’s Questions and Answers: Data Privacy Framework[5]	- 欧州委員会「データ・プライバシー枠組みに関するQ&A」[5]
- The Data Privacy Framework website as administrated by the U.S. Department of Commerce[6]	- 米国商務省が運営するデータ・プライバシー枠組み公式サイト[6]
- The European Commission’s decision on the adequate level of protection of personal data under the EU-U.S. Data Privacy Framework[7]	- EU-米国データ・プライバシー枠組みに基づく個人データの適切な保護水準に関する欧州委員会の決定[7]
The DPF applies to any type of personal data transferred from the EEA to the U.S., including personal data processed for commercial or health purposes, and human resources data collected in the context of an employment relationship (hereafter: “HR Data”), as long as the recipient company in the U.S. is self-certified under the DPF to process those types of data.[8]	DPFは、EEAから米国へ移転されるあらゆる種類の個人データに適用される。これには商業目的・医療目的で処理される個人データ、雇用関係において収集される人事データ（以下「HRデータ」）も含まれる。ただし、米国における受領企業が当該データの種類についてDPFに基づく自己認証を取得している場合に限る[8]。（以下「人事データ」という）。ただし、米国の取得者が当該データ処理についてDPFに基づく自己認証を取得している場合に限る[8]。
2 Which U.S. companies are eligible to the EU-U.S. Data Privacy Framework?	2 EU-米国データ・プライバシー枠組みの対象となる米国企業は？
In order to be eligible to self-certify to the DPF, a company in the U.S. must be subject to the investigatory and enforcement powers of the U.S. Federal Trade Commission (“FTC”) or of the U.S. Department of Transportation (“DoT”). Other U.S. statutory bodies may be included in the future.[9]	米国企業がDPFへの自己認証資格を得るには、米国連邦取引委員会（FTC）または米国運輸省（DoT）の調査権限および執行権限の対象となる必要がある。将来的に他の米国団体が追加される可能性がある。[9]
This means that, for example, non-profit organizations, banks, insurance companies and telecommunication service providers (with regard to common carrier activities) which do not fall under the jurisdiction of the FTC or DoT cannot self-certify under the DPF.	これは例えば、FTCやDoTの管轄下にない非営利団体、銀行、保険会社、電気通信プロバイダ（公共通信事業者としての活動に関して）は、DPFに基づく自己認証ができないことを意味する。
3 What to do before transferring personal data to a company in the U.S. which is, or claims to be certified under the EU-U.S. Data Privacy Framework?	3 EU-米国データ・プライバシー枠組みに基づき認証されている、または認証を主張する米国企業に個人データを移転する前に何をすべきか？
Before transferring personal data to a company in the U.S. under the DPF, a data exporter in the EEA must ascertain that the company in the U.S. holds an active self-certification (certifications must be renewed annually) and that this certification covers the data in question. When an EEA exporter intends to transfer HR Data to a company in the U.S. under the DPF,[10] the EEA exporter shall ensure that the company in the U.S. either: (a) holds an active certification covering that data as HR Data or (b) holds an active certification covering the data as another type of personal data and has committed in its privacy policy to cooperate and comply with the advice of the EU data protection authorities with regard to such data. The EEA exporter shall also inform the company in the U.S. that the transfer includes HR Data.[11]	DPFに基づき米国企業へ個人データを移転する前に、EEA域内のデータ輸出者は、当該米国企業が有効な自己認証（認証は年次更新が必要）を保持しており、かつ当該認証が対象データに適用されることを確認しなければならない。EEA域内の輸出者がDPFに基づき米国企業へ人事データを移転しようとする場合[10]、EEA域内の輸出者は、当該米国企業が以下のいずれかを満たしていることを確認しなければならない： (a) 当該データを人事データとしてカバーする有効な認証を保持していること、または (b) 他の種類の個人データとして当該データをカバーする有効な認証を保持し、かつプライバシーポリシーにおいて当該データに関してEUデータ保護当局の助言に協力し遵守することを約束していること。EEA輸出者はまた、米国企業に対し、当該移転が人事データを含むことを通知しなければならない[11]。
To verify whether or not a self-certification is active and applicable and the scope of the certification, data exporters in the EEA need to check the Data Privacy Framework List,[12] published on the U.S. Department of Commerce’s website. This list includes a register of companies that hold an active self-certification under the DPF and of companies that have been removed from the List (“inactive participants”), stating the reasons for their removal. An EEA data exporter cannot rely on the DPF for transfers of personal data to companies that do not hold an active self-certification under the DPF. Companies that have been removed from the Data Privacy Framework List must continue to apply the Data Privacy Framework Principles to personal data received while participating in the DPF for as long as they retain these data.	自己認証が有効かつ適用可能かどうか、および認証の範囲を確認するため、EEAのデータ輸出者は米国商務省ウェブサイトに掲載されているデータ・プライバシー枠組みリスト[12]を確認する必要がある。このリストには、DPFに基づく有効な自己認証を保持する企業と、リストから削除された企業（「非活動参加企業」）の登録が記載されており、削除理由も明記されている。EEA域内のデータ輸出者は、DPFに基づく有効な自己認証を保持していない企業への個人データ移転において、DPFに依拠することはできない。データ・プライバシー枠組みリストから削除された企業は、DPF参加中に受け取った個人データについて、当該データを保持している限り、データ・プライバシー枠組み原則を引き続き適用しなければならない。
For the transfer of personal data to companies in the U.S. that are not (or no longer) selfcertified under the DPF, other grounds for transfer in Chapter V of the GDPR may be used, such as Binding Corporate Rules or Standard Contractual Clauses.	DPFに基づく自己認証を取得していない（または取得しなくなった）米国企業への個人データ移転については、GDPR第V章に定めるその他の移転根拠（拘束的企業規則や標準契約条項など）を利用できる。
The fact that the recipient in the U.S. is self-certified under the DPF will enable data exporters in the EEA to comply with Chapter V of the GDPR, but all other requirements in the GDPR and any other national data protection law remain applicable.	米国における取得者がDPFに基づき自己認証されている事実は、EEA域内のデータ輸出者がGDPR第V章に準拠することを可能とするが、GDPRおよびその他の国内データ保護法のその他の要件は全て引き続き適用される。
3.1 Transfers to U.S. subsidiaries of companies certified under the EU-U.S. Data Privacy Framework	3.1 EU-米国データ・プライバシー枠組み認証企業の米国子会社への移転
In the case of transfers to companies in the U.S. that are subsidiaries of a DPF-certified parent company, EEA data exporters must check if the certification of the parent company also covers the subsidiary company concerned.	DPF認証を受けた親会社の子会社である米国事業体への移転の場合、EEAデータ輸出者は、親会社の認証が当該子会社もカバーしているかどうかを確認しなければならない。
You can find additional information on how to verify the scope of an organisation’s selfcertification, including whether other U.S. entities or U.S. subsidiaries are covered by it, here.[13]	組織の自己認証の範囲（他の米国事業体や米国子会社がカバーされているか否かを含む）を確認する方法に関する追加情報は、こちらを参照のこと。[13]
3.2 Transfers to a company in the U.S. acting as a controller	3.2 米国におけるデータ管理者として機能する企業への移転
Before transferring personal data to a controller in the U.S., an EEA data exporter must ensure the transfer complies with all relevant provisions of the GDPR. As a first step, the data exporter can only share personal data with a company in the U.S. if there is a legal basis for the processing (Article 6 of the GDPR). Moreover, all other requirements in the GDPR need to be met (e.g. purpose limitation, proportionality, accuracy and information obligations towards data subjects). Note that when data is to be transferred to a self-certified company in the U.S., the EEA data exporter, in accordance with Articles 13 and 14 GDPR, must inform data subjects about the identity of the recipients of their data and about the fact that the transfer is covered by the EU-U.S. Data Privacy Framework adequacy decision.	個人データを米国のデータ管理者に移転する前に、EEAデータ輸出者は移転がGDPRの関連規定全てに準拠していることを確認しなければならない。第一段階として、データ輸出者は処理の法的根拠（GDPR第6条）が存在する場合にのみ、米国企業と個人データを共有できる。さらに、GDPRのその他の要件（目的限定、比例性、正確性、データ対象者への情報提供義務など）も全て満たす必要がある。なお、米国における自己認証企業へのデータ移転の場合、EEAデータ輸出者はGDPR第13条及び第14条に基づき、データ対象者の身元及び移転がEU-米国データ・プライバシー枠組みの十分性認定の対象となる事実について、データ対象者に通知しなければならない。
3.3 Transfers to a company in the U.S. acting as a processor	3.3 米国における処理者としての企業への移転
When an EEA controller transfers data to a processor in the U.S., the controller and processor are obliged to conclude a data processing agreement under Article 28 GDPR (hereafter: Data processing agreement), regardless of whether the processor is self-certified under the DPF.	EEA域内のデータ管理者が米国の処理者にデータを移転する場合、処理者がDPFに基づく自己認証を受けているか否かにかかわらず、管理者と処理者はGDPR第28条に基づくデータ処理契約（以下「データ処理契約」）を締結する義務を負う。
You can find more information about the contract requirements for transfers to a processor in the U.S. here.[14]	米国における処理者への移転に関する契約要件の詳細はこちらを参照のこと。[14]
The conclusion of a data processing agreement is required in order to ensure that the U.S. processor commits to:	データ処理契約の締結は、米国における処理者が以下の事項を確約することを保証するために必要である：
• process the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest;	• 処理者が従うべきEUまたは加盟国の法令により要求される場合を除き、第三国または国際機関への個人データ移転を含め、データ管理者の文書化された指示のみに基づいて個人データを処理すること。当該法令が公共の利益の重要な理由によりそのような情報を禁止する場合を除き、処理者は処理前にデータ管理者にその法的要件を通知しなければならない。
• ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;	• パーソナルデータの処理を許可された者が、守秘義務を自ら負うか、適切な法的守秘義務の下にあることを確保すること。
• implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, in line with what is required by the data processing agreement (stemming from Article 32 of the GDPR) and sections 4 and 10 of the DPF;	• データ処理契約（GDPR第32条に基づく）およびDPF第4条・第10条で要求される内容に沿い、リスクに応じた適切なセキュリティレベルを確保するための技術的・組織的措置を実施すること。
• respect the conditions referred to in the data processing agreement (stemming from paragraphs 2 and 4 of Article 28 of the GDPR) and Section II.3.B of the DPF for engaging another processor;	• 他のデータ処理者を利用する場合、データ処理契約（GDPR第28条第2項及び第4項に基づく）及びDPF第II.3.B項に定める条件を遵守すること。
• taking into account the nature of the processing, assist the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III of the GDPR;	• 処理の性質を考慮し、GDPR第III章に定めるデータ対象者の権利行使請求への対応義務をデータ管理者が履行できるよう、可能な範囲で適切な技術的及び組織的措置により支援すること。
• assist the controller in ensuring compliance with its obligations pursuant to Articles 32 to 36 of the GDPR, taking into account the nature of processing and the information available to the processor;	• 処理の性質及びデータ処理者が入手可能な情報を考慮し、GDPR第32条から第36条に基づくデータ管理者の義務遵守を確保するため、データ管理者を支援する。
• at the choice of the controller, delete or return all the personal data to the controller after the end of the provision of services relating to processing, and delete existing copies unless Union or Member State law requires storage of the personal data;	• 処理に関連するサービスの提供終了後、データ管理者の選択に基づき、全ての個人データを削除またはデータ管理者に返却する。ただし、EU法または加盟国法が個人データの保存を要求する場合は、既存のコピーを削除する。
• make available to the controller all information necessary to demonstrate compliance with the obligations laid down in Article 28 of the GDPR and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. With regard to this last point, the processor shall immediately inform the controller if, in its opinion, an instruction infringes the DPF.	• GDPR第28条に定める義務の遵守を証明するために必要な全ての情報を管理者に提供し、管理者または管理者が委任した監査人による監査（検査を含む）の実施を許可し、これに協力する。この最後の点に関して、処理業者は、指示がDPFに違反すると判断した場合、直ちに管理者に通知しなければならない。
Where the U.S. processor engages another processor (“sub-processor”) to carry out specific processing activities on behalf of the EEA controller, the processor must ensure that the requirements under Section II.3.B DPF are fulfilled. This includes ensuring that the subprocessor provides the same level of protection of personal data as required in the DPF and the same data protection obligations as set out in the data processing agreement. Where a sub-processor fails to fulfil its data protection obligations, the initial U.S. processor shall remain fully liable to the controller for the performance of that sub-processor's obligations.	米国における処理者が、EEA域内の管理者（コントローラー）に代わって特定の処理活動を実施するため別の処理者（「サブ処理者」）を起用する場合、処理者はセクションII.3.B DPFの要件が満たされることを確保しなければならない。これには、サブプロセッサーがDPFで要求されるのと同等の個人データ保護水準を提供し、データ処理契約に定められたのと同等のデータ保護義務を負うことを確保することが含まれる。サブプロセッサーがデータ保護義務を履行しない場合、最初の米国プロセッサーは当該サブプロセッサーの義務履行についてデータ管理者に全責任を負い続ける。
4 Where can I find guidance regarding the certification of U.S. subsidiary companies of European businesses?	4 欧州企業の米国子会社の認証に関するガイダンスはどこで入手できるか？
U.S. subsidiaries of EEA businesses can self-certify to the DPF if they are subject to the jurisdiction of the FTC or the U.S. Department of Transportation DoT.	EEA企業の米国子会社は、FTCまたは米国運輸省（DoT）の管轄下にある場合、DPFへの自己認証が可能である。
You can find more information on the eligibility requirements here,[15] and a guide to the selfcertification process here.[16]	適格要件の詳細はこちら[15]、自己認証プロセスのガイドはこちら[16]を参照のこと。

[1] In this context, “European businesses” refers to businesses in the EEA, which transfer or may transfer personal data to companies in the U.S. certified under the DPF. この文脈における「欧州企業」とは、EEA域内の企業を指す。これらの企業は、DPF（データ保護枠組み）に基づき認証を受けた米国企業へ個人データを移転する、または移転する可能性がある。

[2] “Organisations” and “companies” are used indistinctively in this context. 本文脈では「組織」と「企業」は区別なく使用される

[3] https://www.dataprivacyframework.gov/program -articles/Participation -Requirements -Data -Privacy -Framework -(DPF)-Principles

[4] The decision on the adequacy of the Data Privacy Framework was adopted by the European Commission on July 10, 2023. It was designed by the European Commission and the U.S. Department of Commerce to replace the Privacy Shield Decision (EU) 2016/1250 which was declared invalid by the European Court of Justice on 16 July 2020, in Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Schrems II). データ・プライバシー枠組みの十分性認定は、2023年7月10日に欧州委員会によって採択された。これは欧州委員会と米国商務省が共同で設計したもので、2020年7月16日に欧州司法裁判所が事件C-311/18（データ保護コミッショナー対フェイスブック・アイルランド社及びマクシミリアン・シュレムス事件、通称シュレムスII判決）において無効と判断したプライバシーシールド決定（EU）2016/1250に代わるものである

[5] https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752

[6] https://www.dataprivacyframework.gov/s/

[7] https://commission.europa.eu/system/files/2023 -07/Adequacy%20decision%20EU -US%20Data%20Privacy%20Framework_en.pdf

[8] Note that not all DPF self-certifications cover HR Data. It is therefore important to check whether this is the case, if relevant. See also Q3. すべてのDPF自己認証が人事データをカバーするわけではないことに注意せよ。したがって、該当する場合はこれを確認することが重要である。Q3も参照

[9] See Annex I to the adequacy decision, EU-U.S. Data Privacy Framework Principles issued by the U.S. Department of Commerce, para. I.2. 十分性認定の附属書I、米国商務省発行の「EU-米国データ・プライバシー枠組み原則」第I.2項を参照

[10] See definition of HR Data in Q1.

[11] The U.S. Department of Commerce, in collaboration with the European Commission, is preparing specific guidance regarding HR Data, on which the EDPB had the opportunity to share its views. 米国商務省は欧州委員会と連携し、人事データに関する具体的なガイダンスを準備中である。欧州データ保護委員会（EDPB）はこれについて意見を表明する機会を得た

[12] https://www.dataprivacyframework.gov/list

[13] https://www.dataprivacyframework.gov/program -articles/How -to -Verify -an -Organization -s -Privacy -Data -Privacy -Framework (DPF)-Commitments

[14] https://www.dataprivacyframework.gov/program -articles/Contract -Requirements -for -Data -Transfers -to -a -Processor

[15] https://www.dataprivacyframework.gov/program -articles/U -S -Subsidiaries -of -European -Businesses -Participation -in -the -Data Privacy -Framework -(DPF)-Program

[16] https://www.dataprivacyframework.gov/program -articles/How -to -Join -the -Data -Privacy -Framework -(DPF)-Program (part%E2%80%931)

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.10 欧州 EDPB 米国の十分性認定についての1年後のレビュー結果

・2024.07.20 欧州 EDPB EU-USデータプライバシー枠組みに関するFAQ（欧州企業向け、欧州個人向け）

・2023.07.11 欧州委員会安全で信頼できるEUと米国のデータフローに関する新たな十分性認定を採択

・2023.03.02 EDPB EU-米国データ・プライバシー・フレームワークにおける改善を歓迎するが、いいたいことは54ページ分ほどある(^^)

・2023.01.20 EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキーバナータスクフォースの報告書を採択

・2022.12.16 欧州委員会米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始

2026.01.26 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

米国 CISA 耐量子暗号標準を利用する技術向け製品カテゴリー (2026.01.23)

こんにちは、丸山満彦です。

米国大統領令14306号によれば、「国土安全保障長官は、サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）長官を通じて、かつ国家安全保障局（NSA）長官と協議の上、耐量子暗号（PQC）をサポートする製品が広く入手可能な製品カテゴリーのリストを公表し、その後定期的に更新するものとする。」となっています。ということで、

CISAが耐量子暗号標準を利用する技術向け製品カテゴリーを公表しています...

が、実際は耐量子暗号（PQC）をサポートする製品が広く入手可能な製品カテゴリーのリストが公表されていない...

おそらく、市場がそこまで至っていない？？？

● CISA

・2026.01.23 Product Categories for Technologies That Use Post-Quantum Cryptography Standards

Product Categories for Technologies That Use Post-Quantum Cryptography Standards	耐量子暗号標準を利用する技術向け製品カテゴリー
Executive Summary	エグゼクティブサマリー
In response to the June 6, 2025, Executive Order (EO) 14306, “Sustaining Select Efforts to Strengthen the Nation’s Cybersecurity and Amending Executive Order 13694 and Executive Order 14144,” the Cybersecurity and Infrastructure Security Agency (CISA) is providing and regularly updating the below lists to aid in post-quantum cryptography (PQC) adoption. The lists include hardware and software categories with example types of widely available products that use PQC standards to protect sensitive information.1 The lists focus on categories of available products, typically acquired by the federal government, that utilize cryptographic algorithms. Because PQC-capable products are widely available in the listed categories, organizations should acquire only PQC-capable products when planning acquisitions and procuring products in these categories.	2025年6月6日付大統領令（EO）14306「国家のサイバーセキュリティ強化に向けた選定施策の持続的実施及び大統領令13694並びに大統領令14144の改正」を受け、「国家のサイバーセキュリティ強化に向けた選定施策の継続及び大統領令13694号並びに大統領令14144号の改正」に基づき、サイバーセキュリティ・インフラセキュリティ庁（CISA）は、耐量子暗号（PQC）の採用を支援するため、下記のリストを提供し定期的に更新する。リストには、機密情報を防御するためにPQC標準を採用した、広く入手可能な製品の例示タイプを含むハードウェア及びソフトウェアのカテゴリーが記載されている。リストは、暗号アルゴリズムを利用する、政府が通常調達する入手可能製品のカテゴリーに焦点を当てている。リスト記載カテゴリーではPQC対応製品が広く入手可能であるため、組織はこれらのカテゴリーにおける調達計画及び製品調達時には、PQC対応製品のみを取得すべきである。
Introduction	はじめに
Purpose	目的
The lists below are CISA’s response to Executive Order (EO) 14306, which instructed:	下記のリストは、大統領令（EO）14306へのCISAの対応である。同令は以下を指示している：
By December 1, 2025, the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), and in consultation with the Director of the National Security Agency, shall release and thereafter regularly update a list of product categories in which products that support post-quantum cryptography (PQC) are widely available.	2025年12月1日までに、国土安全保障長官は、サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）長官を通じて、国家安全保障局（NSA）長官と協議の上、耐量子暗号（PQC）をサポートする製品が広く入手可能な製品カテゴリーのリストを公開し、その後定期的に更新しなければならない。
When a particular category offers widely available PQC-capable products, organizations should plan acquisitions to procure only PQC-capable products from that category.	特定のカテゴリーで広く入手可能なPQC対応製品が提供されている場合、組織は当該カテゴリーからPQC対応製品のみを調達する計画を立てるべきである。
Scope and Definitions	適用範囲と定義
The scope of the lists below includes categories of hardware and software products that are—or are anticipated to be—widely available and use PQC standards.	下記のリストの適用範囲は、広く入手可能であり、かつPQC標準を使用している、あるいは使用が予想されるハードウェアおよびソフトウェア製品のカテゴリーを含む。
Note: “Widely available” describes products that are generally available in the marketplace, and agencies can acquire them in accordance with their typical procurement policies and procedures.	注：「広く入手可能」とは、市場で一般的に入手可能な製品を指し、各機関は通常の調達方針および手順に従ってそれらを取得できる。
The categories cover hardware and software products that apply PQC standards for encryption and authentication through the following cryptographic functions:	これらのカテゴリーは、以下の暗号化機能を通じて暗号化および認証にPQC標準を適用するハードウェアおよびソフトウェア製品をカバーする：
・Key establishment:2 A function in the lifecycle of keying material; the process by which cryptographic keys are securely established among cryptographic modules using manual transport methods (e.g., key loaders), automated methods (e.g., key-transport and/or key-agreement protocols), or a combination of automated and manual methods (consisting of key transport plus key agreement).	・鍵確立：2 鍵素材のライフサイクルにおける機能。暗号モジュール間で暗号鍵を安全に確立するプロセスであり、手動輸送方法（例：キーローダー）、自動化方法（例：鍵輸送および／または鍵合意プロトコル）、または自動化と手動の組み合わせ（鍵輸送と鍵合意から成る）を用いて行われる。
・Digital signatures:3 The result of a cryptographic transformation of data that, when properly implemented, provides the services of 1. origin authentication, 2. data integrity, and 3. signer non-repudiation.	・デジタル署名：3 データの暗号変換結果であり、適切に実装された場合、1. 発信者認証、2. データ完全性、3. 署名者否認防止の機能を提供する。
Key establishment is often essential for establishing confidential communication using encryption among two or more parties. Digital signatures are often essential for authenticating the parties participating in a communication and for establishing the authenticity of data, products, and services.	鍵の確立は、暗号化を用いて複数当事者間で機密通信を確立するためにしばしば不可欠である。デジタル署名は、通信に参加する当事者の認証や、データ・製品・サービスの真正性を確立するためにしばしば不可欠である。
Automated cryptographic discovery and inventory products are out of scope of these lists.	自動化された暗号発見およびインベントリ製品は、これらのリストの対象外である。
Considerations for Products That Use PQC Standards	PQC 標準を使用する製品に関する考慮事項
PQC Transition of Information Technology (IT) Infrastructure	情報技術（IT）インフラの PQC 移行
Recognizing the global need to support PQC algorithms, product manufacturers are developing new products and updating existing products to incorporate post-quantum cryptographic standards.	PQC アルゴリズムのサポートに対する世界的な必要性を認識し、製品メーカーは、耐量子暗号標準を組み込むために新製品を開発し、既存製品を更新している。
National Institute of Standards and Technology	米国国立標準技術研究所（NIST）
In 2016, the National Institute of Standards and Technology (NIST) initiated a process to solicit, evaluate, and standardize one or more quantum-resistant public-key cryptographic algorithms. The ongoing PQC standardization process has produced PQC standards and will likely standardize additional algorithms in the coming years.	2016年、米国国立標準技術研究所（NIST）は、量子耐性のある公開鍵暗号アルゴリズムを募集・評価・標準化するプロセスを開始した。進行中のPQC標準化プロセスは既にPQC標準を生み出しており、今後数年間で追加のアルゴリズムを標準化する見込みである。
The NIST Internal Report (IR) 8547, Transition to Post-Quantum Cryptography Standards, describes NIST’s expected approach to transitioning from quantum-vulnerable cryptographic algorithms to post-quantum digital signature algorithms and key-establishment schemes. The report identifies existing quantum-vulnerable cryptographic standards and the current quantum-resistant standards that organizations will use in the transition. The report informs the efforts and timelines of federal agencies, industry, and standards organizations for transitioning products, services, and infrastructure to PQC. NIST will revise this report and feed into other algorithms- and application-specific guidance for the transition to PQC as necessary to support transition timelines.	NIST内部報告書（IR）8547「耐量子暗号標準への移行」は、量子脆弱性のある暗号アルゴリズムから耐量子デジタル署名アルゴリズムおよび鍵生成方式への移行に向けたNISTの想定アプローチを記述している。本報告書は、移行過程で組織が使用する既存の量子脆弱性のある暗号標準と現行の量子耐性標準を特定している。本報告書は、製品・サービス・インフラをPQCへ移行するための連邦機関、産業界、標準化団体の取り組みとタイムラインを示すものである。NISTは移行スケジュールを支援するため、必要に応じて本報告書を改訂し、PQC移行に向けた他のアルゴリズム・アプリケーション固有のガイダンスに反映させる。
Table 1 shows three NIST PQC standards along with a recommendation for stateful hash-based signature algorithms that support quantum-resistant standards.	表1は、量子耐性標準をサポートするステートフルハッシュベース署名アルゴリズムの推奨事項と共に、3つのNIST PQC標準を示す。
*Table 1: NIST Standard PQC Algorithms*	表1: NIST標準PQCアルゴリズム
Product Lists	製品リスト
Table 2 details widely available categories with respective types of hardware and software products that use PQC standards to protect sensitive information well into the foreseeable future, including after the advent of a cryptographically relevant quantum computer (CRQC). Organizations building PQC migration plans can use these categories as a guide to assess future technological needs. Once a category is listed as having PQC-capable products widely available, organizations should plan acquisitions to procure only PQC-capable products in that category.4	表2は、暗号学的に関連性のある量子コンピュータ（CRQC）の出現後も、予見可能な将来にわたって機密情報を保護するためにPQC標準を利用する、広く利用可能なハードウェア・ソフトウェア製品のカテゴリーと種類を詳細に示す。PQC移行計画を策定する組織は、これらのカテゴリーを将来の技術的ニーズを評価する指針として活用できる。あるカテゴリーにPQC対応製品が広く利用可能と記載された時点で、組織はそのカテゴリーにおいてPQC対応製品のみを調達する計画を立てるべきである。4
Table 3 does not list categories of PQC-capable products that are currently widely available; instead, it lists product categories where manufacturer implementation and testing of PQC capabilities are encouraged. It is important that the products listed in Table 3 implement PQC for core features and for all secondary functionality, such as for software updates. As the Table 3 product categories mature their capabilities and transition to PQC, CISA will move them from Table 3 to the list in Table 2.	表3は、現在広く利用可能なPQC対応製品のカテゴリーを列挙したものではない。代わりに、製造業者によるPQC機能の実装とテストが推奨される製品カテゴリーを記載している。表3に記載された製品は、中核機能およびソフトウェア更新などの二次機能すべてにおいてPQCを実装することが重要である。表3の製品カテゴリーが機能を成熟させPQCへ移行するにつれ、CISAはそれらを表3から表2のリストへ移行させる。
Tables 2 and 3 consider efforts within the General Services Administration (GSA),5,6 CISA,7 NIST,8 and the National Security Agency (NSA)9. Note: Tables 2 and 3 are not exhaustive lists; CISA will periodically update these tables as needed to cover new examples of widely available products that use PQC standards.	表2および表3は、一般調達局（GSA）5,6、CISA7、NIST8、国家安全保障局（NSA）9における取り組みを考慮している。注：表2および表3は網羅的なリストではない。CISAは、PQC標準を使用する広く入手可能な製品の新たな事例を網羅するため、必要に応じてこれらの表を定期的に更新する。
Table 2: Widely Available Hardware and Software Product Categories That Use PQC Standards	表2：PQC標準を採用した広く入手可能なハードウェア・ソフトウェア製品カテゴリー
* Most of these categories have implemented PQC for key encapsulation and key agreement but have not yet widely implemented PQC for digital signatures and authentication. As a result, these categories are not considered to be fully quantum resistant; CISA includes them on this list because one of their main security services is quantum resistant and Federal Civilian Executive Branch (FCEB) departments and agencies should procure them appropriately.	* これらのカテゴリーの多くは、鍵カプセル化と鍵合意にPQCを実装しているが、デジタル署名と認証へのPQC実装は未だ広範ではない。したがって、これらのカテゴリは完全な量子耐性とは見なされない。CISAが本リストに掲載するのは、主要なセキュリティサービスの一つが量子耐性を有し、連邦行政機関（FCEB）の省庁が適切に調達すべきであるためである。
Table 3: Hardware and Software Product Categories Transitioning to Use PQC Standards	表3：PQC標準への移行過程にあるハードウェア・ソフトウェア製品カテゴリ
Note: The above lists exclude categories of hardware and software products, such as operational technology (OT) and internet of things (IoT) devices, that are not considered traditional IT products. These also should be transitioning to PQC standards as well but are out of scope for these lists.	注記：上記のリストには、従来型のIT製品とは見なされないハードウェア・ソフトウェア製品（例：運用技術（OT）やモノのインターネット（IoT）デバイス）は含まれていない。これらもPQC基準への移行が必要だが、本リストの対象外である。
Notes	注記
1. Per EO 14306, “the Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), and in consultation with the Director of the National Security Agency, shall release and thereafter regularly update a list of product categories in which products that support post-quantum cryptography (PQC) are widely available.”	大統領令14306によれば、「国土安全保障長官は、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）長官を通じて、かつ国家安全保障局（NSA）長官と協議の上、耐量子暗号（PQC）をサポートする製品が広く入手可能な製品カテゴリーのリストを公表し、その後定期的に更新しなければならない。」
2. [web]
3. [web]
4. Even once a product that supports PQC standards is procured, it may need to use non-PQC algorithms for a time for interoperability reasons.	PQC標準をサポートする製品を調達した後でも、相互運用性の理由から一時的に非PQCアルゴリズムを使用する必要が生じる場合がある。
5. [pdf]
6. [web]
7. [pdf]
8. [web]
9. [web]
10. The principal security service of the Endpoint Security category is not naturally quantum vulnerable. When procuring, one needs to ensure that other relevant features of the product, such as firmware updates, are utilizing post-quantum cryptography (PQC).	エンドポイントセキュリティカテゴリーの主要なセキュリティサービスは、本来量子脆弱性を持たない。調達時には、ファームウェア更新など製品の他の関連機能が耐量子暗号（PQC）を利用していることを確認する必要がある。

Table1
Cryptographic Function	Algorithm Standard	Standard
Key Establishment	Module-Lattice-Based Key- Encapsulation Mechanism (ML-KEM)	Federal Information Processing Standards (FIPS) 203
Digital Signature	Module-Lattice-Based Digital Signature Algorithm (ML-DSA)	Federal Information Processing Standards (FIPS) 204
Digital Signature	Stateless Hash-Based Digital Signature Algorithm (SLH-DSA)	Federal Information Processing Standards (FIPS) 205
Digital Signature	Stateful Hash-Based Digital Signature Algorithms: Leighton-Micali Signature Scheme (LMS), Hierarchical Merkle Signature Scheme (HMS), eXtended Merkle Signature Scheme (XMSS), eXtended Merkle Signature Scheme with Multi-Tree (XMSSMT)	NISTSP 800-208
暗号化機能	アルゴリズム標準	標準
鍵確立	モジュール格子ベース鍵カプセル化機構（ML-KEM）	連邦情報処理標準（FIPS）203
デジタル署名	モジュール格子ベースデジタル署名アルゴリズム（ML-DSA）	連邦情報処理標準（FIPS）204
デジタル署名	ステートレスハッシュベースデジタル署名アルゴリズム（SLH-DSA）	連邦情報処理標準（FIPS）205
デジタル署名	ステートフルハッシュベースデジタル署名アルゴリズム：レイトン・ミカリ署名方式（LMS）、階層的マークル署名方式（HMS）、拡張マークル署名方式（XMSS）、マルチツリー付き拡張マークル署名方式（XMSSMT）	NISTSP 800-208

Table2
Product Category*	Example Product Type
Cloud Services	Platform-as-a-service (PaaS), infrastructure-as-a-service (IaaS)
Collaboration Software	Chat/messaging
Web Software	Web browsers, web servers
Endpoint Security10	Data at rest (DAR) security, full disk encryption
製品カテゴリ*	製品タイプの例
クラウドサービス	プラットフォーム・アズ・ア・サービス（PaaS）、インフラストラクチャ・アズ・ア・サービス（IaaS）
コラボレーションソフトウェア	チャット／メッセージング
Webソフトウェア	ウェブブラウザ、ウェブサーバー
エンドポイントセキュリティ10	保存データ（DAR）のセキュリティ、フルディスク暗号化
Table3
Product Category	Example Product Type
Networking Hardware	Proxy servers, routers, firewalls, switches, appliances
Networking Software	Software-defined network (SDN), domain name service (DNS), network operating systems
Cloud Services	Software-as-a-service (SaaS)
Telecommunications Hardware	Desk phones, fax machine, voice over IP (VoIP), radio
Computers (Physical and Virtual)	Operating systems, hypervisors, containers
Computer Peripherals	Wireless keyboards, wireless headsets
Storage Area Network	Appliances, operating systems, applications
Identity, Credential, and Access Management (ICAM) Software	Identity management systems, identity provider and federation services, certificate authorities, access brokers, access management software, public key infrastructure (PKI) management software
Identity, Credential, and Access Management (ICAM) Hardware	Hardware security modules (HSM), authentication tokens, badges/cards, badge/card readers
Collaboration Software	Email clients, email servers, conferencing, file sharing
Data	Database, Structured Query Language (SQL) server
Endpoint Security	Password managers, antivirus/anti-malware software, asset management
Enterprise Security	Continuous diagnostics and mitigation (CDM) tools, intrusion detection/monitoring, inspection systems, security information, and event monitoring (SIEM)
製品カテゴリ	製品タイプの例
ネットワークハードウェア	プロキシサーバー、ルーター、ファイアウォール、スイッチ、アプライアンス
ネットワークソフトウェア	ソフトウェア定義ネットワーク（SDN）、ドメインネームサービス（DNS）、ネットワークオペレーティングシステム
クラウドサービス	サービスとしてのソフトウェア（SaaS）
通信ハードウェア	デスクフォン、ファックス機、IP電話（VoIP）、無線機
コンピューター（物理および仮想）	オペレーティングシステム、ハイパーバイザー、コンテナ
コンピューター周辺機器	ワイヤレスキーボード、ワイヤレスヘッドセット
ストレージエリアネットワーク	アプライアンス、オペレーティングシステム、アプリケーション
ID、認証情報、アクセス管理（ICAM）ソフトウェア	ID管理システム、IDプロバイダーおよびフェデレーションサービス、認証機関、アクセスブローカー、アクセス管理ソフトウェア、公開鍵基盤（PKI）管理ソフトウェア
ID、認証情報、アクセス管理（ICAM）ハードウェア	ハードウェアセキュリティモジュール（HSM）、認証トークン、バッジ／カード、バッジ／カードリーダー
コラボレーションソフトウェア	メールクライアント、メールサーバー、会議システム、ファイル共有
データ	データベース、構造化問い合わせ言語（SQL）サーバー
エンドポイントセキュリティ	パスワードマネージャー、アンチウイルス／アンチマルウェアソフトウェア、資産管理
エンタープライズセキュリティ	継続的診断と緩和（CDM）ツール、侵入検知／監視、検査システム、セキュリティ情報とイベント監視（SIEM）

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.06.14 米国大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)

Continue reading "米国 CISA 耐量子暗号標準を利用する技術向け製品カテゴリー (2026.01.23)"

2026.01.26 00:00 in 情報セキュリティ / サイバーセキュリティ, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術 | Permalink | Comments (0)
Tweet

2026.01.25

カナダダボス会議マーク・カーニー首相演説「原則と現実－カナダの進む道」

こんにちは、丸山満彦です。

ダボス会議でのマーク・カーニー首相の演説が話題になっていますが、日本語訳もあったので、紹介...

● Govenment of Canada

日本語訳

・2026.01.20 「原則と現実－カナダの進む道」

英語

・2026.01.20 “Principled and pragmatic: Canada’s path” Prime Minister Carney addresses the World Economic Forum Annual Meeting

仏語

・2026.01.21 « Principes et pragmatisme : la voie que le Canada a choisie » Allocution du premier ministre Carney lors de la réunion annuelle du Forum économique mondial

“Principled and pragmatic: Canada’s path”	「原則と現実－カナダの進む道」
Prime Minister Carney addresses the World Economic Forum Annual Meeting	世界経済フォーラム年次総会　マーク・カーニー首相演説
Thank you, Larry.	2026年1月20日　スイス、ダボス
It’s a pleasure – and a duty – to be with you tonight in this pivotal moment that Canada and the world are going through.	カナダ、そして世界が転換点を迎えているいま、皆様と共にここにいることは、光栄であると同時に私の責務でもあります。
Tonight, I’ll talk about a rupture in the world order, the end of a pleasant fiction, and the beginning of a harsh reality where geopolitics – where the large, main power – is submitted to no limits, no constraints.	本日私は、世界秩序の断絶、美しい物語の終焉、そして大国間の地政学が一切の制約を受けない残酷な現実の始まりについて話します。
On the other hand, I would like to tell you that the other countries, particularly intermediate powers like Canada, are not powerless. They have the capacity to build a new order that encompasses our values, like respect for human rights, sustainable development, solidarity, sovereignty, and territorial integrity of the various states.	しかし同時に申し上げたいのは、カナダのようなミドルパワー(中堅国家)をはじめとする他の国々が無力ではないということです。これらの国々は人権尊重、持続可能な開発、連帯、主権、領土の一体性といった、私たちの価値観を体現する新たな秩序を構築する能力を持っているのです。
The power of the less power starts with honesty.	弱き者の力は誠実であることから始まります。
It seems that every day we are reminded that we live in an era of great power rivalry. That the rules-based order is fading. That the strong do what they can, and the weak must suffer what they must.	私たちは、大国の競争が激化する時代に生きていることを日々思い知らされています。ルールに基づく秩序は衰えつつあります。「強者はしたいことをして、弱者はそれを耐え忍ぶ」。
This aphorism of Thucydides is presented as inevitable – the natural logic of international relations reasserting itself. And faced with this logic, there is a strong tendency for countries to go along to get along. To accommodate. To avoid trouble. To hope that compliance will buy safety.	トゥキディデスのこの警句は不可避なものとして語られます－国際関係の自然な論理が再び前面に出てきているのだと。そしてこの論理に直面して、各国は波風を立てずにやっていくために同調する傾向が強くなっています。迎合し、トラブルを避け、従順であることによって安全を買おうとする。
Well, it won’t.	しかし、そうはいきません。
So, what are our options?	では、私たちにはどのような選択肢があるのでしょう？
In 1978, the Czech dissident Václav Havel, later president, wrote an essay called The Power of the Powerless. In it, he asked a simple question: how did the communist system sustain itself?	1978年、チェコの反体制派ヴァーツラフ・ハヴェルは「力なき者たちの力」と題するエッセイを書きました。その中で、彼はシンプルな問いを投げかけています。共産主義体制はいかにして存続したのか？
His answer began with a greengrocer. Every morning, this shopkeeper places a sign in his window: “Workers of the world, unite!” He does not believe it. No one believes it. But he places the sign anyway – to avoid trouble, to signal compliance, to get along. And because every shopkeeper on every street does the same, the system persists.	彼の答えは青果店から始まります。毎朝、店主は店頭に看板を掲げます。「全世界の労働者よ、団結せよ！」。彼はそれを信じていません。信じている人は誰もいません。それでも彼は看板を掲げます ― トラブルを避けるため、従順であるとを示すため、うまくやっていくために。そして、どの通りの店主も皆同じことをするから、体制は存続するのです。
Not through violence alone, but through the participation of ordinary people in rituals they privately know to be false.	暴力だけではなく、人々が内心では誤りと知りつつ儀式に参加することによって、体制は維持されるのです。
Havel called this “living within a lie.” The system’s power comes not from its truth but from everyone’s willingness to perform as if it were true. And its fragility comes from the same source: when even one person stops performing – when the greengrocer removes his sign – the illusion begins to crack.	ハヴェルはこれを「嘘の中で生きる」と呼びました。体制の力は真実からではなく、真実であるかのように振る舞おうとする皆の意思から生まれます。そしてその脆弱性も源は同じです ― たった一人でも演技をやめたとき、青果店の店主が看板を取り外したとき、その幻想はひび割れ始めるのです。
Friends, it is time for companies and countries to take their signs down.	いまこそ、企業も国家もこの看板を取り外すときです。
For decades, countries like Canada prospered under what we called the rules-based international order. We joined its institutions, we praised its principles, we benefited from its predictability. And because of that, we could pursue values-based foreign policies under its protection.	数十年にわたって、カナダのような国々は、いわゆる「ルールに基づく国際秩序」の下で繁栄してきました。私たちはその体制に加わり、その原則を称賛し、それが予測可能であることから恩恵を受けました。その保護のもとで、価値観に基づく外交政策を追求することができました。
We knew the story of the international rules-based order was partially false. That the strongest would exempt themselves when convenient. That trade rules were enforced asymmetrically. And we knew that international law applied with varying rigour depending on the identity of the accused or the victim.	私たちは、この「ルールに基づく国際秩序」の物語が部分的に虚構であることを知っていました。強大な国は都合の良いときに自らをルールの適用外にするということを。貿易ルールが非対称的に執行されるということを。そして国際法がどれほど厳格に適用されるかは、被告や被害者が誰であるかによって異なるということを。
This fiction was useful, and American hegemony, in particular, helped provide public goods: open sea lanes, a stable financial system, collective security, and support for frameworks for resolving disputes.	この虚構は便利なもので、特にアメリカの覇権は公共財の創出につながりました。開かれた海上航路、安定した金融システム、集団的安全保障、紛争解決の枠組みへの支援などです。
So, we placed the sign in the window. We participated in the rituals, and we largely avoided calling out the gaps between rhetoric and reality.	だから、私たちは看板を掲げました。儀式に参加しました。そして、言葉と現実の間の隔たりを指摘することをほとんど避けてきました。
This bargain no longer works.	しかし、このような取引はいまや機能しなくなっています。
Let me be direct. We are in the midst of a rupture, not a transition.	率直に申し上げます。私たちは移行期ではなく、断絶の真っただ中にいます。
Over the past two decades, a series of crises in finance, health, energy, and geopolitics have laid bare the risks of extreme global integration.	この20年間で、金融、保健、エネルギー、地政学における一連の危機を通して、極端なグローバル統合に伴うリスクが露呈しました。
More recently, great powers have begun using economic integration as weapons, tariffs as leverage, financial infrastructure as coercion, and supply chains as vulnerabilities to be exploited.	近年では、大国が経済統合を武器として利用し始めました。関税を力として。金融インフラを威圧の手段として。サプライチェーンを利用すべき脆弱性として。
You cannot “live within the lie” of mutual benefit through integration when integration becomes the source of your subordination.	統合が従属の源泉となるのであれば、相互利益という「嘘の中で生きる」ことはできません。
The multilateral institutions on which the middle powers have relied – the WTO, the UN, the COP – the architecture, the very architecture of collective problem solving – are under threat.	ミドルパワーが頼りにしてきた多国間機関－ WTO、国連、COPなどの集団的問題解決の枠組み－は著しく弱体化しています。
As a result, many countries are drawing the same conclusions. They must develop greater strategic autonomy: in energy, food, critical minerals, in finance, and supply chains.	その結果、多くの国が同じ結論に至っています。エネルギー、食料、重要鉱物、金融、サプライチェーンについて、より強力な戦略的自律性を確立しなければならないと。
This impulse is understandable. A country that cannot feed itself, fuel itself, or defend itself has few options. When the rules no longer protect you, you must protect yourself.	この動きは理解できます。自国で食料を調達できず、燃料を供給できず、防衛もできない国には選択肢が限られます。もはやルールが守ってくれないなら、自らが国を守らなければなりません。
But let us be clear-eyed about where this leads. A world of fortresses will be poorer, more fragile, and less sustainable.	しかし、これによって何が起きるかを冷静に見極める必要があります。要塞化された世界は、貧しく、脆弱で、持続可能性に欠けます。
And there is another truth. If great powers abandon even the pretence of rules and values for the unhindered pursuit of their power and interests, the gains from transactionalism will become harder to replicate. Hegemons cannot continually monetise their relationships.	そして、もうひとつ真実があります。大国がルールや価値観の体裁すら捨てて、権力と利益の追求に走れば、「取引主義」の利益を再現することは困難になります。覇権国家は継続的に関係を金銭化できなくなります。
Allies will diversify to hedge against uncertainty. They’ll buy insurance, increase options, in order to rebuild sovereignty – sovereignty that was once grounded in rules, but will increasingly be anchored in the ability to withstand pressure.	同盟国は、不確実性をヘッジするために多角化を進めます。保険をかけ、選択肢を増やそうとします。これによって主権を再構築します－かつてはルールに根ざしていた主権が、圧力に耐える能力に依拠するようになります。
This room knows this is classic risk management. Risk management comes at a price, but that cost of strategic autonomy, of sovereignty, can also be shared. Collective investments in resilience are cheaper than everyone building their own fortresses. Shared standards reduce fragmentation. Complementarities are positive sum.	既に申し上げたように、こうした古典的なリスク管理には代償が伴います。しかし戦略的自律性、つまり主権のコストは共有することも可能です。レジリエンスのために共同で投資すれば、それぞれが独自の要塞を築くより低コストです。共通の基準は分断を軽減し、相互に補完することはポジティブ・サムをもたらします。
The question for middle powers, like Canada, is not whether to adapt to this new reality. We must. The question is whether we adapt by simply building higher walls – or whether we can do something more ambitious.	カナダのようなミドルパワーとって、問題はこの新しい現実に適応すべきかどうかではありません。適応しなければならないのです。問題は、単に高い壁を築くことで適応するのか、それとももっと大胆なことをできるのか、ということです。
Now, Canada was amongst the first to hear the wake-up call, leading us to fundamentally shift our strategic posture.	カナダはこの警鐘をいち早く受け止め、戦略姿勢を根本的に転換しました。
Canadians know that our old, comfortable assumptions that our geography and alliance memberships automatically conferred prosperity and security – that assumption is no longer valid.	カナダ国民は、地理的な条件と同盟関係によって自動的に繁栄と安全がもたらされるという、これまでの安楽な前提はもはや有効ではないことを認識しています。
Our new approach rests on what Alexander Stubb, the President of Finland, has termed “value-based realism” – or, to put it another way, we aim to be both principled and pragmatic.	私たちの新しいアプローチは、アレクサンデル・ストゥブが「価値に基づくリアリズム」と呼んだ、原則に基づきつつ現実的であることに根ざしています。
Principled in our commitment to fundamental values: sovereignty and territorial integrity, the prohibition of the use of force except when consistent with the UN Charter, and respect for human rights.	基本的価値、すなわち主権と領土の一体性、国連憲章に則った場合を除く武力行使の禁止、人権の尊重に対するコミットメントにおいて原則を貫くこと。
Pragmatic in recognising that progress is often incremental, that interests diverge, that not every partner will share all of our values. We are engaging broadly, strategically, with open eyes. We actively take on the world as it is, not wait for a world we wish to be.	進歩は多くの場合漸進的であり、利害は分かれ、すべてのパートナーが私たちと価値観を共有しているわけではないことを認識して、現実的であること。私たちは広く、戦略的に、現実を直視しながら関与しています。理想とする世界を待つのではなく、あるがままの世界を主体的に受け止めます。
We are calibrating our relationships so their depth reflects our values. We are prioritising broad engagement to maximise our influence, given the fluidity of the world order, the risks that this poses, and the stakes for what comes next.	カナダは、その深さが私たちの価値観を反映するように、対外関係を調整しています。世界秩序の流動性、それがもたらすリスク、そして次に起きることへの重大な利害を考慮し、影響力を最大化するために、幅広い関与を重視しています。
We are no longer just relying on the strength of our values, but also the value of our strength.	もはや価値観の力だけに頼るのではなく、私たちの力が持つ価値も頼りにしているのです。
We are building that strength at home.	カナダは国内でその強さを築いています。
Since my government took office, we have cut taxes on incomes, capital gains and business investment, we have removed all federal barriers to interprovincial trade, and we are fast-tracking a trillion dollars of investment in energy, AI, critical minerals, new trade corridors, and beyond.	私の政権が発足して以来、所得税、キャピタルゲイン課税、事業投資税を削減し、州間の貿易に関する連邦の障壁をすべて撤廃しました。エネルギー、AI、重要鉱物、新たな貿易回廊などへの1兆カナダドル規模の投資を迅速に進めています。
We are doubling our defence spending by the end of this decade, and we are doing so in ways that build our domestic industries.	国内産業を育成する方法を取りながら、2030年までに防衛費を倍増させます。
We are rapidly diversifying abroad. We have agreed a comprehensive strategic partnership with the European Union, including joining SAFE, Europe’s defence procurement arrangements.	海外でも、多角化を迅速に進めています。欧州連合とは包括的戦略パートナーシップで合意し、欧州の防衛物資調達枠組み「SAFE」に参加します。
We have signed twelve other trade and security deals on four continents in the last six months.	このほかにも、最近6カ月間で4大陸において12の貿易および安全保障協定を締結しています。
In the past few days, we have concluded new strategic partnerships with China and Qatar.	ここ数日では、中国およびカタールと新たな戦略的パートナーシップを締結しました。
We are negotiating free trade pacts with India, ASEAN, Thailand, Philippines, and Mercosur.	現在、インド、ASEAN、タイ、フィリピン、メルコスールとの間で自由貿易協定交渉を進めています。
We’re doing something else. To help solve global problems, we are pursuing variable geometry. In other words, different coalitions for different issues, based on common values and interests.	グローバルな問題の解決に向けて、私たちは価値観と利益に基づき、課題ごとに異なる連合を形成する「可変的な幾何学」を追求しています。
So, on Ukraine, we are a core member of the Coalition of the Willing and one of the largest per-capita contributors to its defence and security.	ウクライナ問題では、カナダは有志連合の中核メンバーとして、防衛・安全保障分野で国民一人当たり最大の貢献をしている国のひとつです。
On Arctic sovereignty, we stand firmly with Greenland and Denmark and fully support their unique right to determine Greenland’s future. Our commitment to NATO Article 5 is unwavering.	北極圏の主権問題では、グリーンランドとデンマークを断固として支持し、グリーンランドの未来を決定する独自の権利を全面的に支持します。（NATO）第5条へのコミットメントが揺らぐことはありません。
We are working with our NATO allies (including the Nordic Baltic 8) to further secure the alliance’s northern and western flanks, including through Canada’s unprecedented investments in over-the-horizon radar, submarines, in aircraft, and boots on the ground, boots on the ice. Canada strongly opposes tariffs over Greenland and calls for focused talks to achieve our shared objectives of security and prosperity in the Arctic.	さらに、NATO同盟国（北欧バルト8カ国を含む）と連携し、カナダが前例のない規模で投資する超水平線レーダー、潜水艦、航空機、地上部隊の配備などを通じて、同盟の北方および西方の防衛を強化しています。カナダはグリーンランドをめぐる関税措置に強く反対し、北極圏の安全保障と繁栄という共通目標の達成に向けた集中的な協議を求めます。
On plurilateral trade, we are championing efforts to build a bridge between the Trans-Pacific Partnership and the European Union, which would create a new trading bloc of 1.5 billion people.	多国間貿易については、環太平洋パートナーシップ協定と欧州連合の架け橋となる取り組みを主導し、15億人を擁する新たな貿易圏の構築を推進しています。
On critical minerals, we are forming buyers’ clubs anchored in the G7 so that the world can diversify away from concentrated supply.	重要鉱物については、G7を基盤とする「バイヤーズ・クラブ」を形成し、供給の集中から脱却した世界的な多角化を図ります。
On AI, we are cooperating with like-minded democracies to ensure we will not ultimately be forced to choose between hegemons and hyperscalers.	AI分野では、志を同じくする民主主義国家が協力することにより、覇権国家か巨大IT企業かという二者択一を迫られる事態を回避します。
This is not naive multilateralism. Nor is it relying on their institutions. It is building the coalitions that work, issue by issue, with partners who share enough common ground to act together. In some cases, this will be the vast majority of nations.	これは甘い考えの多国間主義ではなく、衰退した国際機関への依存でもありません。共通の基盤を十分に共有して行動するパートナーと、課題ごとに機能する連合を構築する取り組みです。大多数の国が加わる連合になることもあるでしょう。
And it is creating a dense web of connections across trade, investment, culture on which we can draw for future challenges and opportunities.	これによって貿易、投資、文化にわたり密接な連携網を構築し、将来の課題と機会に対応するための基盤を築いています。
Middle powers must act together because if you are not at the table, you are on the menu.	ミドルパワーは結束して行動しなければなりません。交渉のテーブルに着かなければ、自らがメニューに載せられてしまうからです。
But I would also say that Great powers can afford to go it alone. They have the market size, the military capacity, and the leverage to dictate terms. Middle powers do not. But when we only negotiate bilaterally with a hegemon, we negotiate from weakness. We accept what is offered. We compete with each other to be the most accommodating.	大国は単独で行動できます。市場規模、軍事力、条件を押し付ける影響力を有しているからです。ミドルパワーにはそれがありません。このため、覇権国と二国間で交渉するだけでは、弱い立場で交渉しなければなりません。提示された条件を受け入れ、最も譲歩する国になるよう競い合うことになります。
This is not sovereignty. It is the performance of sovereignty while accepting subordination.	これは主権ではありません。従属することを受け入れつつ主権を演じているに過ぎません。
In a world of great power rivalry, the countries in between have a choice: to compete with each other for favour or to combine to create a third path with impact.	大国間の競争が激化する世界において、その狭間にある国々には選択肢があります。互いに影響力を競うのか、それとも連携して影響力をもつ第三の道を切り拓くかです。
We should not allow the rise of hard power to blind us to the fact that the power of legitimacy, integrity, and rules will remain strong — if we choose to wield it together.	ハードパワーの台頭に目を奪われて、正統性、誠実さ、ルールに基づく力の強さが損なわれることはないという事実を見失ってはなりません－私たちが共にそれを行使することを選べば、その力は持続するのです。
Which brings me back to Havel.	ここでハヴェルの言葉に戻ります。
What would it mean for middle powers to “live the truth”?	ミドルパワーにとって「真実の中に生きる」とは何を意味するのでしょうか？
First, it means naming reality. Stop invoking “rules-based international order” as though it still functions as advertised. Call it what it is: a system of intensifying great power rivalry, where the most powerful pursue their interests using economic integration as coercion.	それは、現実に名前を付けることです。「ルールに基づく国際秩序」と、これが宣伝どおりに機能しているかのように呼び続けるのはやめるべきです。このシステムをありのままに呼ばなければなりません。強大な勢力が経済統合を威圧のための武器にして自らの利益を追求する、大国間の激しい競争の時代だと。
It means acting consistently, applying the same standards to allies and rivals. When middle powers criticize economic intimidation from one direction but stay silent when it comes from another, we are keeping the sign in the window.	それは、一貫した行動を取ることです。同盟国にも競合国にも同じ基準を適用するべきです。ミドルパワーが一方向からの経済的威圧を批判しながら、別の方向からの威圧には沈黙するとき、その国は看板を掲げているだけになります。
It means building what we claim to believe in, rather than waiting for the old order to be restored. It means creating institutions and agreements that function as described.	それは、自らが信じるものを構築することです。旧い秩序の復活を待つのではなく、言葉どおりに機能する制度や合意を創出するべきです。
And it means reducing the leverage that enables coercion. Building a strong domestic economy should always be every government’s immediate priority. Diversification internationally is not just economic prudence; it is the material foundation for honest foreign policy, because countries earn the right to principled stands by reducing their vulnerability to retaliation.	そしてそれは、威圧を可能にする力を減じることです。すべての政府にとって、強固な国内経済の構築は常に最優先課題であるべきです。国際的な多角化は単なる用心深い経済運営ではなく、誠実な外交政策の物質的基盤です。報復に対する脆弱性を減らすことによって、国は原則に基づいた立場を取る権利を得ることができます。
Canada has what the world wants. We are an energy superpower. We hold vast reserves of critical minerals. We have the most educated population in the world. Our pension funds are amongst the world’s largest and most sophisticated investors. In other words, we have capital, talent, and a government with the immense fiscal capacity to act decisively.	カナダは世界が求めるものを有しています。カナダはエネルギー超大国であり、膨大な埋蔵量の重要鉱物を有しています。世界で最も教育水準の高い国民を有しています。年金基金は投資家として世界最大級で、また最も洗練されています。資本、人材、そして断固たる行動を取るための強大な財政能力を備えた政府を有しています。
And we have the values to which many others aspire.	そしてカナダは、多くの国が憧れる価値観を体現しています。
Canada is a pluralistic society that works. Our public square is loud, diverse, and free. Canadians remain committed to sustainability.	カナダは多元主義社会として機能しています。開かれた議論の場は活発で多様性に富み、自由です。カナダ国民は持続可能性への取り組みを続けています。
We are a stable, reliable partner – in a world that is anything but—a partner that builds and values relationships for the long term.	カナダは安定した信頼できるパートナーです－不確実な世界にあっても、長期的な関係を築き、それを重視するパートナーです。
Canada has something else: a recognition of what is happening and a determination to act accordingly.	カナダが有しているものはほかにもあります。起きていることを認識し、それに応じて行動する決意です。
We understand that this rupture calls for more than adaptation. It calls for honesty about the world as it is.	私たちは、この断絶に対しては適応以上のものが必要だと理解しています。あるがままの世界を誠実に見つめることが求められているのです。
We are taking the sign out of the window.	私たちは看板を外します。
We know the old order is not coming back. We should not mourn it. Nostalgia is not a strategy.	旧い秩序は戻りませんが、それを嘆くべきではありません。過去を懐かしむことは戦略ではありません。
But we believe that from the fracture, we can build something better, stronger, and more just.	しかし、この断絶からより良く、より強く、より公正なものを築くことはできます。
This is the task of the middle powers, the countries that have the most to lose from a world of fortresses and the most to gain from a world of genuine cooperation.	これこそが、要塞化された世界では最も多くのものを失い、真の協力の世界では最も多くのものを得る、ミドルパワーの使命です。
The powerful have their power. But we have something too – the capacity to stop pretending, to name reality, to build our strength at home, and to act together.	強い者には強い者の力があります。しかし、私たちにも力はあります ― 偽りを止め、現実を直視し、国内で力を蓄え、共に行動する力です。
That is Canada’s path. We choose it openly and confidently.	これがカナダの道であり、私たちは堂々と、自信を持ってこれを選びます。
And it is a path wide open to any country willing to take it with us.	そしてこの道は、私たちと共に歩む意思を持つすべての国に広く開かれています。
Thank you very much.

Live

・[Youtube] LIVE: Canadian PM Mark Carney Special Address at Davos WEF 2026

2026.01.25 00:00 in 安全保障 | Permalink | Comments (0)
Tweet

世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2026 (2026.01.12)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が世界のサイバーセキュリティ概況 2026を公表していましたね。。。調査は毎年アクセンチュアがおこなっていますね。。。

2022年はレジリエンスを、

2023年は地政学リスク・サプライチェーンを、

2024年は格差 (inequity) と新興技術 (Emerging technologie)を中心に置いていましたが、

2025年は複雑性がテーマとなっていました。

2026年は、AI導入、地政学、サイバー犯罪というのがテーマですかね...

● World Economic Forum - Whitepaper

プレスリリース

・2026.01.12 Cyber-Enabled Fraud Is Now One of the Most Pervasive Global Threats, Says New Report

日本語...

・2026.01.12 ＜報告書発表＞サイバーを利用した詐欺は、今や最も広範かつグローバルな脅威の一つ

世界経済フォーラムの新たな報告書『グローバル・サイバーセキュリティ・アウトルック2026』によると、サイバーを悪用した詐欺はランサムウェアを抜き、CEOの最大の懸念事項となりました。
調査回答者の87%が昨年、AI関連の脆弱性の増加を経験しており、94%のリーダーたちが2026年にはAIがサイバーセキュリティを形作る最大の要因になると予想しています。
地政学的な不安定により、各国のサイバー対応能力への信頼が低下しており、31%が自国が重要インフラ攻撃に対応できる能力に対する信頼は低いとしています。

....

2026年に向けて変化するサイバー環境を形作る主要因を特定。これには以下が含まれます。

AIがサイバーセキュリティのリスクを前例のない速度で加速しています。2025年にはAI関連の脆弱性が他のいかなるカテゴリーよりも急速に増加し、回答者の87%が増加を報告。生成AIに関連するデータ漏洩（34%）と敵対的能力の拡大（29%）は、2026年の主要懸念事項となっています。一方、経営幹部の94%が、AIが2026年のサイバーセキュリティを形作る最も重要な力になると予想。組織はこれに対応し、AIによるセキュリティ評価の割合を37%から64%へとほぼ倍増させています。
地政学がグローバルなサイバーセキュリティ脅威の状況を再定義しています。64%の組織が地政学的に動機付けられた攻撃をリスク戦略に組み込み、大企業の91%はそれに応じてサイバーセキュリティ態勢を調整しています。回答者の31%が、自国が重大なサイバーインシデントを管理する能力に対する信頼は低いとしています。この信頼度は地域によって大きく異なり、中東・北アフリカでは84%であるのに対し、ラテンアメリカ・カリブ海地域では13%です。
サイバーを悪用した詐欺は、広範かつグローバルな脅威となっています。驚くべきことに、回答者の73%が2025年に直接被害を受けた、あるいは被害者を知っていると回答。CEOたちは現在、ランサムウェアよりも詐欺やフィッシングを最大の懸念事項として挙げています。
サプライチェーンは依然として重大な構造的脆弱性をはらんでいます。大企業の65%が、サードパーティーおよびサプライチェーンのリスクを最大のサイバーレジリエンス障壁として挙げており、2025年の54%から増加しています。集中リスクも深刻化。インフラレベルの障害が、相互接続されたデジタルエコシステム全体に広範な影響を波及させ得ることを、主要クラウド／インターネットサービス事業者におけるインシデントが示しています。
サイバー格差は地域、業種を問わず拡大しています。小規模組織は、大企業と比較してレジリエンスの不足を報告する可能性が2倍高くなっています。地域別では、サイバーセキュリティ人材の不足が最も顕著なのはラテンアメリカおよびカリブ海地域であり、65%の組織がセキュリティ目標達成に必要なスキルが不足していると報告。一方、サハラ以南のアフリカに拠点を持つ63%の組織も同様に、人材のひっ迫に直面しています。

・2026.01.12 Global Cybersecurity Outlook 2026

Global Cybersecurity Outlook 2026	グローバルサイバーセキュリティ展望2026
The World Economic Forum's Global Cybersecurity Outlook 2026, written in collaboration with Accenture, examines the cybersecurity trends that will affect economies and societies in the year to come.	世界経済フォーラムがアクセンチュアと共同で作成した「グローバルサイバーセキュリティ展望2026」は、今後1年間で経済と社会に影響を与えるサイバーセキュリティの動向を分析する。
The report explores how accelerating AI adoption, geopolitical fragmentation and widening cyber inequity are reshaping the global risk landscape. As attacks grow faster, more complex and more unevenly distributed, organizations and governments face rising pressure to adapt amid persistent sovereignty challenges and widening capability gaps. Drawing on leaders’ perspectives, the report provides actionable insights to inform strategy, investment and policy.	本報告書は、AI導入の加速、地政学的な分断、拡大するサイバー格差が、いかにグローバルなリスク環境を再構築しているかを検証する。攻撃がより高速化し、より複雑化し、より不均等に分散する中、組織や政府は、持続的な主権上の課題と拡大する能力格差の中で適応する圧力に直面している。リーダーの視点に基づき、本報告書は戦略、投資、政策立案に役立つ実践的な知見を提供する。

・[PDF]

目次...

Preface	序文
Executive summary	エグゼクティブサマリー
1. Five years of the Global Cybersecurity Outlook	1. グローバルサイバーセキュリティ展望の5年間
2. The view from the top: CEOs' priorities in a shifting cyber landscape	2. トップの視点：変化するサイバー環境におけるCEOの優先事項
3. The trends reshaping cybersecurity	3. サイバーセキュリティを再構築するトレンド
3.1 AI is reshaping risk, accelerating both offence and defence	3.1 AIはリスクを再構築し、攻撃と防御の両方を加速させる
3.2 Geopolitics is a defining feature of cybersecurity	3.2 地政学はサイバーセキュリティを特徴づける要素である
3.3 The evolving landscape of cybercrime: AI, fraud and the global response	3.3 進化するサイバー犯罪の風景：AI、詐欺、そしてグローバルな対応
3.4 Cyber resilience is the key to safeguarding economic value	3.4 サイバーレジリエンスが経済的価値を守る鍵である
3.5 Securing supply chains amid opacity and concentration risks	3.5 不透明性と集中リスクの中でサプライチェーンを保護する
3.6 Drivers of cyber inequity in 2026	3.6 2026年のサイバー格差を拡大する要因
3.7 Future threat vectors are emerging in silence	3.7 将来の脅威ベクトルは静かに出現している
Conclusion	結論
Appendix: Methodology	附属書：調査方法論
Contributors	寄稿者
Acknowledgements	謝辞

・Key Findings

Key insights	主な知見
Cybersecurity is a frontier where collaboration remains not only possible, but powerful.	サイバーセキュリティは、協力が依然として可能であるだけでなく、強力な効果を発揮する分野である。
Cybersecurity in 2026 is accelerating amid growing threats, geopolitical fragmentation and a widening technological divide. Artificial intelligence (AI) is transforming cyber on both sides of the fight – strengthening defence while enabling more sophisticated attacks. Organizations are striving to balance innovation with security – embracing AI and automation at scale, even as governance frameworks and human expertise struggle to keep pace. The result is a fast-paced, metamorphic landscape where disruptions move swiftly across borders, even as technology offers new potential for resilience.	2026年のサイバーセキュリティは、脅威の増大、地政学的な分断、技術格差の拡大の中で加速している。人工知能（AI）は攻防双方のサイバー領域を変革している——防御を強化すると同時に、より洗練された攻撃を可能にしている。組織はイノベーションとセキュリティのバランスを取ろうと努力している——ガバナンス枠組みや人的専門知識が追いつかない中でも、AIと自動化を大規模に導入しているのだ。その結果、技術が新たなレジリエンスをもたらす一方で、混乱が国境を越えて急速に広がる、急速に変化する変容的な状況が生まれている。
This year’s report examines the intersection of AI adoption and cyber readiness, and the emerging disparities that innovation creates. On the geopolitical front, fragmentation and sovereignty concerns are reshaping cooperation and trust among nations. Hybrid threats and escalating cyberattacks reflect the increasing volatility of the global environment. From an economic perspective, unequal access to resources and expertise continues to widen cyber inequity. Ultimately, strengthening collective cyber resilience has become both an economic and a societal imperative. Cybersecurity is a frontier where collaboration remains not only possible, but powerful – a reminder that, even amid fragmentation, economic strain and uncertainty, collective action can drive progress for all.	本年報告書は、AI導入とサイバー対応力の交差点、そしてイノベーションが生み出す新たな格差を検証する。地政学面では、分断と主権への懸念が国家間の協力と信頼を再構築している。ハイブリッド脅威と激化するサイバー攻撃は、世界情勢の不安定化を反映している。経済的観点では、資源と専門知識への不平等なアクセスがサイバー格差を拡大し続けている。結局のところ、集団的サイバーレジリエンスの強化は経済的・社会的両面で不可欠な課題となった。サイバーセキュリティは、分断や経済的緊張、不確実性の中でも、協力が単に可能であるだけでなく強力な力を発揮する前線領域だ。集団的行動が全てのために進歩を推進し得ることを改めて示している。
These are three key trends that executives will need to navigate in cybersecurity in 2026:	2026年に経営陣がサイバーセキュリティで対応すべき3つの主要トレンドは以下の通りだ：
AI is supercharging the cyber arms race	AIがサイバー軍拡競争を加速させる
AI is anticipated to be the most significant driver of change in cybersecurity in the year ahead, according to 94% of survey respondents (see Appendix: Methodology for more information about the survey).	調査回答者の94％が、今後1年間でサイバーセキュリティ分野における最大の変革要因はAIになると予測している（調査の詳細は附属書：調査方法参照）。
This growing recognition is translating into concrete action across organizations. The percentage of respondents assessing the security of AI tools has nearly doubled from the previous year, from 37% in 2025 to 64% in 2026.	この認識の高まりは、組織全体で具体的な行動へとつながっている。AIツールのセキュリティを評価する回答者の割合は前年比で約2倍に増加し、2025年の37％から2026年には64％に達した。
Percentage of organizations with processes in place to assess AI security	AIセキュリティアセスメントプロセスを導入している組織の割合

At the same time, AI vulnerabilities are accelerating at an unprecedented pace: 87% of respondents identified AI-related vulnerabilities as the fastest-growing cyber risk over the course of 2025.	同時に、AIの脆弱性は前例のない速度で増加している。回答者の87％が、2025年を通じて最も急速に拡大したサイバーリスクとしてAI関連の脆弱性を識別した。
Perception of increase or decrease in cyber risks over the past year	過去1年間のサイバーリスク増減に関する認識

Geopolitics is a defining feature of cybersecurity	地政学はサイバーセキュリティを特徴づける要素である
In 2026, geopolitics remains the top factor influencing overall cyber risk mitigation strategies. Some 64% of organizations are accounting for geopolitically motivated cyberattacks – such as disruption of critical infrastructure or espionage.	2026年においても、地政学はサイバーリスク緩和戦略全体に影響を与える最重要要因であり続ける。組織の約64％が、重要インフラの妨害やスパイ活動など、地政学的な動機に基づくサイバー攻撃を考慮している。
Top considerations for cyber risk mitigation strategies	サイバーリスク緩和戦略における主要な考慮事項

Notably, 91% of the largest organizations have changed their cybersecurity strategies due to geopolitical volatility.	特に、最大規模の組織の91％が地政学的変動を理由にサイバーセキュリティ戦略を変更している。
How organizations have adapted cybersecurity strategies amid geopolitical volatility	地政学的変動下における組織のサイバーセキュリティ戦略適応状況

In the context of geopolitical volatility, confidence in national cyber preparedness continues to erode, with 31% of survey respondents reporting low confidence in their nation’s ability to respond to major cyber incidents, up from 26% last year. Confidence levels vary greatly across regions.	地政学的変動の文脈において、国家サイバーセキュリティ戦略に対する信頼は引き続き低下している。回答者の31％が自国の重大なサイバーインシデント対応能力に低い信頼度を示しており、前年（26％）から増加した。信頼度は地域間で大きく異なる。
Respondents from the Middle East and North Africa express a high degree of confidence in their country’s ability to protect critical infrastructure (84%), while confidence is lower among respondents in Latin America and the Caribbean (13%).	中東・北アフリカ地域の回答者は自国が重要インフラを防御できる能力に対して高い信頼度を示している（84%）。一方、ラテンアメリカ・カリブ海地域の回答者では信頼度が低い（13%）。
Regional overview – confidence in national cyber response to critical infrastructure attacks	地域別概況 – 重要インフラ攻撃への国家サイバー対応に対する信頼度

Recent incidents affecting key infrastructure, such as airports and hydroelectric facilities, continue to call attention to these concerns. Despite its central role in safeguarding critical infrastructure, the public sector reports markedly lower confidence in national preparedness. Some 23% of public-sector organizations reported having insufficient cyber resilience capabilities.	空港や水力発電施設など重要インフラに影響を与えた最近のインシデントは、こうした懸念を引き続き浮き彫りにしている。重要インフラ保護の中核的役割を担うにもかかわらず、公共部門は国家の備えに対する信頼度が著しく低いと報告している。公共部門組織の約23％が、サイバーレジリエンス能力が不十分であると回答した。
Perception of insufficient cyber resilience by sector	セクター別サイバーレジリエンス不足の認識

Cyber-enabled fraud is threatening CEOs and households alike	サイバー詐欺はCEOから一般家庭まで脅威
In the survey, 73% of respondents reported that they or someone in their network had been personally affected by cyber-enabled fraud over the course of 2025.	調査では、回答者の73％が2025年中に自身または知人がサイバー詐欺の被害に遭ったと報告している。
Prevalence of cyber-enabled fraud (all respondents)	サイバー詐欺の蔓延状況（全回答者）

Chief executive officers (CEOs) rate cyber-enabled fraud as their top concern, shifting focus from ransomware to emerging risks such as cyber-enabled fraud and AI vulnerabilities. Chief information security officers (CISOs), by contrast, remain concerned about ransomware and supply chain resilience. This reflects how cybersecurity priorities diverge between the boardroom and the front line.	最高経営責任者（CEO）はサイバー詐欺を最大の懸念事項と位置付け、ランサムウェアからサイバー詐欺やAI脆弱性といった新興リスクへ関心の焦点が移行している。一方、最高情報セキュリティ責任者（CISO）は依然としてランサムウェアとサプライチェーンのレジリエンスを懸念している。これは取締役会と現場レベルでサイバーセキュリティの優先順位が異なることを反映している。
Ranking of CEOs' and CISOs' cyber risk concerns for their organizations	組織におけるCEOとCISOのサイバーリスク懸念事項の順位付け

Securing supply chains amid opacity and concentration risks	不透明性と集中リスク下でのサプライチェーン確保
Concerns about the resilience of supply chains against cyberattacks are continuing to worry business and cyber executives. This year’s survey data shows that 65% of large companies by revenue indicate third-party and supply chain vulnerabilities are their greatest challenge, which has risen from 54% in 2025.	サイバー攻撃に対するサプライチェーンのレジリエンスへの懸念は、経営陣とサイバー担当幹部の懸念材料であり続けている。今年の調査データによると、売上高ベースの大企業の65％が、サードパーティとサプライチェーンの脆弱性が最大の課題であると回答しており、これは2025年の54％から増加している。
Large companies' greatest barriers to cyber resilience, 2025–2026	大企業のサイバーレジリエンスにおける最大の障壁、2025年～2026年

過去分...

5	2026	2026.01.12	Web	PDF	Home	Press
4	2025	2025.01.13	Web	PDF	Home	Press
3	2024	2024.01.11	Web	PDF	Home	Press
2	2023	2023.01.11	Web	PDF	Home	Press
1	2022	2022.01.11	Web	PDF	Home	Press

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.15 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2025

・2024.01.12 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2024

・2023.03.09 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2023 (2023.01.18)

・2022.01.20 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2022

Global Risks Report

・2026.01.22 世界経済フォーラム (WEF) The Global Risks Report 2026 21st Edition グローバルリスク報告書2026 (2026.01.14)

・2025.01.17 世界経済フォーラム (WEF) The Global Risks Report 2025 20th Edition グローバルリスク報告書2025

・2024.01.12 世界経済フォーラム (WEF)　The Global Risks Report 2024 19th Edition グローバルリスク報告書2024

・2023.01.12 世界経済フォーラム (WEF) The Glo bal Risks Report 2023 18th Edition グローバルリスク報告書2023

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

2026.01.25 00:00 in 情報セキュリティ / サイバーセキュリティ, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

英国 NCSC 「許容できる脆弱性」と「許容できない脆弱性」を分ける方法... (2025.01.28)

こんにちは、丸山満彦です。

1年前の話なのですが、気になったものを見つけたので、備忘録...

英国のNCSCが、許容できる脆弱性と許容できない脆弱性を分ける方法についての報告書を公表していました...

脆弱性が生まれにくい開発エコシステムの構築ということは重要ですよね...

ということで、NCSCが、OSや開発フレームワークの提供者、開発者が、よりセキュアな環境を標準で提供・利用するよう促すために、「許容できる脆弱性」と「許容できない脆弱性」をわける方法を考えたようです。「許容できない脆弱性」を根絶し、「許容できる脆弱性」については緩和策や監視等による実務的な対応をしていくことによって、限られたリソースによる適切解を求めようとするもののようです...

で、「許容できない脆弱性」とは何か？が重要となるわけですが、「適切な対策が講じられていれば防げるはずの基本的な欠陥」という感じですね...「許容できる脆弱性」とは、「ゼロデイ脆弱性や、技術的・経済的制約により完全対処が困難な欠陥」となります。

この二つをわける指標として考えられたのが、コスト、認知度、技術的実現可能性の３つです。

コスト：直接コスト（ライブラリのライセンス取得など）と間接コスト（コーディング／再コーディングに必要な追加時間など）を含む。
認知度：その緩和策がどれほど広く知られ、理解されているか。
技術的実現可能性：実現可能性分析では、緩和策の成功可能性と達成の容易さを評価する。これには、緩和策の長所と短所の評価、および緩和策の技術的要件や前提条件（ハードウェアサポートなど）の評価が含まれる。

コストがかからず、認知度も高く、技術的実現可能性が高い脆弱性があれば、「それはあかんやろ」ということになるのに対し、コストもかかるし、あまり知られていないし、技術的な対応が難しいというものであれば、「そりゃしゃーないなぁ」ということになるという感じですかね...

興味深い内容で、紹介していなかったようなので、1年前！ですが、紹介です...

● NCSC

・2025.01.28 A method to assess 'forgivable' vs 'unforgivable' vulnerabilities

2026.01.25 00:00 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性 | Permalink | Comments (0)
Tweet

2026.01.24

厚生労働省パブコメ「ブレインコンピュータインターフェースシステムの評価指標（案）」(2026.01.16)

こんにちは、丸山満彦です。

厚生労働省から、「ブレインコンピュータインターフェースシステムの評価指標（案）」について意見募集がされています。

ブレイン・コンピュータ・インターフェース（BCI）は脳信号を計測・解読し、運動機能や意思伝達を補完する技術で、BMIの一部といえますね、起源は1970年代で、AIの進化により実用化が進んできています。日本におけるBCI研究は、2000年代後半から重度障害者（ALS、脳幹梗塞、脊髄損傷など）の意思疎通支援や環境制御を主目的として進められてきているようですね...

今回のパブコメ対象は、植込み型ブレインコンピュータインターフェース（BCI）システムの安全性・有効性を確保するためのガイドラインの案です。超人的強化や疾患治療目的の神経刺激機器（DBS、RNS）は除外されています。また非植込み型・入力型BCIも対象外となっていますね。

そして評価指標は、植込み型の計測ユニットを含めた出力型 BCIシステムを利用した医療機器を対象とし、当該医療機器の製造販売承認申請に向けた評価に際して、現時点で留意が必要と思われる事項を示したものということのようです。今後の技術革新や知見の集積等を踏まえ改訂が必要なものであり、個別製品の医療機器製造販売承認申請内容等に関して拘束力を有するものではないとされていますね...

評価項目は、

基本的事項の評価
非臨床試験の評価
- in vitro (ベンチテスト)
- in vivo (動物試験)
臨床試験の評価

と分けられていますね...

評価項目ごとに次のように言われていますね...

(1) 基本的事項の評価

BCI システムの開発の経緯、臨床的位置づけ、開発品目の仕様、開発品目及び類似品の国内外での使用状況、装置の設計と BCI システムの原理（アルゴリズムを含む）、標準的な使用方法等を明確に示すこと。

(2) 非臨床試験の評価

非臨床試験の目的は、臨床試験実施のための倫理的・科学的に妥当な判断根拠を取得すること、及び許容できないリスクを否定することである。以下の項目を参考に、非臨床ベンチテストや動物試験等を通して、BCI システム全体及び各ユニットの有効性及び安全性の評価を、必要に応じて関連するガイドラインや認証基準等に準じて適切に行うこと。また、予想される BCI システムの使用環境条件下や使用方法において、BCI システムの性能及び安全性が維持されることを検証すること。

(3) 臨床試験の評価

1)人的要因及びユーザビリティ
BCIシステムでは、機器の誤作動や故障によらず、患者が機器を正しく使用できないことに起因するハザード（使用関連ハザード）に留意する必要がある。このためBCIシステムの臨床開発に際しては、可能な限り早期から人的要因（例えば、機器使用の手順を理解することの困難さ、機器使用前の不十分な訓練）に関する知見を得て、ユーザーインターフェースの最適化を図ることが重要である。

2) 臨床試験実施の妥当性説明に際しての先行研究の要約
BCI システムの特性上、模擬信号等の非臨床試験のみで臨床試験実施の妥当性を説明するには限界がある。したがって、臨床試験の実施に際して、開発品のヒト適用蓋然性を説明するために、関連又は類似する BCI システムの先行臨床研究及び臨床試験等の情報を体系的に整理することも重要である。当該情報は、開発品の POC の根拠や安全対策の検討にも重要である。

3)臨床試験
臨床試験計画の策定においては、一般的な臨床試験のガイダンス等を参考にするとともに、以下の点に留意すること。また、個人情報の取扱いについては、個人情報の保護に関する法律その他の関連法令・ガイドラインに基づき、別途適切に対応すること。

BCIシステムの構成は次のように想定されていますね...

①計測ユニット
リード線や電極、アンプ、無線通信、無線給電等のコンポーネントにより構成され、脳信号を計測する装置。主要な部分は体内に植え込まれる。

②解読ユニット
計測ユニットが計測した脳信号から意図を解読するためのソフトウェアと関連するハードウェアを含む、信号処理をおこなう装置。

③制御ユニット
解読ユニットが解読した結果に基づいて制御対象ユニットを制御するための信号を生成する装置。

④制御対象ユニット
制御ユニットから信号を受け、最終的に BCI システムとしての効能、効果をもたらす装置等。

サイバーセキュリティ、リスクマネジメントについては、次にようになっていますね...

(1) 基本的事項の評価

13)サイバーセキュリティ
患者の行動や意思決定を第三者が介入操作するリスクを踏まえた上で、サイバーセキュリティの対策を講ずる。
参考：「医療機器の基本要件基準第 12 条第３項の適用について」（令和５年３月 31 日付け薬生機審発 0331 第８号厚生労働省医薬・生活衛生局医療機器審査管理課長通知）、等

14)リスクマネジメント
装置に限らず、臨床現場における事故等、ワーストケースを想定した場合の対応について検討する必要がある。
参考：JIS T 14971

なお、医療機器におけるサイバーセキュリティについては

● 厚生労働省 - 医療機器におけるサイバーセキュリティについて

基本要件基準第12条第3項

プログラムを用いた医療機器のうち、他の機器及びネットワーク等と接続して使用する医療機器又は外部からの不正アクセス及び攻撃アクセス等が想定される医療機器については、当該医療機器における動作環境及びネットワークの使用環境等を踏まえて適切な要件を特定し、当該医療機器の機能に支障が生じる又は安全性の懸念が生じるサイバーセキュリティに係る危険性を特定及び評価するとともに、当該危険性が低減する管理が行われていなければならない。
また、当該医療機器は、当該医療機器のライフサイクルの全てにおいて、サイバーセキュリティを確保するための計画に基づいて設計及び製造されていなければならない。

・[PDF] 令和５年厚生労働省告示第６７号［162KB］

● e-Gov

・2026.01.16「ブレインコンピュータインターフェースシステムの評価指標（案）」に関するご意見の募集について

・・[PDF] ブレインコンピュータインターフェースシステムの評価指標（案）

これは、国立医薬品食品衛生研究所のBrain Computer Interface 利用機器審査 WGの報告書の一部ですね...

これから、ニューロテクノロジー (neurotechnology)とそれに関する倫理などの問題はこれから重要となってくるのでしょうね...

以下の資料に参考となる文献がありますね...

・2025.06.30 [PDF] 科学技術・学術審議会研究計画・評価分科会ライフサイエンス委員会脳科学作業部会（第９回） - ニューロテクノロジーの倫理に関する動向について（福士珠美（東京通信大学人間福祉学部））

#	機関名称	国・地域	報告書等	公表年	URL
1	Information Commissioner’s Office	英国	Emerging Neurotechnologies: Insight and foresight	2023	●
2	Digital Future Society	スペイン	Humanistic neurotechnology: a new opportunity for Spain	2023	●
3	Nuffield Council on Bioethics	英国	Neurotechnology Literature Review	2024	●
4	National Institute for Health and Care Research	英国	Horizon Scanning Report: Neurotechnology for Mental Health, Healthy Ageing and Physical Disability	2024	●
5	ICFG / IoNX	欧州・米国	Towards Inclusive EU Governance of Neurotechnologies	2024	●
6	Neurorights Foundation	米国	Safeguarding Brain Data: Assessing the Privacy Practices of Consumer Neurotechnology Companies	2024	●
7	Australian Human Rights Commission	オーストラリア	Protecting Cognition: Background Paper on Human Rights and Neurotechnology	2024	●
8	US Senate	米国	Letter to U.S. Federal Trade Commission	2025	?
9	American Medical Association	米国	Resolution 503	2025	●
10	European Brain Council	欧州	European Charter for the Responsible Development of Neurotechnologies	2025	●

2026.01.24 08:17 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in パブコメ, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

Europol FS-ISAC 他金融サービスにおける耐量子暗号移行活動の優先順位付け (2026.01.21)

こんにちは、丸山満彦です。

PQCですが、Europol（欧州刑事警察機構）がFS-ISAC、QRWGCFDIR、QSFFが協力して、金融サービスにおける耐量子暗号移行活動の
優先順位付けについての報告書を公表していますね...

金融機関が耐量子暗号への移行準備を進めるための体系的なリスクベースアプローチを提供するものとのことです...

なんか、金融機関がある意味実験台のようになっているような気もしないわけではないですが...

● Europol

・2026.01.21 Prioritising post-quantum cryptography migration activities in financial services

・[PDF]

・「DOCX][PDF] 仮訳

目次...

EXECUTIVE SUMMARY	エグゼクティブサマリー
CONTRIBUTORS	協力者
ENDORSEMENTS	支持声明
DISCLAIMER	免責事項
QUANTUM-SAFETY PRIORITISATION	量子安全性の優先順位付け
Assessing Risk with a Quantum Risk Score	量子リスクスコアによるリスクアセスメント
Assessing Migration Time	移行時期のアセスメント
Determining Migration Priority	移行優先度の決定
EXAMPLE USE CASES	使用例
Use case 1: Points of Sale	ユースケース1：販売時点情報管理（POS）
Prioritisation analysis	優先順位付け分析
Migration Priority	移行優先度
Use case 2: Public websites	ユースケース2：公開ウェブサイト
Prioritisation analysis	優先順位付け分析
Migration Priority	移行優先度
CRYPTOGRAPHIC ANTIPATTERNS	暗号化アンチパターン
CONCLUSION	結論

EXECUTIVE SUMMARY	エグゼクティブサマリー
As post-quantum cryptography (PQC) becomes integrated into mainstream information technology (IT) products and services, financial services institutions must begin to execute their transition strategies. This document provides actionable guidelines to incorporate quantum safety into existing risk management frameworks by assessing the ‘Migration Priority’ based on the ‘Quantum Risk’ and ‘Migration Time’ of business use cases and highlighting opportunities for immediate execution.	耐量子暗号（PQC）が主流の情報技術（IT）製品やサービスに組み込まれるにつれ、金融機関は移行戦略の実行を開始しなければならない。本資料は、ビジネスユースケースの「量子リスク」と「移行時間」に基づき「移行優先度」を評価し、即時実行の機会を明確化することで、既存のリスクマネジメント枠組みに量子耐性を組み込むための実践的な指針を提供する。
A critical first step is to inventory all business use cases that rely on public key cryptography. This inventory enables the creation of a prioritised transition roadmap by assessing the Quantum Risk of each use case based on three parameters:	重要な第一歩は、公開鍵暗号に依存する全てのビジネスユースケースを洗い出すことだ。この洗い出しにより、以下の3つのパラメータに基づいて各ユースケースの量子リスクを評価し、優先順位付けされた移行ロードマップを作成できる。
▪ Shelf Life of Protected Data: How long the data remains sensitive.	▪ 保護データの有効期限：データが機密性を保つ期間。
▪ Exposure: The extent to which data is accessible to potential attackers.	▪ エクスポージャー：潜在的な攻撃者がデータにアクセスできる範囲。
▪ Severity: The business impact of a potential compromise.	▪ 深刻度：潜在的な侵害が発生した場合のビジネスへの影響度。
When the Quantum Risk is assessed, organisations can prioritise actions based on each use case’s Migration Time, i.e., the complexity and timeline required to achieve Quantum Safety for a use case. As part of this activity, organisations will identify, for instance, actions that can be launched immediately and the use cases that require coordination with long-term asset lifecycles.	量子リスクをアセスメントした組織は、各ユースケースの移行時間（つまり、そのユースケースで量子耐性を達成するために必要な複雑さと所要時間）に基づいて対策を優先順位付けできる。この活動の一環として、組織は例えば、直ちに開始できる対策や、長期的な資産ライフサイクルとの調整が必要なユースケースを特定する。
▪ Solution Availability: Maturity of PQC standards, and their general availability in products and services.	▪ ソリューションの可用性：PQC標準の成熟度、および製品・サービスにおける一般的な利用可能性。
▪ Execution Cost: The effort, cost, and complexity of implementing the quantum-safe solutions within the organisation.	▪ 実行コスト：組織内で量子耐性ソリューションを導入する際の労力、コスト、複雑さ。
▪ External Dependencies: Execution complexity due to coordination required with third parties and their transition roadmaps (standardisation bodies, vendors, peers, regulators, and customers).	▪ 外部依存性：サードパーティ（標準化団体、ベンダー、同業者、規制当局、顧客）との調整やそれらの移行ロードマップが必要となるため、実行が複雑化する要因。
Examples of use cases that financial organisations can begin implementing today include:	金融機関が今日から導入できるユースケースの例には以下が含まれる：
▪ Integration of post-quantum requirements into the long-term roadmap for hardware-intensive use cases aligned with financial asset lifecycles.	▪ 金融資産のライフサイクルに沿ったハードウェア集約型ユースケースの長期ロードマップへの耐量子要件の統合。
▪ Enhancement of confidentiality protection for transactional websites.	▪ 取引用ウェブサイトの機密性保護の強化。
▪ Identification and elimination of cryptographic antipatterns to reduce future technical debt.	▪ 将来の技術的負債を削減するための暗号化アンチパターンの特定と排除。
These are examples of how financial institutions can take timely, structured steps toward an efficient and forward-looking transition to post-quantum cryptography.	これらは機構が、効率的かつ先を見据えた耐量子暗号への移行に向けて、タイムリーかつ体系的な措置を講じられる具体例である。

2026.01.24 00:00 in 情報セキュリティ / サイバーセキュリティ, in ESG/CSR, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.23

防衛省防衛研究所中国安全保障レポート 2026 不均衡なパートナーシップ―中国、ロシア、北朝鮮― (2025.11.20)

こんにちは、丸山満彦です。

中国安全保障レポートを忘れていましたね...2025年も忘れていました(^^;;...

2026の報告書は、中国、ロシア、北朝鮮のそれぞれの目線で、この３国関係を眺めているというのが特徴ですかね...

中国は多様な民族を抱え、沿岸部を中心とする都市部と、農村部の経済格差に加え、これからの人口減少、高齢化社会に向けて内政面でも難しい局面になってくる。また、今回取り上げているロシア、北朝鮮だけでなく、BRICSや多くの発展途上国とのパートナーシップの強化、米国、欧州を含むいわゆる西側諸国との関係など外交もより難しい状況が想定される。

一連の中国の発表をつらつらと眺め返してみると、完璧に計画通りにいっているとは思えないものの、やはり長期的な視野をもちつつ、必要に応じて対応しているという点で、国家運営をすごく真剣にやっていると感じますね...特に、日本の状況と比較すると...

日本は政治家がもう日本を発展させようとすることを諦めているんですかね...実は政治家だけでなく、（自分も含めて）国民全体としてそうなのかもしれない...皆さんも感じているかもしれませんが、政治家の言葉に迫力がないですよね...迫り来るものがない...

物事の一つの見方ですから、内容が正しいかどうかは分かりませんが、ひとつの視点を加えるという意味で、読んでみると良いかもですね...

● 防衛省防衛研究所 - 中国安全保障レポート

・中国安全保障レポート2026　不均衡なパートナーシップ―中国、ロシア、北朝鮮―

日本語版	本文	表紙·奥付
英語版	本文	表紙·奥付
中国語版	本文	表紙·奥付

年度	副題	章	テーマ
2026	不均衡なパートナーシップ―中国、ロシア、北朝鮮―	序	非西側世界に拡大するパートナーシップ
		1	大国間競争下の中国外交 ─2つのストーリーと非対称な中露「戦略的協力」─
		2	ロシアの戦争と国際規範 ─中国、北朝鮮との関係をめぐる懸念─
		3	北朝鮮の対外政策と体制維持 ─大国間における戦略的選択─
		終	中露朝ダイナミズムの可能性
2025	台頭するグローバルサウスと中国	1	グローバル・サウスの糾合を図る中国
		2	中東諸国と中国　米国とは異なる大国として、中東でプレゼンスを高める中国
		3	拡大するアフリカ・中国関係とその課題
2024	中国、ロシア、米国が織りなす新たな戦略環境	1	既存秩序の変革を目指す中国の戦略
		2	ロシア・ウクライナ戦争とプーチン体制の生存戦略
		3	国際秩序の維持に向けた米国の軍事戦略
2023	認知領域とグレーゾーン事態の掌握を目指す中国	1	中国の軍事組織再編と非軍事的手段の強化
		2	活発化する中国の影響力工作
		3	海上で展開される中国のグレーゾーン事態
2022	統合作戦能力の深化を目指す中国人民解放軍	1	中国人民解放軍の統合作戦構想の変遷
		2	改編された中国人民解放軍の統合作戦体制
		3	軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021	新時代における中国の軍事戦略	1	情報化戦争の準備を進める中国
		2	中国のサイバー戦略
		3	中国における宇宙の軍事利用
		4	中国の軍民融合発展戦略
2020	ユーラシアに向かう中国	1	中国のユーラシア外交
		2	中央アジア・ロシアから見た中国の影響力拡大
		3	ユーラシアにおけるエネルギー・アーキテクチャ
2019	アジアの秩序をめぐる戦略とその波紋	1	既存秩序と摩擦を起こす中国の対外戦略
		2	中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
		3	「一帯一路」と南アジア――不透明さを増す中印関係
		4	太平洋島嶼国 ――「一帯一路」の南端
2018	岐路に立つ米中関係	1	中国の対米政策
		2	米国の対中政策
		3	地域における米中関係の争点
2017	変容を続ける中台関係	1	中国の台湾政策の変遷
		2	台湾から見た中台関係
		3	米国にとっての台湾問題
		4	中台関係の変容と「現状維持」
2016	拡大する人民解放軍の活動範囲とその戦略	1	遠海での作戦能力強化を図る中国海軍
		2	空軍の戦略的概念の転換と能力の増大
		3	ミサイル戦力の拡充
		4	統合的な作戦能力の強化
2014	多様化する人民解放軍・人民武装警察部隊の役割	1	中央国家安全委員会創設とその背景
		2	人民武装警察部隊の歴史と将来像
		3	人民解放軍による災害救援活動
		4	軍事外交としての国連平和維持活動
		5	ソマリア沖・アデン湾における海賊対処活動
2013		1	中国の対外危機管理体制
		2	中国の危機管理概念
		3	危機の中の対外対応
2012		1	「党軍」としての性格を堅持する人民解放軍
		2	深化する軍と政府の政策調整
		3	軍と政府が連携を深める安全保証政策
		4	政策調整の制度化を求める人民解放軍
2011		1	海洋に向かう中国
		2	南シナ海で摩擦を起こす中国
		3	外洋に進出する中国海軍
		4	対外園で発言力を増す人民解放軍
創刊号		1	中国の対外姿勢
		2	拡大する活動範囲
		3	役割を増す軍事外交
		4	進む装備の近代化

AIに要約してもらったもの...

2026	不均衡なパートナーシップ―中国、ロシア、北朝鮮―	2026年版は「不均衡なパートナーシップ」を軸に、中露朝関係の深化を単純な同盟化ではなく非対称で選択的な協力関係として分析する。報告はまず中露関係を軍事協力やエネルギー分野での相互補完として評価する一方、経済規模や技術基盤、長期的戦略目標の差異が協力の持続性を制約すると指摘する。ロシアは軍事面での協力を重視するが、経済的依存や技術移転の面で中国に劣後する構図があり、協調は短期的利益に基づく機会的接近に留まる可能性が高いと論じる。北朝鮮については、中国が緩衝地帯としての価値を重視しつつ、核・ミサイル問題が地域の不確実性を高めるため、対北政策は慎重かつ複雑なバランスを要するとの見解を示す。報告はまた、三国協力が第三国での影響力争奪やサプライチェーンの分断、エネルギー供給の脆弱化を通じて地域安定に負の影響を与えるリスクを指摘する。特に情報・サイバー領域での対立、経済制裁の波及、偶発的衝突の可能性が高まる点を強調し、日本や米国を含む周辺諸国は多層的な抑止と外交的柔軟性を備える必要があると結論づける。短期的には戦術的協調が見られるが、長期的には利害の不一致が顕在化しやすく、地域秩序の不安定化を招く恐れがあるという示唆を与える。	本レポートは、ウクライナ侵攻後の国際情勢下で深化する中露、および露朝の協力関係を「不均衡なパートナーシップ」として分析している。中国は、米国主導の秩序に対抗するため、グローバルサウスへの関与を強める一方で、台湾や南シナ海といった自国の核心的利益をめぐる安全保障上の脅威を強調している。中露関係では、インド太平洋地域における米国の同盟戦略に対抗するための軍事協力（共同演習やパトロール）が加速しているが、中国はロシアの欧州における軍事目標への直接関与は避け、自国の戦略的自律性を維持しようとする非対称性が指摘されている。また、ロシアと北朝鮮の急速な接近は、ウクライナ戦争継続のための軍事支援と引き換えに、国連制裁体制を形骸化させる懸念を生んでいる。中国にとって、露朝の接近は北東アジアの安定を損なう不安定要因としても映っており、中露朝三国の足並みは必ずしも一致していない。レポートは、これら三国の相互作用が、国際規範を侵食し、既存の安全保障秩序に多層的な挑戦を突きつけている現状を浮き彫りにしている。
2025	台頭するグローバルサウスと中国	2025年版は中国の対外戦略におけるグローバルサウス重視の深化を詳細に分析する。報告は経済外交を中心に、インフラ投資、資源開発、金融支援を通じた結びつきが強まり、これが国際機関や投票行動における支持獲得へと転化している点を指摘する。中国は経済的優位を外交的影響力に変換することで、米欧中心の秩序に対抗する戦略的空間を拡大しているが、受入国側の債務負担、ガバナンスの脆弱性、透明性欠如といったリスクが顕在化している。安全保障面では、経済的プレゼンスを背景に軍事協力や訓練、装備供与が進む可能性があり、海上航路や資源確保を巡る摩擦が増えることが懸念される。報告はまた、グローバルサウスの多様性を強調し、すべての国が中国の影響力拡大に一様に追随するわけではない点を示す。欧米の対抗戦略や地域内の政治動向が中国の戦略に制約を与える場面も多く、結果として中国は選択的かつ柔軟な協調戦略を採用していると分析する。政策含意としては、受入国のガバナンス強化、透明性基準の導入、代替的投資の提供が重要であり、日本や欧米はグローバルサウスに対する魅力的な選択肢を提示する必要があると結論づける。長期的には、関係深化は中国の国際的地位を高めるが、持続可能性とルール整備の欠如が逆に反発を招くリスクを孕む。	本レポートは、経済的・政治的に存在感を高める「グローバルサウス」諸国と中国の関係を多角的に分析している。中国は自らをグローバルサウスの一員と定義し、欧米主導の国際秩序に不満を持つ途上国を糾合することで、自らが提唱する「人類運命共同体」の実現を目指している。経済面では、対外援助やデジタル技術支援を通じて途上国のガバナンスに影響を与え、権威主義体制の維持を助長する側面も指摘されている。軍事面では、ジブチに続く海外拠点の確保や軍事教育の提供を通じて関与を拡大しており、従来の「内政不干渉」原則と自国の海外利益保護の間の矛盾が顕在化しつつある。特に中東地域では、米国が関与を縮小させる隙を突いて外交・安全保障上のプレゼンスを高めており、サウジアラビアとイランの仲介やホーシー派との独自のパイプ構築などがその象徴である。アフリカにおいても、ロシアを抜いて最大の武器輸出国となるなど、安全保障面での依存関係を深めている。レポートは、グローバルサウスにおける中国の「話語権（発言権）」の拡大が、既存の国際秩序の変容を加速させる可能性を警告している。
2024	中国、ロシア、米国が織りなす新たな戦略環境	2024年版は米中露の三角関係が生む新たな戦略環境の複雑化を中心に論じる。報告は中国の軍事近代化と経済的影響力の拡大、ロシアの地政学的反発と戦略的協調志向、米国の同盟強化と技術覇権維持の努力が相互に作用し、競争と限定的協調が混在する状況を描く。特に先端技術（半導体、AI、量子技術等）とサプライチェーン、サイバー・宇宙領域での競争が激化し、これが軍事戦略や外交政策に直接的な影響を及ぼしている点を強調する。報告は第三国での影響力争奪、地域紛争の拡大、誤算リスクの高まりが新たな不安定要因となることを示し、同盟間の情報共有と抑止力の強化、経済的レジリエンスの向上、国際ルールの再構築が必要であると結論づける。さらに、三国の相互作用は世界秩序の分断と再編を促す可能性があり、長期的には多極化が進む一方で地域的な対立軸が固定化するリスクがあると警告する。日本や欧州は経済安全保障と軍事抑止の両面で戦略的柔軟性を持ちつつ、多国間協力を通じてルール基盤の維持に努めるべきだと示唆する。	本レポートは、米中露の三極関係が国際秩序に与える影響を軸に、中国の戦略を分析している。習近平政権は、冷戦後の米国主導の秩序を明確に拒否し、中国を中心とした「新型国際関係」の構築を推進している。中国にとってロシアは、既存秩序の変革を共有する不可欠なパートナーであり、ウクライナ侵攻後も戦略的連携を維持・強化している。軍事面では、米国の接近阻止・領域拒否（A2/AD）能力を強化するとともに、ロシアとの共同演習を通じて米国の同盟ネットワークに対抗する姿勢を鮮明にしている。特に注目すべきは核戦力の急速な増強であり、これは将来の安全保障秩序における中国の発言力を高め、台湾有事などでの米国の介入を抑止する狙いがある。米国側は、中国を「最も重大な地政学的挑戦」と位置づけ、同盟国との連携や「競争連続体モデル」といった新概念で対抗している。レポートは、今後10年の米中露の相互作用が将来の国際秩序を決定づけると予測し、中露による現状変更の試みが、偶発的な衝突やエスカレーションのリスクを高めている現状を詳細に論じている。
2023	認知領域とグレーゾーン事態の掌握を目指す中国	2023年版は中国の安全保障戦略における認知領域とグレーゾーン戦術の制度化を詳細に分析する。報告は中国が伝統的軍事力に加え、メディア操作、SNSを活用した世論形成、偽情報拡散、民間組織や企業を通じた間接的圧力など多層的手段で認知領域を制圧しようとしている点を強調する。これらの手法は検知・帰属を困難にし、対処側の政策決定を複雑化させる。海上や経済分野でのグレーゾーン戦術は、法的曖昧性や段階的エスカレーションを利用して実効支配を拡大し、相手国の軍事的反応を誘発しにくい形で利益を確保する。報告は認知領域での優位が長期的な政治的影響力に直結するため、国家戦略としての位置づけが強まっていると分析する。対策としては早期警戒と情報共有、社会の回復力強化、メディアリテラシー向上、法的・外交的枠組みの整備が必要であり、同盟国間での協調的対応や民間セクターとの連携が重要であると結論づける。民主主義社会の脆弱性を突く手法が増えるため、総合的な国家レジリエンスの強化が不可欠であるという示唆を与える。	本レポートは、中国が軍事的手段と非軍事的手段を組み合わせた「ハイブリッドな挑戦」をどのように組織化しているかを分析している。習近平による軍改革を経て、党の軍に対する直接的統制が強化され、人民解放軍、海警、海上民兵の「三位一体」の連携が深化している。特に海洋におけるグレーゾーン作戦では、海軍を抑止力として背景に置きつつ、海警や海上民兵が前面に出て現状変更を既成事実化する手法が常態化している。また、サイバー空間やSNSを駆使した「認知領域作戦」が新たな焦点となっており、戦略支援部隊を中心に、フェイクニュースの拡散や世論操作を通じて相手国の意思決定を混乱させる工作が活発化している。台湾に対する影響力工作はその最前線であり、サイバー攻撃と心理戦を組み合わせた多角的な圧力が詳細に記述されている。レポートは、中国が官僚制の縦割りを排し、軍警民の協調メカニズムを発展させることで、武力衝突に至らないレベルでの紛争管理と権益拡大を巧妙に使い分けている実態を明らかにしている。
2022	統合作戦能力の深化を目指す中国人民解放軍	2022年版は人民解放軍（PLA）の統合作戦能力深化を中心に、陸海空に加え宇宙・サイバー・電子戦を統合した複合的作戦体系の構築過程を詳述する。報告は指揮統制の改革、情報融合プラットフォームの整備、合同演習の高度化を挙げ、これにより地域紛争や台湾有事を想定した統合運用能力が向上していると分析する。具体的には統合指揮所の整備、リアルタイム情報共有、長距離精密打撃能力の強化、電子戦・サイバー攻撃の作戦化が進展している点を指摘する。これらは単独領域での優位ではなく、複合領域での相互作用を通じて戦果を最大化することを狙うものであり、従来の防衛概念を変容させる。報告は対抗策として、同盟間の連携強化、ミサイル防衛やサイバー防御の強化、演習と抑止の透明性向上が必要であると結論づける。さらに軍民融合の深化により技術獲得と産業基盤の強化が進み、外部制裁に対する回復力が高まる点も指摘される。結果として地域の安全保障環境はより複雑化し、同盟国は統合的な抑止と危機管理能力を強化する必要がある。	本レポートは、1990年代の湾岸戦争以降、人民解放軍が追求してきた「統合作戦能力」の発展過程と現状を総括している。習近平体制下で断行された建国以来最大規模の軍改革により、従来の「軍区」から「戦区」へと移行し、陸海空・ロケット軍・戦略支援部隊を一体的に運用する指揮体制が整備された。レポートは、①作戦構想の変遷、②組織機構の改編、③訓練・人材育成、④党軍関係の4つの観点から分析を行っている。特に、宇宙・サイバー・電磁波といった「新型安全保障領域」と、AIを活用した「智能化戦争」へのシフトが強調されている。一方で、戦区と軍種の権限調整や、長年続く「陸軍主導」の組織文化の打破、高度な科学技術人材の確保といった課題も依然として残されている。また、統合作戦の効率化を追求しつつも、党による絶対的指導（中央軍事委員会主席責任制）を維持・強化するという、軍事的合理性と政治的統制の両立に腐心する人民解放軍の特異な姿が浮き彫りにされている。2027年の「建軍100年」に向けた近代化の進捗を測る上で、極めて重要な分析を提供している。
2021	中国の「一帯一路」と安全保障	2021年版は「新時代における中国の軍事戦略」を掲げ、習近平体制下での戦略的方向性と軍の近代化の深化を体系的に示す。報告はまず「情報化・智能化」を中核に据え、AI、ビッグデータ、ネットワーク化された指揮統制を通じて意思決定の迅速化と戦闘効率の向上を図る点を強調する。遠隔精密打撃能力や長距離投射力の整備、海空優勢の確保、対艦・対地ミサイル網の強化が進み、台湾周辺や南シナ海での抑止・圧力手段が多層化している。組織面では軍の編制改革、戦区司令部の機能強化、兵站・補給の近代化が進展し、合同運用能力の向上が明確に示される。軍民融合政策の深化により民間ハイテク産業と軍需の連携が強まり、技術獲得の速度と自立性が高まる一方、外部からの技術封鎖に対する代替供給網や国内産業育成が加速している。報告はまた、非対称戦力（サイバー、電子戦、宇宙能力）を用いた局地的優位の追求が顕著であり、従来の大規模正面戦闘だけでなく、複合領域での短期決着を志向する戦略転換を指摘する。政策含意としては、同盟間の情報共有強化、先端技術分野での協調的防衛、サイバー・宇宙防御の強化、地域での危機管理メカニズム整備が不可欠であると結論づける。総じて本号は中国が戦略的持久力と技術的自立を同時に追求し、地域の軍事バランスと危機ダイナミクスを変容させつつあることを示している。	本レポートは、習近平政権が掲げる「中華民族の偉大な復興」という目標に向けた安全保障政策の全体像を分析している。中国は、自国の発展を阻害する外部要因を排除するため、軍事力の近代化を加速させるとともに、経済・技術・安全保障を一体不可分と捉える「総合国家安全保障観」を推進している。特に「軍民融合」戦略を通じて、民間の先端技術を軍事転用し、米国に対する技術的優位の確保を目指している。海洋戦略では、第一列島線内での優位性を確立し、第二列島線への進出を視野に入れた海軍力の拡充が論じられている。また、一帯一路を通じた海外拠点の確保や、国際規範の再定義に向けた外交攻勢も重要な柱として位置づけられている。レポートは、中国が既存の国際秩序の「受益者」から「変革者」へと明確に転換したことを指摘し、その強力な国家意志が周辺諸国や米国との摩擦を構造的に生み出している現状を詳述している。さらに、国内の安定維持（維穏）と対外的な強硬姿勢が表裏一体となっている政治構造についても深い洞察を加えている。
2020	中国の海洋進出と国際秩序	2020年版は「ユーラシアに向かう中国」をテーマに、Belt and Road Initiativeを軸とした対外経済戦略とそれに伴う安全保障的含意を詳細に分析する。報告は中国が中央アジア、ロシア、欧州へと経済的影響力を拡大する過程で、インフラ投資、資源開発、金融支援を通じて政治的結びつきを強化している点を強調する。これにより中国は地政学的選択肢を拡大し、陸上ルートを含む多様な輸送・供給経路を確保する一方、受入国の債務負担、ガバナンス脆弱性、現地の反発といったリスクが顕在化する。軍事的側面では、海外拠点の模索、海上航路保護能力の強化、平和維持活動や合同演習への参加増加が観察され、これらは中国のプレゼンス拡大を支えるが、補給・維持能力の制約や国際的反発を招く可能性がある。報告はまた、経済的浸透が安全保障政策と結びつくことで、第三国での影響力争奪や地域的緊張の新たな火種を生む点を指摘する。政策含意としては、受入国のガバナンス強化支援、透明性の確保、代替的投資の提供、国際的ルールの強化が重要であり、同時に海上監視・情報共有や多国間協力を通じた秩序維持が求められる。総括すると本号は中国のユーラシア展開が外交的選択肢を拡大する一方で、持続可能性と地政学的リスクを伴う複雑な戦略であることを示している。	本レポートは、中国の戦略的関心がユーラシア大陸全体へと拡大している現状を「一帯一路」構想を軸に分析している。中国は、陸のシルクロード（経済帯）と海のシルクロードを組み合わせることで、エネルギー資源の確保、過剰生産能力の解消、そして米国の海上封鎖を回避する戦略的縦深性の確保を狙っている。中央アジア、中東、欧州に至る広大な地域でのインフラ投資は、経済的影響力のみならず、安全保障上のプレゼンス拡大をもたらしている。特に、上海協力機構（SCO）を通じたテロ対策協力や、ロシアとの戦略的連携がユーラシアの安定と秩序形成において重要な役割を果たしている。しかし、中国の進出は現地の債務問題や主権侵害への懸念、さらにはロシアの勢力圏との摩擦といった課題も露呈させている。レポートは、中国がユーラシアを「自国の裏庭」として再定義しようとする試みが、既存の地域秩序や米国の利益とどのように衝突しているかを詳細に論じ、地政学的なパワーバランスの劇的な変化を警告している。
2019	アジアの秩序をめぐる戦略とその波紋	2019年版は「アジアの秩序をめぐる戦略とその波紋」を扱い、中国の地域戦略が既存の地域秩序に与える影響を多面的に検討する。報告は経済的影響力の拡大、海洋権益の主張、軍事プレゼンスの強化が相互に作用し、周辺国の安全保障政策や同盟関係に構造的変化をもたらしている点を強調する。南シナ海や東シナ海における人工島建設、海洋執法力の強化、漁業・資源管理を巡る実効支配の拡大は、法的・実務的な摩擦を生み、偶発的衝突のリスクを高める。経済面では貿易・投資を通じた影響力行使が政治的圧力に転化する事例が増え、経済依存が安全保障上の脆弱性となる可能性を示す。報告は透明性の欠如、ルールの恣意的運用、危機管理メカニズムの未整備が誤算を誘発しやすいと指摘し、地域安定のためにはルールに基づく秩序の強化、監視・情報共有の拡充、紛争予防メカニズムの整備が不可欠であると結論づける。政策含意としては、海洋における実効的監視能力の強化、法的枠組みの整備、経済的レジリエンスの構築、地域対話の促進が重要である。総じて本号は中国の行動が地域秩序の再編を促し、長期的な安定には多国間のルール強化と透明性向上が必要であることを示している。	本レポートは、中国がアジアにおいて米国主導の同盟システムに代わる新たな安全保障枠組みを構築しようとする戦略を分析している。習近平が提唱した「アジアの安全はアジア人が守る」という概念は、米国の関与を排除し、中国を中心とした地域秩序への移行を意図したものである。海洋進出においては、南シナ海の軍事拠点化を既成事実化し、周辺国に対して経済的利益と引き換えに現状を受け入れさせる「アメとムチ」の外交を展開している。また、デジタル・シルクロードを通じて、アジア諸国の通信インフラを掌握し、情報面での優位性を確立しようとする動きも注目されている。レポートは、中国のこうした行動が、ASEAN諸国の分断を招き、日米豪印（QUAD）などの新たな連携を誘発している現状を指摘している。中国が掲げる「人類運命共同体」が、実際には中国の覇権的利益を正当化するイデオロギーとして機能している実態を暴き、アジアの安全保障環境が「協調」から「競争」へと決定的に変質したことを論じている。
2018	岐路に立つ米中関係	2018年版は「岐路に立つ米中関係」を主題に、経済摩擦と安全保障競争が相互に影響し合う新たな大国関係のダイナミクスを分析する。報告は米中間の貿易摩擦、技術覇権争い、サプライチェーン再編が中国の経済・産業政策に直接的な影響を与え、技術獲得の自立化や国内産業育成を促進している点を指摘する。安全保障面では、米国の同盟強化やインド太平洋戦略の展開に対抗する形で中国が軍事近代化を加速し、海洋・空域でのプレゼンス強化、サイバー・宇宙領域での能力向上を図っている。報告は経済的手段と軍事的手段の連動が強まり、競争が長期化する可能性を示唆する一方で、気候変動や核拡散対策など協調の余地が残る分野もあると論じる。政策含意としては、技術分野での協力と競争の境界を明確にしつつ、サプライチェーンの多元化、重要技術の保護、同盟間の経済安全保障協調を強化する必要があると結論づける。総括すると本号は米中関係の構造的変化が世界経済と安全保障の両面で広範な影響を及ぼし、各国は経済的レジリエンスと戦略的柔軟性を同時に高める必要があることを示している。	本レポートは、トランプ政権の発足に伴い、米中関係が「関与」から「競争」へと構造的に変化した転換点を分析している。米国が中国を「戦略的競争相手」と明確に規定したのに対し、中国は「新型大国関係」を掲げて対等な地位を要求しつつ、自国の核心的利益については一切の妥協を排する姿勢を強めている。軍事面では、中国の核戦力やミサイル能力の向上が、米国の西太平洋における軍事的優位を揺るがし始めている現状が詳述されている。また、経済・技術分野での競争が安全保障上の死活的問題として浮上し、ハイテク技術の流出防止や通商摩擦が激化している。レポートは、米中両国が「トゥキディデスの罠」を回避しようとしつつも、南シナ海や台湾海峡といった火種を抱え、偶発的な衝突のリスクが高まっていることを警告している。米中関係の変質が、単なる二国間問題にとどまらず、グローバルな秩序や規範のあり方をめぐる「体制間の競争」へと発展している現状を鋭く分析している。
2017	変容を続ける中台関係	2017年版は中台関係の構造的変化を多面的に分析し、政治・経済・軍事・情報の四領域が相互に作用して関係性を再編している点を強調する。政治面では北京が「統一」目標を堅持しつつ、経済的誘因（投資・貿易・人的交流）を通じて台湾側の影響力を強化する戦術を採用している。経済依存は短期的には安定をもたらすが、長期的には政治的圧力の手段となり得る。軍事面では周辺海域での訓練や示威行動、空海のプレゼンス強化が顕著で、灰色地帯戦術（段階的圧力、法的曖昧性の利用）を通じて相手の反応を抑制しつつ実効支配を拡大する傾向がある。情報・認知領域ではメディア操作や世論誘導、経済的手段と連動した「統一戦線」的アプローチが用いられ、台湾の国際的空間を狭める効果を生む。報告は誤算や偶発的衝突のリスクを強調し、危機管理メカニズムの整備、台湾の防衛力強化、国際社会における支持基盤の確保、情報共有の深化が必要と結論づける。政策含意としては、短期的抑止と長期的なレジリエンス構築の両面を並行して進めること、経済的結びつきの脆弱性を緩和するための多角的経済関係の構築が重要であると示唆する。	本レポートは、台湾の蔡英文政権発足後の中台関係の緊張と、中国による対台湾圧力の多角化を分析している。中国は「一つの中国」原則を認めない蔡政権に対し、外交的孤立化、経済的制裁、そして軍事的威嚇を組み合わせた圧力を強化している。特に、空母「遼寧」による台湾周回航行や戦闘機による防空識別圏（ADIZ）への進入など、軍事活動の質的・量的拡大が顕著である。また、台湾国内の世論を分断するための「三戦（世論戦・心理戦・法律戦）」やサイバー攻撃が、非伝統的な脅威として浮上している。レポートは、中国が台湾問題を「中華民族の復興」に不可欠な要素と位置づけ、武力行使の選択肢を排除せずに近代化を進めている現状を詳述している。さらに、米国の台湾関与のあり方が中台バランスに与える影響や、台湾の「新南向政策」による対抗策についても論じている。中台関係の変容が、東アジア全体の安全保障バランスを揺るがす最大の不安定要因となっている実態を浮き彫りにしている。
2016	拡大する人民解放軍の活動範囲とその戦略	2016年版は人民解放軍（PLA）の任務範囲が従来の地域防衛から遠洋展開や国際的任務へと拡大している点を体系的に整理する。報告は海軍・空軍の近代化、長距離作戦能力の向上、ミサイル・サイバー能力の強化を挙げ、これらがPLAの戦略的志向を「領域内防衛」から「戦力投射とプレゼンス維持」へと変容させていると分析する。具体的には艦隊の遠洋展開、海外補給・拠点の模索、平和維持活動や国際演習への参加増加が観察されるが、同時に補給・維持能力、海外法的地位、受入国の政治的反発といった制約が存在する。海洋執法機関との連携強化や法制度整備は、海上での実効支配を正当化・持続化する手段として機能しており、これが南シナ海等での緊張を助長する要因となる。報告は周辺国に対して監視・情報共有、法的対応、外交的対話の強化を提言し、PLAの遠洋化は短期的な戦術的成功をもたらす一方で長期的には補給線の脆弱性や国際的反発を招き得ると結論づける。政策的には多国間協力による海上秩序の維持と、受入国支援の質的向上が重要であると示唆する。	本レポートは、人民解放軍が「近海防御」から「遠海防衛」へと戦略を拡大し、活動範囲をグローバルに広げている現状を分析している。中国は、自国の経済利益が世界中に広がる中で、それらを保護するための軍事力投射能力の確保を急いでいる。ジブチでの初の海外補給拠点の建設や、インド洋への潜水艦派遣、さらには地中海でのロシアとの共同演習などは、その象徴的な動きである。また、宇宙・サイバーといった新たなドメインでの能力構築が、伝統的な陸海空の作戦と統合され、米国の介入を阻止する能力を高めている。レポートは、中国の軍事活動の拡大が、単なる技術的な進歩ではなく、国家戦略に基づいた計画的なものであることを指摘している。周辺諸国との領土問題においても、軍事力を背景にした強硬な姿勢が常態化しており、国際法よりも自国の主張を優先させる「力による秩序」の構築を志向している実態を詳述している。人民解放軍が「地域軍」から「世界軍」へと変貌を遂げようとする過渡期の姿を捉えている。
2014	多様化する人民解放軍・人民武装警察部隊の役割	2014年版はPLAと人民武装警察（PAP）の任務分化と機能多様化を詳細に分析する。報告は国内治安維持、海洋執行、災害対応、テロ対策、海外任務といった非伝統的任務への関与が増加している点を指摘する。PAPの法執行能力強化は国内統制の手段として機能し、社会安定維持に寄与する一方で、軍と準軍事組織の境界が曖昧化することで国内外の懸念を招く可能性がある。海洋執行力の強化は海洋権益保護の実効性を高めるが、同時に周辺国との摩擦を生む。報告は組織間の調整、法的枠組みの整備、民間機関との連携、透明性向上が重要課題であると論じる。さらに、非伝統的任務への対応は国家総力を挙げた「全域安全」アプローチの一環であり、軍民融合や地方政府との協働が進展している点を強調する。政策含意としては、国際社会は中国の内政的安全政策と外向き行動を区別して評価する必要があり、地域安定のためにはルールに基づく協力枠組みと透明性の確保が不可欠であると結論づける。	本レポートは、中国の武装力量（人民解放軍、人民武装警察部隊、民兵）が、伝統的な国土防衛を超えて、いかに多様な任務を担うようになっているかを分析している。特に、国内の安定維持（維穏）を担う武警の役割拡大と、軍との連携強化が注目されている。テロ対策や大規模災害への対応、さらには海洋権益の保護といった「非戦争軍事行動（MOOTW）」が、軍の重要な任務として位置づけられるようになった。海洋においては、海警局の発足に伴う法執行機関の統合が進む一方で、軍がその後方支援や抑止力として機能する体制が整備されている。レポートは、これらの多様化する役割が、中国の総合的な国力投射能力を高める一方で、指揮系統の複雑化や軍民の境界の曖昧化といった課題を生んでいることも指摘している。習近平体制初期における軍改革の胎動と、党による軍への統制強化の動きが、多様な任務遂行を通じてどのように具体化されているかを詳細に論じている。
2013		2013年版は中国の軍近代化プロセスとそれに伴う組織改革、危機管理能力の向上を中心に整理している。報告は中央指導部による統制強化と軍の専門性向上が同時に進行している点を指摘し、海上執法や領有権主張に関する法制度整備が外交・軍事の連携を強める役割を果たしていると分析する。技術導入（情報化、精密兵器、指揮統制システム）と訓練の高度化は戦力投射能力を向上させるが、危機管理メカニズムの不備や透明性の欠如は誤算リスクを増大させる。報告は偶発的衝突を回避するための通信チャネル、ルール整備、演習の透明化の必要性を強調し、地域安定のための対話と信頼醸成の枠組み構築を提言する。さらに、軍の近代化は国内政治的正統性や国防産業の発展と結びついており、外部からの技術封鎖や制裁に対する自立化の動きが見られる点も指摘される。結論として、軍事能力の向上は地域の戦略的均衡に影響を与えるため、同盟国は抑止と危機管理の両面で対応を強化すべきであると示唆する。	本レポートは、習近平体制の発足直後における中国の安全保障政策の継続性と変化を分析している。特に、海洋強国の建設を国家目標に掲げ、東シナ海や南シナ海での活動を一段と活発化させている現状が焦点となっている。尖閣諸島周辺での領海侵入の常態化や、南シナ海における「三沙市」の設立など、行政・法執行・軍事を組み合わせた権益主張の手法が詳述されている。また、軍の近代化においては、空母「遼寧」の就役やステルス戦闘機J-20の開発など、象徴的な装備の進展が、国民のナショナリズムを刺激し、政権の支持基盤を強化する役割を果たしている側面も指摘されている。レポートは、中国が「平和発展」を唱えつつも、核心的利益については一切の譲歩をしない「底線（ボトムライン）思考」を強めていることを分析し、周辺諸国との摩擦が構造的に避けられない段階に入ったことを警告している。新指導部による対外強硬姿勢の背景にある国内政治の力学についても深い洞察を加えている。
2012		2012年版は、党と軍の関係の再定義と人民解放軍（PLA）の任務多様化を中心に据え、国内政治と軍事戦略の相互作用が安全保障政策に与える影響を詳細に分析している。報告はまず、党の指導力強化が軍の役割と運用に直接的影響を及ぼしている点を指摘し、軍の政治的忠誠と専門性の両立が政策課題であると論じる。任務面では従来の領土防衛に加え、海洋権益保護、テロ対策、災害対応、海外派遣など非伝統的任務が顕著に増加しており、これが装備近代化や戦力投射能力の向上を促している。海洋進出の加速は周辺国との摩擦を生み、法的・外交的摩擦の増大や偶発的衝突のリスクを高めるため、透明性の欠如が誤解を招く要因として繰り返し指摘される。報告はまた、情報公開や危機管理メカニズムの整備、国際協力の強化が不可欠であると結論づけ、周辺国との対話チャネル維持や多国間ルール形成の重要性を強調する。経済成長に伴う軍事予算の増加は技術導入を加速させるが、同時に国際的責任と期待も増大しており、中国の軍事的台頭が地域の戦略的均衡に与える長期的影響を慎重に評価する必要があると示唆している。	本レポートは、胡錦濤体制末期における中国の安全保障政策の総括と、次期指導部への課題を分析している。中国は、経済成長を背景に軍事費を二桁増で拡大し続け、米国の接近阻止・領域拒否（A2/AD）に対抗し得る能力を着実に構築してきた。特に、対艦弾道ミサイル（ASBM）の開発や、サイバー攻撃能力の向上は、米軍の作戦自由を脅かす新たな要因として浮上している。海洋戦略では、南シナ海を「核心的利益」と位置づける発言が相次ぎ、周辺国との緊張が激化している。レポートは、中国の意思決定プロセスにおける軍の影響力拡大や、ネット世論が外交政策に与える圧力についても注目している。また、軍事外交を通じて途上国との関係を深め、自国に有利な国際環境を醸成しようとする動きも論じられている。中国が「大国としての責任」を強調しつつも、実際には自国の権益拡大を最優先させる二面性を持っている実態を浮き彫りにし、将来の不透明感に対する懸念を表明している。
2011		2011年版は、中国の安全保障姿勢がより積極的かつ外向きになりつつある初期兆候を整理し、特に海洋戦略の模索と海軍力強化を主要テーマとして扱っている。報告は海軍の近代化、海洋法執行能力の向上、海上資源確保の動きが顕著であり、これらが周辺国との摩擦を増加させる可能性を示す。技術面では情報化や精密兵器の導入、指揮統制システムの改善が進行しており、訓練の高度化と合わせて戦力投射能力の底上げが見られる。国内的には軍近代化が政治的正統性や国防産業の発展と結びつき、軍事力の増強が国家戦略の一部として位置づけられている。報告は一方で、戦略的透明性の欠如が誤算リスクを高める点を強調し、偶発的衝突を回避するための通信チャネルや危機管理メカニズムの整備、地域的信頼醸成措置の必要性を提言する。国際社会に対しては、中国の台頭を長期的視点で評価しつつ、ルールに基づく協調と情報共有を通じた安定化努力が求められると結論づけている。	本レポートは、中国の軍事力近代化が周辺地域の安全保障バランスに与える影響を詳細に分析している。特に、海軍力と空軍力の質的向上が、第一列島線内における中国の優位性を高めている現状が焦点となっている。中国は、伝統的な陸軍主導の体制から、海空軍および第二砲兵（現ロケット軍）を重視する体制へと移行し、長距離打撃能力や精密誘導兵器の配備を進めている。海洋においては、南シナ海での「U字線（九段線）」に基づく主張を強め、米軍の活動に対する監視や妨害を活発化させている。レポートは、中国の軍事的な透明性の欠如が、周辺諸国の不信感を招き、軍拡競争を誘発するリスクを指摘している。また、宇宙開発や情報戦能力の向上が、現代戦の様相を根本から変えようとしている中国の意図を分析している。中国が「平和的な台頭」を標榜しながらも、その実態は軍事力を背景にした現状変更への志向を強めていることを、豊富なデータと共に論じている。
2010	創刊号	創刊号である2010年版は、中国の総合的安全保障態勢を俯瞰的に整理し、人民解放軍の近代化、党と軍の関係、外交・経済政策との連関を包括的に検討している。報告は海洋権益の重要性の高まり、技術獲得の優先度、海外展開の萌芽、非伝統的安全課題（テロ対策、災害対応等）への対応を将来の注目点として列挙する。軍の任務拡大と制度改革の方向性が示され、軍民融合や法制度整備の必要性が強調される一方で、透明性の欠如が地域の誤解や緊張を助長するリスクが指摘される。報告は中国の台頭が地域・国際秩序に与える影響を長期的視点で評価するための分析枠組みを提供し、情報共有、危機管理メカニズムの構築、地域協力の強化を政策的優先事項として提言する。総括すると創刊号は、外向きの軍事・外交戦略が本格化する前夜における基礎的観察を提示し、今後の動向を見通すための基盤を整えた文書である。	防衛研究所による初の包括的な中国安全保障分析である本レポートは、21世紀初頭の中国の軍事力近代化の背景と意図を解明している。中国は、1990年代の湾岸戦争やコソボ紛争での米軍の圧倒的な技術力を目の当たりにし、軍の「情報化」を最優先課題に据えた。レポートは、①軍事力の近代化、②活動範囲の拡大、③軍事外交の3つの柱で構成されている。近代化の目的は、台湾問題への対処を主眼としつつ、エネルギー資源の海上交通路（シーレーン）の確保へと拡大している。活動範囲は、近海から西太平洋、インド洋へと広がり、海軍の遠洋航海や共同演習が頻繁に行われるようになっている。軍事外交では、平和維持活動（PKO）への積極参加や、他国との防衛交流を通じて、「中国脅威論」を払拭しつつ、自国の戦略的影響力を高める手法が分析されている。創刊号は、中国がもはや地域的な存在にとどまらず、グローバルな安全保障に影響を与える「大国」として台頭したことを宣言し、その動向を継続的に監視する必要性を説いている。

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.25 防衛省防衛研究所中国安全保障レポート2024 －中国、ロシア、米国が織りなす新たな戦略環境－

・2022.11.28 防衛省防衛研究所中国安全保障レポート2023　― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

・2021.11.28 防衛省防衛研究所中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省防衛研究所「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

2026.01.23 00:00 in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.22

世界経済フォーラム (WEF) The Global Risks Report 2026 21st Edition グローバルリスク報告書2026 (2026.01.14)

こんにちは、丸山満彦です。

今年もグローバルリスク報告書が、ダボス会議にあわせて公表されていますね。。。

ちなみに、この調査は2025年8月12日から9月22日に実施されているので、その後の大きな事案についての影響は反映されていないかもしれませんね。。。

2026年版の特徴は、地経学的リスクがトップとなったことですかね。経済手段が戦略的武器化されているということなのだろうと思います。これは、経済大国がその経済的な力を利用した外交あるいは安全保障のための行動をとっているということですかね...トップ10には経済的リスクは入っていませんが、経済的なリスクが上昇していますね...

そして、AIやサイバーといった技術要素も引き続き高いリスクとなっていますね...AIについては、AI単体のリスクというよりもAIの利用が派生的に招くリスクというのに注目が集まっていますね...

ちなみに現在のリスクでいうと...

長期的なリスクと比較すると...

影響を考えてどの分野のリスクの解決を優先すべきかを考える際に参考になりますかね...

● World Economic Forum

・2026.01.14 Global Risks Report 2026

・[PDF] Global Risks Report 2026

・Global Risks Report 2026

Preface	序文
Overview of methodology	方法論の概要
Global Risks 2025: A world of growing divisions	グローバルリスク2025：分断が深まる世界
Global Risks 2035: The point of no return	グローバルリスク2035：後戻りできない地点
Appendix: A	附属書A
Appendix: B	附属書B
Appendix: C	附属書C
Appendix: D	附属書D
Partner Institutes	協力機関
Acknowledgements	謝辞

過去分...

21	2025	2026.01.14	Web	PDF	Home
20	2025	2025.01.15	Web	PDF	Home
19	2024	2024.01.11	Web	PDF	Home
18	2023	2023.01.11	Web	PDF	Home
17	2022	2022.01.11	Web	PDF	Press
16	2021	2021.01.19	Web	PDF	Press
15	2020	2020.01.15	Web	PDF	Press
14	2019	2019.01.15	Web	PDF	Press
13	2018	2018.01.17	Web	PDF	Press
12	2017	2017.01.11	Web	PDF	Press
11	2016	2016.01.14	Web	PDF	Press
10	2015	2015.01.09	Web	PDF	Press
9	2014	2014.01.12	Web	PDF	Press
8	2013	2012.10.30	Web	PDF	Press
7	2012	2012.01.05	Web	PDF	Press
6	2011	2011.09.27	Web	PDF	Press
5	2010	2010.01.04	Web	PDF	Press
4	2009			PDF
3	2008			PDF
2	2007			PDF
1	2006			PDF

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.17 世界経済フォーラム (WEF) The Global Risks Report 2025 20th Edition グローバルリスク報告書2025

・2024.01.12 世界経済フォーラム (WEF) The Global Risks Report 2024 19th Edition グローバルリスク報告書2024

・2023.01.12 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

2026.01.22 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in ESG/CSR, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.21

米国 NSA 国防・情報機関向け？ゼロトラスト導入ガイド (2026.01.14)

こんにちは、丸山満彦です。

国家安全保障局（NSA）がゼロトラスト導入のための導入ガイドラインを２つ、入門編と発見フェーズ編の２つを公表していますね...これから、フェーズ１、２と作成され、フェーズ３、４も作られるかも？ということのようです。

現行の ZIG は、入門書と 3 つの ZT 導入ガイドライン（発見、フェーズ 1、フェーズ 2）で構成され、熟練した実務者が ZT 目標レベル能力（42）と目標レベル活動（91）を採用・統合するのを支援するよう設計されている。フェーズ3およびフェーズ4向けのZIGは後日開発される可能性がある。これらのガイドラインは、DoW ZTフレームワークのピラー、能力、活動、ならびにNIST SP 800-207に準拠したモジュール構造を提供し、実装の指針となる。ZIGの段階的導入アプローチは以下の通りである：

発見フェーズのZIGは、13の能力を支える14の活動をカバーする。発見フェーズZIG内の活動の目的は、データ、アプリケーション、資産、サービス（DAAS）、ユーザー／PE／非人物事業体（NPE）など、コンポーネント環境に関する情報を収集することである。
フェーズ1 ZIGは30の能力を支える36の活動をカバーする。フェーズ1の活動は、ZT能力を支える安全な基盤を確立するため、コンポーネント環境を構築またはさらに精緻化する。
フェーズ2のZIGは、34の能力を支える41の活動を扱う。フェーズ2の活動は、コンポーネント環境内で異なるZT基本ソリューションを統合する始まりを示す。

フェーズ3およびフェーズ4のZIGは上級レベルを対象としており、後日開発される可能性がある。

ZIGはゼロトラスト導入ガイドのことです...

● NSA

・2026.01.14 NSA Releases First in Series of Zero Trust Implementation Guidelines

NSA Releases First in Series of Zero Trust Implementation　Guidelines	NSA、ゼロトラスト導入ガイドラインシリーズ第1弾を公開
FORT MEADE, Md. - The National Security Agency (NSA) is releasing the first two products in a series of Zero Trust Implementation Guidelines (ZIGs) to provide practical, actionable recommendations to facilitate the implementation of Zero Trust (ZT).	メリーランド州フォートミード - 国家安全保障局（NSA）は、ゼロトラスト（ZT）導入を促進するための実践的かつ実行可能な提言を提供する「ゼロトラスト導入ガイドライン（ZIG）」シリーズの最初の2製品を公開した。
This series of reports outlines the steps to implement the technologies and processes that support achieving the Target-level ZT Capabilities, Activities, and Expected Outcomes described in the Department of War (DoW) CIO ZT Framework.	本報告書シリーズは、国防総省（DoW）CIOゼロトラストフレームワークで定義された目標レベルのZT能力、活動、期待される成果を達成するための技術とプロセス導入手順を概説する。
Releasing today, the Primer and Discovery Phase are the gateway to ZT implementation, providing guidance and direction to ensure organizations are fully equipped to digest and implement the Phase 1 and Phase 2 ZIGs upon their release.	本日公開される「入門編」と「発見フェーズ」はZT導入の入り口であり、組織がフェーズ1・フェーズ2のZIG公開時にそれらを消化・導入する準備を整えるための指針を提供する。
The Primer outlines the strategy and principles used to develop the ZIGs and provides a holistic approach to maximizing the usage of the series. Notably, the ZIGs are designed to be modular, allowing organizations at different levels of ZT maturity to select and implement the capabilities most relevant to the needs of their environment.	入門編では、ZT実施ガイド（ZIG）策定に用いた戦略と原則を概説し、本シリーズを最大限活用するための包括的アプローチを提供する。特にZIGはモジュール式に設計されており、ZT成熟度の異なる組織が、自組織の環境ニーズに最も関連性の高い機能を選択・実装できるようにしている。
The Discovery Phase is intended to help organizations establish foundational visibility and understand the critical data, applications, assets, and services, as well as access and authorization activity existing within the architecture. The goal of this initial phase is to enable informed prioritization and planning by creating a reliable baseline that supports effective ZT implementation.	発見フェーズは、組織が基盤となる可視性を確立し、アーキテクチャ内に存在する重要なデータ、アプリケーション、資産、サービス、ならびにアクセスおよび認可活動を理解することを支援することを目的としている。この初期フェーズの目標は、効果的なZT実装を支える信頼性の高いベースラインを構築することで、情報に基づいた優先順位付けと計画立案を可能にすることである。
System owners, cybersecurity professionals, and stakeholders should review these foundational guidelines to gain a deeper understanding of ZT activities and their organization’s operational landscape in preparation for the release of the Phase 1 and Phase 2 ZIGs.	システム所有者、サイバーセキュリティ専門家、および関係者は、フェーズ1およびフェーズ2のZIG公開に備え、これらの基礎ガイドラインを確認し、ZT活動と自組織の運用環境に対する深い理解を得るべきである。
Read the full products below:	以下の製品全文を参照のこと：
・Zero Trust Implementation Guideline Primer	・ゼロトラスト導入ガイドライン入門
・Zero Trust Implementation Guideline Discovery Phase	・ゼロトラスト導入ガイドライン発見フェーズ
Visit our full library for more cybersecurity information and technical guidance.	より多くのサイバーセキュリティ情報と技術的ガイダンスについては、当社のライブラリ全体を参照のこと。

入門編

・[PDF]

・[DOCX][PDF] 仮訳

Executive Summary	エグゼクティブサマリー
Contents	目次
Background	背景
Adopt a Zero Trust Mindset	ゼロトラストの考え方を採用せよ
Zero Trust Design Concepts	ゼロトラスト設計の概念
Primer and ZIG Purpose	入門書とZIGの目的
Target Audience	対象読者
Scope	適用範囲
Assumptions	前提条件
Further Information (Authoritative References)	詳細情報（権威ある参考文献）
ZIG Design Methodology	ZIG設計方法論
ZIG Structure	ZIGの構成
Pillars	ピラー
Capabilities	能力
Activities	活動
Conclusion	結論
Appendix A: Terms and Definitions	附属書 A: 用語と定義
Appendix B: Abbreviations and Acronyms	附属書 B: 略語と頭字語
Appendix C: References	附属書 C：参考文献
Appendix D: Activity Implementation Task Diagrams (All Phases)	附属書 D: 活動実装タスク図（全フェーズ）
Activity 1.1.1 Inventory User	活動 1.1.1 インベントリ利用者
Activity 1.2.1 Implement Application-Based Permissions per Enterprise	活動 1.2.1 エンタープライズごとにアプリケーションベースの権限を実装する
Activity 1.2.2 Rule-Based Dynamic Access Part 1	活動 1.2.2 ルールベースの動的アクセス第1部
Activity 1.3.1 Organizational Multi-Factor Authentication (MFA) and Identity Provider (IdP)	活動 1.3.1 組織的な多要素認証（MFA）とアイデンティティプロバイダ（IdP）
Activity 1.4.1 Implement System and Migrate Privileged Users Part 1	活動 1.4.1 システムの導入と特権ユーザーの移行第1部
Activity 1.4.2 Implement System and Migrate Privileged Users Part 2	活動 1.4.2 システム実装と特権ユーザー移行第2部
Activity 1.5.1 Organizational Identity Lifecycle Management (ILM)	活動 1.5.1 組織のアイデンティティ・ライフサイクル管理（ILM）
Activity 1.5.2 Enterprise Identity Lifecycle Management (ILM) Part 1	活動 1.5.2 エンタープライズIDライフサイクル管理（ILM）第1部
Activity 1.6.1 Implement User and Entity Behavior Analytics (UEBA) and User Activity Monitoring (UAM) Tooling	活動 1.6.1 ユーザーおよび事業体行動分析（UEBA）とユーザー活動監視（UAM）ツールの実装
Activity 1.7.1 Deny User by Default Policy	活動 1.7.1 デフォルトポリシーによるユーザーの拒否
Activity 1.8.1 Single Authentication	活動 1.8.1 単一認証
Activity 1.8.2 Periodic Authentication	活動 1.8.2 定期的な認証
Activity 1.9.1 Enterprise Public Key Infrastructure (PKI) and Identity Provider (IdP) Part 1	活動 1.9.1 エンタープライズ公開鍵基盤（PKI）とアイデンティティプロバイダ（IdP）第1部
Activity 2.1.1 Device Health Tool Gap Analysis	活動 2.1.1 デバイス健全性ツールのギャップ分析
Activity 2.1.2 Non-Person Entity (NPE) and Public Key Infrastructure (PKI), Device Under Management	活動 2.1.2 非個人事業体（NPE）および公開鍵基盤 (PKI)、管理対象デバイス
Activity 2.1.3 Enterprise Identity Provider (IdP) Part 1	活動 2.1.3 エンタープライズIDプロバイダ（IdP）第1部
Activity 2.2.1 Implement Comply-to-Connect (C2C) and Compliance-Based Network Authorization Part 1	活動 2.2.1 コンプライ・トゥ・コネクト（C2C）とコンプライアンスベースのネットワーク認可を実装する　第1部
Activity 2.3.3 Implement Application Control and File Integrity Monitoring (FIM) Tools	活動 2.3.3 アプリケーション制御およびファイル整合性監視（FIM）ツールの実装
Activity 2.3.4 Integrate Next-Generation Antivirus (NextGen AV) Tools with Comply-to-Connect (C2C)	活動 2.3.4 次世代アンチウイルス（NextGen AV）ツールをコンプライ・トゥ・コネクト（C2C）と統合する
Activity 2.4.1 Deny Device by Default Policy	活動 2.4.1 デフォルトポリシーによるデバイスの拒否
Activity 2.4.2 Managed and Limited Bring Your Own Device (BYOD) and Internet of Things (IoT) Support	活動 2.4.2 管理対象および制限付き BYOD（Bring Your Own Device）および IoT（Internet of Things）のサポート
Activity 2.5.1 Implement Asset, Vulnerability, and Patch Management Tools	活動 2.5.1 資産、脆弱性、およびパッチ管理ツールの導入
Activity 2.6.1 Implement Unified Endpoint and Device Management (UEDM) or Equivalent Tools	活動 2.6.1 統合エンドポイントおよびデバイス管理（UEDM）または同等のツールを導入する
Activity 2.6.2 Enterprise Device Management (EDM) Part 1	活動 2.6.2 エンタープライズデバイス管理（EDM）第1部
Activity 2.6.3 Enterprise Device Management (EDM) Part 2	活動 2.6.3 エンタープライズデバイス管理（EDM）第2部
Activity 2.7.1 Implement Endpoint Detection and Response (EDR) Tools and Integrate with Comply-to-Connect (C2C)	活動 2.7.1 エンドポイント検知・対応（EDR）ツールを導入し、コンプライ・トゥ・コネクト（C2C）と統合する
Activity 2.7.2 Implement Extended Detection and Response (XDR) Tools and Integrate with Comply-to-Connect (C2C) Part 1	活動 2.7.2 拡張検知・対応（XDR）ツールを導入し、コンプライ・トゥ・コネクト（C2C）と統合する第1部
Activity 3.1.1 Application and Code Identification	活動 3.1.1 アプリケーションとコードの識別
Activity 3.2.1 Build Development, Security, and Operations (DevSecOps) Software Factory Part 1	活動 3.2.1 開発、セキュリティ、運用（DevSecOps）ソフトウェアファクトリーの構築第1部
Activity 3.2.2 Build Development, Security, and Operations (DevSecOps) Software Factory Part 2	活動 3.2.2 開発、セキュリティ、運用（DevSecOps）ソフトウェアファクトリーの構築第2部
Activity 3.2.3 Automate Application Security and Code Remediation Part 1	活動 3.2.3 アプリケーションセキュリティとコード修正の自動化第1部
Activity 3.3.1 Approved Binaries and Code	活動 3.3.1 承認済みバイナリとコード
Activity 3.3.2 Vulnerability Management Program Part 1	活動 3.3.2 脆弱性管理プログラム第1部
Activity 3.3.3 Vulnerability Management Program Part 2	活動 3.3.3 脆弱性管理プログラム第2部
Activity 3.3.4 Continual Validation	活動 3.3.4 継続的妥当性確認
Activity 3.4.1 Resource Authorization Part 1	活動 3.4.1 リソース認可第1部
Activity 3.4.2 Resource Authorization Part 2	活動 3.4.2 リソース認可第2部
Activity 3.4.3 Software-Defined Compute (SDC) Resource Authorization Part 1	活動 3.4.3 ソフトウェア定義コンピューティング（SDC）リソース認可第1部
Activity 3.4.4 Software-Defined Compute (SDC) Resource Authorization Part 2	活動 3.4.4 ソフトウェア定義コンピューティング（SDC）リソース認可第2部
Activity 4.1.1 Data Analysis	活動 4.1.1 データ分析
Activity 4.2.1 Define Data Tagging Standards	活動 4.2.1 データタグ付け標準の定義
Activity 4.2.2 Interoperability Standards	活動 4.2.2 相互運用性標準
Activity 4.2.3 Develop Software-Defined Storage (SDS) Policy	活動 4.2.3 ソフトウェア定義ストレージ（SDS）ポリシーの開発
Activity 4.3.1 Implement Data Tagging and Classification Tools	活動 4.3.1 データタグ付けおよび分類ツールの実装
Activity 4.3.2 Manual Data Tagging Part 1	活動 4.3.2 手動データタグ付け第1部
Activity 4.4.1 Data Loss Prevention (DLP) Enforcement Point Logging and Analysis	活動 4.4.1 データ損失防止（DLP）実施ポイントのログ記録と分析
Activity 4.4.2 Data Rights Management (DRM) Enforcement Point Logging and Analysis	活動 4.4.2 データ権利管理（DRM）適用ポイントのログ記録と分析
Activity 4.4.3 File Activity Monitoring Part 1	活動 4.4.3 ファイル活動監視第1部
Activity 4.4.4 File Activity Monitoring Part 2	活動 4.4.4 ファイル活動監視第2部
Activity 4.5.1 Implement Data Rights Management (DRM) and Protection Tools Part 1	活動 4.5.1 データ権利管理（DRM）および防御ツールの実装第1部
Activity 4.5.2 Implement Data Rights Management (DRM) and Protection Tools Part 2	活動 4.5.2 データ権利管理（DRM）および防御ツールの実装第2部
Activity 4.5.3 Data Rights Management (DRM) Enforcement via Data Tags and Analytics Part 1	活動 4.5.3 データタグと分析によるデータ権利管理（DRM）の施行第1部
Activity 4.6.1 Implement Enforcement Points	活動 4.6.1 施行ポイントの実装
Activity 4.6.2 Data Loss Prevention (DLP) Enforcement via Data Tags and Analytics Part 1	活動 4.6.2 データタグと分析によるデータ損失防止（DLP）の施行（第1部）
Activity 4.7.1 Integrate Data, Applications, Assets, Services (DAAS) Access with Software-Defined Storage (SDS) Policy Part 1	活動 4.7.1 データ、アプリケーション、資産、サービス（DAAS）の統合ソフトウェア定義ストレージ（SDS）ポリシーによるアクセス第1部
Activity 4.7.4 Integrate Solution(s) and Policy with Enterprise Identity Provider (IdP) Part 1	活動 4.7.4 ソリューションとポリシーをエンタープライズ ID プロバイダ（IdP）と統合する第1部
Activity 5.1.1 Define Granular Control Access Rules and Policies Part 1	活動 5.1.1 細粒度アクセス管理ルールとポリシーの定義第1部
Activity 5.1.2 Define Granular Control Access Rules and Policies Part 2	活動 5.1.2 細粒度アクセス管理ルールとポリシーの定義第2部
Activity 5.2.1 Define Software-Defined Networking (SDN) Application Programming Interfaces (APIs)	活動 5.2.1 ソフトウェア定義ネットワーク（SDN）アプリケーションプログラミングインターフェース（API）を定義する
Activity 5.2.2 Implement Software-Defined Networking (SDN) Programmable Infrastructure	活動 5.2.2 ソフトウェア定義ネットワーク（SDN）プログラマブルインフラストラクチャの実装
Activity 5.2.3 Segment Flows into Control, Management, and Data Planes	活動 5.2.3 フローを制御、管理、データ各プレーンに分割する
Activity 5.3.1 Datacenter Macro-Segmentation	活動 5.3.1 データセンターのマクロセグメンテーション
Activity 5.3.2 Base/Camp/Post/Station (B/C/P/S) Macro-Segmentation	活動 5.3.2 ベース/キャンプ/ポスト/ステーション (B/C/P/S) マクロセグメンテーション
Activity 5.4.1 Implement Micro-Segmentation	活動 5.4.1 マイクロセグメンテーションの実施
Activity 5.4.2 Application and Device Micro-Segmentation	活動 5.4.2 アプリケーションおよびデバイスのマイクロセグメンテーション
Activity 5.4.4 Protect Data in Transit	活動 5.4.4 転送中のデータの防御
Activity 6.1.1 Policy Inventory and Development	活動 6.1.1 ポリシーの棚卸しと策定
Activity 6.1.2 Organization Access Profile	活動 6.1.2 組織アクセスプロファイル
Activity 6.1.3 Enterprise Security Profile Part 1	活動 6.1.3 エンタープライズセキュリティプロファイル第1部
Activity 6.2.1 Task Automation Analysis	活動 6.2.1 タスク自動化分析
Activity 6.2.2 Enterprise Integration and Workflow Provisioning Part 1	活動 6.2.2 エンタープライズ統合とワークフロープロビジョニング第1部
Activity 6.3.1 Implement Data Tagging and Classification Machine Learning (ML) Tools	活動 6.3.1 データタグ付けと分類機械学習（ML）ツールの実装
Activity 6.5.1 Response Automation Analysis	活動 6.5.1 応答自動化の分析
Activity 6.5.2 Implement Security Orchestration, Automation, and Response (SOAR) Tools	活動 6.5.2 セキュリティオーケストレーション、自動化、対応（SOAR）ツールの実装
Activity 6.6.1 Tool Compliance Analysis	活動 6.6.1 ツールコンプライアンス分析
Activity 6.6.2 Standardized Application Programming Interface (API) Calls and Schemas Part 1	活動 6.6.2 標準化されたアプリケーションプログラミングインターフェース（API）呼び出しとスキーマ第1部
Activity 6.6.3 Standardized Application Programming Interface (API) Calls and Schemas Part 2	活動 6.6.3 標準化されたアプリケーションプログラミングインターフェース（API）呼び出しとスキーマ第2部
Activity 6.7.1 Workflow Enrichment Part 1	活動 6.7.1 ワークフローの強化第1部
Activity 6.7.2 Workflow Enrichment Part 2	活動 6.7.2 ワークフローの機能強化第2部
Activity 7.1.1 Scale Considerations	活動 7.1.1 スケールに関する考慮事項
Activity 7.1.2 Log Parsing	活動 7.1.2 ログ解析
Activity 7.1.3 Log Analysis	活動 7.1.3 ログ分析
Activity 7.2.1 Threat Alerting Part 1	活動 7.2.1 脅威アラート第1部
Activity 7.2.2 Threat Alerting Part 2	活動 7.2.2 脅威警報第2部
Activity 7.2.4 Asset ID and Alert Correlation	活動 7.2.4 アセットIDとアラート相関
Activity 7.2.5 User and Device Baselines	活動 7.2.5 ユーザーとデバイスのベースライン
Activity 7.3.1 Implement Analytics Tools	活動 7.3.1 アナリティクスツールの実装
Activity 7.3.2 Establish User Baseline Behavior	活動 7.3.2 ユーザーのベースライン行動を確立する
Activity 7.4.1 Baseline and Profiling Part 1	活動 7.4.1 ベースラインとプロファイリング第1部
Activity 7.5.1 Cyber Threat Intelligence Program Part 1	活動 7.5.1 サイバー脅威インテリジェンスプログラム第1部
Activity 7.5.2 Cyber Threat Intelligence Program Part 2	活動 7.5.2 サイバー脅威インテリジェンスプログラム第2部

発見編

・[PDF]

・[DOCX][PDF] 仮訳

Executive Summary	エグゼクティブサマリー
Background	背景
Adopt a Zero Trust Mindset	ゼロトラストの考え方を採用する
Zero Trust Design Concepts	ゼロトラスト設計の概念
Purpose	目的
Target Audience	対象読者
Scope	適用範囲
Assumptions	前提条件
ZIG Design Methodology	ZIG設計方法論
ZIG Structure	ZIGの構成
Pillars	ピラー
Capabilities	能力
Activities	活動
Appendices	附属書
User Pillar	ユーザーピラー
Capability 1.1 User Inventory	能力 1.1 ユーザーインベントリ
Activity 1.1.1 Inventory User	活動 1.1.1 インベントリユーザー
Device Pillar	デバイスピラー
Capability 2.1 Device Inventory	能力 2.1 デバイスインベントリ
Activity 2.1.1 Device Health Tool Gap Analysis	活動 2.1.1 デバイス健全性ツールのギャップ分析
Capability 2.3 Device Authorization with Real-Time Inspection	能力 2.3 リアルタイム検査を伴うデバイス認可
Activity 2.3.4 Integrate Next-Generation Antivirus (NextGen AV) Tools with Comply-to-Connect (C2C)	活動 2.3.4 次世代アンチウイルス（NextGen AV）ツールをコンプライ・トゥ・コネクト（C2C）と統合する
Application and Workload Pillar	アプリケーションおよびワークロードのピラー
Capability 3.1 Application Inventory	能力 3.1 アプリケーションインベントリ
Activity 3.1.1 Application and Code Identification	活動 3.1.1 アプリケーションとコードの識別
Data Pillar	データピラー
Capability 4.1 Data Catalog Risk Alignment	能力 4.1 データカタログのリスク整合性
Activity 4.1.1 Data Analysis	活動 4.1.1 データ分析
Capability 4.4 Data Monitoring and Sensing	能力 4.4 データ監視とセンシング
Activity 4.4.1 Data Loss Prevention (DLP) Enforcement Point Logging and Analysis	活動 4.4.1 データ損失防止（DLP）実施ポイントのログ記録と分析
Activity 4.4.2 Data Rights Management (DRM) Enforcement Point Logging and Analysis	活動 4.4.2 データ権利管理（DRM）適用ポイントのログ記録と分析
Network and Environment Pillar	ネットワークと環境のピラー
Capability 5.1 Data Flow Mapping	能力 5.1 データフローマッピング
Activity 5.1.1 Define Granular Control Access Rules and Policies Part 1	活動 5.1.1 詳細なアクセス管理ルールとポリシーの定義第1部
Capability 5.2 Software-Defined Networking (SDN)	能力 5.2 ソフトウェア定義ネットワーク（SDN）
Activity 5.2.1 Define Software-Defined Networking (SDN) Application Programming Interfaces (APIs)	活動 5.2.1 ソフトウェア定義ネットワーク (SDN) アプリケーションプログラミングインターフェース (API) を定義する
Automation and Orchestration Pillar	自動化とオーケストレーションのピラー
Capability 6.1 Policy Decision Point (PDP) and Policy Orchestration	能力 6.1 ポリシー決定ポイント（PDP）とポリシーオーケストレーション
Activity 6.1.1 Policy Inventory and Development	活動 6.1.1 ポリシーの棚卸しと策定
Capability 6.2 Critical Process Automation	能力 6.2 重要プロセス自動化
Activity 6.2.1 Task Automation Analysis	活動 6.2.1 タスク自動化分析
Capability 6.5 Security Orchestration, Automation, and Response (SOAR)	能力 6.5 セキュリティオーケストレーション、自動化、および対応（SOAR）
Activity 6.5.1 Response Automation Analysis	活動 6.5.1 対応自動化分析
Capability 6.6 Application Programming Interface (API) Standardization	能力 6.6 アプリケーションプログラミングインターフェース（API）標準化
Activity 6.6.1 Tool Compliance Analysis	活動 6.6.1 ツール準拠性分析
Visibility and Analytics Pillar	可視性と分析のピラー
Capability 7.1 Log All Traffic (Network, Data, Apps, Users)	能力 7.1 全トラフィックのログ記録（ネットワーク、データ、アプリ、ユーザー）
Activity 7.1.1 Scale Considerations	活動 7.1.1 スケールに関する考慮事項
Appendix A – Terms and Definitions	附属書 A – 用語と定義
Appendix B – Abbreviations and Acronyms	附属書 B – 略語と頭字語
Appendix C – References	附属書 C – 参考文献
Appendix D – Activity Task Diagrams	附属書 D – 活動タスク図
Activity 1.1.1 Inventory User	活動 1.1.1 インベントリ利用者
Activity 2.1.1 Device Health Tool Gap Analysis	活動 2.1.1 デバイス健全性ツールのギャップ分析
Activity 2.3.4 Integrate Next-Generation Antivirus (NextGen AV) Tools with Comply-toConnect (C2C)	活動 2.3.4 次世代アンチウイルス（NextGen AV）ツールを Comply-toConnect（C2C）と統合する
Activity 3.1.1 Application and Code Identification	活動 3.1.1 アプリケーションとコードの識別
Activity 4.1.1 Data Analysis	活動 4.1.1 データ分析
Activity 4.4.1 Data Loss Prevention (DLP) Enforcement Point Logging and Analysis	活動 4.4.1 データ損失防止（DLP）の施行ポイントのログ記録と分析
Activity 4.4.2 Data Rights Management (DRM) Enforcement Point Logging and Analysis	活動 4.4.2 データ権利管理（DRM）適用ポイントのログ記録と分析
Activity 5.1.1 Define Granular Control Access Rules and Policies Part 1	活動 5.1.1 細粒度アクセス管理ルールとポリシーの定義第1部
Activity 5.2.1 Define Software-Defined Networking (SDN) Application Programming Interfaces (APIs)	活動 5.2.1 ソフトウェア定義ネットワーク（SDN）アプリケーションプログラミングインターフェース（API）を定義する
Activity 6.1.1 Policy Inventory and Development	活動 6.1.1 ポリシーの棚卸しと開発
Activity 6.2.1 Task Automation Analysis	活動 6.2.1 タスク自動化分析
Activity 6.5.1 Response Automation Analysis	活動 6.5.1 応答自動化分析
Activity 6.6.1 Tool Compliance Analysis	活動 6.6.1 ツール準拠性分析
Activity 7.1.1 Scale Considerations	活動 7.1.1 スケールの考慮事項

2026.01.21 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.20

米国国防総省（戦争省）軍事AI加速戦略 (2026.01.12)

こんにちは、丸山満彦です。

国防総省（戦争省）軍事AI加速戦略を公表しています。

米国が軍事AIの優位を確立・加速するための「AIファースト」転換方針ということのようです。内容は、

①AIによる新たな戦闘様式・意思決定・シミュレーションの創出、

②情報分析から能力化までを数時間で行う高速パイプラインの構築、

③全職員への生成AI提供とAIエージェントによる業務自動化の推進

の3領域で構成されていますね。

実施にあたっては、7つのペース設定プロジェクトを競争的に展開し、官僚的障壁の戦時基準での排除、最新商用AIモデルの迅速導入、データ共有の強制を進める。最終目標は、商業技術の革新速度を軍全体に取り込み、AIを前提とした軍組織（AI‑native force）への移行をめざしているようですね...

日本はどの程度戦略的にすすめているのでしょうかね...

● U.S. Department of War

・2026.01.12 War Department Launches AI Acceleration Strategy to Secure American Military AI Dominance

War Department Launches AI Acceleration Strategy to Secure American Military AI Dominance	戦争省、米軍のAI優位性確保に向けAI加速戦略を開始
The Department of War today launches a transformative Artificial Intelligence Acceleration Strategy that will extend our lead in military AI deployment and establish the United States as the world's undisputed AI-enabled fighting force. Mandated by President Trump, this acceleration strategy will unleash experimentation, eliminate legacy bureaucratic blockers, and integrate the bleeding edge of frontier AI capabilities across every mission area to usher in an unprecedented era of American military AI dominance.	戦争省は本日、軍事AI導入における優位性を拡大し、米国を世界一のAI戦闘力を持つ軍隊として確立する変革的な人工知能加速戦略を開始した。トランプ大統領の指示によるこの加速戦略は、実験を推進し、旧来の官僚的な障害を取り除き、あらゆる任務分野に最先端の AI 能力を統合することで、米国軍の AI 優位性という前例のない時代を切り開くものである。
"We will unleash experimentation, eliminate bureaucratic barriers, focus our investments and demonstrate the execution approach needed to ensure we lead in military AI," said Secretary of War Pete Hegseth. "We will become an 'AI-first' warfighting force across all domains."	「我々は実験を推進し、官僚的な障壁を取り除き、投資を集中させ、軍事 AI 分野での主導権を確保するために必要な実行アプローチを実証する」と、ピート・ヘグセス国防長官は述べた。「我々はあらゆる領域において『AIファースト』の戦闘部隊となる」と述べた。
The Department is taking a wartime approach to delivering capabilities, with an emphasis on three tenets: warfighting, intelligence and enterprise operations. This approach will strengthen battlefield decision-making, rapidly convert intelligence data and modernize daily workflows, all in direct support of more than three million DoW personnel.	国防総省は、戦闘、情報、企業活動という 3 つの原則に重点を置き、戦時的なアプローチで能力を提供している。このアプローチにより、戦場での意思決定が強化され、情報データが迅速に変換され、日常的なワークフローが近代化され、300 万人以上の国防総省職員を直接支援することになる。
The catalyst for this acceleration will be seven Pace-Setting Projects (PSPs), each with a single accountable leader and aggressive timelines. These PSPs will establish a new AI execution standard for the entire Department:	この加速のきっかけとなるのは、7 つのペース設定プロジェクト（PSP）である。各プロジェクトには、単一の責任リーダーと積極的なスケジュールが設定される。これらの PSP は、国防総省全体に新しい AI 実行基準を確立する。
Warfighting	戦闘
・Swarm Forge: Competitive mechanism to iteratively discover, test, and scale novel ways of fighting with and against AI-enabled capabilities – combining America's elite warfighting units with elite technology innovators.	・スォーム・フォージ：AI 対応能力を用いた、あるいは AI 対応能力に対抗する新しい戦闘方法を反復的に発見、試験、拡大するための競争メカニズム。米国の精鋭戦闘部隊と、精鋭の技術革新者を組み合わせる。
・Agent Network: Unleashing AI agent development and experimentation for AI-enabled battle management and decision support, from campaign planning to kill chain execution.	・エージェント・ネットワーク：作戦計画からキルチェーン実行まで、AI活用戦闘管理・意思決定支援のためのAIエージェント開発と実験を推進する。
・Ender's Foundry: Accelerating AI-enabled simulation capabilities - and sim-dev and sim-ops feedback loops - to ensure we stay ahead of AI-enabled adversaries.	・エンダーズ・ファウンドリー：AI活用シミュレーション能力、およびシミュレーション開発・運用フィードバックループを加速し、AI活用敵対勢力に対する優位性を確保する。
Intelligence	情報
・Open Arsenal: Accelerating the TechINT-to-capability development pipeline, turning intel into weapons in hours, not years.	・オープン・アーセナル：技術情報から能力開発へのパイプラインを加速し、情報を数年もかからず数時間で兵器化する。
・Project Grant: Enabling transformation of deterrence from static postures and speculation to dynamic pressure with interpretable results.	・プロジェクト・グラント：抑止力を静的な態勢や推測から、解釈可能な結果を伴う動的な圧力へと変革する。
Enterprise	エンタープライズ
・GenAI.mil: Providing Department-wide access to frontier generative AI models, like Google's Gemini and xAI's Grok, for all DoW personnel at Information Level (IL-5) and above classification levels.	・GenAI.mil：国防総省全体で、GoogleのGeminiやxAIのGrokといった最先端生成AIモデルへのアクセスを提供する。対象は情報レベル（IL-5）以上の機密扱いを有する全国防総省職員である。
・Enterprise Agents: Building the playbook for rapid and secure AI agent development and deployment to transform enterprise workflows.	・エンタープライズエージェント：迅速かつ安全なAIエージェント開発・展開のためのプレイブックを構築し、企業ワークフローを変革する。
This AI Acceleration Strategy is driving a major expansion of AI compute infrastructure through targeted investments and will unlock access to the data that gives the War Department an asymmetric edge. The Department will bring in top American AI talent through initiatives like the Office of Personnel Management's "Tech Force" initiative and will empower small, accountable teams to attack complex AI integration opportunities. The War Department will eradicate woke DEI from our AI capabilities and ensure our military has objective, mission‑first systems that will guarantee decision superiority and warfighting advantage in this AI era.	このAI加速戦略は、重点投資によるAI計算インフラの大幅拡充を推進し、戦争省に非対称的優位性をもたらすデータへのアクセスを可能にする。人事管理局の「テックフォース」構想などの施策を通じ、米国トップクラスのAI人材を招致し、小規模で責任あるチームが複雑なAI統合課題に取り組める体制を整える。戦争省はAI能力から「 woke DEI（政治的に正しい多様性・公平性・包摂性）」を排除し、このAI時代において意思決定の優位性と戦闘優位性を保証する、客観的で任務最優先のシステムを軍に確保する。
"Speed defines victory in the AI era, and the War Department will match the velocity of America's AI industry," said Emil Michael, Under Secretary of War for Research and Engineering. "We're pulling in the best talent, the most cutting‑edge technology, and embedding the top frontier AI models into the workforce — all at a rapid wartime pace."	「AI時代における勝利はスピードが決め手だ。戦争省は米国AI産業の速度に追随する」と、研究・技術担当次官エミル・マイケルは述べた。「我々は最良の人材と最先端技術を招き入れ、最先端AIモデルを戦時並みの迅速さで戦力に組み込む」
Grounded in the core tenets of warfighting, intelligence and enterprise operations – and following President Trump's direction – the War Department will accelerate America's Military AI Dominance by becoming an AI-first warfighting force across all domains.	戦闘、情報、企業活動という中核的原則に基づき、トランプ大統領の指示に従い、戦争省は全領域でAIを最優先とする戦闘組織となることで、米国の軍事AI優位性を加速させる。
Read the official AI Acceleration Strategy here.	公式のAI加速戦略はこちらで読む。

・[PDF]

SECRETARY OF WAR	戦争省長官
1000 DEFENSE PENTAGON	1000 DEFENSE PENTAGON
WASHINGTON, DC 20301-1000	ワシントンDC 20301-1000
JAN - 9 2026	2026年1月9日
MEMORANDUM FOR SENIOR PENTAGON LEADERSHIP	国防総省上級幹部宛て覚書
COMMANDERS OF THE COMBATANT COMMANDS	戦闘司令部司令官各位
DEFENSE AGENCY AND DOW FIELD ACTIVITY DIRECTORS	国防総省機関及び国防総省現地活動責任者各位
SUBJECT: Artificial Intelligence Strategy for the Department of War	件名：戦争省人工知能戦略
Accelerating America's Military AI Dominance	米国の軍事AI優位性の加速
President Trump makes clear in Executive Order 14179, "It is the policy of the United States to sustain and enhance America's global Artificial Intelligence (AI) dominance in order to promote human flourishing, economic competitiveness, and national security." In the national st:curity domain, AI-enabled warfare and AI-enabled capability development will re-define the character of military affairs over the next decade. This transformation is a race - fueled by the accelerating pace of commercial AI innovation coming out of America's private sector. The United States Military must build on its lead over our adversaries in integrating this technology, established during President Trump's first term, to make our Warfighters more lethal and efficient. To this end, aligned with America's AI Action Plan, I direct the Department of War to accelerate America's Military AI Dominance by becoming an "AI-first" warfighting force across all components, from front to back. The Department will achieve this objective by:	トランプ大統領は大統領令14179において「人類の繁栄、経済競争力、国家安全保障を促進するため、米国は世界における人工知能（AI）優位性を維持・強化することを政策とする」と明言している。国家安全保障の領域において、AIを活用した戦争遂行能力及び能力開発は、今後10年間で軍事活動の本質を再定義する。この変革は競争である。米国民間部門から生まれる商業用AIイノベーションの加速するペースがこれを推進している。米国軍は、トランプ大統領の最初の任期中に確立された、この技術を統合する点における敵対勢力に対する優位性を基盤とし、戦闘員の殺傷力と効率性を高めねばならない。この目的のため、米国のAI行動計画に沿って、私は国防総省に対し、前線から後方支援に至る全構成要素において「AIファースト」の戦闘部隊となることで、米国の軍事AI優位性を加速するよう指示する。国防総省はこの目標を以下の方法で達成する：
• Unleashing experimentation with America's leading AI models Departmentwide, and rewarding AI-first re-conceptions of legacy approaches;	• 全省庁規模で米国最先端のAIモデルを用いた実験を推進し、従来手法のAI優先型再構築を奨励する；
• Aggressively identifying and eliminating bureaucratic barriers to deeper integration, which are vestiges of legacy information technology and modes of warfare;	• 旧式情報技術と戦闘様式の名残である、AIの深化的統合を阻む官僚的障壁を積極的に特定・排除する；
• Focusing our investment to leverage America's core asymmetric advantages in AI computing, model innovation, entrepreneurial dynamism, capital markets, and combat-proven operational data from two decades of military and intelligence operations that no other military can replicate; and	• 投資を集中させ、AIコンピューティング、モデル革新、起業家精神、資本市場、そして他軍が再現不可能な20年にわたる軍事・諜報活動で実証された作戦データという、アメリカの中核的非対称優位性を活用する。
• Executing a set of "Pace-Setting Projects" (PSPs) that will demonstrate the accelerated pace of execution, focus, and ethos we need to stay ahead. The PSPs will also serve as tangible, outcome-oriented vehicles for rapidly completing our buildout of the foundational AI enablers (infrastructure, data, models, policies, and talent) needed to accelerate AI integration across the entire Department.	• 「「ペース設定プロジェクト」（PSP）の一連の実施により、我々が先行を維持するために必要な加速された実行ペース、焦点、そして精神を示す。PSPはまた、部門全体でのAI統合を加速するために必要な基盤となるAI実現要素（インフラ、データ、モデル、方針、人材）の構築を迅速に完了させるための、具体的かつ成果志向の手段としても機能する。
The seven initial PSPs outlined below establish the new execution standard:	以下に概説する最初の 7 つの PSP は、新たな実行基準を確立する：
single accountable leaders, aggressive timelines, measurable outcomes, and rapid iteration where failure accelerates learning and improvement.	単一の責任あるリーダー、積極的なタイムライン、測定可能な成果、そして失敗が学習と改善を加速させる迅速な反復。
Accelerati on Appro ach	加速化アプローチ
The means we will employ to pursue this strategy will continue to encompass our substantial program funding and workforce focused on AI across the Services and Components. We will also use the timely financial resources provided by Congress in the form of One Big Beautiful Bill, along with expanded budget withhold (Joint Acceleration Reserve) flexibility, to catalyze our accelerated pace of Military AI integration in the immediate term. And we will leverage the access, capabilities, investments, and insights of America's allies and partners to support our shared objectives, consistent with the President Trump's AI Action Plan to "Lead in International AI Diplomacy and Security".	この戦略を推進する手段として、各軍種・構成組織におけるAIに特化した大規模なプログラム資金と人材を継続的に活用する。さらに議会が「ワン・ビッグ・ビューティフル・ビル」として提供する適時な財政資源と、拡大された予算保留（共同加速化準備金）の柔軟性を組み合わせ、短期的な軍事AI統合の加速を促進する。さらに、トランプ大統領の「国際AI外交・安全保障における主導権」というAI行動計画に沿い、同盟国・パートナー国のアクセス、能力、投資、知見を活用し、共通目標を支援する。
We will re-focus the Chief Digital and AI Office (CDAO) and these enhanced resources to unlock critical foundational enablers needed to accelerate war-winning efforts across the Department, starting with enabling the set of seven PSPs listed below in fiscal year 2026. These PSPs will address key opportunities for enhanced military AI advantage across W arfighting, Intelligence, and Enterprise mission areas:	最高デジタル・AI責任者室（CDAO）とこれらの強化された資源を再焦点化し、国防総省全体での戦勝努力を加速させるために必要な重要な基盤的要素を解き放つ。2026会計年度に下記7つのPSP群を可能にすることから始める。これらのPSPは、戦闘、情報、企業活動という任務領域全体で軍事AI優位性を強化する主要な機会に対処する：
• Warfighting:	• 戦闘：
1. Swarm Forge: Competitive mechanism to iteratively discover, test, and scale novel ways of fighting with and against AI-enabled capabilities - combining America's elite Warfighting units with elite technology innovators.	1. スウォーム・フォージ：AI搭載能力を用いた戦闘手法、およびそれに対抗する手法を反復的に発見・検証・拡大する競争的メカニズム。米国の精鋭戦闘部隊と技術革新の精鋭を融合させる。
2. Agent Network: Unleashing Al agent development and experimentation for Alenabled battle management and decision support, from campaign planning to kill chain execution.	2. エージェント・ネットワーク：作戦計画からキルチェーン実行まで、AI搭載戦闘管理・意思決定支援のためのAIエージェント開発と実験を推進する。
3. Ender's Foundry: Accelerating AI-enabled simulation capabilities - and sim-dev and sim-ops feedback loops - to ensure we stay ahead of AI-enabled adversaries.	3. エンダーズ・ファウンドリー：AI対応シミュレーション能力、およびシミュレーション開発・運用フィードバックループを加速し、AI対応敵対者に対する優位性を維持する。
• Intelligence:	• 情報活動：
4. Open Arsenal: Accelerating the TechINT-to-capability development pipeline, turning intel into weapons in hours not years.	4. オープン・アーセナル：技術情報から能力開発へのパイプラインを加速し、情報を数年もかからず数時間で兵器化する。
5. Project Grant: Enabling transformation of deterrence from static postures and speculation to dynamic pressure with interpretable results.	5. プロジェクト・グラント：抑止力の変革を可能にする。静的な態勢と推測から、解釈可能な結果を伴う動的な圧力へ転換する。
• Enterprise:	• エンタープライズ：
6. GenAI.mil: Democratizing AI experimentation and transformation across the Department by putting America's world-leading AI models directly in the hands of our three million civilian and military personnel, at all classification levels.	6. GenAI.mil：米国が世界に誇るAIモデルを、機密レベルを問わず300万人の文民・軍関係者に直接提供することで、国防総省全体におけるAI実験と変革の民主化を推進する。
7. Enterprise Agents: Building the playbook for rapid and secure AI agent development and deployment to transform enterprise workflows.	7. エンタープライズエージェント：迅速かつ安全なAIエージェント開発・展開の手引書を作成し、企業ワークフローを変革する。
The PSPs will each be led by an exemplary program leader in partnership with a sponsoring organization. Progress will be demonstrated monthly to the Deputy Secretary of War (Deputy Secretary) and Under Secretary of War for Research and Engineering (USW(R&E)), with initial demonstration by transition-partner user(s) to occur within six months from the date of this memorandum.	各PSPは、スポンサー組織と連携した模範的なプログラムリーダーが主導する。進捗は毎月、戦争副長官（Deputy Secretary）及び研究開発担当戦争次官（USW(R&E)）に報告され、本覚書発効後6ヶ月以内に移行パートナーユーザーによる初期実証が行われる。
The CDAO will also ensure all foundational enablers unlocked by these projects are made available to programs Department-wide in real-time, so accelerated execution by PSPs will enable projects across the Department to accelerate their pace along with them. Therefore, I direct each Military Department, combatant command, and defense agency and field activity to identify within 30 days at least three projects they will prioritize to fast-follow these PSPs. Efforts under the Department's six Critical Technology Areas including autonomy, C-C5ISRT, and advanced manufacturing-must continue to push the pace for the Department of War (DoW ). And the special initiatives outlined in classified annexes, including those in the Classified Annex provided by separate cover to this memorandum, will also be accelerated. CDAO will track and rank this extended pack of AI efforts by speed and impact, and progress will be reported monthly to the Deputy Secretary and USW(R&E).	CDAOはまた、これらのプロジェクトによって実現された全ての基盤的要素を、省全体でリアルタイムに利用可能とすることを保証する。これによりPSPによる加速的な実行が、省全体のプロジェクトのペース加速を可能とする。よって、各軍種、戦闘司令部、防衛機関及び現地活動部門は、30日以内に少なくとも3つのプロジェクトを特定し、これらのPSPを迅速に追随する優先順位を付けるよう指示する。自律性、C-C5ISRT、先進製造を含む国防総省の6つの重要技術分野における取り組みは、国防総省（DoW）のペースを押し続ける必要がある。また、本覚書に別添で提供される機密付属文書を含む、機密付属文書に概説された特別イニシアチブも加速される。CDAOは、この拡張されたAI取り組み群を速度と影響度で追跡・順位付けし、進捗は毎月、国防次官補及びUSW(R&E)に報告される。
AI Compute. As part of our AI and Autonomy acceleration investments, the Department will invest substantial resources in the expansion of our access to AI compute infrastructure, from datacenters to the edge. We will leverage the hundreds of billions in private sector capital investment being made in America's AI sector through our growing array of creative partnerships with America's world-leading companies. We will work with interagency partners to establish technical standards for new secure datacenters. And we will support and leverage the American Science and Security Platform being developed by President Trump's Genesis Mission for science and technology innovation, so our warfighters and capability developers have the full benefit of America's AI compute resources and latest innovations.	AIコンピューティング。AIと自律性の加速投資の一環として、国防総省はデータセンターからエッジまで、AIコンピューティングインフラへのアクセス拡大に多額の資源を投入する。米国が世界をリードする企業との創造的パートナーシップ拡大を通じ、米国AI分野に投じられる民間セクターの数千億ドル規模の資本投資を活用する。新たな安全なデータセンターのための技術基準確立に向け、省庁間パートナーと連携する。さらに、トランプ大統領の科学技術革新のためのジェネシス・ミッションが開発中の「米国科学安全保障プラットフォーム」を支援・活用し、戦闘要員と能力開発者が米国のAI計算資源と最新技術革新の恩恵を最大限に享受できるようにする。
Data Access. I direct the CDAO to enforce, and all Do W Components to comply with, the 'DoD Data Decrees' to further unlock our data for AI exploitation and mission advantage. Military Departments and Components will establish, maintain, and update federated data catalogs exposing their system interfaces, data assets, and access mechanisms across all classification levels, as mandated by the Department's May 2021 memorandum, "Creating Data Advantage." They will deliver their current catalogs -with all available updates-to the CDAO within 30 days of the date of this memorandum. The Under Secretary of War for Intelligence and Security will ensure intelligence data receives parallel treatment, with exploitation pathways established within the same timeframe. The CDAO is authorized to direct release of any DoW data to cleared users with valid purpose, consistent with security guidelines. Effective immediately, denials of CDAO data requests must be justified to the USW(R&E) within seven (7) days, who will remediate or escalate to the Deputy Secretary. Our data advantage is meaningless if our developers and operators cannot exploit it.	データアクセス。CDAOに対し「国防総省データ指令」の徹底を指示し、全国防総省構成組織に順守を求める。これによりAI活用と任務優位性向上のためのデータ解放を推進する。各軍部門及び構成組織は、2021年5月付国防総省覚書「データ優位性の創出」の規定に基づき、全機密レベルにわたるシステムインターフェース、データ資産、アクセス手段を公開する連合データカタログを確立・維持・更新する。現行カタログ（利用可能な全更新を含む）を本覚書発出日より30日以内にCDAOへ提出すること。情報・安全保障担当国防次官は、情報データが同等の扱いを受け、同期間内に活用経路が確立されることを保証する。CDAOは、セキュリティガイドラインに準拠し、正当な目的を持つ認可ユーザーへの国防総省データの公開を指示する権限を有する。直ちに発効する措置として、CDAOのデータ要求を拒否する場合は、7日以内にUSW(R&E)に正当な理由を説明しなければならない。USW(R&E)は是正措置を講じるか、副長官にエスカレーションする。開発者や運用者が活用できなければ、我々のデータ優位性は無意味である。
Talent. Finally, I believe the best American talent will see this accelerated posture of AI capability development and adoption at the Do W, and I expect each Service and Component to attract and retain this talent. To that end, I direct use of special hiring and pay authorities Department-wide, as well as novel talent programs from the Office of Personnel and Management and other partners, to accelerate our pace of technical talent hiring into AI roles. And I direct each Component to provide AI hiring and talent development plans to the Under Secretary of War for Personnel and Readiness within 60 days of this memo for approval, denial or modification within 30 days thereafter.	人材。最後に、米国最高の才能は国防総省におけるAI能力開発・導入の加速姿勢を認識するだろう。各軍種・構成組織はこの人材を惹きつけ維持することを期待する。この目的のため、省全体での特別採用・給与権限の活用、人事管理局及び他機関の新たな人材プログラムを指示し、AI関連職種への技術人材採用ペースを加速させる。各構成組織は、本覚書発出後60日以内にAI採用・人材育成計画を人事・戦備担当次官に提出し、その後30日以内に承認・却下・修正を受けること。
Acceleration Expectations	加速への期待
This strategy will accelerate our advantage, and we must implement it with the Warrior Ethos. Consistent with the refocusing of the Department onto a wartime footing, I expect the following approaches to become internalized as essential elements of our execution in this race to maintain Military AI Dominance:	この戦略は我々の優位性を加速させるものであり、我々は「戦士精神」をもってこれを実行しなければならない。国防総省が戦時体制へ再焦点化していることに沿い、軍事AI優位性を維持するこの競争において、以下のアプローチが我々の実行の必須要素として内面化されることを期待する：
Speed Wi ns. We must internalize that Military AI is going to be a race for the foreseeable future, and therefore speed wins. We must weaponize learning speed, and measure and manage cycle time and adoption rates as decisive variables in the Al era. We must accept that the risks of not moving fast enough outweigh the risks of imperfect alignment. I direct CDAO to establish deployment velocity and operational cycle-time metrics for all PSPs, to be a focus of their monthly reporting to the Deputy Secretary and USW(R&E).	スピードが勝利をもたらす。軍事AIは当面の間競争が続くことを内面化し、したがってスピードが勝利をもたらすことを認識しなければならない。学習速度を武器化し、AI時代における決定的変数としてサイクルタイムと採用率を測定・管理せねばならない。不完全な整合性のリスクよりも、迅速に行動しないリスクの方が大きいことを受け入れよ。CDAOに対し、全PSPの展開速度と運用サイクルタイム指標を設定し、副長官及びUSW(R&E)への月次報告の重点項目とするよう指示する。
AI Model Pari ty. We are seeing unprecedented velocity in the evolution of the frontier AI models. These models are becoming smarter and more robust every day. The Department cannot be working off models that are months or years old. We must have the latest and greatest AI models deployed for our warfighters. Deploying these capabilities across all echelons is simply not enough, we must be able to support and sustain rapid model updates across all echelons. I direct CDAO to establish a delivery and integration cadence with AI vendors that enables the latest models to be deployed within 30 days of public release. This shall be a primary procurement criterion for future model acquisition.	AIモデルのパリティ。最先端AIモデルの進化速度は前例のない速さだ。これらのモデルは日々賢く、頑健になっている。当省が数ヶ月や数年前のモデルで作業しているわけにはいかない。戦闘要員には最新かつ最高のAIモデルを展開しなければならない。全階層への展開だけでは不十分だ。全階層で迅速なモデル更新を支援・維持できる体制を構築せよ。CDAOに対し、AIベンダーとの間で、公開後30日以内に最新モデルを展開可能な提供・統合サイクルを確立するよう指示する。これは将来のモデル調達における主要な調達基準とする。
War time Approach to Blockers. We must eliminate blockers to data sharing, Authorizations to Operate (ATOs), test and evaluation and certification, contracting, hiring and talent management, and other policies that inhibit rapid experimentation and fielding. We must approach risk tradeoffs, "equities", and other subjective questions as if we were at war. To this end, I expect our CDAO to act as a Wartime CDAO and work with the Chief Information Officer to fully leverage statutory and delegated authorities to accelerate AI capability delivery, including cross-domain data access and rapid AT O reciprocity on behalf of pace-pushing leaders across the Department. The USW(R&E) will establish a monthly "Barrier Removal Board" with authority to waive non-statutory requirements and escalate blockers for immediate resolution.	戦時的アプローチによる障害排除。データ共有、運用認可（ATO）、試験・評価・認証、契約、採用・人材管理、その他迅速な実験・実戦配備を阻害する政策上の障害を排除しなければならない。リスクトレードオフや「衡平性」といった主観的判断は、戦時下と同様の姿勢で臨む。このためCDAOには戦時CDAOとして、情報担当長官と連携し、全軍を率いる指導者たちのペース推進を支援するため、法定義務及び委任権限を最大限活用し、クロスドメインデータアクセスや迅速なATO相互承認を含むAI能力提供を加速させることを期待する。米国戦略研究局（USW(R&E)）は、非法定要件の免除権限と即時解決のための障害エスカレーション権限を有する月次「障壁除去委員会」を設置する。
Competition > Centralized Planning. As America's AI ecosystem demonstrates, robust competition by small teams, with transparent metrics for results, is the engine of commercial AI leadership. We must bring this model into the Department and encourage robust competition to spur faster military AI integration. Small, accountable teams will win over process in a race characterized by dynamic and unpredictable innovation. We will measure success through continuous field experimentation: putting AI capabilities in operators' hands, gathering feedback within days not years, and pushing updates faster than the enemy can adapt. I direct CDAO to establish AI system usage and mission impact metrics for evaluating the success of these AI acceleration efforts. To enable market dynamics to drive resourcing, decisions about future resourcing and deprecation of associated capabilities will principally be made on the basis of these metrics.	競争＞中央集権的計画。米国のAIエコシステムが示す通り、透明性のある成果指標に基づく小規模チームによる活発な競争こそが、商業AI分野におけるリーダーシップの原動力である。このモデルを国防総省に導入し、軍事AI統合を加速させるための活発な競争を促進しなければならない。ダイナミックで予測不可能なイノベーションが特徴の競争では、小規模で責任あるチームがプロセスに勝る。成功は継続的な実戦実験で測定する：AI能力を運用者の手に委ね、数年ではなく数日以内にフィードバックを収集し、敵が適応するより速く更新を推進する。CDAOに対し、これらのAI加速努力の成功を評価するためのAIシステム使用率と任務影響度指標の確立を指示する。市場原理による資源配分を可能とするため、将来の資源配分及び関連能力の廃止に関する決定は、主にこれらの指標に基づいて行われる。
AI-Native Warfighting. Together with capability innovation, we must more fully incorporate AI and Autonomy into military planning; tactics, techniques and procedures (TTP) development; and experimentation processes. I direct each Service Chief and Combatant Commander to designate an AI Integration Lead within 30 days, who will work with the CDAO and be responsible for the co-evolution of AI-enabled capabilities with warfighting concepts and experimentation. I direct CDAO to establish criteria for robust experimentation with AI capabilities. And I direct the Joint Staff to designate a senior official to monitor Service AI warfighting concept development and workflow optimization, and provide me with progress reports on a quarterly basis. We must put aside legacy approaches to combat and ensure we use this disruptive technology to compound the lethality of our military. Exercises and experiments that do not meaningfully incorporate AI and autonomous capabilities will be reviewed by the Director of Cost Assessment and Program Evaluation for resourcing adjustment.	AIネイティブ戦闘。能力革新と並行して、軍事計画、戦術・技術・手順（TTP）開発、実験プロセスにAIと自律性をより完全に組み込む必要がある。各軍種長官及び戦闘司令官に対し、30日以内にAI統合責任者を指名するよう指示する。当該責任者はCDAOと連携し、AI活用能力と戦闘概念・実験の共進化を主導する。CDAOに対し、AI能力の堅牢な実験基準を確立するよう指示する。また統合参謀本部に対し、各軍の人工知能戦闘概念開発と業務フロー最適化を監視する上級責任者を指名し、四半期ごとに進捗報告を提出するよう指示する。我々は従来の戦闘手法を捨て、この破壊的技術を活用して軍の殺傷能力を増幅させねばならない。人工知能と自律能力を実質的に組み込まない演習・実験は、資源配分の見直しのためコスト評価・計画評価局長による審査を受ける。
Modular Open Architectures. In the AI arms race, system architectures must enable component replacement at commercial velocity to maintain overmatch. I direct Military Department and Component Program Managers acquiring AI capabilities to enforce Modular Open System Architectures (MOSA) along with the "DoD Data Decrees," exposing modular interfaces and associated documentation sufficient for third-party integration without prime contractor support.	モジュラー・オープン・アーキテクチャ。AI軍拡競争において、システムアーキテクチャは商業レベルの速度で部品交換を可能にし、優位性を維持しなければならない。AI能力を調達する軍事部門及び構成部隊のプログラム管理官に対し、モジュラー・オープン・システム・アーキテクチャ（MOSA）と「国防総省データ指令」を徹底するよう指示する。これにより、主要請負業者の支援なしに第三者が統合可能なモジュラーインターフェースと関連文書を公開する。
Clarifying "Responsible Al" at the Do W - Out with Utopian Idealism, In with Hard-Nosed Realism. Diversity, Equity, and Inclusion and social ideology have no place in the DoW , so we must not employ AI models which incorporate ideological "tuning" that interferes with their ability to provide objectively truthful responses to user prompts. The Department must also utilize models free from usage policy constraints that may limit lawful military applications. Therefore, I direct the CDAO to establish benchmarks for model objectivity as a primary procurement criterion within 90 days, and I direct the Under Secretary of War for Acquisition and Sustainment to incorporate standard "any lawful use" language into any DoW contract through which AI services are procured within 180 days. I also direct the CDAO to.ensure all existing AI policy guidance at the Department aligns with the directives laid out in this memorandum.	国防総省における「責任あるAI」の明確化 - ユートピア的理想主義を排し、現実主義を採用せよ。多様性・公平性・包摂性（DEI）や社会思想は国防総省に存在すべきでない。従って、ユーザープロンプトへの客観的真実回答を妨げる思想的「調整」を施したAIモデルを採用してはならない。国防総省はまた、合法的な軍事用途を制限する可能性のある利用方針の制約を受けないモデルを利用しなければならない。したがって、私はCDAOに対し、90日以内にモデル客観性のベンチマークを主要調達基準として確立するよう指示する。また、調達・維持担当国防次官に対し、180日以内にAIサービスが調達される国防総省契約に標準的な「あらゆる合法的利用」条項を組み込むよう指示する。さらにCDAOに対し、国防総省内の既存AI政策指針を全て本覚書に定める指示と整合させるよう指示する。
Becoming An AI-First Department	AIファーストの省となるために
The time is now to accelerate AI integration, and we will put the full weight of the Department's leadership, resources, and expanding corps of private sector partners into accelerating America's Military AI Dominance.	今こそAI統合を加速する時だ。我々は国防総省の指導力、資源、拡大する民間パートナー群の全力を結集し、米国の軍事AI優位性の加速に注ぐ。
Becoming an "AI-First" warfighting force requires more than integrating Al into existing workflows. It requires re-imagining how existing workflows, processes, TTPs, and operational concepts would be designed if current AI technology existed when they were created- and then re-inventing them accordingly.	「AIファースト」の戦闘部隊となるには、既存ワークフローへのAI統合だけでは不十分だ。既存のワークフロー、プロセス、戦術・技術・手順（TTP）、作戦概念が、現在のAI技術が存在していた時代に設計されていたらどうなったかを再考し、それに応じて再構築する必要がある。
We must drive this transformation across every aspect of the Department. The expectations outlined above must become technological "AI fitness standards" for our Joint Force. 2026 will be there year we emphatically raise the bar for Military AI Dominance.	この変革を国防総省のあらゆる側面で推進しなければならない。上記で示した期待事項は、統合軍にとって技術的な「AI適性基準」となるべきだ。2026年は軍事AI優位性の基準を断固として引き上げる年となる。

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.18 防衛省 AI活用推進基本方針 (2024.07.02)

重点的にAIを活用する範囲...

① 目標の探知・識別
② 情報の収集・分析
③ 指揮統制
④ 後方支援業務
⑤ 無人アセット
⑥ サイバーセキュリティ
⑦ 事務処理作業の効率化

・2024.08.18 英国防衛科学技術研究所 AIとデータサイエンス:防衛科学技術能力, 国防AI戦略

・2023.11.29 米国国防総省 AI導入戦略 (2023.11.02)

2026.01.20 00:00 in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

ドイツ EUDIウォレットの接続を適切に準備する - 行政機関向け行動指針 (2026.01.16)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局（BSI）がEUデジタルID（EUID）ウォレットの接続に関する行政機関向けの行動指針（Ver.0.6です）を公表していますね...

eIDASが2024.04.30に発行され、施行がせまっています...ドイツでは、EUIDを2026.12.24までにEUIDを発行し、市民が利用できるようにすることになっていますね...それに向けた追い込みという感じですかね...

EUIDについては、今更説明することもないかもですが、日本のマイナンバー制度と比較すると、設計思想から違いますよね。。。

日本のマイナンバーが行政の効率化のために国民が協力する形（結果的に税金が有効に使われるので国民の利益になるし、国民も効率的業務のおかげて時間や手間が節減できメリットはあります）で、行政機関がマイナンバーと基本４情報を一元管理し、市民に電子証明書（署名用と利用者証明用）の入ったマイナンバーカードをというプラスティックカードを配布していますね。。。ただし、行政機関はすべての行政事務でマイナンバーを使うわけではありません。

EUDIウォレットの場合は、デジタル主権とEU域内の相互運用を利用目的においているように思います。そして、EU市民がその情報を管理することになるため、EU市民が利用するかどうかを自ら決めることができます。各政府は利用を求められたら利用させないといけない。それゆえ、EU加盟国政府は必ず、EUDIウォレットを行政事務で使えるようにしておかなければならない。そして個人が政府に示すデータの範囲も選択できるようになっています。。。かなり民主的（EUの価値観に基づいていますから...）。使いなさいではなく、市民から利用したいと言われれば使える状態にしておく。。。

さて、うまくいきますか...うまくいけば、日本も参考していってもよいかもです...

● BSI

・2026.01.16 Anbindung der EUDI-Wallet richtig vorbereiten - Handlungsleitfaden für Behörden

Anbindung der EUDI-Wallet richtig vorbereiten - Handlungsleitfaden für Behörden	EUDIウォレットの接続を正しく準備する - 行政機関向け行動指針
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Handlungsleitfaden zur Anbindung der EU Digital Identity Wallet (EUDI-Wallet) veröffentlicht. Er richtet sich an Digitalisierungsverantwortliche in Behörden, die sich bereits vor dem offiziellen Start informieren möchten, wie eine sichere Anbindung des europaweit geplanten Wallet-Ökosystems an die behördeneigene IT-Infrastruktur gelingen kann. Die in erster Fassung vorgelegte Veröffentlichung stellt die möglichen unterschiedlichen Rollen von Behörden und weiteren Beteiligten dar. Dazu zählen beispielsweise Herausgebende von Personenidentifizierungsdaten oder elektronischen Attributsbescheinigungen und die hierauf vertrauenden Parteien.	ドイツ連邦情報セキュリティ局（BSI）は、EUDI ウォレット（欧州デジタル ID ウォレット）の接続に関する行動指針を発表した。これは、当局のデジタル化責任者向けに、欧州全域で計画されているウォレットのエコシステムを当局の IT インフラに安全に接続する方法を、正式な開始前に知っておきたいと考える人々を対象としている。初版で発表されたこのガイドは、当局やその他の関係者が担う可能性のあるさまざまな役割について述べている。これには、例えば、個人識別データや電子属性証明書の発行者、およびそれらを信頼する当事者が含まれる。
Der Handlungsleitfaden vermittelt einen Überblick über die geplante europäische und nationale EUDI-Wallet-Architektur und stellt deren Akteure sowie die Kernfunktionalitäten vor. Dies umfasst zum Beispiel die Identifizierung sowie Authentifizierung von Teilnehmenden des Wallet-Ökosystems, elektronische Signaturen oder Siegel sowie Ausgabe und Empfang elektronischer Attributsbescheinigungen. Die zukünftige Anbindung an das Ökosystem wird aus der Perspektive von Behörden dargestellt. Speziell für diese werden exemplarische Anbindungsmöglichkeiten aufgezeigt. Um der fortlaufenden Entwicklung des Wallet-Ökosystems gerecht zu werden, soll der Handlungsleitfaden regelmäßig aktualisiert werden.	この行動指針は、計画されている欧州および各国の EUDI ウォレットのアーキテクチャの概要を説明し、その関係者や中核的な機能を紹介している。これには、例えば、ウォレットエコシステムの参加者の識別および認証、電子署名または電子シール、電子属性証明書の発行および受信などが含まれる。将来的なエコシステムへの接続は、当局の観点から説明されている。特に当局向けに、接続の可能性の例が示されている。ウォレットエコシステムの継続的な発展に対応するため、この行動指針は定期的に更新される予定だ。
Sichere Nachweise als europäische Lösung	欧州のソリューションとしての安全な証明
Bereits heute nutzen viele Menschen Wallets-Apps auf dem Smartphone, um Tickets, Bank- oder Bordkarten ohne Papierausdruck oder Plastikkarte mit sich zu führen. Auch die EUDI-Wallet ist eine digitale Brieftasche - jedoch für amtliche und andere Dokumente wie Personalausweis, Führerschein oder Befähigungszeugnisse. Basierend auf der europäischen eIDAS-Verordnung soll die EUDI-Wallet in der ganzen Europäischen Union anerkannt werden. Auch die Datensouveränität ist geregelt: Nutzerinnen und Nutzer entscheiden selbst, welche Daten für welchen Zweck an welche Stelle weitergeben werden.	今日、多くの人々がスマートフォンでウォレットアプリを利用し、紙やプラスチックカードを使わずにチケット、銀行カード、搭乗券などを携帯している。EUDI ウォレットもデジタル財布だが、身分証明書、運転免許証、資格証明書などの公的文書やその他の文書を保管するためのものだ。欧州の eIDAS 規則に基づき、EUDI ウォレットは欧州連合全域で認められる予定だ。データ主権も規定されており、ユーザーは、どのデータをどの目的でどの機関に提供するかについて、自ら決定する。

・[PDF] Handlungsleitfaden zur Anbindung der EUDI-Wallet Version 0.6

・[DOCX][PDF] 仮訳

1. Einleitung	1. はじめに
1.1 Überblick zur EUDI Wallet-Architektur	1.1 EUDI ウォレットアーキテクチャの概要
1.2 Begrifflichkeiten im Kontext des EUDI Wallet-Ökosystems	1.2 EUDI ウォレットエコシステムにおける用語
1.3 Akteure im EUDI-Wallet-Ökosystem	1.3 EUDI ウォレットエコシステムの関係者
1.3.1 Nutzende der EUDI Wallet	1.3.1 EUDI ウォレットのユーザー
1.3.2 Anbieter von Personenidentifizierungsdaten (PID)	1.3.2 個人識別データ（PID）プロバイダー
1.3.3 Authentische Quelle	1.3.3 真正な情報源
1.3.4 Anbieter qualifizierter elektronischer Attributsbescheinigungen (QEAA)	1.3.4 認定電子属性証明書（QEAA）の提供者
1.3.5 Anbieter von elektronischen Attributsbescheinigungen einer öffentlichen Stelle (PuB-EAA)	1.3.5 公的機関による電子属性証明の提供者 (PuB-EAA)
1.3.6 Anbieter nicht-qualifizierter elektronischer Attributsbescheinigungen (EAA)	1.3.6 非認定電子属性証明書（EAA）の提供者
1.3.7 Vertrauende Partei (Relying Party)	1.3.7 信頼当事者（Relying Party）
1.3.8 Anbieter qualifizierter elektronischer Signaturen und Siegel	1.3.8 認定電子署名および認定電子シールの提供者
1.4 Deutsches Architekturkonzept	1.4 ドイツのアーキテクチャコンセプト
1.5 Weiterführende Informationen	1.5 詳細情報
2. Kernfunktionalitäten der EUDI-Wallet	2. EUDI ウォレットのコア機能
2.1 Identifizierung und Authentifizierung	2.1 識別および認証
2.1.1 Personenidentifizierungsdaten	2.1.1 個人識別データ
2.1.2 Ausstellung der PID und Übertragung an Dritte	2.1.2 PID の発行と第三者への転送
2.1.3 Authentisierung eines Nutzenden	2.1.3 ユーザー認証
2.2 Elektronische Signaturen und Siegel	2.2 電子署名および電子シール
2.2.1 Abgrenzung elektronische Signaturen und Siegel	2.2.1 電子署名と電子シールの区別
2.2.2 Arten von Signaturverfahren	2.2.2 署名方式の種類
2.2.3 Beispielhafter Ablauf einer Fernsignaturerstellung	2.2.3 遠隔署名作成の例
2.3 Elektronische Attributsbescheinigungen	2.3 電子属性証明書
2.3.1 QEAA	2.3.1 QEAA
2.3.2 Verpflichtende Überprüfung der Mindestattribute für QEAAs	2.3.2 QEAA の最低属性の義務的な検証
2.3.3 PuB-EAA	2.3.3 PuB-EAA
2.3.4 Beispielhafter Prozess der Ausstellung einer QEAA	2.3.4 QEAA の発行プロセスの例
2.4 Weitere Services	2.4 その他のサービス
3. Praktische Anbindung an das EUDI-WalletÖkosystem	3. EUDI ウォレットエコシステムへの実用的な接続
3.1 Anbindung als Vertrauende Partei	3.1 信頼当事者としての接続
3.1.1 Definition benötigter Attribute	3.1.1 必要な属性の定義
3.1.2 Prüfung der Anforderungen an Attribute	3.1.2 属性要件の検証
3.1.3 Notwendigkeit einer direkten Anbindung prüfen	3.1.3 直接接続の必要性の確認
3.2 Registrierung als Vertrauende Partei	3.2 信頼当事者としての登録
3.3 Anbindung als authentische Quelle im EUDI-Wallet-Ökosystem	3.3 EUDI ウォレットエコシステムにおける信頼できる情報源としての接続
3.4 Registrierung durch Mitgliedsstaat	3.4 加盟国による登録
3.5 Etablierung eines Pilot-Geschäftsprozesses von Ende-zu-Ende	3.5 エンドツーエンドのパイロットビジネスプロセスの確立
4. Zusammenfassung und Ausblick	4. まとめと展望
5. Glossar	5. 用語集

参考...

● EUR-Lex

eIDAS2.0規則...

・2024.04.30 Regulation (EU) 2024/1183 of the European Parliament and of the Council of 11 April 2024 amending Regulation (EU) No 910/2014 as regards establishing the European Digital Identity Framework

欧州委員会：EUDIウォレット実装規則（コア機能）

・2024.12.04 Commission Implementing Regulation (EU) 2024/2979 of 28 November 2024 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the integrity and core functionalities of European Digital Identity Wallets

欧州委員会：EUDIウォレット実装規則（ウォレットの認証）

・2024.12.04 Commission Implementing Regulation (EU) 2024/2981 of 28 November 2024 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and the Council as regards the certification of European Digital Identity Wallets

● EUCommission EU委員会

EUIDのウェブページ

・EU Digital Identity Wallet

● まるちゃんの情報セキュリティ気まぐれ日記

欧州

・2026.01.07 欧州サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

・2025.09.03 欧州 ETSI TR 119 476-1 V1.3.1 電子署名と信頼基盤（ESI）；属性電子証明への選択的開示とゼロ知識証明の適用；第1部：実現可能性調査

・2025.07.28 欧州委員会未成年者の保護に関するガイドライン - デジタルサービス法関係（2025.07.14）

・2025.05.31 欧州 ETSI TS 119 471 V1.1.1 電子署名と信頼基盤（ESI）；電子属性証明サービスのプロバイダに対する方針およびセキュリティ要件 (2025.05)

・2024.12.09 欧州 ENISA 欧州連合におけるサイバーセキュリティの状況に関する報告書（2024）(2024.12.03)

・2024.09.27 ENISA EUデジタルID(EUDI)ウォレットの認証をサポート (2024.09.24)

・2024.07.09 欧州 ETSI 電子署名と信頼基盤（ESI）；属性の電子認証に適用される選択的開示とゼロ知識証明の分析

・2024.03.21 ENISA 遠隔身元証明 (Remote ID Proofing) の優れた実践

・2024.02.03 ENISA サイバーセキュリティ認証の市場

・2023.10.04 欧州委員会デジタルの10年 2023年 (2023.09.27)

・2023.07.05 ENISA デジタルID標準

・2023.06.14 ENISA トラストサービス-eIDASエコシステムのクラウドへの安全な移転

英国

・2024.10.13 英国認定デジタル ID および属性サービスについて

日本

・2025.10.17 デジタル庁 DS-511 行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン (2025.09.30)

・2025.04.02 デジタル庁本人確認ガイドライン改定方針令和6年度とりまとめ (2025.04.01)

・2024.07.11 デジタル庁本人確認ガイドラインの改定に向けた有識者会議本人確認ガイドライン改定方針令和5年度中間とりまとめ

・2023.06.30 デジタル庁「DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の改定に向けた中間取りまとめ

・2022.07.02 デジタル庁デジタル社会推進標準ガイドラインにセキュリティに関するドキュメントが追加されましたね。。。

・2025.08.03 米国 NIST SP 800-63-4 デジタル ID ガイドライン (2025.07.31)

・2024.11.18 米国意見募集 NIST SP 800-157r1 派生個人アイデンティティ検証（PIV）クレデンシャル・ガイドラインと、SP 800-217 個人アイデンティティ検証（PIV）連携ガイドラインの最終ドラフト

・2024.10.10 米国 NIST IR 8480（初期公開ドラフト）アイデンティティ管理のための属性妥当性確認サービス：アーキテクチャ、セキュリティ、プライバシー、運用上の考慮事項

・2024.08.24 米国 NIST SP 800-63-4（第2次公開草案）デジタル・アイデンティティ・ガイドライン他...

・2024.04.25 米国 NIST SP 800-63B [補足 1] NIST SP 800-63B: デジタル・アイデンティティ・ガイドライン - 認証およびライフサイクル管理への同期可能な本人認証の組み込み

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

・

2026.01.20 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2026.01.19

英国 ICO 個人データ越境移転ガイダンスの改訂 (2026.01.16)

こんにちは、丸山満彦です。

英国のデータコミッショナ事務局（ICO）が個人データの越境移転のためのガイダンスを改訂し、公表していますね...

EUのGDPRの移転ルールをベースのルールに対して、「簡素化」「明確化」を通じた「実務負担の軽減」を図っていえるようです。

例えば、「3ステップテスト」という概念を導入していますね...

ステップ1：個人データが英国の域外に送られるか？ （物理的な移転だけでなく、リモートアクセスも含む。）
ステップ2：受領者がUK GDPRの適用を受けないか？（英国の域外でも、UK GDPRが域外適用される場合は移転に該当しない。）
ステップ3：受領者がデータを第三国の法制度に基づき自由に利用できるか？（受領者が英国の指示に従う契約上の義務を負っている場合は、移転に該当しない）

TIA（Transfer Impact Assessment）が重すぎるという批判に対して、「実質的リスク（realistic possibility）」の概念を導入し、国家監視制度の（過度な）詳細分析を要求しないことにより企業側の負担を減らしています...明確化の観点からは、テンプレートを刷新し、実務で使いやすい形式にし、クラウド利用やリモートアクセスのケースを具体例として追加しているようです...

それとガイダンスに簡易版をつくり、詳細版は分冊的にしていますね...

影響がある日本企業もあると思います...

● Information Commissioner's office: ICO

プレス...

・2026.01.15 Updated guidance on international transfers published

Updated guidance on international transfers published	国際的な個人データ移転に関するガイダンスを更新
We have updated and enhanced our guidance on international transfers of personal information, making it quicker for businesses to understand and comply with the transfer rules under UK GDPR.	個人データの国際移転に関するガイダンスを更新・強化した。これにより、企業は英国GDPRに基づく移転規則をより迅速に理解し、遵守できるようになる。
The updated guidance clearly sets out key requirements, reduces complexity and supports the responsible transfer of personal information – evidencing our commitment to supporting innovation and economic growth.	更新されたガイダンスは主要な要件を明確に示し、複雑さを軽減し、個人データの責任ある移転を支援する。これはイノベーションと経済成長を支援する我々の取り組みを証明するものだ。
The streamlined guidance sets out a clear ‘three step test’ for organisations to use to identify if they’re making restricted transfers and we’ve added new content to help provide clarity on areas we know organisations have questions on. Additional new content has been added on roles and responsibilities, which reflects the complexity of multi-layered transfer scenarios. In addition, a brief guide, quick reference FAQs and a Glossary will support organisations which don’t have specialist knowledge or experience in making international transfers.	簡素化された本ガイダンスでは、組織が制限付き移転を行っているかどうかを識別するための明確な「3ステップテスト」を提示している。また、組織から質問が多い分野について明確化を図るため、新たな内容を追加した。多層的な移転シナリオの複雑さを反映し、役割と責任に関する追加情報も盛り込まれた。加えて、国際移転に関する専門知識や経験を持たない組織を支援するため、簡易ガイド、クイックリファレンスFAQ、用語集を用意した。
The update is part of an ongoing project which will further develop parts of our guidance, such as our approach to transfer risk assessments (TRAs), and additional guidance on the international data transfer agreement (IDTA) and cloud services. We also plan to add an interactive tool to help organisations identify whether they’re making a restricted transfer, and more examples and case studies that reflect the complexity of global transfer scenarios.	今回の更新は継続的なプロジェクトの一環であり、リスクアセスメント（TRA）へのアプローチや、国際データ移転契約（IDTA）およびクラウドサービスに関する追加ガイダンスなど、当庁のガイダンスの一部をさらに発展させる予定だ。また、組織が制限付き移転を行っているかどうかを識別するための対話型ツールや、グローバルな移転シナリオの複雑さを反映した追加事例・ケーススタディの追加も計画している。
To further support organisations with their approach to international transfers, we are hosting a webinar to talk through the changes and highlight the main things organisations making or advising on restricted transfers need to know.	国際移転への取り組みをさらに支援するため、変更点の説明と、制限付き移転を実施または助言する組織が知っておくべき主要事項を解説するウェビナーを開催する。

ガイダンスはこちら...

International transfers	国際的な移転
On this page you’ll find guidance you need to support your international transfers of personal information. It’s suitable for all types of organisation.	このページでは、個人情報の国際的な移転を支援するために必要なガイダンスを提供する。あらゆる種類の組織に適している。
Brief guidance	簡易ガイダンス
A brief guide to international transfers	国際的な移転に関する簡易ガイド
The rules about transferring personal information to other countries – including checklists to help you identify and make a 'restricted transfer'.	他国への個人情報移転に関する規則——「制限付き移転」を識別し実施するためのチェックリストを含む。
Detailed guidance	詳細なガイダンス
A guide to international transfers	国際的な移転に関するガイド
The rules about transferring personal information to other countries – when the rules about transferring information to other countries apply, how to make what we call a 'restricted transfer', and who has responsibility for complying with the rules.	個人情報を他国へ移転する際の規則について。他国への情報移転に関する規則が適用される場合、いわゆる「制限付き移転」の実施方法、規則遵守の責任主体を説明する。
Adequacy regulations	十分性規則
Guidance on adequacy regulations and when they apply – including a list of current UK adequacy regulations. There’s also specific information on the UK’s adequacy regulations for the US (the UK Extension), with checklists to help you comply.	十分性規則とその適用時期に関するガイダンス。現在の英国における十分性規則の一覧を含む。米国向け英国十分性規則（英国拡張）に関する特定情報も掲載。遵守を支援するチェックリスト付き。
Appropriate safeguards	適切な保護措置
Guidance on the safeguards permitted under UK GDPR, including the UK IDTA, Addendum and UK BCRs, and when they become appropriate safeguards for restricted transfer of personal information. Previous content on IDTAs and BCRs has been moved here.	英国GDPR下で認められる保護措置に関するガイダンス。英国IDTA、補遺、英国BCRを含む。これらが個人情報の制限付き移転における適切な保護措置となる条件を解説。IDTAとBCRに関する過去コンテンツは本ページへ移動済み。
Completing a transfer risk assessment	移転リスクアセスメントの実施
Guidance on what a transfer risk assessment (TRA) is, when you need a TRA, and how to complete one. A TRA is now referred to in UK legislation as a “data protection test” but we still use the term ‘transfer risk assessment’ and TRA in our guidance.	移転リスクアセスメント（TRA）の定義、実施が必要な場合、および実施方法に関するガイダンス。TRAは現在英国法で「データ保護テスト」と呼ばれているが、本ガイダンスでは従来通り「移転リスクアセスメント」およびTRAという用語を使用する。
Using an exception	例外規定の適用
Guidance on the exceptions from the rules on restricted transfers (called “derogations” in the legislation) and when you can use them.	制限付き移転に関する規則の例外（「法令では免除」と呼ばれる）と、その適用可能な状況についてのガイダンス。
Receiving personal information from the EEA	EEAからの個人情報受領
Guidance about receiving personal information from the EEA – including the EU adequacy decisions for the UK and information to help navigate the UK and EU data protection regimes. It replaces our previous guidance on Data protection and the EU.	EEAからの個人情報受領に関するガイダンス。英国に対するEUの十分性認定や、英国とEUのデータ保護制度を把握するための情報を含む。従来の「データ保護とEU」ガイダンスに代わるものである。
Resources	リソース
Glossary	用語集
A list of frequently used terms or phrases used in this guidance and their definitions.	本ガイダンスで頻繁に使用される用語やフレーズの一覧とその定義。
Quick reference FAQs	クイックリファレンスFAQ
Answers to some of the questions we're asked about most often about restricted transfers	制限付き移転に関して最も頻繁に寄せられる質問への回答。

2026.01.19 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

ドイツ BSIがセキュリティや主権機能の設計を支援したAWS 欧州ソブリンクラウドが開始した (2026.01.15)

こんにちは、丸山満彦です。

日本ではソブリンクラウドについてなんとなく話されている程度ですが、欧州では戦略的に体系立てて整理され、実装にむけて進んでいますね...で、AWSを利用した欧州ソブリンクラウドが開始されたという話です...

● BSI

・2025.01.15 AWS European Sovereign Cloud startet: BSI unterstützt bei Ausgestaltung von Sicherheits- und Souveränitätsmerkmalen

AWS European Sovereign Cloud startet: BSI unterstützt bei Ausgestaltung von Sicherheits- und Souveränitätsmerkmalen	AWS European Sovereign Cloud が開始：BSI がセキュリティおよび主権機能の設計を支援
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt den US-Cloud-Anbieter Amazon Web Services (AWS) bei der Ausgestaltung von Sicherheits- und Souveränitätsmerkmalen seiner heute gestarteten European Sovereign Cloud (ESC): einer eigenständigen Cloud-Infrastruktur, die sich vollständig innerhalb der EU befindet und deren Betrieb physisch wie auch logisch von der globalen AWS-Instanz unabhängig sein wird.	ドイツ連邦情報セキュリティ局（BSI）は、米国のクラウドプロバイダーである Amazon Web Services（AWS）が本日開始した European Sovereign Cloud（ESC）のセキュリティおよび主権機能の設計を支援している。ESC は、EU 域内に完全に設置され、物理的および論理的にグローバルな AWS インスタンスから独立して運用される、独立したクラウドインフラストラクチャである。
BSI-Präsidentin Claudia Plattner: „Um mit digitalen Innovationen Schritt zu halten und gleichzeitig digitale Souveränität zu ermöglichen, verfolgt das BSI eine Doppelstrategie. Erstens: Der europäische Markt und die hiesige Digitalindustrie müssen gestärkt werden. Zweitens: Außereuropäische globale Produkte müssen so angepasst und eingebettet werden, dass eine sichere und selbstbestimmte Nutzung möglich wird. Voraussetzung dafür sind im Bereich Cloud-Computing innovative Angebote, die als europäische Instanzen sowohl technisch als auch organisatorisch unabhängig betrieben werden. Die Zukunft der Hyperscaler in Europa sind daher Angebote wie die AWS European Sovereign Cloud. Als Cybersicherheitsbehörde Deutschlands freuen wir uns, dass wir zu deren Konzeption beitragen können. Wir werden die Umsetzung der Sicherheits- und Souveränitätsmerkmale eng begleiten.“	BSI のクラウディア・プラットナー会長は、「デジタルイノベーションに遅れを取らないよう、同時にデジタル主権を実現するため、BSI は 2 つの戦略を追求している。まず、欧州市場と欧州のデジタル産業を強化すること。次に、欧州以外のグローバル製品を、安全かつ自主的な利用が可能になるよう調整し、組み込むことだ。その前提条件としては、クラウドコンピューティングの分野において、技術的にも組織的にも独立して運営される、革新的なサービスが必要だ。したがって、ヨーロッパにおけるハイパースケーラーの未来は、AWS European Sovereign Cloud のようなサービスにある。ドイツのサイバーセキュリティ機関として、その構想に貢献できることを嬉しく思う。我々は、セキュリティと主権の特徴の実装を密接に支援していくつもりだ。」
Stéphane Israël, Managing Director AWS European Sovereign Cloud and Digital Sovereignty: „Europa braucht Zugang zu führender Cloud- und KI-Technologie. Die Erweiterung der AWS Innovationen in Europa wird dabei helfen, das Wachstum unserer Kunden und ihre KI-Ambitionen voranzutreiben. Kunden wollen das Beste aus beiden Welten – sie möchten die komplette Palette der fortschrittlichen Cloud- und KI-Services von AWS nutzen können und gleichzeitig sicherstellen, dass sie strengste Souveränitätsanforderungen erfüllen können. Indem wir eine Cloud aufbauen, die in ihrer Technologie, ihrem Betrieb und ihrer Kontrolle vollständig europäisch ist, ermöglichen wir Organisationen, mit Zuversicht zu innovieren und dabei die vollständige Kontrolle über ihre digitalen Ressourcen zu behalten.“	ステファン・イスラエル、AWS European Sovereign Cloud and Digital Sovereignty マネージングディレクター：「ヨーロッパは、最先端のクラウドおよび AI テクノロジーへのアクセスを必要としている。ヨーロッパにおける AWS のイノベーションの拡大は、お客様の成長と AI に関する野心の推進に貢献するだろう。顧客は、両方の長所を最大限に活用したいと考えている。つまり、AWS の先進的なクラウドおよび AI サービスをすべて利用しながら、最も厳しい主権要件も満たすことを望んでいる。技術、運用、管理のすべてにおいて完全にヨーロッパのクラウドを構築することで、組織は自信を持ってイノベーションを推進しながら、デジタルリソースを完全に管理し続けることができるようになる。」
Um Souveränität faktisch zu gewährleisten, sollte die AWS European Sovereign Cloud aus Sicht des BSI technische und strukturelle Souveränitätsmerkmale kombinieren: Zu den wichtigsten Aspekten gehört dabei neben der technischen Unabhängigkeit von der globalen Partition ein technisch und organisatorisch eigenständiges Personal der europäischen Cloud-Infrastruktur, das den Regelbetrieb (einschließlich der kontinuierlichen Schließung von Sicherheitslücken) sicherstellt und ausschließlich aus EU-Bürgern zusammengesetzt ist. Darüber hinaus ist es aus Sicht des BSI unabdingbar, durch technische Kontrollschichten zum einen zu verhindern, dass Nutzerdaten aus dem EU-Raum abfließen können, und zum anderen auszuschließen, dass eine externe Steuerung oder auch Abschaltung (sog. Kill-Switch) der Instanz vorgenommen werden kann. Dies betrifft auch Updates, welche in die ESC eingespielt werden.	主権を事実上確保するためには、BSI の見解では、AWS European Sovereign Cloud は技術的および構造的な主権の特徴を組み合わせていなければならない。その最も重要な側面としては、グローバルパーティションからの技術的独立性に加え、欧州のクラウドインフラストラクチャの技術的および組織的に独立したスタッフがいることが挙げられる。このスタッフは、通常の運用（セキュリティギャップの継続的な解消を含む）を確保し、EU 市民のみで構成される。さらに、BSI の見解では、技術的な制御層によって、EU 域外へのユーザーデータの流出を防止するとともに、外部からの制御やインスタンスの停止（いわゆるキルスイッチ）を不可能にすることが不可欠だ。これは、ESC に導入されるアップデートにも当てはまる。
Im nächsten Schritt wird das BSI den Status der Entkopplungsfähigkeit und die Umsetzung u.a. der genannten Souveränitätsmaßnahmen prüfen und bewerten sowie zur weiteren Optimierung der Souveränitätsmerkmale der AWS ESC beitragen.	次のステップとして、BSI は、分離可能性のステータス、および上記の主権対策などの実施状況を検証・評価し、AWS ESC の主権特性のさらなる最適化に貢献する予定だ。
Im Laufe des Jahres wird das BSI auf Basis des EU Cloud Sovereignty Framework allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen. Diese Kriterien sollen als Grundlage für die Bewertung des Autonomiegrades von Cloud-Lösungen dienen und u.a. auch in Beschaffungsprozessen eingesetzt werden können.	今年中に、BSI は EU クラウド主権フレームワークに基づいて、クラウドコンピューティングソリューションの一般的な主権基準を発表する予定だ。これらの基準は、クラウドソリューションの自律性の程度を評価するための基礎として、また調達プロセスなどで活用することができる。

・2025.10 [PDF] Cloud Sovereignty Framework Version 1.2.1 – Oct. 2025

・[DOCX][PDF] 仮訳

参考

主権目標

#	Sovereignty Objectives	主権目標	Sovereignty Objectives Descriptions	主権目標の説明
SOV-1	Strategic Sovereignty	戦略的主権	Strategic sovereignty captures the degree to which the services of a cloud provider (or technology actor) are anchored within the European Union legal, financial, and industrial ecosystem. It assesses ownership stability, governance influence, and alignment with EU strategic priorities.	戦略的主権とは、クラウドプロバイダ（または技術アクター）のサービスが、欧州連合の法的・金融・産業エコシステムにどの程度定着しているかを示すものである。所有権の安定性、ガバナンスへの影響力、EUの戦略的優先事項との整合性を評価する。
SOV-2	Legal & Jurisdictional Sovereignty	法的・管轄主権	Legal & Jurisdictional sovereignty evaluates the legal environment, exposure to foreign authority, and enforceability of rights that govern the services of a technology provider. It determines the extent to which the services are anchored in European jurisdiction and insulated from external legal claims.	法的・管轄主権は、技術プロバイダのサービスを統治する法的環境、外国当局への曝露、権利の執行可能性を評価する。サービスが欧州の管轄権にどの程度定着し、外部からの法的請求から隔離されているかを決定する。
SOV-3	Data & AI Sovereignty	データ・AI主権	Data & AI sovereignty focuses on the protection, control, and independence of data assets and AI services within the EU. It addresses how data is secured, where it is processed, and the degree of autonomy customers retain over AI capabilities.	データ・AI主権は、EU域内におけるデータ資産とAIサービスの防御、管理、独立性に焦点を当てる。データの防御方法、処理場所、顧客がAI機能に対して保持する自律性の程度を扱う。
SOV-4	Operational Sovereignty	運用主権	Operational sovereignty measures the practical ability of EU actors to run, support, and evolve a technology independently of foreign control. It focuses on continuity of operations, skill availability, and resilience against external dependencies.	運用主権とは、EU関係者が外国の支配を受けずに技術を運用・支援・進化させる実践的能力を測るものである。運用継続性、技能の可用性、外部依存に対するレジリエンスに焦点を当てる。
SOV-5	Supply Chain Sovereignty	サプライチェーン主権	Supply chain sovereignty evaluates the geographic origin, transparency, and resilience of the technology supply chain, focusing on the extent to which critical components and processes remain under EU control or exposed to non-EU dependencies.	サプライチェーン主権は、技術サプライチェーンの地理的起源、透明性、レジリエンスを評価する。重要部品やプロセスがEUの管理下に留まるか、非EU依存に晒されるかの程度に焦点を当てる。
SOV-6	Technology Sovereignty	技術主権	Technology sovereignty evaluates the degree of openness, transparency, and independence in the underlying technological stack, ensuring EU actors can interoperate, audit, and evolve solutions without lock-in to foreign proprietary systems.	技術主権は、基盤となる技術スタックの開放性、透明性、独立性の程度を評価する。これにより、EU関係者が外国の独自システムに縛られることなく、相互運用、監査、ソリューションの進化を実現できることを保証する。
SOV-7	Security & Compliance Sovereignty	セキュリティ・コンプライアンス主権	Security & Compliance sovereignty measures the extent to which security operations, compliance obligations, and resilience measures are controlled within the EU, ensuring independence from foreign jurisdictions and long-term operational assurance.	セキュリティ・コンプライアンス主権は、セキュリティ運用、コンプライアンス義務、レジリエンス対策がEU域内で管理されている程度を測定し、外国の管轄権からの独立性と長期的な運用保証を確保する。
SOV-8	Environmental Sustainability	環境持続可能性	Environmental sustainability assesses autonomy and resilience of cloud services over the long term in relation to energy usage, dependency and raw material scarcity.	環境持続可能性は、エネルギー使用量、依存度、原材料の不足に関して、クラウドサービスの長期的な自律性とレジリエンスを評価する。

主権効果保証レベル（SEAL）

主権効果保証レベル	Sovereignty Effectiveness Assurance Levels Descriptions	主権有効性保証レベルの説明
SEAL-0	No Sovereignty:	主権なし：
SEAL-0	Service, technology or operations under exclusive control of non-EU third parties, governed entirely in non-EU jurisdictions.	サービス、技術、または運用が非EUサードパーティの独占的支配下にあり、完全に非EU管轄区域で管理されている状態。
SEAL-1	Jurisdictional Sovereignty:	管轄権主権：
SEAL-1	EU law formally applies with limited practical enforceability; service, technology or operations under exclusive control of non-EU third parties.	EU法が形式的に適用されるが、実際の執行力は限定的である。サービス、技術、または運営は非EUサードパーティの独占的支配下にある。
SEAL-2	Data Sovereignty:	データ主権：
SEAL-2	EU law applicable and enforceable, with material non-EU dependencies remaining; service, technology or operations under indirect control of non-EU third parties.	EU法が適用され執行可能だが、EU域外への重要な依存関係が残存する。サービス、技術、または業務がEU域外のサードパーティの間接的な管理下にある。
SEAL-3	Digital Resilience:	デジタルレジリエンス：
SEAL-3	EU law applicable and enforceable, EU actors exercising meaningful but not full influence; service, technology or operations under marginal control of non-EU third parties.	EU法が適用可能かつ執行可能だが、EU関係者は実質的影響力を行使するものの完全な支配権は有さない。サービス、技術、または運用が非EUサードパーティの軽微な支配下にある。
SEAL-4	Full Digital Sovereignty:	完全なデジタル主権：
SEAL-4	Technology and operations under complete EU control, subject only to EU law, with no critical non-EU dependencies.	技術と運用は完全にEUの管理下にあり、EU法のみに従う。重要な非EU依存関係は存在しない。

主権目標の評価要素

#	主権目標	Contributing factors	評価要素
SOV-1	戦略的主権	- Ensuring that bodies having decisive authority over your services are located within EU jurisdiction,	- サービスに対する決定権限を持つ団体がEUの管轄区域内に所在することを保証する。
		- Evaluating the assurances against change of control.	- 支配権の変更に対する保証を評価する。
		- Degree to which the provider relies on financing coming from EU sources.	- プロバイダがEU域内からの資金調達に依存する度合い。
		- Extent of investment, jobs, and value creation within EU.	- EU域内における投資、雇用創出、価値創造の規模。
		- Involvement in EU initiatives, Consistency with digital, green, and industrial sovereignty objectives defined at EU level.	- EUイニシアチブへの関与。EUレベルで定義されたデジタル主権、グリーン主権、産業主権の目標との整合性。
		- Ability to sustain secure operations against requests to cease or suspend the service, or if vendor support is withdrawn or disrupted.	- サービスの停止・中断要求、あるいはベンダーサポートの撤回・中断が発生した場合でも、安全な運用を維持する能力。
SOV-2	法的・管轄権主権	- The national legal system governing the provider’s operations and contracts.	- プロバイダの運営と契約を規定する国内法体系。
		- Degree of exposure to non-EU laws with cross-border reach (e.g., US CLOUD Act, Chinese Cybersecurity Law).	- 域外適用のある非EU法（例：米国クラウド法、中国サイバーセキュリティ法）へのエクスポージャー度合い。
		- Existence of legal, contractual, or technical channels through which non-EU authorities could compel access to data or systems.	- EU域外の当局がデータやシステムへのアクセスを強制できる法的、契約上、技術的な経路の存在。
		- Applicability of international regimes, which may restrict usage or transfer.	- 使用や移転を制限する可能性のある国際的な規制の適用性。
		- Location of intellectual property creation, registration, and development (EU vs. third countries), legal jurisdiction where IP is created and developed.	- 知的財産の創出、登録、開発の場所（EU対第三国）、知的財産が創出・開発される法的管轄区域。
SOV-3	データとAIの主権	- Ensuring that only the customer, not the provider, has effective control over cryptographic access to their data.	- 顧客のみが、プロバイダではなく、自らのデータへの暗号アクセスを効果的に制御できることを保証する。
		- Visibility into when, where, and by whom data is accessed, including auditability of AI model usage, mechanisms guaranteeing irreversible removal of data, with verifiable evidence.	- データがいつ、どこで、誰によってアクセスされたかの可視性。これにはAIモデル使用の監査可能性、データの不可逆的削除を保証するメカニズム、検証可能な証拠が含まれる。
		- Strict confinement of storage and processing to European jurisdictions, with no fallback to third countries.	- 保存と処理を欧州の管轄区域に厳格に限定し、第三国へのフォールバックを一切認めないこと。
		- Extent to which AI models and data pipelines are developed, trained, hosted, and governed under EU control, minimizing dependency on non-EU technology stacks.	- AIモデルとデータパイプラインがEUの管理下で開発、トレーニング、ホスティング、ガバナンスされる範囲を拡大し、EU外の技術スタックへの依存を最小限に抑えること。
SOV-4	運用主権	- Ease of migrating workloads or integrating with alternative EUcontrolled solutions without vendor lock-in.	- ベンダーロックインなしに、ワークロードの移行や代替となるEU管理ソリューションとの統合が容易であること。
		- Capacity for EU operators to manage, maintain, and support the technology without requiring non-EU vendor involvement	- EU 事業者が、EU 域外のベンダーの関与を必要とせずに、技術を管理、保守、サポートする能力。
		- Existence of an EU-based talent pool with the expertise to operate and sustain the service.	- サービスを運用・維持する専門知識を持つEU拠点の人材プールが存在すること。
		- Assurance that operational support is delivered from within the EU and subject exclusively to EU legal frameworks	- 運用サポートがEU域内から提供され、EUの法的枠組みのみに従うことが保証されていること。
		- Availability of full technical documentation, source code, and operational know-how enabling long-term autonomy.	- 長期的な自律性を可能にする完全な技術文書、ソースコード、運用ノウハウが利用可能であること。
		- Location and legal control of critical suppliers or subcontractors involved in service delivery.	- サービス提供に関わる重要なサプライヤーや下請け業者の所在地と法的管理。
SOV-5	サプライチェーン主権	- Geographic source of key physical parts, manufacturing location - countries where hardware is manufactured or assembled	- 主要な物理部品の地理的調達源、製造場所 - ハードウェアが製造または組み立てられる国々
		- Jurisdiction and provenance of embedded code controlling hardware, firmware	- ハードウェアを制御する組み込みコードの管轄権と来歴証明、ファームウェア
		- Origin of Software: where and by whom software is architected and programmed, location and jurisdiction governing software packaging, distribution, and updates.	- ソフトウェアの起源：ソフトウェアが設計・プログラミングされた場所と担当者、ソフトウェアのパッケージング、配布、更新を管轄する場所と管轄区域。
		- Degree of reliance on non-EU vendors, facilities, or proprietary technologies	- 非EUベンダー、施設、または独自技術への依存度
		- Visibility into the entire supplier and sub-supplier chain, including audit rights.	- サプライヤー及び下請けサプライヤーの全チェーンに対する可視性、監査権を含む。
SOV-6	技術主権	- Ability to integrate with other technologies through well-documented and non-proprietary APIs or protocols, extent to which the solution adheres to publicly governed and widely adopted standards, reducing dependency on single vendors	- 文書化され非専有のAPIやプロトコルを介した他技術との統合能力、公開ガバナンスされ広く採用された標準への準拠度合い、単一ベンダーへの依存低減
		- Whether software is accessible under open licenses, with rights to audit, modify, and redistribute, ensuring transparency and adaptability	- ソフトウェアがオープンライセンスで利用可能か、監査・修正・再配布の権利が付与されているか。透明性と適応性を確保する
		- Visibility into the design and functioning of the service, including architectural documentation, data flows, and dependencies	- サービスの設計と機能に関する可視性。これにはアーキテクチャ文書、データフロー、依存関係が含まれる。
		- Degree of EU independence in high-performance computing capabilities, including processors, accelerators, and software ecosystems.	- プロセッサ、アクセラレータ、ソフトウェアエコシステムを含む、高性能コンピューティング能力におけるEUの自立性の度合い。
SOV-7	セキュリティとコンプライアンスの主権	- Attainment of EU and internationally recognized certifications (e.g., ISO, ENISA schemes)	- EUおよび国際的に認められた認証（例：ISO、ENISAスキーム）の取得
		- Adherence to GDPR, NIS2, DORA, and other EU frameworks	- GDPR、NIS2、DORA、その他のEU枠組みへの準拠
		- Security Operations Centres and response teams operating exclusively under EU jurisdiction, control over security monitoring/logging - customer or EU authority ability to oversee logs, alerts, and monitoring functions directly.	- EUの管轄下で専ら運営されるセキュリティオペレーションセンター（SOC）および対応チーム。セキュリティ監視・ロギングの管理権限 - 顧客またはEU当局がログ、アラート、監視機能を直接監督する能力。
		- Transparent, timely, and EU-compliant reporting of breaches or vulnerabilities, maintenance Autonomy - ability to develop, test, and apply security patches independently of non-EU vendors	- 侵害や脆弱性に関する透明性のある、タイムリーでEU準拠の報告、保守自律性 - 非EUベンダーから独立してセキュリティパッチを開発、テスト、適用する能力
		- Capacity for EU entities to perform independent security and compliance audits with full access.	- EU 事業体が完全なアクセス権を持って独立したセキュリティおよびコンプライアンス監査を実施する能力。
SOV-8	環境持続可能性	- Adoption of energy-efficient infrastructure (e.g., low PUE) and measurable improvement targets.	- エネルギー効率の高いインフラ（例：低PUE）の採用と測定可能な改善目標。
		- Circular economy practices ensuring reuse, refurbishment, and responsible end-of-life treatment of hardware.	- ハードウェアの再利用、改修、責任ある廃棄処理を保証する循環経済の実践。
		- Transparent measurement and disclosure of carbon emissions, water usage, and other sustainability indicators.	- 炭素排出量、水使用量、その他の持続可能性指標の透明性のある測定と開示。
		- Sourcing of renewable or low-carbon energy to power infrastructure and operations	- インフラと運営に電力を供給するための再生可能エネルギーまたは低炭素エネルギーの調達。

参考...

● EUR-Lex

EUのデジタル主権を支える包括的サイバー安全保障戦略...

・2020.12.16 JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL The EU's Cybersecurity Strategy for the Digital Decade JOIN/2020/18 final

データ法

・2023.12.22 Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (Text with EEA relevance)

NIS2指令

・2022.12.27 Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)

データガバナンス法

・2022.06.03 Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (Text with EEA relevance)

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.08 英国王立防衛安全保障研究所 (RUSI) 諜報機関が商用クラウドサービスを利用するということはどういうことか？

2026.01.19 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in クラウド | Permalink | Comments (0)
Tweet

2026.01.18

ドイツ BSI 初のEUCC認証が発行されまたした... (2026.01.13)

こんにちは、丸山満彦です。

EUCCの認証を発行したようですね...

第一号はインフィニオンセキュリティコントローラです...

BSIのプレス。。。

●　BSI

・2026.01.13 Erstes EUCC-Zertifikat des BSI erteilt

Erstes EUCC-Zertifikat des BSI erteilt	BSI が初の EUCC 認証を発行
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 13. Januar 2026 erstmals ein Zertifikat nach EU Cybersecurity Certification Scheme on Common Criteria (EUCC) übergeben. BSI-Vizepräsident Thomas Caspers übergab das Zertifikat an Thomas Rosteck, Chief Security Advisor Infineon Technologies AG.	2026年1月13日、ドイツ連邦情報セキュリティ庁（BSI）は、EUサイバーセキュリティ認証スキーム（EUCC）に基づく認証を初めて発行した。BSI副社長のトーマス・キャスパーズが、インフィニオン・テクノロジーズAGの最高セキュリティ顧問であるトーマス・ロステックに認証書を授与した。
Das EUCC-Zertifizierungsschema ist unter dem Cyber Security Act (CSA) im Rechtsrahmen der Europäischen Union verankert. Es ersetzt die bisherigen nationalen Common Criteria Zertifizierungsschemata nach CC bzw. ISO/IEC 15408 sowie das freiwillige europäische SOGIS-Abkommen zur gegenseitigen Anerkennung von CC-Zertifikaten. Dem SOGIS-Abkommen gehörten nur ein Teil der EU-Mitglieder an. EUCC-Zertifikate werden innerhalb der gesamten EU anerkannt.	EUCC 認証スキームは、欧州連合の法的枠組みであるサイバーセキュリティ法（CSA）に規定されている。これは、CC または ISO/IEC 15408 に基づく従来の各国共通基準認証スキーム、および CC 認証の相互承認に関する欧州の任意協定であるSOGIS 協定に取って代わるものである。SOGIS 協定には、EU 加盟国の一部のみが加盟していた。EUCC 認証は EU 全域で認められている。
Das BSI hat den Umstellungsprozess von SOGIS zu EUCC im vergangenen Jahr erfolgreich abgeschlossen und ist bei der EU als EUCC-Zertifizierungsstelle notifiziert.	BSI は昨年、SOGIS から EUCC への移行プロセスを無事に完了し、EU に EUCC 認証機関として登録されている。
Das Zertifikat mit der Zertifizierungsnummer EUCC-3087-2025-12-0001 wurde für einen Security Controller von Infineon ausgestellt. Dieser ist für den Einsatz in Smartcards vorgesehen und bietet verschiedensten sicherheitsrelevanten Anwendungen eine sichere Ausführungsplattform. Die Verwendungsmöglichkeiten reichen von kontaktlosen elektronischen Ausweisdokumenten über Sicherheits- und Bezahlkarten bis hin zu individuellen Anwendungszwecken.	認証番号 EUCC-3087-2025-12-0001 の認証は、インフィニオン社のセキュリティコントローラに対して発行された。これはスマートカードでの使用を目的としており、さまざまなセキュリティ関連アプリケーションに安全な実行プラットフォームを提供する。その用途は、非接触型電子身分証明書、セキュリティカード、決済カードから、個別の用途まで多岐にわたる。
Die Zertifizierung durch das BSI schafft Vertrauen für eine sichere Digitalisierung in Europa.	BSI による認証は、ヨーロッパにおける安全なデジタル化への信頼を築くものである。

ENISAのページ...

● EUCC -

スキーム...

・EUCC Certification Scheme

・・EU Cybersecurity Certification Scheme on Common Criteria (EUCC)

規制について...

・EU Regulatory Context

EU委員会のページ...

認証機関

・Bodies

今のところ27機関あります...

2026.01.18 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in IoT | Permalink | Comments (0)
Tweet

2026.01.17

英国 NCSC 運用技術（OT）のためのセキュアな接続の原則 (2026.01.14)

こんにちは、丸山満彦です。

英国国家サイバーセキュリティセンター（NCSC）が、オーストラリア信号局傘下のオーストラリアサイバーセキュリティセンター（ASD's ACSC）、カナダサイバーセキュリティセンター（Cyber Centre）、  米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、米国連邦捜査局（FBI）、ドイツ連邦情報セキュリティ庁（BSI）、オランダ国立サイバーセキュリティセンター（NCSC-NL）、ニュージーランド国立サイバーセキュリティセンター（NCSC-NZ）と連携して、OTのためのセキュアな接続の原則を作成したようですね...Fice eyes + ドイツ + オランダ...

今回発表され、独立したPDFとしても利用できるようになっていますが、NCSCのOTセキュリティシリーズの1つという位置付けですかね...

NCSCのOTセキュリティの目次的なもの...薄紫の部分が今回の部分...

Operational Technology	運用技術
Creating and maintaining a definitive view of your OT architecture	OTアーキテクチャの確定的な見解の作成と維持
Introduction	序論
Principle 1: Define processes for establishing and maintaining the definitive record	原則1：確定記録の確立と維持のためのプロセスを定義する
Principle 2: Establish an OT information security management programme	原則2：OT情報セキュリティ管理プログラムを確立する
Principle 3: Identify and categorise assets to support informed risk-based decisions	原則3：情報に基づいたリスクベースの意思決定を支援するため、資産を識別し分類する
Principle 4: Identify and document connectivity within your OT system	原則4：OTシステム内の接続性を識別し文書化する
Principle 5: Understand and document third-party risks to your OT system	原則5：OTシステムに対するサードパーティリスクを理解し文書化する
Secure connectivity principles for operational technology (OT)	運用技術（OT）のための安全な接続原則
Introduction	序論
Principle 1: Balance the risk and opportunities	原則1：リスクと機会のバランスを取る
Principle 2: Limit the exposure of your connectivity	原則2：接続のエクスポージャーを制限する
Principle 3: Centralise and standardise network connections	原則3：ネットワーク接続を集中化・標準化する
Principle 4: Use standardised and secure protocols	原則4：標準化され安全なプロトコルを使用する
Principle 5: Harden your OT boundary	原則5：OT境界を強化する
Principle 6: Limit the impact of compromise	原則6：侵害の影響を制限する
Principle 7: Ensure all connectivity is logged and monitored	原則7：全ての接続を記録・監視する
Principle 8: Establish an isolation plan	原則8：隔離計画を確立する
Examples to support organisations implementing OT guidance	OTガイダンス導入を支援する事例
Secure Connectivity - Operational OT Data Export Example	セキュア接続 - OTデータエクスポート事例
Using PAWs in OT environments	OT環境におけるPAWsの活用
Cloud-hosted supervisory control and data acquisition (SCADA)	クラウドホスト型監視制御・データ収集システム（SCADA）
Understanding the business drivers and cloud opportunities	ビジネス推進要因とクラウド機会の理解
Organisational readiness	組織の準備状況
Technology and cloud solutions suitability	技術とクラウドソリューションの適合性
ICS Community of Interest (COI)	ICS関連コミュニティー（COI）

● NCSC

・Operational Technology - Secure connectivity principles for operational technology (OT)

・[PDF]

ポイント絞って...

Introduction	序論
Operational technology (OT) environments - which have long been centred on safety, uptime, and operational continuity - are now more interconnected than ever.	従来、安全性、稼働時間、業務継続性を中心に据えてきた運用技術（OT）環境は、今やかつてないほど相互接続が進んでいる。
Driven by the need for increased efficiency, agility, and integration, these advancements offer significant operational benefits (such as real-time analytics remote monitoring and administration, and predictive maintenance), but they also introduce risks.	効率性、俊敏性、統合性の向上が求められる中、こうした進歩はリアルタイム分析、遠隔監視・管理、予知保守といった大きな運用上の利点をもたらす一方で、新たなリスクも生み出している。
Organisations deploying or operating OT systems often face challenges in prioritising cyber security due to operational constraints, such as dependence on legacy technologies that were never designed for modern connectivity or security requirements. These challenges are compounded by the increasing use of third party vendors, remote access solutions, and supply chain integrations, which expand the potential attack surface. In an OT environment, risks are elevated since a cyber intrusion can lead to physical harm, environmental impact, or potentially the disruption of an operator of essential service (OES).	OTシステムを展開・運用する組織は、運用上の制約からサイバーセキュリティの優先順位付けに課題を抱えることが多い。例えば、現代の接続性やセキュリティ要件を考慮せずに設計されたレガシー技術への依存などが挙げられる。こうした課題は、サードパーティベンダー、リモートアクセスソリューション、サプライチェーン統合の増加によってさらに複雑化し、潜在的な攻撃対象領域を拡大している。OT環境では、サイバー侵入が物理的損害、環境への影響、あるいは重要サービス事業者（OES）の機能停止につながる可能性があるため、リスクは高まる。
Exposed and insecure OT connectivity is known to be targeted by both opportunistic and highly capable actors. This activity includes state-sponsored actors actively targeting critical national infrastructure (CNI) networks. The threat is not just limited to state-sponsored actors with recent incidents demonstrating exposed OT infrastructure is opportunistically targeted by hacktivists.	露出した不安全なOT接続は、機会主義的な攻撃者と高度な能力を持つ攻撃者の双方から標的とされることが知られている。この活動には、国家支援アクターが重要国家インフラ（CNI）ネットワークを積極的に標的とするケースも含まれる。脅威は国家支援アクターに限定されず、最近のインシデントでは露出したOTインフラがハクティビストによる機会主義的な標的となっていることが示されている。
Strengthening the cyber security of CNI, including securing OT connections, can challenge attackers' efforts and raise the threshold necessary to cause physical harm, environmental impact, and disruption.	CNIのサイバーセキュリティ強化（OT接続の保護を含む）は、攻撃者の活動を阻害し、物理的危害・環境影響・機能停止を引き起こすためのハードルを高くする。
Prioritising systems	システムの優先順位付け
Due to potentially limited resources, organisations may not be able to complete all mitigating steps at once. When prioritising systems within your organisation, some topics that should be considered are:	リソースが限られている場合、組織は全ての緩和対策を一括で完了できない可能性がある。組織内でシステムを優先順位付けする際、考慮すべき事項は以下の通りだ：
・The role and impact of the device or process to your operations, including the ability to control and/or monitor key functions.	・運用におけるデバイスやプロセスの役割と影響度（主要機能の制御・監視能力を含む）
・The presence of fail‑safe systems or redundant systems that maintain availability and reduce the risk of unsafe operating conditions or service outages.	・可用性を維持し、危険な稼働状態やサービス停止リスクを低減するフェイルセーフシステムや冗長システムの有無
・The time it would take to implement the change, including currently available funds and complexity. Keep in mind that the cheapest option may not be the most impactful option to securing connectivity.	・変更実施に要する時間（現有資金と複雑性を含む）。接続性確保において、最も安価な選択肢が必ずしも最も効果的とは限らない点に留意せよ。
・Active threat activity from attackers ranging in sophistication, including the consideration for current geo-political events and the potential national security significance of your organisation and/or your customers' organisations.	・攻撃者の高度化が進む脅威活動の実態。これには、現在の地政学的状況や、自社および顧客組織の国家安全保障上の重要性への配慮も含まれる。
Principles-based guidance	原則に基づく指針
This guidance outlines the desirable end-states that organisations should look to achieve when designing connectivity into OT environments. They are intended as goals rather than minimum requirements.	本指針は、OT環境への接続性を設計する際に組織が達成すべき望ましい最終状態を概説する。これらは最低限の要件ではなく、目標として位置付けられる。
System owners should use these principles as a framework to design, implement, and manage secure OT connectivity, for both new and existing OT systems. These principles are particularly critical for operators of essential services.	システム所有者は、新規・既存のOTシステム双方において、安全なOT接続性を設計・実装・管理するための枠組みとしてこれらの原則を活用すべきである。特に重要サービス事業者はこれらの原則を厳守する必要がある。
Integrators and device manufacturers are encouraged to make these principles easier for organisations to achieve, through providing products that are secure by design, easy to implement and maintain. Integrators and manufacturers should ensure they are providing documentation to allow organisations to assess connectivity risks. It is especially important that this documentation is available for 'turnkey' solutions, allowing operators to understand the design and implement appropriate security controls throughout the system's lifecycle.	インテグレーターおよびデバイスメーカーは、設計段階で安全性を確保し、実装・保守が容易な製品を提供することで、組織がこれらの原則を達成しやすくすることが推奨される。インテグレーターと製造事業者は、組織が接続リスクを評価できる文書を提供することを保証すべきである。特に「ターンキー」ソリューションでは、運用者が設計を理解し、システムのライフサイクル全体を通じて適切なセキュリティ制御を実施できるよう、この文書が提供されていることが重要である。
Principle 1: Balance the risk and opportunities	原則1：リスクと機会のバランスを取る
Before you undertake any design work for new or existing connections to your OT environment, you must ensure you are equipped to make risk-informed decisions about when, how, and where connectivity is permitted within OT systems and to external/third party systems. Ensure these decisions are thoroughly documented to allow the reasoning to be auditable.	OT環境への新規または既存の接続設計に着手する前に、OTシステム内およびサードパーティシステムへの接続をいつ、どのように、どこで許可するかについて、リスクに基づいた判断を下す準備が整っていることを確認しなければならない。これらの決定は、その根拠が監査可能となるよう徹底的に文書化すること。
The first step for all OT connectivity should be the documentation of a formal business case to support decision-making. This should be stored centrally and referred to regularly during the design process. At a minimum the business case should document the following:	全てのOT接続における最初のステップは、意思決定を支える正式なビジネスケースの文書化である。これは一元的に保管され、設計プロセス中に定期的に参照されるべきだ。ビジネスケースには最低限、以下の事項を記載すること：
Requirement:	要件：
is the connection required and what does it aim to achieve?	接続は必要か、その目的は何か？
Business Benefit:	ビジネス上の利点：
what benefits arise from the added connectivity?	追加接続によって生じる利点は何か？
Risk Tolerance:	リスク許容度：
what cyber and operational risks are acceptable?	許容可能なサイバーリスクと運用リスクは何か？
Potential Impacts:	潜在的影響：
what are the potential impacts of a compromise to this connectivity?	この接続が侵害された場合の潜在的影響は何か？
Introduced Dependencies:	導入される依存関係：
will the connection make the system reliant on external services, making isolation harder in an incident?	接続によりシステムが外部サービスに依存するようになり、インシデント発生時の隔離が困難になるか？
Senior Accountability:	上級責任者：
who is the senior risk owner for the new connectivity?	新規接続の上級リスクオーナーは誰か？
For OT environments it is critical to give additional consideration within the business case for both risks to obsolete products and operational risks that could arise from increased connectivity	OT環境においては、陳腐化した製品へのリスクと、接続性増加から生じうる運用リスクの両方について、ビジネスケース内で追加的な検討を行うことが極めて重要である。
At each stage of the design process you should assess if the connectivity is able to meet the risk-thresholds defined in your business case and that it aligns with your organisational threat context. In order to do this effectively you will need to verify your organisation has existing knowledge and processes to support this.	設計プロセスの各段階において、接続性がビジネスケースで定義されたリスク閾値を満たし、組織の脅威状況と整合しているかを評価すべきである。これを効果的に行うには、組織がこれを支援する既存の知識とプロセスを有していることを確認する必要がある。
A comprehensive risk management frame	包括的なリスクマネジメントフレームワーク
Effective control and oversight of your supply chain	サプライチェーンの効果的な管理と監視
Ability to influence:	影響力：
Do you have the ability to influence the security controls architected into the suppliers solution?	サプライヤーのソリューションに組み込まれたセキュリティ制御に影響を与える能力はあるか？
Contractual controls:	契約上の統制：
Does your contract allow you to define and enforce minimum product security requirements, including capabilities for updating, access control, digital forensics and protective monitoring?	契約において、更新機能、アクセス管理、デジタルフォレンジック、保護監視を含む最低限の製品セキュリティ要件を定義し、強制する権限は認められているか？
Component visibility:	コンポーネントの可視性：
Do you know all technologies in the supplied product? Hidden or undocumented devices may alter your connectivity model. This sometimes is referred to as a bill of materials.	提供された製品内の全技術を知っているか？隠れたデバイスや未記載のデバイスは接続モデルを変更する可能性がある。これは部品表（BOM）と呼ばれることもある。
Supplier trustworthiness:	サプライヤーの信頼性：
Consider the supplier's policies, how they protect development and maintenance environments, and how they handle your designs/configurations.	サプライヤーの方針、開発・保守環境の防御方法、設計/構成の取り扱い方法を検討する。
Supplier track-record:	サプライヤーの実績：
Has the supplier previously demonstrated that they respond to security issues and incidents in a mature manner, and do they positively engage with vulnerability researchers.	サプライヤーは過去にセキュリティ問題やインシデントに成熟した対応を示したか。脆弱性研究者と積極的に連携しているか。
Principle 2: Limit the exposure of your connectivity	原則2：接続性のエクスポージャーを制限する
Exposure refers to where an asset sits within the wider system architecture, and how accessible it is to external or adjacent networks, taking into account defence in depth controls. Ultimately, the more assets exposed at the network edge, the broader your attack surface becomes.	エクスポージャーとは、資産が広範なシステムアーキテクチャ内でどこに位置し、多重防御の制御を考慮した上で外部または隣接ネットワークからどの程度アクセス可能かを指す。結局のところ、ネットワークエッジで露出する資産が増えれば増えるほど、攻撃対象領域は広くなる。
To manage this risk, organisations should adopt an exposure management approach. This involves proactively identifying, assessing, and mitigating risks associated with digital assets and their connectivity. This includes evaluating the asset’s placement in the network, the type of connectivity implemented, and the strength of cyber security controls. The NCSC Netherlands exposure management guidance defines categories such as ‘internet or external facing’ and ‘adjacent network-facing’ assets, helping organisations assess exposure levels systematically.	このリスクを管理するため、組織は露出管理アプローチを採用すべきである。これはデジタル資産とその接続性に関連するリスクを、積極的に特定・アセスメント・緩和することを含む。具体的には、ネットワーク内での資産の配置、実装されている接続性の種類、サイバーセキュリティ対策の強度の評価が含まれる。オランダNCSCの露出管理ガイダンスは、「インターネットまたは外部向け」や「隣接ネットワーク向け」といった資産のカテゴリーを定義し、組織が露出レベルを体系的に評価するのを支援している。
It is especially critical to ensure that you are managing the exposure of your admin interfaces. Where possible limit administration of devices or systems to only be achievable through privileged access workstations (PAW), which provide secure and trusted endpoints for system management. When administering critical security controls or obsolete systems via a PAW it may be appropriate to limit administration to only be achievable via local physical access to further reduce the exposure of these interfaces.	管理インターフェースのエクスポージャー管理は特に重要である。可能な限り、デバイスやシステムの管理は特権アクセスワークステーション（PAW）経由でのみ実行可能とし、システム管理用の安全で信頼できるエンドポイントを提供すべきだ。PAW経由で重要なセキュリティ制御や廃止システムを管理する場合、これらのインターフェースのエクスポージャーをさらに低減するため、ローカル物理アクセスによる管理のみを許可することが適切である。
・Reduce time of exposure	・エクスポージャーの短縮
・Remove inbound port exposure	・インバウンドポート露出の排除
・Manage obsolescence risks	・陳腐化リスクの管理
・Manage unique connectivity bearer risks	・固有の接続ベアラリスクの管理
Principle 3: Centralise and standardise network connections	原則3：ネットワーク接続の集中化と標準化
The connectivity models of OT systems can be complicated, involving various stakeholders such as business systems, billing platforms, and external vendors responsible for ongoing maintenance. As organisations evolve, these connectivity models often become more complex, adapting to new business requirements or integrating modernised processes. This increasing complexity can significantly expand the organisation’s attack surface, making it harder to monitor, control, and secure communications across the OT environment. Each additional connection, especially if implemented in an ad hoc or bespoke manner, introduces potential vulnerabilities that attackers can exploit.	OTシステムの接続モデルは複雑になりがちで、業務システム、課金プラットフォーム、継続的な保守を担当する外部ベンダーなど、様々な関係者が関与する。組織が進化するにつれ、新たな業務要件への適応や近代化されたプロセスの統合に伴い、これらの接続モデルはさらに複雑化する。この複雑化の進展は組織の攻撃対象領域を大幅に拡大し、OT環境全体でのコミュニケーションの監視・制御・保護を困難にする。特にアドホックまたは特注方式で実装される追加接続は、攻撃者が悪用可能な潜在的な脆弱性を導入する。
Centralising and standardising connectivity helps address this challenge by consolidating access points and enforcing uniform security controls across the OT estate. A centralised architecture enables consistent monitoring, logging, and enforcement of security policies, making the management overhead of cyber security easier. Standardisation ensures that all connections follow a repeatable and well-understood pattern, reducing the risk of misconfigurations and simplifying the deployment of protective measures such as encryption, authentication, and segmentation.	接続の集中化と標準化は、アクセスポイントを統合しOT資産全体で統一されたセキュリティ制御を適用することで、この課題に対処する。集中型アーキテクチャは、セキュリティポリシーの一貫した監視、記録、適用を可能にし、サイバーセキュリティの管理負担を軽減する。標準化により、すべての接続が再現可能で理解しやすいパターンに従うため、設定ミスのリスクが減少し、暗号化、認証、セグメンテーションなどの保護対策の展開が簡素化される。
To effectively manage your attack surface, it is essential to ensure that your OT remote connectivity should be flexible, repeatable and categorised.	攻撃対象領域を効果的に管理するには、OTリモート接続が柔軟性、再現性、分類性を備えていることが不可欠である。
・Flexible	・柔軟性
・Repeatable	・再現性
・Categorised	・分類
Principle 4: Use standardised and secure protocols	原則4：標準化され安全なプロトコルの使用
In addition to securing the networks and devices used to establish communications, your organisation must also consider the security of the protocols employed.	コミュニケーション確立に使用されるネットワークやデバイスのセキュリティ確保に加え、組織は採用するプロトコルの安全性も考慮しなければならない。
As outlined in Creating and maintaining a definitive view of OT architecture, it is common for industrial environments to prioritise availability over the confidentiality and integrity of communications. It is essential that all components of the confidentiality, integrity & availability (CIA) triad are considered. However, you may prioritise different aspects of CIA depending on the connection. For instance, in field networks, authentication and integrity are essential to limit an attackers' ability to send malicious traffic. Conversely, in north-south traffic at network boundary points, encryption becomes critical to prevent attackers from discerning information on how to impact the system.	「OTアーキテクチャの決定的なビューの作成と維持」で概説されているように、産業環境ではコミュニケーションの機密性や完全性よりも可用性を優先することが一般的である。機密性・完全性・可用性（CIA）の三要素を全て考慮することが不可欠である。ただし、接続形態に応じてCIAの優先順位は異なる。例えばフィールドネットワークでは、攻撃者が悪意のあるトラフィックを送信する能力を制限するため、認証と完全性が重要となる。一方、ネットワーク境界点における南北方向のトラフィックでは、攻撃者がシステムへの影響方法を特定する情報を入手するのを防ぐため、暗号化が極めて重要となる。
・Protocol validation	・プロトコル妥当性確認
・Industrial protocols	・産業用プロトコル
Principle 5: Harden your OT boundary	原則5：OT境界の強化
The prevalence of obsolete assets and weak security controls within the OT environment makes hardening the OT boundary critical. Network segmentation and segregation remain key controls to reduce exposure, where built‑in protections at the device or protocol level may be limited. Although these measures provide a robust first layer of defence, they are even more effective when combined with native security capabilities within OT systems. This could include secure by design devices and authenticated communication protocols.	OT環境における陳腐化した資産と脆弱なセキュリティ対策の蔓延は、OT境界の強化を極めて重要とする。デバイスやプロトコルレベルでの組み込み保護が限定的な場合、ネットワークのセグメンテーションと分離は依然としてエクスポージャーを低減する主要な制御手段である。これらの対策は堅牢な第一防衛層を提供するものの、OTシステム固有のセキュリティ機能と組み合わせることでさらに効果的となる。これには設計段階から安全性を考慮したデバイスや認証付き通信プロトコルが含まれる。
Because many OT systems are difficult to update or replace, the boundary becomes the primary defence against external threats. Organisations should therefore invest in modern, modular, and easily replaceable boundary assets. This could include deploying a firewall with application-layer (Layer 7) inspection capabilities, often referred to as a next-generation firewall. These assets offer greater flexibility for patching, upgrading, and reconfiguring security controls. Importantly, they can be maintained without disrupting core OT operations. This makes them essential for adapting to evolving threats and maintaining long-term resilience.	多くのOTシステムは更新や交換が困難なため、境界が外部脅威に対する主要な防御線となる。組織は現代的でモジュール化され、容易に交換可能な境界資産への投資が必要だ。具体的にはアプリケーション層（レイヤー7）検査機能を備えたファイアウォール、いわゆる次世代ファイアウォールの展開が挙げられる。これらの資産はセキュリティ制御のパッチ適用、アップグレード、再構成において高い柔軟性を提供する。重要なのは、中核的なOT運用を妨げずに維持できる点だ。これにより、進化する脅威への適応と長期的なレジリエンス維持が不可欠となる。
Your OT boundary security controls need to be flexible to enable your boundary to evolve to meet changing threats; if a device or system is directly exposed to an external network it has no additional lines of defence. This means that the failure or compromise of a single control or measure would result in an attacker gaining immediate and complete access to the system.	OT境界のセキュリティ制御は柔軟性を備え、変化する脅威に対応できるよう境界を進化させる必要がある。デバイスやシステムが外部ネットワークに直接露出している場合、追加の防御ラインは存在しない。つまり、単一の制御や対策が失敗または侵害されると、攻撃者は即座にシステムへの完全なアクセス権を獲得することになる。
When designing security across all connections, a layered approach, commonly referred to as defence in depth, should be prioritised.	全接続におけるセキュリティ設計では、多層防御（ディフェンス・イン・デプス）と呼ばれる階層的アプローチを優先すべきだ。
・ OT boundary	・OT境界
・Hardware-based controls	・ハードウェアベースの制御
Principle 6: Limit the impact of compromise	原則6：侵害の影響を限定する
Modern OT networks should be designed with controls that extend beyond the OT boundary. These should implement layered controls that reduce the impact from insider threats, third parties and external compromise. For OT connectivity these layered defences should focus on two main risks:	現代のOTネットワークは、OT境界を越えた制御を設計に組み込むべきだ。これらは内部脅威、サードパーティ、外部侵害の影響を軽減する多層的制御を実施する。OT接続性においては、これらの多層防御は主に二つのリスクに焦点を当てるべきである：
Contamination	汚染
Lateral movement	横方向移動
・Segmentation	・セグメンテーション
・Browse down	・ブラウズダウン
・Boundary controls	・境界制御
Principle 7: Ensure all connectivity is logged and monitored	原則7：全ての接続性を記録・監視する
Even with all possible precautions in place, there remains a risk that your system could be compromised. Monitoring is your last line of defence when designing secure connectivity.	あらゆる予防策を講じた場合でも、システムが侵害されるリスクは残る。安全な接続性を設計する際、監視は最終防衛ラインである。
It is critical that your organisation makes compromise detection easier by implementing comprehensive logging and monitoring throughout your OT environment. These logs will help your organisation establish a baseline of ‘normal’ activity, allowing operators or detection systems to identify abnormalities faster.	組織は、OT環境全体に包括的なログ記録と監視を導入することで、侵害の検知を容易にすることが極めて重要である。これらのログは、組織が「正常」な活動の基準を確立するのに役立ち、オペレーターや検知システムが異常をより迅速に識別することを可能にする。
The end-goal of logging should not just be to collect logs. Instead, you should understand how attackers may seek to exploit your systems though identifying weak points . Then design monitoring and alerting to help identify potential attacks. This can help guide what logging or packet captures you need to support these monitoring and alerting rules. Within OT environments, specific considerations should be made regarding how logging addresses:	ログ記録の最終目標は、単にログを収集することではない。代わりに、攻撃者が弱点を特定してシステムを悪用しようとする方法を理解すべきである。そして、潜在的な攻撃を識別するのに役立つ監視とアラートを設計する。これにより、監視・警報ルールを支えるために必要なログやパケットキャプチャの要件が明確になる。OT環境では、ログ記録が以下の点をどう扱うかについて特に考慮すべきだ：
Principle 8: Establish an isolation plan	原則8：隔離計画の確立
In certain circumstances, it may be necessary to isolate OT environments from external influences. This need can arise from various factors, including increased threats or confirmed compromises within connected systems.	状況によっては、OT環境を外部影響から隔離する必要が生じる。この必要性は、脅威の増大や接続システム内の侵害確認など、様々な要因から生じうる。
The isolation process for the system should be considering any potentials impacts to wider business or any national interdependencies. This plan should be linked to and part of your wider business continuity plans. It should be regularly tested to ensure that the system works as intended, and does not impact your organisation's services.	システムの隔離プロセスでは、事業全体への潜在的影響や国家レベルの相互依存関係を考慮すべきだ。この計画は事業継続計画と連動し、その一部とすべきである。システムが意図した通りに機能し、組織のサービスに影響を与えないことを確認するため、定期的にテストを実施する必要がある。
There are three primary isolation strategies:	主な隔離戦略は三つある：
・Site isolation	・サイト隔離
・Application/service-specific isolation	・アプリケーション／サービス固有の隔離
・Site isolation with hardware-enforced trusted communications	・ハードウェアで強制された信頼通信を伴うサイト隔離

米国CISAからの発表

● CISA

・2026.01.14 Secure Connectivity Principles for Operational Technology (OT)

カナダ CCCS

● CCCS

・2026.01.14 Joint guidance on secure connectivity principles for operational technology

2026.01.17 06:32 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.16

内閣府パブコメ重要電子計算機に対する不正な行為による被害の防止に関する法律施行令案 (2026.01.09)

こんにちは、丸山満彦です。

サイバー対処能力強化法に紐づく施行令案のパブコメです。

法の施行が10月1日からということが提案されています...

JPCEERT/CCの監事をしていますが、この施行令が確定しますと、JPCERT/CCもサイバー対処能力強化法の第41条と第42条第2項に関する事務が委託されることになりますね。。。ちなみに第37条に関する事務はNICTに委託されます。

第42条第1項に関する事務は、IPA、JPCERT/CC、NICTに委託ということになりますね...

重要電子計算機に対する不正な行為による被害の防止に関する法律

（事務の委託）

第七十二条　内閣総理大臣は、第三十七条に規定する事務（選別後通信情報を取り扱うものを除く。）又は第四十一条に規定する事務の一部を、情報処理推進機構その他当該事務について十分な技術的能力及び専門的な知識経験を有するとともに、当該事務を確実に実施することができるものとして政令で定める法人に委託することができる。

２　内閣総理大臣又は電子計算機等供給事業所管大臣は、第四十二条第一項に規定する事務の一部を、情報処理推進機構その他当該事務について十分な技術的能力及び専門的な知識経験を有するとともに、当該事務を確実に実施することができるものとして政令で定める法人に委託することができる。

....

（電子計算機を使用する者に対する周知等）

第四十一条　内閣総理大臣は、重要電子計算機に対する特定不正行為による被害の防止のため必要があると認めるときは、重要電子計算機を使用する者、重要電子計算機に対する特定不正行為に用いられるおそれのある電子計算機を使用する者その他の者に対し、周知等用総合整理分析情報を提供し、又はこれを公表その他の適切な方法により周知することができる。

（電子計算機等供給者に対する情報提供等）

第四十二条　内閣総理大臣又は重要電子計算機として用いられる電子計算機若しくは当該電子計算機に組み込まれるプログラム（以下この条において「電子計算機等」という。）の供給（電子計算機等を他人の情報処理の用に供する役務の提供を含む。以下この条において同じ。）を行う事業を所管する大臣（以下「電子計算機等供給事業所管大臣」という。）は、総合整理分析情報その他の情報により電子計算機等における脆ぜい弱性（電子計算機のサイバーセキュリティを害するおそれがある電子計算機又は電子計算機に組み込まれるプログラムに含まれる要因（当該電子計算機の通常予見される使用形態によらないことにより生ずるものを除く。）をいう。以下この条において同じ。）を認知したときは、必要に応じ、当該電子計算機等に係る電子計算機等供給者（電子計算機等の供給を行う者をいう。以下この条及び第四十五条第二項において同じ。）に対し当該電子計算機等における脆弱性に関する周知等用総合整理分析情報その他の情報（選別後通信情報又は秘密を含むものを除く。）を提供するとともに、当該情報又は当該脆弱性への対応方法について、公表その他の適切な方法により周知することができる。

ということで、パブコメ

● e-Gov

・2026.01.09 [PDF] 重要電子計算機に対する不正な行為による被害の防止に関する法律施行令案

政令第　号

重要電子計算機に対する不正な行為による被害の防止に関する法律施行令

内閣は、重要電子計算機に対する不正な行為による被害の防止に関する法律（令和七年法律第四十二号）第二条第二項各号、第七十二条第一項及び第二項並びに第七十四条第一項及び第三項の規定に基づき、この政令を制定する。

（重要電子計算機）

第一条　重要電子計算機に対する不正な行為による被害の防止に関する法律
（以下「法」という。）第二条第二項第一号の政令で定める電子計算機は、同号イからホまでに掲げる者が使用する電子計算機のうち、次に掲げるものとする。

一　法第二条第二項第一号イからホまでに掲げる者が同号に規定する重要情報（第四項において「重要情報」という。）を記録する電子計算機及び当該電子計算機と電気通信回線で直接又は間接に接続されている電子計算機

二　法第二条第二項第一号イからホまでに掲げる者の事務又は業務のために使用される情報システムの情報処理の用に供され、かつ、他の電子計算機と電気通信回線で直接又は間接に接続されている電子計算機（同号ロ及びニに掲げる者が使用する電子計算機にあっては、次に掲げる電子計算機に限る。）

イ　法第二条第二項第一号イに掲げる者が運用する情報システム、地方公共団体総合行政ネットワーク（全ての地方公共団体においてその使用する電子計算機を相互に電気通信回線で接続して情報の電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。）による流通及び情報処理を行うための情報通信ネットワークをいう。）、住民基本台帳法（昭和四十二年法律第八十一号）第三十条の十七第一項に規定する本人確認情報処理事務を処理するために設けられた情報システムであって地方公共団体情報システム機構が運用するもの又は地方税法（昭和二十五年法律第二百二十六号）第七百六十二条第一号に規定する地方税関係手続用電子情報処理組織に電気通信回線で直接又は間接に接続されている電子計算機

ロ　警察、消防又は防災に係る事務又は業務のために使用される情報システムの情報処理の用に供されている電子計算機

２　法第二条第二項第一号ホの政令で定める法人は、外国人育成就労機構、株式会社国際協力銀行、株式会社日本政策金融公庫、株式会社日本貿易保険、原子力損害賠償・廃炉等支援機構、国立健康危機管理研究機構、新関西国際空港株式会社、脱炭素成長型経済構造移行推進機構、地方公共団体金融機構、地方公共団体情報システム機構、地方税共同機構、日本銀行、日本下水道事業団、日本年金機構、農水産業協同組合貯金保険機構及び預金保険機構とする。

３　法第二条第二項第二号の政令で定める電子計算機は、経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律（令和四年法律第四十三号）第五十条第一項に規定する特定社会基盤事業者が使用する電子計算機のうち、次に掲げるものとする。

一　特定重要設備（経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律第五十条第一項に規定する特定重要設備をいう。以下この項において同じ。）である電子計算機又は特定重要設備の一部を構成する電子計算機

二　特定重要設備と電気通信回線で直接又は間接に接続されている電子計算機（前号に掲げる電子計算機を除く。）であって、当該特定重要設備に対し、当該特定重要設備の機能に影響を与える電磁的記録（法第二条第八項第二号に規定する電磁的記録をいう。次号において同じ。）を送信する機能を有するものとして主務省令（特別社会基盤事業所管大臣（法第四条第一項に規定する特別社会基盤事業所管大臣をいう。第三条第一項において同じ。）及び内閣総理大臣の発する命令をいう。次号において同じ。）で定めるもの

三　第一号に掲げる電子計算機（以下この号において「一号電子計算機」という。）による情報処理の用に供される電磁的記録を作成するために用いられる電子計算機（前二号に掲げる電子計算機を除く。）のうち、当該電磁的記録が一定の期間ごとに当該一号電子計算機に入力されるものであって、当該電磁的記録が当該一定の期間ごとに当該一号電子計算機に入力されなくなった場合には当該一号電子計算機に係る特定重要設備の機能が停止し、又は低下することとなるものとして主務省令で定めるもの

４　法第二条第二項第三号の政令で定める電子計算機は、同号に規定する事業者が使用する電子計算機のうち、重要情報を記録する電子計算機及び当該電子計算機と電気通信回線で直接又は間接に接続されている電子計算機とする。

（情報の整理及び分析等の事務を委託することができる法人）

第二条　法第七十二条第一項の政令で定める法人は、次の各号に掲げる委託を行う事務の区分に応じ、当該各号に定める法人とする。

一　法第三十七条に規定する事務（同条に規定する選別後通信情報を取り扱うものを除く。）　国立研究開発法人情報通信研究機構

二　法第四十一条に規定する事務　一般社団法人ＪＰＣＥＲＴコーディネーションセンター（平成十五年三月十八日に有限責任中間法人ＪＰＣＥＲＴコーディネーションセンターという名称で設立された法人をいう。）

２　法第七十二条第二項の政令で定める法人は、前項各号に定める法人とする。

（権限の委任）

第三条　法第五条の規定並びに法第六条、第九条及び第十条の規定（いずれも法第五条に係る部分に限る。）による特別社会基盤事業所管大臣の権限（次項及び第三項において「特定大臣権限」という。）のうち総務大臣に属する権限は、特別社会基盤事業者の事務所、事業所その他その事業を行う場所の所在地（以下この条において「特別社会基盤事業所在地」という。）を管轄する総合通信局長又は沖縄総合通信事務所長に委任する。ただし、総務大臣が自らその権限を行使することを妨げない。

２　特定大臣権限のうち経済産業大臣に属する権限は、特別社会基盤事業所在地を管轄する経済産業局長に委任する。ただし、経済産業大臣が自らその権限を行使することを妨げない。

３　特定大臣権限のうち国土交通大臣に属する権限は、特別社会基盤事業所在地を管轄する地方整備局長、北海道開発局長、地方運輸局長、運輸監理部長、運輸支局長又は地方航空局長に委任する。ただし、国土交通大臣が自らその権限を行使することを妨げない。

４　法第七十四条第二項の規定により金融庁長官に委任された権限のうち、法第五条の規定並びに法第六条、第九条及び第十条の規定（いずれも法第五条に係る部分に限る。）による権限は、特別社会基盤事業所在地を管轄する財務局長（特別社会基盤事業所在地が福岡財務支局の管轄区域内にある場合にあっては、福岡財務支局長）に委任する。ただし、金融庁長官が自らその権限を行使することを妨げない。

附則

（施行期日）

１　この政令は、法の施行の日（令和八年十月一日）から施行する。

（外国人育成就労機構に関する経過措置）

２　出入国管理及び難民認定法及び外国人の技能実習の適正な実施及び技能実習生の保護に関する法律の一部を改正する法律（令和六年法律第六十号）の施行の日の前日までの間における第一条第二項の規定の適用については、同項中「外国人育成就労機構、株式会社国際協力銀行」とあるのは、「株式会社国際協力銀行」とする。

参考

・[PDF] （参考）重要電子計算機に対する不正な行為による被害の防止に関する法律施行令案（概要）

・[PDF]（参考）重要電子計算機に対する不正な行為による被害の防止に関する法律の施行期日を定める政令案

2026.01.16 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in パブコメ, in 安全保障 | Permalink | Comments (0)
Tweet

フランス CNIL 観光用カメラ：個人のプライバシー保護のために遵守すべき規則を明確化 (2026.01.05)

こんにちは、丸山満彦です。

自治体が観光地をPRするために、公共の場所を映す観光用カメラを設置し、撮影された映像が、自治体のウェブサイトでリアルタイムで公開されるケースが増えているようですが、これらのカメラが意図せずに個人情報を収集・発信していることが判明したということのようです。。。

観光用カメラは禁止されていないけど、

映った人物の識別が可能な状態での配信
車のナンバープレートの記録と発信
カフェのテラスやデモ参加者など、プライベートな生活の瞬間の記録

などがあれば、個人情報の収集となりますよね...で、「正当な利益」となることはありません...

ただ、個人情報を一切収集しないカメラであれば、データ保護法の規制対象にはならないので、

撮影角度を、公共建築物や自然景観に限定する
たとえぼかしであっても、人物、住宅内部（窓や出入口を含む）を映さない

というようなことをすれば、大丈夫ですね、ウェブページにもOK事例とNG事例ものっています...

日本の自治体も気をつけないといけないですね、、、日本のいくつかの自治体のウェブページを見たのですが、違反してそうなものはなかったのですが気をつけないとですね...

参考になります...

● CNIL

・2026.01.05 Caméras touristiques : la CNIL précise les règles à suivre pour protéger la vie privée des personnes

参考まで...

2026.01.16 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2026.01.15

英国 ICO技術展望: エージェント型AI（Agentic AI）

こんにちは、丸山満彦です。

前回は、米国NISTによるAI Agent Systemのセキュリティ強化についてのRFIを紹介しましたが、今回は英国の情報コミッショナー事務局の技術の将来（tech futures）シリーズの2026年版からAgentic AIについての報告書が公表されています...

エージェント型AIに対するICOの理解、エージェント型AIの潜在的な用途、および予想される技術的発展について概説しています。

また、組織がエージェント型AIの導入を検討する際に考慮すべきデータ保護への影響、具体的にはデータ保護上のリスクと機会について、ICOの初期の見解を共有してくれています。

そして、組織がエージェント型AIをどのように採用するか、また今後2～5年間でその能力がどのように発展するかに関する不確実性を探るため、4つの可能性のあるシナリオを示していますね...

ICOはエージェント型AIを次のようにとらえているように思えます...

目標指向で行動し、計画し、ツールを使い、環境に作用するAI
人間の介入なしに意思決定や行動を継続できるAI
複数のAIが協調・競合するマルチエージェント環境も含む

その上で、エージェント型AIは人間がだしたプロンプトを返してくる従来のAIに比べて、より高度なリスクが存在しますよね。。。

例えば、

自律行動による 予期せぬ結果
外部ツール/APIの利用による 攻撃面の拡大
マルチエージェント相互作用による 複雑なリスク連鎖
個人データの収集・推論・共有の 透明性低下
人間の監督が追いつかない 責任の曖昧化

これは個人情報（個人データのみならず）を取り扱う上でも重要になってくるのだろうと思います。例えば、

取扱の透明性
利用目的の限定
利用データの最小化
公正性
自動化された意思決定（ADM）に関する規制

のあたりですかね...

そしてこれから重要となってくる技術分野について

プライバシー保護を組み込んだスキャフォルディング
透明性を高める説明可能性ツール
行動ログ・監査可能性の強化
人間監督を支援するインターフェース
安全なマルチエージェント協調プロトコル

が考えられますね...

報告書の内容は非常に興味深いです...日本も取り組み始めないとですね...

● ICO

・2026.01.08 ICO tech futures: Agentic AI

Foreword	まえがき
In this Tech Futures report on agentic AI, we set out our understanding of the emerging technology, including its potential uses and expected technical developments. We share our early thoughts about the data protection implications that organisations will have to consider as they explore the deployment of agentic AI, including data protection risks and opportunities. We share four possible scenarios to explore the uncertainty around how organisations might adopt agentic AI and how its capabilities might develop over the next two to five years.	本エージェント型AIに関する技術展望報告書では、この新興技術に対する我々の理解、その潜在的な用途、予想される技術的発展について述べる。組織がエージェント型AIの展開を検討する際に考慮すべきデータ保護上の影響、具体的にはデータ保護リスクと機会について、我々の初期の見解を共有する。組織がエージェント型AIをどのように採用するか、また今後2～5年間でその機能がどのように発展するかに関する不確実性を探るため、4つの可能性のあるシナリオを提示する。
Executive summary	エグゼクティブサマリー
Agentic artificial intelligence (AI) is evolving at pace, attracting intense scrutiny from innovators, technology adopters and regulators worldwide. As organisations consider deploying agentic AI, understanding its capabilities and the associated risks is essential.	エージェント型人工知能（AI）は急速に進化しており、世界中のイノベーター、技術導入者、規制当局から強い関心が寄せられている。組織がエージェント型AIの展開を検討する際、その能力と関連するリスクを理解することが不可欠である。
Agentic AI combines the capabilities of generative AI with additional tools and new ways of interacting with the world. This increases the ability of AI systems to work with contextual information, operate using natural human language and automate more open-ended tasks. Agentic AI systems are being developed for use in research, coding, planning and transactions. Their potential applications span commerce, government, the workplace, cybersecurity, medicine and the consumer space. Many believe that agentic capabilities can form the foundation for powerful personal assistants.	エージェント型AIは、生成的AIの能力に追加ツールと新たな世界との相互作用方法を組み合わせる。これにより、AIシステムが文脈情報を活用し、自然な人間の言語を用いて動作し、より自由度の高いタスクを自動化する能力が向上する。エージェント型AIシステムは、研究、コーディング、計画立案、取引での使用を目的に開発されている。その潜在的な応用範囲は、商業、政府、職場、サイバーセキュリティ、医療、消費者領域に及ぶ。多くの専門家は、エージェント型能力が強力なパーソナルアシスタントの基盤となり得ると考えている。
While agentic AI offers some new technological capabilities we are at an early stage in development, with many use cases unproven or at the development stage. At the ICO, we are building a well-informed evidence base about:	エージェント型AIは新たな技術的可能性を提供するものの、開発は初期段階にあり、多くのユースケースは実証されていないか開発中である。ICOでは以下の点について、十分な情報に基づいたエビデンス基盤を構築している：
• where the technology is now; and	• 技術が現在どの段階にあるか、そして
• how to exercise caution about the proven abilities of agentic AI while identifying and managing the data protection issues and risks related to supporting privacy-led innovation.	• 実証済みの能力に対して慎重な対応を講じつつ、プライバシー主導のイノベーションを支える上で生じるデータ保護上の課題やリスクを特定・管理する方法
As developing agentic AI increases the potential for automation, organisations remain responsible for data protection compliance of the agentic AI they develop, deploy or integrate in their systems and processes.	能動的AIの開発が進むにつれ自動化の可能性が高まるが、組織は自らが開発・展開・システム/プロセスに統合する能動的AIのデータ保護コンプライアンスについて責任を負い続ける。
We have already explored in our consultation series on generative AI the many issues that agentic AI shares. Novel agentic AI data protection risks include:	我々は生成的AIに関する一連の協議において、エージェント型AIが共有する多くの課題を既に検討している。新たなエージェント型AIのデータ保護リスクには以下が含まれる：
• issues around determining controller and processor responsibilities through the agentic AI supply chain;	• エージェント型AIのサプライチェーンにおける管理者および処理者の責任範囲の確定に関する問題
• rapid automation of increasingly complex tasks resulting in a larger amount of automated decision-making;	• 複雑化するタスクの急速な自動化による自動意思決定量の増加
• purposes for agentic processing of personal information being set too broadly to allow for open-ended tasks and general-purpose agents;	• オープンエンドなタスクや汎用エージェントを許容するため、個人情報のエージェント処理目的が過度に広く設定されること；
• agentic systems processing personal information beyond what is necessary to achieve instructions or aims;	• 指示や目的達成に必要な範囲を超えて個人情報を処理するエージェント型システム；
• potential unintended use or inference of special category data;	• 特別カテゴリーデータの意図しない使用や推論の可能性；
• increased complexity impacting transparency and the ease with which people can exercise their information rights;	• 透明性や情報権利行使の容易さに影響する複雑性の増大；
• new threats to cyber security resulting from the nature of agentic AI; and	• エージェント型AIの性質に起因する新たなサイバーセキュリティ上の脅威；および
• concentration of personal information facilitating personal assistant agents.	• パーソナルアシスタントエージェントを可能にする個人情報の集中。
One of our key findings from this initial work is that the specific design and architecture of agentic systems impact how data protection law applies and how people exercise their data protection rights. Choices such as the data and tools that a system can access and which governance and control measures to put in place really matter.	この初期調査における主要な知見の一つは、エージェント型システムの具体的な設計とアーキテクチャが、データ保護法の適用方法や人々がデータ保護権利を行使する方法に影響を与えることだ。システムがアクセスできるデータやツール、導入すべきガバナンスや管理措置といった選択は極めて重要である。
Poorly implemented agentic systems will increase the risks of data protection harms. For example, this could include systems that:	不適切に実装されたエージェント型システムは、データ保護上の危害リスクを高める。例えば、以下のようなシステムが該当する：
• have no clear purposes;	• 明確な目的を持たないもの
• are connected to databases not needed for their tasks; or	• 任務に不要なデータベースに接続されているもの
• have no measures in place to secure access, monitor or stop activity, or control the further sharing of information.	• アクセスを保護し、活動を監視・停止し、情報のさらなる共有を制御する措置が全く講じられていないシステム。
The importance of design and architecture also means that there are good opportunities for privacy by design and privacy-friendly innovation in agentic AI, and organisations should use them for responsible deployment. We are already seeing some features and tools intended to address privacy issues.	設計とアーキテクチャの重要性は、エージェント型AIにおいてプライバシーバイデザインやプライバシーに配慮したイノベーションを実現する好機があることも意味する。組織は責任ある展開のためにこれらを活用すべきだ。既にプライバシー問題に対処する意図で設計された機能やツールがいくつか見られる。
We have identified innovation opportunities with agentic AI that have the potential to support data protection and information rights and contribute to privacy-positive outcomes. Potential areas include:	我々は、データ保護と情報権利を支援し、プライバシーに積極的な成果に貢献する可能性を秘めた、エージェント型AIにおけるイノベーションの機会を特定した。潜在的な分野には以下が含まれる：
• data protection compliant agents;	• データ保護に準拠したエージェント
• agentic controls;	• エージェント制御；
• privacy management agents;	• プライバシー管理エージェント；
• information governance agents; and	• 情報ガバナンスエージェント；および
• ways to benchmark and evaluate agentic systems.	• エージェントシステムのベンチマークと評価手法。
Due to the pace of development of agentic AI and the speed at which developers are experimenting, we are trying two new approaches with this report. We are using scenarios of four different potential futures to explore the uncertainty about how agentic AI might be adopted and how its capabilities might develop over the next two to five years.	エージェント型AIの開発ペースと開発者の実験速度を考慮し、本報告書では二つの新たなアプローチを試みる。今後2～5年間におけるエージェント型AIの採用方法や能力発展の不確実性を探るため、四つの異なる将来シナリオを用いる。
The ICO’s role	ICOの役割
Our aim at the Information Commissioner’s Office (ICO) is to ensure that innovation in agentic AI develops in ways that protect people’s information rights, while providing clarity and support for organisations. Our next steps on agentic AI include the following:	情報コミッショナー事務局（ICO）の目的は、自律型AIの革新が人々の情報権利を保護する形で発展するよう確保すると同時に、組織に対して明確さと支援を提供することだ。自律型AIに関する今後の取り組みは以下の通りである：
• Hosting workshops with industry to gather further information on agentic AI, including on agentic capabilities and adoption, and how industry is mitigating data protection and privacy risks.	• 業界とのワークショップを開催し、エージェント型AIに関する追加情報を収集する。これにはエージェント機能や導入状況、業界がデータ保護・プライバシーリスクをどのように緩和しているかなどが含まれる。
• Updating guidance on automated decision-making and profiling, in light of the Data (Use and Access) Act, starting with public consultations in 2026.	• データ（使用およびアクセス）法に照らして、自動化された意思決定およびプロファイリングに関するガイダンスを更新する。2026 年の公開協議から開始する。
• Working with partner regulators through the Digital Regulation Cooperation Forum (DRCF) to understand the cross-regulatory implications of agentic AI and invite innovators to participate in the Thematic Innovation Hub on agentic AI.	• デジタル規制協力フォーラム（DRCF）を通じて、パートナー規制当局と協力し、エージェント型 AI が規制に及ぼす影響を理解するとともに、イノベーターをエージェント型 AI に関するテーマ別イノベーションハブに参加するよう招待する。
• Continuing our work with international partners through the G7 Data Protection Authorities Emerging Technologies Working Group.	• G7 データ保護当局新興技術ワーキンググループを通じて、国際的なパートナーとの協力を継続する。
• Inviting stakeholders working on agentic AI applications to access our innovation support services. For organisations that are in the process of developing innovative products and services using personal information and agentic AI in the public interest, we encourage them to explore our Regulatory Sandbox.	• エージェント型 AI アプリケーションに取り組むステークホルダーに対し、我々のイノベーション支援サービスへのアクセスを呼びかける。公共の利益のために個人情報とエージェント型 AI を使用して革新的な製品やサービスを開発している組織については、我々の規制サンドボックスの利用を検討するよう奨励する。
We would like to encourage and support data protection–focused opportunities in agentic AI. We will address innovation opportunities proactively as agentic AI matures and our role in regulating it develops.	能動的AIにおけるデータ保護に焦点を当てた機会を促進・支援したい。能動的AIが成熟し、我々の規制役割が発展するにつれ、イノベーションの機会を積極的に取り扱う。
We will keep our approach under review as technologies, markets and risks evolve.	技術、市場、リスクが進化するにつれ、我々のアプローチを見直し続ける。

・[PDF]

・[DOCX][PDF] 仮訳

ICO tech futures: Agentic AI	ICO技術展望：エージェント型AI
Foreword	まえがき
Executive summary	エグゼクティブサマリー
The ICO’s role	ICOの役割
Introduction	序論
Why agentic AI?	なぜエージェント型AIなのか？
What are agentic AI and AI agents?	エージェント型AIとAIエージェントとは何か？
Potential use cases	潜在的なユースケース
Agentic commerce	エージェント型コマース
Workplace applications	職場での応用
Government services	政府サービス
Automated cybersecurity applications	自動化されたサイバーセキュリティアプリケーション
Integrated personal assistants	統合型パーソナルアシスタント
Medical sector	医療分野
Technical developments	技術開発
Data protection and privacy risks	データ保護とプライバシーリスク
Human responsibility and controllership	人間の責任と管理責任
Governance	ガバナンス
Automated decision-making	自動化された意思決定
Purpose limitation and data minimisation	目的限定とデータ最小化
Purpose limitation	目的の限定
Data minimisation	データ最小化
Rapid generation of personal information by agentic AI systems	能動的AIシステムによる個人情報の迅速な生成
Special category data and agentic AI	特別カテゴリーデータと能動的AI
Transparency and explainability	透明性と説明可能性
Accountability	説明責任
Accuracy	正確性
Individual information rights and fairness	個人情報の権利と公平性
Fairness	公平性
The role of the data protection officer	データ保護責任者の役割
Challenges in maintaining oversight over novel processing	新たな処理に対する監視を維持する上での課題
Increased complexity of documenting decision-making	意思決定の文書化の複雑化
Evolving role of the DPO	DPOの役割の進化
Agentic AI security threats and mitigations	エージェント型AIのセキュリティ脅威と緩和
Agent business models and the concentration of personal information	エージェント型ビジネスモデルと個人情報の集中
Innovation opportunities – What innovation might the ICO want to see in agentic AI?	イノベーションの機会 – ICOはエージェント型AIにおいてどのようなイノベーションを望むか？
Data protection compliant agents	データ保護に準拠したエージェント
Agentic controls	エージェント制御
Privacy and personal information management agents	プライバシー及び個人情報管理エージェント
Local agents and trusted computing	ローカルエージェントと信頼できるコンピューティング
Freedom of information and data protection agents	情報公開とデータ保護エージェント
Benchmarks and evaluations for agents	エージェントのベンチマークと評価
Scenarios for the future of agentic AI	エージェント型AIの未来シナリオ
Scenario planning	シナリオ計画
Scenario one: Scarce, simple agents (low adoption, low agentic capability)	シナリオ１：希少で単純なエージェント（普及率低、エージェント能力低）
Scenario two: just good enough to be everywhere (high adoption, low agentic capability)	シナリオ2：どこにでも存在する程度の性能（普及率高、エージェント能力低）
Scenario three: Agents in waiting (low adoption, high agentic capability)	シナリオ3：待機状態のエージェント（普及率低、エージェント能力高）
Scenario four: Ubiquitous agents (high adoption, high agentic capability)	シナリオ4：遍在するエージェント（普及率高、能動的能力高）
Next steps	次のステップ
Engagement, guidance development and collaboration	関与、ガイダンスの策定、協力
Digital Regulation Cooperation Forum (DRCF)	デジタル規制協力フォーラム（DRCF）
International engagement	国際的な関与
Annex I: Methodology	附属書 I：方法論
Futurecast	将来予測
Stakeholder engagement	ステークホルダーとの関わり
Scenario planning	シナリオ計画
Steps taken to build and validate scenarios	シナリオ構築と妥当性確認のために講じた措置
Annex II: Some drivers impacting the use of agentic AI	附属書II：能動的AIの利用に影響を与える要因
Agentic AI drivers	能動的AIの推進要因
Model training costs	モデル訓練コスト
A drop in compute prices and increased processing power driving accessibility	コンピューティング価格の低下と処理能力の向上によるアクセシビリティの向上
Increasingly large, high-quality datasets are available	大規模で高品質なデータセットが利用可能になる
Venture capital funding and the AI bubble	ベンチャーキャピタルの資金調達とAIバブル
‘Fear of missing out’ driven by the hype cycle and marketing	ハイプサイクルとマーケティングによる「取り残される恐怖」
Highly intersectional technology	高度に交差する技術
Cost savings from reduced staff costs and labour	人件費削減によるコスト削減
A push on AI from national governments	各国政府によるAI推進
Annex III: Glossary of terms	附属書III：用語集
Annex IV: Further reading	附属書IV：参考文献
Annex V: Acknowledgements	附属書V：謝辞

2026.01.15 10:23 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)

こんにちは、丸山満彦です。

NIST CAISIがAIエージェントシステムのセキュリティ強化に関するRFIを公表していますね...

AI Agent システムが台頭し、実世界への影響増加しつつある一方、セキュリティ脅威の増加、米国経済競争力への懸念、公共安全とインフラリスク、技術標準の不足といった懸念事項があることが背景としてあるのでしょうかね...

要求事項の項目...

AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性
AIエージェントシステムのセキュリティ対策
AIエージェントシステムのセキュリティアセスメント
展開環境の制限、変更、監視
追加の考慮事項

常に先を見て行動できていますよね...

用語の定義がまず必要ですかね。。。AI Agent SystemはAgentic AIと同じ意味？それぞれの定義が曖昧なのでなんとも言えないような気もするけど...

きっと法律やガイドの作成、人間の関与の仕方、レッドチーミングテスト、インシデントデータベースなど、重要となってくるのかもしれません。。。早めに取り組まないとですね...

AIエージェントシステムが普及する世界というのは、（不確実性）ⁿのような世界になるような気がしますので、どのポイントで人間が関与していくのか？というのが重要な要素になるのではないかと思いました。

例えば、法的な面も含めていうと複数のAIシステムの連携が生じた場合の責任の分担もよく考えておく必要があります。例えば、XとYというAIシステムが協働して共通のアウトプットを出したことにより被害が生じた場合のXとYを管理している組織間の責任関係はどうなるのか？というのを考えた場合、XやYを使うためにどのような準備を必要かというのは重要な話かもしれません。。。

● NIST - CAISI

・2026.01.12 CAISI Issues Request for Information About Securing AI Agent Systems

CAISI Issues Request for Information About Securing AI Agent Systems	CAISI、AIエージェントシステムのセキュリティ強化に関する情報提供を要請
The Center for AI Standards and Innovation (CAISI) at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has published a Request for Information (RFI) seeking insights from industry, academia, and the security community regarding the secure development and deployment of AI agent systems.	米国商務省国立標準技術研究所（NIST）傘下のAI標準化・イノベーションセンター（CAISI）は、AIエージェントシステムの安全な開発・展開に関する業界、学界、セキュリティコミュニティからの知見を求める情報提供要請（RFI）を発表した。
AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. While these systems promise significant benefits for productivity and innovation, they present unique security challenges.	AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画・実行する能力を持つ。生産性やイノベーションに大きな利益をもたらす可能性を秘める一方で、独自のセキュリティ課題も提示している。
AI agent systems face a range of security threats and risks. Some risks overlap with other software systems, such as exploitable authentication or memory management vulnerabilities. This RFI, however, focuses on distinct risks that arise when combining AI model outputs with the functionality of software systems. This includes risks from models interacting with adversarial data (such as in indirect prompt injection), risks from the use of insecure models (such as models that have been subject to data poisoning), and risks that models may take actions that harm security even in the absence of adversarial inputs (such as models that exhibit specification gaming or otherwise pursue misaligned objectives). These security challenges not only hinder adoption today but may also pose risks for public safety and national security as AI agent systems become more widely deployed.	AIエージェントシステムは多様なセキュリティ脅威やリスクに直面している。認証やメモリ管理の脆弱性といった他のソフトウェアシステムと共通するリスクも存在する。しかし本RFIは、AIモデルの出力とソフトウェアシステムの機能を組み合わせる際に生じる特有のリスクに焦点を当てる。これには、敵対的データとの相互作用によるリスク（間接的プロンプト・インジェクションなど）、安全でないモデルの使用によるリスク（データ・ポイズニングを受けたモデルなど）、敵対的入力がなくてもセキュリティを損なう行動を取る可能性のあるモデルによるリスク（仕様ゲームを示すモデルや、目的がずれた目標を追求するモデルなど）が含まれる。これらのセキュリティ課題は、現在の導入を妨げるだけでなく、AIエージェントシステムの普及が進むにつれて公共の安全や国家安全保障へのリスクをもたらす可能性がある。
The RFI poses questions on topics including:	本RFIでは以下のテーマについて質問を提示する：
・Unique security threats affecting AI agent systems, and how these threats may change over time.	・AIエージェントシステムに影響を与える固有のセキュリティ脅威、およびこれらの脅威が時間とともにどのように変化するか。
・Methods for improving the security of AI agent systems in development and deployment.	・開発および展開段階におけるAIエージェントシステムのセキュリティを改善する方法。
・Promise of and possible gaps in existing cybersecurity approaches when applied to AI agent systems.	・既存のサイバーセキュリティ手法をAIエージェントシステムに適用した場合の有効性と潜在的な不足点。
・Methods for measuring the security of AI agent systems and approaches to anticipating risks during development.	・AIエージェントシステムのセキュリティを測定する方法と、開発段階におけるリスク予測の手法。
・Interventions in deployment environments to address security risks affecting AI agent systems, including methods to constrain and monitor the extent of agent access in the deployment environment.	・AIエージェントシステムに影響するセキュリティリスクに対処するための展開環境における介入策。これには展開環境内でのエージェントアクセス範囲を制限・監視する方法も含まれる。
Input from AI agent deployers, developers, and computer security researchers, among others, will inform future work on voluntary guidelines and best practices related to AI agent security. It will also contribute to CAISI’s ongoing research and evaluations of agent security. Respondents are encouraged to provide concrete examples, best practices, case studies and actionable recommendations based on their experience with AI agent systems. The full RFI can be found here.	AIエージェントの展開担当者、開発者、コンピュータセキュリティ研究者などからの意見は、AIエージェントセキュリティに関する自主的ガイドラインとベストプラクティスの将来的な作業に反映される。また、CAISIによるエージェントセキュリティの継続的な研究と評価にも寄与する。回答者は、AIエージェントシステムに関する自身の経験に基づき、具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう奨励される。RFI全文はこちらで閲覧可能である。

● Federal Register

・2026.01.12 Request for Information Regarding Security Considerations for Artificial Intelligence Agents

Request for Information Regarding Security Considerations for Artificial Intelligence Agents	人工知能エージェントのセキュリティ考慮事項に関する情報提供要請
AGENCY:	機関：
Center for AI Standards and Innovation (CAISI), National Institute of Standards and Technology (NIST), U.S. Department of Commerce.	米国商務省国立標準技術研究所（NIST）内人工知能標準・イノベーションセンター（CAISI）
ACTION:	措置：
Notice; request for information (RFI).	通知；情報提供要請（RFI）。
SUMMARY:	概要：
The Center for AI Standards and Innovation (CAISI), housed within the National Institute of Standards and Technology (NIST) at the Department of Commerce, is seeking information and insights from stakeholders on practices and methodologies for measuring and improving the secure development and deployment of artificial intelligence (AI) agent systems. AI agent systems are capable of taking autonomous actions that impact real-world systems or environments, and may be susceptible to hijacking, backdoor attacks, and other exploits. If left unchecked, these security risks may impact public safety, undermine consumer confidence, and curb adoption of the latest AI innovations. We encourage respondents to provide concrete examples, best practices, case studies, and actionable recommendations based on their experience developing and deploying AI agent systems and managing and anticipating their attendant risks. Responses may inform CAISI's work evaluating the security risks associated with various AI capabilities, assessing security vulnerabilities of AI systems, developing evaluation and assessment measurements and methods, generating technical guidelines and best practices to measure and improve the security of AI systems, and other activities related to the security of AI agent systems.	商務省国立標準技術研究所（NIST）内に設置された人工知能標準・イノベーションセンター（CAISI）は、人工知能（AI）エージェントシステムの安全な開発・展開を測定・改善するための実践手法と方法論について、関係者からの情報と知見を求めている。AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を取ることが可能であり、ハイジャック、バックドア攻撃、その他の悪用に対して脆弱である可能性がある。これらのセキュリティリスクが放置されれば、公共の安全に影響を与え、消費者の信頼を損ない、最新のAIイノベーションの採用を阻害する恐れがある。回答者には、AIエージェントシステムの開発・展開経験、および付随するリスクマネジメントに基づく具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう促す。回答内容は、CAISIの以下の活動に資する可能性がある：各種AI機能に関連するセキュリティリスクの評価、AIシステムのセキュリティ脆弱性の評価、アセスメント・測定手法の開発、AIシステムのセキュリティ測定・改善のための技術ガイドライン及びベストプラクティスの策定、その他AIエージェントシステムのセキュリティ関連活動。
DATES:	提出期限：
Comments containing information in response to this notice must be received on or before March 9, 2026, at 11:59 p.m. Eastern Time. Submissions received after that date may not be considered.	本通知への回答情報を含むコメントは、2026年3月9日午後11時59分（東部時間）までに受理されなければならない。この期限後に受理された提出物は考慮されない可能性がある。
ADDRESSES:	提出先：
Comments must be submitted electronically via the Federal e-Rulemaking Portal.	コメントは連邦電子規則制定ポータル（Federal e-Rulemaking Portal）経由で電子的に提出しなければならない。
...	...
SUPPLEMENTARY INFORMATION:	補足情報：
Authority	法的根拠
This RFI advances NIST's activities to support measurement research and development of best practices for artificial intelligence systems, including their safety and robustness to adversarial attacks (15 U.S.C. 278h-1(b)). It is consistent with NIST's functions to, inter alia, compile data, provide a clearinghouse of scientific information, and assist industry in improving product quality (15 U.S.C. 272(b-c)).	本RFIは、人工知能システムの安全性及び敵対的攻撃に対する堅牢性を含む、最良の実践手法の測定研究開発を支援するNISTの活動を推進するものである（15 U.S.C. 278h-1(b)）。これは、NISTがデータを収集し、科学情報の交換拠点を提供し、産業の製品品質向上を支援するなどの機能（15 U.S.C. 272(b-c)）と整合するものである。
Background	背景
AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. AI agent systems consist of at least one generative AI model and scaffolding software that equips the model with tools to take a range of discretionary actions. These systems may be more expansive, containing multiple sub-agents with software that orchestrates their interactions. They can be deployed with little to no human oversight. Other terms used to refer to AI agent systems include AI agents and agentic AI. Challenges to the security of AI agent systems may undermine their reliability and lessen their utility, stymieing widespread adoption that would otherwise advance U.S. economic competitiveness. Further, security vulnerabilities may pose future risks to critical infrastructure or catastrophic harms to public safety ( i.e., through chemical, biological, radiological, nuclear, and explosive (CBRNE) weapons development and use or other analogous threats).	AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画し実行する能力を有する。AIエージェントシステムは、少なくとも1つの生成的AIモデルと、モデルに様々な裁量行動を実行する手段を提供する足場ソフトウェアで構成される。これらのシステムはより大規模になり、相互作用を調整するソフトウェアを備えた複数のサブエージェントを含む場合もある。人間の監視がほとんど、あるいは全くない状態で展開される可能性がある。AIエージェントシステムを指す他の用語には、AIエージェントやエージェント型AIがある。AIエージェントシステムのセキュリティ上の課題は、その信頼性を損ない有用性を低下させる恐れがある。これにより、米国経済の競争力向上に寄与するはずの普及が阻害される。さらに、セキュリティ上の脆弱性は将来的に重要インフラへのリスクや、化学・生物・放射性物質・核・爆発物（CBRNE）兵器の開発・使用や類似の脅威を通じた公共安全への壊滅的被害をもたらす可能性がある。
Deployed AI agent systems may face a range of security threats and risks. Some of these risks are shared with other kinds of software systems, such as exploitable vulnerabilities in authentication mechanisms or memory management processes. This Request for Information, however, focuses instead on the novel risks that arise from the use of machine learning models embedded within AI agent systems. Within this category are: (1) security risks that arise from adversarial attacks at either training or inference time, when models may interact with potentially adversarial data ( e.g., indirect prompt injection) or may be compromised by data poisoning; (2) security risks posed by models with intentionally placed backdoors; and (3) the risk that the behavior of uncompromised models may nonetheless pose a threat to confidentiality, availability, or integrity ( e.g., models that exhibit specification gaming or otherwise pursue misaligned objectives). Organizations have begun to implement technical controls, processes, and other mitigations for the security risks posed by their AI agent systems. In some cases, mitigations draw on cybersecurity best practices, including implementing systems according to the principle of least privilege and designing systems with a zero trust architecture. In other cases, risks are addressed with novel approaches, including instruction hierarchy and agent design patterns with trusted models.	展開されたAIエージェントシステムは、様々なセキュリティ脅威やリスクに直面する可能性がある。認証メカニズムやメモリ管理プロセスにおける悪用可能な脆弱性など、他のソフトウェアシステムと共通するリスクも存在する。しかし本情報提供要請（RFI）は、AIエージェントシステムに組み込まれた機械学習モデルの使用から生じる新たなリスクに焦点を当てる。このカテゴリーには以下が含まれる：(1) モデルが潜在的に敵対的なデータ（例：間接的プロンプト・インジェクション）と相互作用する可能性のある、あるいはデータ・ポイズニングによって侵害される可能性がある、訓練時または推論時における敵対的攻撃から生じるセキュリティリスク； (2) 意図的にバックドアを仕込まれたモデルがもたらすセキュリティリスク；(3) 侵害されていないモデルの動作が、機密性・可用性・完全性に対する脅威となるリスク（仕様の悪用や目標の乖離を示すモデルなど）。組織は、AIエージェントシステムがもたらすセキュリティリスクに対して、技術的制御、プロセス、その他の緩和策を導入し始めている。場合によっては、最小権限の原則に基づくシステム実装やゼロトラストアーキテクチャ設計といったサイバーセキュリティのベストプラクティスを活用する。また、信頼できるモデルを用いた命令階層やエージェント設計パターンといった新たな手法でリスクに対処するケースもある。
NIST conducts research and develops guidelines to promote safe and secure AI innovation and adoption. Research by CAISI technical staff ^[1] has demonstrated risks of agent hijacking. NIST has also produced resources on this topic including NIST AI 100-2e2025 ^[2] that provides a taxonomy of attacks and mitigations in adversarial machine learning generally; the NIST AI Risk Management Framework,^[3] which describes and discusses “secure and resilient” AI and includes subcategories for security assessment within the Measure function; NIST's companion Risk Management Framework: Generative AI Profile,^[4] which provides further context and considerations for “information security” and associated risks with generative AI, applicable to this RFI; and NIST AI 800-1 ^[5] that provides guidelines for AI developers to manage risks including the misuse of AI agent systems for offensive cybersecurity operations. In addition, NIST SP 800-218A ^[6] provides a profile for the secure development of generative AI, and NIST SP 800-53 ^[7] provides a glossary of relevant terms and a catalog of security and privacy controls for information systems generally.	NISTは安全でセキュアなAIの革新と普及を促進するため、研究を実施しガイドラインを開発している。CAISI技術スタッフによる研究^[1]は、エージェント乗っ取りのリスクを実証している。NISTもこのテーマに関する資料を作成しており、具体的には：・敵対的機械学習全般における攻撃手法と緩和の分類を提供する「NIST AI 100-2e2025」^[2]・「安全かつレジリエンスのある」AIを定義・論じ、測定機能内のセキュリティ評価サブカテゴリーを含む「NIST AIリスクマネジメント枠組み」^[3] NISTの関連文書である「リスクマネジメント枠組み：生成的AIプロファイル」[4]は、生成的AIに関連する「情報セキュリティ」とリスクについて、本RFIに適用可能な追加的な文脈と考慮事項を提供する。また「NIST AI 800-1」[5]は、攻撃的なサイバーセキュリティ活動におけるAIエージェントシステムの悪用を含むリスクマネジメントのためのガイドラインをAI開発者に提供する。さらに、NIST SP 800-218A^[6]は生成的AIの安全な開発プロファイルを提供し、NIST SP 800-53^[7]は関連用語集と情報システム全般向けのセキュリティ・プライバシー制御カタログを提供する。
Request for Information	情報提供要請
This RFI seeks information that can support secure innovation and adoption of AI agent systems. It invites stakeholders—particularly AI agent developers, deployers, and computer security researchers—to share insights on the secure development and deployment of AI agent systems. Such information should be scoped to the security of AI agent systems capable of taking actions that affect external state, i.e., persistent changes outside of the AI agent system itself. Unless contextualized to impact the security of agent systems directly, this RFI does not seek general information on generative AI security, insights on practices for AI chatbots or retrieval-augmented generation systems that are not orchestrated to act autonomously, or feedback on the misuse of AI agent systems to carry out cyberattacks.	本RFIは、AIエージェントシステムの安全な革新と展開を支援する情報を求めるものである。特にAIエージェント開発者、展開者、コンピュータセキュリティ研究者といった関係者に、AIエージェントシステムの安全な開発・展開に関する知見の共有を呼びかける。提供される情報は、外部状態（すなわちAIエージェントシステム自体以外の永続的な変化）に影響を与える行動を実行可能なAIエージェントシステムのセキュリティに焦点を当てるべきである。本RFIは、エージェントシステムのセキュリティに直接影響する文脈に限定され、生成的AIのセキュリティに関する一般的な情報、自律的に動作するよう設計されていないAIチャットボットや検索拡張生成システムの実践に関する知見、あるいはAIエージェントシステムを悪用したサイバー攻撃の実行に関するフィードバックは対象外とする。
NIST is requesting that respondents provide information on the topics below. NIST has provided this non-exhaustive list of topics and accompanying questions to guide respondents, and the submission of any relevant information germane to the subject but that is not included in the list of topics below is also encouraged. NIST will consider all relevant comments received during the public comment period. Respondents need not address all questions in this RFI, though all responses should specify which questions are being answered. For respondents with limited bandwidth, please prioritize questions 1(a), 1(d), 2(a), 2(e), 3(a), 3(b), 4(a), 4(b), and 4(d). All relevant responses that comply with the requirements listed in the DATES and ADDRESSES sections of this RFI will be considered.	NISTは回答者に対し、下記のトピックに関する情報の提供を求めている。NISTは回答者の指針として、この網羅的ではないトピックリストと付随する質問を提供している。下記のトピックリストに含まれていないが主題に関連する情報の提出も奨励する。NISTはパブリックコメント期間中に受け取った全ての関連コメントを検討する。回答者は本RFIの全質問に回答する必要はないが、回答する質問を明記すべきである。回答に制限がある場合は、質問1(a)、1(d)、2(a)、2(e)、3(a)、3(b)、4(a)、4(b)、4(d)を優先的に回答すること。本RFIの「提出期限」及び「提出先」セクションに記載された要件を満たす関連回答は全て考慮される。
1. Security Threats, Risks, and Vulnerabilities Affecting AI Agent Systems	1. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性
(a) What are the unique security threats, risks, or vulnerabilities currently affecting AI agent systems, distinct from those affecting traditional software systems?	(a) 従来のソフトウェアシステムに影響を与えるものとは異なる、AIエージェントシステムに現在影響を与えている特有のセキュリティ脅威、リスク、脆弱性は何であるか。
(b) How do security threats, risks, or vulnerabilities vary by model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), hosting context (including components on premises, in the cloud, or at the edge), use case, and otherwise?	(b) セキュリティ脅威、リスク、脆弱性は、モデルの能力、エージェント足場ソフトウェア、ツール使用、展開方法（内部展開と外部展開を含む）、ホスティング環境（オンプレミス、クラウド、エッジ上のコンポーネントを含む）、ユースケース、その他の要素によってどのように異なるか？
(c) To what extent are security threats, risks, or vulnerabilities affecting AI agent systems creating barriers to wider adoption or use of AI agent systems?	(c) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性は、どの程度、AIエージェントシステムの普及や利用の障壁となっているか？
(d) How have these threats, risks, or vulnerabilities changed over time? How are they likely to evolve in the future?	(d) これらの脅威、リスク、脆弱性は時間とともにどのように変化してきたか？将来どのように進化する可能性が高いか？
(e) What unique security threats, risks, or vulnerabilities currently affect multi-agent systems, distinct from those affecting singular AI agent systems?	(e) 単一のAIエージェントシステムに影響を与えるものとは異なり、現在マルチエージェントシステムに影響を与える固有のセキュリティ脅威、リスク、脆弱性は何であるか？
2. Security Practices for AI Agent Systems	2. AIエージェントシステムのセキュリティ対策
(a) What technical controls, processes, and other practices could ensure or improve the security of AI agent systems in development and deployment? What is the maturity of these methods in research and in practice? Categories may include:	(a) 開発および展開段階におけるAIエージェントシステムのセキュリティを確保または改善するための技術的制御、プロセス、その他の実践は何であるか？これらの手法は研究と実践においてどの程度の成熟度に達しているか。カテゴリーには以下が含まれる：
i. Model-level controls, such as measures to enhance model robustness to prompt injections;	i. プロンプト・インジェクションに対するモデルの頑健性を高める対策など、モデルレベルの制御。
ii. Agent system-level controls, such as prompt engineering, data or tool restrictions, and continuous monitoring methods;	ii. プロンプトエンジニアリング、データやツールの制限、継続的監視手法など、エージェントシステムレベルの制御。
iii. Human oversight controls, such as approvals for consequential actions, management of sensitive and untrusted data, network access permissions, or other controls.	iii. 重大な行動に対する承認、機密性・信頼性の低いデータの管理、ネットワークアクセス権限、その他の制御など、人間の監視による制御。
(b) To what degree, if any, could the effectiveness of technical controls, processes, and other practices vary with changes to model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), use case, use in multi-agent systems, and otherwise?	(b) 技術的制御、プロセス、その他の実践の有効性は、モデル能力、エージェント基盤ソフトウェア、ツール使用、展開方法（内部展開と外部展開を含む）、ユースケース、マルチエージェントシステムでの使用、その他の変化に伴い、どの程度変動する可能性があるか？
(c) How might technical controls, processes, and other practices need to change, in response to the likely future evolution of AI agent system capabilities or of the threats, risks, or vulnerabilities facing them?	(c) AIエージェントシステムの能力、またはそれらに対する脅威・リスク・脆弱性の将来的な進化に対応するため、技術的制御、プロセス、その他の実践はどのように変更する必要があるか？
(d) What are the methods, risks, and other considerations relevant for patching or updating AI agent systems throughout the lifecycle, as distinct from those affecting both traditional software systems and non-agentic AI?	(d) 従来のソフトウェアシステムや非エージェント型AIに影響するものと区別して、AIエージェントシステムのライフサイクル全体を通じたパッチ適用や更新に関連する手法、リスク、その他の考慮事項は何か。
(e) Which cybersecurity guidelines, frameworks, and best practices are most relevant to the security of AI agent systems?	(e) AIエージェントシステムのセキュリティに最も関連性の高いサイバーセキュリティガイドライン、枠組み、ベストプラクティスは何か。
i. What is the extent of adoption by AI agent system developers and deployers of these relevant guidelines, frameworks, and best practices?	i. AIエージェントシステムの開発者や展開者が、これらの関連ガイドライン、枠組み、ベストプラクティスをどの程度採用しているか。
ii. What are impediments, challenges, or misconceptions about adopting these kinds of guidelines, frameworks, or best practices?	ii. この種のガイドライン、枠組み、ベストプラクティスの採用における障害、課題、誤解は何か？
iii. Are there ways in which existing cybersecurity best practices may not be appropriate for the security of AI agent systems?	iii. 既存のサイバーセキュリティベストプラクティスがAIエージェントシステムのセキュリティに不適切な点は存在するか？
3. Assessing the Security of AI Agent Systems	3. AIエージェントシステムのセキュリティアセスメント
(a) What methods could be used during AI agent systems development to anticipate, identify, and assess security threats, risks, or vulnerabilities?	(a) AIエージェントシステム開発中に、セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために使用できる手法は何か？
i. What methods could be used to detect security incidents after an AI agent system has been deployed?	i. AIエージェントシステム展開後、セキュリティインシデントを検知するためにどのような方法が用いられるか？
ii. How do these align (or differ) from traditional information security practices, including supply chain security?	ii. これらはサプライチェーンセキュリティを含む従来の情報セキュリティ慣行とどのように整合（または相違）するか？
iii. What is the maturity of these methods in research and applied use?	iii. これらの方法の研究および応用における成熟度はどうか？
iv. What resources or information would be useful for anticipating, identifying, and assessing security threats, risks, or vulnerabilities?	iv. セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために有用なリソースや情報は何であるか？
(b) Not all security threats, risks, or vulnerabilities are necessarily applicable to every AI agent system; how could the security of a particular AI agent system be assessed and what types of information could help with that assessment?	(b) すべてのセキュリティ脅威、リスク、脆弱性が必ずしも全てのAIエージェントシステムに適用されるわけではない。特定のAIエージェントシステムのセキュリティアセスメントを行う方法と、そのアセスメントに役立つ情報の種類は何か？
(c) What documentation or data from upstream developers of AI models and their associated components might aid downstream providers of AI agent systems in assessing, anticipating, and managing security threats, risks, or vulnerabilities in deployed AI agent systems?	(c) AIモデル及び関連コンポーネントの上流開発者から得られる文書やデータは、下流のAIエージェントシステムプロバイダが展開済みシステムのセキュリティ脅威、リスク、脆弱性を評価・予測・管理する上で、どのような支援が可能か？
i. Does this data or documentation vary between open-source and closed-source AI models and AI agent systems, and if so, how?	i. このデータや文書は、オープンソースとクローズドソースのAIモデルおよびAIエージェントシステム間で異なるのか。異なる場合、その違いは何か。
ii. What kinds of disclosures (if made mandatory or public) could potentially create new vulnerabilities?	ii. どのような開示（義務化または公開された場合）が新たな脆弱性を生み出す可能性があるか。
iii. How should such, if any, disclosures be kept secure between parties to protect system integrity?	iii. システム完全性を保護するため、そのような開示（存在する場合）を当事者間で安全に保持するにはどうすべきか。
(d) What is the state of practice for user-facing documentation of AI agent systems that support secure deployment?	(d) 安全な展開を支援するAIエージェントシステムのユーザー向け文書の現状はどうか。
4. Limiting, Modifying, and Monitoring Deployment Environments	4. 展開環境の制限、変更、監視
(a) AI agent systems may be deployed in a variety of environments, i.e., locations where the system's actions take place. In what manner and by what technical means could the access to or extent of an AI agent system's deployment environment be constrained?	(a) AIエージェントシステムは様々な環境、すなわちシステムの動作が行われる場所に展開される可能性がある。AIエージェントシステムの展開環境へのアクセスや範囲を、どのような方法と技術的手段で制限できるか？
(b) How could virtual or physical environments be modified to mitigate security threats, risks, or vulnerabilities affecting AI agent systems? What is the state of applied use in implementing undoes, rollbacks, or negations for unwanted actions or trajectories (sequences of actions) of a deployed AI agent system?	(b) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性を緩和するため、仮想環境や物理環境をどのように変更できるか？展開済みAIエージェントシステムの望ましくない行動や軌跡（行動の連鎖）に対する取り消し、ロールバック、否定機能の実装における応用利用の現状はどうか？
(c) What is the state of managing risks associated with interactions between AI agent systems and counterparties? Practices, their adoption, and their relative maturity may differ according to the counterparty in the interaction, including:	(c) AIエージェントシステムと相手方との相互作用に関連するリスクマネジメントの現状はどうか？実践内容、その採用状況、相対的な成熟度は、相互作用における相手方によって異なる可能性がある。具体的には：
i. Interactions with humans who are not using the AI agent system directly;	i. AIエージェントシステムを直接使用していない人間との相互作用；
ii. Interactions with digital resources, including web services, servers, and legacy systems;	ii. ウェブサービス、サーバー、レガシーシステムを含むデジタルリソースとの相互作用
iii. Interactions with mechanical systems, machinery, or Internet-of-Things (IoT);	iii. 機械システム、機械装置、またはモノのインターネット（IoT）との相互作用
iv. Interactions with authentication mechanisms, operating system access, source code access, or similar network-level access vectors;	iv. 認証メカニズム、オペレーティングシステムへのアクセス、ソースコードへのアクセス、または類似のネットワークレベルアクセスベクトルとの相互作用
v. Interactions with other AI agent systems.	v. 他のAIエージェントシステムとの相互作用
(d) What methods could be used to monitor deployment environments for security threats, risks, or vulnerabilities?	(d) セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視するために、どのような方法が使用できるか？
i. What challenges exist to deploying traditional methods of monitoring threats, risks, or vulnerabilities?	i. 脅威、リスク、脆弱性を監視する従来の方法を展開する際に、どのような課題が存在するか？
ii. Are there legal and/or privacy challenges to monitoring deployment environments for security threats, risks, or vulnerabilities?	ii. セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視することに関して、法的および／またはプライバシー上の課題は存在するか？
iii. What is the maturity of these methods in research and practice?	iii. これらの方法は、研究および実践においてどの程度の成熟度にあるか？
(e) Are current AI agent systems widely deployed on the open internet, or in otherwise unbounded environments? How could the volume of traffic be tracked on the open internet or in otherwise unbounded environments over time?	(e) 現在のAIエージェントシステムは、オープンインターネットやその他の無制限環境に広く展開されているか？オープンインターネットやその他の無制限環境におけるトラフィック量を、時間経過とともに追跡する方法は何か？
5. Additional Considerations	5. 追加の考慮事項
(a) What methods, guidelines, resources, information, or tools would aid the AI ecosystem in the rapid adoption of security practices affecting AI agent systems and promoting the ecosystem of AI agent system security innovation?	(a) AIエージェントシステムに影響を与えるセキュリティ慣行の迅速な採用と、AIエージェントシステムセキュリティイノベーションのエコシステム促進に役立つ方法、ガイドライン、リソース、情報、またはツールは何か？
(b) In which policy or practice areas is government collaboration with the AI ecosystem most urgent or most likely to lead to improvements in the state of security of AI agent systems today and into the future?	(b) 政府とAIエコシステムとの連携が、現在および将来のAIエージェントシステムのセキュリティ状態の改善に最も緊急性が高く、あるいは最も効果的であると思われる政策または実践分野はどこか？
(c) In which critical areas should research be focused to improve the current state of security practices affecting AI agent systems?	(c) AIエージェントシステムに影響を与える現行のセキュリティ実践を改善するために、研究を集中させるべき重要な分野はどこか？
i. Where should future research be directed in order to unlock the benefits of adoption of secure and resilient AI agent systems?	i. 安全でレジリエンスのあるAIエージェントシステムの導入による利点を解き放つために、将来の研究はどこに向けるべきか？
ii. Which research approaches should be prioritized to advance the scientific understanding and mitigation of security threats, risks, and vulnerabilities affecting AI agent systems?	ii. AIエージェントシステムに影響するセキュリティ脅威、リスク、脆弱性の科学的理解と緩和を進めるため、どの研究アプローチを優先すべきか？
(d) How are other countries addressing these challenges and what are the benefits and drawbacks of their approaches?	(d) 他国はこれらの課題にどう対処しているか？そのアプローチの長所と短所は何か？
(e) Are there practices, norms, or empirical insights from fields outside of artificial intelligence and cybersecurity that might benefit our understanding or assessments of the security of AI agent systems?	(e) AIやサイバーセキュリティ以外の分野から、AIエージェントシステムのセキュリティ理解やアセスメントに有益な実践、規範、実証的知見は存在するか？
Footnotes	脚注
1. Technical Blog: Strengthening AI Agent Hijacking Evaluations, [web]	1. 技術ブログ：AIエージェント乗っ取り評価の強化、[web]
2. Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (NIST AI 100-2e2025), [web]	2. 敵対的機械学習：攻撃と緩和策の分類と用語集（NIST AI 100-2e2025）、[web]
3. Artificial Intelligence Risk Management Framework (NIST AI 100-1), [pdf]	3. 人工知能リスクマネジメント枠組み（NIST AI 100-1）、 [pdf]
4. Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile (NIST AI 600-1), [pdf]	4. 人工知能リスクマネジメント枠組み：生成的人工知能プロファイル（NIST AI 600-1）、[pdf]
5. Managing Misuse Risk for Dual-Use Foundation Models (NIST AI 800-1 2pd), [pdf]	5. 二重用途基盤モデルの悪用リスクマネジメント（NIST AI 800-1 2pd）、[pdf]
6. Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile (NIST SP 800-218), [web]	6. 生成的AI及びデュアルユース基盤モデルのためのセキュアなソフトウェア開発実践：SSDFコミュニティプロファイル（NIST SP 800-218）、[web]。
7. Security and Privacy Controls for Information Systems and Organizations (NIST SP 800-53 Rev. 5), [web].	7. 情報システム及び組織のためのセキュリティ及びプライバシー管理（NIST SP 800-53 Rev. 5）、[web]。
Alicia Chambers,	アリシア・チェンバース
NIST Executive Secretariat.	NIST 事務局長
[FR Doc. 2026-00206 Filed 1-7-26; 8:45 am]	[FR Doc. 2026-00206 提出日 1-7-26; 午前8時45分]
BILLING CODE 3510-13-P	請求コード 3510-13-P

1_20260114225201

2026.01.15 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.14

中国パブコメインターネットアプリケーション個人情報取得・利用規定 (2026.01.10)

こんにちは、丸山満彦です。

インターネットアプリケーション(App)（スマート端末にプリインストールされ、ダウンロード・インストールされるアプリケーションソフトウェア、及びアプリケーションソフトウェアのオープンプラットフォームインターフェースに基づいて開発され、インストール不要で使用可能なミニアプリ、クイックアプリ等を）における個人情報の取得・利用活動を規範化するものということのようです...

内容としては、

第 1 章総則: 目的、適用範囲、基本原則など、規定全体の基本的な事項を規定
第 2 章インターネットアプリケーション運営安全管理要求: App 運営者が遵守すべき具体的な安全管理要件を規定。告知と同意、最小限の取得、ユーザーの権利、SDK の管理など、App 運営者の義務が詳細に規定
第 3 章ソフトウェア開発ツール包運営安全管理要求: SDK 運営者が遵守すべき安全管理要件を規定
第 4 章アプリケーション配布プラットフォーム安全管理要求: アプリストアなどの配布プラットフォームが遵守すべき安全管理要件を規定
第 5 章スマート端末安全管理要求: スマートフォンの製造業者などが遵守すべき安全管理要件を規定
第 6 章監督管理: 監督管理部門の権限、App 運営者の協力義務など、監督管理に関する事項を規定
第 7 章附則: 用語の定義、施行日など、規定の解釈・適用に関する補足的な事項を規定

このような規制を作る背景としては、App等を通じた過度な（不必要な）個人情報の取得（バックグラウンドでの情報取得含む）、強制的な同意（長ーい同意文を読ませて、同意しないとアプリを使わせないとか。。。）、個人データの違法な利用や越境移転、安全管理不足（暗号化しない）などの事案があったからのようです...

細かく決めているという点では日本よりも細かい欧州以上かもしれませんが、それでも中国は日本よりもどんどん新しい産業がでてきいるようにも思います。

日本でそのまま適用しても問題なさそうな感じかもですね...

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.10

国家互联网信息办公室关于《互联网应用程序个人信息收集使用规定（征求意见稿）》公开征求意见的通知	国家サイバースペース管理局による「インターネットアプリケーション個人情報取得・利用規定（意見募集稿）」の公開意見募集に関する通知
互联网应用程序个人信息收集使用规定	インターネットアプリケーション個人情報取得・利用規定
（征求意见稿）	（意見募集稿）
第一章总则	第一章総則
第一条为了规范互联网应用程序个人信息收集使用活动，保护个人信息权益，促进个人信息合理利用，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，制定本规定。	第一条インターネットアプリケーションにおける個人情報の取得・利用活動を規範化し、個人情報の権利を保護し、個人情報の合理的な利用を促進するため、「中華人民共和国サイバーセキュリティ法」「中華人民共和国個人情報保護法」「ネットワークデータ安全管理条例」等の法律・法規に基づき、本規定を制定する。
第二条在中华人民共和国境内运营互联网应用程序过程中收集使用个人信息，以及软件开发工具包、分发平台、智能终端等为互联网应用程序收集使用个人信息活动提供服务的，应当遵守相关法律法规和本规定的要求。	第二条中華人民共和国国内においてインターネットアプリケーションを運営する際の個人情報の取得・利用、及びソフトウェア開発キット、配信プラットフォーム、スマート端末等がインターネットアプリケーションの個人情報取得・利用活動にサービスを提供する場合、関連法令及び本規定の要求を遵守しなければならない。
互联网应用程序在中华人民共和国境外收集使用中华人民共和国境内自然人个人信息的活动，符合《中华人民共和国个人信息保护法》第三条第二款规定情形的，适用本规定。	インターネットアプリケーションが中華人民共和国国外において中華人民共和国内の自然人の個人情報を取得・利用する活動は、「中華人民共和国個人情報保護法」第三条第二項に規定する状況に該当する場合、本規定を適用する。
第三条收集使用个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式收集使用个人信息。	第三条個人情報の取得及び利用は、合法性、正当性、必要性及び誠実性の原則に従わなければならない。誤解を招く行為、詐欺、脅迫等の方法による個人情報の取得及び利用は禁止される。
收集使用个人信息应当向个人信息主体充分告知收集使用规则，并取得个人信息主体同意；收集使用敏感个人信息的，应当取得个人信息主体的单独同意。法律、行政法规另有规定的，依照其规定。	個人情報の取得及び利用に際しては、個人情報主体に対し取得・利用規則を十分に告知し、その同意を得なければならない。機微な個人情報を取得・利用する場合は、個人情報主体の別途の同意を得なければならない。法律・行政法規に別段の定めがある場合は、その規定に従う。
收集使用个人信息应当采取对个人信息主体权益影响最小的方式，限于提供产品或者服务所必需，不得超范围收集使用个人信息。	個人情報の取得及び利用は、個人情報主体の権益への影響を最小限とする方法を採用し、製品またはサービスの提供に必要最小限の範囲に限定し、範囲を超えた取得及び利用をしてはならない。
不得以个人信息主体不同意收集使用其个人信息或者撤回同意为由，拒绝提供产品或者服务，个人信息属于提供产品或者服务所必需的除外。	個人情報主体が個人情報の取得及び利用に同意しないこと、または同意を撤回したことを理由として、製品またはサービスの提供を拒否してはならない。ただし、当該個人情報が製品またはサービスの提供に必要不可欠な場合はこの限りではない。
第四条互联网应用程序、软件开发工具包运营者分别对所运营的互联网应用程序、软件开发工具包个人信息收集使用活动及安全保护承担主体责任。	第四条インターネットアプリケーション及びソフトウェア開発キットの運営者は、それぞれが運営するインターネットアプリケーション及びソフトウェア開発キットにおける個人情報の取得・利用活動及び安全保護について主体責任を負う。
互联网应用程序运营者对嵌入的软件开发工具包、分发平台运营者对分发的互联网应用程序、智能终端厂商对预置的互联网应用程序依法履行审核义务。未能进行有效审核，对个人信息主体权益造成损害的，依法承担相应责任。	インターネットアプリケーション運営者は組み込まれたソフトウェア開発キットに対し、配布プラットフォーム運営者は配布するインターネットアプリケーションに対し、スマート端末メーカーはプリインストールされたインターネットアプリケーションに対し、法に基づき審査義務を履行する。有効な審査が行われず、個人情報主体の権益に損害を与えた場合、法に基づき相応の責任を負う。
第五条互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对汇聚、关联后属于国家秘密事项的个人信息，按照国家有关安全保密规定加强管理。	第五条　インターネットアプリケーション、ソフトウェア開発キット、配布プラットフォームの運営者及びスマート端末メーカーは、集約・関連付け後に国家機密事項に該当する個人情報について、国家の関連する安全保密規定に基づき管理を強化する。
互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商对掌握的属于通信秘密的个人信息，不得对内容进行检查，不得向第三方提供。法律、行政法规另有规定的，依照其规定。	インターネットアプリケーション、ソフトウェア開発キット、配布プラットフォームの運営者及びスマート端末メーカーは、保有する通信秘密に該当する個人情報について、内容の検査を行ってはならず、第三者に提供してはならない。法律・行政法規に別段の定めがある場合は、その規定に従う。
第六条鼓励行业组织建立完善行业自律机制，制定个人信息保护行业规范和自律公约，指导会员单位依法依规开展个人信息收集使用活动，接受社会监督。	第六条業界団体は、業界自律メカニズムの整備、個人情報保護に関する業界規範及び自律規約の制定を促進し、会員企業が法令に基づき個人情報の取得・利用活動を実施するよう指導し、社会の監督を受けることを推奨する。
第二章互联网应用程序运营安全管理要求	第二章インターネットアプリケーション運営の安全管理要件
第七条互联网应用程序收集使用个人信息应当遵循公开、透明原则，制定公开个人信息收集使用规则，通过清晰易懂的语言真实、准确、完整、逐项列明下列事项：	第七条インターネットアプリケーションが個人情報を取得・利用する際は、公開・透明性の原則に従い、個人情報の取得・利用規則を策定し、明確で理解しやすい言語を用いて、以下の事項を真実かつ正確に、完全かつ項目ごとに列挙しなければならない：
（一）运营者名称或者姓名和有效的联系方式；	（一）運営者の名称または氏名及び有効な連絡先
（二）以结构化清单形式列明每项功能服务收集使用个人信息的目的、方式、种类，调用权限名称、频度，收集使用敏感个人信息的必要性以及对用户权益的影响；	（二）構造化されたリスト形式で、各機能サービスにおける個人情報の取得・利用目的、方法、種類、呼び出し権限名、頻度、機微な個人情報の取得・利用の必要性及びユーザーの権益への影響を明記すること
（三）嵌入软件开发工具包的，应当以结构化清单形式列明嵌入的软件开发工具包名称（包名）、版本、主要功能、运营者名称或者姓名、收集使用个人信息的种类和完整的软件开发工具包个人信息收集使用规则链接；	（三）ソフトウェア開発キット（SDK）を組み込む場合、組み込まれたSDKの名称（パッケージ名）、バージョン、主要機能、運営者の名称または氏名、取得・利用する個人情報の種類、およびSDKの個人情報取得・利用規則への完全なリンクを構造化されたリスト形式で明記すること。
（四）个人信息保存期限和到期后的处理方式，保存期限难以确定的，应当明确保存期限的确定方法；	（四）個人情報の保存期間及び保存期間満了後の処理方法。保存期間が確定困難な場合は、保存期間の確定方法を明示すること。
（五）用户查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等；	（五）ユーザーが個人情報の閲覧、複製、移転、訂正、補充、削除、処理制限、アカウント解約、同意撤回を行う方法及び手段等。
（六）法律、行政法规规定应当告知的其他事项。	（六）法律・行政法規で告知が義務付けられているその他の事項。
互联网应用程序对于前款所述重点内容，应当以加粗字体、放大字号、标记不同颜色等显著方式向用户提示。	インターネットアプリケーションは、前項に定める重点事項について、太字、拡大フォント、異なる色での表示など、目立つ方法でユーザーに提示しなければならない。
第八条收集使用个人信息的目的、方式、种类、保存期限或者保存期限的确定方法，调用权限名称、频度和嵌入的软件开发工具包收集使用个人信息行为等情况发生变化的，互联网应用程序应当及时修订、更新个人信息收集使用规则。	第八条個人情報の取得・利用の目的、方法、種類、保存期間または保存期間の確定方法、権限の呼び出し名称・頻度、組み込まれたソフトウェア開発キットによる個人情報の取得・利用行為などに変更が生じた場合、インターネットアプリケーションは速やかに個人情報取得利用規則を改訂・更新しなければならない。
注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂的互联网应用程序依照前款规定修订、更新个人信息收集使用规则的，应当同步通过互联网应用程序首页、官方网站、公众号等途径公开征求意见，征求意见期限不少于7个工作日。	登録ユーザーが5000万人以上、または月間アクティブユーザーが1000万人以上で、業務タイプが複雑なインターネットアプリケーションが前項の規定に基づき個人情報取得利用規則を改訂・更新する場合、インターネットアプリケーションのホームページ、公式ウェブサイト、公式アカウント等の経路を通じて同時に意見募集を行い、意見募集期間は7営業日以上とする。
第九条互联网应用程序应当在首次启动时，通过弹窗等显著方式向用户告知个人信息收集使用规则，并在用户充分知情的前提下，取得用户同意规则的明确表示。	第九条　インターネットアプリケーションは初回起動時、ポップアップ等の顕著な方法でユーザーに個人情報取得利用規則を告知し、ユーザーが十分に理解した上で規則への同意を明確に表明させるものとする。
互联网应用程序向第三方提供个人信息的，应当取得用户的单独同意。互联网应用程序应当在设置页面等醒目位置提供个人信息收集使用规则一键访问功能，方便用户查阅和保存。	インターネットアプリケーションが第三者に個人情報を提供する場合は、ユーザーの個別同意を取得しなければならない。インターネットアプリケーションは設定画面等の目立つ位置に個人情報取得利用規則へのワンクリックアクセス機能を提供し、ユーザーが閲覧・保存しやすいようにするものとする。
互联网应用程序更新个人信息收集使用规则，符合第八条第一款所列情形的，应当通过弹窗、消息推送等显著方式及时向用户告知更新的具体内容，并重新征得用户同意。	インターネットアプリケーションが個人情報取得・利用規則を更新し、第八条第一項に掲げる状況に該当する場合、ポップアップやメッセージプッシュ等の顕著な方法で更新内容を速やかにユーザーに通知し、改めてユーザーの同意を得なければならない。
第十条互联网应用程序不得通过调用通讯录、通话记录、短信权限收集使用用户以外其他个人信息主体的个人信息，确需用于满足通讯联系、添加好友、数据备份的除外。	第十条インターネットアプリケーションは、連絡先、通話記録、SMS権限を呼び出してユーザー以外の個人情報主体の個人情報を取得・利用してはならない。ただし、通信連絡、友達追加、データバックアップの目的で必要不可欠な場合はこの限りではない。
互联网应用程序收集使用前款个人信息，属于通信秘密的，应当符合本规定第五条第二款规定。	インターネットアプリケーションが前項の個人情報を取得・利用する場合、通信の秘密に該当するときは、本規定第五条第二項の規定に適合しなければならない。
第十一条互联网应用程序应当提供基于功能场景的个人信息收集使用配置选项，允许用户根据需要，同意部分功能场景收集使用相关个人信息。	第十一条インターネットアプリケーションは、機能シナリオに基づく個人情報の取得・利用設定オプションを提供し、ユーザーが必要に応じて一部の機能シナリオにおける関連個人情報の取得・利用に同意できるようにしなければならない。
第十二条互联网应用程序应当在用户使用具体功能时方可索要对应的必要个人信息权限，并同步告知使用目的，不得提前索要。用户拒绝的，互联网应用程序不得频繁索要影响用户正常使用其他功能。	第十二条インターネットアプリケーションは、ユーザーが具体的な機能を利用する際にのみ、対応する必要な個人情報権限を要求し、同時に利用目的を通知しなければならない。事前に要求してはならない。ユーザーが拒否した場合、インターネットアプリケーションは頻繁に要求してユーザーの他の機能の正常な使用に影響を与えてはならない。
第十三条互联网应用程序不得在用户同意个人信息收集使用规则前收集使用个人信息，不得超出用户同意的目的、方式、种类、保存期限收集使用个人信息。	第十三条インターネットアプリケーションは、ユーザーが個人情報の取得・利用規則に同意する前に個人情報を取得・利用してはならず、ユーザーの同意した目的、方法、種類、保存期間を超えて個人情報を取得・利用してはならない。
互联网应用程序调用权限需与当前功能场景直接相关，应当仅在用户使用具体功能时以所需的最低频度、最小范围收集个人信息。在当前功能场景不再需要权限时停止调用权限，不得收集非必要个人信息、调用非必要权限。	インターネットアプリケーションが権限を呼び出す必要がある場合、それは現在の機能シナリオと直接関連している必要があり、ユーザーが特定の機能を利用する際にのみ、必要な最小限の頻度と最小範囲で個人情報を取得しなければならない。当該機能シナリオで権限が不要となった時点で権限の呼び出しを停止し、不要な個人情報の取得や不要な権限の呼び出しを行ってはならない。
第十四条互联网应用程序应当仅在用户主动选择使用拍照、发送语音、录音录像等功能时调用相机、麦克风权限，不得在用户停止使用相关功能或者无关场景调用相机、麦克风权限。	第十四条インターネットアプリケーションは、ユーザーが自発的に写真撮影、音声送信、録音・録画等の機能を選択して使用する場合に限り、カメラやマイクの権限を呼び出すものとし、ユーザーが関連機能の使用を停止した場合や無関係なシナリオにおいてカメラやマイクの権限を呼び出してはならない。
互联网应用程序在地图导航、路径记录、外卖闪送、位置共享等需要实时定位的场景，持续调用位置权限的频率应当限于实现业务功能的最低频度；在添加地点、内容搜索、内容推荐、广告营销等需单次定位场景，应当仅在用户进入功能界面或者用户主动刷新时调用一次位置权限。除法律、行政法规另有规定或者所提供业务功能确需后台持续获取位置外，互联网应用程序不应索要后台访问用户位置信息权限。	インターネットアプリケーションは、地図ナビゲーション、経路記録、出前・宅配サービス、位置情報共有などリアルタイム位置情報が必要な場面において、位置情報権限を継続的に呼び出す頻度は業務機能を実現する最低限の頻度に限定しなければならない。場所の追加、コンテンツ検索、コンテンツ推薦、広告マーケティングなど単回位置情報が必要な場面では、ユーザーが機能画面に入った時またはユーザーが自ら更新した時にのみ位置情報権限を一度呼び出さなければならない。法律・行政法規に別段の定めがある場合、または提供する業務機能においてバックグラウンドでの継続的な位置情報の取得が真に必要な場合を除き、インターネットアプリケーションはバックグラウンドでの位置情報アクセス権限を要求してはならない。
用户选择使用上传或者发送图片、文件等功能，互联网应用程序可使用智能终端提供的存储访问框架实现的，不得索要手机相册、通讯录、短信、存储等权限。互联网应用程序通过提供文件编辑、文件备份等功能获得存储权限的，不得访问用户主动选择以外的文件。	ユーザーが画像・ファイルのアップロードや送信機能を利用する場合、インターネットアプリケーションはスマート端末が提供するストレージアクセスフレームワークを利用できる。この場合、携帯電話のアルバム・連絡先・SMS・ストレージなどの権限を要求してはならない。ファイル編集・バックアップ機能の提供を通じてストレージ権限を取得する場合、ユーザーが自ら選択したファイル以外へのアクセスは禁止される。
第十五条互联网应用程序收集人脸、指纹、声纹等生物识别信息应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格的保护措施。	第十五条　インターネットアプリケーションが顔、指紋、声紋等の生体認証情報を取得する場合、特定の目的と十分な必要性を有し、個人の権益への影響を最小限とする方法を採用するとともに、厳格な保護措置を実施しなければならない。
除法律、行政法规另有规定或者取得用户单独同意外，互联网应用程序收集使用人脸、指纹、声纹等信息应当存储于生物识别设备内，不得通过互联网对外传输。除法律、行政法规另有规定外，生物识别信息的保存期限不得超过实现处理目的所必需的最短时间。	法律・行政法規に別段の定めがある場合、またはユーザーの個別同意を得た場合を除き、インターネットアプリケーションが顔、指紋、声紋等の情報を取得・利用する場合、当該情報は生体認証デバイス内に保存され、インターネット経由で外部に送信してはならない。法律・行政法規に別段の定めがある場合を除き、生体識別情報の保存期間は処理目的達成に必要な最短期間を超えてはならない。
第十六条互联网应用程序运营者应当采取充分的管理措施和必要的技术措施，严格落实未成年人个人信息保护要求，切实防范未成年人个人信息泄露、篡改、丢失。	第十六条インターネットアプリケーション運営者は、十分な管理措置及び必要な技術的措置を講じ、未成年者の個人情報保護要求を厳格に履行し、未成年者の個人情報の漏洩・改ざん・紛失を確実に防止しなければならない。
互联网应用程序收集使用不满十四周岁未成年人个人信息的，应当制定专门的个人信息收集使用规则，并取得未成年人父母或者其他监护人的同意。	インターネットアプリケーションが14歳未満の未成年者の個人情報を取得・利用する場合、専用の個人情報取得利用規則を策定し、未成年者の父母またはその他の保護者の同意を得なければならない。
第十七条互联网应用程序通过自动化决策方式向用户进行信息推送、商业营销的，应当设置易于理解、便于访问和操作的个性化推荐关闭选项。	第十七条インターネットアプリケーションが自動化された意思決定方式によりユーザーに情報プッシュや商業マーケティングを行う場合、理解しやすく、アクセスや操作が容易なパーソナライズド推薦の停止オプションを設定しなければならない。
用户关闭个性化推荐功能时，互联网应用程序应当停止将用户相关个人信息用于个性化推荐目的。	ユーザーがパーソナライズド推薦機能を停止した場合、インターネットアプリケーションは当該ユーザーの個人情報をパーソナライズド推薦目的に使用することを直ちに停止しなければならない。
第十八条互联网应用程序应当为用户提供注销账号的便捷功能。用户注销账号的，除确有必要用于防范黑灰产、安全风控等情形，互联网应用程序不得要求用户新增提供人脸、手持身份证照片等超出互联网应用程序已收集范围以外的个人信息。	第十八条インターネットアプリケーションは、ユーザーに対しアカウント削除の簡便な機能を提供しなければならない。ユーザーがアカウントを削除する場合、ブラックマーケット対策やセキュリティリスク管理など真に必要な場合を除き、インターネットアプリケーションは顔写真や身分証を手に持った写真など、既に取得済みの範囲を超える個人情報の追加提供をユーザーに要求してはならない。
用户注销账号的，互联网应用程序应当在15个工作日内完成账号注销，删除已收集的相关个人信息或者进行匿名化处理，法律、行政法规另有规定的除外。	ユーザーがアカウントを削除した場合、インターネットアプリケーションは15営業日以内にアカウント削除を完了し、取得済みの関連個人情報を削除または匿名化処理しなければならない。ただし、法律・行政法規に別段の定めがある場合は除く。
对于同一企业主体或者集团旗下多款互联网应用程序采用统一账号进行一体化管理的，应当允许用户选择注销其中一款互联网应用程序账号，或者允许用户选择关闭该账号在此互联网应用程序的使用权限，并删除仅用于此互联网应用程序的个人信息。	同一企業主体またはグループ傘下の複数インターネットアプリケーションが統一アカウントで統合管理されている場合、ユーザーが当該グループ内のいずれか一つのアプリケーションアカウントを削除するか、当該アカウントの当該アプリケーションにおける使用権限を停止することを選択できるようにし、かつ当該アプリケーション専用に利用されていた個人情報を削除しなければならない。
第十九条互联网应用程序应当与嵌入的软件开发工具包约定收集使用个人信息的目的、方式、种类和安全保护责任及违约责任，并采取有效的技术措施对嵌入的软件开发工具包个人信息收集使用行为进行审核，确保软件开发工具包实际个人信息收集和权限调用行为与互联网应用程序个人信息收集使用规则中声明的软件开发工具包相关内容保持一致。	第十九条　インターネットアプリケーションは、組み込まれたソフトウェア開発キット（SDK）に対し、個人情報の取得・利用目的、方法、種類、安全保護責任及び違約責任を定め、組み込まれたSDKの個人情報取得・利用行為を審査するための有効な技術的措置を講じなければならない。これにより、SDKの実際の個人情報取得及び権限呼び出し行為が、インターネットアプリケーションの個人情報取得・利用規則に明記されたSDK関連内容と一致することを確保する。
用户向互联网应用程序提出查阅、复制、更正、补充、删除、限制处理其个人信息，或者注销账号、撤回同意等相关请求涉及软件开发工具包个人信息收集使用活动的，互联网应用程序应当将用户请求及时通知软件开发工具包，并督促软件开发工具包及时响应用户请求。	ユーザーがインターネットアプリケーションに対し、個人情報の閲覧・複製・訂正・補充・削除・処理制限、アカウント削除、同意撤回等の請求を行い、当該請求がSDKの個人情報取得・利用活動に関わる場合、インターネットアプリケーションは速やかにSDKにユーザー請求を通知し、SDKが速やかにユーザー請求に対応するよう促さなければならない。
第二十条互联网应用程序就个人信息收集使用行为进行优化、改进，发布或者更新版本后，应当采取有效方式提醒用户进行版本升级，并对所有授权发布渠道的旧版本互联网应用程序进行更新替换。	第二十条　インターネットアプリケーションは、個人情報の取得・利用行為を最適化・改善し、バージョンをリリースまたは更新した後、効果的な方法でユーザーにバージョンアップを促すとともに、全ての認可リリースチャネルにおける旧バージョンのインターネットアプリケーションを更新・置換しなければならない。
第二十一条鼓励互联网应用程序接入国家网络身份认证公共服务，用以支持用户使用网号、网证登记、核验真实身份信息。	第二十一条　インターネットアプリケーションは、国家ネットワーク身分認証公共サービスへの接続を推奨する。これにより、ユーザーがネットID・ネット証明書による登録・本人確認を行うことを支援する。
用户选择使用网号、网证登记、核验身份信息并通过验证的，互联网应用程序不得强制要求用户另行提供明文身份信息，法律、行政法规另有规定或者用户同意提供的除外。	ユーザーがネットID・ネット認証による登録・本人確認を選択し、かつ認証を通過した場合、インターネットアプリケーションはユーザーに対し平文の本人情報を別途提供するよう強制してはならない。ただし、法律・行政法規に別段の定めがある場合、またはユーザーが提供に同意した場合はこの限りではない。
第三章软件开发工具包运营安全管理要求	第三章ソフトウェア開発キットの運営安全管理に関する要求
第二十二条软件开发工具包收集使用个人信息的，应当制定个人信息收集使用规则并在产品官方网站公开。	第二十二条ソフトウェア開発キットが個人情報を取得・利用する場合、個人情報取得利用規則を策定し、製品公式サイトで公開しなければならない。
对于同时运营多个历史版本的，软件开发工具包应当在个人信息收集使用规则中列明不同版本个人信息收集使用行为。	複数の旧バージョンを同時に運用する場合、SDKは個人情報取得利用規則において各バージョンの個人情報の取得利用行為を明記しなければならない。
软件开发工具包收集使用个人信息的目的、方式、范围等发生变化的，应当同步更新相应的个人信息收集使用规则。	SDKが個人情報の取得利用目的、方法、範囲等を変更する場合、対応する個人情報取得利用規則を同時に更新しなければならない。
第二十三条软件开发工具包不得超出收集使用规则声明的范围收集使用个人信息，不得超出实现业务功能的最小范围收集使用个人信息，不得超出实现业务功能的最低频度调用权限。	第二十三条 SDKは、取得利用規則で宣言した範囲を超えて個人情報を取得利用してはならない。業務機能を実現する最小範囲を超えて個人情報を取得利用してはならない。業務機能を実現する最低頻度を超えて権限を呼び出してはならない。
第二十四条软件开发工具包应当提供基于功能的个人信息配置选项，允许互联网应用程序按照不同功能需要对软件开发工具包个人信息收集行为进行管理配置。	第二十四条ソフトウェア開発キットは、機能に基づく個人情報設定オプションを提供し、インターネットアプリケーションが異なる機能ニーズに応じてソフトウェア開発キットの個人情報取得行為を管理設定できるようにしなければならない。
软件开发工具包通过自动化决策方式向用户进行信息推送、商业营销的，应当向互联网应用程序提供个性化推荐关闭选项，在关闭后停止将用户相关个人信息用于个性化推荐目的。	ソフトウェア開発キットが自動化された意思決定方式によりユーザーへ情報プッシュや商業マーケティングを行う場合、インターネットアプリケーションにパーソナライズド推薦の停止オプションを提供し、停止後はユーザー関連個人情報をパーソナライズド推薦目的に使用してはならない。
软件开发工具包应当及时响应互联网应用程序通知的用户个人信息查阅、复制、更正、补充、删除、限制处理等相关请求。	ソフトウェア開発キットは、インターネットアプリケーションから通知されたユーザーの個人情報閲覧、複製、修正、補充、削除、処理制限等の関連要求に速やかに応じるものとする。
第二十五条软件开发工具包应当建立有效方式和途径，直接响应用户查阅、复制、转移、更正、补充、删除、限制处理个人信息的请求，相关方式和途径应当在个人信息收集使用规则中予以列明。	第二十五条ソフトウェア開発キットは、ユーザーによる個人情報の閲覧、複製、移転、修正、補充、削除、処理制限の要求に直接応じる有効な方法及び手段を確立するものとする。関連する方法及び手段は、個人情報取得利用規則に明記するものとする。
第四章应用程序分发平台安全管理要求	第四章アプリケーション配信プラットフォームの安全管理要求
第二十六条分发平台应当加强互联网应用程序上架审核，建立互联网应用程序收集使用个人信息规范性档案，在受理互联网应用程序发布及版本更新上架申请时，登记并核验互联网应用程序运营者的真实身份、联系方式等信息，记录互联网应用程序个人信息收集使用问题以及因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的情况。对未提供相关信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予上架。	第二十六条配信プラットフォームは、インターネットアプリケーションの掲載審査を強化し、インターネットアプリケーションの個人情報取得・利用に関する規範的ファイルを構築しなければならない。インターネットアプリケーションの公開及びバージョン更新の掲載申請を受理する際には、インターネットアプリケーション運営者の実体、連絡先等の情報を登録・確認し、インターネットアプリケーションの個人情報取得・利用に関する問題及び違法・規制違反による個人情報取得・利用により省級以上の個人情報保護職責履行部門から通報または行政処分を受けた状況を記録しなければならない。関連情報を提供しない、虚偽の情報を提供する、インターネットアプリケーションに個人情報取得利用規則がない、アカウント削除機能や個人情報削除手段がない場合、掲載を認めない。
分发平台在上架审核中应根据互联网应用程序运营者获得个人信息保护认证和互联网应用程序安全认证的结果，予以优先展示推荐。	配信プラットフォームは掲載審査において、インターネットアプリケーション運営者が個人情報保護認証及びインターネットアプリケーションセキュリティ認証を取得した結果に基づき、優先的に表示・推奨するものとする。
分发平台应当自本规定生效之日起6个月内，完成对在架存量互联网应用程序的审核，审核不通过的予以清理下架。	配信プラットフォームは、本規定発効日より6ヶ月以内に、既に掲載されている既存インターネットアプリケーションの審査を完了し、審査に合格しないものは削除する。
第二十七条分发平台应当在互联网应用程序分发、下载页面，清晰准确展示下列信息：	第二十七条配信プラットフォームは、インターネットアプリケーションの配信・ダウンロードページにおいて、以下の情報を明確かつ正確に表示しなければならない：
（一）互联网应用程序运营者名称或者姓名、联系方式；	（一）インターネットアプリケーション運営者の名称または氏名、連絡先
（二）互联网应用程序主要功能介绍；	（二）インターネットアプリケーションの主な機能説明
（三）互联网应用程序运行所需具体权限列表；	（三）インターネットアプリケーションの動作に必要な具体的な権限リスト
（四）个人信息收集使用规则文本或者链接；	（四）個人情報の取得・利用に関する規則の本文またはリンク
（五）对因违法违规收集使用个人信息被省级以上履行个人信息保护职责的部门通报或行政处罚的互联网应用程序，应当自通报或处罚之日起6个月内，在分发、下载页面发布个人信息安全风险提示。	（五）法令違反による個人情報の取得・利用で省級以上の個人情報保護担当部門から通報または行政処分を受けたインターネットアプリケーションについては、通報または処分の日から6か月以内に、配布・ダウンロードページに個人情報セキュリティリスクに関する注意喚起を掲載しなければならない。
第二十八条对履行个人信息保护职责的部门认定存在违法违规收集使用个人信息行为的互联网应用程序，分发平台应当积极配合采取警示、不予分发、暂停分发或者终止分发等处置措施。	第二十八条個人情報保護職責を履行する部門が違法・違規な個人情報の取得・利用行為があると認定したインターネットアプリケーションに対し、配布プラットフォームは警告、配布拒否、配布停止または配布終了などの措置を積極的に協力して講じなければならない。
第五章智能终端安全管理要求	第五章スマート端末の安全管理要件
第二十九条智能终端厂商在受理互联网应用程序预置申请时，应当登记并核验互联网应用程序运营者的真实身份、联系方式等信息，对未提供上述信息或者提供虚假信息，互联网应用程序无个人信息收集使用规则、无账号注销功能或者删除个人信息途径的，不予预置。	第二十九条スマート端末メーカーは、インターネットアプリケーションのプリインストール申請を受理する際、当該アプリケーション運営者の実体情報、連絡先等の情報を登録・確認しなければならない。上記情報を提供しない、または虚偽情報を提供した場合、あるいは当該アプリケーションに個人情報の取得・利用に関する規則がなく、アカウント削除機能や個人情報の削除手段がない場合には、プリインストールを認めない。
第三十条互联网应用程序索要日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限时，智能终端操作系统应弹窗征得用户同意，根据权限特点提供可基于时间、频度、精度等精细化授权模式选项。	第三十条　インターネットアプリケーションがカレンダー、通話記録、カメラ、連絡先、位置情報、マイク、電話、SMS、ストレージ、身体活動等の権限を要求する場合、スマート端末のオペレーティングシステムはポップアップ表示でユーザーの同意を得るものとし、権限の特性に応じて時間、頻度、精度等に基づく詳細な許可モードの選択肢を提供しなければならない。
第三十一条智能终端应当在屏幕顶部等显著位置，以易于理解的图标等显著标识，如实地向用户提示当前正在调用的麦克风、摄像头、位置等权限。	第三十一条スマート端末は画面上部などの目立つ位置に、分かりやすいアイコンなどの明確な表示を用いて、現在使用中のマイク、カメラ、位置情報などの権限をユーザーに事実通り提示しなければならない。
第三十二条智能终端应当如实记录并集中展示互联网应用程序调用日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等权限情况；互联网应用程序后台静默期间自启动、关联启动情况；互联网应用程序通过智能终端收集剪切板、设备唯一标识、应用程序列表等个人信息行为。记录规则应当予以公开。	第三十二条スマート端末は、インターネットアプリケーションによるカレンダー・通話記録・カメラ・連絡先・位置情報・マイク・電話・SMS・ストレージ・身体活動等の権限利用状況を正確に記録し集中表示しなければならない。また、インターネットアプリケーションのバックグラウンド静止期間における自動起動・関連起動状況、ならびにスマート端末を通じてクリップボード・デバイス固有識別子・アプリケーションリスト等の個人情報を取得する行為を記録しなければならない。記録ルールは公開されるべきである。
智能终端应当准确提示互联网应用程序调用权限可能带来的安全风险。	スマート端末は、インターネットアプリケーションが権限を呼び出すことで生じる可能性のあるセキュリティリスクを正確に通知しなければならない。
第六章监督管理	第六章監督管理
第三十三条国家网信部门负责统筹协调和监督管理互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作。国务院电信主管部门、公安部门和其他有关机关依照有关法律法规和本规定的要求，在各自职责范围内负责互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。	第三十三条国家サイバースペース管理局は、インターネットアプリケーション、ソフトウェア開発キット、配信プラットフォーム及びスマート端末における個人情報保護業務の統括調整及び監督管理を担当する。国務院電気通信主管部門、公安部門及びその他の関係機関は、関連法令及び本規定の要求に基づき、それぞれの職責の範囲内でインターネットアプリケーション、ソフトウェア開発キット、配信プラットフォーム及びスマート端末における個人情報保護及び監督管理業務を担当する。
地方网信部门负责统筹协调和监督管理本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护工作，地方电信管理部门、公安部门和其他有关机关依据各自职责做好本行政区域内互联网应用程序、软件开发工具包、分发平台和智能终端个人信息保护和监督管理工作。	地方ネット情報部門は、管轄区域内のインターネットアプリケーション、ソフトウェア開発キット、配布プラットフォーム及びスマート端末における個人情報保護業務の調整・監督管理を統括する。地方電気通信管理部門、公安部門及びその他の関係機関は、それぞれの職責に基づき、管轄区域内のインターネットアプリケーション、ソフトウェア開発キット、配布プラットフォーム及びスマート端末における個人情報保護及び監督管理業務を適切に実施する。
第三十四条互联网应用程序、软件开发工具包运营者应当在产品官方网站、个人信息收集使用规则中提供有效的、易于访问的投诉举报渠道，健全投诉举报的受理、处置、反馈机制，在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处置个人信息相关投诉。	第三十四条　インターネットアプリケーション及びソフトウェア開発キットの運営者は、製品公式サイト及び個人情報取得利用規則において、有効かつ容易にアクセス可能な苦情申立窓口を提供し、苦情申立の受理・処理・フィードバックの仕組みを整備しなければならない。また、承諾した期限内（承諾期限は15営業日を超えてはならず、期限を承諾していない場合は15営業日を上限とする）に個人情報関連の苦情を受け付け処理する。
互联网应用程序运营者应当同时受理、处置、反馈关于嵌入的软件开发工具包相关个人信息问题举报，核验属实的，应当督促软件开发工具包运营者进行整改。分发平台运营者、智能终端厂商应当同时受理、处置、反馈关于分发和预置的互联网应用程序相关个人信息问题举报，核验属实的，应当督促互联网应用程序运营者进行整改。	インターネットアプリケーション運営者は、組み込まれたソフトウェア開発キットに関連する個人情報問題の通報についても同時に受理・処理・フィードバックを行うものとする。事実確認が取れた場合は、ソフトウェア開発キット運営者に対し是正を促さなければならない。配布プラットフォーム運営者及びスマート端末メーカーは、配布・プリインストールされたインターネットアプリケーションに関連する個人情報問題の通報についても同時に受理・処理・フィードバックを行うものとする。事実確認が取れた場合は、インターネットアプリケーション運営者に対し是正を促さなければならない。
第三十五条互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当制定内部管理制度和操作规程，建立健全内部合规管理体系和问责机制，防止个人信息被用于电信网络诈骗等违法犯罪活动，充分保护用户个人信息。	第三十五条　インターネットアプリケーション、ソフトウェア開発キット、配信プラットフォーム運営者及びスマート端末メーカーは、内部管理制度と操作手順を策定し、内部コンプライアンス管理体制と責任追及メカニズムを整備し、個人情報が電信ネットワーク詐欺等の違法犯罪活動に利用されることを防止し、ユーザーの個人情報を十分に保護しなければならない。
互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商应当对履行个人信息保护职责的部门依法开展的个人信息保护监督检查予以配合，并提供必要的技术支持和协助。	インターネットアプリケーション、ソフトウェア開発キット、配布プラットフォームの運営者及びスマート端末メーカーは、個人情報保護の職責を履行する部門が法に基づき実施する個人情報保護監督検査に協力し、必要な技術支援と協力を提供しなければならない。
第三十六条互联网应用程序、软件开发工具包运营者应当强化对个人信息查阅、复制、修改、删除等操作的权限管理，采取加密、去标识化等安全技术措施，防止个人信息泄露、丢失或者未经授权的访问。	第三十六条インターネットアプリケーション及びソフトウェア開発キットの運営者は、個人情報の閲覧、複製、修正、削除等の操作に対する権限管理を強化し、暗号化、非識別化等の安全技術措置を講じ、個人情報の漏洩、紛失又は不正アクセスを防止しなければならない。
发生个人信息泄露、丢失的，互联网应用程序、软件开发工具包运营者应该将泄露个人信息的种类、原因、可能造成的危害、采取的补救措施等信息及时告知用户，并向履行个人信息保护职责的部门报告。	個人情報の漏洩・紛失が発生した場合、インターネットアプリケーション及びソフトウェア開発キットの運営者は、漏洩した個人情報の種類、原因、引き起こす可能性のある危害、講じた是正措置等の情報を速やかに利用者に通知し、個人情報保護の職責を履行する部門に報告しなければならない。
第三十七条互联网应用程序、软件开发工具包、分发平台运营者和智能终端厂商违反本规定的，履行个人信息保护职责的部门依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等相关法律法规处理；构成犯罪的，依法追究刑事责任。	第三十七条　インターネットアプリケーション、ソフトウェア開発キット、配布プラットフォームの運営者及びスマート端末メーカーが本規定に違反した場合、個人情報保護の職責を履行する部門は『中華人民共和国サイバーセキュリティ法』『中華人民共和国個人情報保護法』『ネットワークデータ安全管理条例』等の関連法令に基づき処理する。犯罪を構成する場合は、法に基づき刑事責任を追及する。
第七章附则	第七章附則
第三十八条本规定中下列用语的含义：	第三十八条本規定における以下の用語の定義は次の通りである：
互联网应用程序（App），是指智能终端预置、下载安装的应用软件，以及基于应用软件开放平台接口开发的、无需安装即可使用的小程序、快应用等。	インターネットアプリケーション（App）とは、スマート端末にプリインストールされ、ダウンロード・インストールされるアプリケーションソフトウェア、及びアプリケーションソフトウェアのオープンプラットフォームインターフェースに基づいて開発され、インストール不要で使用可能なミニアプリ、クイックアプリ等を指す。
互联网应用程序运营者，是指互联网应用程序的开发者、所有者、管理者或者提供者。	インターネットアプリケーション運営者とは、インターネットアプリケーションの開発者、所有者、管理者又は提供者を指す。
软件开发工具包（SDK），是指协助软件开发的软件库。	ソフトウェア開発キット（SDK）とは、ソフトウェア開発を支援するソフトウェアライブラリを指す。
软件开发工具包运营者，是指软件开发工具包的开发者、所有者、管理者或者提供者。	ソフトウェア開発キット運営者とは、ソフトウェア開発キットの開発者、所有者、管理者または提供者を指す。
个人信息主体，是指个人信息所标识或者关联的自然人。	個人情報主体とは、個人情報が識別または関連付けられる自然人を指す。
用户，是指使用互联网应用程序相关功能服务的自然人。	ユーザーとは、インターネットアプリケーション関連機能サービスを利用する自然人を指す。
分发平台，是指通过互联网提供互联网应用程序发布、下载、动态加载等服务提供者，包括应用商店、应用市场、快应用中心、小程序平台等。	配布プラットフォームとは、インターネットを通じてインターネットアプリケーションの公開、ダウンロード、動的ロード等のサービスを提供する者を指し、アプリストア、アプリマーケット、クイックアプリセンター、ミニアプリプラットフォーム等を含む。
智能终端，是指能够接入公众网络、具有操作系统、可由用户自行安装和卸载应用软件的移动通信终端产品。	スマート端末とは、公衆ネットワークに接続可能で、オペレーティングシステムを備え、ユーザーが自らアプリケーションソフトウェアをインストール・アンインストールできる移動通信端末製品を指す。
必要个人信息，是指为了保障基本功能服务或者用户所选择使用的功能服务正常运行所必需的个人信息，缺少该信息无法向用户提供相应的功能服务。	必要個人情報は、基本機能サービスまたはユーザーが選択した機能サービスの正常な動作を保障するために必要な個人情報を指す。この情報が欠如すると、ユーザーに対応する機能サービスを提供できない。
可收集个人信息权限，是指智能终端操作系统向互联网应用程序开放的，具有收集个人信息功能的系统权限，包括日历、通话记录、相机、通讯录、位置、麦克风、电话、短信、存储、身体活动等，简称权限。	個人情報を取得できる権限とは、スマート端末のオペレーティングシステムがインターネットアプリケーションに開放する、個人情報を取得する機能を持つシステム権限を指す。これにはカレンダー、通話記録、カメラ、連絡先、位置情報、マイク、電話、SMS、ストレージ、身体活動などが含まれ、略して権限と呼ぶ。
第三十九条本规定自年月日起施行。	第三十九条　本規定は　年　月　日から施行する。

2026.01.14 05:54 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.13

中国個人情報保護に関する政策法規Q&A（2026年1月）

こんにちは、丸山満彦です。

2026.01.01より、改正ネットワークセキュリティ法の施行、機微な個人情報の取り扱いに関する技術標準の施行、外資系企業などによる個人データの適切な越境処理の確認も含めて？、個人情報保護に関する政策放棄Q&Aが公表されていますね...

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.09 个人信息保护政策法规问答（2026年1月）

个人信息保护政策法规问答（2026年1月）	個人情報保護に関する政策法規Q&A（2026年1月）
国家互联网信息办公室持续加强个人信息保护相关政策法规宣贯，指导帮助个人信息处理者规范开展个人信息处理活动，保护个人信息权益。现将一些具有代表性的问题和答复公布如下。	国家サイバースペース管理局は、個人情報保護関連の政策法規の周知徹底を継続的に強化し、個人情報取扱者が規範的に個人情報の処理活動を行い、個人情報の権利を保護するよう指導・支援している。代表的な質問と回答を以下に公表する。
1.什么是个人信息？	1. 個人情報とは何か？
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。	個人情報とは、電子的その他の方法で記録された、識別されたまたは識別可能な自然人に関するあらゆる情報を指す。匿名化処理後の情報は含まれない。
个人信息包括但不限于以下类型，如个人姓名、生日、年龄等个人基本资料，身份证、军官证、护照等个人身份信息，人脸、基因、声纹、虹膜、指纹等生物识别信息，用户账号、用户标识符（用户ID）等网络身份标识信息，教育经历、职业、职位等个人教育工作信息，金融账户、消费记录、收入状况、借款信息等个人财产信息，账号口令、数字证书等身份鉴别信息，通信记录、短信、电子邮件等个人通信信息，通讯录、好友列表等联系人信息，网页浏览记录、软件使用记录等个人上网记录，国际移动设备识别码（IMEI）等个人设备信息，交通出行信息等个人位置信息，用户标签、画像信息等个人标签信息，步数、步频等个人运动信息，以及其他与已识别或者可识别的自然人有关的各种信息。	個人情報には以下のような種類が含まれるが、これらに限定されない。・個人名、生年月日、年齢などの基本情報・身分証明書、軍人証、パスポートなどの個人識別情報・顔、遺伝子、声紋、虹彩、指紋などの生体認証情報・ユーザーアカウント、ユーザー識別子（ユーザーID）などのネットワーク識別情報・教育情報、職業情報、健康情報などの個人データ身分証明書、軍人証、パスポート等の個人身分情報、顔、遺伝子、声紋、虹彩、指紋等の生体識別情報、ユーザーアカウント、ユーザー識別子（ユーザーID）等のネットワーク身分識別情報、学歴、職業、役職等の個人教育・就業情報、金融口座、消費記録、収入状況、借入情報等の個人財産情報、アカウントパスワード、デジタル証明書等の身分認証情報、通信記録、SMS、電子メール等の個人通信情報、連絡先リスト、フレンドリストなどの連絡先情報、ウェブ閲覧履歴、ソフトウェア使用記録などの個人インターネット利用記録、国際移動体装置識別番号（IMEI）などの個人端末情報、交通移動情報などの個人位置情報、ユーザータグ、プロファイル情報などの個人タグ情報、歩数、歩数頻度などの個人運動情報、その他識別された、または識別可能な自然人に関連する各種情報。
2.什么是敏感个人信息？	2. 機微な個人情報とは何か？
敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。	機微な個人情報とは、漏洩または不正使用された場合、自然人の人格的尊厳が侵害されたり、身体・財産の安全が危害を受ける恐れがある個人情報を指す。これには生体認証情報、宗教的信仰、特定身分、医療健康情報、金融口座情報、行動軌跡情報などが含まれ、14歳未満の未成年者の個人情報も該当する。
国家标准GB/T 45574-2025《数据安全技术敏感个人信息处理安全要求》明确了敏感个人信息识别和界定方法，并在附录A中给出常见的敏感个人信息类别，如人脸、基因、声纹等生物识别信息，个人信仰的宗教、加入的宗教组织等宗教信仰信息，残障人士身份信息、不适宜公开的职业身份信息等特定身份信息，病症、既往病史、医疗就诊记录、检验检查数据等医疗健康信息，银行、证券、基金、保险账户的账号及密码等金融账户信息，连续精准定位轨迹信息、车辆行驶轨迹信息等行踪轨迹信息，居民身份证照片、征信信息、犯罪记录信息等其他敏感个人信息。	標準GB/T 45574-2025『データセキュリティ技術機微な個人情報の処理に関する安全要件』は、機微な個人情報の識別及び定義方法を明確化しており、付録Aにおいて一般的な機微な個人情報のカテゴリーを示している。例えば、顔、遺伝子、声紋などの生体認証情報、個人の信仰する宗教、加入する宗教組織などの宗教信仰情報、障害者身分情報、公開に適さない職業身分情報などの特定身分情報、疾病・既往歴・診療記録・検査データ等の医療健康情報、銀行・証券・投資信託・保険口座の番号及びパスワード等の金融口座情報、連続的な精密位置情報・車両走行軌跡情報等の行動軌跡情報、住民身分証写真・信用情報・犯罪記録情報等のその他の機微な個人情報である。
3.应用人脸识别技术处理人脸信息前如何进行个人信息保护影响评估？	3.顔認識技術を用いた顔情報の処理前に、個人情報保護アセスメントをどう行うか？
《人脸识别技术应用安全管理办法》第九条规定，使用人脸识别技术前应当进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估由应用人脸识别技术的个人信息处理者组织开展，可有第三方机构参与。若有第三方机构参与，需在评估报告中说明第三方机构的基本情况及参与评估的情况。	『顔認識技術応用セキュリティ評価弁法』第9条は、顔認識技術使用前に個人情報保護アセスメントを実施し、処理状況を記録すべきと規定している。個人情報保護アセスメントは、顔認識技術を利用する個人情報処理者が実施し、第三者機関の参加が可能である。第三者機関が参加する場合、評価報告書に当該機関の基本情報及び評価への参加状況を記載する必要がある。
主要评估四方面内容，一是人脸信息的处理目的、处理方式是否合法、正当、必要；二是对个人权益带来的影响，以及降低不利影响的措施是否有效；三是发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害；四是所采取的保护措施是否合法、有效并与风险程度相适应。	主に四つの側面についてアセスメントを行う。第一に、顔情報の処理目的・処理方法が合法的・正当・必要か。第二に、個人の権益への影響及び不利な影響を軽減する措置の有効性。第三に、顔情報の漏洩・改ざん・紛失・毀損、あるいは不正取得・販売・使用のリスク及び引き起こし得る危害。第四に、講じた保護措置が合法的・有効であり、リスクの程度に見合っているか。
4.符合什么条件的个人信息处理者需指定个人信息保护负责人和报送负责人信息？	4. どのような条件を満たす個人情報処理者は個人情報保護責任者を指定し、責任者情報を報告する必要があるのか？
《中华人民共和国个人信息保护法》第五十二条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。《个人信息保护合规审计管理办法》第十二条规定，处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。	『中華人民共和国個人情報保護法』第52条は、個人情報の処理が国家サイバー空間管理局が定める数量に達した個人情報処理者は、個人情報保護責任者を指定し、個人情報処理活動及び講じた保護措置等の監督を担当させなければならないと規定している。『個人情報保護コンプライアンス監査管理弁法』第12条は、100万人以上の個人情報を処理する個人情報の取扱者が個人情報保護責任者を指定し、当該取扱者の個人情報保護コンプライアンス監査業務を担当させることを規定している。
2025年7月18日，国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》，明确个人信息保护负责人信息报送要求、报送时间、报送方式等。个人信息保护负责人信息报送采用线上方式。可直接访问“个人信息保护业务系统”（[web]），按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网（[web]）首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。	2025年7月18日、国家サイバースペース管理局は『個人情報保護責任者情報報告業務の実施に関する公告』を発表し、個人情報保護責任者情報の報告要件、報告時期、報告方法等を明確化した。個人情報保護責任者情報の報告はオンライン方式を採用する。「個人情報保護業務システム」（web）に直接アクセスし、システムホームページに掲載されている『個人情報保護責任者情報報告システム記入説明（第一版）』に従い、関連資料を準備して情報報告手続きを行うか、中国網信網（[web]）ホームページの「全国網信政務サービスホール」欄から「個人情報保護業務システム」にアクセスすることもできる。

2026.01.13 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

中国サイバーセキュリティ法改正 (2025.12.29)

こんにちは、丸山満彦です。

2017年に施行された中华人民共和国网络安全法（サイバーセキュリティ法）が2025.10.28に全国人民代表大会常務委員会によって改正が決定

2025.12.29に公表されていました...

いわゆる中国サイバー三法（サイバー法、データ法、個人情報保護法）の最初のものです...

今回は、安全保障の重視、AI等のデジタル社会の進展、関連法との整合性を図るという意図で改訂されたのでしょうかね...

改訂のポイントとしては、

・サイバーセキュリティは共産党の指導を堅持し、サイバー強国になるということを新たに明記（第3条）

・AI等の新技術への対応（技術振興と安全監理の両立）（第20条）

・罰則の強化（第61条他）

・サプライチェーン規制（安全認証等を受けていないネットワーク重要機器等を販売・提供した場合の罰則
）の新設（第63条）

等々...

欧州のサイバーセキュリティ関連法制も追加追加で複雑性をましていますが、中国はさらに複雑なような気がします...　法令だけでなく、標準も実質的な技術要求となっていますし...

● 国家互联网信息办公室（国家サイバースペース管理局）

・2025.12.29 中华人民共和国网络安全法

中华人民共和国网络安全法	中華人民共和国サイバーセキュリティ法
（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过　根据2025年10月28日第十四届全国人民代表大会常务委员会第十八次会议《关于修改〈中华人民共和国网络安全法〉的决定》修正）	（2016年11月7日第12期全国人民代表大会常務委員会第24回会議で可決　2025年10月28日第14期全国人民代表大会常務委員会第18回会議『中華人民共和国サイバーセキュリティ法改正に関する決定』に基づき修正）
目　　录	目　次
第一章　总　　则	第一章　総則
第二章　网络安全支持与促进	第二章　サイバーセキュリティの支援と促進
第三章　网络运行安全	第三章　ネットワーク運用セキュリティ
第一节　一般规定	第一節　一般規定
第二节　关键信息基础设施的运行安全	第二節　重要情報インフラの運用セキュリティ
第四章　网络信息安全	第四章　ネットワーク情報セキュリティ
第五章　监测预警与应急处置	第五章　監視・警報と緊急対応
第六章　法律责任	第六章　法的責任
第七章　附　　则	第七章　附則
第一章　总　　则	第一章　総則
第一条　为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。	第一条　サイバーセキュリティを保障し、サイバースペース主権及び国家安全、社会公共利益を維持し、公民、法人及びその他の組織の合法的権益を保護し、経済社会の情報化健全な発展を促進するため、本法を制定する。
第二条　在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。	第二条　中華人民共和国国内におけるネットワークの建設、運営、維持及び使用並びにサイバーセキュリティの監督管理には、本法を適用する。
第三条　网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。	第三条　サイバーセキュリティ業務は中国共産党の指導を堅持し、総合的な国家安全観を貫徹し、発展と安全を統括し、ネットワーク強国建設を推進する。
第四条　国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。	第四条　国はサイバーセキュリティと情報化の発展を同等に重視し、積極的な利用、科学的な発展、法に基づく管理、安全の確保という方針に従い、ネットワークインフラの建設と相互接続を推進する。サイバーセキュリティ技術の革新と応用を奨励し、サイバーセキュリティ人材の育成を支援し、サイバーセキュリティ保障体系を整備・確立し、サイバーセキュリティ保護能力を高める。
第五条　国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。	第五条　国はサイバーセキュリティ戦略を策定し、絶えず改善する。サイバーセキュリティを保障するための基本要件と主要目標を明確にし、重点分野におけるサイバーセキュリティ政策、業務任務及び措置を提示する。
第六条　国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。	第六条　国は、中華人民共和国国内外に由来するサイバーセキュリティリスク及び脅威を監視、防御、対処するための措置を講じ、重要情報インフラを攻撃、侵入、妨害及び破壊から保護し、法に基づきネットワーク上の違法犯罪活動を処罰し、サイバー空間の安全と秩序を維持する。
第七条　国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。	第七条　国は、誠実で信頼できる健全かつ文明的なネットワーク行動を提唱し、社会主義の中核的価値観の普及を推進し、全社会のサイバーセキュリティ意識と水準を高めるための措置を講じ、全社会が共同でサイバーセキュリティ促進に参加する良好な環境を形成する。
第八条　国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。	第八条　国は、サイバー空間のガバナンス、ネットワーク技術の研究開発と標準策定、ネットワーク上の違法犯罪の取り締まりなどの分野における国際交流と協力を積極的に展開し、平和で安全、開放的かつ協力的なサイバー空間の構築を推進し、多国間的、民主的、透明なネットワークガバナンス体系を確立する。
第九条　国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。	第九条　国家サイバー空間管理部門は、サイバーセキュリティ業務及び関連する監督管理業務の統括調整を担当する。国務院電気通信主管部門、公安部門及びその他の関係機関は、本法及び関連する法律・行政法規の規定に基づき、それぞれの職責の範囲内でサイバーセキュリティ保護及び監督管理業務を担当する。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。	県級以上の地方人民政府関係部門のサイバーセキュリティ保護及び監督管理職責は、国家の関連規定に従って定める。
第十条　网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。	第十条　ネットワーク運営者は、経営及びサービス活動を行うにあたり、法律・行政法規を遵守し、社会公徳を尊重し、商業道徳を遵守し、誠実かつ信用をもって行動し、サイバーセキュリティ保護義務を履行し、政府及び社会の監督を受け、社会的責任を負わなければならない。
第十一条　建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。	第十一条　ネットワークを建設・運営し、またはネットワークを通じてサービスを提供する場合、法律・行政法規の規定及び国家標準の強制的要件に基づき、技術的措置その他の必要な措置を講じ、ネットワークの安全かつ安定した運用を確保し、サイバーセキュリティインシデントに効果的に対応し、ネットワーク上の違法犯罪活動を防止し、ネットワークデータの完全性、機密性及び可用性を維持しなければならない。
第十二条　网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。	第十二条　ネットワーク関連業界団体は、定款に基づき業界の自主規制を強化し、サイバーセキュリティ行動規範を制定し、会員に対しサイバーセキュリティ保護の強化を指導し、サイバーセキュリティ保護水準の向上を図り、業界の健全な発展を促進しなければならない。
第十三条　国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。	第十三条　国は、公民、法人及びその他の組織が法に基づきネットワークを利用する権利を保護し、ネットワーク接続の普及を促進し、ネットワークサービス水準を向上させ、社会に安全で便利なネットワークサービスを提供し、ネットワーク情報の法に基づく秩序ある自由な流通を保障する。
任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。	いかなる個人及び組織も、ネットワークを利用する際には憲法及び法律を遵守し、公共秩序を守り、社会道徳を尊重し、サイバーセキュリティを危害してはならず、ネットワークを利用して国家の安全、名誉及び利益を危害し、国家政権の転覆や社会主義制度の打倒を扇動し、国家分裂や国家統一の破壊を煽り、テロリズムや過激主義を宣伝し、民族的憎悪や民族差別を煽り、暴力やわいせつな情報を流布し、虚偽の情報を捏造・流布して経済秩序や社会秩序を乱し、他人の名誉、プライバシー、知的財産権その他の合法的権益を侵害する活動を行ってはならない。
第十四条　国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。	第十四条　国は未成年者の健全な成長に資するネットワーク製品・サービスの研究開発を支援し、ネットワークを利用した未成年者の心身の健康を害する活動を法に基づき処罰し、未成年者に安全で健全なネットワーク環境を提供する。
第十五条　任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。	第十五条　いかなる個人及び組織も、サイバーセキュリティを脅かす行為について、ネット情報、電気通信、公安等の部門に通報する権利を有する。通報を受けた部門は速やかに法に基づき処理を行うものとし、当該部門の職責に属さない場合は、速やかに権限を有する部門に移送しなければならない。
有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。	関係部門は通報者の関連情報を秘密に扱い、通報者の合法的権益を保護しなければならない。
第二章　网络安全支持与促进	第二章　サイバーセキュリティの支援と促進
第十六条　国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。	第十六条　国はサイバーセキュリティ標準体系を確立し、整備する。国務院標準化行政主管部門及び国務院その他の関係部門は、それぞれの職責に基づき、サイバーセキュリティ管理及びネットワーク製品・サービス・運用安全に関する国家標準・業界標準の制定及び適時な改訂を組織する。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。	国は、企業、研究機関、高等教育機関、ネットワーク関連業界団体がサイバーセキュリティ国家標準・業界標準の制定に参加することを支援する。
第十七条　国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。	第十七条　国務院及び省・自治区・直轄市人民政府は、総合的な計画を策定し、投資を拡大し、重点サイバーセキュリティ技術産業及びプロジェクトを支援し、サイバーセキュリティ技術の研究開発と応用を支援し、安全で信頼できるネットワーク製品・サービスの普及を促進し、サイバーセキュリティ技術の知的財産権を保護し、企業、研究機関、高等教育機関等が国家サイバーセキュリティ技術革新プロジェクトに参加することを支援する。
第十八条　国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。	第十八条　国はサイバーセキュリティの社会化サービス体系の構築を推進し、関連企業・機関がサイバーセキュリティ認証、検査、リスクアセスメント等の安全サービスを展開することを奨励する。
第十九条　国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。	第十九条　国はネットワークデータ安全保護及び利用技術の開発を奨励し、公共データ資源の開放を促進し、技術革新と経済社会の発展を推進する。
第二十条　国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。	第二十条　国は人工知能の基礎理論研究及びアルゴリズム等の重要技術研究開発を支援し、訓練データ資源、計算能力等のインフラ整備を推進し、人工知能倫理規範を整備し、リスク監視及びアセスメントを強化し、人工知能の応用と健全な発展を促進する。
国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。	国はサイバーセキュリティ管理方法の革新を支援し、人工知能等の新技術を活用してサイバーセキュリティ保護水準を向上させる。
第二十一条　各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。	第二十一条　各級人民政府及びその関係部門は、定期的なサイバーセキュリティ啓発活動を組織し、関係機関に対しサイバーセキュリティ啓発活動の指導・監督を行う。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。	大衆伝播媒体は、社会に向けて対象を絞ったサイバーセキュリティ啓発活動を行う。
第二十二条　国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。	第二十二条　国は、企業及び高等教育機関、職業学校等の教育訓練機関がサイバーセキュリティ関連の教育・訓練を実施することを支援し、多様な方法でサイバーセキュリティ人材を育成し、サイバーセキュリティ人材の交流を促進する。
第三章　网络运行安全	第三章　ネットワーク運用安全
第一节　一　般　规　定	第一節　一般規定
第二十三条　国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：	第二十三条　国はサイバーセキュリティ等級保護制度を実施する。ネットワーク運営者は、サイバーセキュリティ等級保護制度の要求に基づき、以下の安全保護義務を履行し、ネットワークが妨害、破壊または不正アクセスを受けないよう保障し、ネットワークデータの漏洩または窃取・改ざんを防止しなければならない：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；	（一）内部安全管理制度及び操作規程を制定し、ネットワークセキュリティ責任者を定め、ネットワークセキュリティ保護責任を履行すること；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；	（二）コンピュータウイルスやネットワーク攻撃、ネットワーク侵入などのサイバーセキュリティを脅かす行為を防ぐ技術的措置を講じること。
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；	（三）ネットワークの稼働状態やサイバーセキュリティインシデントを監視・記録する技術的措置を講じ、規定に従い関連するネットワークログを少なくとも6か月間保存すること。
（四）采取数据分类、重要数据备份和加密等措施；	（四）データ分類、重要データのバックアップ及び暗号化などの措置を講じること。
（五）法律、行政法规规定的其他义务。	（五）法律・行政法規で定めるその他の義務。
第二十四条　网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。	第二十四条　ネットワーク製品・サービスは関連する標準の強制要求に適合しなければならない。ネットワーク製品・サービスの提供者は悪意のあるプログラムを設定してはならない。自社のネットワーク製品・サービスにセキュリティ上の欠陥や脆弱性などのリスクを発見した場合は、直ちに是正措置を講じ、規定に従い速やかに利用者に通知するとともに、関係主管部門に報告しなければならない。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。	ネットワーク製品・サービスの提供者は、自社の製品・サービスに対して継続的なセキュリティ保守を提供しなければならない。規定または当事者間で合意した期間内において、セキュリティ保守の提供を終了してはならない。
网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。	ネットワーク製品・サービスがユーザー情報収集機能を有する場合、提供者はユーザーに明示し同意を得なければならない。ユーザーの個人情報に関わる場合は、本法及び関連する法律・行政法規の個人情報保護に関する規定を遵守しなければならない。
第二十五条　网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。	第二十五条　ネットワーク重要設備及びサイバーセキュリティ専用製品は、関連する標準の強制要求に基づき、資格を有する機関による安全認証合格または安全検査合格を得た後にのみ、販売または提供することができる。国家サイバー空間管理局は国務院関係部門と共同で、ネットワーク重要設備及びサイバーセキュリティ専用製品の目録を制定・公表し、安全認証及び安全検査結果の相互承認を推進し、重複認証・検査を回避する。
第二十六条　网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。	第二十六条　ネットワーク事業者がユーザーに対し、ネットワーク接続・ドメイン名登録サービスを提供する場合、固定電話・携帯電話等の回線加入手続きを行う場合、または情報発信・インスタントメッセージ等のサービスを提供する場合、ユーザーとの契約締結時またはサービス提供確認時に、ユーザーに対し実名情報の提供を求めるものとする。ユーザーが真実の身分情報を提供しない場合、ネットワーク運営者は関連サービスを提供してはならない。
国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。	国はネットワーク信頼性身分戦略を実施し、安全で便利な電子身分認証技術の研究開発を支援し、異なる電子身分認証間の相互承認を推進する。
第二十七条　网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。	第二十七条　ネットワーク運営者はサイバーセキュリティ事象対応計画を策定し、システム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のセキュリティリスクを速やかに処理しなければならない。サイバーセキュリティを脅かす事象が発生した場合には、直ちに緊急対応計画を発動し、対応する補修措置を講じるとともに、規定に基づき関係主管部門に報告しなければならない。
第二十八条　开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。	第二十八条　サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施し、システム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表する場合は、国家の関連規定を遵守しなければならない。
第二十九条　任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。	第二十九条　いかなる個人及び組織も、他人のネットワークへの不法侵入、他人のネットワークの正常な機能の妨害、ネットワークデータの窃取など、サイバーセキュリティを危害する活動に従事してはならない。ネットワークへの侵入、ネットワークの正常な機能及び防護措置の妨害、ネットワークデータの窃取など、サイバーセキュリティを危害する活動に専ら使用されるプログラムやツールを提供してはならない。他人がサイバーセキュリティを危害する活動に従事していることを知りながら、技術支援、広告宣伝、決済などの援助を提供してはならない。
第三十条　网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。	第三十条　ネットワーク運営者は、公安機関及び国家安全機関が国家安全の維持及び犯罪捜査活動を行う際に、技術的支援及び協力を提供しなければならない。
第三十一条　国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。	第三十一条　国は、ネットワーク運営者間のサイバーセキュリティ情報収集、分析、通報及び緊急対応等の分野における協力を支援し、ネットワーク運営者の安全保障能力の向上を図る。
有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。	関連業界団体は、自業界のサイバーセキュリティ保護規範と協力メカニズムを整備し、サイバーセキュリティリスクのアセスメントを強化し、定期的に会員にリスク警告を行い、会員のサイバーセキュリティリスク対応を支援・協力する。
第三十二条　网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。	第三十二条　ネット情報部門及び関係部門は、サイバーセキュリティ保護職責の履行において取得した情報を、サイバーセキュリティ維持の必要性のみに使用し、他の目的に使用してはならない。
第二节　关键信息基础设施的运行安全	第二節　重要情報インフラの運用安全
第三十三条　国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。	第三十三条　国は、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要業種・分野、及びその他、破壊・機能喪失・データ漏洩が発生した場合に国家安全保障、国民経済・民生、公共利益に重大な危害を及ぼすおそれのある重要情報インフラについて、サイバーセキュリティ等級保護制度を基礎として重点保護を実施する。重要情報インフラの具体的な範囲及び安全保護弁法は国務院が定める。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。	国は、重要情報インフラ以外のネットワーク運営者が自主的に重要情報インフラ保護システムに参加することを奨励する。
第三十四条　按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。	第三十四条　国務院が定めた職責分担に基づき、重要情報インフラの安全保護を担当する部門は、それぞれ自業界・自分野の重要情報インフラ安全計画を策定し実施するとともに、重要情報インフラの運用安全保護業務を指導・監督する。
第三十五条　建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。	第三十五条　重要情報インフラを建設する際には、業務の安定的かつ継続的な運用を支える性能を確保するとともに、安全技術措置の同時計画・同時建設・同時運用を保証しなければならない。
第三十六条　除本法第二十三条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：	第三十六条　本法第二十三条の規定に加え、重要情報インフラの運営者は以下の安全保護義務を履行しなければならない：
（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；	（一）専門の安全管理機関及び安全管理責任者を設置し、当該責任者及び重要ポストの職員に対し安全背景審査を実施すること；
（二）定期对从业人员进行网络安全教育、技术培训和技能考核；	（二）従事者に対し、定期的にサイバーセキュリティ教育、技術研修及び技能評価を実施すること。
（三）对重要系统和数据库进行容灾备份；	（三）重要システム及びデータベースに対し、災害復旧用バックアップを実施すること。
（四）制定网络安全事件应急预案，并定期进行演练；	（四）サイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施すること。
（五）法律、行政法规规定的其他义务。	（五）法律・行政法規で定めるその他の義務。
第三十七条　关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。	第三十七条　重要情報インフラの運営者がネットワーク製品・サービスを購入する場合、国家安全保障に影響を及ぼす可能性があるときは、国家サイバーセキュリティ部門が国務院関係部門と共同で実施する国家安全保障審査を経なければならない。
第三十八条　关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。	第三十八条　重要情報インフラの運営者がネットワーク製品・サービスを購入する場合、規定に基づき提供者と安全保密契約を締結し、安全及び保密に関する義務と責任を明確にしなければならない。
第三十九条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。	第三十九条　重要情報インフラの運営者が中華人民共和国国内での運営において収集・生成した個人情報及び重要データは、国内に保存しなければならない。業務上必要により国外提供が不可避な場合、国家サイバー空間管理局が国務院関係部門と共同で定める弁法に基づきセキュリティ評価を実施しなければならない。法律・行政法規に別段の定めがある場合は、その規定に従う。
第四十条　关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。	第四十条　重要情報インフラの運営者は、自らまたはサイバーセキュリティサービス機関に委託して、自社のネットワークの安全性及び潜在リスクについて、少なくとも年1回セキュリティ評価を実施しなければならない。セキュリティ評価結果及び改善措置は、重要情報インフラの安全保護を担当する関連部門に報告する。
第四十一条　国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：	第四十一条　国家サイバー空間管理部門は、重要情報インフラの安全保護に関して、関係部門を統括調整し、以下の措置を講じなければならない：
（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；	（一）重要情報インフラのセキュリティリスクを抜き打ち検査し、改善措置を提案する。必要に応じて、サイバーセキュリティサービス機関に委託してネットワークのセキュリティリスクをアセスメントさせることができる。
（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；	（二）定期的に重要情報インフラの運営者に対し、サイバーセキュリティ緊急訓練を実施させ、サイバーセキュリティインシデントへの対応能力及び連携能力を向上させる。
（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；	（三）関係部門、重要情報インフラの運営者、及び関連研究機関、サイバーセキュリティサービス機関等間のサイバーセキュリティ情報共有を促進する。
（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。	（四）サイバーセキュリティインシデントへの緊急対応及びネットワーク機能の復旧等に対し、技術支援と協力を提供する。
第四章　网络信息安全	第四章　ネットワーク情報セキュリティ
第四十二条　网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。	第四十二条　ネットワーク運営者は、収集したユーザー情報を厳重に秘匿し、ユーザー情報保護制度を整備しなければならない。
网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。	ネットワーク運営者が個人情報を処理する場合、本法及び『中華人民共和国民法典』、『中華人民共和国個人情報保護法』等の法律・行政法規の規定を遵守しなければならない。
第四十三条　网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。	第四十三条　ネットワーク運営者は個人情報を収集・利用する際、合法・正当・必要の原則に従い、収集・利用規則を公開し、情報の収集・利用目的・方法・範囲を明示し、収集対象者の同意を得なければならない。
网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。	ネットワーク運営者は、提供するサービスと無関係な個人情報を収集してはならず、法律・行政法規の規定及び双方の合意に違反して個人情報を収集・利用してはならない。また、法律・行政法規の規定及びユーザーとの合意に基づき、保存する個人情報を処理しなければならない。
第四十四条　网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。	第四十四条　ネットワーク運営者は、収集した個人情報を漏洩、改ざん、毀損してはならない。収集対象者の同意を得ずに、個人情報を他人に提供してはならない。ただし、処理により特定個人を識別できず、かつ復元不可能な場合はこの限りではない。
网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。	ネットワーク運営者は、技術的措置その他の必要な措置を講じ、収集した個人情報の安全を確保し、情報の漏洩、毀損、紛失を防止しなければならない。個人情報の漏洩、毀損、紛失が発生した、または発生するおそれがある場合には、直ちに是正措置を講じ、規定に従い速やかに利用者に通知するとともに、関係主管部門に報告しなければならない。
第四十五条　个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。	第四十五条　個人は、ネットワーク運営者が法律・行政法規の規定または双方の合意に違反して個人情報を収集・利用していることを発見した場合、当該ネットワーク運営者に対し個人情報の削除を要求する権利を有する。また、ネットワーク運営者が収集・保存した個人情報に誤りがあることを発見した場合、当該ネットワーク運営者に対し訂正を要求する権利を有する。ネットワーク運営者は削除または修正のための措置を講じなければならない。
第四十六条　任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。	第四十六条　いかなる個人及び組織も、個人情報を窃取その他の違法な方法で取得してはならず、個人情報を違法に販売または提供してはならない。
第四十七条　依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。	第四十七条　法に基づきサイバーセキュリティ監督管理の職責を負う部門及びその職員は、職務遂行中に知り得た個人情報、プライバシー及び営業秘密を厳重に秘匿し、漏洩、販売または違法な提供を行ってはならない。
第四十八条　任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。	第四十八条　いかなる個人及び組織も、自らのネットワーク利用行為について責任を負わなければならない。詐欺の実行、犯罪方法の伝授、禁止物品・規制物品の製造・販売等の違法犯罪活動を行うためのウェブサイトや通信グループを設置してはならず、ネットワークを利用して詐欺の実行、禁止物品・規制物品の製造・販売その他の違法犯罪活動に関する情報を発信してはならない。
第四十九条　网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。	第四十九条　ネットワーク運営者は、ユーザーが公開する情報の管理を強化しなければならない。法律・行政法規で公開または送信が禁止されている情報を発見した場合は、直ちに当該情報の送信を停止し、削除等の措置を講じて情報の拡散を防止するとともに、関連記録を保存し、関係主管部門に報告しなければならない。
第五十条　任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。	第五十条　いかなる個人・組織も、送信する電子情報または提供するアプリケーションソフトに、悪意のあるプログラムを設定してはならず、法律・行政法規で公開または送信が禁止されている情報を含んではならない。
电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。	電子情報送信サービス提供者とアプリケーションソフトウェアダウンロードサービス提供者は、安全管理義務を履行しなければならない。利用者が前項に規定する行為を行っていることを知った場合、サービス提供を停止し、削除等の措置を講じ、関連記録を保存し、関係主管部門に報告しなければならない。
第五十一条　网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。	第五十一条　ネットワーク運営者は、ネットワーク情報セキュリティに関する苦情・通報制度を確立し、苦情・通報方法等の情報を公表し、ネットワーク情報セキュリティに関する苦情・通報を適時に受理し処理しなければならない。
网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。	ネットワーク運営者は、ネット情報部門及び関係部門が法に基づき実施する監督検査に協力しなければならない。
第五十二条　国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。	第五十二条　国家ネット情報部門及び関係部門は、法に基づきネットワーク情報セキュリティ監督管理職責を履行し、法律・行政法規で禁止されている情報の公開または伝送を発見した場合、ネットワーク運営者に対し伝送停止、除去等の措置を講じ、関連記録を保存するよう要求しなければならない。中華人民共和国国外に由来する上記情報については、関係機関に対し技術的措置その他の必要な措置を講じて伝播を遮断するよう通知しなければならない。
第五章　监测预警与应急处置	第五章　監視・警報と緊急対応
第五十三条　国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。	第五十三条　国はサイバーセキュリティ監視警報及び情報通報制度を確立する。国家サイバーセキュリティ部門は関係部門を統括調整し、サイバーセキュリティ情報の収集・分析・通報業務を強化するとともに、規定に基づき統一的にサイバーセキュリティ監視警報情報を発表しなければならない。
第五十四条　负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。	第五十四条　重要情報インフラの安全保護を担当する部門は、当該業界・分野におけるサイバーセキュリティ監視警報及び情報通報制度を整備・確立し、規定に基づきサイバーセキュリティ監視警報情報を報告しなければならない。
第五十五条　国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。	第五十五条　国家サイバー空間管理部門は関係部門を調整し、サイバーセキュリティリスクアセスメント及び緊急対応メカニズムを整備し、サイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施する。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。	重要情報インフラの安全保護を担当する部門は、自業界・自分野のサイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施しなければならない。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。	サイバーセキュリティインシデント対応計画は、インシデント発生後の危害の程度、影響範囲等の要素に基づきインシデントを分類し、対応する緊急措置を規定しなければならない。
第五十六条　网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：	第五十六条　サイバーセキュリティインシデント発生リスクが高まった場合、省級以上の人民政府関係部門は、定められた権限と手順に基づき、かつサイバーセキュリティリスクの特性及び引き起こし得る危害に応じて、以下の措置を講じるものとする：
（一）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；	（一）関係部門・機関・関係者に対し、関連情報の迅速な収集・報告を求め、サイバーセキュリティリスクの監視を強化すること；
（二）组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；	（二）関係部門・機関及び専門家を組織し、サイバーセキュリティリスク情報をアセスメントし、インシデント発生の可能性・影響範囲・危害程度を予測すること；
（三）向社会发布网络安全风险预警，发布避免、减轻危害的措施。	（三）社会に対しサイバーセキュリティリスク警報を発令し、危害を回避・軽減する措置を公表する。
第五十七条　发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。	第五十七条　サイバーセキュリティインシデントが発生した場合、直ちにサイバーセキュリティインシデント緊急対応計画を発動し、インシデントの調査・アセスメントを実施する。ネットワーク運営者に対し技術的措置その他の必要な措置を講じ、安全上の隠れた危険を除去し、危害の拡大を防止するよう要求するとともに、速やかに社会に対し公衆に関連する警戒情報を公表する。
第五十八条　省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。	第五十八条　省級以上の人民政府の関連部門は、サイバーセキュリティ監督管理職責を履行する過程で、ネットワークに重大な安全リスクが存在することまたは安全事件が発生したことを発見した場合、規定された権限と手続きに基づき、当該ネットワーク運営者の法定代表者または主要責任者に対して面談を行うことができる。ネットワーク運営者は要求に従い措置を講じ、是正を行い、リスクを排除しなければならない。
第五十九条　因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。	第五十九条　サイバーセキュリティ事件により突発事件または生産安全事故が発生した場合、『中華人民共和国突発事件対応法』、『中華人民共和国安全生産法』等の関連法律・行政法規の規定に基づき処理しなければならない。
第六十条　因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。	第六十条　国家安全及び社会公共秩序の維持、重大な突発的社会安全事件の処理の必要性に基づき、国務院の決定または承認を得て、特定区域においてネットワーク通信に対する制限等の臨時措置を講じることができる。
第六章　法　律　责　任	第六章　法　律　責　任
第六十一条　网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十一条　ネットワーク運営者が本法第二十三条及び第二十七条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、一万元以上五万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には一万元以上十万元以下の罰金を科す。
关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处五万元以上十万元以下罚款；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	重要情報インフラの運営者が本法第三十五条、第三十六条、第三十八条、第四十条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、五万元以上十万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、十万元以上百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し一万元以上十万元以下の罰金を科す。
有前两款行为，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前二項の行為により、大量のデータ漏洩、重要情報インフラの局部的機能喪失等の重大なサイバーセキュリティ危害を招いた場合、関係主管部門は五十万元以上二百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には五万元以上二十万元以下の罰金を科す。重要情報インフラの主要機能喪失等の特に深刻なサイバーセキュリティ危害を招いた場合、200万元以上1000万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し20万元以上100万元以下の罰金を科す。
第六十二条　违反本法第二十四条第一款、第二款和第五十条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：	第六十二条　本法第二十四条第一項、第二項及び第五十条第一項の規定に違反し、次の行為のいずれかを行った場合、関係主管部門は是正を命じ、警告を与える。是正を拒むか、またはサイバーセキュリティを危害する結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者には一万元以上十万元以下の罰金を科す：
（一）设置恶意程序的；	（一）悪意のあるプログラムを設置した場合；
（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；	（二）製品・サービスに存在する安全上の欠陥・脆弱性等のリスクに対し、直ちに是正措置を講じなかった場合、または規定に従い速やかにユーザーに通知し関係主管部門に報告しなかった場合
（三）擅自终止为其产品、服务提供安全维护的。	（三）製品・サービスに対する安全保守の提供を無断で終了した場合
有前款第一项、第二项行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。	前項第一号・第二号の行為により、本法第六十一条第三項に規定する結果を生じたときは、同項の規定に基づき処罰する。
第六十三条　违反本法第二十五条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。	第六十三条　本法第二十五条の規定に違反し、安全認証・安全検査を受けていない、または安全認証不合格・安全検査不適合のネットワーク重要設備及びサイバーセキュリティ専用製品を販売または提供した者は、関係主管部門により販売・提供の停止を命じられ、警告を与えられ、違法所得を没収される。違法所得がない、または十万元未満の場合、二万元以上十万元以下の罰金を併科する。違法所得が十万元以上の場合、違法所得の1倍以上5倍以下の罰金を併科する。情状が重い場合、関連業務の一時停止、営業停止による改善、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。法律・行政法規に別段の定めがある場合は、その規定による。
第六十四条　网络运营者违反本法第二十六条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十四条　ネットワーク運営者が本法第二十六条第一項の規定に違反し、ユーザーに実名情報の提供を求めなかった場合、または実名情報を提供しないユーザーに関連サービスを提供した場合、関係主管部門は是正を命ずる。是正を拒むか、または情状が重い場合、五万元以上五十万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には一万元以上十万元以下の罰金を科す。
第六十五条　违反本法第二十八条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处一万元以上十万元以下罚款；拒不改正或者情节严重的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十五条　本法第二十八条の規定に違反し、サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施した場合、またはシステム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表した場合、関係主管部門は是正を命じ、警告を与え、一万元以上十万元以下の罰金を科すことができる。是正を拒むか、または情状が重い場合には、10万元以上100万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には1万元以上10万元以下の罰金を科す。
有前款行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。	前項の行為により、本法第61条第3項に規定する結果を生じた場合には、同項の規定に基づき処罰する。
第六十六条　违反本法第二十九条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。	第六十六条　本法第二十九条の規定に違反し、サイバーセキュリティを危害する活動に従事し、またはサイバーセキュリティ危害活動に専ら使用するプログラム・ツールを提供し、もしくは他人のサイバーセキュリティ危害活動に対し技術支援・広告宣伝・決済支援等を提供した場合、犯罪を構成しないときは、公安機関は違法所得を没収し、五日以下の拘留に処し、五万元以上五十万元以下の罰金を併科することができる。情状が重い場合は、5日以上15日以下の拘留に処し、10万元以上100万元以下の罰金を併科することができる。
单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。	前項の行為を法人が行った場合、公安機関は違法所得を没収し、10万元以上100万元以下の罰金を科す。また、直接責任を負う主管者及びその他の直接責任者に対し、前項の規定に基づき処罰する。
违反本法第二十九条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。	本法第二十九条の規定に違反し、治安管理処罰を受けた者は、5年間、サイバーセキュリティ管理及びネットワーク運営の重要ポストに就くことを禁止する。刑事処罰を受けた者は、終身、サイバーセキュリティ管理及びネットワーク運営の重要ポストに就くことを禁止する。
第六十七条　关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十七条　重要情報インフラの運営者が本法第三十七条の規定に違反し、安全審査を受けていない、または安全審査に合格していないネットワーク製品またはサービスを使用した場合、関係主管部門は期限を定めて是正、使用停止、国家安全保障への影響の除去を命じ、調達金額の1倍以上10倍以下の罰金を科す。直接責任を負う主管者及びその他の直接責任者には1万元以上10万元以下の罰金を科す。
第六十八条　违反本法第四十八条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。	第六十八条　本法第四十八条の規定に違反し、違法犯罪活動を実施するためのウェブサイトや通信グループを設置した場合、またはネットワークを利用して違法犯罪活動の実施に関わる情報を発信した場合で、まだ犯罪を構成しないときは、公安機関は五日以下の拘留を科し、一万元以上十万元以下の罰金を併科することができる。情状が重い場合は、五日以上十五日以下の拘留を科し、五万元以上五十万元以下の罰金を併科することができる。違法犯罪活動を実施するためのウェブサイト、通信グループを閉鎖する。
单位有前款行为的，由公安机关处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。	前項の行為を単位が行った場合、公安機関は十万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し前項の規定に基づき処罰する。
第六十九条　网络运营者违反本法第四十九条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告，或者违反本法第五十二条规定，不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告、予以通报，可以处五万元以上五十万元以下罚款；拒不改正或者情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。	第六十九条　ネットワーク運営者が本法第四十九条の規定に違反し、法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存せず、主管部門に報告しなかった場合、または本法第五十二条の規定に違反し、関係部門の要求に従って法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存しなかった場合、主管部門は是正を命じ、警告・通報し、五万元以上五十万元以下の罰金を科すことができる。是正を拒むか、情状が重い場合には、五十万元以上二百万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命じることができる。直接責任を負う主管者その他の直接責任者には五万元以上二十万元以下の罰金を科す。
有前款行为，造成特别严重影响、特别严重后果的，由有关主管部门处二百万元以上一千万元以下罚款，责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前項の行為により特に深刻な影響または結果を生じた場合、関係主管部門は200万元以上1000万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命じ、直接責任を負う主管者およびその他の直接責任者に対し20万元以上100万元以下の罰金を科す。
电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第五十条第二款规定的安全管理义务的，依照前两款规定处罚。	電子情報送信サービス提供者及びアプリケーションソフトウェアダウンロードサービス提供者が、本法第五十条第二項に定める安全管理義務を履行しない場合、前二項の規定に基づき処罰する。
第七十条　网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：	第七十条　ネットワーク運営者が本法の規定に違反し、次の行為のいずれかを行った場合、関係主管部門は是正を命じる。是正を拒むか、または情状が重い場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し、一万元以上十万元以下の罰金を科す：
（一）拒绝、阻碍有关部门依法实施的监督检查的；	（一）関係部門が法に基づき実施する監督検査を拒否し、または妨害した場合
（二）拒不向公安机关、国家安全机关提供技术支持和协助的。	（二）公安機関、国家安全機関に対し技術支援及び協力を提供することを拒んだ場合
第七十一条　有下列行为之一的，依照有关法律、行政法规的规定处理、处罚：	第七十一条　次の行為のいずれかを行った者は、関連する法律・行政法規の規定に基づき処理・処罰される：
（一）发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的；	（一）本法第十三条第二項及びその他の法律・行政法規が公表または送信を禁止する情報を公表または送信した場合
（二）违反本法第二十四条第三款、第四十三条至第四十五条规定，侵害个人信息权益的；	（二）本法第二十四条第三項、第四十三条から第四十五条の規定に違反し、個人情報の権益を侵害した場合
（三）违反本法第三十九条规定，关键信息基础设施的运营者在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。	（三）本法第三十九条の規定に違反し、重要情報インフラの運営者が個人情報や重要データを国外に保存し、または国外に提供した場合。
违反本法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。	本法第四十六条の規定に違反し、窃取その他の不法な手段で個人情報を取得し、不法に売却または他人に提供した場合で、犯罪を構成しないときは、公安機関が関連法律・行政法規の規定に基づき処罰する。
第七十二条　有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。	第七十二条　本法に規定する違法行為があった場合、関連する法律・行政法規の規定に基づき信用記録に記録し、公示する。
第七十三条　违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚。	第七十三条　本法の規定に違反したが、「中華人民共和国行政処罰法」に規定する処罰を軽減、免除する事情がある場合、その規定に基づき処罰を軽減、免除する。
第七十四条　国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。	第七十四条　国家機関の政務ネットワークの運営者が本法に定めるサイバーセキュリティ保護義務を履行しない場合、その上級機関または関係機関は是正を命じ、直接責任を負う主管者その他の直接責任者に対して法に基づき処分を与える。
第七十五条　网信部门和有关部门违反本法第三十二条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。	第七十五条　ネット情報部門及び関係部門が本法第三十二条の規定に違反し、サイバーセキュリティ保護職責の履行において取得した情報を他の目的に使用した場合、直接責任を負う主管者その他の直接責任者に対して法に基づき処分を与える。
网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。	サイバーセキュリティ部門及び関係部門の職員が職務怠慢、職権乱用、私情による不正行為を行い、犯罪を構成しない場合、法に基づき処分する。
第七十六条　违反本法规定，给他人造成损害的，依法承担民事责任。	第七十六条　本法の規定に違反し、他人に損害を与えた場合、法に基づき民事責任を負う。
违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。	本法の規定に違反し、治安管理違反行為を構成する場合、法に基づき治安管理処罰を与える。犯罪を構成する場合、法に基づき刑事責任を追及する。
第七十七条　境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。	第七十七条　国外の機関、組織、個人が中華人民共和国のサイバーセキュリティを危害する活動に従事した場合、法律責任を追及する。重大な結果を生じた場合、国務院公安部門及び関係部門は当該機関、組織、個人に対し、財産の凍結その他の必要な制裁措置を決定することができる。
第七章　附　　则	第七章　附則
第七十八条　本法下列用语的含义：	第七十八条　本法における以下の用語の定義は次の通りである：
（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。	（一）ネットワークとは、コンピュータその他の情報端末及び関連設備により構成され、一定の規則と手順に従って情報を収集、保存、伝送、交換、処理するシステムを指す。
（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。	（二）サイバーセキュリティとは、必要な措置を講じてネットワークに対する攻撃、侵入、妨害、破壊、不正使用及び事故を防止し、ネットワークを安定かつ確実に稼働させる状態を維持するとともに、ネットワークデータの完全性、機密性、可用性を保障する能力を指す。
（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。	（三）ネットワーク運営者とは、ネットワークの所有者、管理者及びネットワークサービス提供者を指す。
（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。	（四）ネットワークデータとは、ネットワークを通じて収集、保存、伝送、処理され、生成される各種電子データを指す。
（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。	（五）個人情報とは、電子的その他の方法で記録され、単独または他の情報と組み合わせて自然人の個人を識別できる各種情報を指す。これには自然人の氏名、生年月日、身分証明書番号、個人生体認証情報、住所、電話番号などが含まれるが、これらに限定されない。
第七十九条　存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。	第七十九条　国家機密情報に関わるネットワークの保存・処理における安全保護は、本法に加え、秘密保持に関する法律・行政法規の規定を遵守しなければならない。
第八十条　军事网络的安全保护，由中央军事委员会另行规定。	第八十条　軍事ネットワークの安全保護については、中央軍事委員会が別途規定する。
第八十一条　本法自2017年6月1日起施行。	第八十一条　本法は2017年6月1日から施行する。

改訂時...

・2025.10.28

全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定	全国人民代表大会常務委員会による『中華人民共和国サイバーセキュリティ法』改正に関する決定
（2025年10月28日第十四届全国人民代表大会常务委员会第十八次会议通过）	（2025年10月28日第十四期全国人民代表大会常務委員会第十八回会議にて可決）
第十四届全国人民代表大会常务委员会第十八次会议决定对《中华人民共和国网络安全法》作如下修改：	第十四期全国人民代表大会常務委員会第十八回会議は、『中華人民共和国サイバーセキュリティ法』を以下の通り改正することを決定した：
一、增加一条，作为第三条：“网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。”	一、新たに第三条を追加する：「サイバーセキュリティ業務は中国共産党の指導を堅持し、総合的な国家安全観を貫徹し、発展と安全を統一的に考慮し、ネットワーク強国建設を推進する。」
二、将第十八条改为第十九条，删去第二款。	二、第十八条を第十九条とし、第二項を削除する。
三、增加一条，作为第二十条：“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。	三、新たに条文を追加し、第二十条とする：「国は人工知能の基礎理論研究及びアルゴリズム等の重要技術の研究開発を支援し、訓練データ資源、計算能力等のインフラ整備を推進し、人工知能の倫理規範を整備し、リスク監視及びアセスメントを強化し、人工知能の応用と健全な発展を促進する。
“国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。”	国はサイバーセキュリティ管理方法の革新を支援し、人工知能等の新技術を活用して、サイバーセキュリティ保護水準の向上を図る。」
四、将第四十条改为第四十二条，增加一款，作为第二款：“网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。”	四、第四十条を第四十二条とし、新たに第二項を追加する：「ネットワーク運営者が個人情報を処理する場合、本法及び『中華人民共和国民法典』、『中華人民共和国個人情報保護法』等の法律・行政法規の規定を遵守しなければならない。」
五、将第五十九条改为第六十一条，修改为：“网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	五、第五十九条を第六十一条に改め、次のように修正する：「ネットワーク運営者が本法第二十三条及び第二十七条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、一万元以上五万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティ危害等の結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には一万元以上十万元以下の罰金を科す。
“关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处五万元以上十万元以下罚款；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	重要情報インフラの運営者が本法第三十五条、第三十六条、第三十八条、第四十条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、五万元以上十万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、十万元以上百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に一万元以上十万元以下の罰金を科す。
“有前两款行为，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。”	前項二項の行為により、大量のデータ漏洩、重要情報インフラの局部的機能喪失等の重大なサイバーセキュリティ危害を招いた場合、関係主管部門は五十万元以上二百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には五万元以上二十万元以下の罰金を科す。重要情報インフラの主要機能喪失等の特に深刻なサイバーセキュリティ危害を招いた場合、200万元以上1000万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し20万元以上100万元以下の罰金を科す。」
六、将第六十条改为第六十二条，增加一款，作为第二款：“有前款第一项、第二项行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。”	六、第六十条を第六十二条とし、新たに一項を追加して第二項とする：「前項第一号及び第二号の行為により、本法第六十一条第三項に規定する結果を生じた場合、同項の規定に基づき処罰する。」
七、增加一条，作为第六十三条：“违反本法第二十五条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。”	七、新たに一条を追加し、第六十三条とする：「本法第二十五条の規定に違反し、安全認証・安全検査を受けていない、又は安全認証不合格・安全検査不適合のネットワーク重要設備及びサイバーセキュリティ専用製品を販売又は提供した場合、関係主管部門は販売又は提供の停止を命じ、警告を与え、違法所得を没収する。違法所得がないか、違法所得が10万元未満の場合は、2万元以上10万元以下の罰金を併科する。違法所得が10万元以上の場合は、違法所得の1倍以上5倍以下の罰金を併科する。情状が重い場合は、関連業務の一時停止、営業停止による改善、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。法律・行政法規に別段の定めがある場合は、その規定による。」
八、将第六十一条改为第六十四条，其中的“并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”修改为“并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照”。	八、第六十一条を第六十四条とし、その中の「関係主管部門は関連業務の停止、営業停止による改善、ウェブサイトの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる」を「関係主管部門は関連業務の停止、営業停止による改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる」に改める。
九、将第六十二条改为第六十五条，修改为：“违反本法第二十八条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处一万元以上十万元以下罚款；拒不改正或者情节严重的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	九、第六十二条を第六十五条に改め、次のように修正する。「本法第二十八条の規定に違反し、サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施した場合、またはシステム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表した場合、関係主管部門は是正を命じ、警告を与え、一万元以上十万元以下の罰金を科すことができる。是正を拒むか、または情状が重い場合には、10万元以上100万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には1万元以上10万元以下の罰金を科す。
“有前款行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。”	「前項の行為により、本法第61条第3項に規定する結果を生じた場合には、同項の規定に基づき処罰する。」
十、将第六十五条改为第六十七条，修改为：“关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”	十、第六十五条を第六十七条に改め、次のとおり修正する。「重要情報インフラの運営者が本法第三十七条の規定に違反し、安全審査を受けていない、または安全審査に合格していないネットワーク製品またはサービスを使用した場合、関係主管部門は期限を定めて是正、使用停止、国家安全への影響の除去を命じ、調達金額の1倍以上10倍以下の罰金を科し、直接責任を負う主管者その他の直接責任者には1万元以上10万元以下の罰金を科す。」
十一、将第六十八条、第六十九条第一项合并，作为第六十九条，修改为：“网络运营者违反本法第四十九条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告，或者违反本法第五十二条规定，不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告、予以通报，可以处五万元以上五十万元以下罚款；拒不改正或者情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。	十一、第六十八条及び第六十九条第一項を統合し、第六十九条として次のように改正する。「ネットワーク運営者が本法第四十九条の規定に違反し、法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存せず、関係主管部門に報告しなかった場合、または本法第五十二条の規定に違反し、関係部門の要求に従って法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存しなかった場合、関係主管部門は是正を命じ、警告を与え、通報するとともに、5万元以上50万元以下の罰金を科すことができる。是正を拒む場合または情状が重い場合には、50万元以上200万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命ずることができる。直接責任を負う主管者その他の直接責任者には5万元以上20万元以下の罰金を科す。
“有前款行为，造成特别严重影响、特别严重后果的，由有关主管部门处二百万元以上一千万元以下罚款，责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前項の行為により特に重大な影響または特に重大な結果を生じた場合、関係主管部門は二百万元以上一千万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命じ、直接責任を負う主管者その他の直接責任者に対し二十万元以上百万元以下の罰金を科す。
“电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第五十条第二款规定的安全管理义务的，依照前两款规定处罚。”	「電子情報送信サービス提供者及びアプリケーションソフトウェアダウンロードサービス提供者が、本法第五十条第二項に定める安全管理義務を履行しない場合、前二項の規定に基づき処罰する。」
十二、将第六十四条、第六十六条、第七十条合并，作为第七十一条，修改为：“有下列行为之一的，依照有关法律、行政法规的规定处理、处罚：	十二、第六十四条、第六十六条及び第七十条を統合し、第七十一条として次のように改正する：「次の行為のいずれかを行う者は、関連する法律・行政法規の規定に基づき処理・処罰する：
“（一）发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的；	「（一）本法第十三条第二項及びその他の法律・行政法規で禁止されている情報を発信または伝送した場合；
“（二）违反本法第二十四条第三款、第四十三条至第四十五条规定，侵害个人信息权益的；	「（二）本法第二十四条第三項、第四十三条から第四十五条の規定に違反し、個人情報の権益を侵害した場合；
“（三）违反本法第三十九条规定，关键信息基础设施的运营者在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。	「（三）本法第三十九条の規定に違反し、重要情報インフラの運営者が個人情報や重要データを国外に保存、または国外に提供した場合。
“违反本法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。”	「本法第46条の規定に違反し、個人情報を窃取し、その他の不法な方法で取得し、不法に売却し、または不法に他人に提供した場合で、犯罪を構成しないときは、公安機関は関連する法律・行政法規の規定に基づき処罰する。」
十三、增加一条，作为第七十三条：“违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚。”	十三、新たに一条を追加し、第七十三条とする：「本法の規定に違反したが、『中華人民共和国行政処罰法』に規定される情状酌量の事由、減軽事由または処罰免除事由に該当する場合は、その規定に基づき情状酌量、減軽または処罰を免除する。」
十四、将第七十五条改为第七十七条，修改为：“境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”	十四、第七十五条を第七十七条とし、次のように改める：「国外の機関、組織、個人が中華人民共和国のサイバーセキュリティを危害する活動に従事した場合、法に基づき法的責任を追及する。重大な結果を招いた場合、国務院公安部門及び関係部門は当該機関、組織、個人に対し、財産の凍結その他の必要な制裁措置を決定することができる。」
本决定自2026年1月1日起施行。	本決定は2026年1月1日から施行する。
《中华人民共和国网络安全法》根据本决定作相应修改并对条文顺序作相应调整，重新公布。	『中華人民共和国サイバーセキュリティ法』は本決定に基づき相応の修正を加え、条文順序を調整した上で、改めて公布する。

ちょっとした情報提供...

・2026.01.05 因势而谋系统推进网络安全立法迈入新阶段

因势而谋系统推进网络安全立法迈入新阶段	情勢に応じて計画を立て、サイバーセキュリティ法制を体系的に推進し新たな段階へ
网络安全作为国家安全的重要组成部分，对国家经济发展和安全具有全局性、基础性支撑作用。《中华人民共和国网络安全法》是我国网络立法的重要里程碑，不仅切实回应了保障网络安全、促进信息化健康发展的现实需求，也对我国网络法治建设具有重要意义。2025年10月28日，十四届全国人大常委会第十八次会议表决通过《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》，自2026年1月1日起施行。此次修改立足于数字时代发展方位，把握信息革命演进大势，坚持因势而谋、应势而动、顺势而为，贯彻落实总体国家安全观，科学设置不同类型违法行为法律责任，系统引导人工智能发展与安全，对于深入推进依法治网、进一步筑牢国家网络安全屏障具有重要意义。	サイバーセキュリティは国家安全保障の重要な構成要素であり、国家の経済発展と安全に対して全体的かつ基礎的な支えとなる役割を果たす。『中華人民共和国サイバーセキュリティ法』はわが国のネットワーク立法における重要なマイルストーンであり、サイバーセキュリティの保障と情報化の健全な発展を促進するという現実的なニーズに確実に応えるだけでなく、わが国のネットワーク法治建設にとって重要な意義を持つ。2025年10月28日、第十四期全国人民代表大会常務委員会第十八回会議は「全国人民代表大会常務委員会による『中華人民共和国サイバーセキュリティ法』改正に関する決定」を採択し、2026年1月1日より施行される。今回の改正はデジタル時代の発展段階に立脚し、情報革命の進展の大勢を把握し、情勢に応じて策を講じ、情勢に応じて行動し、情勢に順応することを堅持し、総合的な国家安全観を貫徹し、異なる類型違法行為の法的責任を科学的に設定し、人工知能の発展と安全を体系的に導くものであり、法に基づくネットワーク統治を深く推進し、国家のサイバーセキュリティ障壁をさらに強固にする上で重要な意義を持つ。
全面认识网络安全法的实施成效	サイバーセキュリティ法の実施効果を全面的に認識する
网络安全形势伴随技术产业发展动态变化，我国网络安全法律制度也适应不同互联网发展阶段与时俱进。其中，网络安全法作为我国第一部全面规范网络安全和信息化的基础性法律，对于落实总体国家安全观，维护国家网络空间主权、安全和发展利益具有十分重要的意义，为推进网络强国建设提供了重要法律保障。	サイバーセキュリティ情勢は技術産業の発展に伴い動的に変化し、わが国のサイバーセキュリティ法制度もインターネット発展の異なる段階に適応して時代と共に進歩してきた。その中で、サイバーセキュリティ法はわが国初のサイバーセキュリティと情報化を包括的に規範化する基礎的法律として、総合的な国家安全保障観の実現、国家のサイバースペース主権・安全・発展利益の維持に極めて重要な意義を持ち、ネットワーク強国建設の推進に重要な法的保障を提供している。
自2017年6月1日施行以来，网络安全法不仅为我国网络安全领域构筑起坚实的制度保障，更全面推动我国网络法治建设迈入规范化、系统化发展阶段。一方面，网络安全法与相关法律法规共同构成有机整体。网络安全法既在横向上联动《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等网络领域专门立法及《中华人民共和国民法典》《中华人民共和国刑法》《中华人民共和国未成年人保护法》等相关领域立法，协同构建网络领域立法顶层设计；又在纵向上为《关键信息基础设施安全保护条例》等行政法规提供法律依据，形成系统完备的网络安全法律制度体系。另一方面，网络安全法加速推进我国网络法治建设进程。网络安全法施行以来，推动我国网络法律体系不断健全、网络法治实施持续深化、网络法治意识和素养全面提升、网络法治国际交流合作持续推进，网络法治建设各方面取得历史性成就，网络强国建设迈上新台阶。	2017年6月1日の施行以来、サイバーセキュリティ法は我が国のサイバーセキュリティ分野に堅固な制度的保障を構築しただけでなく、我が国のネットワーク法治建設を規範化・体系化の発展段階へと全面的に推進した。一方で、サイバーセキュリティ法は関連法規と有機的な全体を構成している。サイバーセキュリティ法は、横方向では『中華人民共和国データ安全法』『中華人民共和国個人情報保護法』などのネットワーク分野の専門立法や、『中華人民共和国民法典』『中華人民共和国刑法』『中華人民共和国未成年者保護法』などの関連分野の立法と連携し、ネットワーク分野の立法におけるトップダウン設計を共同で構築している。また縦方向では『重要情報インフラ安全保護条例』などの行政法規に法的根拠を提供し、体系的で完備されたサイバーセキュリティ法制度体系を形成している。一方で、サイバーセキュリティ法はわが国のネットワーク法治建設プロセスを加速させている。同法施行以来、わが国のネットワーク法体系は絶えず健全化され、ネットワーク法治の実施は持続的に深化し、ネットワーク法治意識と素養は全面的に向上し、ネットワーク法治の国際交流協力は継続的に推進され、ネットワーク法治建設の各方面で歴史的成果を収め、ネットワーク強国建設は新たな段階へと進んだ。
准确理解新形势下网络安全法的新调整	新たな情勢下におけるサイバーセキュリティ法の新たな調整を正確に理解する
世界正经历百年未有之大变局，国际力量格局深刻调整、新一轮科技革命和产业变革加速演进。在此背景下，网络安全法的修改适应网络安全新形势新要求，回应人工智能等战略性技术取得的新发展，重点强化网络安全法律责任，加强与相关法律的衔接协调，彰显了网络空间对国家经济发展和安全的战略意义。	世界は百年に一度の大変革期を経験しており、国際力学構造は深く調整され、新たな科学技術革命と産業変革が加速している。この背景のもと、サイバーセキュリティ法の改正はサイバーセキュリティの新たな情勢と要求に適応し、人工知能などの戦略的技術が新たな発展を遂げたことに対応し、特にサイバーセキュリティの法的責任を強化し、関連法律との連携・調整を強化し、サイバー空間が国家経済発展と安全にとって持つ戦略的意義を明らかにしている。
（一）贯彻落实总体国家安全观，充实网络安全工作指导原则。当前，网络空间已成为继陆、海、空、天之后的第五疆域，网络空间安全风险也已成为影响国家安全的重大变量。近年来，网络安全风险进一步凸显，利用网络从事网络入侵、网络攻击、传播违法信息等违法行为屡有发生，给国家安全带来新的挑战。网络安全法修改以总体国家安全观为根本遵循，深刻把握发展与安全的辩证统一关系。本次修改新增了第三条，将“坚持党的领导”写入指导原则，同时将“网络强国建设”首次写入法律，是习近平总书记关于网络强国的重要思想的直接体现，进一步推动了网络强国战略等重大部署法律化，为新时代网络安全工作提供了根本遵循。	（一）総合的な国家安全観を貫徹し、サイバーセキュリティ業務の指導原則を充実させる。現在、サイバー空間は陸・海・空・宇宙に次ぐ第五の領域となり、サイバー空間のリスクは国家安全保障に影響を与える重大な変数となっている。近年、サイバーセキュリティリスクは一層顕在化し、ネットワークを利用した侵入・攻撃・違法情報拡散などの違法行為が頻発し、国家安全保障に新たな挑戦をもたらしている。サイバーセキュリティ法改正は、総合的な国家安全保障観を根本的な指針とし、発展と安全の弁証法的統一関係を深く把握している。今回の改正では新たに第三条が追加され、「党の指導を堅持する」ことが指導原則に明記されると同時に、「サイバー強国建設」が初めて法律に盛り込まれた。これは習近平総書記のサイバー強国に関する重要な思想を直接反映したものであり、サイバー強国戦略などの重要施策の法制化をさらに推進し、新時代のサイバーセキュリティ業務に根本的な指針を提供している。
（二）适应技术应用发展新形势，增加促进人工智能安全与发展内容。人工智能技术快速发展，正引领新一轮科技革命和产业变革，深刻改变人类生产生活方式。人工智能等新技术具有“双刃剑”效应，既是引发网络安全风险挑战的新变量，也是提升网络安全保护水平的新增量。新修改的网络安全法积极回应当前人工智能健康发展和安全治理的需要，新增人工智能专门条款。这是我国首次在法律层面规定人工智能专条，既回应了人工智能算法安全、训练数据泄露等新挑战，又通过“运用人工智能等新技术，提升网络安全保护水平”条款，实现技术治理的闭环，实现了“以发展促安全、以安全保发展”的制度导向。	（二）技術応用発展の新たな情勢に適応し、人工知能の安全と発展を促進する内容を追加した。人工知能技術は急速に発展し、新たな科学技術革命と産業変革を牽引し、人類の生産・生活様式を深く変えている。人工知能などの新技術は「両刃の剣」効果を持ち、サイバーセキュリティリスクの新たな変数であると同時に、サイバーセキュリティ保護水準を高める新たな増分でもある。改正されたサイバーセキュリティ法は、現在の人工知能の健全な発展と安全ガバナンスの必要性に積極的に応え、人工知能に関する特別条項を新設した。これはわが国が初めて法律レベルで人工知能の特別条項を規定したものであり、人工知能アルゴリズムの安全性や訓練データの漏洩といった新たな課題に対応すると同時に、「人工知能などの新技術を活用してサイバーセキュリティ保護レベルを向上させる」という条項を通じて、技術ガバナンスの閉ループを実現し、「発展によって安全を促進し、安全によって発展を保障する」という制度的指向を実現した。
（三）提升网络安全法律体系协同性，加强相关法律间的有机衔接。网络安全法构建了网络运行安全、网络数据安全、个人信息保护等基础制度。2021年以来，数据安全法、个人信息保护法等网络安全相关立法相继制定实施，《中华人民共和国行政处罚法》修订出台，对相关法律制度作出细化完善。新修改的网络安全法加强与相关法律有机衔接，推动法律体系形成合力。其一，新增规定明确网络运营者处理个人信息的法律适用，完善了与民法典、个人信息保护法等法律、行政法规的衔接。其二，将侵害个人信息权益行为、违法向境外提供重要数据行为等情形的法律责任改为衔接性规定，科学优化相关网络安全法律责任制度。其三，统筹考虑网络安全法和行政处罚法的适用关系，推动实现网络安全领域执法工作的精细化。	（三）サイバーセキュリティ法体系の連携性を高め、関連法律間の有機的接続を強化する。サイバーセキュリティ法はネットワーク運用安全、ネットワークデータ安全、個人情報保護などの基礎制度を構築した。2021年以降、データ安全法、個人情報保護法などのサイバーセキュリティ関連立法が相次いで制定・施行され、『中華人民共和国行政処罰法』の改正が公布され、関連法律制度が詳細化・改善された。改正されたサイバーセキュリティ法は関連法律との有機的接続を強化し、法体系の相乗効果形成を推進する。第一に、新たに規定を追加し、ネットワーク運営者が個人情報を処理する際の法律適用を明確化し、民法典や個人情報保護法などの法律・行政法規との連携を改善した。第二に、個人情報権益侵害行為や重要データの違法な国外提供行為などの状況における法的責任を連携規定に変更し、関連するサイバーセキュリティの法的責任制度を科学的に最適化した。第三に、サイバーセキュリティ法と行政処罰法の適用関係を総合的に考慮し、サイバーセキュリティ分野における法執行業務の精密化を実現するよう推進した。
（四）回应监管执法实践新需求，针对性健全重点领域安全法律责任。随着国内外网络安全形势不断发展变化、网络安全相关立法相继制定实施，网络安全法既有法律责任条款的适应性问题日渐凸显。新修改的网络安全法聚焦解决突出重点问题，通过提高违法成本、完善处罚机制等方式，有效增强了法律的威慑力。一方面，结合实践中危害网络安全后果的情况，增加了对造成大量数据泄露、导致关键信息基础设施丧失功能等违法行为的处罚；另一方面，对销售或者提供不符合要求的网络关键设备和网络安全专用产品的行为，增加法律责任规定，有效保障网络领域供应链安全。	（四）監督執行実務の新たなニーズに応え、重点分野の安全責任を重点的に整備した。国内外のサイバーセキュリティ情勢が絶えず変化し、関連立法が相次いで制定・施行される中、現行サイバーセキュリティ法の責任規定の適応性が次第に顕在化していた。改正されたサイバーセキュリティ法は、突出した重点問題の解決に焦点を当て、違法コストの引き上げや処罰メカニズムの改善などを通じて、法律の抑止力を効果的に強化した。一方で、実務におけるサイバーセキュリティ危害の結果を踏まえ、大量のデータ漏洩を引き起こす行為や重要情報インフラの機能喪失を招く行為などに対する処罰を追加した。他方で、要求を満たさないネットワーク重要設備やサイバーセキュリティ専用製品を販売または提供する行為に対する法的責任規定を追加し、ネットワーク分野のサプライチェーン安全を効果的に保障した。
（五）坚持过罚相当分类施策原则，精准设置不同类型违法行为法律责任。科学合理的法律责任设置，是持续优化营商环境、促进稳预期强信心有力保障。尤其在人工智能、大数据等新技术新业态加速发展的背景下，更需要避免“一刀切”式的处罚方式挫伤市场主体的积极性和创新活力，为新技术新业态新模式的健康发展预留充足空间。新修改的网络安全法针对网络运行安全违法行为、网络信息安全违法行为设置阶梯式的处罚措施，根据一般性违法，拒不改正或者情节严重的，造成特别严重影响、特别严重后果等不同情形分类施策，科学合理设置宽严相济的法律责任，切实保障网络执法既有力度又有温度。	（五）過罰相当の分類施策原則を堅持し、異なる類型違法行為の法的責任を精密に設定する。科学的かつ合理的な法的責任設定は、ビジネス環境の持続的最適化と安定的な期待・信頼の促進を強力に保障する。特に人工知能やビッグデータなどの新技術・新業態が加速的に発展する背景において、「画一的な」処罰方式が市場主体の積極性や革新活力を損なうことを避け、新技術・新業態・新モデルの健全な発展に十分な余地を残す必要がある。改正されたサイバーセキュリティ法は、ネットワーク運用安全違反行為やネットワーク情報安全違反行為に対し段階的な処罰措置を設け、一般的な違反、是正を拒む場合や情状が重い場合、特に深刻な影響や結果をもたらした場合など、異なる状況に応じて分類した対応を取る。寛厳相済の法的責任を科学的に合理的に設定し、ネットワーク法執行が力強さと温かみを兼ね備えることを確実に保障する。
更好发挥法治的引领、规范、保障作用	法の支配の先導・規範・保障機能をより良く発揮する
网络安全法的修改是我国顺应信息时代发展要求、筑牢国家安全屏障的重要举措，集中体现了我国统筹高质量发展和高水平安全的理念，对于深化推进网络空间法治化进程意义深远。2026年1月1日，修改后的网络安全法正式施行，标志着我国网络安全法治建设进入新阶段。以此为契机，应扎实推进法律贯彻实施，全面推进国家网络安全体系和能力现代化，更好发挥法治对改革发展稳定的引领、规范、保障作用，为数字经济高质量发展、网络强国建设稳步推进提供更加坚实的法治保障。（作者：中国信息通信研究院互联网法律研究中心主任何波）	サイバーセキュリティ法の改正は、我が国が情報時代の発展要求に応え、国家安全保障の障壁を強化する重要な措置であり、高品質な発展と高水準の安全を統合的に推進する理念を集中的に体現している。これはサイバー空間の法治化プロセスを深化させる上で、極めて深い意義を持つ。2026年1月1日、改正サイバーセキュリティ法が正式施行され、わが国のサイバーセキュリティ法治建設が新たな段階に入ったことを示す。これを契機に、法律の着実な実施を推進し、国家サイバーセキュリティ体系と能力の近代化を全面的に推進し、法治が改革・発展・安定に対して果たす指導的・規範的・保障的役割をより良く発揮させ、デジタル経済の高品質発展とサイバー強国建設の着実な推進により強固な法治的保障を提供すべきである。（筆者：中国情報通信研究院インターネット法律研究センター所長何波）

2026.01.13 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.12

中国ライブコマース監督管理弁法 (2026.01.07)

こんにちは、丸山満彦です。

前回紹介した「ネットワーク取引プラットフォーム規則監督管理弁法（网络交易平台规则监督管理办法）」の特別法として、ライブコマース関係事業者に上乗せで適用される弁法となりますかね...

ネットワーク取引プラットフォーム規則監督管理弁法が、取引ルールの透明性・公正性に主に焦点を当てているのに対して、ライブコマース監督管理弁法はコンテンツ・広告・販売行為の適法性に主に焦点があたっていますかね...

ライブ配信者に継続的な実名確認の義務（第8条）を課していますね...

リスクに応じてということだと毛のですが、例えば影響力の高いインフルエンサーの動画についてはリアルタイム監視（第11条）や動態監視（第13条）がもとめられていますね...

また、AI利用コンテンツについても違法なコンテンツ等の流通を止めなければならないようです（第17条）...

そして、配信者自身のAIによる違法なコンテンツの流通自身も禁止（第34条）していますね...もちろんAI生成の場合はAI生成とわかるようにしないといけません（第37条）

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.07 直播电商监督管理办法

直播电商监督管理办法	ライブコマース監督管理弁法
（2025年12月18日国家市场监督管理总局、国家互联网信息办公室令第117号公布自2026年2月1日起施行）	（2025年12月18日国家市場監督管理総局・国家サイバースペース管理局令第117号公布　2026年2月1日より施行）
第一章总　则	第一章　総則
第一条为了加强直播电商监督管理，保护消费者和经营者的合法权益，促进直播电商健康发展，根据《中华人民共和国电子商务法》、《中华人民共和国消费者权益保护法》、《中华人民共和国网络安全法》等法律，制定本办法。	第一条　ライブコマースの監督管理を強化し、消費者及び事業者の正当な権益を保護し、ライブコマースの健全な発展を促進するため、「中華人民共和国電子商取引法」、「中華人民共和国消費者権益保護法」、「中華人民共和国サイバーセキュリティ法」等の法律に基づき、本弁法を制定する。
第二条在中华人民共和国境内从事直播电商活动以及市场监督管理、网信部门依据职责对其进行监督管理，适用本办法。	第二条　中華人民共和国国内においてライブコマース活動に従事する者及び市場監督管理部門、サイバーセキュリティ部門がその職責に基づき監督管理を行う場合、本弁法が適用される。
本办法所称直播电商，是指通过互联网站、应用程序等，以视频直播、音频直播或者多种直播相结合等形式销售商品或者提供服务的经营活动。	本弁法において「ライブコマース」とは、インターネットサイト、アプリケーション等を通じて、動画配信、音声配信、またはこれらを組み合わせた形式により商品販売またはサービス提供を行う営業活動を指す。
本办法所称直播电商平台经营者，是指在直播电商活动中提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织。	本弁法において「ライブコマースプラットフォーム事業者」とは、ライブコマース活動においてネットワーク営業場所の提供、取引仲介、情報発信等のサービスを提供し、取引当事者または複数当事者が独立して取引活動を行うことを可能とする法人または非法人組織を指す。
本办法所称直播间运营者，是指在直播电商平台上注册账号或者通过自建网站、其他网络服务，开设直播间从事直播电商活动的自然人、法人和非法人组织。实际运营他人直播间的，也应当依照本办法规定履行直播间运营者的相应义务。	本弁法において「ライブ配信ルーム運営者」とは、ライブコマースプラットフォームにアカウントを登録するか、自設ウェブサイトその他のネットワークサービスを通じてライブ配信ルームを開設し、ライブコマース活動に従事する自然人、法人及び非法人組織を指す。他人のライブ配信ルームを実際に運営する者も、本弁法の規定に基づきライブ配信ルーム運営者の対応する義務を履行しなければならない。
本办法所称直播营销人员，是指在直播电商活动中直接面向社会公众开展商品或者服务宣传、推介活动的自然人。	本弁法において「ライブマーケティング担当者」とは、ライブコマース活動において直接社会一般に向けて商品又はサービスの宣伝・推奨活動を行う自然人を指す。
本办法所称直播营销人员服务机构，是指为直播营销人员从事直播电商活动提供策划、运营、经纪、培训和技术支持等服务的机构。	本弁法において「ライブ配信マーケティング担当者サービス機関」とは、ライブ配信マーケティング担当者がライブコマース活動を行うために企画、運営、マネジメント、研修及び技術支援等のサービスを提供する機関を指す。
第三条从事直播电商活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律、法规、规章和商业道德、公序良俗，公平参与市场竞争，接受政府监管和社会监督，营造良好直播电商生态。	第三条　ライブコマース活動に従事する者は、自発性、平等性、公平性、誠実性の原則に従い、法律、法規、規則及び商業道徳、公序良俗を遵守し、公平に市場競争に参加し、政府の監督及び社会の監視を受け、良好なライブコマース生態を構築しなければならない。
第四条直播电商监督管理应当坚持鼓励创新、严守底线、线上线下一体化监管的原则，营造有利于直播电商健康发展的市场环境，充分发挥直播电商在推动高质量发展、满足人民日益增长的美好生活需要等方面的重要作用。	第四条ライブコマースの監督管理は、イノベーションの奨励、最低基準の厳守、オンラインとオフラインの一体化管理の原則を堅持し、ライブコマースの健全な発展に有利な市場環境を整え、高品質な発展の推進や人々の増大するより良い生活への需要の充足などにおけるライブコマースの重要な役割を十分に発揮させるものである。
第五条鼓励直播电商平台经营者、直播间运营者建立健全首问负责、先行赔付、在线争议解决等制度，及时预防和解决直播电商领域消费争议。	第五条ライブコマースプラットフォーム事業者及び配信室運営者は、初動対応責任制度、事前賠償制度、オンライン紛争解決制度等を整備し、ライブコマース分野における消費紛争を予防・解決するよう奨励する。
鼓励相关行业组织加强行业自律，建立健全行业规范，推动行业诚信建设，监督、引导本行业经营者公平参与市场竞争、自觉维护消费者合法权益。	関連業界団体は業界自律を強化し、業界規範を整備し、業界の誠実な建設を推進し、業界事業者が公平に市場競争に参加し、自発的に消費者の合法的権益を守るよう監督・指導するよう奨励する。
鼓励消费者组织加强对直播电商活动的社会监督，维护消费者合法权益。	消費者団体はライブコマース活動に対する社会的監視を強化し、消費者の合法的権益を守るよう奨励する。
第二章直播电商平台经营者	第二章ライブコマースプラットフォーム事業者
第六条直播电商平台经营者应当建立健全直播账号注册注销、平台内交易行为规范、商品和服务质量保障、消费者权益保护、个人信息保护、网络和数据安全保护以及直播间运营者、直播营销人员、直播营销人员服务机构管理等机制。	第六条ライブコマースプラットフォーム事業者は、ライブアカウントの登録・削除、プラットフォーム内取引行為規範、商品・サービス品質保証、消費者権益保護、個人情報保護、ネットワーク及びデータセキュリティ保護、並びにライブ配信運営者・ライブマーケティング担当者・ライブマーケティング担当者サービス機関の管理等のメカニズムを整備しなければならない。
直播电商平台经营者应当加强直播电商信息内容管理，建立健全内容审核机制，营造良好直播电商生态。	ライブコマースプラットフォーム事業者は、ライブコマース情報コンテンツ管理を強化し、コンテンツ審査メカニズムを整備し、良好なライブコマース環境を構築しなければならない。
第七条直播电商平台经营者应当遵循公开、公平、公正的原则，制定平台服务协议和交易规则（以下简称平台规则），明确直播电商平台经营者、直播间运营者、直播营销人员、直播营销人员服务机构等主体的权利和义务，并以显著方式提醒相关主体注意与其有重大利害关系的内容。	第七条ライブコマースプラットフォーム運営者は、公開・公平・公正の原則に従い、プラットフォームサービス契約及び取引規則（以下「プラットフォーム規則」という）を制定し、プラットフォーム運営者、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関等の主体の権利と義務を明確にしなければならない。また、関連主体に対し、重大な利害関係のある内容について顕著な方法で注意喚起を行うものとする。
直播电商平台经营者应当在平台规则中要求直播间运营者、直播营销人员服务机构规范直播营销人员的招募、培训、使用、管理等工作。	ライブコマースプラットフォーム運営者は、プラットフォーム規則において、配信ルーム運営者及びライブマーケティング担当者サービス機関に対し、ライブマーケティング担当者の募集、研修、使用、管理等の業務を規範化することを要求しなければならない。
第八条直播电商平台经营者应当要求申请进入平台从事直播电商活动的直播间运营者提供其名称（姓名）、统一社会信用代码（身份证件号码）、实际经营地址、联系方式、行政许可等真实信息，进行核验、登记，建立登记档案，并至少每六个月核验更新一次。	第八条ライブコマースプラットフォーム運営者は、プラットフォームへの参入を申請する配信ルーム運営者に対し、氏名、統一社会信用コード（身分証明書番号）、実際の営業住所、連絡先、行政許可等の真実情報を提供させ、これを確認・登録し、登録ファイルを作成するとともに、少なくとも6か月ごとに確認・更新を行わなければならない。
直播电商平台经营者应当要求直播间运营者在直播营销人员首次直播前，提供经核验无误的该人员姓名、身份证件号码、经常居住地址、联系方式、所属直播营销人员服务机构以及与直播营销相关的专业资质、职业职务等身份信息，对直播间运营者履行核验义务提供技术支持并进行监督。	ライブコマースプラットフォーム運営者は、配信ルーム運営者に対し、ライブマーケティング担当者が初めて配信を行う前に、当該担当者の氏名、身分証明書番号、常居住所、連絡先、所属するライブマーケティング担当者サービス機関、並びにライブマーケティングに関連する専門資格、職業職務等の身元情報を提供し、かつ検証が完了したことを確認するよう要求しなければならない。また、配信ルーム運営者が検証義務を履行するよう技術支援を提供し、監督を行わなければならない。
直播电商平台经营者应当建立并落实直播营销人员真实身份动态核验制度，不得为与真实身份不符或者依照国家有关规定不得从事直播电商活动的人员提供相关服务。	ライブコマースプラットフォーム運営者は、ライブマーケティング担当者の実名動態確認制度を確立し実施しなければならない。実名と一致しない者、または国家の関連規定に基づきライブコマース活動に従事してはならない者に対して関連サービスを提供してはならない。
第九条直播电商平台经营者应当分别于每年一月和七月向平台住所地省级市场监督管理部门报送直播间运营者、直播营销人员的下列身份信息：	第九条ライブコマースプラットフォーム運営者は、毎年1月及び7月に、プラットフォーム所在地の省級市場監督管理部門に対し、ライブ配信ルーム運営者及びライブマーケティング担当者の以下の身元情報を提出しなければならない：
（一）已办理经营主体登记的直播间运营者的名称（姓名）、统一社会信用代码、实际经营地址、联系方式、直播账号等信息；	（一）経営主体登録を済ませたライブ配信ルーム運営者の名称（氏名）、統一社会信用コード、実際の経営住所、連絡先、ライブアカウント等の情報；
（二）未办理经营主体登记的直播间运营者的姓名、身份证件号码、实际经营地址、联系方式、直播账号等信息；	（二）経営主体登録を行っていない配信ルーム運営者の氏名、身分証明書番号、実際の営業住所、連絡先、配信アカウント等の情報；
（三）直播营销人员的姓名、身份证件号码、经常居住地址、联系方式、所属直播营销人员服务机构以及与直播营销相关的专业资质、职业职务等信息。	（三）ライブマーケティング担当者の氏名、身分証明書番号、常居住所、連絡先、所属するライブマーケティング担当者サービス機関及びライブマーケティングに関連する専門資格、職業職務等の情報。
第十条直播电商平台经营者应当建立健全直播营销人员培训机制，每年对直播营销人员开展培训；在为首次从事直播电商活动的直播营销人员提供直播服务前，应当组织开展网络交易、网络信息安全相关法律、法规、规章以及产品质量安全、消费者权益保护、平台规则等方面的培训。直播营销人员不得在接受培训时弄虚作假或者拒不参加培训。	第十条ライブコマースプラットフォーム運営者は、ライブマーケティング担当者に対する研修制度を整備し、毎年研修を実施しなければならない。初めてライブコマース活動に従事するライブマーケティング担当者に配信サービスを提供する前には、ネット取引、ネット情報セキュリティ関連法令・規則、製品品質安全、消費者権利保護、プラットフォーム規則などに関する研修を実施しなければならない。ライブマーケティング担当者は研修において虚偽の報告をしたり、研修への参加を拒否したりしてはならない。
直播电商平台经营者应当每年组织直播间运营者、直播营销人员服务机构学习网络交易、网络信息安全相关法律、法规、规章，及时通报有关部门的工作要求。	ライブコマースプラットフォーム運営者は、毎年、ライブ配信ルーム運営者及びライブマーケティング担当者サービス機関に対し、ネットワーク取引及びネットワーク情報セキュリティ関連の法律・法規・規則を学習させるとともに、関係部門の業務要求を適時に通知しなければならない。
第十一条直播电商平台经营者应当通过平台规则建立健全直播间运营者分级分类管理制度，根据直播间运营者合规情况、关注和访问量、交易规模、所销售的商品或者服务种类以及其他指标，采取相应的管理措施。其中，对关注用户多、交易规模大、直播营销人员影响力强、多次出现违法行为或者从事关系消费者生命健康的商品或者服务的直播电商活动的直播间运营者，应当采取技术监测、实时巡查等管理措施。	第十一条　ライブコマースプラットフォーム運営者は、プラットフォーム規則を通じて、ライブ配信ルーム運営者の段階的・分類的管理制度を整備・確立し、運営者のコンプライアンス状況、注目度・アクセス数、取引規模、販売商品・サービスの種類及びその他の指標に基づき、対応する管理措置を講じなければならない。特に、フォロワー数が多く、取引規模が大きく、ライブマーケティング担当者の影響力が強く、違法行為を繰り返し行う、あるいは消費者の生命・健康に関わる商品・サービスのライブコマース活動を行う配信室運営者に対しては、技術的監視やリアルタイム巡回などの管理措置を講じなければならない。
鼓励直播电商平台经营者建立健全直播间运营者信用评价指标体系，将市场监督管理、网信部门依法共享或者通报的经营异常名录、严重违法失信名单、行政处罚、信用修复等信息纳入信用评价指标体系，并根据信用评价结果，采取相应的管理措施。	ライブコマースプラットフォーム事業者は、配信室運営者の信用評価指標体系を整備し、市場監督管理部門やネット情報部門が法的に共有または通報する経営異常リスト、重大な違法・失信リスト、行政処分、信用修復などの情報を信用評価指標体系に組み入れ、信用評価結果に基づいて対応する管理措置を講じることを推奨する。
第十二条直播电商平台经营者应当通过平台规则建立健全平台内违法行为处置制度，明确对违反法律、法规、规章的直播间运营者、直播营销人员、直播营销人员服务机构采取警示、限制功能、限制流量、暂停直播、限期停播、关闭账号、禁止重新注册账号、列入黑名单等处置措施的具体情形、程序以及相应的救济途径。采取处置措施的种类和幅度，应当与有关违法行为的事实、性质、情节、社会危害程度等相当。	第十二条ライブコマースプラットフォーム事業者は、プラットフォーム規則を通じてプラットフォーム内違法行為処理制度を整備し、法律・法規・規則に違反した配信ルーム運営者、ライブマーケティング担当者、ライブマーケティングサービス機関に対し、警告、機能制限、トラフィック制限、配信停止、期限付き配信停止、アカウント閉鎖、新規登録禁止、ブラックリスト登録等の処分措置を講じる具体的な状況、手続き及び対応する救済手段を明確に定める。処分措置の種類及び程度は、関連する違法行為の事実、性質、情状、社会的危害の程度等に見合うものでなければならない。
市场监督管理、网信部门经调查核实，将相关直播间运营者、直播营销人员、直播营销人员服务机构违法情况通报直播电商平台经营者的，直播电商平台经营者应当根据相关法律、法规、规章以及平台规则，及时依照前款规定采取相应的处置措施。	市場監督管理部門及びネット情報部門が調査・確認の上、関連するライブ配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関の違法状況をライブコマースプラットフォーム運営者に通知した場合、ライブコマースプラットフォーム運営者は関連する法律、法規、規則及びプラットフォーム規則に基づき、前項の規定に従い速やかに相応の処分措置を講じなければならない。
直播电商平台经营者采取处置措施的，应当保存有关记录，依法及时向平台住所地县级以上市场监督管理、网信部门报告，并作为评价直播间运营者、直播营销人员、直播营销人员服务机构合规情况的参考。其中，采取关闭账号、禁止重新注册账号、列入黑名单等处置措施的，应当同时向平台住所地省级市场监督管理、网信部门报告。	ライブコマースプラットフォーム事業者が処分措置を講じた場合、関連記録を保存し、法に基づき速やかにプラットフォーム所在地の県級以上の市場監督管理部門及びサイバー空間管理局に報告するとともに、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関のコンプライアンス状況評価の参考とする。このうち、アカウント閉鎖、新規アカウント登録禁止、ブラックリスト登録等の処分措置を講じた場合は、同時にプラットフォーム所在地の省級市場監督管理部門及びサイバー空間管理局に報告しなければならない。
第十三条直播电商平台经营者应当建立健全风险识别制度，配备与其经营规模相适应的直播管理专业人员，加强对直播电商活动的动态监测，对直播中的违法行为及时采取警示、限制流量、暂停直播等处置措施。	第十三条ライブコマースプラットフォーム運営者は、リスク特定制度を整備し、その経営規模に見合ったライブ管理専門要員を配置し、ライブコマース活動の動態的監視を強化し、ライブ中の違法行為に対しては警告、トラフィック制限、ライブ停止等の措置を速やかに講じなければならない。
第十四条直播电商平台经营者应当通过平台规则建立健全黑名单制度，将严重违反市场监督管理、网信领域法律、行政法规的直播间运营者、直播营销人员、直播营销人员服务机构列入黑名单。	第十四条ライブコマースプラットフォーム運営者は、プラットフォーム規則を通じてブラックリスト制度を整備し、市場監督管理・ネット情報分野の法律・行政法規に重大に違反した配信室運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関をブラックリストに掲載しなければならない。
直播电商平台经营者将相关主体列入黑名单的，应当及时告知其违反法律、行政法规的事实、理由和依据，列入黑名单的具体期限以及相应的申诉途径；相关主体提起申诉的，应当对申诉事项进行必要的复核，客观公正作出处理，并及时将处理结果告知相关主体。	ライブコマースプラットフォーム運営者が関連主体をブラックリストに掲載する場合、当該主体に対し、法律・行政法規違反の事実・理由・根拠、ブラックリスト掲載の具体的な期間及び対応する申立て手続きを速やかに通知しなければならない。当該主体が異議申立てを行った場合、プラットフォーム運営者は申立て事項について必要な再審査を行い、客観的かつ公正に処理し、速やかに処理結果を当該主体に通知しなければならない。
直播电商平台经营者应当加强对被列入黑名单的相关主体的管理，采取必要措施防止其在被列入黑名单期间，通过更换账号、重新注册账号等方式逃避惩戒；列入黑名单的期限届满的，应当将其移出并同步解除相应的处置措施。	ライブコマースプラットフォーム運営者は、ブラックリストに掲載された主体に対する管理を強化し、掲載期間中にアカウント変更や新規登録等による処分の回避を防止するための必要な措置を講じなければならない。ブラックリスト掲載期間が満了した場合は、当該主体をリストから削除するとともに、対応する処分措置を解除しなければならない。
鼓励直播电商平台经营者之间共享黑名单相关信息，对相关主体采取信用管理措施。	ライブコマースプラットフォーム運営者間でブラックリスト関連情報を共有し、関連主体に対して信用管理措置を講じることを奨励する。
第十五条直播电商平台经营者应当为直播间运营者依法履行信息公示义务提供必要的技术支持。直播间运营者公示的信息发生变更的，应当在三个工作日内将变更情况报送直播电商平台经营者，直播电商平台经营者应当在七个工作日内进行核验，完成更新公示。	第十五条　ライブコマースプラットフォーム運営者は、配信ルーム運営者が情報公示義務を法的に履行するために必要な技術的支援を提供しなければならない。配信ルーム運営者が公示した情報に変更が生じた場合、3営業日以内に変更内容をライブコマースプラットフォーム運営者に報告し、ライブコマースプラットフォーム運営者は7営業日以内に検証を行い、公示の更新を完了しなければならない。
第十六条直播电商平台经营者应当通过技术手段确保交易信息的完整性。交易信息应当包括直播账号，有关商品或者服务的直播视频回放记录、直播互动信息，消费者订单形成时的商品或者服务详情页面快照、客服记录、支付记录、物流快递、退换货以及售后等信息。上述交易信息的保存时间自交易完成之日起不少于三年。法律、行政法规另有规定的，依照其规定。	第十六条ライブコマースプラットフォーム運営者は、技術的手段により取引情報の完全性を確保しなければならない。取引情報には、ライブアカウント、商品またはサービスに関するライブ動画の再生記録、ライブインタラクション情報、消費者注文成立時の商品またはサービス詳細ページのスナップショット、カスタマーサービス記録、支払い記録、物流配送、返品・交換およびアフターサービス等の情報を含むものとする。上記取引情報の保存期間は、取引完了日から少なくとも3年間とする。法律・行政法規に別段の定めがある場合は、その規定に従う。
第十七条直播电商平台经营者应当采取有效措施，防范和处置直播间运营者、直播营销人员利用人工智能等技术手段，编造、传播虚假或者引人误解的商业信息，假冒他人进行商业宣传，欺骗、误导消费者和其他经营者。	第十七条ライブコマースプラットフォーム運営者は、ライブ配信運営者やライブマーケティング担当者が人工知能等の技術手段を用いて虚偽または誤解を招く商業情報を捏造・拡散したり、他人を装って商業宣伝を行ったり、消費者や他の事業者を欺く行為を防止・対処するための有効な措置を講じなければならない。
第十八条直播电商平台经营者应当建立健全消费者权益保护制度，明确消费争议解决机制。发生消费争议的，直播电商平台经营者应当根据消费者的要求提供直播间运营者、直播营销人员相关信息以及相关交易记录等必要信息。	第十八条ライブコマースプラットフォーム運営者は、消費者権益保護制度を整備し、消費紛争解決メカニズムを明確にしなければならない。消費紛争が発生した場合、ライブコマースプラットフォーム運営者は消費者の要求に基づき、配信室運営者・ライブマーケティング担当者に関する情報及び関連取引記録等の必要情報を提供しなければならない。
第十九条直播电商平台经营者知道或者应当知道直播间运营者、直播营销人员销售的商品或者提供的服务不符合保障人身、财产安全的要求，或者有其他侵害消费者合法权益行为的，应当依法采取必要措施。	第十九条　ライブコマースプラットフォーム運営者は、配信室運営者・ライブマーケティング担当者が販売する商品または提供するサービスが、人身・財産安全の保障要件を満たさないこと、またはその他の消費者合法権益侵害行為があることを知っていた、または知るべきであった場合、法に基づき必要な措置を講じなければならない。
第二十条直播电商平台经营者应当建立健全投诉机制，明确处理流程和反馈时限，及时处理消费者投诉，并采取必要措施识别、防范和处置违反诚实信用原则滥用平台投诉机制的行为。	第二十条ライブコマースプラットフォーム運営者は、苦情処理メカニズムを整備し、処理手順とフィードバック期限を明確にし、消費者の苦情を速やかに処理するとともに、誠実信用の原則に反してプラットフォームの苦情処理メカニズムを濫用する行為を識別・防止・対処するための必要な措置を講じなければならない。
对于投诉集中的直播间运营者、直播营销人员，直播电商平台经营者应当及时采取技术监测、实时巡查等管理措施。	苦情が集中するライブ配信ルーム運営者・ライブマーケティング担当者に対しては、ライブコマースプラットフォーム運営者は、技術的監視やリアルタイム巡回などの管理措置を速やかに講じなければならない。
直播电商平台经营者应当将核查属实的投诉情况作为评价直播间运营者、直播营销人员、直播营销人员服务机构合规情况的参考。	ライブコマースプラットフォーム運営者は、事実確認が取れた苦情状況を、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関のコンプライアンス状況評価の参考とする。
第二十一条直播电商平台经营者应当积极配合市场监督管理、网信部门依法开展的监督检查、案件调查、事故处置、缺陷消费品召回、消费争议处理等监管执法活动，如实提供有关直播间运营者、直播营销人员的身份信息、商品或者服务信息、交易信息等。	第二十一条ライブコマースプラットフォーム運営者は、市場監督管理部門及びネット情報部門が法に基づき実施する監督検査、事件調査、事故処理、欠陥消費財のリコール、消費紛争処理等の監督執行活動に積極的に協力し、ライブ配信ルーム運営者及びライブマーケティング担当者の身元情報、商品又はサービス情報、取引情報等を事実に基づき提供しなければならない。
第二十二条市场监督管理部门依法对直播间运营者、直播营销人员开展调查，发现上述主体通过实际经营地址、经常居住地址无法联系的，应当及时通报直播电商平台经营者。	第二十二条　市場監督管理部門が法に基づきライブ配信ルーム運営者、ライブ配信マーケティング担当者に対して調査を実施し、当該主体が実際の営業住所、常居住所を通じて連絡が取れないことを発見した場合、速やかにライブコマースプラットフォーム運営者に通報しなければならない。
直播电商平台经营者应当在接到市场监督管理部门通报后五个工作日内提醒相关直播间运营者、直播营销人员及时更新相关信息。	ライブコマースプラットフォーム運営者は、市場監督管理部門からの通報を受けてから5営業日以内に、関連するライブ配信ルーム運営者及びライブマーケティング担当者に対し、速やかに関連情報を更新するよう促さなければならない。
经提醒，相关直播间运营者、直播营销人员仍不及时更新相关信息的，直播电商平台经营者应当根据平台规则，对其采取相应的处置措施，并保存有关记录。	促した後も関連するライブ配信ルーム運営者及びライブマーケティング担当者が速やかに情報を更新しない場合、ライブコマースプラットフォーム運営者はプラットフォームの規則に基づき、対応する措置を講じ、関連記録を保存しなければならない。
相关直播间运营者、直播营销人员更新相关信息后，可以根据平台规则，向平台申请解除处置措施。直播电商平台经营者收到申请并核验无误后，应当及时解除处置措施。	関連するライブ配信ルーム運営者及びライブ配信マーケティング担当者が関連情報を更新した後、プラットフォーム規則に基づき、プラットフォームに対し措置解除を申請することができる。ライブコマースプラットフォーム運営者は申請を受領し、内容に誤りがないことを確認した後、速やかに措置を解除しなければならない。
第二十三条直播电商平台经营者对直播间运营者、直播营销人员采取处置措施的，应当对受影响的消费者的相关订单处理、售后服务、消费纠纷解决等作出妥善安排，协助消费者进行维权。	第二十三条　ライブコマースプラットフォーム運営者がライブ配信ルーム運営者及びライブ配信マーケティング担当者に対して措置を講じた場合、影響を受けた消費者に対する関連注文の処理、アフターサービス、消費紛争の解決等について適切な手配を行い、消費者の権利保護を支援しなければならない。
第二十四条其他网络服务提供者在直播电商活动中，提供网络经营场所、交易撮合、信息发布等服务的全部或者部分内容的，应当根据其具体服务内容，依法履行本章规定的直播电商平台经营者应当履行的身份核验及登记、有关信息报送、违法行为处置及报告、交易信息保存、协助消费者维权和配合监管执法等相应义务；违反相关规定的，依法承担相应的责任。	第二十四条　その他のネットワークサービス提供者がライブコマース活動において、ネットワーク経営場所の提供、取引仲介、情報発信等のサービスの一部または全部を提供する場合は、その具体的なサービス内容に基づき、本章で定めるライブコマースプラットフォーム事業者が履行すべき本人確認及び登録、関連情報報告、違法行為の処分及び報告、取引情報の保存、消費者の権利保護支援及び監督執行への協力等の義務を法的に履行しなければならない。関連規定に違反した場合は、法的に相応の責任を負う。
第三章直播间运营者、直播营销人员	第三章配信室運営者、ライブマーケティング担当者
第二十五条直播间运营者为法人或者非法人组织的，应当在直播账号信息主页显著位置依法公示真实有效的名称、统一社会信用代码、住所、行政许可等信息，或者上述信息的链接标识。	第二十五条配信室運営者が法人または非法人組織である場合、配信アカウント情報ホームページの目立つ位置に、真実かつ有効な名称、統一社会信用コード、住所、行政許可等の情報を法に基づき公示するか、または上記情報のリンク表示をしなければならない。
直播间运营者为自然人，属于个体工商户的，应当在直播账号信息主页显著位置依法公示真实有效的名称、经营者姓名、统一社会信用代码、经营场所、组成形式等信息，或者上述信息的链接标识；属于依法不需要办理经营主体登记的其他自然人的，应当在直播账号信息主页显著位置依法公示实际经营地址、联系方式、所属直播营销人员服务机构等真实有效的信息，或者上述信息的链接标识。	配信ルーム運営者が自然人で、個人事業主である場合、配信アカウント情報ページの顕著な位置に、真実かつ有効な名称、経営者氏名、統一社会信用コード、営業場所、組織形態などの情報を、または上記情報のリンク表示を、法に基づき公示しなければならない。その他、法律に基づき経営主体登録を必要としない自然人である場合は、ライブ配信アカウント情報ページの顕著な位置に、実際の経営住所、連絡先、所属するライブ配信マーケティング担当者サービス機関などの真実かつ有効な情報を、または上記情報のリンク表示を、法律に基づき公示しなければならない。
相关信息发生变更的，直播间运营者应当在三个工作日内将变更情况报送直播电商平台经营者。	関連情報に変更が生じた場合、ライブ配信ルーム運営者は3営業日以内に変更状況をライブコマースプラットフォーム運営者に報告しなければならない。
直播间运营者依照本办法公示信息的，应当同时符合法律、行政法规和国家有关规定对展示账号相关信息的要求。	ライブ配信運営者が弁法に基づき情報を公示する場合、法律・法律・行政法規及び国家関連規定がアカウント関連情報の表示に求める要件を同時に満たさなければならない。
第二十六条直播间运营者应当在其直播页面，以显著方式持续展示实际销售商品或者提供服务的经营者名称（姓名）、实际经营地址、联系方式等信息，或者该信息的链接标识。	第二十六条　ライブ配信運営者は、自社のライブ配信ページにおいて、実際の商品販売またはサービス提供を行う事業者の名称（氏名）、実際の営業住所、連絡先等の情報を、目立つ方法で継続的に表示しなければならない。または当該情報へのリンク表示をしなければならない。
通过链接标识展示相关信息的，应当符合以下要求：	リンク表示により関連情報を表示する場合、以下の要件を満たさなければならない：
（一）在直播页面显著位置设置便捷入口，跳转页面应当真实、完整展示第一款规定的信息，不得多次跳转；	（一）ライブ配信ページの顕著な位置に簡易アクセス入口を設置し、遷移先ページは第一項で規定する情報を真実かつ完全に表示し、複数回の遷移を許容してはならない。
（二）不得设置连续多次验证、强制关注账号、打赏互动等不合理访问限制；	（二）連続した複数回の認証、アカウントの強制フォロー、投げ銭インタラクション等の不当なアクセス制限を設定してはならない。
（三）不得以弹窗覆盖等技术手段干扰阅读。	（三）ポップアップ表示による覆い隠しの技術的手段等により閲覧を妨害してはならない。
第二十七条直播间运营者应当核验实际销售商品或者提供服务的经营者的名称（姓名）、统一社会信用代码（身份证件号码）、实际经营地址、联系方式、行政许可、强制性产品认证、产品合格证明文件等信息，强化对直播选品、营销用语等的审核把关，并保存相关记录备查。保存记录自直播结束之日起不少于三年。	第二十七条ライブ配信運営者は、実際に商品販売またはサービス提供を行う事業者の名称（氏名）、統一社会信用コード（身分証明書番号）、実際の営業住所、連絡先、行政許可、強制製品認証、製品合格証明書等の情報を確認し、ライブ配信商品の選定やマーケティング用語等の審査を強化するとともに、関連記録を保存して備え置かなければならない。記録の保存期間は配信終了日から少なくとも三年とする。
第二十八条直播间运营者应当核验直播营销人员的姓名、身份证件号码、经常居住地址、联系方式、所属直播营销人员服务机构以及与直播营销相关的专业资质、职业职务等身份信息，并及时核验更新，保存相关记录备查，确保直播营销人员身份信息真实有效。保存记录自直播结束之日起不少于三年。	第二十八条ライブ配信運営者は、ライブマーケティング担当者の氏名、身分証明書番号、常居住所、連絡先、所属するライブマーケティング担当者サービス機関、並びにライブマーケティングに関連する専門資格、職業職務等の身元情報を確認し、適時に確認・更新するとともに、関連記録を保存し、ライブマーケティング担当者の身元情報が真実かつ有効であることを確保しなければならない。記録は配信終了日から少なくとも3年間保存する。
直播间运营者应当在每次直播前将核验无误的直播营销人员身份信息报送直播电商平台经营者。	配信ルーム運営者は、各配信開始前に、確認済みのライブマーケティング担当者の身元情報をライブECプラットフォーム運営者に報告しなければならない。
第二十九条直播间运营者设置、展示的账号名称、头像、简介和直播间标题、封面、布景、道具等，应当符合法律、法规、规章的规定，不得含有损害国家利益和社会公共利益，违背公序良俗以及欺骗、误导消费者等内容的信息。	第二十九条配信ルーム運営者が設定・表示するアカウント名、アバター、プロフィール、配信ルームのタイトル、カバー画像、背景、小道具等は、法令・規則の規定に適合し、国家利益・社会公共利益を損なう内容、公序良俗に反する内容、消費者を欺く・誤導する内容を含んではならない。
第三十条直播间运营者应当建立健全事前合规审核机制，在直播前依照有关规定对展示内容、讲解内容、服装、布景、道具等进行审核。	第三十条　ライブ配信ルーム運営者は、事前コンプライアンス審査メカニズムを整備し、配信前に表示内容、解説内容、服装、背景、小道具等について関連規定に基づき審査を行うこと。
第三十一条直播间运营者应当建立健全直播营销人员纠错机制，发现直播营销人员出现口误、表述不完整、表述不当等情形时，应当现场进行纠正，并保存记录备查。保存记录自直播结束之日起不少于三年。	第三十一条ライブ配信運営者は、ライブマーケティング担当者の誤り訂正メカニズムを整備し、担当者の言い間違い、不完全な表現、不適切な表現等を発見した場合は、その場で訂正するとともに記録を保存し、検査に備えるものとする。記録の保存期間は配信終了日から少なくとも三年とする。
直播间运营者应当对直播间互动内容进行实时管理，及时处置违法信息，并依法保存相关处置记录。	ライブ配信運営者は、配信中のインタラクティブコンテンツをリアルタイムで管理し、違法情報を速やかに処理するとともに、関連する処理記録を法的に保存するものとする。
第三十二条直播间运营者应当以显著方式展示所销售商品的品名、价格和计价单位或者提供服务的项目、内容、价格和计价方法等信息，或者上述信息的链接标识；采取价格比较、折价、减价等促销方式的，应当显著标明被比较价格或者折价、减价的计算基准等信息，或者上述信息的链接标识。	第三十二条ライブ配信運営者は、販売商品の品名・価格・計量単位、または提供サービスの項目・内容・価格・計量方法等の情報を、目立つ方法で表示しなければならない。価格比較・割引・値引き等の販促手法を用いる場合は、比較対象価格や割引・値引きの計算基準等の情報を、目立つ方法で表示しなければならない。
第三十三条直播间运营者、直播营销人员不得通过直播间销售或者提供下列违法商品或者服务：	第三十三条ライブ配信運営者及びライブマーケティング担当者は、ライブ配信を通じて以下の違法商品またはサービスを販売または提供してはならない：
（一）不符合保障人身、财产安全的要求和环境保护要求的商品或者服务；	（一）人身・財産安全の確保及び環境保護の要件を満たさない商品またはサービス
（二）掺杂、掺假、以假充真、以次充好等质量不合格的商品；	（二）混入・偽装・偽物・粗悪品など品質基準を満たさない商品
（三）法律、行政法规禁止交易，损害国家利益和社会公共利益，违背公序良俗的商品或者服务。	（三）法律・行政法規で取引が禁止され、国家利益・社会公共利益を損ない、公序良俗に反する商品またはサービス。
第三十四条直播间运营者、直播营销人员不得对商品或者服务的经营主体以及性能、功能、质量、销售情况、用户评价、曾获荣誉、资格资质等作虚假或者引人误解的商业宣传，欺骗、误导消费者和其他经营者。	第三十四条ライブ配信運営者及びライブマーケティング担当者は、商品またはサービスの経営主体、性能・機能・品質・販売状況・ユーザー評価・受賞歴・資格認定等について、虚偽または誤解を招く商業宣伝を行い、消費者及び他の経営者を欺く、または誤導してはならない。
直播间运营者、直播营销人员不得利用人工智能等技术手段，编造、传播虚假或者引人误解的商业信息，假冒他人进行商业宣传，欺骗、误导消费者和其他经营者。	ライブ配信運営者及びライブマーケティング担当者は、人工知能等の技術手段を利用して虚偽または誤解を招く商業情報を創作・拡散し、他人を装って商業宣伝を行い、消費者その他の事業者を欺瞞・誤導してはならない。
第三十五条直播间运营者、直播营销人员发布的直播内容构成商业广告的，应当依照《中华人民共和国广告法》的有关规定履行广告发布者、广告经营者或者广告代言人的义务。	第三十五条ライブ配信運営者及びライブマーケティング担当者が配信する内容が商業広告に該当する場合、『中華人民共和国広告法』の関連規定に基づき、広告掲載者・広告事業者または広告代弁者の義務を履行しなければならない。
下列情形一般构成前款所称的商业广告：	以下の状況は、前項でいう商業広告に該当する：
（一）商品经营者或者服务提供者以外有一定影响的自然人，在直播电商活动中以自己的名义或者形象对商品或者服务作推荐、证明的；	（一）商品経営者またはサービス提供者以外の一定の影響力を持つ自然人が、ライブコマース活動において自己の名義またはイメージを用いて商品またはサービスを推薦・証明する場合
（二）为推销商品或者服务，将介绍商品或者服务的直播内容录制、剪辑、编辑后，以文字、图像、视频、音频等形式通过互联网或者其他媒介发布的；	（二）商品またはサービスの販売促進を目的として、商品またはサービスを紹介するライブ配信内容を録画・編集・加工し、文字・画像・動画・音声等の形式でインターネットその他の媒体を通じて公開する場合
（三）其他构成商业广告的情形。	（三）その他商業広告を構成する状況。
第三十六条直播间运营者、直播营销人员不得编造、传播或者指使他人编造、传播虚假信息或者误导性信息，损害其他经营者的商业信誉、商品声誉。	第三十六条ライブ配信運営者及びライブマーケティング担当者は、虚偽情報または誤解を招く情報を捏造・流布し、または他人に捏造・流布を指示して、他の事業者の商業的信用や商品の評判を損なってはならない。
第三十七条直播间运营者使用人工智能等技术生成的人物图像、视频从事直播电商活动的，应当符合有关法律、法规、规章和强制性国家标准的要求，并依照国家有关规定进行标识，持续向消费者提示该人物图像、视频由人工智能等技术生成。	第三十七条ライブ配信室運営者が人工知能等の技術で生成した人物画像・動画を用いてライブコマース活動を行う場合、関連する法律・法規・規則及び強制標準の要求を満たし、国家の関連規定に基づき表示を行い、当該人物画像・動画が人工知能等で生成されたものであることを消費者に継続的に提示しなければならない。
在直播电商活动中使用人工智能等技术生成的人物图像、视频，存在违反法律、法规、规章规定情形的，由管理或者使用该人物图像、视频的直播间运营者依法承担责任。法律、法规、规章另有规定的，依照其规定。	ライブコマース活動において人工知能等の技術で生成された人物画像・動画が法令・規則に違反する場合、当該画像・動画の管理・使用を行うライブ配信ルーム運営者は法的責任を負う。法令・規則に別段の定めがある場合は、その規定に従う。
第四章直播营销人员服务机构	第四章ライブマーケティング担当者サービス機関
第三十八条直播营销人员服务机构应当建立健全内部管理制度，规范直播营销人员的招募、培训、使用、管理等工作。	第三十八条ライブマーケティング担当者サービス機関は、内部管理制度を整備し、担当者の募集・研修・使用・管理等を規範化しなければならない。
第三十九条直播营销人员服务机构应当完善对直播营销人员的招募机制，核验直播营销人员的姓名、身份证件号码、经常居住地址、联系方式以及与直播营销相关的专业资质、职业职务等身份信息。	第三十九条ライブマーケティング人材サービス機関は、ライブマーケティング人材の募集メカニズムを改善し、氏名、身分証明書番号、常居住所、連絡先、並びにライブマーケティングに関連する専門資格、職業職務等の身元情報を確認しなければならない。
第四十条直播营销人员服务机构应当与直播营销人员签订协议，明确各自应当履行的义务，不得减轻或者免除自身依法应当承担的责任。	第四十条ライブマーケティング人材サービス機関は、ライブマーケティング人材と契約を締結し、各自が履行すべき義務を明確にしなければならない。自ら法的に負うべき責任を軽減または免除してはならない。
第四十一条直播营销人员服务机构应当加强对直播营销人员的培训，提醒其在直播电商活动中应当依法履行的义务。	第四十一条ライブ配信マーケティング担当者サービス機関は、ライブ配信マーケティング担当者に対する研修を強化し、ライブコマース活動において法的に履行すべき義務を遵守するよう注意喚起しなければならない。
第四十二条直播营销人员服务机构应当加强对直播营销人员的日常管理和规范引导，建立健全直播营销人员违法行为处置制度，对发现的直播营销人员违法行为及时采取必要的处置措施。	第四十二条ライブ配信マーケティング担当者サービス機関は、ライブ配信マーケティング担当者の日常管理と規範的指導を強化し、違法行為対応制度を整備・確立しなければならない。発見された違法行為に対しては、速やかに必要な措置を講じなければならない。
第四十三条直播营销人员服务机构与直播间运营者合作开展商业活动的，应当核验直播间运营者的名称（姓名）、统一社会信用代码（身份证件号码）、实际经营地址、联系方式、行政许可等信息，并与其签订书面协议，明确各自在直播营销人员管理、直播内容管理、产品质量审核、消费者权益保护等方面的义务。	第四十三条ライブ配信マーケティング担当者サービス機関が配信ルーム運営者と共同で商業活動を行う場合、配信ルーム運営者の名称（氏名）、統一社会信用コード（身分証明書番号）、実際の営業住所、連絡先、行政許可等の情報を確認し、書面による契約を締結し、ライブ配信マーケティング担当者の管理、配信内容の管理、製品品質の審査、消費者権益保護等における各々の義務を明確にしなければならない。
第四十四条直播营销人员服务机构不得通过组织虚假交易、虚假评价等方式，帮助直播间运营者、直播营销人员进行虚假或者引人误解的商业宣传。	第四十四条ライブ配信マーケティング担当者サービス機関は、虚偽取引や虚偽評価の組織化等を通じて、配信ルーム運営者やライブ配信マーケティング担当者が虚偽または誤解を招く商業宣伝を行うことを助けてはならない。
第四十五条直播营销人员服务机构提供直播选品服务的，应当核验实际销售商品或者提供服务的经营者的名称（姓名）、统一社会信用代码（身份证件号码）、实际经营地址、联系方式、行政许可、强制性产品认证、产品合格证明文件等信息，并保存相关记录备查。保存记录自直播结束之日起不少于三年。	第四十五条ライブ配信マーケティング担当者サービス機関が商品選定サービスを提供する場合、実際に商品を販売またはサービスを提供する事業者の名称（氏名）、統一社会信用コード（身分証明書番号）、実際の営業住所、連絡先、行政許可、強制製品認証、製品合格証明書等の情報を確認し、関連記録を保存して備え置かなければならない。記録の保存期間はライブ配信終了日から少なくとも三年とする。
第五章监督管理	第五章監督管理
第四十六条市场监督管理、网信部门应当依据职责加强对直播电商活动的监督管理，并建立健全线索移交、信息共享、会商研判等工作机制。	第四十六条　市場監督管理部門及びネット情報部門は、職責に基づきライブコマース活動の監督管理を強化し、情報提供の移管、情報共有、協議・分析等の作業メカニズムを整備しなければならない。
市场监督管理、网信部门对直播电商平台经营者、直播间运营者、直播营销人员服务机构依法开展监督管理的，相关经营主体应当予以配合，提供必要的数据、技术支持和协助，并确保所提供数据的真实性、准确性。	市場監督管理部門及びネット情報部門がライブコマースプラットフォーム事業者、ライブ配信ルーム運営者、ライブマーケティング担当者サービス機関に対し法に基づき監督管理を行う場合、関連事業主体はこれに協力し、必要なデータ・技術支援・協力を提供するとともに、提供データの真実性・正確性を確保しなければならない。
第四十七条直播电商平台经营者，通过自建网站、其他网络服务从事直播电商活动的直播间运营者，以及直播营销人员服务机构违反本办法规定的行为，由其住所地县级以上市场监督管理、网信部门依据职责管辖。	第四十七条ライブコマースプラットフォーム事業者、自社ウェブサイトその他のネットワークサービスを通じてライブコマース活動を行う配信ルーム運営者、及びライブマーケティング担当者サービス機関が弁法に違反する行為については、その所在地を管轄する県級以上の市場監督管理部門及びサイバー空間管理局が職責に基づき管轄する。
通过直播电商平台从事直播电商活动的直播间运营者违反本办法规定的行为，由其实际经营地县级以上市场监督管理、网信部门依据职责管辖。无法确定实际经营地，已办理经营主体登记的，由其住所地县级以上市场监督管理、网信部门依据职责管辖；未办理经营主体登记的，由直播电商平台经营者住所地县级以上市场监督管理、网信部门依据职责管辖。	ライブコマースプラットフォームを通じてライブコマース活動を行う配信ルーム運営者が弁法に違反した場合、その実際の営業所在地を管轄する県級以上の市場監督管理部門及びサイバー空間管理局が職責に基づき管轄する。実際の営業所在地が特定できない場合、事業主体登録を済ませている者はその住所地を管轄する県級以上の市場監督管理部門及びサイバー空間管理局が職責に基づき管轄する。事業主体登録を済ませていない者は、ライブコマースプラットフォーム運営者の住所地を管轄する県級以上の市場監督管理部門及びサイバー空間管理局が職責に基づき管轄する。
直播营销人员违反本办法规定的行为，由依照前两款规定负责管辖其所在直播间的运营者违法行为的市场监督管理、网信部门依据职责管辖。	ライブマーケティング担当者が弁法に違反する行為については、前2項の規定に基づき当該ライブ配信室の運営者の違法行為を管轄する市場監督管理部門及びサイバー空間管理部門が職責に基づき管轄する。
第四十八条直播电商平台经营者住所地省级市场监督管理部门应当根据工作需要，及时将其掌握的直播间运营者、直播营销人员身份信息与直播间运营者实际经营地的省级市场监督管理部门共享。	第四十八条ライブコマースプラットフォーム運営者の住所地を管轄する省級市場監督管理部門は、業務の必要性に応じて、速やかに把握しているライブ配信室運営者及びライブマーケティング担当者の身元情報を、当該ライブ配信室運営者の実際の営業地を管轄する省級市場監督管理部門と共有しなければならない。
第四十九条市场监督管理、网信部门依据职责对涉嫌违法的直播电商活动进行查处时，可以依法采取下列措施：	第四十九条　市場監督管理部門及びサイバー空間管理局は、職務に基づき違法が疑われるライブコマース活動を調査・処分する際、法に基づき以下の措置を講じることができる：
（一）对与涉嫌违法的直播电商活动有关的场所进行现场检查；	（一）違法が疑われるライブコマース活動に関連する場所を現場検査する。
（二）查阅、复制与涉嫌违法的直播电商活动有关的合同、票据、账簿等有关资料；	（二）違法が疑われるライブコマース活動に関連する契約書、領収書、帳簿等の関連資料を閲覧・複製する。
（三）收集、调取、复制与涉嫌违法的直播电商活动有关的电子数据；	（三）違法が疑われるライブコマース活動に関連する電子データを収集・調取・複製する。
（四）询问涉嫌从事违法的直播电商活动的直播电商平台经营者、直播间运营者、直播营销人员、直播营销人员服务机构等当事人；	（四）違法行為に関与した疑いのあるライブコマースプラットフォーム事業者、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関などの関係者から事情を聴取すること。
（五）向与涉嫌违法的直播电商活动有关的自然人、法人和非法人组织调查了解有关情况；	（五）違法行為に関与した疑いのあるライブコマース活動に関連する自然人、法人及び非法人組織に対し、関連状況を調査・確認すること。
（六）法律、法规规定可以采取的其他措施。	（六）法律・法規で認められるその他の措置。
第五十条市场监督管理、网信部门发现直播间运营者、直播营销人员、直播营销人员服务机构有违反市场监督管理、网信领域法律、法规、规章的行为，依法要求直播电商平台经营者采取必要处置措施的，直播电商平台经营者应当予以配合。	第五十条　市場監督管理部門及びネット情報部門が、配信ルーム運営者、配信マーケティング担当者、配信マーケティング担当者サービス機関が市場監督管理及びネット情報分野の法律・法規・規則に違反する行為を発見し、法に基づきライブコマースプラットフォーム運営者に対し必要な措置を講じるよう要求した場合、ライブコマースプラットフォーム運営者はこれに応じなければならない。
第五十一条市场监督管理部门依法对直播电商平台经营者、直播间运营者、直播营销人员、直播营销人员服务机构等主体实施信用监管，将其注册登记、备案、行政许可、抽查核查结果、行政处罚、存续状态、列入经营异常名录和市场监督管理严重违法失信名单等信息，依法通过国家企业信用信息公示系统公示。对存在严重违法失信行为的，依法采取相应的惩戒措施。	第五十一条　市場監督管理部門は、ライブコマースプラットフォーム事業者、ライブ配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関等の主体に対し、信用監督管理を法的に実施する。その登録・届出、行政許可、抜き打ち検査結果、行政処分、存続状態、経営異常リスト及び市場監督管理重大違法失信リストへの掲載等の情報を、国家企業信用情報公示システムを通じて法的に公示する。重大な違法失信行為がある場合、法的に相応の懲戒措置を講じる。
前款规定的信息还可以通过市场监督管理部门官方网站、网络搜索引擎、经营者从事经营活动的主页面显著位置等公示。	前項に規定する情報は、市場監督管理部門の公式ウェブサイト、ネットワーク検索エンジン、事業者が事業活動を行うメインページの顕著な位置等を通じて公示することもできる。
网信部门依法将实施违法行为情节严重、影响恶劣的相关主体列入互联网严重失信名单，并采取相应的惩戒措施。	ネットワーク情報部門は、違法行為の情状が深刻で悪影響が大きい関連主体を、インターネット上の重大な信用失墜リストに法に基づき掲載し、対応する懲戒措置を講じる。
第五十二条直播电商平台经营者、直播间运营者、直播营销人员、直播营销人员服务机构有下列情形之一的，市场监督管理、网信部门可以依据职责对其有关责任人进行约谈，要求其说明情况、采取措施进行整改：	第五十二条ライブコマースプラットフォーム事業者、配信ルーム運営者、ライブマーケティング担当者、ライブマーケティング担当者サービス機関が以下のいずれかに該当する場合、市場監督管理部門及びネット情報部門は職責に基づき、関連責任者に対し事情説明及び是正措置を要求する面談を実施することができる：
（一）履行直播电商相关法定义务不到位的；	（一）ライブコマース関連の法的義務を適切に履行していない場合
（二）发生直播电商相关重大负面舆情事件的；	（二）ライブコマース関連の重大なネガティブ世論事件が発生した場合
（三）市场监督管理、网信部门在日常监督管理中发现存在可能对直播电商秩序造成负面影响问题的；	（三）市場監督管理部門及びサイバー空間管理局が日常監督管理において、ライブコマース秩序に悪影響を及ぼす可能性のある問題を発見した場合
（四）未保障消费者等有关各方主体合法权益的；	（四）消費者等の関係当事者の合法的権益を保障していない場合
（五）其他需要约谈的情形。	（五）その他面談が必要な場合
第六章法律责任	第六章法的責任
第五十三条直播电商平台经营者有下列行为之一，属于市场监督管理部门职责的，由市场监督管理部门依照《中华人民共和国电子商务法》第八十条的规定进行处罚：	第五十三条ライブコマースプラットフォーム運営者が以下の行為のいずれかを行い、かつ市場監督管理部門の職責に属する場合、市場監督管理部門は「中華人民共和国電子商取引法」第八十条の規定に基づき処罰を行う：
（一）不依照本办法第八条第一款规定对直播间运营者身份信息进行核验、登记的；	（一）弁法第八条第一項の規定に基づき、ライブ配信運営者の身元情報を確認・登録しない場合。
（二）不依照本办法第九条第一项、第二项规定报送有关信息的；	（二）弁法第九条第一項及び第二項の規定に基づき、関連情報を報告しない場合。
（三）不履行本办法第十六条规定的交易信息保存义务的。	（三）弁法第十六条に定める取引情報保存義務を履行しない場合。
第五十四条直播电商平台经营者有下列行为之一，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正；拒不改正或者情节严重的，处一万元以上十万元以下罚款：	第五十四条ライブコマースプラットフォーム運営者が以下の行為のいずれかを行った場合、法律・行政法規に規定があるときはその規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属するときは、市場監督管理部門が期限を定めて是正を命じる。是正を拒むか、または情状が重いときは、一万元以上十万元以下の罰金を科す：
（一）不依照本办法第八条第三款规定对直播营销人员真实身份进行核验的；	（一）本弁法第八条第三項の規定に従わず、ライブマーケティング担当者の実在する身分を確認しない場合；
（二）不依照本办法第九条第三项规定报送有关信息的；	（二）弁法第九条第三項の規定に基づき関連情報を報告しないこと。
（三）不履行本办法第十条规定的培训义务的；	（三）弁法第十条に定める研修義務を履行しないこと。
（四）不依照本办法第十一条第一款规定建立健全直播间运营者分级分类管理制度的；	（四）弁法第十一条第一項の規定に基づきライブ配信運営者の等級別・分類別管理制度を整備しないこと。
（五）不依照本办法第十二条规定建立健全平台内违法行为处置制度的；	（五）弁法第十二条の規定に基づきプラットフォーム内違法行為処理制度を整備しないこと。
（六）不依照本办法第十三条规定建立健全风险识别制度的；	（六）弁法第十三条の規定に基づきリスク特定制度を確立・整備しない場合；
（七）不依照本办法第十四条规定建立健全黑名单制度的；	（七）弁法第十四条の規定に基づきブラックリスト制度を確立・整備しない場合；
（八）不依照本办法第十七条规定采取有效措施防范和处置有关虚假商业宣传行为的；	（八）弁法第十七条の規定に基づき虚偽の商業宣伝行為を防止・処置するための有効な措置を講じない場合；
（九）不履行本办法第二十二条规定的提醒、处置义务的。	（九）弁法第二十二条の規定に基づく注意喚起・処置義務を履行しない場合。
第五十五条直播电商平台经营者违反本办法第十八条规定，属于市场监督管理部门职责的，由市场监督管理部门依照《中华人民共和国消费者权益保护法实施条例》第五十条第一款的规定进行处罚。	第五十五条ライブコマースプラットフォーム事業者が弁法第十八条の規定に違反し、市場監督管理部門の職責に属する場合、市場監督管理部門は「中華人民共和国消費者権益保護法実施条例」第五十条第一項の規定に基づき処罰を行う。
第五十六条直播电商平台经营者违反本办法第十九条规定，对直播间运营者、直播营销人员侵害消费者合法权益行为未采取必要措施的，由市场监督管理部门依照《中华人民共和国电子商务法》第八十三条的规定进行处罚。	第五十六条ライブコマースプラットフォーム事業者が弁法第十九条の規定に違反し、ライブ配信運営者・ライブマーケティング担当者の消費者合法権益侵害行為に対して必要な措置を講じなかった場合、市場監督管理部門は「中華人民共和国電子商取引法」第八十三条の規定に基づき処罰を行う。
第五十七条直播间运营者不履行本办法第二十五条第一款至第三款规定的信息公示义务的，由市场监督管理部门依照《中华人民共和国电子商务法》第七十六条的规定进行处罚。	第五十七条ライブ配信運営者が弁法第二十五条第一項から第三項に定める情報公示義務を履行しない場合、市場監督管理部門は「中華人民共和国電子商取引法」第七十六条の規定に基づき処罰を行う。
第五十八条直播间运营者不履行本办法第二十六条规定的信息展示义务，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正；逾期不改正的，处一万元以下罚款。	第五十八条ライブ配信室運営者が弁法第二十六条に定める情報表示義務を履行しない場合、法律・行政法規に規定があるときはその規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属するときは、市場監督管理部門が期限を定めて是正を命じる。期限までに是正しないときは、一万元以下の罰金を科す。
第五十九条直播间运营者有下列行为之一，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正；拒不改正或者情节严重的，处一万元以上十万元以下罚款：	第五十九条ライブ配信室運営者が次の行為のいずれかを行う場合、法律・行政法規に規定があるときはその規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属する場合には、市場監督管理部門が期限を定めて是正を命じる。是正を拒むか、情状が重い場合には、一万元以上十万元以下の罰金を科す：
（一）不履行本办法第二十七条、第二十八条规定的核验义务的；	（一）弁法第二十七条・第二十八条に定める検証義務を履行しない場合
（二）不依照本办法第二十九条规定设置、展示账号名称、头像、简介和直播间标题、封面、布景、道具等的；	（二）弁法第二十九条の規定に従ってアカウント名・アイコン・プロフィール及び配信ルームのタイトル・カバー画像・背景・小道具等を設定・表示しない場合
（三）不依照本办法第三十条规定建立健全事前合规审核机制的；	（三）弁法第三十条の規定に基づき事前コンプライアンス審査メカニズムを確立・整備しない場合；
（四）不依照本办法第三十一条规定建立健全直播营销人员纠错机制的；	（四）弁法第三十一条の規定に基づきライブ配信マーケティング担当者の誤り是正メカニズムを確立・整備しない場合；
（五）不履行本办法第三十七条第一款规定的标识义务的。	（五）弁法第三十七条第一項に定める表示義務を履行しない場合。
第六十条直播间运营者违反本办法第三十二条规定的，由市场监督管理部门依照《中华人民共和国价格法》、《价格违法行为行政处罚规定》进行处罚。	第六十条ライブ配信ルーム運営者が弁法第三十二条の規定に違反した場合、市場監督管理部門は『中華人民共和国価格法』及び『価格違法行為行政処罰規定』に基づき処罰を行う。
第六十一条直播间运营者、直播营销人员违反本办法第三十三条规定，通过直播间销售或者提供有关违法商品或者服务，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正，处一万元以上十万元以下罚款。	第六十一条ライブ配信運営者及びライブ配信販売員が弁法第三十三条の規定に違反し、ライブ配信を通じて違法な商品又はサービスを提供した場合、法律・行政法規に規定があるときはその規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属するときは、市場監督管理部門が期限を定めて是正を命じ、一万元以上十万元以下の罰金を科す。
第六十二条直播间运营者、直播营销人员、直播营销人员服务机构违反本办法第三十四条、第四十四条规定的，由市场监督管理部门依照《中华人民共和国反不正当竞争法》第二十五条第一款的规定进行处罚；属于发布虚假广告的，依照《中华人民共和国广告法》第五十五条的规定进行处罚。	第六十二条ライブ配信運営者、ライブ配信マーケティング担当者、ライブ配信マーケティングサービス機関が本弁法第三十四条及び第四十四条の規定に違反した場合、市場監督管理部門は『中華人民共和国不正競争防止法』第二十五条第一項の規定に基づき処罰を行う。虚偽広告の掲載に該当する場合は、『中華人民共和国広告法』第五十五条の規定に基づき処罰を行う。
直播间运营者、直播营销人员违反本办法第三十六条规定的，由市场监督管理部门依照《中华人民共和国反不正当竞争法》第二十八条的规定进行处罚。	ライブ配信運営者及びライブ配信マーケティング担当者が本弁法第三十六条の規定に違反した場合、市場監督管理部門は「中華人民共和国不正競争防止法」第二十八条の規定に基づき処罰を行う。
第六十三条直播营销人员违反本办法第三十三条、第三十四条、第三十六条规定，属于职务行为的，由其所在单位承担相应的行政责任；但是，有证据证明该直播营销人员的行为与其职务行为无关的除外。	第六十三条ライブ配信マーケティング担当者が本弁法第三十三条、第三十四条、第三十六条の規定に違反し、その行為が職務行為に属する場合、その所属機関が対応する行政責任を負う。ただし、当該ライブ配信マーケティング担当者の行為が職務行為と無関係であることを証明する証拠がある場合はこの限りではない。
第六十四条直播营销人员服务机构不履行本办法第三十九条、第四十三条、第四十五条规定的核验义务，或者不依照本办法第四十二条规定加强对直播营销人员的日常管理和规范引导，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正；拒不改正或者情节严重的，处一万元以上十万元以下罚款。	第六十四条ライブ配信マーケティング従事者サービス機関が本弁法第三十九条、第四十三条、第四十五条に定める検証義務を履行しない場合、または本弁法第四十二条の規定に基づきライブ配信マーケティング従事者の日常管理及び規範的指導を強化しない場合、法律・行政法規に規定があるときは、その規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属する場合には、市場監督管理部門が期限を定めて是正を命じる。是正を拒むか、または情状が重い場合には、一万元以上十万元以下の罰金を科す。
第六十五条在直播电商活动中制作、复制、发布、传播违法信息，或者未采取措施防范和抵制制作、复制、发布、传播不良信息的，由网信部门依据职责，依照《中华人民共和国网络安全法》、《互联网信息服务管理办法》等法律、行政法规的规定进行处罚。	第六十五条ライブコマース活動において違法情報を制作、複製、発信、伝播した場合、または不良情報の制作、複製、発信、伝播を防止・阻止する措置を講じなかった場合、ネット情報部門は職責に基づき、「中華人民共和国サイバーセキュリティ法」「インターネット情報サービス管理弁法」等の法律・行政法規の規定に従い処罰を行う。
违反本办法第六条至第八条、第十条、第十一条第一款、第十二条、第十三条、第十四条第一款至第三款、第十六条、第十七条、第二十五条第四款、第二十七条、第二十九条至第三十一条、第三十四条、第三十六条、第三十七条、第四十一条至第四十四条，属于网信部门职责的，由网信部门依照《中华人民共和国网络安全法》、《互联网信息服务管理办法》等法律、行政法规的规定进行处罚；法律、行政法规没有规定的，由网信部门责令限期改正；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以责令暂停提供相关服务。	本弁法の第六条から第八条、第十条、第十一条第一項、第十二条、第十三条、第十四条第一項から第三項、第十六条、第十七条、第二十五条第四項、第二十七条、第二十九条から第三十一条、第三十四条、第三十六条、第三十七条、第四十一条から第四十四条の規定に違反した場合、サイバーセキュリティ部門の職責に属するものは、サイバーセキュリティ部門が「中華人民共和国サイバーセキュリティ法」、「インターネット情報サービス管理弁法」などの法律・行政法規の規定に基づき処罰を行う。法律・行政法規に規定がない場合は、ネット情報部門が期限を定めて是正を命じる。是正を拒むか、または情状が重い場合は、一万元以上十万元以下の罰金を科し、関連サービスの提供停止を命ずることができる。
第六十六条妨害市场监督管理、网信部门依照本办法履行职责，拒绝、阻碍监管执法的，法律、行政法规、部门规章有规定的，依照其规定；法律、行政法规、部门规章没有规定的，由市场监督管理、网信部门依据职责责令改正，对个人可以处一千元以上一万元以下罚款，对单位可以处一万元以上十万元以下罚款。	第六十六条　市場監督管理部門及びネット情報部門が本弁法に基づき職責を履行するのを妨害し、監督執行を拒否・阻害した場合、法律・行政法規・部門規則に規定があるときは、その規定に従う。法律・行政法規・部門規則に規定がないときは、市場監督管理部門及びネット情報部門が職責に基づき是正を命じ、個人には1000元以上1万元以下の罰金を、単位には1万元以上10万元以下の罰金を科すことができる。
第六十七条违反本办法规定，涉嫌犯罪的，依法移送司法机关追究刑事责任。	第六十七条　弁法の規定に違反し、犯罪の疑いがある場合は、法に基づき司法機関に移送し刑事責任を追及する。
第七章附　则	第七章　附　則
第六十八条直播电商活动的监督管理依法属于其他有关部门职责的，由其他有关部门依照有关规定执行。	第六十八条　ライブコマース活動の監督管理が法に基づき他の関係部門の職責に属する場合は、他の関係部門が関連規定に従って執行する。
第六十九条本办法自2026年2月1日起施行。	第六十九条　弁法は2026年2月1日から施行する。

● まるちゃんの情報セキュリティ気まぐれ日記

中国プラットフォーム規制...

・2026.01.12 中国ライブコマース監督管理弁法 (2026.01.07)

・2026.01.12 中国ネットワーク取引プラットフォーム規則監督管理弁法 (2026.01.07)

・2021.02.09 中国国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

中国AIコンテンツ...

・2025.03.16 中国人工知能生成合成コンテンツ識別弁法 (2025.03.14)

・2024.09.23 中国「人工知能生成の合成コンテンツ識別に関する措置(意見募集稿)」と国家標準「人工知能が生成したコンテンツのラベル付け方法」に対する意見募集

・2023.09.11 中国生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国国家サイバースペース管理局他生成的AIサービス管理暫定弁法施行は2023.08.15

・2023.04.12 中国意見募集生成的人工知能サービス管理弁法

・2023.01.18 中国サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国インターネット情報サービス深層合成管理規定（深層合成で作ったものにはマークを...）(2022.11.25)

・2022.01.30 中国国家サイバースペース管理局意見募集インターネット情報サービスの深層合成の管理に関する規定（意見募集稿）

・2025.11.03 欧州議会 AI法とEUデジタル立法フレームワークの相互作用 (2025.10.30)

・2025.10.14 欧州委員会 EDPB DMAとGPDRの相互作用に関する共同ガイドライン案

・2025.09.16 EDPB DSAとGDPRの相互関係に関するガイドライン (2025.09.12)

・2023.12.30 欧州委員会デジタルサービス法に基づく独立監査に関する委任規則 (2023.10.20)

・2023.02.05 欧州委員会デジタルサービス法におけるユーザー数の公表義務に関するガイダンス

・2022.07.20 欧州理事会欧州連合理事会デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会欧州連合理事会デジタル市場法（DMA）が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

2026.01.12 00:00 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

中国ネットワーク取引プラットフォーム規則監督管理弁法 (2026.01.07)

こんにちは、丸山満彦です。

規制の内容的には中国版DMA、DSA、EU 消費者権利指令をまとめた感じにも見えますが、DMAやDSAと違って事業規模による限定はないですね...

今回の弁法は、契約規制＋競争法＋透明性規制ということですかね...

第10条で規則改訂の際には意見募集期間を設けないといけないという規定があり、これは利用者保護の観点から良いアイデアかもしれません...

日本で導入になったアプリストアの独占を防ぐような規制は含まれていない。これはおそらく中国版独禁法である「反垄断法」の優越的地位の濫用で規制できるという感じですかね...

アプリストアを直接規制する法令は、「移动互联网应用程序信息服务管理规定」、

アプリの内容・情報管理を規制する法令は、「互联网信息内容生态治理规定」

ということになりますかね...だいたい...

この弁法は2026.02.01に施行のようです...

● 国家互联网信息办公室（国家サイバースペース管理局）

・2026.01.07 网络交易平台规则监督管理办法

网络交易平台规则监督管理办法	ネットワーク取引プラットフォーム規則監督管理弁法
（2025年12月18日国家市场监督管理总局、国家互联网信息办公室令第116号公布自2026年2月1日起施行）	（2025年12月18日国家市場監督管理総局・国家サイバースペース管理局令第116号公布　2026年2月1日より施行）
第一章总　则	第一章　総則
第一条为了规范网络交易平台规则（以下简称平台规则）的制定、修改和执行，维护网络交易秩序，保护网络交易各方主体合法权益，促进平台经济健康可持续发展，根据《中华人民共和国电子商务法》、《中华人民共和国消费者权益保护法》、《中华人民共和国网络安全法》等法律，制定本办法。	第一条　ネットワーク取引プラットフォーム規則（以下「プラットフォーム規則」という）の制定、改正及び執行を規範化し、ネットワーク取引秩序を維持し、ネットワーク取引関係者の合法的権益を保護し、プラットフォーム経済の健全かつ持続可能な発展を促進するため、「中華人民共和国電子商取引法」、「中華人民共和国消費者権益保護法」、「中華人民共和国サイバーセキュリティ法」等の法律に基づき、本弁法を制定する。
第二条网络交易平台经营者开展平台规则制定、修改和执行活动以及市场监督管理、网信部门依据职责对其进行监督管理，适用本办法。	第二条　ネットワーク取引プラットフォーム事業者がプラットフォーム規則の制定、改正及び執行活動を行うこと、並びに市場監督管理部門及びインターネット情報部門が職責に基づき監督管理を行うことについては、本弁法が適用される。
第三条本办法所称网络交易平台经营者，是指在网络交易活动中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展网络交易活动的法人或者非法人组织。	第三条　本弁法において「ネットワーク取引プラットフォーム事業者」とは、ネットワーク取引活動において取引当事者双方または複数に対し、ネットワーク経営場所の提供、取引仲介、情報公開等のサービスを提供し、取引当事者双方または複数による独立したネットワーク取引活動を可能とする法人または非法人組織を指す。
网络社交、网络直播等网络服务提供者为经营者提供网络经营场所、商品浏览、订单生成、在线支付等网络交易平台服务的，属于本办法规定的网络交易平台经营者。	ネットワークソーシャル、ネットワークライブ配信等のネットワークサービス提供者が、経営者にネットワーク経営場所、商品閲覧、注文生成、オンライン決済等のネットワーク取引プラットフォームサービスを提供する場合、弁法が定めるネットワーク取引プラットフォーム経営者に該当する。
第四条本办法所称平台规则，是指网络交易平台经营者为服务不特定网络交易各方主体、管理平台内交易相关活动而预先拟定、供各方遵守的服务协议和交易规则的总称。	第四条本弁法において「プラットフォーム規則」とは、ネットワーク取引プラットフォーム運営者が、不特定のネットワーク取引関係者を対象にサービスを提供し、プラットフォーム内の取引関連活動を管理するために事前に策定し、関係者が遵守すべきサービス契約及び取引規則の総称を指す。
平台规则包括网络交易平台服务协议、对平台内经营者的管理规则、平台内交易及纠纷处理规则、个人信息保护规则、知识产权保护规则等。	プラットフォーム規則には、ネットワーク取引プラットフォームサービス契約、プラットフォーム内事業者管理規則、プラットフォーム内取引及び紛争処理規則、個人情報保護規則、知的財産権保護規則等が含まれる。
网络交易平台经营者与特定主体单独协商达成的不具有广泛适用性的协议，不属于本办法规定的平台规则。	ネットワーク取引プラットフォーム運営者と特定主体が個別に協議して締結した、広範な適用性を有しない契約は、弁法で定めるプラットフォーム規則には該当しない。
第五条网络交易平台经营者制定、修改和执行平台规则应当遵循公开、公平、公正的原则，遵守法律、法规、规章和商业道德、公序良俗，不得利用平台规则实施危害国家利益、社会公共利益或者侵害网络交易各方主体合法权益的行为。	第五条ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の制定、改正及び執行にあたり、公開、公平、公正の原則に従い、法律、法規、規則及び商業道徳、公序良俗を遵守しなければならない。プラットフォーム規則を利用して国家利益、社会公共利益を害する行為、またはネットワーク取引当事者の合法的権益を侵害する行為を行ってはならない。
第六条ネットワーク取引プラットフォームの運営者は、プラットフォーム規則の制定、改正及び執行を通じて、プラットフォーム内事業者によるプラットフォームへの参入・退出及びプラットフォーム内取引活動の管理を強化し、商品・サービスの品質保証、消費者権益保護、公正競争、信用管理、情報セキュリティ管理、未成年者のネットワーク保護、個人情報保護、ネットワーク及びデータセキュリティ保護などの責任を法に基づき履行しなければならない。	第六条ネットワーク取引プラットフォームの運営者は、プラットフォーム規則の制定、改正及び執行を通じて、プラットフォーム内事業者によるプラットフォームへの参入・退出及びプラットフォーム内取引活動の管理を強化し、商品・サービスの品質保証、消費者権益保護、公正競争、信用管理、情報セキュリティ管理、未成年者のネットワーク保護、個人情報保護、ネットワーク及びデータセキュリティ保護などの責任を法に基づき履行しなければならない。
第二章プラットフォーム規則の制定、修正及び執行	第二章プラットフォーム規則の制定、修正及び執行
第七条ネットワーク取引プラットフォームの運営者は、自社のウェブサイトまたはアプリケーションのトップページの見やすい位置に、プラットフォームの規則情報または当該情報へのリンク表示を継続的に掲示し、運営者と消費者が容易かつ完全に閲覧・ダウンロードできることを保証しなければならない。	第七条ネットワーク取引プラットフォームの運営者は、自社のウェブサイトまたはアプリケーションのトップページの見やすい位置に、プラットフォームの規則情報または当該情報へのリンク表示を継続的に掲示し、運営者と消費者が容易かつ完全に閲覧・ダウンロードできることを保証しなければならない。
第八条プラットフォームのルール内容は、明確かつ分かりやすく、読みやすく理解しやすいものでなければならない。	第八条プラットフォームの規則内容は、明確かつ分かりやすく、読みやすく理解しやすいものでなければならない。
ネットワーク取引プラットフォームの運営者は、太字表示などの目立つ方法で、事業者及び消費者にプラットフォーム規則における料金、紛争解決など重大な利害関係に関わる内容に注意を促し、その知情権を保障するとともに、事業者及び消費者の要求に応じて関連条項の説明を行うものとする。	ネットワーク取引プラットフォームの運営者は、太字表示などの目立つ方法で、事業者及び消費者にプラットフォーム規則における料金、紛争解決など重大な利害関係に関わる内容に注意を促し、その知情権を保障するとともに、事業者及び消費者の要求に応じて関連条項の説明を行うものとする。
第九条ネットワーク取引プラットフォームの運営者は、技術的措置を講じ、プラットフォーム規則の表示ページに検索機能を設置し、事業者及び消費者がプラットフォーム規則内の特定の内容を検索・閲覧することを容易にしなければならない。	第九条ネットワーク取引プラットフォームの運営者は、技術的措置を講じ、プラットフォーム規則の表示ページに検索機能を設置し、事業者及び消費者がプラットフォーム規則内の特定の内容を検索・閲覧することを容易にしなければならない。
第十条网络交易平台经营者制定、修改平台规则，应当在其网站、应用程序首页显著位置公开征求意见。网络交易平台经营者应当预留必要时间并提供必要的技术支持，确保有关各方能够及时充分表达意见。	第十条ネットワーク取引プラットフォームの運営者は、プラットフォーム規則を制定・修正する際、そのウェブサイトやアプリケーションのトップページに目立つ位置で意見募集を公表しなければならない。ネットワーク取引プラットフォームの運営者は、関係者が適時に十分な意見を表明できるよう、必要な時間を確保し、必要な技術的支援を提供しなければならない。
第十一条网络交易平台经营者应当全面如实归纳整理平台规则征求意见过程中收到的意见，对于合理意见应当充分吸收采纳，不采纳意见应当有合理理由。相关资料应当留档备查，保存时间自征求意见结束之日起不少于三年。	第十一条ネットワーク取引プラットフォーム経営者は、プラットフォーム規則の意見募集過程で受けた意見を全面的かつ正確に整理し、合理的な意見は十分に吸収・採用し、採用しない意見には合理的な理由を示すべきである。関連資料は記録として保管し、意見募集終了日から少なくとも三年保存しなければならない。
第十二条网络交易平台经营者制定、修改的平台规则，应当至少在实施前七日予以公示。	第十二条ネットワーク取引プラットフォーム経営者が制定・修正するプラットフォーム規則は、少なくとも実施の七日前までに公示しなければならない。
对于涉及用户数量巨大、修改内容较多、关系有关各方重要权益的平台规则，应当至少在实施前十五日予以公示。	ユーザー数が膨大であるもの、修正内容が多いもの、関係各方面の重要な権益に関わるプラットフォーム規則については、実施の少なくとも15日前までに公示しなければならない。
第十三条网络交易平台经营者制定、修改平台规则，可能对有关各方重要权益造成重大影响的，除依照本办法第十二条规定进行公示外，还应当根据其影响程度设置合理的过渡期，为有关各方妥善处理相关事宜提供便利条件。	第十三条ネットワーク取引プラットフォーム運営者がプラットフォーム規則を制定・修正し、関係各方面の重要な権益に重大な影響を及ぼす可能性がある場合、弁法第十二条の規定による公示に加え、その影響の程度に応じて合理的な移行期間を設定し、関係各方面が関連事項を適切に処理するための便宜を図るものとする。
第十四条平台内经营者、消费者不接受平台规则修改的内容，要求退出平台或者终止相关服务的，网络交易平台经营者不得以设置不合理条件等方式阻止。	第十四条　プラットフォーム内の事業者または消費者がプラットフォーム規則の改定内容を受け入れず、プラットフォームからの退出または関連サービスの終了を要求する場合、ネットワーク取引プラットフォーム事業者は不合理な条件の設定等によりこれを妨げてはならない。
平台内经营者、消费者依照前款规定，要求退出平台或者终止相关服务的，网络交易平台经营者应当按照修改前的平台规则承担据实退还费用等相关责任，不得故意拖延或者无理拒绝。	プラットフォーム内の事業者または消費者が前項の規定に基づきプラットフォームからの退出または関連サービスの終了を要求する場合、ネットワーク取引プラットフォーム事業者は改定前のプラットフォーム規則に基づき、実費に基づく費用返還等の関連責任を負わなければならない。故意に遅延させたり、不当に拒否したりしてはならない。
第十五条网络交易平台经营者修改平台规则的，应当完整保存修改后的版本生效之日前三年的全部历史版本，并保证经营者和消费者能够便利、完整地阅览和下载。	第十五条　ネットワーク取引プラットフォーム事業者がプラットフォーム規則を変更する場合、変更後のバージョンが発効する日の三年前までの全履歴バージョンを完全に保存し、事業者及び消費者が便利かつ完全に閲覧・ダウンロードできることを保証しなければならない。
第十六条网络交易平台经营者不得强制或者诱导经营者和消费者对相关平台规则表示同意，不得将相关平台规则设定为默认同意的选项，但不增加经营者和消费者义务、不减损经营者和消费者权益的除外。	第十六条　ネットワーク取引プラットフォーム運営者は、事業者及び消費者にプラットフォーム規則への同意を強制または誘導してはならず、関連プラットフォーム規則をデフォルトで同意するオプションとして設定してはならない。ただし、事業者及び消費者の義務を増大させず、事業者及び消費者の権益を損なわない場合はこの限りではない。
第十七条网络交易平台经营者应当建立健全平台规则重大事项沟通协商机制，通过定期会商、座谈、问卷调查等方式，就涉及有关各方重大利害关系的平台规则的制定、修改和执行等事项进行常态化沟通协商，对沟通协商过程中收集的意见进行全面如实归纳整理，对于合理意见应当充分吸收采纳，不采纳意见应当有合理理由。	第十七条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の重要事項に関する協議メカニズムを整備し、定期的な協議、座談会、アンケート調査等の方法により、関係各方面の重大な利害に関わるプラットフォーム規則の制定、変更及び執行等について常態的な協議を行うものとする。協議過程で収集した意見は全面的かつ正確に整理し、合理的な意見は十分に吸収・採用し、採用しない意見については合理的な理由を示すものとする。
第十八条网络交易平台经营者应当通过平台规则的制定、修改和执行，对网络交易活动中违反法律、法规、规章、商业道德、公序良俗的行为予以规制，防止有关各方主体合法权益受到侵害。	第十八条　ネットワーク取引プラットフォーム事業者は、プラットフォーム規則の制定・改正・執行を通じて、ネットワーク取引活動における法令・規則・商業道徳・公序良俗に反する行為を規制し、関係各主体の正当な権益が侵害されることを防止しなければならない。
第十九条网络交易平台经营者根据平台规则，对平台内经营者或者消费者采取对其权益有负面影响的措施的，应当告知其违反法律、法规、规章或者平台规则的事实、理由和依据，并设置便捷的申诉渠道。法律法规另有规定的，依照其规定。	第十九条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則に基づき、プラットフォーム内事業者または消費者に対してその権益に悪影響を及ぼす措置を講じる場合、法律・法規・規則またはプラットフォーム規則に違反する事実、理由及び根拠を通知し、簡便な申立て窓口を設置しなければならない。法律・法規に別段の定めがある場合は、その規定に従う。
平台内经营者、消费者提起申诉的，网络交易平台经营者应当及时对申诉事项进行复核，客观公正作出处理；仅采用人工智能等技术手段处理，申诉人提出人工判定要求的，应当采用人工判定的方式进行处理。网络交易平台经营者作出处理后，应当及时将处理结果告知申诉人。	プラットフォーム内事業者または消費者が申立てを行った場合、ネットワーク取引プラットフォーム運営者は速やかに申立て事項を再審査し、客観的かつ公正に処理しなければならない。人工知能等の技術手段のみを用いて処理する場合、申立人が人的判断を要求したときは、人的判断の方法で処理しなければならない。ネットワーク取引プラットフォーム運営者は処理を行った後、速やかに処理結果を申立人に通知しなければならない。
第二十条网络交易平台经营者在平台规则的制定、修改和执行过程中，不得对平台内经营者、消费者的申诉权利作出不合理限制。	第二十条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の制定・修正・執行過程において、プラットフォーム内事業者及び消費者の申立て権利を不当に制限してはならない。
第二十一条网络交易平台经营者应当在平台规则中明确平台内交易纠纷解决机制，依照有关法律的规定公平设定平台内交易纠纷各方的举证责任。合理减轻一方举证责任的，网络交易平台经营者应当采取措施识别、防范和处置违反诚实信用原则滥用该规则侵害有关各方主体合法权益的行为。	第二十一条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則においてプラットフォーム内取引紛争解決メカニズムを明確に定め、関連法律の規定に基づきプラットフォーム内取引紛争当事者の立証責任を公平に設定しなければならない。一方の立証責任を合理的に軽減する場合、ネットワーク取引プラットフォーム運営者は、誠実信用原則に反し当該規則を濫用して関係各主体の合法的権益を侵害する行為を識別・防止・処置するための措置を講じなければならない。
第二十二条网络交易平台经营者委托第三方机构和人员执行平台规则的，应当对其进行必要的培训，并依法承担因第三方机构和人员执行不当而产生的法律责任。	第二十二条　ネットワーク取引プラットフォーム運営者が第三者機関及び人員にプラットフォーム規則の執行を委託する場合、必要な研修を実施するとともに、第三者機関及び人員の不適切な執行により生じた法的責任を法に基づき負わなければならない。
第三章信息、网络和数据安全保护	第三章　情報・ネットワーク・データセキュリティ保護
第二十三条网络交易平台经营者为平台内经营者、消费者提供信息发布服务的，应当在平台规则中以显著方式明确平台内商品和服务信息、交易信息、评论信息等信息安全条款，要求平台内经营者、消费者遵守法律法规和国家有关规定，不得制作、复制、发布、传播违法信息，应当采取措施防范和抵制制作、复制、发布、传播不良信息。	第二十三条　ネットワーク取引プラットフォーム運営者がプラットフォーム内事業者・消費者に対し情報発信サービスを提供する場合、プラットフォーム規則において目立つ方法で、プラットフォーム内商品・サービス情報、取引情報、コメント情報等の情報セキュリティ条項を明確に定め、プラットフォーム内事業者・消費者が法令及び国家関連規定を遵守し、違法情報の作成・複製・発信・伝播を行わないよう要求するとともに、不良情報の作成・複製・発信・伝播を防止・阻止するための措置を講じなければならない。
第二十四条网络交易平台经营者应当遵循公开、公平、公正的原则，在平台规则中依法明确平台内经营者处理个人信息的规范，合理界定其与平台内经营者的个人信息保护权利和义务。	第二十四条　ネットワーク取引プラットフォーム運営者は、公開・公平・公正の原則に従い、プラットフォーム規則において法に基づきプラットフォーム内事業者の個人情報処理規範を明確にし、プラットフォーム内事業者との個人情報保護に関する権利と義務を合理的に定めるものとする。
第二十五条网络交易平台经营者通过平台规则明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务的，应当依法规定相关方的权利和义务，督促其加强网络数据安全管理。	第二十五条　ネットワーク取引プラットフォーム運営者がプラットフォーム規則を通じて、プラットフォームに接続する第三者の製品・サービス提供者のネットワークデータ安全保護義務を明確にする場合、法に基づき関係者の権利と義務を規定し、ネットワークデータ安全管理の強化を促すものとする。
网络交易平台经营者不得利用平台规则从事非法处理用户网络数据、无正当理由限制用户网络数据权益等法律、行政法规禁止的活动。	ネットワーク取引プラットフォーム運営者は、プラットフォーム規則を利用してユーザーのネットワークデータを違法に処理したり、正当な理由なくユーザーのネットワークデータに関する権益を制限したりするなど、法律・行政法規で禁止されている活動を行ってはならない。
第二十六条未成年人用户数量巨大或者对未成年人群体具有显著影响的网络交易平台经营者应当遵循公开、公平、公正的原则，制定专门的平台规则，依法明确平台内经营者的未成年人网络保护义务，并以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径。	第二十六条未成年ユーザー数が膨大であるか、未成年者集団に顕著な影響力を持つネットワーク取引プラットフォーム運営者は、公開・公平・公正の原則に従い、専用のプラットフォーム規則を制定し、法に基づきプラットフォーム内事業者の未成年者ネットワーク保護義務を明確にするとともに、未成年ユーザーが法的に享有するネットワーク保護権利及びネットワーク侵害を受けた場合の救済手段を顕著な方法で提示しなければならない。
第四章平台内经营者权益保护	第四章プラットフォーム内事業者の権益保護
第二十七条网络交易平台经营者不得利用平台规则，实施下列对平台内经营者的自主经营活动进行不合理限制或者附加不合理条件的行为：	第二十七条ネットワーク取引プラットフォーム事業者は、プラットフォーム規則を利用して、プラットフォーム内事業者の自主的な経営活動に対し、以下の不合理な制限または不合理な条件を付加する行為を行ってはならない：
（一）强制或者变相强制平台内经营者承担退款不退货等售后责任，损害其合法权益；	（一）プラットフォーム内事業者に返金のみ（返品不要）などのアフターサービス責任を強制または実質的に強制し、その合法的権益を損なうこと；
（二）强制或者变相强制平台内经营者开通非经营活动必需的增值服务，增加其经营成本；	（二）プラットフォーム内事業者に対し、営業活動に必須でない付加価値サービスの利用を強制または実質的に強制し、その営業コストを増大させること。
（三）强制或者变相强制平台内经营者参加推广、促销活动；	（三）プラットフォーム内事業者に対し、宣伝・販促活動への参加を強制または実質的に強制すること。
（四）强制或者变相强制平台内经营者仅在特定平台开展经营活动；	（四）プラットフォーム内事業者に対し、特定プラットフォームでのみ営業活動を行うことを強制または実質的に強制すること。
（五）其他对平台内经营者的自主经营活动进行不合理限制或者附加不合理条件的行为。	（五）その他、プラットフォーム内事業者の自主的な営業活動に対して不当な制限を課す、または不当な条件を付加する行為。
网络交易平台经营者不得强制或者变相强制平台内经营者按照其定价规则，以低于成本的价格销售商品或者提供服务，扰乱市场竞争秩序。	ネットワーク取引プラットフォーム運営者は、プラットフォーム内事業者に対し、自らの価格設定ルールに従い、原価を下回る価格で商品販売またはサービス提供を強制もしくは実質的に強制し、市場競争秩序を乱してはならない。
第二十八条网络交易平台经营者不得利用平台规则，实施下列向平台内经营者收取不合理费用的行为：	第二十八条ネットワーク取引プラットフォーム運営者は、プラットフォーム規則を利用して、プラットフォーム内事業者から不当な料金を徴収する以下の行為を行ってはならない：
（一）重复收费；	（一）重複課金
（二）只收费不服务或者少服务；	（二）サービス提供なしまたは不十分なサービス提供での課金
（三）转嫁应当由平台自身承担的费用；	（三）プラットフォーム自身が負担すべき費用を転嫁すること；
（四）向平台内经营者收取提供其基础经营数据的费用；	（四）プラットフォーム内事業者に対し、基礎経営データの提供に対して費用を徴収すること；
（五）强制或者变相强制平台内经营者购买服务或者参加推广、促销活动并收费；	（五）プラットフォーム内事業者にサービスの購入またはプロモーション・販促活動への参加を強制もしくは実質的に強制し、費用を徴収すること；
（六）利用明显不合理的保证金等形式变相收费或者提高收费标准；	（六）明らかに不合理な保証金等の形式を利用して実質的な徴収を行うこと、または徴収標準を引き上げること；
（七）收取其他不合理费用。	（七）その他の不合理な費用を徴収すること。
网络交易平台经营者不得利用平台规则，在提供相同商品或者服务的情形下，对具有同等交易条件的平台内经营者实行价格歧视。	ネットワーク取引プラットフォームの運営者は、プラットフォーム規則を利用して、同一の商品またはサービスを提供する状況において、同等の取引条件を有するプラットフォーム内事業者に対して価格差別を行ってはならない。
第二十九条网络交易平台经营者在平台规则中对平台内经营者有关行为设置违约金或者损害赔偿金的，应当合理设置违约金的数额或者损害赔偿金的计算方法；按照平台规则收取违约金或者损害赔偿金的，应当告知相应的计算依据和方法，不得利用平台规则收取明显超出合理水平的违约金或者损害赔偿金。	第二十九条　ネットワーク取引プラットフォーム事業者は、プラットフォーム規則においてプラットフォーム内事業者に関する行為に違約金または損害賠償金を設定する場合、違約金の額または損害賠償金の計算方法を合理的に設定しなければならない。プラットフォーム規則に基づき違約金または損害賠償金を徴収する場合、対応する計算根拠と方法を告知し、プラットフォーム規則を利用して明らかに合理的な水準を超える違約金または損害賠償金を徴収してはならない。
第五章消费者权益保护	第五章消費者権益保護
第三十条网络交易平台经营者不得在平台规则的制定、修改和执行过程中排除或者限制消费者权利、减轻或者免除自身责任、不合理加重消费者责任，具体包括下列情形：	第三十条ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の制定・修正・執行過程において、消費者の権利を排除または制限し、自らの責任を軽減または免除し、消費者の責任を不当に加重してはならない。具体的には以下の場合を含む：
（一）要求消费者承担的违约金或者损害赔偿金超过法定数额或者明显超过合理数额；	（一）消費者に負担させる違約金または損害賠償金が法定額を超過するか、明らかに合理的な額を超過する場合
（二）排除或者限制消费者依法自主选择商品或者服务的权利；	（二）消費者が法に基づき商品またはサービスを自主的に選択する権利を排除または制限すること。
（三）排除或者限制消费者依法请求支付违约金或者损害赔偿金的权利；	（三）消費者が法に基づき違約金または損害賠償金の支払いを請求する権利を排除または制限すること。
（四）排除或者限制消费者依法投诉、举报、请求调解、申请仲裁、提起诉讼的权利；	（四）消費者が法に基づき苦情申立て、通報、調停請求、仲裁申請、訴訟提起を行う権利を排除または制限すること。
（五）其他排除或者限制消费者权利、减轻或者免除自身责任、不合理加重消费者责任的情形。	（五）その他、消費者の権利を排除または制限し、自らの責任を軽減または免除し、消費者の責任を不当に加重する行為。
第三十一条网络交易平台经营者不得利用平台规则，在消费者不知情的情况下，对同一商品或者服务在同等交易条件下设置不同的价格或者收费标准。	第三十一条　ネットワーク取引プラットフォームの運営者は、プラットフォーム規則を利用して、消費者が知らないうちに、同一の商品またはサービスに対して同等の取引条件で異なる価格または標準を設定してはならない。
第三十二条消费者购买网络交易平台经营者提供的会员服务的，网络交易平台经营者不得在约定服务期内通过单方面修改平台规则的方式，擅自收取额外费用或者减损会员权益。在消费者继续购买会员服务前，网络交易平台经营者应当以显著方式告知消费者平台规则中与会员权益相关的变化情况。	第三十二条　消費者がネットワーク取引プラットフォームの運営者が提供する会員サービスを購入する場合、ネットワーク取引プラットフォームの運営者は、約定されたサービス期間中にプラットフォーム規則を一方的に変更する方式で、勝手に追加費用を徴収したり会員の権利を損なったりしてはならない。消費者が会員サービスの継続購入を行う前に、ネットワーク取引プラットフォーム運営者は、会員権益に関連するプラットフォーム規則の変更内容を、消費者に顕著な方法で告知しなければならない。
因无法预见的客观情况导致网络交易平台经营者无法按照原有平台规则对消费者提供相关服务，消费者提出终止会员服务的，应当依照本办法第十四条的规定处理。	予見できない客観的状況により、ネットワーク取引プラットフォーム運営者が従来のプラットフォーム規則に基づき消費者に関連サービスを提供できなくなった場合、消費者が会員サービスの解約を申し出たときは、弁法第十四条の規定に従って処理しなければならない。
第六章监督管理	第六章監督管理
第三十三条市场监督管理、网信部门应当依据职责对平台规则的制定、修改和执行活动加强监督管理，并建立健全线索移交、信息共享、会商研判等工作机制。	第三十三条　市場監督管理部門及びサイバー空間管理局は、職責に基づきプラットフォーム規則の制定・改定・執行活動に対する監督管理を強化し、手掛かりの移管、情報共有、協議・分析等の作業メカニズムを整備しなければならない。
市场监督管理、网信部门依法开展监督管理活动，网络交易平台经营者应当予以配合，提供必要的数据、技术支持和协助，并确保所提供数据的真实性、准确性。	市場監督管理部門及びサイバー空間管理局が法に基づき監督管理活動を実施する場合、ネットワーク取引プラットフォーム運営者はこれに協力し、必要なデータ・技術支援・協力を提供するとともに、提供データの真実性・正確性を確保しなければならない。
第三十四条鼓励网络交易平台经营者建立平台规则社会共治制度，通过消费者组织、第三方机构和专家咨询、评议等方式，充分听取各方对平台规则的意见。	第三十四条　ネットワーク取引プラットフォーム運営者は、プラットフォーム規則の社会共治制度を構築し、消費者団体、第三者機関及び専門家による諮問・評議等を通じて、プラットフォーム規則に対する各方面の意見を十分に聴取することを奨励する。
第三十五条鼓励网络交易平台经营者发布年度平台规则合规报告，对平台规则的制定、修改和执行情况开展合规自评，并接受社会监督。	第三十五条　ネットワーク取引プラットフォーム運営者は、年次プラットフォーム規則コンプライアンス報告書を公表し、プラットフォーム規則の制定、修正及び執行状況についてコンプライアンス自己評価を実施し、社会の監督を受けることを奨励する。
鼓励网络交易平台经营者邀请或者委托第三方机构，出具平台规则外部合规评估报告。	ネットワーク取引プラットフォーム運営者は、第三者機関を招請または委託し、プラットフォーム規則の外部アセスメント報告書を作成することを奨励する。
第三十六条省级以上市场监督管理、网信部门可以通过组织专家评审等方式，对本辖区内网络交易平台经营者制定、修改和执行平台规则的情况提出意见，并及时反馈相关网络交易平台经营者，指导其优化平台规则制定、修改和执行机制。	第三十六条　省級以上の市場監督管理部門及びネット情報部門は、専門家による審査等の方法を通じて、管轄区域内のネットワーク取引プラットフォーム運営者がプラットフォーム規則を制定・修正・執行する状況について意見を提示し、速やかに当該ネットワーク取引プラットフォーム運営者にフィードバックし、プラットフォーム規則の制定・修正・執行メカニズムの最適化を指導することができる。
第三十七条市场监督管理、网信部门在依照本办法规定履行平台规则监督管理职责过程中，应当确保行政检查于法有据、严格规范、公正文明、精准高效，避免对网络交易平台经营者、平台内经营者正常经营活动造成不必要的干扰。	第三十七条　市場監督管理部門及びサイバー空間管理局は、本弁法の規定に基づきプラットフォーム規則の監督管理職責を履行する過程において、行政検査が法的根拠に基づき、厳格かつ規範的、公正かつ文明的、的確かつ効率的であることを確保し、ネットワーク取引プラットフォーム事業者及びプラットフォーム内事業者の正常な経営活動に不必要な干渉を与えないようにしなければならない。
第三十八条网络交易平台经营者在平台规则的制定、修改和执行过程中有下列情形之一的，市场监督管理、网信部门可以依据职责对其有关负责人进行约谈，要求其说明情况、采取措施进行整改：	第三十八条　ネットワーク取引プラットフォーム運営者がプラットフォーム規則の制定、修正及び執行過程において、以下のいずれかの状況に該当する場合、市場監督管理部門及びネットワーク情報部門は職責に基づき、当該責任者に対し面談を行い、状況説明及び是正措置の実施を求めることができる：
（一）履行网络交易相关法定义务不到位的；	（一）ネットワーク取引関連の法的義務を適切に履行していない場合
（二）发生网络交易相关重大负面舆情事件的；	（二）ネットワーク取引関連の重大なネガティブな世論事件が発生した場合
（三）市场监督管理、网信部门在日常监督管理中发现存在可能对网络交易秩序造成负面影响问题的；	（三）市場監督管理部門及びサイバー空間管理局が日常監督管理において、ネットワーク取引秩序に悪影響を及ぼす可能性のある問題を発見した場合
（四）未保障平台内经营者、消费者等有关各方主体合法权益的；	（四）プラットフォーム内事業者、消費者等の関係当事者の合法的権益を保障していない場合
（五）其他需要约谈的情形。	（五）その他面談が必要な場合
第七章法律责任	第七章法的責任
第三十九条网络交易平台经营者有下列行为之一的，依照《中华人民共和国电子商务法》第八十一条的规定进行处罚：	第三十九条ネットワーク取引プラットフォーム事業者が以下の行為のいずれかを行った場合、『中華人民共和国電子商取引法』第八十一条の規定に基づき処罰する：
（一）违反本办法第七条规定，未在其网站、应用程序首页显著位置，持续公示平台规则信息或者上述信息的链接标识的；	（一）弁法第七条の規定に違反し、自社のウェブサイトやアプリケーションのトップページに、プラットフォーム規則情報または当該情報のリンク表示を継続的に掲示していない場合。
（二）违反本办法第十条规定，未按照要求公开征求意见的；	（二）弁法第十条の規定に違反し、要求に従って意見募集を行っていない場合。
（三）违反本办法第十二条第一款规定，未按照规定的时间提前公示平台规则内容的；	（三）弁法第十二条第一項の規定に違反し、規定の期日までにプラットフォーム規則の内容を事前に公示していない場合。
（四）违反本办法第十四条第一款规定，平台内经营者不接受平台规则修改的内容要求退出，以设置不合理条件等方式阻止其退出的。	（四）弁法第十四条第一項の規定に違反し、プラットフォーム内の事業者がプラットフォーム規則の改定内容を受け入れず退場を要求した場合、不当な条件を設定するなどしてその退場を妨げる行為。
第四十条网络交易平台经营者违反本办法第八条第二款、第十一条、第十四条第二款、第十六条、第二十条、第二十九条、第三十条、第三十二条第一款规定，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于市场监督管理部门职责的，由市场监督管理部门责令限期改正，可以处一万元以上十万元以下罚款。	第四十条　ネットワーク取引プラットフォームの運営者が弁法第八条第二項、第十一条、第十四条第二項、第十六条、第二十条、第二十九条、第三十条、第三十二条第一項の規定に違反した場合、法律・行政法規に規定があるときは、その規定に従う。法律・行政法規に規定がなく、市場監督管理部門の職責に属するときは、市場監督管理部門が期限を定めて是正を命じ、一万元以上十万元以下の罰金を科すことができる。
第四十一条网络交易平台经营者违反本办法第二十三条至第二十六条规定，法律、行政法规有规定的，依照其规定；法律、行政法规没有规定，属于网信部门职责的，由网信部门责令限期改正，可以处一万元以上十万元以下罚款。	第四十一条　ネットワーク取引プラットフォーム事業者が弁法第二十三条から第二十六条の規定に違反した場合、法律・行政法規に規定があるときは、その規定に従う。法律・行政法規に規定がなく、ネット情報部門の職責に属する場合には、ネット情報部門が期限を定めて是正を命じ、一万元以上十万元以下の罰金を科すことができる。
第四十二条网络交易平台经营者违反本办法第二十七条第一款、第二十八条第一款规定的，依照《中华人民共和国电子商务法》第八十二条的规定进行处罚。	第四十二条　ネットワーク取引プラットフォーム事業者が本弁法第二十七条第一項・第二十八条第一項の規定に違反した場合、『中華人民共和国電子商取引法』第八十二条の規定に基づき処罰する。
网络交易平台经营者违反本办法第二十七条第二款规定的，依照《中华人民共和国反不正当竞争法》第三十条的规定进行处罚。	ネットワーク取引プラットフォームの運営者が弁法第二十七条第二項の規定に違反した場合、『中華人民共和国反不正当競争法』第三十条の規定に基づき処罰する。
网络交易平台经营者违反本办法第二十八条第二款规定的，依照《中华人民共和国价格法》第四十条、《价格违法行为行政处罚规定》第四条的规定进行处罚。	ネットワーク取引プラットフォームの運営者が弁法第二十八条第二項の規定に違反した場合、『中華人民共和国価格法』第四十条及び『価格違法行為行政処罰規定』第四条の規定に基づき処罰する。
第四十三条网络交易平台经营者违反本办法第三十一条规定的，依照《中华人民共和国消费者权益保护法》第五十六条第一款的规定进行处罚。	第四十三条　ネットワーク取引プラットフォームの運営者が弁法第三十一条の規定に違反した場合、『中華人民共和国消費者権益保護法』第五十六条第一項の規定に基づき処罰する。
第四十四条网络交易平台经营者利用平台规则从事垄断行为的，依照《中华人民共和国反垄断法》的规定进行处罚。	第四十四条　ネットワーク取引プラットフォームの運営者がプラットフォーム規則を利用して独占行為を行った場合、『中華人民共和国反独占法』の規定に基づき処罰する。
第四十五条市场监督管理部门依照本办法对网络交易平台经营者作出行政处罚决定后，应当依法通过国家企业信用信息公示系统向社会公示。	第四十五条　市場監督管理部門は、本弁法に基づきネットワーク取引プラットフォーム運営者に対して行政処罰決定を下した後、国家企業信用情報公示システムを通じて法的に社会に公示しなければならない。
第八章附　则	第八章　附　則
第四十六条平台规则制定、修改和执行活动的监督管理依法属于其他有关部门职责的，由其他有关部门依照有关规定执行。	第四十六条　プラットフォーム規則の制定、修正及び執行活動の監督管理が法的に他の関係部門の職責に属する場合、他の関係部門は関連規定に基づき執行する。
第四十七条本办法自2026年2月1日起施行。	第四十七条　本弁法は2026年2月1日から施行する。

● まるちゃんの情報セキュリティ気まぐれ日記

中国プラットフォーム規制...

・2026.01.12 中国ライブコマース監督管理弁法 (2026.01.07)

・2026.01.12 中国ネットワーク取引プラットフォーム規則監督管理弁法 (2026.01.07)

・2021.02.09 中国国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

中国AIコンテンツ...

・2025.03.16 中国人工知能生成合成コンテンツ識別弁法 (2025.03.14)

・2023.09.11 中国生成的AIについての専門家の解釈 (2023.08.29)

・2023.07.14 中国国家サイバースペース管理局他生成的AIサービス管理暫定弁法施行は2023.08.15

・2023.04.12 中国意見募集生成的人工知能サービス管理弁法

・2023.01.18 中国サイバー法制白書 2022 (2023.01.12)

・2022.12.23 中国インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国インターネット情報サービス深層合成管理規定（深層合成で作ったものにはマークを...）(2022.11.25)

・2022.01.30 中国国家サイバースペース管理局意見募集インターネット情報サービスの深層合成の管理に関する規定（意見募集稿）

・2025.11.03 欧州議会 AI法とEUデジタル立法フレームワークの相互作用 (2025.10.30)

・2025.10.14 欧州委員会 EDPB DMAとGPDRの相互作用に関する共同ガイドライン案

・2025.09.16 EDPB DSAとGDPRの相互関係に関するガイドライン (2025.09.12)

・2023.12.30 欧州委員会デジタルサービス法に基づく独立監査に関する委任規則 (2023.10.20)

・2023.02.05 欧州委員会デジタルサービス法におけるユーザー数の公表義務に関するガイダンス

・2022.07.20 欧州理事会欧州連合理事会デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会欧州連合理事会デジタル市場法（DMA）が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

2026.01.12 00:00 in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2026.01.11

個人情報保護委員会個人情報保護法　いわゆる３年ごと見直しの制度改正方針（案）（2026.01.09）

こんにちは、丸山満彦です。

2026.01.09に開催された第347回個人情報保護委員会で、個人情報保護法　いわゆる３年ごと見直しの制度改正方針（案）が議論されたようですね...

いろいろと議論をしてきたのですが、首相の発言もあって、今回の国会で議論されることになるのでしょうかね...(総選挙？でいろいろと変わるかもですが...)

で、制度改正方針（案）　概要がぱっと見はわかりやすいのですが、

本文もみてみますかね...

・制度改正方針（案）

・同意不要例外の拡大（研究、統計、AI開発等の例外拡大、匿名加工済みデータの緩和、正当な利益に基づく二次利用の拡大、委託先・関連事業者への利用拡大、行政・公共目的の例外拡大）ですが、事前規制を緩める反面、事後規制（例えば、第三者の評価、罰則等）を厳しくしなければバランスが取れませんよね...

・課徴金の件は、導入の方向は良い方向。いきなりEU並みは難しいので、段階的に進めるというのも現実的かも...ただ、不当利得相当額の算定、相当の注意についてのガイド等の策定が必要となるでしょうね...

・団体訴訟の見送りは、これはどうですかね...事前規制は緩和しつつ、事後規制、特に個人救済が弱いままというのはバランスが悪い感じもするかなぁ...（抑止的な対策というのが、利活用の萎縮になるという産業界の論理にもおもえるので、産業界の意見を汲み取れば、抑止的な対策が進まないかもしれませんね..）

・AIとの関係でいうと、顔認識が関係してくるように思いますが、これだけに限定？

・子供の個人情報保護については、反対のしようもないので概ねグローバルな流れ...ただし、具体的な年齢確認手段等は欧米と連携するのが良いかもですね...

・

でも、規制が産業の育成を阻害するという単純な考えをする経済人はすでに少ないとは思います。問題はどのような規制が望ましい社会の実現に適切か？ということで、

一つの軸は、憲法に沿った社会になるためにはどうするか？

もう一つの軸は、市場の失敗をできる限り是正していく

ということになるとは思います...

さて、最終的にはどのような法案になりますかね...

これまでの議論も含めて...

● 個人情報保護委員会

・2026.01.09 第347回個人情報保護委員会

2026.01.09	第347回個人情報保護委員会
資料１－１	個人情報保護法　いわゆる３年ごと見直しの制度改正方針（案）
資料１－２	個人情報保護法　いわゆる３年ごと見直しの制度改正方針（案）　概要
資料１－３	「「個人情報保護法いわゆる３年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見の概要
2025.09.19	第1回個人情報保護政策に関する懇談会
資料１	個人情報保護政策に関する懇談会開催要綱
資料２	越塚会員資料「データ利活用と個人情報保護」
資料３ー１	別所会員資料
資料３ー２	村上会員資料
資料３ー３	神谷会員資料
参考資料１	個人情報保護政策に関する政府方針
参考資料２―１	令和８年度予算概算要求・機構定員要求の概要
参考資料２―２	令和８年度個人情報保護委員会重点施策のポイント
参考資料２―３	令和８年度個人情報保護委員会重点施策
議事概要	第１回個人情報保護政策に関する懇談会（概要）
	「個人情報保護政策に関する懇談会」について
議事録	第１回個人情報保護政策に関する懇談会議事録
2025.04.16	第320回個人情報保護委員会
資料２	「「個人情報保護法いわゆる３年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見の概要
	議事概要
	議事録
2025.03.26	第319回個人情報保護委員会
資料１	「個人情報保護政策に関する懇談会」の開催について（案）
資料２－１	令和７年度個人情報保護委員会活動方針（概要）（案）
資料２－２	令和７年度個人情報保護委員会活動方針（案）
	議事概要
	議事録
2025.03.05	第316回個人情報保護委員会
資料１－１	個人情報保護法の制度的課題に対する考え方（案）について
資料１－２	個人情報保護法の制度的課題の再整理
資料１－３	「「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見の概要
	議事概要
	議事録
2025.02.19	第315回個人情報保護委員会
資料１	個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方）
	議事概要
	議事録
2025.02.05	第314回個人情報保護委員会
資料１	個人情報保護法の制度的課題に対する考え方（案）について
	議事概要
	議事録
2025.01.22	第312回個人情報保護委員会
資料１－１	「個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の検討の進め方について（案）
資料１－２	個人情報保護法の制度的課題の再整理
	議事概要
	議事録
2024.12.25	第311回個人情報保護委員会
資料１	個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書
	議事概要
	議事録
2024.12.18	第７回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度③）
資料２	検討会報告書（案）
参考資料１	これまでの主な論点及び関連御意見
参考資料２	第２回～第６回検討会における主な御意見
参考資料３	関係参考資料
参考資料4	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
議事録	第７回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.12.17	第310回個人情報保護委員会
資料１－１	「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について
資料１－２	事務局ヒアリングにおける主な御意見
参考資料１－１
参考資料１－２	事務局ヒアリングの各参加者提出資料
	議事概要
	議事録
2024.11.28	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	現行制度と検討の方向性について（課徴金制度②）
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度③）
資料３	これまでの主な論点及び関連御意見 (PDF : 2006KB)
参考資料１	第２回～第５回検討会における主な御意見
議事録	第６回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.11.12	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	国内他法令における課徴金額の算定方法等について
資料２	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度②）
資料３	認定個人情報保護団体制度について
資料４	第４回までの主な論点及び関連意見
資料５	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点・今後の検討の進め方
参考資料１	第２回～第４回検討会における主な御意見
参考資料２	関係参考資料
議事録	第５回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.10.16	第304回個人情報保護委員会
資料１－１	個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点（案）
資料１－２	今後の検討の進め方
	議事概要
	議事録
2024.10.11	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１	全国消費生活相談員協会プレゼン資料
資料２	中川構成員プレゼン資料
資料３	第３回事務局資料に対する御質問と考え方
参考資料１	第２回及び第３回検討会における主な御意見
参考資料２	関係参考資料
前回資料１ー１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
前回資料１ー２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
前回資料２	個人情報保護法の違反行為に係る事例等
前回資料３	現行制度と検討の方向性について（課徴金制度）
前回資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
議事録	第４回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.26	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
	議事次第
資料１－１	総合的な案内所（個人情報保護法相談ダイヤル）における受付状況
資料１－２	名簿販売事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
資料２	個人情報保護法の違反行為に係る事例等
資料３	現行制度と検討の方向性について（課徴金制度）
資料４	現行制度と検討の方向性について（団体による差止請求制度及び被害回復制度）
参考資料１	第２回検討会における主な御意見
参考資料２	個人情報の保護に関する基本方針
参考資料３	個人情報の保護に関する法律に基づく行政上の対応について（令和６年９月11日公表資料）
参考資料４	関係参考資料
議事録	第３回個人情報保護法のいわゆる３年ごと見直しに関する検討会
2024.09.05	第２回個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料１	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料２	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
資料３	今後の検討の進め方
資料４	監視・監督活動及び漏えい等報告に関する説明資料
参考資料１	第1回検討会における主な意見
参考資料２	第1回検討会における主な質問及び回答
参考資料３	関係参考資料
議事録
2024.09.04	第299回個人情報保護委員会
資料1-1	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果
資料1-2	「個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理」に関する意見募集結果（概要）
議事概要
議事録
2024.07.31	第１回個人情報保護法のいわゆる３年ごと見直しに関する検討会
資料1	開催要綱（案）
資料2	主婦連合会御提出資料
資料3	新経済連盟御提出資料
資料4	全国消費者団体連絡会御提出資料
資料5	全全国消費生活相談員協会御提出資料
資料6	日本IT 団体連盟御提出資料
資料7	日本経済団体連合会御提出資料
参考資料1	「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」概要
参考資料2	「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」本文
議事録
2024.07.24	第296回個人情報保護委員会
資料1	個人情報保護法のいわゆる３年ごと見直しに関する検討会の設置について
議事概要
議事録
2024.06.26	第292回個人情報保護委員会
資料１	個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理（案）
【委員長預かりで会議後に修正した資料】資料１	個人情報保護法　いわゆる３年ごと見直しに係る検討の中間整理
資料２−１	日EU相互認証の枠組みの拡大に向けた対応について
資料２−２	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（英語）
資料２−３	個人情報保護委員会藤原靜雄委員長と欧州委員会ベラ・ヨウロバー副委員長（価値・透明性担当）の会談に関する共同プレス・ステートメント（日本語仮訳）
資料３	一般送配電事業者及び関係小売電気事業者等における顧客情報の不適切な取扱事案に対する個人情報の保護に関する法律に基づく行政上の対応について
議事概要
議事録
2024.06.13	第290回個人情報保護委員会
資料１－１	第二次いわゆる３年ごと見直しへのコメント（ひかり総合法律事務所　板倉弁護士）
資料１－２	デジタル社会の個人情報保護法（新潟大学　鈴木教授）
議事概要
議事録
2024.06.12	第289回個人情報保護委員会
資料１－１	個人情報保護委員会「いわゆる３年ごと見直し」ヒアリング（国立情報学研究所　佐藤教授）
資料１－２	個人情報保護法３年ごと見直し令和６年に対する意見（産業技術総合研究所　高木主任研究員）
議事概要
議事録
2024.06.03	第287回個人情報保護委員会
資料１－１	個人情報保護法見直しに関するコメント（京都大学　曽我部教授）
資料１－２	いわゆる3年ごと見直しに関する意見（慶應義塾大学　山本教授）
資料１－３	３年ごと見直しヒアリング２０２４（英知法律事務所　森弁護士）
資料１－４－1	個人情報保護法のいわゆる３年ごと見直しに関する意見（東京大学　宍戸教授）
資料１－４－2	宍戸常寿氏御提出資料（令和元年５月21日提出）
議事概要
議事録
2024.05.29	第286回個人情報保護委員会
資料１	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方③）
議事概要
議事録
2024.05.15	第284回個人情報保護委員会
資料２	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（データ利活用に向けた取組に対する支援等の在り方）
資料３	個人情報保護法いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方②）
議事概要
議事録
2024.05.10	第283回情報保護委員会
資料１－１	個人情報保護法における課徴金制度導入にかかる諸論点（名古屋大学林教授）
資料１－２	個人情報保護法における法執行の強化について（神戸大学中川教授）
議事概要
議事録
2024.04.24	第281回個人情報保護委員会
資料１	個人情報保護法の３年ごと見直しに対する意見
資料２	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方③）
議事概要
議事録
2024.04.10	第280回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方② ）
議事概要
議事録
2024.04.03	第279回個人情報保護委員会
資料１―１	AIと個人情報保護：欧州の状況を中心に（一橋大学生貝教授）
資料１―２	AI利用と個人情報の関係の考察（NTT社会情報研究所高橋チーフセキュリティサイエンティスト）
資料１−３	医療情報の利活用の促進と個人情報保護（東京大学森田名誉教授）
資料１―４	医療・医学系研究における個人情報の保護と利活用（早稲田大学　横野准教授）
議事概要
議事録
2024.03.22	第277回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（実効性のある監視・監督の在り方①）
議事概要
議事録
2024.03.06	第275回個人情報保護委員会
資料１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）
議事概要
議事録
2024.02.21	第273回個人情報保護委員会
資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
【委員長預かりで会議後に修正した資料】資料４	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討項目
議事概要
議事録
2024.02.14	第272回個人情報保護委員会
資料２－１	地方公共団体における個人情報保護法運用状況のヒアリング（京都府総務部政策法務課）
資料２－２	岡山市における個人情報保護法の運用状況（岡山市総務局行政事務管理課）
資料２－３	個人情報保護法運用状況について（都城市総務部総務課）
資料２－４	個人情報保護法運用状況について（上里町総務課）
議事概要
議事録
2024.02.07	第271回個人情報保護委員会
資料１	インターネット広告における個人に関する情報の取扱いについての取組状況（日本インタラクティブ広告協会）
議事概要
議事録
2024.01.31	第270回個人情報保護委員会
資料２	個人情報保護法の3 年ごと見直しに対する意見（日本経済団体連合会）
議事概要
議事録
2024.01.23	第268回個人情報保護委員会
資料１―１	(特定)適格消費者団体の活動について（消費者支援機構関西）
資料１―２	個人情報保護委員会ヒアリング資料（日本商工会議所）
議事概要
議事録
2023.12.21	第266回個人情報保護委員会
資料１―１	個人情報保護法の３年ごと見直しに関する意見（電子情報技術産業協会）
資料１―２	ヒアリング資料（全国商工会連合会）
議事概要
議事録
2023.12.20	第265回個人情報保護委員会
資料１―１	ACCJ Comments for the Personal Information Protection Commission Public Hearing（在米国商工会議所）
資料１―２	公開ヒアリングに向けたACCJ意見（在米国商工会議所）
議事概要
議事録
2023.12.15	第264回個人情報保護委員会
資料１―１	個人情報保護法の見直しについて（新経済連盟）
資料１―２	個人情報保護法見直しに関する意見（日本IT団体連盟）
議事概要
議事録
2023.12.06	第263回個人情報保護委員会
資料２	個人情報保護法に関する欧州企業の代表的な課題（欧州ビジネス協会）
議事概要
議事録
2023.11.29	第262回個人情報保護委員会
資料１	ヒアリング資料（一般社団法人日本情報経済社会推進協会）
議事概要
議事録
2023.11.15	第261回個人情報保護委員会
資料２－１	個人情報保護法　いわゆる３年ごと見直し規定に基づく検討
資料２－２	個人情報保護に係る主要課題に関する海外・国内動向調査　概要資料
議事概要
議事録

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.09.25 個人情報保護委員会第1回個人情報保護政策に関する懇談会

・2025.04.26 個人情報保護委員会「「個人情報保護法いわゆる３年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見の概要 (2025.04.16) と個人情報保護政策に関する懇談会の開催 (2025.04.21)

・2025.03.12 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第315 - 316回委員会）(2025.03.05)

・2025.02.10 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第314回委員会）

・2025.01.23 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第311-312回委員会）

・2024.12.20 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第310回委員会、第6-7回検討会）

・2024.11.26 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第304回委員会、第3-5回検討会）

・2024.09.06 個人情報保護委員会いわゆる3年ごと見直しに係る検討関係（第299回委員会、第2回検討会）

・2024.08.04 個人情報保護委員会第１回個人情報保護法のいわゆる３年ごと見直しに関する検討会

・2024.06.28 個人情報保護委員会意見募集いわゆる3年ごと見直しに係る検討の中間整理

・2024.06.04 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中... （２）

・2024.04.25 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング、検討中...

・2024.01.06 個人情報保護委員会個人情報保護法の3年ごとの見直しに関する意見をヒアリング中...

2026.01.11 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2026.01.10

英国データとAIの倫理フレームワークの改訂 (2025.12.18)

こんにちは、丸山満彦です。

昨年の話ですが、栄光のデータとAIの倫理フレームワークが改訂されています。

前回の改訂が2020年9月でしたから、5年3ヶ月ぶりの改訂となります。この間、いろいろとありましたよね。。。

ということで、今回の改訂から、

・表題が、「Data Ethics Framework」から「Data and AI Ethics Framework」に変わりました。

・実装ツールとなるData and AI Ethics Self-Assessment Tool（自己評価ツール）を追加し、実際のプロジェクト計画やレビューに活用できるようになっていますね。

・原則についても透明性、説明責任、公平性からプライバシー、環境持続可能性、社会的影響、安全性の４つが加わり７原則となりました...

Transparency	透明性
Accountability	説明責任
Fairness	公平性
Privacy	プライバシー
Environmental sustainability	環境持続可能性
Societal impact	社会的影響
Safety	安全性

Principle	Definition	原則	定義
Transparency	Transparency means that information about your project, actions, processes and data are communicated to relevant parties in an understandable, easily accessible and free way. Transparency includes the concept of explainability, which refers to the ability to understand and communicate how a system makes decisions, including how it arrived at an individual decision.	透明性	透明性とは、プロジェクトや行動、プロセス、データに関する情報を、関係者に理解しやすく、容易にアクセス可能で、かつ無料で伝達することを意味する。透明性には説明可能性の概念が含まれ、これはシステムが意思決定を行う仕組み、個々の決定に至った過程を含む、その理解と伝達能力を指す。
Accountability	Accountability means that data and AI projects have appropriate and effective governance, oversight, and routes to challenge decisions in place, where this is necessary. It involves setting clear roles and responsibilities, and being transparent about the system and the processes around it.	説明責任	説明責任とは、データ及びAIプロジェクトにおいて、必要に応じて適切かつ効果的なガバナンス、監視体制、決定への異議申し立て手段が整備されていることを意味する。これには明確な役割と責任の設定、システム及び関連プロセスに関する透明性の確保が含まれる。
Fairness	Fairness means avoiding unfair biases and impacts, and addressing accessibility barriers, while actively maximising positive impacts. You should assess data representativeness, bias, and the different potential impacts that can result from data use. You should mitigate model biases and aim for outputs and decisions generated with the help of automated processes to: * be non-discriminatory * be just * respect dignity * align with the public interest, human rights and democratic values * comply with the Equality Act 2010 and the Public Sector Equality Duty (PSED)	公平性	公平性とは、不当なバイアスや影響を回避し、アクセシビリティの障壁に対処しつつ、積極的に好影響を最大化することを指す。データの利用から生じうる代表性の欠如、バイアス、様々な潜在的影響をアセスメントすべきである。モデルバイアスを緩和し、自動化プロセスで生成される出力や決定が以下を満たすよう目指す必要がある：* 差別的でないこと* 公正であること* 尊厳を尊重すること* 公共の利益、人権、民主主義的価値観に沿うこと* 2010年平等法および公共部門平等義務（PSED）
Privacy	Privacy means that personal data is respected and handled responsibly, ensuring it’s used only for intended purposes with an appropriate legal basis. It also means adhering to UK data protection regulation, including principles of data minimisation, purpose limitation and informed consent.	プライバシー	に準拠すること。プライバシーとは、個人データが尊重され責任を持って取り扱われ、適切な法的根拠のもとで意図された目的のみに使用されることを意味する。また、データ最小化、目的限定、情報に基づく同意といった原則を含む、英国のデータ保護規制を順守することも意味する。
Safety	Safety refers to the use of data or development of a system without causing harm to people, organisations, wider social institutions or the environment. Data-driven systems such as AI should be robust, secure and safe at every stage of their life cycle. This means ensuring that they operate properly and reliably, without causing unnecessary safety or security risks.	安全性	安全性とは、個人、組織、広範な社会機構、環境に害を及ぼさずにデータを利用したりシステムを開発したりすることを指す。AIなどのデータ駆動型システムは、ライフサイクルのあらゆる段階で堅牢で安全かつ安心であるべきだ。これは、不必要な安全・セキュリティリスクを引き起こさず、適切かつ確実に動作することを保証することを意味する。
Societal impact	Societal impact is about how the development and use of data and data-driven technologies impact wider society. For example, by helping to solve societal challenges and deliver public good.	社会的影響	社会的影響とは、データ及びデータ駆動型技術の開発・利用が広範な社会に与える影響を指す。例えば、社会的課題の解決や公共の利益の提供に寄与することなどが挙げられる。
Environmental sustainability	Sustainability calls for responsible design and use of data and AI that minimises environmental impact, and supports long-term wellbeing for people and the planet. This means considering biospheric consequences when scoping potential AI and data projects, and building tools and systems that are robust and energy efficient. Biospheric consequences are the effects a project can have not only on the planet’s ecosystems but also its climate and the entire biosphere.	環境持続可能性	持続可能性とは、環境への影響を最小限に抑え、人と地球の長期的な健全性を支える、データとAIの責任ある設計・利用を求めるものである。これは、AIやデータプロジェクトの可能性を検討する際に生物圏への影響を考慮し、堅牢でエネルギー効率の高いツールやシステムを構築することを意味する。生物圏への影響とは、プロジェクトが地球の生態系だけでなく、気候や生物圏全体に及ぼしうる影響を指す。

● GOV.UK

・2025.12.15 Data and AI Ethics Framework

ガイダンス

・[HTML] Data and AI Ethics Framework

・[ODT] Data and AI Ethics Self-Assessment Tool

序論の一部...

Introduction	序論
This framework provides a set of principles and activities to guide the responsible development, procurement and use of data and artificial intelligence (AI) in the public sector. It helps public servants understand ethical considerations and how to address these in their work.	この枠組みは、公共部門におけるデータと人工知能（AI）の責任ある開発、調達、利用を導く一連の原則と活動を提供する。公務員が倫理的配慮を理解し、業務でこれらに対処する方法を助けるものである。
Data and AI ethics is about using data and data-driven technologies responsibly, including:	データとAIの倫理とは、データおよびデータ駆動型技術を責任を持って使用することを意味し、以下を含む：
・respecting privacy	・プライバシーの尊重
・promoting fairness	・公平性の促進
・protecting individuals, communities and society from harm	・個人、コミュニティ、社会を危害から防御すること
This includes ensuring that data is collected, shared and used in appropriate, fair, safe, sustainable and transparent ways.	これには、データが適切、公平、安全、持続可能かつ透明性のある方法で収集、共有、使用されることを確保することが含まれる。
The framework applies to any project that involves:	本枠組みは、以下のいずれかを伴うあらゆるプロジェクトに適用される：
・data (collection, sharing or use)	・データ（収集、共有、または使用）
・data-driven technologies	・データ駆動型技術
・AI	・AI
・automated decision-making and algorithmic tools	・自動化された意思決定およびアルゴリズムツール
In this guidance, this is what we mean when we refer to ‘data and AI’.	本ガイドラインにおいて「データとAI」とは、この意味を指す。
Who this guidance is for	対象者
The framework is for people who work in government and other public sector organisations. It’s mainly written for people who are designing, building, maintaining, using or updating projects that use data and AI.	本枠組みは、政府及びその他の公共部門組織で働く者を対象とする。主に、データとAIを利用するプロジェクトの設計、構築、維持、利用、更新に携わる者を想定している。
This may include:	具体的には以下のような立場の者が含まれる：
・developers	・開発者
・project managers	・プロジェクトマネージャー
・analysts	・アナリスト
・statisticians	・統計学者
・policy makers	・政策立案者
・commercial or procurement professionals	・商業・調達担当者
We also encourage anyone who works directly or indirectly with data and AI to read this guidance and apply it to their work. This includes operational staff and anyone helping to produce data-informed insight.	また、データとAIに直接的・間接的に関わる全ての関係者にも、本ガイドラインを読み、業務に適用することを推奨する。これには運用スタッフやデータに基づく知見の創出を支援する者も含まれる。
How to use this guidance	本ガイドラインの活用方法
Your team should work through the framework together as you plan, implement and evaluate a project. You should regularly revisit it throughout your project, especially when you make changes to your work or project.	プロジェクトの計画・実施・評価の過程で、チーム全体で本枠組みを順を追って適用すべきである。プロジェクト全体を通じて、特に作業内容やプロジェクトに変更を加える際には、定期的に見直すべきだ。
The framework covers a broad range of use cases and challenges that you might encounter. Some projects may be limited to certain aspects – for example, data collection and processing – while others may cover a full AI development life cycle. This means you might find certain parts of this guidance more or less relevant to your project.	本枠組みは、遭遇する可能性のある幅広いユースケースと課題を網羅している。プロジェクトによっては、データ収集や処理といった特定の側面に限定される場合もあれば、AI開発ライフサイクル全体をカバーする場合もある。つまり、本ガイダンスの特定の部分が、プロジェクトとの関連性の度合いが異なる可能性があるということだ。
Data and AI Ethics Self-Assessment Tool	データ・AI倫理アセスメントツール
If your team is working on an AI or data-driven technology project, then as well as reading this guidance you should use the Data and AI Ethics Self-Assessment Tool.	チームがAIまたはデータ駆動型技術プロジェクトに取り組む場合、本ガイダンスの読解に加え、データ・AI倫理アセスメントツールを使用すべきである。
The tool will help you capture information, and share learnings, challenges and progress with colleagues. We recommend that you maintain it along with your other project documentation to record decision making across the life cycle of a project.	このツールは情報の収集を支援し、同僚との学び・課題・進捗の共有を可能にする。プロジェクトライフサイクル全体の意思決定を記録するため、他のプロジェクト文書と共に維持することを推奨する。
Why this guidance is important	本ガイダンスの重要性
Government guidance needs to address the rapidly evolving ethical challenges and risks posed by data and AI technologies. We’ve updated the previous version of this guidance to meet this need.	政府のガイダンスは、データとAI技術がもたらす急速に進化する倫理的課題とリスクに対処する必要がある。この必要性に応えるため、以前のガイダンスを更新した。
The Data and AI Ethics Framework bridges the gap between high-level ethical principles and practical actions. It considers themes such as safety, security and privacy through an ethical lens. It does not replace technical or regulatory guidance in these areas, but instead complements and connects to them.	データとAI倫理枠組みは、高次元の倫理原則と実践的行動の間のギャップを埋める。安全性、セキュリティ、プライバシーといったテーマを倫理的観点から考察する。これらの分野における技術的・規制的ガイダンスに取って代わるものではなく、それらを補完し連携するものである。
It complements existing tools, standards and guidance, including the:	本指針は、以下の既存のツール、標準、指針を補完するものである：
・AI Playbook for the UK Government	・英国政府向けAIプレイブック
・Model for Responsible Innovation	・責任あるイノベーションのためのモデル
・Algorithmic Transparency Recording Standard (ATRS)	・アルゴリズム透明性記録標準（ATRS）
This guidance does not replace:	本指針は以下に代わるものではない：
・existing ethics guidance and tools for statisticians and social researchers, such as the UKSA’s Ethics Self-Assessment Tool	・統計学者や社会調査研究者向けの既存の倫理指針やツール（例：英国統計庁の倫理自己評価ツール）
・bespoke guidance provided by individual departments, devolved administrations or for specific professions	・個別省庁、地方分権行政機関、または特定職業向けに提供される特注の指針

序論の最後にトレードオフについての留意点？が記載されています。一般的な内容なので参考になるかもです...

トレードオフ

複数の倫理原則が互いに矛盾する場合がある。例えば、より多くの人口統計情報を使用すればバイアスを識別し公平性を促進できるが、個人のプライバシーを犠牲にする可能性がある。こうした状況ではトレードオフを考慮する必要がある。倫理的なトレードオフは本質的に複雑であり、慎重に対処しなければならない。

適切なトレードオフを確立するためのアプローチ例は以下の通りだ：

影響を受けるコミュニティと関わり、価値観や影響を理解することでステークホルダーの視点を組み込む
法的・人権的枠組みを参照し、決定が国内および国際標準に沿うことを確保する
比例性と必要性のバランスを取る
有意義かつ包括的な審議を確保する
結果を監視する仕組みを確立し、必要に応じて調整する

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.06 英国議会政府におけるAIの活用 (2025.03.26)

・2025.02.12 英国英国政府のためのAIプレイブック(2025.02.10)

・2025.02.03 英国 AI安全報告書 2025

・2025.01.27 英国現代的デジタル政府のための青写真 (2025.01.21)

・2025.01.26 英国 AI機会行動計画 (2025.01.13)

2026.01.10 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

各国代表の新年の挨拶 2026年

こんにちは、丸山満彦です。

年頭あいさつシリーズ...

Fig1_20220102071901

国・地域	政府トップ	表題
日本	高市早苗首相	高市内閣総理大臣　令和８年　年頭所感
中国	習近平国家主席	国家主席习近平发表二〇二六年新年贺词
米国	ドナルド・トランプ大統領	不明
欧州委員会（EC）	ウルズラ・フォン・デア・ライエン委員長	不明
英国	キア・スターマー首相	The Prime Minister's New Year’s Message: 31 December 2025
ドイツ	フリードリヒ・メルツ首相	The Federal Chancellor’s New Year address
フランス	エマニュエル・マクロン大統領	Vœux aux Français pour 2026.
イタリア	ジョルジャ・メローニ首相	End-of-year message from the President of the Republic, Sergio Mattarella
カナダ	マーク・カーニー首相	Statement by Prime Minister Carney to mark the New Year
オーストラリア	アンソニー・アルバニージー首相	不明

3つのAIによる要約...

日本：高市早苗内閣総理大臣	危機を突破し、技術と改革の力で再び強く前へ進む。	「『分水嶺』を越える意志と、国家戦略としての『危機管理投資』」	「丙午の分水嶺」で、技術投資と人材力を軸とした『強い経済』への構造転換を断行する。
	高市首相は就任からの77日間を振り返り、物価高騰への対応として経済対策の策定と補正予算編成、所得税減税を含む税制改正大綱の決定、次年度予算の閣議決定まで一気に走り抜けたと強調する。外交面ではASEAN関連首脳会議、AZEC首脳会合、日米首脳会談、APEC、G20、中央アジア＋日本首脳会合など多国間・二国間の場で日本の存在感を示したことに言及し、目の前の課題に「懸命に駆け抜けた」一年だったと述べる。首相官邸ホームページ+1一方で、青森県東方沖地震など相次ぐ国内災害に触れ、被災者への哀悼と支援継続の決意を示し、日本の長い歴史と固有の文化、美しい自然、互助的な社会を次世代へ引き継ぐ使命を強調する。干支の丙午を「昨年からのエネルギーが一段と発展する年」と位置づけ、ガソリン税など暫定税率の廃止に象徴される前向きな改革をさらに加速させ、「やればできる」を合言葉に困難な改革にも果敢に挑戦する年にしたいと国民に呼びかけた。首相官邸ホームページ+2	高市首相の演説は、日本特有の慎重さをかなぐり捨て、強烈な「突破力」を前面に押し出した内容です。干支の「丙午（ひのえうま）」を引用し、停滞する空気を打破する「エネルギー」の重要性を説いた点は、国民のデフレマインド払拭を狙う心理的ショック療法とも読めます。特筆すべきは、経済政策の主軸を従来の漠然とした成長戦略から、「危機管理投資」という安全保障と経済をリンクさせた概念へ明確にシフトさせた点です。半導体や「フィジカルAI」といった特定技術領域への巨額投資を、単なる産業振興ではなく「他国に依存しないための生存戦略」と定義付けました。また、財政規律を意識しつつも「必要な分野には大胆に」と断言し、減税と賃上げの好循環を約束する姿勢は、実利と理念を巧みに組み合わせたポピュリズムとリアリズムのハイブリッド型リーダーシップを感じさせます。「世界に打って出る」という言葉からは、国際社会における日本のプレゼンスを、調整役から「戦略的プレイヤー」へと引き上げる強い野心が透けて見えます。	高市総理の年頭挨拶は「丙午（ひのえうま）の年」という易学的フレーミングで日本を歴史的転換点に位置づけ、人口減少という「静かな非常事態」を「分水嶺」として語り直した。政策は三層構造で、第一に AI・半導体・宇宙開発といった戦略分野に10兆円以上の公的支援を投じ50兆円超の官民投資を促す「危機管理投資」、第二に現役世代への所得税減税と教育無償化による「人材力」強化、第三に日米同盟深化とインド太平洋主導権確保である。能登地震の被災地での経験から「国民の底力」を引き出すことを強調し、ボトムアップの市民活動とトップダウン指導性のバランスを取ろうとしている。技術革新を通じた経済成長で「希望」を創出する戦略であるが、米国関係の変化やロシア・北朝鮮の脅威に対する安全保障政策の詳細な道筋は示されておらず、急速に変動する国際秩序への適応力の検証が課題である。
中国：習近平国家主席	歴史の大勢に従い、統一と発展を不可逆の力で押し進める。	「『歴史の必然』としての現代化と、揺るぎなき自信の誇示」	「十四五」成果を列挙し、世界的混乱の中での「中国の前進」を強調、制度の正当性を再確認する。
	習主席は新年の挨拶で、2025年の中国経済が約140兆元規模となり、政府目標である成長率約5％を達成できる見通しだと述べ、「圧力の中でも強い回復力と活力を示した」と自賛する。経済運営では「質の高い発展」と「有効な質的向上と合理的な量的成長」を掲げ、2026年により積極的なマクロ政策を講じる方針を示し、イノベーションやグリーン技術を通じた長期的成長への道筋を語った。The Hindu+1同時に、人工知能や半導体、宇宙・軍事技術など戦略分野での躍進を強調し、技術強国としての自信と、国防・安全保障面での近代化を「中国式現代化」の中核として位置づける。対台湾については「祖国統一は時代の大勢であり、止められない」と述べ、統一の意思は揺らがないとの姿勢を改めて表明しつつ、両岸同胞は「血は水よりも濃い」存在だと情緒的な表現も織り込み、歴史的使命と民族感情を結びつける語り方で国民の結束を訴えた。AOL+1全体として、経済・技術・統一という三つの柱を貫き、「自信」と「不可逆的な流れ」というキーワードで中国の進路を正当化する構成になっている。	習主席のメッセージは、世界的な地政学的混乱を「変乱交織」と認めつつも、中国はその嵐の中で着実に前進しているという「体制の優位性」を内外に誇示するものです。「中国式現代化」の成果として、グリーン技術や宇宙開発、独自イノベーションを列挙し、第15次五カ年計画への接続を強調することで、国民に対し「路線の正しさ」を再確認させています。特筆すべきは、台湾統一について「歴史の大勢」という言葉で断固たる意志を改めて示した点です。これは、外部からの圧力に対する一切の妥協拒否を意味します。一方で、国内向けには「枝葉の情」といった表現で民生への配慮を見せ、経済減速に伴う社会的不満を、国家への忠誠心とナショナリズムで包み込もうとする意図が見て取れます。全体として、欧米主導の秩序が揺らぐ中、中国こそが「歴史の正しい側」に立ち、グローバル・サウスを牽引する安定した極であるという、強烈な自負と戦略的持続性が貫かれた演説です。	習主席の年頭挨拶は「十四五」（2021-2025年）最終年の成果と「十五五」（2026-2030年）への展望を圧倒的な自信をもって語り、GDP140万億元達成と経済・科技・国防・総合国力の「四つの台階を上った」との成果列挙型で、世界経済の不確実性が増す中での「中国は前進している」というメッセージを前面に掲げた。AI大模型・芯片自主研発・衛星産業といった科技革新と非物質文化遺産・古韵国風といった伝統文化の融合を強調し、文化的自信を表現すると同時に、「人類命運共同体」と「全球治理倡議」を通じて世界秩序再編における中国の主導性を暗に主張し、台湾統一の「歴史的必然性」と「一国二制」の堅持を明言した。ただし「乱」（世界の混乱）への危機認識は最小限で、国内の南北格差や世代間葛藤への言及も限定的であり、危機認識よりも制度正当性の強調が優先されている。テクノロジー競争での優位維持が党の統治正当性を支える不可欠な要件との診断が背後にある。
英国：キア・スターマー首相	希望と実務の力で、分断と停滞から確かな再建へと歩み出す。	「幻想を排し、崩れた礎石を積み直す『現実的な希望』」	「国民の苦しみを理解し、2026年には確実な変化が感じられる」——対話型で生活改善を約束する。
	スターマー首相はメッセージの冒頭で「英国では厳しい状況が続き、多くの人にとって生活は本来より苦しい」と率直に認め、生活費危機が国民生活に与えた打撃に言及する。国民が「少し余裕のある財布」「外食や休暇」「家族の特別な時間をより特別にしたい」と願っていると述べ、そのささやかな希望こそ政治が支えるべき対象だと位置づける。GOV.UK2026年には、政府が行ってきた選択の結果として、光熱費や生活費、地域社会、保健医療サービスにおいて「前向きな変化」を実感できる人が増えると約束し、「再生（renewal）」という言葉で時代の方向性を示す。具体的には、3月までに警察官を増員し、地域の治安回復に取り組むほか、NHSの立て直しなど公共サービス改善を通じて「本来の英国の姿が再び輝き始める」年にすると誓う。GOV.UK+1メッセージ全体は、派手なレトリックよりも現実の厳しさを認めた上で「希望」と「確かな実務」を結びつける構成で、「分断と衰退ではなく、着実な再建の道を選ぶ」として自らの政権の路線を正当化している。	スターマー首相の言葉には、派手なスローガンやナショナリズムの昂揚はありません。その代わりに、生活費危機や公共サービスの劣化に喘ぐ国民に対し、「魔法の杖はない」という冷徹な現実認識と、だからこそ信頼に足る「着実な修復」を約束する誠実さが溢れています。「刷新（Renewal）」を掲げつつも、その中身はNHS（国民保健サービス）の待機時間短縮や警察官の増員、光熱費の抑制といった、市民生活の「足元」を固める実務的な課題に集中しています。これは、長年の保守党政権下で傷んだ社会インフラと信頼を回復することが、英国再生の唯一の道であるという確信に基づくものでしょう。政治不信が極まる中、「政治は人々の生活を良くするための奉仕である」という原点回帰を訴え、分断を煽るポピュリズムに対して「安定と実績」で対抗しようとする姿勢は、地味ながらも強靭な民主主義の復元力を感じさせます。	スターマー首相の年頭メッセージは「物事は難しかった。多くの人がまだ苦しんでいる」という現状認識から入り、「2026年には変化が感じられ始める」と約束する極度に簡潔で生活者志向の対話型説得戦略である。3月までの警察増員、4月のエネルギー料金引き下げと医療ハブ拡充、鉄道料金・処方箋料・燃料税凍結という限定的かつ即座的な政策を提示し、公共サービスの劣化と生活費危機が最大課題であることが如実である。国際的脅威（ウクライナ、中東）への言及がないため英国の地政学的後退を示唆しつつ、「政治が再び機能することの重要性」を強調することで、労働党政権が直面する民主主義制度への信頼喪失からの回復を図ろうとしている。評価すべきは国内の停滞を認めた上で「小さくても実現する改革」の積み重ねの重要性を示唆した点だが、構造的な国力衰退への処方箋は乏しい。
ドイツ：フリードリヒ・メルツ連邦首相	危機の時代を恐れず、自信と責任をもって欧州の未来を切り拓く。	「『依存』からの決別と、自立した欧州強国への覚醒」	「歴史的転換期」の多層的脅威に対し、防衛・改革を同時推進し自律性を再奪取する。
	メルツ首相は年頭演説で、2025年という一年を、個々人にとっても国家にとっても「成功と挫折、新しさと喪失が交錯した年」と総括し、年の瀬は個人と国全体の双方にとって「決算」の時だと語りかける。2月の連邦議会選挙で国民がドイツの進路を選択し、新政権が「決然とした行動と明確なコンパス」で国の針路を定める役割を担うことになったと述べ、新政府への信任を訴える。Die Bundesregierung+1世界的な危機や不安定な国際情勢、ウクライナ戦争などに触れつつ、ドイツは「偉大な国」であり、2026年も自国の力を信じ、勇気と自信（Zuversicht）を持って前進すべきだと強調する。内政では社会保障制度の改革や経済の競争力回復に取り組む決意を示し、「勤勉」「自助」といった保守的価値観をにじませながら、財政規律と投資の両立を図る方針を打ち出す。Die Bundesregierung+1同時に、欧州防衛や対ロシア政策をめぐり、米国動向に左右されず「自らの安全保障を自らの手で確保する欧州」の必要性を訴え、ウクライナ支援継続にコミットした。全体として、危機の時代を「転換点」として受け止め、悲観を打ち消すための強いレトリックと、地に足のついた改革アジェンダを組み合わせた演説となっている。Die Bundesregierung+2	メルツ首相の演説は、戦後ドイツの平和主義的・経済中心的な姿勢からの決定的かつ不可逆的な転換（Zeitenwendeの深化）を告げるものです。米国政治の不透明化を背景に、欧州の安全保障を他国に委ねる時代の終わりを宣言し、国防費の大幅増額（GDP比3.5%目標の堅持）や経済構造改革を、国民に「痛み」を伴う努力として要求しています。「自信（Zuversicht）」という言葉を繰り返し使いながらも、それは根拠なき楽観ではなく、勤勉さと自己改革によってのみ得られるものであると説く姿は、厳格な父親像を想起させます。社会保障改革や規制撤廃への言及は、ドイツ経済の錆びついたエンジンを再起動させるための「ショック療法」の必要性を示唆しています。「大国の駒にはならない」という強い意志は、ドイツが再び欧州の戦略的自律の中核として、経済力だけでなく軍事・政治力においてもリーダーシップを行使する覚悟を決めたことを世界に伝えています。	ショルツ首相の年頭演説は「我々は歴史的転換期（epochal shift）を目撃している」との冷徹な現実主義の診断から、ロシアのウクライナ侵略、米国の戦略転換、保護主義の台頭、中国・北朝鮮の軍事拡張といった複層的脅威を列挙して対応策の必要性を強調した。防衛予算の大幅増加、基本法改正による国防財政の制度化、志願兵制度導入、国家安全保障評議会設置という防衛力強化と同時に、社会保障制度の根本改革（市民給付廃止、年金制度改革）と産業競争力強化（規制緩和、税制軽減）を並行推進する二重の改革を志向している。特異な点は「我々は外部環境の被害者ではなく、自らの力で対応できる」との主体性を強調し、戦後ドイツが相対的に依存的だった安全保障体制からの転換を宣言した点であり、欧州統合深化と米国依存軽減の両立を目指す中で、ドイツが欧州防衛の「脊椎」たることを甘受する戦略的転換を示している。
フランス：エマニュエル・マクロン大統領	団結と主権の力で、無秩序の世界に立ち向かい欧州を導く。	「帝国の復活に抗う、欧州主権と共和主義の『抵抗』」	「統一・独立・希望」の三願いで、欧州防衛の自立化とウクライナ支援、国内改革を同時推進する。
	マクロン大統領はまず、治安部隊、消防士、医療従事者、ボランティアなど「国家の継続性を支える人々」への感謝を表し、孤立や困窮、病にある市民にも思いを寄せると語り、連帯の感覚を前面に出す。演説の柱として、国内外の「脅威に晒されたヨーロッパ」、終末期医療（fin de vie）やインターネット規制などの社会的課題、そして2027年大統領選を控えた「行動の最後の年」という時間軸を提示する。Actu.fr+2対外的には、ウクライナ戦争やロシアの脅威に言及し、フランスと欧州が「力（force）」と「独立（主権）」を取り戻し、無秩序や帝国主義的衝動に対抗する必要性を訴える。国内政策では、教育・医療・治安・農業支援など、日々の生活を支える分野の再建を掲げ、特に若者の機会、公教育の基礎学力回復、農村や郊外の治安問題への対応を優先課題として位置づける。CNEWS+1演説全体のキーワードとして、大統領自ら「三つの願い」として掲げた「統一（unit é）・力（force）・希望（espérance）」が繰り返され、分断と疲弊が進む社会に対し、「諦めずに抵抗し続ける共和国」のイメージを再構築しようとしている。	マクロン大統領のメッセージは、単なる年頭挨拶を超え、文明論的な警告と戦闘宣言の様相を呈しています。「帝国の復活」や「世界の無秩序」に対し、フランスと欧州が生き残る道は「主権の確立」以外にないという切迫感が全体を支配しています。「統一、独立、希望」という三つの願いは、国内の極右勢力による分断圧力と、国外の権威主義的圧力に対する二重の「防波堤」構築を意図しています。防衛、技術、農業における「パワー・ヨーロッパ（力ある欧州）」構想を加速させ、ウクライナ支援や独自の外交イニシアチブを通じて、米中対立の狭間で埋没しない「第三の極」としての欧州を確立しようとする執念が感じられます。「諦めてはならない」という繰り返しのフレーズは、疲弊する国民を鼓舞すると同時に、共和国の普遍的価値（自由・平等・博愛）こそが、混沌とする世界における唯一の羅針盤であるという哲学的確信に基づいています。	マクロン大統領の年頭演説は「統一」「独立」「希望」という三つの願いで構成された高度に構造化された哲学的・共和主義的なメッセージで、外交・防衛から教育・医療・地方自治まで広範な政策領域に触れながらも、重心は欧州防衛と戦略的自立にある。ウクライナ支援の具体化（1月6日パリ平和サミット）、防衛産業強化、AI・量子・宇宙分野での欧州的独立性確保を強調し、同時に農業保護と治安・教育改革により国内基盤を堅実にする戦略を示唆している。興味深いのは2027年大統領選不出馬を宣言しながらも「最後の秒まで働く」と覚悟を示した点で、フランスの危機認識が戦争・経済不安定性・社会分裂の複合であり、その処方箋が「再度の欧州的リーダーシップ」にあるとの診立てが明確である。ただし国内の政治的分裂（極右の台頭など）への直接的対処は限定的で、外交的活動による信頼回復が優先されている。
イタリア：セルジョ・マッタレッラ大統領	人間の尊厳と平和を守るため、イタリアは対話と倫理の力で世界に向き合う。	「歴史の重みを鏡とし、精神の武装解除を説く『良心の守護者』」	共和国80年の歴史から、民主主義と平和の価値を再確認し、若い世代への責任的呼びかけを行う。
	マッタレッラ大統領は「決して容易ではなかった一年が終わろうとしている」と切り出し、その最大の背景として、ウクライナの都市の住居やエネルギーインフラ破壊、ガザの壊滅と乳児までが凍死する惨状を描き出し、平和への切実な希求を語る。こうした現実を前に、「力で優位に立つ者が平和を拒むことは、ますます理解し難く、忌まわしい（ripugnante）」と厳しく批判し、国際社会、とりわけ欧州と大西洋同盟の責任を問いかける。Quirinale+1国内に向けては、イタリア共和国の歩みを振り返りつつ、女性の権利、若者の将来、社会的包摂といったテーマを挙げ、民主共和国の価値は日々の選択と連帯によって守られると説く。若者には「諦めてはならない、自らの未来を自分で選び取れ」と呼びかけ、市民一人ひとりの倫理的責任と公共心を強調する姿勢は、父性的かつ道徳的なレトリックの特徴が色濃い。TGCOM24+1全体として、具体的な政策羅列よりも、人間の尊厳と平和の倫理を軸に、イタリア社会が内外の危機にどう向き合うべきかを静かに、しかし力強く諭すメッセージとなっている。	マッタレッラ大統領の演説は、政治的な政策論争を超越し、国家の道徳的支柱としての役割を全うする格調高いものです。共和国建国80周年という歴史的節目を「フォトアルバム」として提示し、ファシズムやテロリズムを乗り越えてきたイタリアの民主主義の強靭さを、分断されがちな現代社会に再提示しています。ウクライナやガザでの悲劇を念頭に、「平和とは単なる休戦ではなく、他者を尊重する精神のあり方である」と説き、言葉の暴力や憎悪の連鎖（「言葉の武装解除」）に警鐘を鳴らす姿は、欧州における「賢人」としての存在感を示しています。若者に対し「批判的であれ、情熱的であれ」と呼びかけ、社会参加を促す姿勢は、政治不信に対する解毒剤としての「市民的責務」を強調するものです。激動の時代において、変わらぬ価値観と人間性を守り抜くことこそが最大の防衛策であるという、静かなる闘志が込められています。	マッタレッラ大統領の年頭メッセージは共和国80年の歴史的スパンから現在を位置づけ、戦争と暴力への強い拒否、民主主義価値の再確認、若い世代への期待と責任感の喚起を中核としている。極右勢力の台頭、EU内での政治的対立、南北経済格差といったイタリアが直面する各種危機に対して、制度的民主主義の堅持と市民的連帯による対抗を志向し、共和国という理念への立ち返りを危機打開の鍵とする戦略である。この手法は、イタリアの政治的脆弱性（政権交代の頻繁さ、地域分裂、制度的不安定性）を前にした、ある種の「理想的自己確認」とも言え、歴史的フォトアルバムとしての共和国の価値を国民に想起させることで、現在の政治的混乱を超越的な枠組みで理解させようとしている。民主主義制度そのものへの脅威が高まる中での、制度防衛的で理想主義的なメッセージとして機能している。

● まるちゃんの情報セキュリティきまぐれ日記

・2024.01.08 各国代表の新年の挨拶 2024年

・2023.01.03 各国代表の新年の挨拶 2023年

・2022.02.04 バイデン大統領夫妻の旧正月に寄せたメッセージ. - 米国が競争しているのは、中国ではなく中国共産党政府なんでしょうね。。。

・2022.01.02 各国代表の新年の挨拶 2022年

2026.01.10 00:00 in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.09

東京都産業労働局中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 (2025.12.23)

こんにちは、丸山満彦です。

東京都産業労働局の中小企業向けサイバーセキュリティ対策のガイドが更新されていました...

サプライチェーン上重要な中小企業が存在し、その中小企業がランサムウェアにより業務が停止したり、その中小企業を足場によりよりTierの高い企業への侵入につながったり、その中小企業から重要な情報が窃盗されたりすると、国の経済活動に多大な影響がでることがあり得る。

そのため、中小企業全部とは言わないが、企業の規模に関わらず経済活動にとって重要な企業はすべてサイバーセキュリティ対策を実施しておくことが必要となる。

ところが大企業に比較すると中小企業はリソースが限られている。サイバーセキュリティ対策は規模の経済が働く面が大きく、大企業と同じレベルのセキュリティ対策を中小企業が実施しようとすると、経済的になりたたなくなる。

と言う背景もあり、日本のみならず、世界各国で中小企業のサイバーセキュリティ対策というのは重要な政策課題となっています。（少なくとも2003年に経産省でサイバーセキュリティ戦略の議論をしている時からそうでした）。また、個人情報保護法のガイドラインを策定する際にも安全管理措置の面でもその議論はでました。

サイバー以外も含めてですが、J-SOXの議論の時も中小企業（ベンチャー）のIT内部統制の評価についても議論がありました。

規模の経済という構造的な問題なので、対策としては、

・「中小企業がまとまって」対策をする

・「コストを変動費にできる」対策をする

ということしかないと考えています。

お助け隊サービスはどちかというと前者の対策。クラウドサービスの利用は前者かつ後者ともいえると思います。と考えていくと、中小企業はセキュリティ対策を起点としても、クラウドシフトを加速することになります。

結果的に国の産業のクラウド依存が高まっていくことを意味します。欧州、英国、オーストラリア、（最近ではカナダ）ではソブリンクラウドのための制度づくりをしていますよね。。。（米国クラウドベンダーを締め出すのではなく、ソブリンクラウドの要件を決め、それに従っているサービスであれば採用をする一方で、欧州のクラウドベンダーの育成もしていく）

政府、重要インフラ以外にも多くの事業者がクラウドベンダーに依存していくと、集中リスクというのはあり得ますね...

この辺りは少し先の課題かもしれません...

ということで、話を元に戻して、東京都産業労働局の中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 の紹介です。劇場風漫画形式となっています(^^)

●東京都 - 産業労働局 - 中小企業向けサイバーセキュリティ対策の極意ポータルサイト

・2025.12.23 [PDF] Ver.4.0

日本の中小企業セキュリティガイドのようなもの...

発行元	タイトル	発行/更新年	概要
NISC（内閣サイバーセキュリティセンター、政府機関）	小さな中小企業とNPO向け情報セキュリティハンドブック（インターネットの安全・安心ハンドブックに統合）	2023年（Ver.5.00）	小規模事業者向けに基本的なセキュリティ対策をハンドブック形式でまとめたもの。パスワード管理や脅威対策を中心に。
総務省（政府機関）	中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）（第3版）	2022年（第3版）	セキュリティ専任担当がいない中小企業等を対象に、テレワーク時の最低限のセキュリティ対策をチェックリスト形式で提供。テレワーク方式確認、脅威カテゴリ別の対策、緊急対応を含む。
IPA（独立行政法人情報処理推進機構）	中小企業の情報セキュリティ対策ガイドライン	2023年（第3.1版）	経営者向け指針と実践的な対策手法をステップバイステップで説明。付録にチェックリストを含む。
東京都産業労働局	中小企業向けサイバーセキュリティ対策の極意	2025年（Ver.3.0a）	漫画形式でわかりやすく、サイバー攻撃の現状と必須対策、事故対応を解説。Web版とPDF版あり。
愛知県	経済安全保障中小企業向け入門ガイド	2023年	経済安全保障の観点からサイバーセキュリティ対策を含む。従業員意識向上と体制整備を重点。
ITコンソーシアム京都（京都府関連、地方自治体支援）	セキュリティマニュアル	不明（最新版参照）	京都府内中小企業向けにサイバー相談件数推移と対策をまとめたマニュアル。相談窓口情報あり。

米国、欧州、英国、オーストラリア、カナダ等の主に中小企業向けのセキュリティガイドのようなもの...

国・地域	組織	発行元	タイトル	発行/ 更新年	概要
米国	連邦政府機関	CISA	Cyber Guidance for Small Businesses	2024年	小規模事業者向けの行動計画。CEO、セキュリティマネージャー、ITリーダーの役割ごとに分かれ、MFA導入やバックアップなどの対策を説明。実際の攻撃に基づく。
米国	連邦政府機関	CISA	Cyber Essentials	2023年	小規模事業者や地方自治体リーダー向けのガイド。アクショナブルな理解を促進し、サイバーハイジーンを強調。
米国	連邦政府機関	FTC	Cybersecurity for Small Business	継続（最新2025年）	サイバー攻撃から事業を守るツール。NIST CSF 2.0 Quick Start Guideを基に、ガバナンスとリスク管理を解説。
米国	連邦政府外郭	NIST	Small Business Cybersecurity Corner	継続（最新2025年）	寄稿者からのドキュメントとリソース集。小規模事業者のサイバーセキュリティニーズに対応。
米国	連邦政府機関	SBA	Strengthen your Cybersecurity	2024年	脅威の概要と保護方法。CISAのスキャニングサービスなどを紹介。
米国	連邦政府機関	FCC	Cybersecurity for Small Businesses	継続（最新2025年）	Small Biz Cyber Planner 2.0を提供。カスタマイズされたサイバーセキュリティ計画作成ツール。
米国	連邦政府機関	DoD Office of Small Business Programs	Cybersecurity Resources	継続（最新2025年）	意識向上とコンプライアンスのためのツールとトレーニングプラットフォーム。
米国	州政府機関	California Attorney General	Guide for Small Businesses to Protect Against Cyber Attacks	2014年	従業員と顧客のリスク低減のための具体的な推奨事項。
米国	州政府機関	New York Attorney General	Small Business Guide to Cybersecurity in New York State	不明（最新2023年）	NY州中小企業向けのデータセキュリティガイド。
米国	州政府機関	New York Attorney General	Data Security Guide	2023年	効果的なデータセキュリティ対策の採用を支援。
米国	州政府機関	Texas State Securities Board	Are You Secure?	継続（最新2025年）	サイバーリスクの特定と手順の確立のための計画ガイド。
欧州	連合機関	ENISA	Cybersecurity Guide for SMEs - 12 Steps to Securing Your Business	2021年	COVID-19後のデジタル移行を考慮した12のハイレベルステップ。システムと事業のセキュリティ向上。
欧州	連合機関	ENISA	Cybersecurity for SMEs - Challenges and Recommendations	2021年	SMEの課題と推奨事項。加盟国がSMEを支援するための提案を含む。
欧州	連合外郭	European DIGITAL SME Alliance	Guide to ISO/IEC 27001 for SMEs	継続（最新2025年）	ISO 27001の実装のためのハンディガイド。
ドイツ	連邦政府機関	BSI	Small and Medium-Sized Enterprises Guidance	継続（最新2025年）	サイバーセキュリティの基本要素と短い動画。情報セキュリティのキーアスペクトをカバー。
フランス	政府機関	ANSSI	Digital Security Best Practices for Business Travellers	2019年	出張中のデジタルセキュリティベストプラクティス。
フランス	政府機関	ANSSI	Controlling the Digital Risk	不明（最新2025年）	組織のデジタルリスク管理ガイド。
イタリア	政府機関	ACN	Practical Guides for SMEs on Cyber Risks	2025年	SME向けの実用的ガイド。サイバーリスクの特定と管理。
イタリア	政府機関	Cyber 4.0	Vademecum on Cybersecurity for SMEs	継続（最新2025年）	ENISAの12ステップを基にしたSME向けガイド。
スペイン	政府機関	INCIBE	Spanish National Guidelines for Reporting and Managing Cyber Incidents	2020年	サイバーインシデントの報告と管理のためのガイドライン。
スペイン	政府機関	INCIBE	Cybersecurity for SMEs and Freelancers	2023年	デジタル世界での事業保護。セクター別のアドバイスを含む。
英国	政府機関	NCSC	Small Business Guide: Cyber Security	継続（最新2025年）	5つの簡単ステップ（バックアップ、マルウェア対策、モバイルセキュリティ、パスワード、フィッシング）。時間とお金を節約。
英国	政府機関	NCSC	Cyber Security: Small Business Guide (PDF Version)	継続（最新2025年）	一般的な攻撃からの保護のための低コストでシンプルなテクニックのまとめ。
英国	政府機関	GOV.UK	Cyber Security Guidance for Business	継続（最新2025年）	オンラインセキュリティ向上のためのガイダンス。無料の30分セッションを含む。
英国	地方	NI Cybersecurity Centre	Basic Steps to Cyber Security – Small Organisation Guide	継続（最新2025年）	5つの簡単ステップでセキュリティ向上。評判保護に焦点。
英国	市政府	Bury Council	Cyber Security Guide For Small Businesses	継続（最新2025年）	攻撃の兆候、保護方法、無料リソースのリンク。
英国	市政府	Wandsworth Council	Cyber Security: Small Business Guide	継続（最新2025年）	バックアップ、パスワードポリシー、アクセス制御の決定。
英国	地方関係	Northwest Cyber Resilience Centre	Cyber Security Guide for Small Businesses	継続（最新2025年）	北西地域の小規模事業者向け。基本、ランサムウェアなどカバー。
豪州	政府機関	ACSC	Small Business Cyber Security Guide	2023年（最新2025年）	基本的なセキュリティ対策を説明。サイバー脅威からの保護に焦点を当て、チェックリストを含む。
豪州	政府機関	ACSC	Small Business Cloud Security Guides	2022年（最新2025年）	Essential Eightをクラウド環境に適用したガイド。Microsoft 365、Google Workspaceなどの具体例。
豪州	政府機関	Business.gov.au	Cyber Security and Your Business	継続（最新2025年）	サイバー脅威の種類と被害対応。ACSCのリソースを統合した一般ガイド。
豪州	州自治体	NSW Government	7 Steps to Cybersecurity for Small Businesses	継続（最新2025年）	小規模事業者向けの7ステップガイド。脅威認識から回復計画まで。
豪州	州自治体	NSW Small Business Commissioner	Cyber Security Awareness	継続（最新2025年）	マルウェア対策とバックアップの基本。ACSCガイドを補完。
豪州	州自治体	Business Victoria	Manage Cybersecurity in Your Business	2025年	サイバー犯罪の理解と保護方法。報告手順を含む。
豪州	州自治体	Business Victoria	The Essential Small Business Guide to Cybersecurity	2021年	一般的な脅威と安全策。ACSCに基づく。
豪州	州自治体	Business Queensland	Keeping Your Business Cyber Secure	2025年	Cyber Wardensプログラムを含む対策。脅威防止の短いコース。
豪州	州自治体	Business Queensland	Cyber Security Self-Help Toolkit for Mentors	2021年	メンター向けツールキット。事業者のリスク管理支援。
豪州	州自治体	Small Business Development Corporation	Cyber Security	継続（最新2025年）	情報保護の簡単で効果的な方法。サイバー犯罪者からの防御。
豪州	州自治体	Small Business Development Corporation	Six Cyber Security Habits to Protect Your Business	継続（最新2025年）	悪い習慣の修正と6つの積極的ステップ。
カナダ	政府機関	CCCS	Baseline Cyber Security Controls for Small and Medium Organizations	2020年	低コストの13セキュリティコントロール。リスク低減と対応力向上。
カナダ	政府機関	CCCS	Cyber Security for Small Business	2020年	基本コントロールの実装支援。サイバー敵対者からの保護。
カナダ	政府機関	Get Cyber Safe	Get Cyber Safe Guide for Small and Medium Businesses	2022年	リスク理解と対策ステップ。中小企業オーナー向け。
カナダ	政府機関	Get Cyber Safe	Get Cyber Safe Guide for Small Businesses	2024年	脅威軽減のためのステップ。デバイス、ネットワーク、データ保護。
カナダ	政府機関	Get Cyber Safe	Quick Guide to Cyber Security for Small Business	2024年	6つの簡単ステップ：在庫管理から従業員トレーニングまで。
カナダ	政府機関	CyberSecure Canada	CyberSecure Canada	継続（最新2025年）	ベストプラクティスを使用したプログラム。SMEのセキュリティ強化。
カナダ	省自治体	Ontario Government	Cyber Security	2021年	サイバーセキュリティの基本と役割。
カナダ	省自治体	Alberta Government	Government of Alberta Cybersecurity Strategy 2024	2024年	脅威情報とリソース提供。SMEを含むデジタル資産保護。
カナダ	省自治体	British Columbia Government	CyberBC	2025年	公共セクターのセキュリティ向上。SME支援のためのコラボレーション。

2026.01.09 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in クラウド, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.08

英国政府サイバー行動計画 (2026.01.06)

こんにちは、丸山満彦です。

英国は2022年にサイバーセキュリティ戦略を制定しておりますが、政府サイバー行動計画が発表されていますので、紹介。

4つの戦略目標...

サイバーセキュリティとレジリエンスリスクの可視性向上	政府全体のデータソースを活用し、真に政府全体および各省庁のサイバーリスクを理解するため、重要な要素を測定する。可視性の向上は行動の基盤となり、最大の影響を与えられる分野の優先順位付けを支援する。
深刻かつ複雑なリスクへの対応	政府全体にわたる深刻かつ複雑なリスクを特定・評価し、各省庁が単独で対処できない分野については、中央のレバレッジと能力向上への投資を通じて是正を図る。
急速に変化する事象への対応力向上	急速に進化するサイバー・デジタルレジリエンス上の脅威、脆弱性、インシデントに対し、より効果的に対応する能力を統合・強化する。準備態勢の強化により復旧時間が短縮され、被害が軽減される。
政府全体のサイバーレジリエンスの急速な向上	各省庁及び公共団体は、高品質な中央サービスと支援を通じてレジリエンス能力を変革する。レガシー技術など最も重大な脆弱性の是正に注力し、システム全体での知識共有と継続的改善を運用化する。

中央集権的なサイバー対応をしようということのようです。

中心機関の政府サイバーユニットは、戦略設定、予算管理、進捗監視、評価・報告を担い、国全体のサイバーリスク低減に向けて各省庁や機関と協働するということですね。日本のNCOと比較すると権限が強い感じです。

2004年に当時のNISCを作る際の議論ですが、やはり日本の内閣制度では司令塔はつくれても、政府全体を統括する実行部隊はつくれないということでしたね...もし、英国的な内閣制度にするのであれば、法改正が必要となりますが、思想的な変換を要するので時間がかかるでしょうね...

また、NCOになるときに、安全保障との関係を強め、有事においての司令塔機能が明確化されたわけですが、平時においては調整機能中心ということは変わらないですね...

ただ、今回の英国の政府サイバー行動計画から学ぶべきことは多くあるようにも思います。今後の日本政府のサイバーセキュリティ行動計画を立案する際には、参考にすると良いかもですね...

第３章から第７章の概要...

	概要	目的
第3章：説明責任	政府のあらゆるレベルにおけるサイバーリスクは、積極的に所有され効果的に管理されなければならない。責任者は効果的な管理について説明責任を負う。本項目では、責任と説明責任のメカニズムを明確にし、その履行を確保する。	・サイバーリスクの可視性向上：説明責任メカニズムと報告を通じて政府全体のサイバーリスクの可視性を高める
		・深刻かつ複雑なリスクへの対応：各部門や組織が合理的に管理できないリスクについて、中央集権的な説明責任を確立する
第4章：サポート	政府組織は、サイバーセキュリティとレジリエンスの責任を果たすために必要な能力・スキル・キャパシティを保有していない。本セクションでは、このギャップを埋めるための支援の提供方法・優先順位・アクセス方法を定める。	・英国政府のサイバーセキュリティとレジリエンスの強化：共通支援により政府・公共部門組織が要件をより迅速かつ容易に実施可能とする
		・深刻かつ複雑なリスク管理の改善：政府組織が最も重大な政府横断的リスクに対処するための的を絞ったサポート
第5章：サービス	政府組織はサイバーセキュリティとレジリエンスの課題に直面しているが、これを大規模に対処できるサービスはほとんど存在せず、存在するサービスも十分に理解・活用されていない。本章では、この課題に対処するため、大規模なサイバーサービスをどのように開発・提供・利用するかについて概説する。	・政府全体のリスク可視性の向上：政府レベルでのリスク可視性を大規模に変革できる新たな中央サービスの開発を優先する。
		・英国政府のサイバーセキュリティ及びデジタルレジリエンスの強化：中央サービス調整の確立により、中央サービス提供とアクセスを一元化する。
		・急速に展開する事象への対応力向上：脅威を検知し脆弱性を管理する能力を大規模に強化する。
第6章：対応と復旧	政府はリスクを積極的に低減するだけでなく、インシデント発生時に迅速かつ効果的に管理できる必要がある。本項目では、あらゆるレベルにおけるサイバーセキュリティ及びレジリエンス関連のインシデント対応責任を明確化し、影響を最小限に抑えるための共同対応を可能とする。	・急速に展開する事象への対応力向上：責任範囲の明確化と全レベルでの能力強化を通じ、政府及び公共部門が重大インシデントへの対応と復旧を改善する。
		・政府全体のリスク可視性の向上：大規模なインシデント及び脆弱性データを活用し、システム的リスクの理解を深め、防御を強化し、レジリエンス成果を向上させる。
第7章：スキル	政府全体におけるサイバーセキュリティ及びレジリエンスに関する理解とスキルの需要は、利用可能な人材の供給を上回る速度で増加している。リーダー、専門職、一般職員の多くがサイバーリスクと事業影響の理解を欠いている。本章では、政府サイバー専門職の確立を概説する。これは政府サイバー専門家の誘致、スキル向上、定着、支援を目的とする。	・英国政府のサイバー・デジタルレジリエンス強化：サイバー・デジタルレジリエンス人材の誘致、スキル向上、定着、支援を通じ、公共部門を専門家にとって魅力的な雇用主とする
		・深刻かつ複雑なリスクマネジメントの改善：認識・理解・活動の向上と適切な資金確保により、政府のリスクマネジメント手法を変革する

● GOV.UK

・2026.01.06 New cyber action plan to tackle threats and strengthen public services

・2026.01.06 Government Cyber Action Plan

・[HTML] Government Cyber Action Plan

・[PDF]

目次...

Foreword	まえがき
Ministerial Foreword	大臣まえがき
Chapter 1: Introduction	第1章：はじめに
Introduction	はじめに
Chapter 2: Approach	第2章：アプローチ
Scope	範囲
Objectives	目的
Delivery strands	実施の柱
Delivery phases	実施段階
Cultural change	文化変革
Chapter 3: Accountability	第3章：説明責任
Accountability overview	説明責任概要
Cyber risk	サイバーリスク
Government-wide cyber risk	政府全体のサイバーリスク
Organisational cyber risk	組織のサイバーリスク
Lead government department model	主導政府部門モデル
Priority next steps	優先する次のステップ
Chapter 4: Support	第4章：サポート
Support overview	サポート概要
Support offer	サポート提供
Support access	サポートアクセス
Priority next steps	優先する次のステップ
Chapter 5: Services	第5章：サービス
Services overview	サービス概要
Service coordination	サービス調整
Service access	サービスアクセス
Service development	サービス開発
Priority next steps	優先する次のステップ
Chapter 6: Response and Recovery	第6章：対応と復旧
Response and recovery overview	対応と復旧概要
Prepare	準備
Detect	検知
Respond and recover	対応と復旧
Learn and improve	学習と改善
Priority next steps	優先する次のステップ
Chapter 7: Skills	第7章：スキル
Skills overview	スキル概要
Profession	専門職
Attract and upskill	人材確保とスキル向上
Retain and support	人材維持と支援
Leadership and workforce	リーダーシップと労働力
Priority next steps	優先する次のステップ
Chapter 8: The Government Cyber Unit	第8章：政府サイバーユニット
Central functions	中核機能
Function interactions	機能間の連携
Chapter 9: Implementation	第9章：実施
Implementation targets	実施目標
Implementation phases	実施段階
Phase 1 – Building (by March 2027)	第1段階 – 構築（2027年3月まで）
Phase 2 – Scaling (April 2027–2029)	第2段階 – 拡大（2027年4月～2029年）
Phase 3 – Improving (April 2029 and beyond)	第3段階 – 改善（2029年4月以降）
Glossary	用語集
Glossary	用語集

大臣まえがきから２章まで...

Chapter 1: Introduction	第1章：序論
The Prime Minister has been clear that the government exists to unite the country behind a shared purpose: to protect citizens, back public services, and secure opportunities for every family. In that spirit, this document sets out the practical, measurable steps we will take to rapidly improve the cyber security and resilience of the government and the public sector, to keep the British people safe and confident in digital government.	首相は政府の存在意義を明確に示している。国民を防御し、公共サービスを支援し、全ての家庭に機会を保障するという共通の目的のもとに国を結束させるためである。この精神に基づき、本報告書は政府及び公共部門のサイバーセキュリティとレジリエンスを迅速に強化し、英国国民がデジタル政府を安全かつ確信を持って利用できるよう、実践的かつ測定可能な措置を提示する。
The digitisation of public services offers huge advantages to the UK: we can deliver services that are more efficient, convenient and better value for money for taxpayers. However, realising these benefits relies on securing public services so that they are trustworthy and resilient. Without achieving this, increasing digitisation exposes us to increasing levels of cyber and digital resilience risk.	公共サービスのデジタル化は英国に多大な利点をもたらす：より効率的で利便性が高く、納税者にとって費用対効果に優れたサービスを提供できる。しかし、これらの利点を実現するには、公共サービスを信頼性とレジリエンスのある状態に保つことが不可欠である。これを達成できなければ、デジタル化の進展はサイバーリスクとデジタルレジリエンスリスクの増大を招く。
The Government Cyber Action Plan defines how we will secure public services so they are trustworthy and resilient, as part of the broader Roadmap for a Modern Digital Government.	政府サイバー行動計画は、より広範な「現代的デジタル政府ロードマップ」の一環として、公共サービスを信頼性とレジリエンスのある状態に保つ方法を定義している。
The scale of the challenge	課題の規模
As the National Security Strategy 2025 sets out, protecting the UK and promoting British interests is becoming more difficult. We are increasingly targeted by state threats and organised crime groups who seek to exploit our vulnerabilities. The UK has experienced repeated, systemic failures in our digital resilience and we know from experience that they pose unacceptable costs to UK citizens, from compromised personal data, to loss of access to basic public services.	国家安全保障戦略2025が示す通り、英国を防御し英国の利益を促進することはますます困難になっている。我々は国家レベルの脅威や組織犯罪集団から標的とされる機会が増加しており、彼らは我々の脆弱性を悪用しようとする。英国はデジタルレジリエンスにおいて繰り返される体系的な失敗を経験しており、個人データの侵害から基本的な公共サービスへのアクセス喪失に至るまで、それらが英国市民に許容できないコストをもたらすことを経験から知っている。
When digital systems fail, whether through a malicious cyber attack or a non-malicious outage, the impacts are immediate and profound. The cyber attack on Synnovis, which halted blood testing and forced the cancellation of surgeries across London, demonstrated how quickly a digital disruption can escalate into a major healthcare emergency. Similarly, ransomware incidents affecting local councils have incapacitated social care systems, leaving frontline workers unable to access vital information to protect vulnerable individuals. These failures are not hypothetical risks, they are recurring realities that result in service breakdown, harm to the public and erosion of trust in these services by the communities who rely on them.	デジタルシステムが機能不全に陥ると、悪意あるサイバー攻撃であれ非悪意の障害であれ、その影響は即時的かつ深刻だ。ロンドン全域で血液検査を停止させ手術の中止を余儀なくしたSynnovisへのサイバー攻撃は、デジタル障害がいかに急速に重大な医療危機へと発展しうるかを示した。同様に、地方自治体を狙ったランサムウェアインシデントは社会福祉システムを機能停止に陥らせ、最前線の職員が脆弱な個人を防御するための重要情報にアクセスできなくした。こうした失敗は仮定上のリスクではなく、サービスの崩壊、市民への危害、そしてそれらに依存する地域社会によるサービスへの信頼の喪失をもたらす繰り返される現実だ。
Since launching the Government Cyber Security Strategy (GCSS) in 2022, we have taken important steps to understand complex government systems and reduce cyber risk.^{[footnote 1]} We established the Government Cyber Coordination Centre (GC3) to enable a single, whole of government response to incidents, threats and vulnerabilities. Our Secure by Design approach builds resilience into implementing future government digital services.^{[footnote 2]} Our new assurance framework, GovAssure, has, for the first time, given us an objective picture of resilience levels across government systems.^{[footnote 3]} These initiatives have delivered real improvements and given us the tools to understand the scale of the challenge we face.	2022年に政府サイバーセキュリティ戦略（GCSS）を開始して以来、我々は複雑な政府システムを理解しサイバーリスクを低減するための重要な措置を講じてきた。[footnote 1] 政府サイバー調整センター（GC3）を設立し、インシデント・サイバー脅威・脆弱性への政府全体の統一対応を可能にした。我々の「セキュア・バイ・デザイン」アプローチは、将来の政府デジタルサービス実装にレジリエンスを組み込むものである。[footnote 2] 新たな保証枠組み「GovAssure」は、政府システム全体のレジリエンスレベルを客観的に把握する初の手段となった。[footnote 3] これらの取り組みは実質的な改善をもたらし、我々が直面する課題の規模を理解するツールを提供した。
That challenge is significant, and cyber risk to the public sector is currently critically high. The State of Digital Government Review in January 2025 identified the systemic challenges underpinning our current resilience status as:	その課題は重大であり、公共部門に対するサイバーリスクは現在極めて高い水準にある。2025年1月の「デジタル政府の現状レビュー」は、現在のレジリエンス状況の根底にある体系的な課題を以下のように特定した：
・institutionalised fragmentation	・制度化された分断
・persistent legacy, cyber security and resilience risk	・持続的なレガシー、サイバーセキュリティ、レジリエンスリスク
・siloed data	・サイロ化されたデータ
・under-digitisation	・デジタル化の遅れ
・inconsistent leadership	・一貫性のないリーダーシップ
・a digital skills shortfall	・デジタルスキルの不足
・diffuse buying power	・分散した購買力
・outdated funding models	・時代遅れの資金調達モデル
GovAssure’s first year results found significant gaps in departments’ cyber security and resilience, including widespread low maturity in fundamental controls such as asset management, protective monitoring, and response planning. Nearly a third (28%) of the government technology estate is estimated to be legacy technology, and therefore highly vulnerable to attack.	GovAssureの初年度調査結果は、各省庁のサイバーセキュリティとレジリエンスに重大な欠陥があることを明らかにした。資産管理、保護監視、対応計画といった基本統制の成熟度が全体的に低い状態が広範に見られた。政府のテクノロジー資産のほぼ3分の1（28%）がレガシー技術と推定され、攻撃に対して極めて脆弱な脆弱性がある。
In addition, the UK Government’s ability to defend against threats is not keeping pace with an ever evolving threat environment. The National Audit Office has highlighted the challenge of defending our digital estate from sophisticated cyber threats by nation states and organised crime groups, and the National Cyber Security Centre’s (NCSC) Annual Review 2025 sets out the evolution of the threat environment and the continued targeting of the public sector by both state and criminal actors.^{[footnote 5]} Malicious cyber attacks and non-malicious digital resilience failures alike continue to disrupt government as demonstrated by the 2023 British Library ransomware attack and 2024 CrowdStrike outage respectively.	さらに、英国政府の脅威防御能力は、絶えず進化する脅威環境に対応しきれていない。国家監査局は、国家や組織犯罪グループによる高度なサイバー脅威からデジタル資産を防御する難しさを指摘している。また、国家サイバーセキュリティセンター（NCSC）の2025年度年次レビューは、脅威環境の進化と、国家・犯罪者双方が公共部門を標的とし続けている実態を明らかにしている。[脚注5] 悪意あるサイバー攻撃と非悪意のデジタルレジリエンス障害の両方が政府機能を混乱させ続けている。2023年の大英図書館ランサムウェア攻撃と2024年のCrowdStrikeサービス停止がそれぞれその実例だ。
A radical shift	抜本的な転換
Given this context, we now recognise that the target set out in the GCSS for all government organisations to be resilient to known vulnerabilities and attack methods is not achievable by the original target date of 2030.	こうした状況を踏まえ、我々は今、GCSSで定められた「全ての政府組織が既知の脆弱性や攻撃手法に耐性を持つ」という目標が、当初の目標年である2030年までに達成不可能であることを認識している。
To protect our critical national infrastructure, defend public institutions and maintain public confidence in essential public services, we must achieve a radical shift in approach and a step change in pace.	重要国家インフラを防御し、公共機構を守り、必須公共サービスへの国民の信頼を維持するためには、アプローチの根本的転換とペースの飛躍的加速が不可欠である。
We’ve learned from international and industry partners that a strong, centralised approach, with clear direction and active leadership can make a huge national impact. We have worked with departments and NCSC to define and pilot what this will look like for the UK public sector.	国際的・産業的パートナーから学んだ教訓として、明確な方向性と積極的なリーダーシップを備えた強力で中央集権的なアプローチは、国家レベルで多大な効果をもたらし得る。我々は各省庁及びNCSCと連携し、英国公共部門におけるその具体像を定義し、試験運用を進めてきた。
The Government Cyber Action Plan sets out a new way forward. It was developed by the Department for Science, Innovation and Technology (DSIT), in close consultation with departments, public sector organisations, industry partners and the Government Cyber Advisory Board (GCAB).	政府サイバー行動計画は新たな道筋を示す。科学技術革新省（DSIT）が各省庁、公共機関、産業界パートナー、政府サイバー諮問委員会（GCAB）と緊密に協議して策定したものである。
It builds on the outcomes and approach of the GCSS by setting clear expectations of how government organisations of all kinds should manage cyber security and resilience through more measurable objectives and outcomes. These are set out at a high level in the ‘Who is responsible for what’ section at the beginning of each chapter.	本計画は、GCSSの成果と手法を基盤としつつ、あらゆる政府組織がサイバーセキュリティとレジリエンスを管理すべき方法について、より測定可能な目標と成果を通じて明確な期待値を設定している。これらは各章冒頭の「責任の所在」セクションで概要が示されている。
Chapter 2: Approach	第2章：アプローチ
Scope	範囲
The Government Cyber Action Plan sets out how the whole of government will operate differently to manage the cyber security and resilience threat we face, enabled by a strong, active centre in the Government Cyber Unit.	政府サイバー行動計画は、政府全体が直面するサイバーセキュリティとレジリエンスの脅威に対処するため、政府サイバーユニットという強力で積極的な中核組織によって、政府全体の運営をどのように変革するかを定めている。
Central functions	中核機能
Department for Science Innovation and Technology (DSIT): the government department responsible for driving forward a modern digital government for the benefit of its citizens. The DSIT Permanent Secretary owns cross-government technology risk, including cyber risk. DSIT supports the DSIT Permanent Secretary in managing this risk.	科学技術革新省（DSIT）：市民の利益のために現代的なデジタル政府を推進する責任を負う政府部門である。DSIT事務次官は、サイバーリスクを含む政府横断的な技術リスクを統括する。DSITは事務次官のリスクマネジメントを支援する。
The Government Cyber Unit: the central unit within DSIT responsible for driving cyber security and resilience transformation across government and the public sector. The Government Cyber Unit is led by the Government Chief Information Security Officer (CISO), and will be the strong, active, centre that drives this action plan through clear direction, stronger accountability, and targeted support to departments. The Government Cyber Unit will manage government-wide cyber risk on behalf of the DSIT Permanent Secretary.	政府サイバーユニット：DSIT内の中核組織であり、政府及び公共部門全体におけるサイバーセキュリティとレジリエンスの変革を推進する責任を負う。政府サイバーユニットは政府最高情報セキュリティ責任者（CISO）が統括し、明確な指示、強化された説明責任、各省庁への的を絞った支援を通じて本行動計画を推進する強力かつ積極的な中核となる。政府サイバーユニットは、DSIT事務次官に代わって政府全体のサイバーリスクを管理する。
Government Cyber Coordination Centre (GC3): part of the Government Cyber Unit, and jointly sponsored with the National Cyber Security Centre. It coordinates the cross‐government response to cyber threats, vulnerabilities and incidents. Its role is primarily operational, and enables cyber teams across government to defend as one.	政府サイバー調整センター（GC3）：政府サイバーユニットの一部であり、国家サイバーセキュリティセンターと共同で運営される。政府全体のサイバー脅威、脆弱性、インシデントへの対応を調整する。その役割は主に運用面であり、政府全体のサイバーチームが一体となって防御することを可能にする。
Government Security Group (GSG): part of the Cabinet Office responsible for the oversight, coordination and delivery of protective security across government. The Government Cyber Unit will work closely with GSG to ensure a coherent approach.	政府保安グループ（GSG）：内閣府の一部であり、政府全体の防御保安に関する監督、調整、実施を担当する。政府サイバーユニットはGSGと緊密に連携し、一貫したアプローチを確保する。
National Cyber Security Centre (NCSC): the UK’s National Technical Authority (NTA) for cyber security. NCSC is the authoritative voice on technical cyber security and threat assessment, providing expert advice and guidance. It coordinates the majority of nationally significant cyber incidents and supports the defence of the UK’s most critical systems. NCSC will work alongside the Government Cyber Unit, providing specialist expertise and guidance to support government-wide cyber security and resilience.	国家サイバーセキュリティセンター（NCSC）：英国のサイバーセキュリティに関する国家技術機関（NTA）である。NCSCは技術的サイバーセキュリティと脅威評価における権威ある機関として、専門的な助言と指針を提供する。国家的に重大なサイバーインシデントの大半を調整し、英国最重要システムの防御を支援する。NCSCは政府サイバーユニットと連携し、政府全体のサイバーセキュリティとレジリエンスを支える専門的知見と指針を提供する。
The UK’s other NTAs, the National Protective Security Authority (NPSA) for physical and personnel security and the UK National Authority for Counter-Eavesdropping (UK NACE) for technical security, may also contribute to government cyber security and resilience. Where they do, it is broadly expected that they would follow the model outlined for NCSC, and it will be explicitly called out where this is not the case.	英国のその他のNTAである、物理的・職員のセキュリティを担当する国家保護保安庁（NPSA）および技術的セキュリティを担当する英国国家盗聴対策庁（UK NACE）も、政府のサイバーセキュリティとレジリエンスに貢献する可能性がある。貢献する場合、これらは概ねNCSC向けに示されたモデルに従うことが期待され、そうでない場合は明示的に指摘される。
Departments: organisations accountable to UK Ministers responsible for putting government policy into practice, which may be ministerial or non-ministerial. Departments remain accountable for their own cyber security and resilience.^{[footnote 5]} Most departments also have ‘lead government department’ responsibility for other organisations, sectors, or systems. Wherever this is the case, they are accountable for the cyber security and resilience of those too. Departments must also contribute to government-wide cyber security and resilience.	省庁：政府政策の実行を担う英国の大臣に対して説明責任を負う組織であり、省庁系・非省庁系を問わない。各省庁は自らのサイバーセキュリティとレジリエンスについて説明責任を負い続ける[脚注5]。大半の省庁は、他の組織・分野・システムに対する「政府主導省庁」としての責任も有する。この責任を負う場合、部門はそれらの組織・部門・システムのサイバーセキュリティとレジリエンスについても責任を負う。部門は政府全体のサイバーセキュリティとレジリエンスにも貢献しなければならない。
The Government Cyber Unit will work directly with departments to ensure they are able to meet all of these responsibilities. This will include clarifying how these responsibilities should be met in practice, as well as offering support and services, in collaboration with NCSC and other partners.	政府サイバーユニットは各省庁と直接連携し、これら全ての責任を果たせるよう支援する。具体的には、NCSCや他機関と連携し、責任の実践的履行方法の明確化や支援・サービスの提供を行う。
Arm’s-length bodies (ALBs): a category of public bodies that are a critical delivery arm of the government, providing public services and goods across the United Kingdom. ALBs are closely aligned, but distinct from, the ministerial departments which sponsor them, their ‘lead government department’ (LGD). This includes executive agencies, non-departmental bodies, and non-ministerial departments, which will be collectively referred to as ‘ALBs’.	独立行政機関（ALB）：政府の中核的実施機関として、英国全域で公共サービスや財を提供する公的団体のカテゴリーである。ALBは、スポンサーとなる政府機関（主担当政府機関：LGD）と密接に連携するが、それとは別個の組織である。これには執行機関、非政府機関、非政府部門が含まれ、総称して「ALB」と呼ぶ。
ALBs are accountable for their own cyber security and resilience to their LGDs via pre-existing sponsorship mechanisms. The Government Cyber Unit will generally work through sponsor departments to ensure that ALBs are able to meet their cyber security and resilience responsibilities, but where it makes sense to do so The Government Cyber Unit may work directly with ALBs in alignment with LGD activity.	ALBは既存の後援メカニズムを通じて、自らのサイバーセキュリティとレジリエンスについてLGDに対して説明責任を負う。政府サイバーユニットは通常、後援省庁を通じてALBがサイバーセキュリティとレジリエンスの責任を果たせるよう支援するが、必要に応じてLGDの活動と連携しつつALBと直接連携する場合もある。
Wider public sector organisations: organisations publicly funded to deliver services, usually at a local or regional level, for example NHS trusts or local authorities.	広義の公共部門組織：公的資金で運営され、通常は地方・地域レベルでサービスを提供する組織。例：NHSトラストや地方自治体。
Wider public sector organisations are accountable for their own cyber security and resilience to the LGDs for their sector via pre-existing sponsorship mechanisms, for example the Department of Health and Social Care is the LGDs for the health and care sector.	広義の公共部門組織は、既存のスポンサーシップ機構を通じて、各セクターのLGDに対し自らのサイバーセキュリティとレジリエンスについて説明責任を負う。例：保健・社会ケア省は保健・ケアセクターのLGDである。
LGDs are accountable for sector-wide cyber security and resilience. The Government Cyber Unit will work with LGDs to ensure sector-wide cyber security and resilience is appropriately managed, and where it makes sense to do so, may work directly with wider public sector organisations in alignment with LGD activity.	LGDはセクター全体のサイバーセキュリティとレジリエンスについて説明責任を負う。政府サイバーユニットはLGDと連携し、セクター全体のサイバーセキュリティとレジリエンスが適切に管理されるよう確保する。また、合理的と判断される場合には、LGDの活動と整合させつつ広範な公共セクター組織と直接連携する場合がある。
Departments, ALBs, and wider public sector organisations will be referred to collectively throughout this document as ‘government organisations’.	本文書では、省庁、ALB、広範な公共セクター組織を総称して「政府組織」と呼称する。
Devolved governments: While cyber security - within the wider remit of national security - is a reserved matter, within Scotland, Wales and Northern Ireland, certain devolved public services are the responsibility of the respective governments.	地方分権政府：サイバーセキュリティは国家安全保障の広範な権限内において留保事項であるが、スコットランド、ウェールズ、北アイルランドにおいては、特定の地方分権化された公共サービスは各政府の責任である。
Devolved governments will seek to ensure that the providers of public services for which they have oversight are resilient to cyber risks and will collaborate with UK Government on UK-wide cyber security and resilience issues.	地方分権政府は、自らの監督下にある公共サービスプロバイダがサイバーリスクに対して強靭であることを確保するよう努め、英国全体のサイバーセキュリティ及びレジリエンス問題について英国政府と協力する。
The UK Government recommends that devolved governments support and align with the ambitions of the Government Cyber Action Plan. Devolved governments will consider this where it does not affect their ability to exercise devolved powers and functions as they see fit. UK Government will continue to lead on national security and collective issues which are reserved, collaborating with devolved governments.	英国政府は、地方分権政府に対し、政府サイバー行動計画の目標を支援し整合させることを推奨する。地方分権政府は、自らの裁量で分権化された権限と機能を行使する能力に影響を与えない範囲でこれを検討する。英国政府は、留保された国家安全保障及び集団的問題について主導を継続し、地方分権政府と協力する。
UK Government and devolved governments will proactively collaborate and share relevant information (as permitted by law) in order to effectively manage the UK’s cyber security.	英国政府と地方分権政府は、英国のサイバーセキュリティを効果的に管理するため、積極的に連携し、関連情報を（法律で認められる範囲で）共有する。
Strategic suppliers: designated as government’s ‘strategic suppliers’ due to the scale and/or criticality of the services they provide to the government. The government takes a joined-up approach to strategic suppliers in order to act as a single customer and ensure a single and strategic view of the government’s needs is communicated. The Government Cyber Unit will establish formal ‘strategic partnerships’ with strategic suppliers with cyber security and resilience requirements built into them, enabling the Government Cyber Unit to hold strategic suppliers to account for management of the government-wide cyber risk they hold.	戦略的サプライヤー：政府に提供するサービスの規模や重要性から、政府の「戦略的サプライヤー」に指定されている。政府は戦略的サプライヤーに対し、単一の顧客として行動し、政府のニーズを単一かつ戦略的な視点で伝達するため、連携したアプローチを取る。政府サイバーユニットは、サイバーセキュリティとレジリエンシー要件を組み込んだ正式な「戦略的パートナーシップ」を戦略的サプライヤーと確立し、政府全体のサイバーリスクマネジメントについて戦略的サプライヤーに説明責任を求めることを可能とする。
All suppliers: every supplier that delivers for government holds some cyber risk. Government organisations are responsible for managing the cyber risk posed by suppliers they use. This document will set out clear expectations for how suppliers should interact with their government customers around cyber security and resilience.	全てのサプライヤー：政府向けにサービスを提供する全てのサプライヤーは、何らかのサイバーリスクを抱えている。政府機関は、自らが利用するサプライヤーがもたらすサイバーリスクを管理する責任を負う。本文書は、サプライヤーが政府顧客とサイバーセキュリティ及びレジリエンスに関してどのように連携すべきかについて、明確な期待を示すものである。
Objectives	目的
The ultimate goal of the Government Cyber Action Plan is to achieve the aim set out within the Digital and AI Roadmap of ‘securing public services so they are trustworthy and resilient’. In order to achieve this within the current challenging threat and resilience context, we have identified 4 strategic objectives.	政府サイバー行動計画の究極の目標は、デジタル・AIロードマップに掲げられた「公共サービスを信頼性とレジリエンスを備えたものとする」という目的を達成することである。現在の厳しい脅威とレジリエンスの環境下でこれを達成するため、我々は4つの戦略的目標を識別した。
These objectives will guide our action and help us to prioritise where we can have the greatest systemic impact on the current unacceptable level of cyber security and resilience risk faced by government.	これらの目標は我々の行動を導き、政府が直面する現在の容認できないレベルのサイバーセキュリティとレジリエンスリスクに対して、最大の体系的影響を与えられる分野を優先する助けとなる。
Better visibility of cyber security and resilience risk	サイバーセキュリティとレジリエンスリスクの可視性向上
We will measure what matters, using data sources from across the government to truly understand government-wide and departmental cyber risks. Better visibility will underpin action and help us to prioritise where we can have the greatest impact.	政府全体のデータソースを活用し、真に政府全体および各省庁のサイバーリスクを理解するため、重要な要素を測定する。可視性の向上は行動の基盤となり、最大の影響を与えられる分野の優先順位付けを支援する。
Addressing severe and complex risks	深刻かつ複雑なリスクへの対応
We will identify and assess severe and complex risks across government, and invest in central levers and capability improvements to remediate where these cannot be addressed by departments acting individually.	政府全体にわたる深刻かつ複雑なリスクを特定・評価し、各省庁が単独で対処できない分野については、中央のレバレッジと能力向上への投資を通じて是正を図る。
Improving responsiveness to fast moving events	急速に変化する事象への対応力向上
We will integrate and enhance our capability to respond more effectively to rapidly evolving cyber and digital resilience threats, vulnerabilities, and incidents. Better preparedness will improve recovery times and reduce harm.	急速に進化するサイバー・デジタルレジリエンス上の脅威、脆弱性、インシデントに対し、より効果的に対応する能力を統合・強化する。準備態勢の強化により復旧時間が短縮され、被害が軽減される。
Rapidly increasing government-wide cyber resilience	政府全体のサイバーレジリエンスの急速な向上
Departments and public bodies will transform their resilience capabilities through high-quality central services and support. We will focus on remediating our most significant vulnerabilities, such as our legacy technology, and will operationalise knowledge sharing and continuous improvement across the system.	各省庁及び公共団体は、高品質な中央サービスと支援を通じてレジリエンス能力を変革する。レガシー技術など最も重大な脆弱性の是正に注力し、システム全体での知識共有と継続的改善を運用化する。
Achieving these objectives will deliver tangible benefits. The public will see faster service recovery and better communication when things go wrong. Departments will get more hands-on support and practical guidance. This will include a central governance model, a wider services offer, routine cross-government exercises, and a clearer system for recruiting, attracting, and retaining cyber staff through career pathways, apprenticeships, secondments, and industry partnerships.	これらの目標達成により具体的な効果が得られる。市民は、問題発生時のサービス復旧の迅速化と情報伝達の改善を実感するだろう。各省庁は、より実践的な支援と具体的な指針を得られる。これには、中央ガバナンスモデル、幅広いサービス提供、政府横断的な定期演習、キャリアパス・徒弟制度・出向・産業界との連携を通じたサイバー人材の採用・誘致・定着のための明確なシステムが含まれる。
This is not just a technical transformation. It is a cultural and operational shift in how the government views resilience. Every leader, every public sector organisation, every supplier has a role to play. Together, with clarity of purpose and shared accountability, we can deliver a government that is more secure, more resilient, and able to protect the services on which citizens depend.	これは単なる技術的変革ではない。政府がレジリエンスを捉える方法における文化的・運営上の転換である。全てのリーダー、公共部門組織、サプライヤーが役割を担う。目的の明確化と責任の共有のもと、連携してより安全でレジリエンスな政府を実現し、市民が依存するサービスを防御できるのだ。
Delivery strands	実施分野
The Government Cyber Unit will drive progress towards these strategic objectives by working with NCSC, departments, devolved governments, and suppliers across 5 delivery strands:	政府サイバーユニットは、NCSC、各省庁、地方分権政府、サプライヤーと連携し、以下の5つの実施分野を通じて戦略目標の達成を推進する：
・Accountability	・説明責任
・Support	・サポート
・Services	・サービス
・Response and recovery	・対応と復旧
・Skills	・スキル
Accountability	説明責任
Cyber risks at all levels of government must be actively owned and effectively managed, with those responsible held to account for effective management. This strand sets out responsibilities and accountability mechanisms to ensure they are met.	政府のあらゆるレベルにおけるサイバーリスクは、積極的に所有され効果的に管理されなければならない。責任者は効果的な管理について説明責任を負う。この分野では、責任と説明責任のメカニズムを明確にし、その履行を確保する。
Support	サポート
Government organisations do not have access to the capability, skills and capacity needed to meet their cyber security and resilience responsibilities. This strand sets out how support will be provided, prioritised, and accessed to bridge this gap.	政府組織は、サイバーセキュリティとレジリエンスの責任を果たすために必要な能力、スキル、キャパシティを保有していない。この分野では、このギャップを埋めるための支援の提供方法、優先順位付け、アクセス方法を定める。
Services	サービス
Government organisations face cyber security and resilience challenges that could be addressed at scale, there are few services to enable this and those that do are not well understood or accessed. This strand outlines how scaled cyber services will be developed, delivered, and accessed to address this.	政府機関は、大規模に対応可能なサイバーセキュリティとレジリエンスの課題に直面しているが、これを可能にするサービスは少なく、存在するサービスも十分に理解されず、利用されていない。この分野では、この課題に対処するための大規模サイバーサービスの開発、提供、利用方法を概説する。
Response and recovery	対応と復旧
As well as proactively reducing risk, government must be able to quickly and effectively manage incidents when they occur. This strand sets out the responsibilities for cyber security and resilience incidents at all levels, that will enable us to collectively minimise their impact.	政府は、リスクを積極的に低減するだけでなく、インシデント発生時に迅速かつ効果的に管理できなければならない。本項目では、あらゆるレベルにおけるサイバーセキュリティ・レジリエンスインシデントの責任分担を明確にし、影響を最小限に抑えるための共同対応を可能とする。
Skills	スキル
The demand for cyber security and resilience skills across government is growing faster than the supply of available talent. Leaders, functional professionals, and the wider workforce lack understanding of cyber risks and business impact. This strand outlines the establishment of the first Government Cyber Profession, which will attract, upskill, retain, and support government cyber professionals.	政府全体におけるサイバーセキュリティ・レジリエンススキルの需要は、人材供給を上回る速度で増加している。リーダー、機能専門職、一般職員の多くが、サイバーリスクと事業への影響を理解していない。本項目では、政府初のサイバー専門職制度の確立を概説する。これにより政府サイバー専門職の採用、スキル向上、定着、支援を推進する。
Delivery phases	実施段階
The system-wide transformation for government cyber security and resilience requires a system-level response and all government organisations will have a role in the delivery of the new operating model.	政府のサイバーセキュリティとレジリエンスにおけるシステム全体の変革には、システムレベルの対応が必要であり、全ての政府組織が新たな運用モデルの実現に役割を担う。
The Government Cyber Unit will lead cross-government delivery in the key phases, outlined below.	政府サイバーユニットは、以下に概説する主要段階において、政府横断的な実施を主導する。
Phase 1: Building	フェーズ1：構築
By April 2027, we will build a new model for government cyber by:	2027年4月までに、政府サイバーの新たなモデルを構築する。具体的には：
building critical functions to establish the Government Cyber Unit	政府サイバーユニットを確立するための重要機能を構築する
establishing refreshed accountability and governance for government cyber risk	政府サイバーリスクに対する新たな説明責任とガバナンスを確立する
standing up prioritised central services and support functions	優先順位付けされた中央サービスと支援機能を立ち上げる
setting clear targets and standards for government organisations	政府機関向けの明確な目標と標準を設定する
launching a new cyber profession for government	政府向けの新たなサイバー専門職を立ち上げる
directing action across government in response to fast-moving events, through structures defined in a Government Cyber Incident Response Plan	政府サイバーインシデント対応計画で定義された構造を通じて、急速に展開する事象への対応として政府全体の行動を指揮する
Phase 2: Scaling	フェーズ2：拡大
By April 2029, we will scale and leverage this new model by:	2029年4月までに、この新たなモデルを拡大・活用する。具体的には：
using government-wide cyber risk visibility to make data-driven decisions and a compelling investment case for managing severe and complex cyber risks	政府全体のサイバーリスク可視化を活用し、深刻かつ複雑なサイバーリスク管理のためのデータ駆動型意思決定と説得力のある投資根拠を確立する
delivering a pipeline of cyber support and services to help departments meet their responsibilities	各省庁が責任を果たすためのサイバー支援・サービス提供パイプラインを構築する
scaling and maturing response and recovery capability to address concurrent major cyber events	同時発生する大規模サイバー事象に対応するため、対応・復旧能力を拡大・成熟させる
developing high-impact, sector-wide role-based learning pathways for top high-risk cyber specialisms	高リスクサイバー専門分野において、影響力の大きいセクター横断的な役割ベースの学習経路を開発する
departments fully operating within governance and reporting structures for themselves, their ALBs, and sectors	各省庁が、自身・ALB・セクター向けのガバナンス・報告体制を完全に運用する
departments delivering costed cyber improvement plans in line with defined central and local cyber risk appetites, drawing on central support and services	各省庁が、中央支援・サービスを活用し、中央・地方のサイバーリスク許容度に基づき、費用算定済みのサイバー改善計画を遂行する
Phase 3: Improving	フェーズ3：改善
April 2029 and beyond, we will use the model to continuously improve government-wide cyber security and resilience by:	2029年4月以降、本モデルを活用し政府全体のサイバーセキュリティとレジリエンスを継続的に改善する。具体的には：
enabling decision-making and prioritisation at all levels of government through sharing central cyber data insights, including evidence-based investment in cross-government platforms, services and infrastructure to address critical risks	政府全体の決定支援と優先順位付けを可能とするため、中央サイバーデータの知見を共有する。これには重大リスク対応のための政府横断プラットフォーム・サービス・インフラへのエビデンスに基づく投資を含む
offering central cyber support and services at scale based on identified needs and strategic fit in a sustainable pipeline and lifecycle	特定されたニーズと戦略的適合性に基づき、持続可能なパイプラインとライフサイクルで大規模な中央サイバー支援・サービスを提供する
leveraging Government Cyber Profession as engine for transformation through career framework and sector recognised accreditation standards	キャリアフレームワークと業界認定標準を通じ、政府サイバー専門職を改革のエンジンとして活用する
departments proactively assuring cyber risk across their supply chains, enabled by central management of strategic suppliers	戦略的サプライヤーの中央管理により、各部門がサプライチェーン全体のサイバーリスクを積極的に保証する
supporting national security and growth objectives and underpins government missions through increased resilience	レジリエンス強化を通じ、国家安全保障と成長目標を支援し、政府の使命を支える
Priorities for delivery over the next 12 months are set out at the end of each delivery strand chapter. Further detail on implementation phases and plans for measurement is set out in Chapter 9: Implementation	今後12ヶ月間の実施優先事項は、各実施分野の章末に記載されている。実施段階と測定計画の詳細は第9章「実施」に記載されている
Cultural change	文化変革
To deliver effective transformational change, embedding the right culture is vital.	効果的な変革を実現するには、適切な文化の定着が不可欠である。
Improving the interaction between people, processes, and technology across government requires a whole-system approach to make it easier and more rewarding for staff to adopt the right security behaviours. Defending organisations by improving security culture is therefore of vital importance. There are a number of core cultural behaviours the Government Cyber Action Plan will embed across the public sector as follows.	政府全体で人・プロセス・技術の相互作用を改善するには、職員が適切なセキュリティ行動を容易かつやりがいを持って採用できる全システム的アプローチが必要だ。セキュリティ文化の向上による組織防衛は極めて重要である。政府サイバー行動計画が公共部門全体に定着させる中核的文化的行動は以下の通りだ。
Defend as One	一体となって防御する
Government and public sector teams view cyber and digital resilience as a collective mission, delivered in collaboration and partnership across their organisations. Government organisations collectively address government-wide cyber risk, even where it is not a priority for an individual organisation.	政府及び公共部門のチームは、サイバー及びデジタルレジリエンスを組織横断的な連携とパートナーシップによって達成される共同の使命と捉える。政府組織は、個々の組織にとって優先事項でなくとも、政府全体のサイバーリスクに共同で対処する。
Data and decision making	データと意思決定
Senior leaders are empowered through data sharing and understanding, using accurate data and information across organisations to enable effective government-wide risk management decision-making.	上級リーダーは、組織横断的な正確なデータと情報の共有・理解を通じて権限を与えられ、政府全体の効果的なリスクマネジメント意思決定を可能とする。
Proactive ownership	主体的な責任
Senior leaders understand and meet their accountabilities, and drive change across all layers of government. Senior leaders also set the tone for the importance of security and accountability, including continuous risk management cycles of review, collaboration, innovation and assurance.	上級管理職は自らの説明責任を理解し履行するとともに、政府の全階層にわたり変革を推進する。また、継続的なリスクマネジメントサイクル（検証・協働・革新・保証）を含む、セキュリティと説明責任の重要性について方向性を示す。
Transparency	透明性
Leaders create open and inclusive environments where sharing risks, issues, ideas and data is encouraged, lessons are learned and best practice is shared.	リーダーは、リスク・課題・アイデア・データの共有が奨励され、教訓が学び取られ、ベストプラクティスが共有される、開かれた包括的な環境を創出する。
Empowered workforce	能力強化された労働力
Our teams have the capability and career paths to deliver sustainable change through investment in tools, training and systems.	我々のチームは、ツール、研修、システムへの投資を通じて持続可能な変化を実現する能力とキャリアパスを有している。
Safe environment	安全な環境
Individuals have the capability to report vulnerabilities and threats, feel safe to do so and feel confident to question and challenge without fear. Constructive behaviours are recognised and rewarded, while poor ones are addressed.	個人が脆弱性や脅威を報告する能力を持ち、そうすることに安全を感じ、恐れずに疑問を投げかけ挑戦する自信を持つ。建設的な行動は認識され報われ、不適切な行動は対処される。

３章から６章までの概要部分...

Chapter 3: Accountability	第3章：説明責任
Accountability overview	説明責任概要
Cyber risks at all levels of government must be actively owned and effectively managed, with those responsible held to account for effective management. This strand sets out responsibilities and accountability mechanisms to ensure they are met.	政府のあらゆるレベルにおけるサイバーリスクは、積極的に所有され効果的に管理されなければならない。責任者は効果的な管理について説明責任を負う。本項目では、責任と説明責任のメカニズムを明確にし、その履行を確保する。
The objectives of the Accountability strand are:	説明責任項目の目的は以下の通りである：
・Better visibility of cyber risk: increase visibility of government-wide cyber risks through accountability mechanisms and reporting	・サイバーリスクの可視性向上：説明責任メカニズムと報告を通じて政府全体のサイバーリスクの可視性を高める
・Addressing severe and complex risks: establish central accountability for risks that departments or organisations cannot reasonably be expected to manage	・深刻かつ複雑なリスクへの対応：各部門や組織が合理的に管理できないリスクについて、中央集権的な説明責任を確立する
What needs to change?	何を変える必要があるか？
Current accountability structures have failed to achieve the right level of resilience. Responsibilities for cyber risks are unclear at all levels of government, including across the supply chain. Leaders lack visibility and understanding of the risk and resilience levels within their purview, and the actual and potential impact on business delivery and critical services.	現行の説明責任構造は、適切なレベルのレジリエンスを達成できていない。政府のあらゆるレベル、サプライチェーン全体を含め、サイバーリスクに対する責任が不明確である。指導者は、自らの管轄範囲内のリスクとレジリエンスのレベル、および業務遂行や重要サービスへの実際の影響と潜在的影響について、可視性と理解を欠いている。
The government needs to reset its relationship with cyber risk by ensuring that it is visible, understood, owned and actively managed.	政府は、サイバーリスクを可視化し、理解させ、責任を明確化し、積極的に管理することで、サイバーリスクとの関係を再構築する必要がある。
Addressing this challenge	この課題への対応
We will set clear expectations and direction for the management of cyber risk at all levels of government. Risk owners will be held accountable for appropriate oversight and management of cyber risk. Clear risk appetites will be set at all levels, with performance monitored and assured.	政府の全レベルにおけるサイバーリスク管理について、明確な期待と方向性を設定する。リスク所有者は、サイバーリスクの適切な監視と管理について責任を負う。全レベルで明確なリスク許容度を設定し、パフォーマンスを監視・保証する。
Who will be responsible for what	責任の所在
Departments will:	各省庁は以下を実施する：
understand, manage and report against the cyber risks of their department, ALBs, and wider public sector in alignment with government-wide risk appetites and direction	政府全体のリスク許容度と方向性に沿い、自省庁・ALB・広範な公共部門のサイバーリスクを理解・管理・報告する
meet specified Accounting Officer responsibilities through establishing roles and responsibilities, governance structures, strategies, plans and processes to support accountability and risk management	説明責任とリスクマネジメントを支える役割・責任・ガバナンス構造・戦略・計画・プロセスを確立し、会計責任者の責務を履行する
apply mechanisms to ensure suppliers appropriately manage government risks	政府リスクを適切に管理するサプライヤーを確保する仕組みを適用する
ALBs and wider public sector organisations will:	ALB及び広範な公共部門組織は以下を実施する：
understand, manage and report against cyber risk in alignment with government-wide and LGD risk appetites and direction	政府全体及びLGDのリスク許容度と方向性に沿って、サイバーリスクを理解し、管理し、報告する
apply mechanisms to ensure suppliers appropriately manage government risk	サプライヤーが政府リスクを適切に管理することを保証する仕組みを適用する
The Government Cyber Unit will:	政府サイバーユニットは以下を行う：
understand and manage government-wide risk on behalf of Government Technology Risk Owner through mandatory policy and assurance against requirements	政府技術リスク所有者に代わって、必須のポリシーと要件に対する保証を通じて政府全体のリスクを理解し管理する
provide departments with specific direction and practical support on how to manage their risk within central and local appetites	中央及び地方のリスク許容度内でリスクを管理する方法について、各部門に具体的な指示と実践的な支援を提供する
engage strategic suppliers to ensure resilience outcomes are met and standards raised	戦略的サプライヤーと連携し、レジリエンス成果の達成と標準の向上を確保する
NCSC will:	NCSCは以下を行う：
provide authoritative technical advice and assessment on management of risk and advise the Government Cyber Unit on setting policies, standards, and baseline appetites	リスクマネジメントに関する権威ある技術的助言と評価を提供し、ポリシー、標準、基本リスク許容度の設定について政府サイバーユニットに助言する
Suppliers will:	サプライヤーは以下を行う：
understand and proactively manage risk in alignment with direction and expectations set out by their contracting authorities or, for strategic suppliers, in line with strategic partnerships expectations	契約機関が定めた指示・期待に沿って、あるいは戦略的サプライヤーの場合は戦略的パートナーシップの期待に沿って、リスクを理解し積極的に管理する

Chapter 4: Support	第4章：サポート
Support overview	サポートの概要
Government organisations do not have access to the capability, skills and capacity needed to meet their cyber security and resilience responsibilities. This strand sets out how support will be provided, prioritised, and accessed to bridge this gap.	政府組織は、サイバーセキュリティとレジリエンスの責任を果たすために必要な能力・スキル・キャパシティを保有していない。本セクションでは、このギャップを埋めるための支援の提供方法・優先順位・アクセス方法を定める。
The objectives of the support strand are:	サポート分野の目的は以下の通りである：
・Increased UK Government cyber security and resilience: common support enables government and public sector organisations to implement requirements more quickly and easily	・英国政府のサイバーセキュリティとレジリエンスの強化：共通支援により政府・公共部門組織が要件をより迅速かつ容易に実施可能とする
・Improved management of severe and complex risk: targeted support for government organisations to address the most critical cross-government risks	・深刻かつ複雑なリスク管理の改善：政府組織が最も重大な政府横断的リスクに対処するための的を絞ったサポート
What needs to change?	何を変える必要があるか？
Government organisations frequently tackle the same challenges in isolation, leading to significant variance in implementation, duplicated effort, and increased costs. Many struggle to meet their cyber security and resilience responsibilities due to lacking the specialist capability, skills and capacity needed to implement improvements. Some struggle to understand and access existing support.	政府組織はしばしば同じ課題を孤立して取り組み、実施方法に大きなばらつきが生じ、努力が重複し、コストが増大している。多くの組織は、改善を実施するために必要な専門能力、スキル、キャパシティが不足しているため、サイバーセキュリティとレジリエンスの責任を果たすのに苦労している。既存の支援を理解し、アクセスするのに苦労している組織もある。
Addressing this challenge	この課題への対応
Building on improved visibility and accountability for risk, the Government Cyber Unit will lead collective action with and across government organisations to put in place shared solutions to common challenges.	リスクの可視性と説明責任の向上を基盤に、政府サイバーユニットは政府組織間・組織横断的な共同行動を主導し、共通課題に対する共有ソリューションを構築する。
We will establish a partnering team to proactively harness and share government’s collective knowledge, and develop strategic partnerships with suppliers which will position us to better leverage government’s scale.	政府の集合的知見を積極的に活用・共有するパートナーシップチームを設置し、政府の規模をより効果的に活用できる立場を確立するため、サプライヤーとの戦略的提携を発展させる。
Drawing on good practice from industry and internationally we will deliver government-wide support. This will be based on risk, need, cost effectiveness and overall benefit; including technical advice and guidance, products and change programmes, which will be complemented by services and skills outlined in Chapter 5: Services and Chapter 7: Skills.	産業界や国際的な優良事例を参考に、政府全体の支援を提供する。これはリスク、必要性、費用対効果、総合的な便益に基づいて行われ、技術的助言・ガイダンス、製品、変革プログラムを含む。これらは第5章「サービス」および第7章「スキル」で概説するサービスとスキルによって補完される。
Who will be responsible for what	責任分担
Departments will:	各省庁は以下を行う：
access and adapt central support as necessary to understand their gaps and meet their cyber security and resilience responsibilities	自らのギャップを理解し、サイバーセキュリティ及びレジリエンスの責任を果たすため、必要に応じて中央支援にアクセスし適応する
provide and/or sponsor the provision of support to their ALBs and public sector organisations	ALB及び公共部門組織への支援を提供、もしくはその提供をプロバイダとして後援する
ALBs and Wider Public Sector will:	ALB及び広範な公共部門は以下を行う：
access and adapt support from their LGD and/or the Government Cyber Unit as necessary to meet their cyber security and resilience responsibilities	自らのサイバーセキュリティ及びレジリエンスの責任を果たすため、必要に応じて所属地方開発省（LGD）及び／または政府サイバーユニットからの支援にアクセスし適応する
The Government Cyber Unit will:	政府サイバーユニットは以下を行う：
establish a partnering function to help government organisations understand and access support	政府組織が支援を理解しアクセスできるよう支援する連携機能を確立する
prioritise and deliver government wide support to enable government organisations to meet their cyber security and resilience responsibilities	政府組織がサイバーセキュリティとレジリエンスの責任を果たせるよう、政府全体の支援を優先し提供する
understand demand for support, and prioritise government-wide provision	支援需要を把握し、政府全体の提供を優先する
NCSC will:	NCSCは以下を行う：
provide expert technical advice to inform coordinated guidance, products and advice	調整されたガイダンス、製品、助言に資する専門的な技術的助言を提供する
provide support themselves where they are best placed to do so	自ら支援を提供できる最適な立場にある場合は支援を提供する
Suppliers will:	サプライヤーは以下を行う：
work with contracting authorities to optimise value for the government from use of technology solutions or, for strategic suppliers, with the Government Cyber Unit through strategic partnerships	技術ソリューションの活用による政府の価値最大化のため、契約当局と協力する。戦略的サプライヤーの場合は、戦略的パートナーシップを通じて政府サイバーユニットと連携する。

Chapter 5: Services	第5章：サービス
Services overview	サービスの概要
Government organisations face cyber security and resilience challenges that could be addressed at scale, there are few services that exist to enable this and those that do are not well understood or accessed. This chapter outlines how scaled cyber services will be developed, delivered, and accessed to address this.	政府組織はサイバーセキュリティとレジリエンスの課題に直面しているが、これを大規模に対処できるサービスはほとんど存在せず、存在するサービスも十分に理解・活用されていない。本章では、この課題に対処するため、大規模なサイバーサービスをどのように開発・提供・利用するかについて概説する。
The core objectives of the services strand are:	サービス分野の中核目標は以下の通りである：
・Increased visibility of risks across government: prioritise the development of new central services which can transform visibility of government-level risk at scale.	・政府全体のリスク可視性の向上：政府レベルでのリスク可視性を大規模に変革できる新たな中央サービスの開発を優先する。
・Increased HMG cyber security and digital resilience: bring central service provision and access into one place via the establishment of central service coordination.	・英国政府のサイバーセキュリティ及びデジタルレジリエンスの強化：中央サービス調整の確立により、中央サービス提供とアクセスを一元化する。
・Improved responsiveness to fast moving events: improve capabilities to detect threats and manage vulnerabilities at scale.	・急速に展開する事象への対応力向上：脅威を検知し脆弱性を管理する能力を大規模に強化する。
What needs to change?	何を変える必要があるか？
While examples such as NCSC’s Protective Domain Name Service (PDNS) and the Government Cyber Unit’s Vulnerability Monitoring Service demonstrate that cyber risks can be addressed at scale, barriers mean that the provision and adoption of services are not sufficient, especially for less mature organisations.	NCSCの防御ドメイン名サービス（PDNS）や政府サイバーユニットの脆弱性監視サービスなどの事例は、サイバーリスクが大規模に対処可能であることを示している。しかし障壁が存在するため、特に成熟度の低い組織においては、サービスの提供と採用が不十分である。
There is no strategic approach to the development of new cyber services at scale for government organisations. This results in undetected and unmanaged government-wide cyber risks.	政府組織向けに大規模な新規サイバーサービスを開発する戦略的アプローチが存在しない。その結果、政府全体にわたるサイバーリスクが検知されず、管理されていない状態が続いている。
Addressing this challenge	この課題への対応
We will identify where government-wide risks could be addressed, or response improved, by services at scale.	政府全体のリスクが、大規模サービスによって対処可能となる領域、あるいは対応が改善可能な領域を識別する。
Where services are available, we will ensure that they are readily accessible to those who need them most, that they deliver clear benefits, and we will support their adoption.	サービスが利用可能な場合、最も必要とする組織が容易にアクセスでき、明確な利益をもたらすことを確保し、その採用を支援する。
Where there are gaps in provision, we will prioritise and commission or deliver them once and well, aligning to the Government Digital Service (GDS) design principles and service standard.	提供に不足がある場合、政府デジタルサービス（GDS）のデザイン原則とサービス標準に沿って、優先順位を付け、一度で適切に委託または提供する。
Who will be responsible for what	責任分担
Departments will:	各省庁は以下を行う：
identify and access relevant cyber services to meet their cyber security and resilience responsibilities	サイバーセキュリティとレジリエンスの責任を果たすため、関連するサイバーサービスを特定し利用する
provide services where agreed with the Government Cyber Unit to be best placed to do so	政府サイバーユニットと合意したサービスについては、最適なプロバイダとして自らサービスを提供する
coordinate and sponsor priority needs of their ALBs and wider public sector organisations	傘下の行政機関（ALB）及び広範な公共部門組織の優先的ニーズを調整し支援する
ALBs and wider public sector will:	ALB及び広範な公共部門は以下を行う：
identify and access relevant services to meet their cyber security and resilience responsibilities	サイバーセキュリティとレジリエンスの責任を果たすため、関連するサービスを特定し利用する
The Government Cyber Unit will:	政府サイバーユニットは以下を実施する：
coordinate a coherent central service portfolio to deliver impact on strategic priorities, including commissioning and decommissioning services, designing delivery and funding models, and setting a framework of mandation requirements or incentives to drive uptake	戦略的優先事項への影響を実現するため、一貫性のある中央サービスポートフォリオを調整する。これにはサービスの委託・廃止、提供・資金調達モデルの設計、採用促進のための義務要件またはインセンティブ枠組みの設定が含まれる
innovate and deliver scaled services, either directly or via partners	直接またはパートナー経由で、革新的なスケーラブルなサービスを提供
ensure that centrally provided services are easily accessible to target organisations	中央提供サービスが対象組織から容易に利用可能であることを確保する
NCSC will:	NCSCは以下を実施する：
inform investment decisions made by the Government Cyber Unit service via specialist NCSC input on service standards and good practice	政府サイバーユニットの投資判断に対し、サービス標準と優良事例に関する専門的知見を提供
innovate to support the creation of new and enhanced services to address cyber risks	サイバーリスク対応のための新規・強化サービス創出を支援するイノベーションを推進
provide services where they are uniquely placed to do so and advise on the sustainability of these	独自の立場で提供可能なサービスを提供し、その持続可能性について助言する
Suppliers will:	サプライヤーは以下を実施する：
work with the Government Cyber Unit and government organisations to provide services at scale	政府サイバーユニット及び政府機関と連携し、大規模なサービスを提供する

Chapter 6: Response and recovery	第6章：対応と復旧
Response and recovery overview	対応と復旧の概要
As well as proactively reducing risk, government must be able to quickly and effectively manage incidents when they occur. This strand sets out the responsibilities for cyber security and resilience incidents at all levels, that will enable us to collectively minimise their impact.	政府はリスクを積極的に低減するだけでなく、インシデント発生時に迅速かつ効果的に管理できる必要がある。本項目では、あらゆるレベルにおけるサイバーセキュリティ及びレジリエンス関連のインシデント対応責任を明確化し、影響を最小限に抑えるための共同対応を可能とする。
The objectives of the response and recovery strand are:	対応と復旧の目的は以下の通りである：
・Improved responsiveness to fast moving events: help government and public sector better respond to and recover from major incidents through clearer responsibilities and improved capabilities at all levels.	・急速に展開する事象への対応力向上：責任範囲の明確化と全レベルでの能力強化を通じ、政府及び公共部門が重大インシデントへの対応と復旧を改善する。
・Increased visibility of risks across government: harness incident and vulnerability data at scale to better understand systemic risks, strengthen defences and improve resilience outcomes.	・政府全体のリスク可視性の向上：大規模なインシデント及び脆弱性データを活用し、システム的リスクの理解を深め、防御を強化し、レジリエンス成果を向上させる。
What needs to change?	何を変える必要があるか？
Our adversaries see Government as a single target, yet its constituent parts typically respond to threats, vulnerabilities and incidents in silos. Effort is duplicated and uncoordinated, and intelligence and insights are not shared; this reduces the effectiveness and efficiency of our response both now and in future.	敵対者は政府を単一の標的と見なしている。しかし政府を構成する各部門は、脅威・脆弱性・インシデントに対して通常、縦割り対応を取っている。努力は重複し、調整不足であり、情報と知見は共有されない。これにより現在及び将来の対応の有効性と効率性が低下している。
Addressing this challenge	この課題への対応
To address this we will significantly invest in the Government Cyber Coordination Centre (GC3) across the full lifecycle of: prepare; detect; respond and recover; and, learn and improve.	この課題に対処するため、我々は政府サイバー調整センター（GC3）に対し、準備・検知・対応・復旧・学習・改善という全ライフサイクルにわたる大幅な投資を行う。
We will build on existing successes such as the Vulnerability Reporting Service and deliver more Security Operations services from the centre.	脆弱性報告サービスなどの既存の成功事例を基盤とし、同センターからより多くのセキュリティ運用サービスを提供する。
We will unlock more value from the work already being delivered across government and better enable communication and collaboration between Security Operations teams. We will improve and expand coordination capabilities to ensure an effective cross-government response where one is needed.	政府全体で既に実施されている取り組みからさらなる価値を引き出し、セキュリティ運用チーム間のコミュニケーションと協働をより効果的に促進する。必要な場合には効果的な政府横断的対応を確保するため、調整能力の改善と拡充を行う。
Who will be responsible for what	責任分担
Departments will:	各省庁は以下を実施する：
manage organisational cyber incidents across the full lifecycle, drawing on support where appropriate	組織のサイバーインシデントをライフサイクル全体にわたり管理し、必要に応じて支援を活用する
ensure ALBs and sectors for which they have responsibility have suitable cyber incident response and recovery arrangements in place for the full lifecycle	管轄下のALB（行政局）及びセクターが、ライフサイクル全体に対応した適切なサイバーインシデント対応・復旧体制を整備していることを確認する
ALBs and Wider Public Sector will:	地方自治体及び広義の公共部門は：
manage organisational cyber incidents across the full lifecycle, drawing on support where appropriate	組織のサイバーインシデントをライフサイクル全体にわたり管理し、必要に応じて支援を活用する
The Government Cyber Unit will:	政府サイバーユニットは：
set the framework for and coordinate cross-government cyber incident response and recovery across the full lifecycle through GC3, in partnership with NCSC	NCSCと連携し、GC3を通じてライフサイクル全体にわたる政府横断的なサイバーインシデント対応・復旧の枠組みを設定し調整する
NCSC will:	NCSCは以下を実施する：
continue to lead national level cyber incident response and related public messaging in collaboration with Cabinet Office, involving The Government Cyber Unit and GC3 where government is impacted	内閣府と連携し、政府が影響を受ける場合には政府サイバーユニット及びGC3を巻き込み、国家レベルのサイバーインシデント対応及び関連する公的メッセージ発信を主導し続ける
work with The Government Cyber Unit and GC3 on development of technical advice and guidance, provide intelligence-led threat assessment products, and industry accreditation schemes	政府サイバーユニット及びGC3と協力し、技術的助言・指針の開発、情報主導型脅威評価製品の提供、業界認定スキームの構築を行う
coordinate cooperation with cyber security industry partners and international cyber partners	サイバーセキュリティ業界パートナー及び国際的サイバーパートナーとの協力を調整する
Suppliers will:	サプライヤーは以下を実施する：
proactively report and cooperate on cyber incident response and recovery impacting government organisations	政府機関に影響を及ぼすサイバーインシデント対応・復旧について、積極的に報告し協力する
engage directly with the Government Cyber Unit and GC3 on government-wide incidents, where appropriate particularly if a strategic supplier	政府全体のインシデントについては、特に戦略的サプライヤーである場合、適切と判断される場合に政府サイバーユニット及びGC3と直接連携する

Chapter 7: Skills	第7章：スキル
Skills overview	スキル概要
The demand for cyber security and resilience understanding and skills across government is growing faster than the supply of available talent. Leaders, functional professionals, and the wider workforce lack understanding of cyber risks and business impact. This chapter outlines the establishment of a dedicated Government Cyber Profession, which will attract, upskill, retain, and support government cyber professionals.	政府全体におけるサイバーセキュリティ及びレジリエンスに関する理解とスキルの需要は、利用可能な人材の供給を上回る速度で増加している。リーダー、専門職、一般職員の多くがサイバーリスクと事業影響の理解を欠いている。本章では、政府サイバー専門職の確立を概説する。これは政府サイバー専門家の誘致、スキル向上、定着、支援を目的とする。
The core objectives of the skills strand are:	スキル分野の核心的目標は以下の通りである：
・Increased HMG cyber and digital resilience: attracting, upskilling, retaining and supporting cyber and digital resilience talent and making the public sector an attractive employer for professionals	・英国政府のサイバー・デジタルレジリエンス強化：サイバー・デジタルレジリエンス人材の誘致、スキル向上、定着、支援を通じ、公共部門を専門家にとって魅力的な雇用主とする
・Improved management of severe and complex risks: transforming how government manages risk by improving awareness, understanding, activities and unlocking appropriate funding	・深刻かつ複雑なリスクマネジメントの改善：認識・理解・活動の向上と適切な資金確保により、政府のリスクマネジメント手法を変革する
What needs to change?	何を変える必要があるか？
The cyber skills gap is an industry-wide issue with approximately half of businesses (49%) and 58% of government organisations reporting a basic cyber skills gap resulting in vulnerable services and costly outsourcing.[footnote 10]	サイバースキル不足は業界全体の課題であり、約半数の企業（49%）と政府機関の58%が基本的なサイバースキル不足を報告している。その結果、脆弱なサービスと高額な外部委託が発生している。[footnote 10]
Specific public sector challenges include pay and inconsistent approaches to career development. Leaders and enabling professions also suffer from an insufficient understanding of cyber security and resilience, leading to de-prioritisation, underinvestment and inadequate security rigour in general business practices.	公共部門特有の課題には、給与水準やキャリア開発への一貫性のない取り組みが含まれる。リーダーや支援職もサイバーセキュリティとレジリエンスへの理解不足に悩まされ、優先順位低下、投資不足、一般的な業務慣行におけるセキュリティ厳格性の欠如を招いている。
Addressing this challenge	この課題への対応
The Government Cyber Profession will provide a government-wide approach in which the best talent is attracted and retained, and leadership and the workforce are upskilled and supported.	政府サイバー専門職制度は、政府全体で最高の人材を惹きつけ維持し、リーダーシップと労働力のスキル向上と支援を行う枠組みを提供する。
Who will be responsible for what	責任分担
Departments will:	各省庁は以下を実施する：
recruit cyber and digital professionals through entry schemes and recruitment programmes	採用制度や募集プログラムを通じたサイバー・デジタル専門職の採用
upskill and retain staff through learning and development, career pathways, job opportunities, allowances, and competitive pay	学習・開発、キャリアパス、職務機会、手当、競争力のある給与による職員のスキルアップと定着
raise awareness of cyber security and resilience at leadership and board levels, embedding a strong security culture throughout their organisations	リーダーシップ層・役員レベルでのサイバーセキュリティとレジリエンスの意識向上、組織全体への強固なセキュリティ文化の浸透
ALBs and wider public sector organisations will:	地方自治体（ALBs）及び広範な公共部門組織は以下を実施する：
forecast and share local resourcing needs for cyber and digital resilience	サイバー及びデジタルレジリエンスに関する地域別リソース需要を予測・共有する
collaborate with LGDs to develop and implement resourcing plans, including shared resource models	地方自治体開発機関（LGDs）と連携し、共有リソースモデルを含むリソース計画を策定・実施する
The Government Cyber Unit will:	政府サイバーユニット（NCSC）は以下を実施する：
establish and lead the first cross-government Cyber Profession, enabling better talent management and collaboration.	初の政府横断的サイバー専門職制度を確立・主導し、人材管理と協働を強化する
drive recruitment efforts to attract people into government with competitive total job offers and via centrally led schemes align public sector salaries with private sector benchmarks	競争力のある総合的な雇用条件と中央主導の制度を通じて、政府機関への人材誘致を推進する。公共部門の給与を民間部門のベンチマークに整合させる。
develop and deliver training to attract, reskill and upskill staff, leaders, and professionals across disciplines	多様な分野の職員、リーダー、専門家を惹きつけ、再教育し、スキルアップさせるための研修を開発・提供する。
NCSC will:	NCSCは以下を実施する：
support accreditation of cyber and digital professionals via the UK Cyber Security Council	英国サイバーセキュリティ評議会を通じたサイバー・デジタル専門家の認定を支援する。
provide expert guidance to support the attraction, retention and development of a diverse technical workforce	多様な技術人材の誘致、定着、育成を支援する専門的ガイダンスを提供する。

● まるちゃんの情報セキュリティ気まぐれ日記

サイバーセキュリティ戦略...

・2025.12.24 閣議決定サイバーセキュリティ戦略

・2025.12.24 国連他「国家サイバーセキュリティ戦略策定のためのガイド」第3版 (2025.12.18)

・2025.12.24 閣議決定 NCO 重要電子計算機に対する特定不正行為による被害の防止のための基本的な方針 (2025.12.23)

・2025.12.21 NCO サイバーセキュリティ推進専門家会議第３回会合サイバーセキュリティ戦略（案） (2025.12.08)とレジリエンスについて

・2025.11.04 国家サイバー統括室サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

・2025.06.09 ENISA EU諸国の国家サイバーセキュリティ戦略をマップから見れる... (2025.06.04)

・2024.03.08 韓国国家安全保障室、ユン・ソクヨル政府の「国家サイバー安全保障戦略」 (2024.02.01)

・2023.03.03 ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築

・2022.10.16 オランダサイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

・2022.06.21 内閣官房サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

・2021.12.17 英国国家サイバー戦略

・2021.10.11 シンガポールサイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部第31回会合サイバーセキュリティ戦略確定（予算からみるとサイバーセキュリティは経済発展というよりも安全保障？）

・2021.09.26 独国サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略（案）」と「サイバーセキュリティ2021（案）」に関する意見の募集について

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力日本のサイバー能力はいけていない？

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部次期サイバーセキュリティ戦略の骨子

・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク（NCAF）」を発行

・2020.08.11 オーストラリア政府内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

参考各国のサイバーセキュリティ戦略

■ EUの場合

● European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

欧州各国のサイバーの国家戦略はENISAがまとめてみられるようにしていますね...

● ENISA

・2025.06.04 National Cyber Security Strategies Interactive map

■ ドイツの場合

● Bundesministerium des Innern, für Bau und Heimat

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF]

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF]

■ UKの場合

● National Cyber Security Centre

・2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

・[PDF] National Cyber Strategy 2022

・日本語訳 [Downloded]

■ U.S. の場合

・2023.03.02 FACT SHEET: Biden-⁠Harris Administration Announces National Cybersecurity Strategy

・[PDF] National Cybersecurity Strategy

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America

・仮訳 [DOCX]

■ 日本の場合

● 内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

今回のもの

・2025.12.23 サイバーセキュリティ戦略（閣議決定）

前回のもの

・2021.09.28 [PDF] サイバーセキュリティ戦略

・2023.07.04 サイバーセキュリティ戦略本部第３６回会合

[PDF] サイバーセキュリティ2023

・2022.06.17 サイバーセキュリティ戦略本部第３４回会合

・2021.09.27 第31回会合

[PDF] 報道発表資料
[PDF] サイバーセキュリティ2021

🔳オーストラリアの場合

● AU - Department of Home Affairs - Cyber security - Strategy

・2023.11.22 [PDF]

実行計画

・2023.11.22 [PDF]

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy」

■ 中国の場合

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

　・2016.12.27 National Cyberspace Security Strategy

■ ロシアの場合（NATO CCDCOEの論文）

● NATO CCDCOE

・2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch

■ インドの場合

● Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

・The Singapore Cybersecurity Strategy 2021

・[PDF]

◾️ 韓国の場合...

・2024.02.01

・[PDF]

2019年の国家サイバーセキュリティ戦略

・韓国語 [PDF] 국가사이버안보전략

・英語 [PDF] National Cyberseuciry Strategy

----

2026.01.08 05:24 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

欧州 ENISA パブコメ SBOMの現状分析 - 実装ガイドに向けて案 (2025.12.17)

こんにちは、丸山満彦です。

ENISAが、SBOMの実装ガイドを含む文書を公表し、意見募集をしていますね（2026.01.23まで...）

EUでは、サイバーレジリエンス法（CRA）をスムーズに実装するために、このような実装ガイドを公表しているのだろうと思います...

なかなか興味深いので、一読をおすすめします...特に２章、３章...

● ENISA

・2025.12.17 Call for Feedback: Advancing Software Supply Chain Security together!

Call for Feedback: Advancing Software Supply Chain Security together!	フィードバック募集：ソフトウェア供給網のセキュリティ向上を共に推進しよう！
ENISA invites industry stakeholders and interested parties to provide their feedback on the draft SBOM Landscape Analysis and the Technical Advisory for Secure Use of Package Managers.	ENISAは業界関係者及び関心を持つ者に対し、SBOMランドスケープ分析ドラフト及びパッケージ管理ツールの安全な利用に関する技術的助言へのフィードバック提供を呼びかける。
ENISA works to strengthen cybersecurity by promoting cybersecurity-by-design and cybersecurity-by-default in the EU market. The EU is prioritising the security of all digital products and the protection of end-users, safeguarding our shared connected ecosystem. Through the launch of the two new public consultations, the Agency aims to engage with professionals working in product security and development to provide meaningful guidance and support in advancing cybersecurity across the ecosystem.	ENISAは、EU市場における設計段階からのサイバーセキュリティ（Cybersecurity-by-design）とデフォルト設定によるサイバーセキュリティ（Cybersecurity-by-default）の推進を通じて、サイバーセキュリティの強化に取り組んでいる。EUは、すべてのデジタル製品のセキュリティとエンドユーザーの保護を優先し、我々が共有する接続されたエコシステムを保護している。2つの新たな公開協議を開始することで、当機関は製品セキュリティと開発に携わる専門家と連携し、エコシステム全体のサイバーセキュリティ推進に向けた有意義なガイダンスと支援を提供することを目指している。
SBOM Landscape Analysis: Towards an Implementation Guide	SBOM ランドスケープ分析：実装ガイドに向けて
Software Bills of Materials (SBOM) implementation is a significant step for organisations to enhance management, transparency and resilience of their systems. ENISA has compiled a draft report of comprehensive yet practical guidance for implementing Software Bill of Materials practices within organisations of varying sizes and capabilities.	ソフトウェア部品表（SBOM）の実装は、組織がシステムの管理、透明性、レジリエンスを強化するための重要な一歩である。ENISA は、規模や能力の異なる組織内でソフトウェア部品表の実践を実装するための包括的かつ実践的なガイダンスのドラフト報告書をまとめた。
You may provide your feedback by 23 January 2026 at 23:59 CET by taking part in the survey	2026年1月23日23時59分（中央ヨーロッパ時間）までに、以下の調査に参加してフィードバックを提供できる
Additionally, the baseline survey to assess the state of Software Bills of Materials (SBOMs) across Europe is still open and running until the 19 December 2025. Provide your input here	さらに、欧州全域におけるソフトウェア部品表（SBOM）の現状を評価するベースライン調査は、2025年12月19日まで引き続き実施中である。こちらからご意見をお寄せください
ENISA Technical Advisory for Secure Use of Package Managers	ENISAによるパッケージ管理ツールの安全な利用に関する技術的助言
ENISA will publish regular technical advisories on product security from 2026 onwards. The first of these technical advisories covers the use of package managers. Software development is largely driven by the use of package managers. Packages and package managers offer major benefits for software development, improving collaboration, efficiency, and consistency. Yet their interconnected nature and security risks can create a ripple effect across the software supply chain, affecting hundreds of thousands of dependent projects.	ENISAは2026年以降、製品セキュリティに関する技術アドバイザリーを定期的に公開する。最初のアドバイザリーはパッケージ管理ツールの使用に関するものだ。ソフトウェア開発は主にパッケージ管理ツールの使用によって推進されている。パッケージとパッケージ管理ツールは、コラボレーション、効率性、一貫性の向上を通じてソフトウェア開発に大きな利点をもたらす。しかし、それらの相互接続性とセキュリティリスクは、ソフトウェアサプライチェーン全体に波及効果をもたらし、数十万もの依存プロジェクトに影響を及ぼしうる。
This draft document aims to support software developers in the software development lifecycle and particularly in the secure use of package managers. In particular, this document outlines common risks involved in the use of third-party packages, presents secure practices for selecting, integrating, and monitoring packages and how to address vulnerabilities found in dependencies.	この草案文書は、ソフトウェア開発ライフサイクルにおける開発者を支援し、特にパッケージ管理ツールの安全な利用を目的とする。具体的には、サードパーティ製パッケージ利用に伴う一般的なリスクを概説し、パッケージの選定・統合・監視における安全な実践方法、依存関係で発見された脆弱性への対処法を提示する。
You may take part in the consultation for the Technical Advisory by 23 January 2026, 23:59 CET through the following link	技術アドバイザリーに関する意見募集には、2026年1月23日23時59分（中央ヨーロッパ時間）までに以下のリンクから参加できる
Following the analysis of the public consultations, the final publications will be available on ENISA website in Q2 2026.	公開意見募集の分析を経て、最終版は2026年第2四半期にENISAウェブサイトで公開される予定だ。
Further Information	追加情報
SBOM Landscape Analysis	SBOM ランドスケープ分析
Survey SBOM Landscape Analysis	SBOM ランドスケープ分析に関する調査
ENISA Technical Advisory for Secure Use of Package Managers	パッケージ管理ツールの安全な利用に関する ENISA 技術アドバイザリー
Survey for the Technical Advisory for Secure Use of Package Managers	パッケージ管理ツールの安全な利用に関する技術アドバイザリー調査
Survey on SBOM State of the Art	SBOM の現状に関する調査

ドラフト。。。

・2025.12.17 [PDF] SBOM LANDSCAPE ANALYSIS - TOWARDS AN IMPLEMENTATION GUIDE

目次...

1. INTRODUCTION	1. 序論
1.1 PURPOSE AND SCOPE	1.1 目的と範囲
1.1.1 WHY SBOM MATTERS?	1.1.1 SBOMが重要な理由
1.2 DEFINITIONS	1.2 定義
1.2.1 SOFTWARE BILL OF MATERIALS (SBOM)	1.2.1 ソフトウェア部品表（SBOM）
1.2.2 PRODUCT, SOFTWARE, COMPONENT	1.2.2 製品、ソフトウェア、コンポーネント
1.2.3 SUPPLY CHAIN	1.2.3 サプライチェーン
1.3 STRUCTURE OF THE REPORT	1.3 レポートの構成
2. SBOM IMPLEMENTATION GUIDE	2. SBOM 実装ガイド
2.1 INITIATION PHASE	2.1 開始フェーズ
2.2 PLANNING PHASE	2.2 計画フェーズ
2.2.1 SPECIFICATIONS AND FORMAT	2.2.1 仕様とフォーマット
2.2.2 BASELINE SBOM ELEMENT REQUIREMENTS	2.2.2 基本SBOM要素要件
2.2.3 AVAILABLE TOOLS AND AUTOMATION	2.2.3 利用可能なツールと自動化
2.2.4 VALIDATION AND SIGNING	2.2.4 妥当性確認と署名
2.3 EXECUTION PHASE	2.3 実行フェーズ
2.3.1 SBOM GENERATION	2.3.1 SBOM生成
2.3.2 SBOM UTILISATION	2.3.2 SBOM活用
2.3.3 SBOM QUALITY	2.3.3 SBOM品質
2.3.4 SECURITY CONTROLS	2.3.4 セキュリティ管理
2.3.5 INTEGRATION AND AUTOMATION	2.3.5 統合と自動化
2.4 MONITORING AND CONTROLING PHASE	2.4 監視と制御フェーズ
2.4.1 VERSIONING AND UPDATES	2.4.1 バージョン管理と更新
2.4.2 COMPONENT HEALTH ASSESSMENT	2.4.2 コンポーネント健全性アセスメント
2.5 CLOSURE PHASE	2.5 終了フェーズ
3. PRACTICAL TIPS AND EXAMPLES	3. 実践的なヒントと事例
3.1 SBOM IMPLEMENTATION PATTERNS	3.1 SBOM実装パターン
3.2 IMPLEMENTATION CASE: MULTI-REPOSITORY SBOM AGGREGATION	3.2 実装事例：マルチリポジトリSBOM集約
3.2.1 TECHNICAL ARCHITECTURE	3.2.1 技術アーキテクチャ
3.2.2 DEPENDENCY GRAPH CONSTRUCTION	3.2.2 依存関係グラフ構築
3.2.3 DATA PIPELINE IMPLEMENTATION	3.2.3 データパイプライン実装
3.2.4 OPERATIONAL WORKFLOWS	3.2.4 運用ワークフロー
3.2.5 ADVANCED TECHNICAL CAPABILITIES	3.2.5 高度な技術的機能
3.2.6 PRACTICAL DEPLOYMENT CONSIDERATIONS	3.2.6 実践的な展開上の考慮事項
A GLOSSARY & ACRONYMS	A 用語集と略語
B BIBLIOGRAPHY / REFERENCES	B 参考文献
C EXAMPLE FOR CAPACITY BUILDING AND STAFF SKI	C 能力構築とスタッフスキルの開発例
DEVELOPMENT	C.1 役割適応フレームワーク
C.1 ROLE ADAPTATION FRAMEWORK	C.1 役割適応枠組み
C.2 COMPETENCY DEVELOPMENT MATRIX	C.2 能力開発マトリックス
C.3 IMPLEMENTATION TIMELINE EXAMPLE	C.3 実装タイムラインの例
C.4 SUCCESS METRICS AND KPIS	C.4 成功指標とKPI
C.5 LESSONS LEARNED FROM IMPLEMENTATION	C.5 実装から得た教訓
D STAKEHOLDER CATEGORIES	D ステークホルダーのカテゴリー
D.1 SOFTWARE PRODUCERS/MANUFACTURERS	D.1 ソフトウェア生産者／製造事業者
D.2 SOFTWARE PROCUREMENT EVALUATOR	D.2 ソフトウェア調達評価者
D.3 SOFTWARE OPERATORS	D.3 ソフトウェア運用者
D.4 STANDARDISATION BODIES	D.4 標準化団体
D.5 CYBERSECURITY AGENCIES AND ENTITIES	D.5 サイバーセキュリティ機関及び事業体
D.6 SUPPORTING STAKEHOLDERS (ENABLING ECOSYSTEM DEVELOPMENT)	D.6 支援ステークホルダー（エコシステム開発の促進）
E ADDITIONAL INFORMATION ABOUT SBOM FORMATS	E SBOMフォーマットに関する追加情報
E.1 SPDX (SYSTEM PACKAGE DATA EXCHANGE)	E.1 SPDX（システムパッケージデータ交換）
E.2 CYCLONEDX	E.2 CYCLONEDX
F DETAILED MAPPING AND COMPATINILITY BETWEEN FORMATS	F フォーマット間の詳細なマッピングと互換性
F.1 COMPATIBILITY OVERVIEW	F.1 互換性の概要
F.2 CORE FIELD MAPPING	F.2 コアフィールドのマッピング
F.3 INFORMATION LOSS SCENARIOS	F.3 情報損失シナリオ
G TOOLS FOR CONVERTING AND TRANSLATING BETWEEN SBOM STANDARDS	G SBOM標準間の変換・翻訳ツール
G.1 TOOL CATEGORIES AND CHARACTERISTICS	G.1 ツールカテゴリーと特性
G.2 REQUIRED CAPABILITIES ASSESSMENT	G.2 必要機能の評価
H SBOM VALIDATION AND QUALITY CHECKLIST	H SBOM妥当性確認と品質チェックリスト
H.1 PRE-DEPLOYMENT VALIDATION GATE	H.1 展開前妥当性確認ゲート
H.2 RUNTIME VERIFICATION POINTS	H.2 実行時検証ポイント
H.3 PERIODIC QUALITY ASSESSMENT	H.3 定期的な品質アセスメント
H.4 INCIDENT RESPONSE VALIDATION	H.4 インシデント対応検証
H.5 CRITICAL CONTROL POINTS	H.5 重要管理ポイント
H.6 VALIDATION TOOLCHAIN REQUIREMENTS	H.6 検証ツールチェーン要件
H.7 PIPELINE INTEGRATION CHECKPOINTS	H.7 パイプライン統合チェックポイント
I CI/CD INTEGRATION EXAMPLES	I CI/CD 統合事例

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
Software Bills of Materials (SBOMs) represent a fundamental shift in how organisations understand, manage, and secure their software estates. Beyond immediate compliance drivers, SBOM adoption establishes the foundation for a transparent, resilient, and strategically managed software supply chain that transforms reactive security practices into proactive risk management capabilities.	ソフトウェア部品表（SBOM）は、組織がソフトウェア資産を理解し、管理し、保護する方法を根本的に変えるものである。即時のコンプライアンス要件を超えて、SBOMの導入は、透明性が高く、レジリエンスに富み、戦略的に管理されたソフトウェアサプライチェーンの基盤を確立する。これにより、事後対応型のセキュリティ慣行が、事前予防型のリスクマネジメント能力へと変革される。
This report provides comprehensive implementation guidance for European Entities navigating SBOM adoption, with particular emphasis on practical approaches for resource-constrained environments. The frameworks presented enable organisations to progress from minimal compliance to operational excellence through structured, incremental adoption pathways.	本報告書は、SBOM導入を進める欧州事業体向けに包括的な実装ガイダンスを提供する。特にリソース制約環境における実践的アプローチに重点を置く。提示された枠組みにより、組織は構造化された段階的導入経路を通じて、最低限のコンプライアンスから運用上の卓越性へと進展できる。
SBOMs are not just static compliance artifacts, their data can also become the basis of dynamic operational intelligence assets. Organisations implementing comprehensive SBOM practices today position themselves to leverage automated security response, predictive supply chain analytics, and evidence-based architectural decisions. The transparency gained through systematic component tracking enables informed technology choices, optimised vendor relationships, and demonstrable security maturity that increasingly determines market competitiveness.	SBOMは単なる静的なコンプライアンス文書ではない。そのデータは動的な運用インテリジェンス資産の基盤ともなり得る。今日、包括的なSBOM実践を導入する組織は、自動化されたセキュリティ対応、予測型サプライチェーン分析、証拠に基づくアーキテクチャ決定を活用する立場を確立している。体系的なコンポーネント追跡によって得られる透明性は、情報に基づいた技術選択、最適化されたベンダー関係、そして市場競争力をますます決定づける実証可能なセキュリティ成熟度を可能にする。
Mature SBOM capabilities deliver compound benefits across technical, operational, and business dimensions. Technical teams gain precise vulnerability impact assessment and accelerated incident response. Operational functions achieve streamlined compliance demonstration and reduced audit burden. Business leadership obtains quantifiable supply chain risk metrics and enhanced negotiation leverage with suppliers. These capabilities collectively transform software from an opaque operational risk into a transparent, manageable asset class.	成熟したSBOM能力は、技術的、運用的、ビジネス的次元において複合的な利益をもたらす。技術チームは、正確な脆弱性影響評価と迅速化されたインシデント対応を獲得する。運用機能は、効率化されたコンプライアンス実証と監査負担の軽減を達成する。経営陣は定量化可能なサプライチェーンリスク指標と、サプライヤーとの交渉力強化を得られる。これらの能力が相まって、ソフトウェアは不透明な運用リスクから、透明性が高く管理可能な資産クラスへと変容する。
The guidance acknowledges that successful SBOM implementation requires more than technical deployment—it demands organisational capability development, process integration, and cultural adaptation. By following the structured approaches detailed within, organisations can establish sustainable SBOM practices that deliver immediate security improvements whilst building towards comprehensive supply chain governance.	本ガイダンスは、SBOM導入の成功には技術的展開以上のものが必要であることを認めている。組織能力の開発、プロセス統合、文化の適応が求められるのだ。ここに詳述された構造化されたアプローチに従うことで、組織は持続可能なSBOM実践を確立できる。これにより即時のセキュリティ改善を実現しつつ、包括的なサプライチェーンガバナンス構築へと向かうことができる。

● まるちゃんの情報セキュリティ気まぐれ日記

SBOM

・2025.11.27 欧州委員会 SBOMの最新状況に関する調査 (2025.12.19まで)

・2025.09.18 ドイツ情報セキュリティ庁 BSI TR-03183: 製造事業者および製品に対するサイバーレジリエンス要件第2部：ソフトウェア部品表 (SBOM), 第3部：脆弱性報告および通知 (2025.09)

・2025.09.08 米国他主要国サイバーセキュリティのためのソフトウェア部品表（SBOM）に関する共通ビジョン

・2025.08.25 米国 CISA パブコメ 2025 年ソフトウェア部品表（SBOM）の最小要素

・2025.08.13 G7 人工知能のためのソフトウェア部品表に関する G7 の共通ビジョン (2025.06.12)

・2025.03.14 シンガポールオープンソースソフトウェアとサードパーティ依存のSBOMとリアルタイム脆弱性監視に関するアドバイザリー (2025.02.20)

・2024.11.25 欧州サイバーレジリエンス法、官報に掲載　(2024.11.20)

・2024.11.12 インド政府 CERT-In SBOM技術ガイド第１版 (2024.10.03)

・2024.11.09 ドイツ連邦セキュリティ室 (BSI) 意見募集 TR-03183：製造者及び製品に対するサイバーレジリエンス要件（一般要求事項、SBOM、脆弱性報告）

・2024.09.01 経済産業省ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0 (2024.08.29)

・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)

・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保：ソフトウェア部品表の開示に関する推奨事項

・2023.10.13 米国 CISA FBI NSA DOT 運用技術 (OT) および産業制御システム (ICS) におけるオープンソースソフトウェアのセキュリティ向上

・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ

・2023.09.01 NIST SP 800-204D（初期公開ドラフト）DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2023.08.30 日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183：製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.01 経済産業省ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引

・2023.07.09 米国 NSA CISA 継続的インテグレーション/継続的デリバリー（CI/CD）環境の防御に関する共同ガイダンス (2023.06.28)

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2021.05.13 米国国家のサイバーセキュリティ向上に関する大統領令

2026.01.08 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in IoT, in 安全保障 | Permalink | Comments (0)
Tweet

米国 CSET A米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ (2025.10)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します...

AI資源を外交に使おうという発想です。AIは広い意味でも生産性向上の不可欠な要素となってきています。現在のところAIサービスを提供する能力という意味では米国が圧倒的に有利な状況にいて、各国がそれを追いかける状況となっています。特に中国は米国の影響をできる限り避けるためにも国をあげて独自のAI開発を進めていますよね...もちろん、欧州も欧州連合がイニシアティブをとって進めていますし、英国もそうです。日本ももちろんそうなのですが、まだピリッとした感じがしないのは気のせいですかね...

さて、米国の立場からするとこの状況をうまく外交のカードとして使うことが重要となってきます。特に中国や欧州が台頭してくる前に有利な状況を作っておく必要があると言えます。そこでAI外交戦略が重要となってきているのかもしれません...

CSETが10月に公表した報告書では湾岸諸国でのAI関連の国家的取り組みについての分析を通じてAI外交戦略の立案の重要性が説明されています。特に米国の立場だと法の支配と民主主義的な価値観（ちょっと揺らぎつつあるのかもしれませんが...）をベースとした価値観とパッケージ化し、AI資源を、ここのケースに応じた１企業対外国政府という形態から、国家戦略に基づくAI外交フレームワークに基づいた戦略的な国際枠組みに変えていくことが重要となっています。要は、米国の利益のためのAI資源をどのように使うのか？ということになります。

で、この報告書での提案...

1. Establish a Structured, Rules-Based Framework for Access to U.S. AI	1. 米国AIへのアクセスに関する構造化されたルールベースの枠組みを確立する
2. Build a Layered Governance Architecture for AI Infrastructure	2. AIインフラのための多層的ガバナンス構造を構築する
3. Align Institutional Capacity with Strategic Objectives	3. 戦略目標と機構的能力の整合化
4. Launch an AI Cooperation Forum to Build Strategic Alignment	4. 戦略的連携を構築するための AI 協力フォーラムを立ち上げる

もっともな話だと思います。おそらく、今後米国はAI資源を外交のカードとして利用してくると思います。そうなったときに日本はどうするのか？ということになります。

日本が取りうるオプションはいくつかあるとは思います。例えば、（１）日米垂直統合（日本が米国のAI資源の不可欠な一部になる）、（２）日本完結（日本が独自のソブリンAIをつくり運用する。ハード、ソフトとも揃える）、（３）多国間協力（多国間での連携体をつくり開発・運用する）

（１）はおそらく米国がYesと言わないのでありえないと思います。となると、（２）か（３）。

どちらも難しいですが、早く決めないとオプションがどんどん減っていくかもですね...

● CSET

・2025.10 U.S. AI Statecraft - From Gulf Deals to an International Framework

U.S. AI Statecraft - From Gulf Deals to an International Framework

米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ

Recent U.S.-Gulf AI partnerships represent billions of dollars in strategic technology deals, but they raise critical questions about governance, oversight, and long-term influence. This analysis examines four major AI initiatives with Saudi Arabia and the United Arab Emirates, discussing critical issues including fragmented oversight, technology diversion, and AI sovereignty. It proposes a framework to transform ad hoc dealmaking into principled, transparent, and rule-bound AI statecraft that advances U.S. interests, strengthens technology relationships with allies and partners, and establishes durable governance mechanisms for U.S. AI deployments abroad.

最近の米国と湾岸諸国とのAI提携は、数十億ドル規模の戦略的技術取引を意味するが、ガバナンス、監督体制、長期的な影響力に関する重大な疑問を提起している。本分析はサウジアラビアおよびアラブ首長国連邦との4つの主要AIイニシアチブを検証し、断片化した監督体制、技術の転用、AI主権といった重要課題を論じる。その上で、米国利益の推進、同盟国・パートナーとの技術関係の強化、海外における米国AI展開のための持続可能なガバナンス体制構築を実現するため、場当たり的な取引を原則・透明性・ルールに基づくAI外交へと転換する枠組みを提案する。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

Introduction	序論
Overview of Major U.S.–Gulf AI Initiatives (2024–2025)	主要な米国・湾岸諸国AIイニシアチブ概要（2024-2025年）
Microsoft–G42 Partnership (UAE, 2024)	マイクロソフト–G42提携（UAE、2024年）
Stargate UAE AI Campus (UAE, 2025)	スターゲートUAE AIキャンパス（UAE、2025年）
AWS–HUMAIN AI Zone Initiative (KSA, 2025)	AWS–HUMAIN AIゾーン構想（サウジアラビア、2025年）
NVIDIA–HUMAIN Partnership (KSA, 2025)	NVIDIA–HUMAINパートナーシップ（サウジアラビア、2025年）
Structures of U.S.–Gulf AI Partnerships	米国と湾岸諸国間のAIパートナーシップ構造
What Remains Uncertain, and Why It Matters	不透明な点とその重要性
Policy Recommendations: A U.S. Framework for an International AI Infrastructure	政策提言：国際AIインフラのための米国枠組み
Conclusion: From Transactions to Frameworks	結論：取引から枠組みへ
Endnotes	脚注

2026.01.08 00:00 in クラウド, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.07

欧州サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

こんにちは、丸山満彦です。

すこし古い話です(^^;; サイバーセキュリティ法（CSA）改正に関するはなし...

EUのサイバーセキュリティ関係法はデータ関連の法令も併せて混乱気味ですよね...

サイバー領域でも、CSAに続いてNIS2、サイバーレジリエンス法（CRA）、DORAが後から制定されました。規制簡素化はEUの重要なアジェンダですよね...

また、2019年から比較すると、地政学的な状況も変わってきています。2004年に時限的につくられたENISAが2019年のCSAにより恒久組織化されたわけですが、その後新たにいろいろと役割も追加されてきていることもあり、CSAで再定義する必要があるようです。

EUでは安全保障は各国ですることになっていますが、サイバーセキュリティは安全保障とのつながりが強いため、EUで機関をおかない（おいても時限的）と言う流れだったようです...2004年ENISA設置当時の話では...

さらに、欧州サイバーセキュリティ認証枠組み（ECCF）もうまくいっていない面もあり、再度調整が必要そうです。

クラウド認証（EUCS）の導入をめぐっては、主権要件をいれるかどうかで意見が分かれているようです...

この文書は、EUのサイバーセキュリティ法制度の今後の方向性を大まかに理解する上でも読んでおいた方が良いと思いました...

● European Parliament - Think Tank

・2025.12.09 Cybersecurity Act review: What to expect

Cybersecurity Act review: What to expect

サイバーセキュリティ法の見直し：今後の見通し

The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.

サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は依然として残っている。

・[PDF]

Cybersecurity Act review: What to expect	サイバーセキュリティ法の見直し：今後の見通し
The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.	サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は残っている。
The Cybersecurity Act in short	サイバーセキュリティ法の概要
Regulation (EU) 2019/881 (the CSA ) formalised the role of the European Cybersecurity Agency (ENISA ), giving it a permanent mandate, resources and tasks, including operational ones. It also established a voluntary EU cybersecurity certification framework (ECCF ) for ICT products, services and processes. The ECCF aims to set up and maintain specific certification schemes, allowing companies operating in the EU to use the certificates recognised across all Member States. In January 2025, a targeted amendment to the CSA was adopted, to enable the future adoption of European certification schemes for 'managed security services' covering areas such as incident response, penetration testing, security audits and consultancy. The CSA requires an evaluation and review every five years. Postponed several times, this is now expected on 14 January 2026.	規則（EU）2019/881（CSA）は欧州サイバーセキュリティ庁（ENISA）の役割を正式に定め、恒久的な権限・資源・任務（運用面を含む）を付与した。またICT製品・サービス・プロセス向けの任意参加型EUサイバーセキュリティ認証枠組み（ECCF）を設立した。ECCFは特定の認証スキームを確立・維持し、EU域内で事業を行う企業が全加盟国で認められる認証を利用できるようにすることを目的としている。2025年1月には、インシデント対応、ペネトレーションテスト、セキュリティ監査、コンサルティングなどの分野をカバーする「マネージドセキュリティサービス」向けの欧州認証スキームを将来的に導入可能とするため、CSAの特定改正が採択された。CSAは5年ごとの評価と見直しを義務付けている。数度延期された後、現在は2026年1月14日に実施が予定されている。
Evolving context	変化する状況
Since the CSA entered into force, cyber-attacks have been on the rise. This has prompted new EU cybersecurity laws to address the growing number and complexity of cyber threats . As a result , ENISA's roles and responsibilities have expanded. For example, ENISA supports implementation of the Directive on measures for a high common level of cybersecurity across the Union (NIS2 ) by providing technical guidelines, facilitating information sharing, and enhancing coordination between Member States. Similarly, ENISA supports implementation and enforcement of the Cyber Resilience Act (CRA ) by providing technical expertise, developing a single reporting platform for vulnerability and incident reporting, and supporting cybersecurity certification schemes.	CSA発効以降、サイバー攻撃は増加傾向にある。これにより、増加するサイバー脅威の数と複雑性に対処するため、新たなEUサイバーセキュリティ法が制定された。結果として、ENISAの役割と責任は拡大した。例えば、ENISAは技術ガイドラインの提供、情報共有の促進、加盟国間の連携強化を通じて、EU全域における高度な共通サイバーセキュリティ水準確保のための措置に関する指令（NIS2）の実施を支援している。同様に、ENISAは技術的専門知識の提供、脆弱性・インシデント報告のための単一プラットフォームの開発、サイバーセキュリティ認証スキームの支援を通じて、サイバーレジリエンス法（CRA）の実施と執行を支援している。
As regards certification, implementation of the ECCF has been challenging. So far, only one EU certification scheme has been adopted – the European cybersecurity scheme on common criteria (EUCC ), dedicated to certifying ICT products. All other schemes (cloud services – EUCS , 5G , digital identity wallets and managed security services ) are still under development. Additionally, there are concerns whether the ECCF effectively addresses non-technical supply-chain cybersecurity risks such as geopolitical dependencies. Questions have also been raised about how voluntary certification frameworks will align with the CRA, which establishes a presumption of conformity (in Article 27 ) for products certified under a recognised European scheme such as the EUCC.	認証に関しては、ECCFの実施は困難を極めている。現時点で採用されているEU認証スキームは、ICT製品の認証に特化した共通規準に基づく欧州サイバーセキュリティスキーム（EUCC）のみである。その他のスキーム（クラウドサービス向けEUCS 、5G、デジタルIDウォレット、およびマネージドセキュリティサービス向け）はいずれも開発段階にある。さらに、ECCFが地政学的依存関係などの非技術的サプライチェーンサイバーセキュリティリスクを効果的に対処できるか懸念されている。また、EUCCのような認定欧州スキームで認証された製品に対して適合性の推定（第27条）を定めるCRAと、任意認証枠組みがどのように整合するかも疑問視されている。
The proposal for a revised CSA therefore aims to address both ENISA's growing responsibilities and ECCF implementation. During the consultation, the Commission also gathered views on ICT supply chain security challenges and the simplification of cybersecurity rules, such as how to streamline reporting obligations.	したがって、改正CSA提案は、ENISAの拡大する責任とECCF実施の両方に対処することを目的としている。協議期間中、欧州委員会はICTサプライチェーンのセキュリティ課題やサイバーセキュリティ規則の簡素化（報告義務の効率化方法など）に関する意見も収集した。
CSA review: Points of convergence among stakeholders	CSA見直し：ステークホルダー間の合意点
The replies to the call for evidence for the CSA review have shown broad agreement that the CSA should be revised on the following issues: (i) streamline cybersecurity measures; (ii) enhance cyber resilience; and (iii) simplify the EU regulatory landscape. The review is seen as an opportunity to reduce administrative burden and compliance costs. A significant convergence point is the need to harmonise definitions and reporting requirements across major EU acts – such as NIS2, CRA and the General Data Protection Regulation (GDPR) – and establish a single EU incident notification platform. Such a platform has now been put forward in the proposal for a 'digital omnibus' regulation .	CSA見直しに向けた証拠提出要請への回答からは、以下の点でCSAを改正すべきとの広範な合意が示された：(i) サイバーセキュリティ対策の効率化、(ii) サイバーレジリエンスの強化、(iii) EU規制環境の簡素化。この見直しは行政負担とコンプライアンスコストを削減する機会と見なされている。主要なEU法令（NIS2、CRA、一般データ保護規則（GDPR）など）における定義と報告要件の調和、および単一のEUインシデント通知プラットフォームの確立が必要であるという点で、大きな合意が得られた。このようなプラットフォームは、「デジタルオムニバス」規制の提案において現在提唱されている。
There is consensus that ENISA's mandate should be clarified and strengthened to reflect the agency's growing operational responsibilities under new EU rules such as NIS2 and CRA. Stakeholders note that this expansion should be matched by adequate financial resources and staffing in order to ensure the agency's effectiveness. The view is that ENISA should serve as a central technical coordinator , to promote consistency and harmonise implementation of EU cybersecurity laws across the Member States, thereby reducing regulatory divergence. This echoes the Council conclusions of December 2024 on a stronger EU Agency for Cybersecurity. Poland went as far as calling for a separate law for ENISA , to separate this item from potential controversy around the EUCS discussions.	NIS2やCRAといった新たなEU規則下でENISAの業務責任が増大していることを反映し、ENISAの権限を明確化・強化すべきという点で合意が形成されている。関係者らは、この権限拡大には十分な財政資源と人員配置が伴わなければ、機関の有効性が確保できないと指摘する。ENISAは中核的な技術調整機関として機能し、加盟国間でEUサイバーセキュリティ法の一貫性と調和を促進し、規制の乖離を縮小すべきだという見解だ。これは、2024年12月の理事会結論「強化されたEUサイバーセキュリティ機関」の趣旨と一致する。ポーランドはさらに踏み込み、ENISAのための独立した法律を制定し、EUCS議論に伴う潜在的な論争からこの項目を切り離すよう求めた。
Stakeholders widely acknowledge that the process for developing and adopting certification schemes is too slow and opaque. They highlight that a more agile, transparent and inclusive process with clearer timelines is urgently needed. Furthermore, stakeholders underline that certification schemes should be based on and align with international standards in order to ensure global interoperability, maximise acceptance, and reduce compliance costs for companies operating internationally. The prevailing view is that certification schemes should also be leveraged as a recognised means of demonstrating conformity or compliance with security requirements stemming from other major EU legislative acts, including NIS2, CRA and the AI Act.	関係者らは広く、認証スキームの開発・採択プロセスが遅く不透明すぎることを認めている。彼らは強調する、より機敏で透明性が高く包括的なプロセスと明確なタイムラインが緊急に必要だと。さらに、ステークホルダーは、認証スキームが国際標準に基づき整合性を保つべきだと強調する。これにより、国際的な相互運用性を確保し、受容性を最大化し、国際的に事業を展開する企業のコンプライアンスコストを削減できるからだ。認証スキームは、NIS2、CRA、AI法を含む他の主要なEU立法措置から生じるセキュリティ要件への適合性またはコンプライアンスを証明する公認手段としても活用されるべきだという見解が主流だ。
Potential challenges	潜在的な課題
Disagreements revolve around the specific content and scope of certification schemes, particularly regarding sovereignty and the legal limits of ENISA's influence. The most contentious point is the inclusion of sovereignty requirements in certification schemes such as the EUCS. This issue divides stakeholders into those advocating measures to protect European digital autonomy (e.g. both data localisation and corporate headquarters based in the EU) and those prioritising open markets and technical neutrality. Pro-sovereignty advocates, and stakeholders supporting 'cloud by Europe ' models (i.e. entirely EU-based cloud service providers, not controlled by non-EU stakeholders), argue that these measures are crucial to protecting sensitive data and reinforcing EU strategic autonomy. By contrast, major tech companies, such as Microsoft , Amazon and Google , argue that non-technical criteria are subjective and do not improve cybersecurity outcomes, potentially restricting market access and innovation. At Member State level, too, positions are divided , with some countries expressing concern over sovereignty requirements, and others advocating in their favour.	意見の相違は、認証スキームの具体的な内容と範囲、特に主権とENISAの影響力の法的限界に関する点に集中している。最も議論の的となる点は、EUCSなどの認証スキームに主権要件を含めることである。この問題は利害関係者を、欧州のデジタル自律性を防御する措置（例：データローカリゼーションとEU域内に本社を置く企業の両方）を主張する側と、開放的な市場と技術的中立性を優先する側に分断している。主権重視派や「欧州発クラウド」モデル（非EU関係者に支配されない完全EU拠点のクラウドプロバイダ）を支持する関係者は、こうした措置が機密データの保護とEUの戦略的自律性強化に不可欠だと主張する。一方、Microsoft、Amazon、Googleなどの大手テック企業は、非技術的基準は主観的でサイバーセキュリティ効果を高めず、市場参入やイノベーションを阻害する可能性があると反論する。加盟国レベルでも立場は分かれており、一部の国々は主権要件に懸念を表明する一方、他の国々はこれを支持している。
On the nature of certification, the majority view is that it should remain mostly voluntary , to maintain flexibility and innovation. However, mandatory certification in critical sectors where high-security assurance is essential was also proposed. In addition, ENISA's regulatory power has sparked debate. Some stakeholders, including Amazon , oppose granting ENISA the authority to issue binding opinions or regulatory guidance, arguing that its role should remain technical and advisory.	認証の性質については、柔軟性と革新性を維持するため、主に任意のままであるべきという見解が大多数を占める。しかし、高いセキュリティ保証が不可欠な重要分野における義務的認証も提案された。加えて、ENISAの規制権限も議論を呼んでいる。Amazonを含む一部の利害関係者は、ENISAに拘束力のある意見や規制ガイダンスを発行する権限を与えることに反対し、その役割は技術的・助言的なものに留まるべきだと主張している。
It remains to be seen to what extent the Commission will consider stakeholders' views. The CSA review will also need to fit into the simplification of cybersecurity-related incident reporting obligations, which are part of the 'digital omnibus' proposal published on 19 November 2025.	欧州委員会が利害関係者の意見をどの程度考慮するかは、まだ見通せない。CSAの見直しは、2025年11月19日に公表された「デジタルオムニバス」提案の一部である、サイバーセキュリティ関連のインシデント報告義務の簡素化にも適合させる必要がある。

参考まで...

分類	法令名	種別	概要	発効日	適用開始日
個人データ保護	GDPR（Regulation (EU) 2016/679）	規則	EU全域の個人データ保護の基盤となる包括規則	2016.05.24	2018.05.25
データ共有・流通	Data Governance Act（Regulation (EU) 2022/868）	規則	データ共有の信頼性確保・データ仲介サービスの規律	2022.06.23	2023.09.24
データ共有・流通	Data Act（Regulation (EU) 2023/2854）	規則	IoT等のデータアクセス権・データ共有義務を定める横断規則	2024.01.11	2025.09.12 段階的
デジタル市場・プラットフォーム	Digital Services Act（Regulation (EU) 2022/2065）	規則	プラットフォームの透明性・違法コンテンツ対策を統一規制	2022.11.16	2024/2/17 VLOPs/VLOSEsは2023.08.25
デジタル市場・プラットフォーム	Digital Markets Act（Regulation (EU) 2022/1925）	規則	GAFA等ゲートキーパー企業の市場支配力を規制	2022.11.01	2023.05.02
AI	AI Act（Regulation (EU) 2024/1689）	規則	リスクベースでAIを規制し、高リスクAIに義務を課す	2024.08.01	2025〜2027年に段階的適用
サイバーセキュリティ	Cybersecurity Act（Regulation (EU) 2019/881）	規則	ENISA恒久化とEUサイバーセキュリティ認証制度（ECCF）創設	2019.06.27	2019.06.27〜認証は段階的
サイバーセキュリティ	NIS2 Directive（Directive (EU) 2022/2555）	指令	重要事業体のサイバー義務・インシデント報告を強化	2023.01.16	2024.10.17までに国内法化
製品セキュリティ	CRA（Cyber Resilience Act）Regulation (EU) 2024/2847	規則	ソフトウェア・IoT等の製品に「セキュリティ・バイ・デザイン」を義務化し、脆弱性管理・報告を規定	2024.12.10	2027.12.11から適用開始。製造者の脆弱性報告義務は2026.09.11から
金融ICTレジリエンス	DORA（Regulation (EU) 2022/2554）	規則	金融セクターのICTリスク管理・インシデント報告を統一	2023.01.16	2025.01.17

参考...

ENISA

EUサイバーセキュリティ認証の声

・2025.12.15 Voices of EU Cybersecurity Certification

Voices of EU Cybersecurity Certification	EUサイバーセキュリティ認証の声
A special publication by ENISA that incorporates feedback from stakeholders involved in building, maintaining, operating, and applying the first EU cybersecurity certification schemes.	ENISAによる特別刊行物。EU初のサイバーセキュリティ認証スキームの構築、維持、運用、適用に関わる関係者からのフィードバックをまとめたものである。

・[PDF]

2026.01.07 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in 危機管理 / 事業継続, in クラウド, in IoT, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

米国 CSET AIによる被害のメカニズム - AIインシデントから得た教訓 (2025.10)

こんにちは、丸山満彦です。

非常に興味深い内容と思います。

この報告書の分析のもととなった、AI Incident Database (AIID) では、現在は1200件を超えるAIインシデントデータが蓄積されています...それぞれの内容の精度はどうなのか分かりませんが、これほどのデータが集まっているのはそれなりの価値がありそうです。

昔、畑村先生（東京電力福島原子力発電所における事故調査・検証委員会の委員長）がつくった失敗知識データベースのAI版ですかね...

内容ですが、危害を構造的に整理したことから、危害の種類から、対策についても構造的に分析できるようになっています。これは、政策を考える上、企業が対策を考える上でも有益な整理だと思いました。

さらに、この整理を踏まえて、AIIDの内容をより精査していくことでより良い対策ができるような気がします。。。

この報告書では、危害を意図的な危害３、非意図的な危害３の合計６に分類しています。

意図性	Mechanism	メカニズム	概要	主体
意図的	Harm by Design	設計による危害	有害な目的で設計・開発されたAIシステムによる危害	開発者
	AI Misuse	AIの悪用	開発者の意図に反する危害を及ぼすためのAIシステムの使用	利用者
	Attacks on AI Systems	AIシステムへの攻撃	サイバー攻撃によって引き起こされたAIの行動または（不）作為による危害	攻撃者
非意図的	AI Failures	AIの失敗	AIのエラー、誤動作、またはバイアスによって引き起こされる危害	AIシステム
	Failures of Human Oversight	人間の監視の失敗	間と機械のチームが機能しなかった結果生じる危害	人間
	Integration Harm	統合的な危害	特定の文脈での展開が意図せぬ結果として引き起こす危害	組織・社会

対応...

意図性	メカニズム	典型的な事例	発生原因	政策・ガバナンス上の論点	主な対策
意図的	設計による危害	監視AI、兵器AI、ディープフェイク生成ツール	開発段階で害を目的化	禁止・規制の対象、国際ルール必要	法規制、輸出管理、開発許可制
	AIの悪用	フィッシング生成、マルウェア生成、詐欺支援	汎用モデルの悪用	開発者責任の範囲、利用者規制の難しさ	ガードレール、利用規約、監査ログ
	AIシステムへの攻撃	Jailbreak、データ汚染、モデル盗難	AIの脆弱性、攻撃耐性不足	AIセキュリティの標準化不足	レッドチーム、堅牢化、サイバー防御
非意図的	AIの失敗	誤認識、バイアス、誤判断	データ品質、モデル限界	評価指標の不備、透明性の欠如	テスト、監視、バイアス対策
	人間の監視の失敗	自動運転事故、医療AIの誤用	過信、理解不足、介入遅れ	人間中心設計、教育訓練の不足	トレーニング、説明性、介入権限
	統合的な危害	監視強化、差別の制度化、業務崩壊	社会制度との不整合	モデル性能ではなく制度設計の問題	影響評価、社会的ガバナンス、制度調整

「設計による危害」については、社会で受け入れられない危害を生み出すAIを法的に禁止するというアプローチが有用となりうる。EUは禁止領域を法制化しましたね...日本も社会で受け入れられない危害を生み出すAIの開発（利用も）は明確に禁止すべきですね...ただ、そのときに、社会で受け入れられない危害というのはどういうものか？というのがある程度明確にならないと新たに禁止することを決めるのは難しい。

「AIの悪用」はソフトローによる事前のガイドと、説明責任の明確化というのが考えられそうです。これは日本がとっているアプローチですね...利用に重きを置いているからそうなるような気がしました。

この報告書では政策に対する示唆として次の３つを挙げていますね...

1. A one-size-fits-all approach to harm mitigation will not work.	1. 危害軽減への画一的なアプローチは機能しない。
The pathways to harm are diverse, as this report illustrates, and require equally diverse mitigation strategies. Purely technical approaches will fall short, especially in addressing integration harms and failures of human oversight.	本報告書が示す通り、危害に至る経路は多様であり、同様に多様な緩和戦略を必要とする。純粋に技術的なアプローチでは不十分であり、特に統合的な危害や人間の監視の失敗に対処する上で限界がある。
2. Model capabilities, as proxied by computing power, are an inadequate predictor for the propensity to do harm.	2. 計算能力で測られるモデルの能力は、危害発生の傾向を予測する上で不十分である。
This report showcases many examples of single-purpose AI systems being implicated in harm. Concentrating risk mitigation efforts on advanced AI systems would fail to address the very real risks stemming from the irresponsible design, deployment, and use of specialized AI systems.	本報告書は、単一目的のAIシステムが危害に関与した事例を数多く示している。高度なAIシステムにリスク緩和策を集中させても、専門的なAIシステムの無責任な設計・展開・使用から生じる現実的なリスクには対処できない。
3. Comprehensive incident tracking is necessary to enhance our capacity to identify and respond to risks posed by AI.	3. AIがもたらすリスクを識別し対応する能力を高めるには、包括的なインシデント追跡が不可欠である。
While implementing broad, sociotechnical mitigation strategies can significantly reduce the occurrence of harm from AI, it will not prevent incidents entirely. As AI innovation reveals new capabilities with new failure modes, deployers design new use cases, and nefarious actors find new ways to attack and misuse AI systems, new harms will emerge. Agile responses and rapid adaptation of mitigating approaches, enabled by effective learning from incident reporting, are necessary to keep pace with technological innovation.	広範な社会技術的緩和策を実施すればAIによる被害発生を大幅に減らせるが、インシデントを完全に防ぐことはできない。 AIの革新が新たな機能と新たな故障モードを明らかにし、展開者が新たな利用ケースを設計し、悪意ある主体がAIシステムを攻撃・悪用する新たな方法を見出すにつれ、新たな被害が発生する。技術革新に追いつくためには、インシデント報告からの効果的な学習によって可能となる、機敏な対応と緩和策の迅速な適応が必要である。

これから、AIIDはより充実してくると思うので、見ておくと良いかもですし、日本からもどんどんデータを入れていけば良いように思いました...

● CSET

・2025.10 The Mechanisms of AI Harm: Lessons Learned from AI Incidents

・[PDF]

・[DOCX][PDF] 仮訳

● まるちゃんの情報セキュリティ気まぐれ日記

・2011.03.29 これも仕分けられたん？　「失敗知識データベース」サービス終了

ちなみに、失敗知識データベースは、畑村創造工学研究所に移った後、今は、特定非営利活動法人失敗学会でメンテされています...

・2005.03.24 失敗知識データベース　これはイイ

2026.01.07 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.06

JPCERT/CCの早貸理事のこと...

こんにちは、丸山満彦です。

私が監事を務めるJPCERT/CCの理事である早貸理事が昨年末にお亡くなりになりました。

早貸さんとは、法務省から経済産業省に出向されてからの付き合いになりますかね...当時は出入り自由だった経済産業省の３F西にセキュリティ担当が集まっていて、時々顔をだしていました。

早貸さんは、当時課長補佐と課長の間のような立場だったのかなぁ...存在感ありました...

「満面の笑みでえらいきっついこと言うなぁ...」というのが私の感想です。で、結構畳み掛けてくる時もあって。。。傑な人でした...ただ、人の話はよく聞いてくれましたし、一度きめたら、やり切る方でとても信頼できる人でした...

でいろいろと話をしていました。今でも覚えているのは、山口先生もたまたまおられたときに、IPA、JPCERT、JIPDECの機能役割の整理みたいな議論をしたことですかね...だいぶ前です...

その後、IPAのセキュリティセンター長（2003年）になられましたよね...一旦法務省に戻られたのですかね...（法務省の早貸さんから商業登記認証局の監査についての相談を受けたような気がする...）

そして、退官して2006年4月にJPCERT/CCの理事となりました...その時は山口先生が理事長だったかな...JPCERTも任意団体から有限責任中間法人（2003年）になっていましたね（私も2003年？監事になったような気がします...）

それ以来、ずっと理事と監事という関係で続いておりました。

2012年の白浜シンポジウムでは、山口先生、早貸さん、私でともに登壇しています...

コロナ前に病気になられて、コロナになって理事会もオンラインとなったこともあり、顔を合わせてお話しをする機会がなくなり、今回の訃報に至りました...

亡くなったのがまだ、実感湧かない...

「何やってんのよあんた！」って後ろから叩かれるような気もして、怖いやら、でもちょっと早貸さんのアドバイスも聞きたいなぁ...という感じもして...

ご冥福をお祈りいたします。

● JPCERT/CC

・2026.01.05 訃報 JPCERT/CC 理事早貸淳子氏

● まるちゃんの情報セキュリティ気まぐれ日記

早貸さんの名前が出てくる記事...

・2020.11.04 情報ネットワーク法学会第20回研究大会

・2012.05.27 白浜シンポおわりました！　今年で16回目

このとき、山口英さん、早貸さん、私が話をしていますね...（この回に私が何の話をしたかは覚えていない...）

【木曜日】
開会の挨拶		山岸直人	和歌山県警察本部長
14:00	講演	名和利男	サイバーディフェンス研究所	サイバー脅威の背景と実状理解
15:30	講演	山口英	奈良先端科学技術大学院大学	多様化する情報セキュリティ問題と国際化
16:30	講演	早貸淳子	JPCERTコーディネーションセンター	進化するインシデントレスポンス－攻撃の変質への対応、新たな領域への対応
【金曜日】
9:30	講演	西川徹矢	前内閣官房副長官補	我が国情報セキュリティ戦略についての一考察
10:30	講演	丸山満彦	デロイトトーマツリスクサービス
13:00	講演	西原敏夫	シスコシステムズ	シスコセキュリティレポート
14:00	講演	山川智彦	日本電信電話株式会社(NTT) 　セキュアプラットフォーム研究所	NTTグループが考えるセキュリティ対応の在り方
	講演	小向太郎	（株）情報通信総合研究所	CSIRTと法執行機関の連携に関する法的課題
15:00	講演	間仁田裕美	警察庁	サイバー攻撃の脅威と現状
16:00	講演	寺田真敏	（株）日立製作所　システム開発研究所	遠隔操作ツール　RATの紹介　～Poison lvy～、企業におけるサイバー攻撃対策の再考
【土曜日】
9:30	講演	鵜飼祐司	フォティーンフォティ技術研究所	仮想環境に依存しない動的解析システム"egg"の設計と実装
10:30	講演	辻伸弘	NTTデータ先端技術株式会社	ペネトレーションテスターより愛を込めてSE ～攻撃視点からの提案～
11:30	コンテスト結果発表、講評	三輪　信雄、他
	挨拶	上村昌博	経産省

2026.01.06 12:04 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

米国 CSET AIガイダンスの調和 - 自主標準とベストプラクティスを統一的枠組みに集約する (2025.09)

こんにちは、丸山満彦です。

サイバーセキュリティもそうなのですが、AIのコントロールについて、国際標準を決めている一方で、行政機関を含む様々な団体が、それぞれの目標を意識して、さまざまなAIのガイド等を公表しているので、それぞれの組織がどのようなガイドを、どのように利用するべきかを検討する必要がある。ところが小さな組織等では、その分析の時間もとれずに何も進まないということもおきているように思える。。。

現状には次のような問題がある、ガイド等の乱立による情報過多、情報源の分散による理解不足。そして、ガイドについても、理解困難な用語、実装詳細の欠如があり、実装にたどり着けない。。。そして、よくある万能型ガイドを目指した結果、かえって誰も使えないガイドになってしまう。。。

ということで、世界のガイド等を収集（52文書）し、推奨事項（約7,700）を抽出し、用語等の標準化を行い、推奨事項を分析し、クラスタリングをし、妥当性の確認をした統一的な推奨事項（調和編）を作成したようです。

５つの包括的カテゴリ、34のトピック領域、258の推奨事項...

そしてその後、推奨事項を実装するガイド（運用編）を作成し、AIユースケースにガイドを適用した事例の紹介文書（適応編）をつくっていくようです...

大変興味深く意義深い取り組みだと思います。問題はこれがどれだけ認知され、利用され、改善されていくかということなのでしょうね...

ちなみに５つの包括的カテゴリ、34のトピック領域とそこに含まれる推奨事項の数はこんな感じ...

I	ガバナンス	57
(1)	戦略とリーダーシップ（SL）		5
(2)	管理 (MG)		8
(3)	リスクマネジメント（RM）		10
(4)	IT管理（IT）		10
(5)	サプライチェーン（SC）		7
(6)	労働力と訓練（WF）		5
(7)	インベントリー（IV）		5
(8)	監査とコンプライアンス（AU）		7
II	安全	64
(1)	責任ある事業活動（RC）		6
(2)	ステークホルダー (ST)		6
(3)	社会的影響（SI）		7
(4)	影響力と信頼 (IM)		8
(5)	公平性と合成コンテンツ (FS)		5
(6)	テストと評価（TE）		8
(7)	パフォーマンス監視（PM）		5
(8)	トレーサビリティ（TR）		6
(9)	透明性と監視（TO）		7
(10)	モデルセーフガード（SG）		6
III	セキュリティ	84
(1)	セキュリティ管理（SM）		8
(2)	設計・開発（DD）		10
(3)	脆弱性 (VN)		7
(4)	IDと認証（IA）		9
(5)	アクセス管理（AC）		9
(6)	ネットワークセキュリティ（NS）		8
(7)	情報セキュリティ（IS）		9
(8)	エンドポイントセキュリティ（ES）		8
(9)	人事・メディアセキュリティ（MS）		10
(10)	物理的セキュリティ（PS）		6
IV	プライバシー	20
(1)	プライバシープログラム（PP）		10
(2)	監査可能性とコンプライアンス		10
V	検知と対応	33
(1)	監査ログ記録（LG）		7
(2)	監視（MO）		8
(3)	インシデント対応（IR）		9
(4)	レジリエンスと復旧（RR）		9

● CSET

・2025.09 Harmonizing AI Guidance: Distilling Voluntary Standards and Best Practices into a Unified Framework

Harmonizing AI Guidance: Distilling Voluntary Standards and Best Practices into a Unified Framework

AIガイダンスの調和：自主標準とベストプラクティスを統一枠組みに集約する

Organizations looking to adopt artificial intelligence (AI) systems face the challenge of deciphering a myriad of voluntary standards and best practices—requiring time, resources, and expertise that many cannot afford. To address this problem, this report distills over 7,000 recommended practices from 52 reports into a single harmonized framework. Integrating new AI guidance with existing safety and security practices, this work provides a road map for organizations navigating the complex landscape of AI guidance.

人工知能（AI）システムの導入を検討する組織は、無数の自主標準とベストプラクティスを解読するという課題に直面している。これには多くの組織が負担できない時間、リソース、専門知識が必要だ。この問題を解決するため、本報告書は52の報告書から7,000件以上の推奨実践を抽出し、単一の調和された枠組みに集約した。新たなAIガイダンスを既存の安全・セキュリティ慣行と統合することで、複雑なAIガイダンス環境をナビゲートする組織のためのロードマップを提供する。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

Executive Summary	エグゼクティブサマリー
Introduction	序論
Background	背景
A Divided and Shifting Landscape	分断され、変化する状況
Challenges in Operationalizing AI Guidance	AIガイダンスの実践における課題
Methods	方法論
Collating Existing Guidance	既存ガイダンスの収集
Harmonizing Recommendations	推奨事項の調和
Limitations	制限事項
Harmonization Results	調和化結果
Clustering	クラスタリング
Framework Validation	枠組み妥当性確認
CSET’s Harmonized AI Framework	CSETの調和されたAI枠組み
Governance	ガバナンス
Strategy & Leadership (SL)	戦略とリーダーシップ（SL）
Management (MG)	管理 (MG)
Risk Management (RM)	リスクマネジメント（RM）
IT Management (IT)	IT管理（IT）
Supply Chain (SC)	サプライチェーン（SC）
Workforce & Training (WF)	労働力と訓練（WF）
Inventory (IV)	インベントリー（IV）
Audit & Compliance (AU)	監査とコンプライアンス（AU）
Safety	安全性
Responsible Business Conduct (RC)	責任ある事業活動（RC）
Stakeholders (ST)	ステークホルダー (ST)
Societal Impact (SI)	社会的影響（SI）
Impact & Trust (IM)	影響力と信頼 (IM)
Fairness & Synthetic Content (FS)	公平性と合成コンテンツ (FS)
Test & Evaluation (TE)	テストと評価（TE）
Performance Monitoring (PM)	パフォーマンス監視（PM）
Traceability (TR)	トレーサビリティ（TR）
Transparency & Oversight (TO)	透明性と監視（TO）
Model Safeguards (SG)	モデルセーフガード（SG）
Security	セキュリティ
Security Management (SM)	セキュリティ管理（SM）
Design & Development (DD)	設計・開発（DD）
Vulnerabilities (VN)	脆弱性 (VN)
Identity & Authentication (IA)	IDと認証（IA）
Access Control (AC)	アクセス管理（AC）
Network Security (NS)	ネットワークセキュリティ（NS）
Information Security (IS)	情報セキュリティ（IS）
Endpoint Security (ES)	エンドポイントセキュリティ（ES）
Personnel & Media Security (MS)	人事・メディアセキュリティ（MS）
Physical Security (PS)	物理的セキュリティ（PS）
Privacy	プライバシー
Privacy Program (PP)	プライバシープログラム（PP）
Handling PII (PI)	個人識別情報（PII）の取り扱い
Detection & Response	検知と対応
Audit Logging (LG)	監査ログ記録（LG）
Monitoring (MO)	監視（MO）
Incident Response (IR)	インシデント対応（IR）
Resilience & Recovery (RR)	レジリエンスと復旧（RR）
Insights	インサイト
The Focus of Existing AI Guidance Reports	既存のAIガイダンス報告書の焦点
Where There Are Gaps in AI Guidance	AIガイダンスの不足箇所
Conclusion	結論
Authors	著者
Acknowledgements	謝辞
Appendix	附属書
List of Guidance Documents Examined	検討したガイダンス文書の一覧
Example of Standardization	標準の例
Summary of Clustering and Harmonization Results	クラスタリングと調和の結果の概要
Endnotes	脚注

258のすべての推奨事項の仮訳...

↓

Continue reading "米国 CSET AIガイダンスの調和 - 自主標準とベストプラクティスを統一的枠組みに集約する (2025.09)"

2026.01.06 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2026.01.05

米国 CSET 中国武漢の人工知能開発：汎用人工知能（AGI）に向けた中国の新たな跳躍台 (2025.05)

こんにちは、丸山満彦です。

中国の武漢市が、汎用人工知能（AGI）を実現するための国家的な実験場（テストベッド）として急速に台頭しているようですね...現在、世界のAI開発は大規模言語モデル（LLM）の規模拡大が主流だが、中国はそれとは異なる「身体性（Embodiment）」というアプローチを戦略的に採用していますよね...

これは、AIをデジタル空間に閉じ込めるのではなく、物理的な産業現場や複雑な社会システムの中に「身体性」を持たせて配置し、現実世界との相互作用を通じて知能を自己進化させる手法ですよね...

武漢市は、この野心的な試みを都市規模で実行するためのインフラ、研究機関、産業エコシステムを備えているということのようです...

社会実装のシュミレーター...西欧文化の価値観では実現しずらいことを考えているような気はします...

上海、北京だけでなく、広く中国でAI開発が加速しているのですかね...

● CSET

・2025.05 Wuhan’s AI Development: China’s Alternative Springboard to Artificial General Intelligence (AGI)

Wuhan’s AI Development	武漢の人工知能開発
China’s Alternative Springboard to Artificial General Intelligence (AGI)	汎用人工知能（AGI）に向けた中国の新たな跳躍台
Wuhan, China’s inland metropolis, is paving the way for a nationwide rollout of “embodied” artificial intelligence meant to fast-track scientific discovery, optimize production, streamline commerce, and facilitate state supervision of social activities. Grounded in real-world data, the AI grows smarter, offering a pathway to artificial “general” intelligence that will reinforce state ideology and boost economic goals. This report documents the genesis of Wuhan’s AGI initiative and its multifaceted deployment.	中国内陸部の大都市・武漢は、科学的発見の加速、生産の最適化、商業の効率化、そして社会活動に対する国家監視の促進を目的とした「具現化された」人工知能の全国展開に向けた道筋を整備している。現実世界のデータに基づき、このAIはより賢くなり、国家イデオロギーを強化し経済目標を推進する人工「汎用」知能への道筋を提供する。本報告書は武漢の汎用人工知能（AGI）構想の起源とその多面的な展開を記録するものである。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

Executive Summary	エグゼクティブサマリー
Introduction	序論
Large Computing Centers	大規模計算センター
AI Research Institutes	AI研究機構
The AI Industry Chain	人工知能産業チェーン
Wuhan’s AGI Initiatives	武漢の汎用人工知能（AGI）構想
Values and Embodiment	価値観と身体性
Recommendations	提言
Authors	著者
Acknowledgements	謝辞
Appendix	附属書
Endnotes	脚注

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
DeepSeek’s emergence as a successful generative model—a niche where the United States was believed to hold an uncontested lead—is causing global artificial intelligence watchers to reassess China’s standing in the race toward artificial general intelligence (AGI) and pay closer attention to China’s AI research and deployment.	DeepSeekが成功した生成モデルとして登場したことで、米国が圧倒的な優位性を保っていると信じられていた分野において、世界の人工知能ウォッチャーは人工汎用知能（AGI）への競争における中国の立場を再評価し、中国のAI研究と展開により注目するようになった。
While large models continue to account for a significant part of its AI investment, China’s top state-funded AI institutes are exploring alternative approaches to AGI that involve embodying AI algorithms in real environments. Imbued with the Chinese Communist Party’s pre-defined values, the AI interacts with its natural surroundings, learning as it proceeds.	大規模モデルへの投資が依然としてAI投資の大部分を占める一方で、中国の主要な国費支援AI機構は、AIアルゴリズムを実環境へ組み込むというAGIへの代替アプローチを模索している。中国共産党が予め定義した価値観を内包したAIは、自然環境と相互作用しながら学習を進めていく。
The test bed for this proactive approach to AGI is China’s inland city of Wuhan, where the Chinese Academy of Sciences’ (CAS) Institute of Automation, Huawei, and a Peking University consortium are infusing the city’s industrial and commercial enterprises with AI services and deploying a “social simulator” that expands AI’s reach to all aspects of daily life.	この積極的なAGIアプローチの実験場となっているのが中国内陸部の都市・武漢だ。中国科学院自動化研究所、ファーウェイ、北京大学コンソーシアムが連携し、同市の産業・商業エンタープライズにAIサービスを導入するとともに、日常生活のあらゆる側面にAIの適用範囲を広げる「社会シミュレーター」を展開している。
The intent is to optimize production and supervise social interaction while affording the AI opportunities to become more intelligent, catalyzing its evolution into AGI. The Wuhan implementation is seen by its state-backed entities as a stepping stone to deployment throughout China, raising questions about the type of technosociety with which the United States needs to compete.	その目的は、生産を最適化し社会的な相互作用を監督すると同時に、AIがより賢くなる機会を与え、汎用人工知能（AGI）への進化を促進することにある。武漢での実施は、国が支援する事業体によって中国全土への展開への足がかりと見なされており、米国が競争すべき技術社会（テクノソサエティ）の形態について疑問を投げかけている。

提言...

Recommendations	提言
Technology initiatives meant for nationwide deployment typically begin in China with local, proof-of concept “demonstrations” (示范) or “model” (模范) projects, and Wuhan has served as the starting point for such in at least two other cases.⁸⁰ If the Wuhan AGI project succeeds, or is seen to show promise, we can expect the Beijing government to follow through with its plan to deploy the system elsewhere in China. We recommend this process be closely monitored given its importance and potential challenges.	全国展開を目的とした技術イニシアチブは、中国では通常、地域レベルでの概念実証「デモンストレーション」（示范）または「モデル」（模范）プロジェクトから始まる。武漢は少なくとも他の2件の事例において、こうした取り組みの出発点として機能してきた^。(80) 武漢のAGIプロジェクトが成功するか、あるいは有望と見なされれば、北京政府が中国国内の他地域へのシステム展開計画を推進することが予想される。このプロセスは重要かつ潜在的な課題を抱えているため、厳重な監視が必要だ。
This recommendation is a microcosm of the authors’ standing plea for the United States and its allies to devote serious resources to track China’s technological progress in general, as our national insight falls far short of Beijing’s comprehensive understanding of foreign scientific trends.⁸¹	この提言は、米国の国家的な洞察力が北京の外国科学動向に対する包括的理解に遠く及ばない現状を踏まえ、米国とその同盟国が中国の技術進歩全般を追跡するために真剣な資源を投入すべきだという著者らの常なる訴えの縮図である。⁸¹
Beyond the obvious need to assess—and forecast—China’s technology initiatives, there may be lessons to learn from China; in particular, its support for alternative approaches to AGI and early infusion of AI into industry and society.	中国の技術イニシアチブをアセスメント・予測する必要性は言うまでもないが、中国から学ぶべき教訓もある。特に、汎用人工知能（AGI）への代替アプローチ支援や、産業・社会へのAI早期導入といった点だ。
China’s commitment to multiple paths to AGI—a theme the present authors have emphasized in prior reporting⁸²—was restated in the NSFC’s “Guide to the 2025 Annual Projects,” both in a general sense (“developing a system of new AI methods”) and in multiple categories that describe alternative AGI approaches beyond the large generative models that occupy nearly all of western AI developers’ and policymakers’ attention.⁸³	中国がAGI達成に向けた複数経路を追求する姿勢——本稿の筆者が過去の報告で強調してきたテーマである⁸²——は、NSFCの「2025年度プロジェクト実施要領」において再確認された。これは一般的な文脈（「新たなAI手法体系の開発」）だけでなく、西洋のAI開発者や政策立案者の関心のほぼ全てを占める大規模生成モデルを超えた、代替AGIアプローチを記述する複数のカテゴリーにおいても明示されている。⁸³
Finally, China’s well-known penchant for operationalizing technical breakthroughs⁸⁴— seen here in its roll-out of public-facing AI initiatives to bolster scientific research and optimize commerce and production—could serve if not as a model then as a stimulus for U.S. efforts to revitalize our own domestic industry by infusing it with AI.⁸⁵ While focusing on AI safety and the dangers of weaponization, we should also keep in mind the real possibility of being out-competed by a country that moves more quickly and decisively to realize the promises that AI offers.	最後に、中国が技術的ブレークスルーを実用化する傾向⁸⁴は、科学研究の強化や商業・生産の最適化を目的とした公共向けAIイニシアチブの展開に見られる通り、米国が自国の産業をAIで活性化させる取り組みにおいて、モデルとは言えなくとも刺激となる可能性がある。⁸⁵ AIの安全性や兵器化の危険性に焦点を当てる一方で、AIが約束する可能性をより迅速かつ断固として実現する国に競争で敗れる現実的な可能性も念頭に置くべきだ。

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.05 米国 CSET 中国武漢の人工知能開発：汎用人工知能（AGI）に向けた中国の新たな跳躍台 (2025.05)

・2026.01.05 米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)

・2026.01.04 米国 CSET 中国の身体性AI (2025.12)

2026.01.05 00:00 in ロボット, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)

こんにちは、丸山満彦です。

２年間2,800件超の契約データの分析です...

中国の人民解放軍の強化のために以前から官民融合戦略（軍需産業企業も民需品をつくり経営を安定させ、先端技術を市場に供給する。民間企業のよいものは軍も利用する）という概念は重要視されていましたが、AIについてもそれは同じで、新しいAI企業のサービス等も軍に利用されているようですね。人民解放軍のサプライヤー基盤が従来の防衛企業から新興の民間企業や一般大学へと劇的に拡大・多様化しているようです...

多数の「非伝統的ベンダー」が人民解放軍のAI化を支えている可能性がありますね...従来の制裁や輸出管理の枠組みが十分には機能しなくなっているかもしれませんね...

● CSET

・2025.09 Pulling Back the Curtain on China’s Military-Civil Fusion

Pulling Back the Curtain on China’s Military-Civil Fusion	中国の「軍民融合」のベールを剥ぐ：
How the PLA Mobilizes Civilian AI for Strategic Advantage	人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか
China’s efforts to develop AI-related military capabilities have garnered significant interest in the United States. Drawing on 2,857 AI-related defense contract award notices published between January 2023 and December 2024, this report finds that while China’s legacy defense sector players lead AI-related military procurement, an emerging set of nontraditional vendors and research institutions appears to play a consequential role as well.	中国がAI関連の軍事能力を開発する取り組みは、米国で大きな関心を集めている。2023年1月から2024年12月までに公表された2,857件のAI関連防衛契約授与通知を分析した本報告書は、中国の伝統的な防衛産業がAI関連の軍事調達を主導している一方で、新興の非伝統的ベンダーや研究機構も重要な役割を果たしていることを明らかにした。

・[PDF]

・[DOCX][PDF] 仮訳

Executive Summary	エグゼクティブサマリー
Over the past several years, China has worked to transform the People’s Liberation Army into a sophisticated, highly capable force that can compete with the U.S. military. In so doing, Beijing has reformed the PLA and rolled out various policies to fast-track military modernization. Key to the Chinese government’s aims is the use of artificial intelligence (AI) and related technologies to boost the Chinese military’s development and adoption of advanced capabilities to outmatch rivals in future conflicts. To accelerate military modernization, Beijing has encouraged the PLA and state-owned defense conglomerates to work more closely with the civilian sector under its militarycivil fusion (MCF) strategy. By fostering closer coordination between the defense and civilian sectors, China’s top leaders believe that the PLA can match and eventually surpass U.S. military capabilities.	過去数年間、中国は人民解放軍を高度に洗練された、米軍と対抗可能な戦力へと変革する取り組みを進めてきた。この過程で北京は解放軍を改革し、軍事近代化を加速させる様々な政策を展開した。中国政府の目標の核心は、人工知能（AI）及び関連技術を活用し、将来の紛争で敵を凌駕する先進能力の開発・導入を促進することにある。軍事現代化を加速させるため、北京は「軍民融合」戦略のもと、人民解放軍と国有防衛企業に対し、民間部門との連携強化を促している。防衛部門と民間部門の緊密な連携を促進することで、中国の最高指導部は、人民解放軍が米軍の能力に匹敵し、最終的にはそれを凌駕できると確信している。
This report leverages a novel dataset of 2,857 AI-related contract award notices published by the PLA between January 2023 and December 2024. From these documents, we identified 1,560 different organizations that won at least one such AIrelated contract. We focus our analysis on the 338 entities awarded at least two AIrelated contracts, collecting open-source information on each to shed light on China’s AI-related defense industrial base. Furthermore, we assign each entity to one of three categories: state-owned enterprises (SOEs), research institutions, and nontraditional vendors.	本報告書は、2023年1月から2024年12月にかけて人民解放軍が公表した2,857件のAI関連契約授与通知という新規データセットを活用している。これらの文書から、少なくとも1件のAI関連契約を獲得した1,560の異なる組織を識別した。分析対象はAI関連契約を2件以上獲得した338事業体に絞り、各事業体について公開情報を収集し、中国のAI関連防衛産業基盤の実態を明らかにする。さらに各事業体を国有企業（SOE）、研究機構、非伝統的ベンダーの3カテゴリーに分類した。
Our analysis shows that SOEs and research institutions with longstanding ties to the PLA continue to lead AI-related military procurement. Of the fifteen top awarded entities in the dataset, eleven were either SOEs or defense-affiliated research institutions. The SOEs that won the most contracts were China Electronics Technology Group Corporation (CETC), China Aerospace Science and Technology Corporation (CASC), and China North Industries Group Corporation (NORINCO). The Seven Sons of National Defense—a group of universities closely affiliated with China’s defense sector—and various affiliates of the Chinese Academy of Sciences were also among the top awarded entities in the dataset, reflecting their importance in supporting China’s military modernization efforts. In short, many of the same organizations that have historically driven Chinese defense technology advancements are also the top suppliers of AI-related goods and services within our dataset.	我々の分析によれば、長年人民解放軍と密接な関係を持つ国有企業（SOE）や研究機構が、AI関連の軍事調達を主導し続けている。データセットで上位15の受注事業体のうち、11事業体が国有企業か防衛関連研究機構であった。最も多くの契約を獲得した国有企業は、中国電子科技集団公司（CETC）、中国航天科技集団公司（CASC）、中国北方工業公司（NORINCO）である。国防の七兄弟と呼ばれる中国国防部門と密接な関係を持つ大学群や、中国科学院の様々な関連機関も、データセット内の主要受注機関に含まれており、これらが中国の軍事近代化を支える上で重要な役割を担っていることを示している。要するに、歴史的に中国の防衛技術進歩を牽引してきた組織の多くが、我々のデータセット内でもAI関連製品・サービスの主要供給者となっているのである。
Nonetheless, the dataset reveals that an emerging class of firms and universities appears to also play a consequential role in China’s AI-related military procurement. Close to three-quarters of the 338 entities analyzed in this report are nontraditional vendors (NTVs), or firms with no self-reported state ownership ties. NTVs won 764 contracts, the most of any of the three categories. Most NTVs were established relatively recently, with two-thirds founded after 2010. On their websites, NTVs often highlight their focus on developing dual-use technologies, indicating that these firms see both the civilian and defense sectors as avenues for growth. Finally, the dataset reveals that some research institutions without well-documented linkages to China’s defense sector actively bid on and win contracts to supply the PLA with AI-related products with clear military applications.	しかしながら、本データセットは新興の企業・大学群も中国のAI関連軍事調達において重要な役割を担っていることを示している。本報告書で分析した338事業体のうち、約4分の3が非伝統的ベンダー（NTV）である。つまり、自ら国有企業との関連性を報告していない企業だ。NTVは764件の契約を獲得し、3カテゴリー中最多となった。大半のNTVは比較的最近設立され、3分の2は2010年以降に創業している。NTVは自社サイトでデュアルユース技術の開発に注力している点を強調することが多く、民間と防衛の両分野を成長の道と見なしていることを示唆している。最後に、データセットは、中国の防衛部門との明確な関連性が確認されていない一部の機構が、明確な軍事用途を持つAI関連製品を人民解放軍に供給する契約を積極的に入札し、落札している事実を明らかにしている。
Several implications merit mention.	いくつかの示唆に値する点がある。
SOEs continue to lead AI-related defense procurement in China, but our findings suggest that while barriers remain for smaller, newer NTVs, these entities appear to be playing a substantial role in providing AI-related technologies to the PLA, potentially accelerating technological development and AI diffusion throughout the Chinese military. Although it is unclear whether Beijing’s efforts to promote its MCF strategy are responsible for these trends, this report indicates that NTVs and research institutions are active participants in China’s military procurement for AI-related goods and services.	中国におけるAI関連の防衛調達では、依然として国有企業が主導的立場にある。しかし我々の調査結果は、規模が小さく新興のNTVには障壁が残るものの、これらの事業体が人民解放軍へのAI関連技術プロバイダとして重要な役割を果たしており、中国軍全体における技術開発とAI普及を加速させる可能性があることを示唆している。北京が推進するMCF戦略がこうした動向の原因かどうかは不明だが、本報告書は、新興技術企業や機構がAI関連製品・サービスの軍事調達において積極的な役割を担っていることを示している。
The apparent diversification of China’s AI-related defense industrial base presents several challenges. First, it may complicate the United States’ ability to hamstring China’s military modernization by restricting certain legacy defense players’ access to critical technologies and funding. Moreover, our findings could indicate that China has, to some degree, succeeded in fostering competition within its historically inefficient defense sector. If so, these findings may have implications for our understanding of China’s ability to incorporate dual-use technologies developed in the civilian sector for military end uses. Finally, this dynamic complicates U.S. due diligence for research funding, export licensing, and outbound-investment screening.	中国のAI関連防衛産業基盤の多様化は、いくつかの課題を提示している。第一に、米国が従来の防衛関連企業への重要技術・資金供給を制限することで中国の軍事近代化を阻害する能力を複雑化する可能性がある。さらに、我々の調査結果は、中国が歴史的に非効率だった防衛部門内で競争をある程度促進することに成功した可能性を示唆している。もしそうなら、これらの知見は、民間部門で開発されたデュアルユース技術を軍事用途に転用する中国の能力に関する我々の理解に影響を与えるかもしれない。最後に、この動きは、研究資金提供、輸出許可、海外投資審査における米国のデューデリジェンスを複雑化させる。
The vast majority of NTVs and research institutions in the dataset are not subject to U.S. sanctions. As the boundaries between civilian and defense technologies blur, the United States will face difficult trade-offs between preserving the openness necessary for innovation while mitigating national security risks. Accordingly, the United States should develop a sophisticated, evidence-based approach to safeguarding research and economic security to both impede the PLA’s acquisition and adoption of advanced technologies and ensure that benign and beneficial collaborations with Chinese entities are able to continue.	データセットに含まれる非国家主体（NTV）及び研究機構の大半は、米国の制裁対象外である。民生技術と防衛技術の境界が曖昧化する中、米国はイノベーションに必要な開放性を維持しつつ、国家安全保障上のリスクを緩和するという困難な選択を迫られるだろう。したがって米国は、研究と経済安全保障を保護するための洗練された証拠に基づくアプローチを構築すべきである。これにより、中国人民解放軍による先端技術の取得・採用を阻害すると同時に、中国事業体との健全かつ有益な協力関係が継続できるようにする必要がある。

Executive Summary	エグゼクティブサマリー
Introduction	序論
Methodology	方法論
Overview of AI-related Procurement Data	AI関連調達データの概要
The PLA’s Top Suppliers of AI-Related Technology	AI関連技術における中国人民解放軍の主要サプライヤー
Top Research Institutions: CAS and the Seven Sons	主要研究機構：中国科学院と七兄弟
Not Just SOEs: Analyzing Emerging Suppliers of AI-Related Technologies	国有企業だけではない：AI関連技術の新興供給者の分析
Emerging Suppliers: Nontraditional Vendors	新興サプライヤー：非伝統的ベンダー
Emerging Suppliers: Civilian Universities	新興サプライヤー：民間大学
Characterizing the PLA’s AI Suppliers: Firm Maturity	人民解放軍向けAI供給企業の特徴：企業の成熟度
Characterizing the PLA’s AI Suppliers: Headquarters Location	中国人民解放軍の人工知能サプライヤーの特徴：本部の所在地
Main Takeaways	主なポイント
Conclusion	結論
Authors	著者
Acknowledgements	謝辞
Appendix A: Additional Tables and Figures	附属書A：追加の表と図
Appendix B: Methodology	附属書B：方法論
Endnotes	脚注

Main Takeaways	主なポイント
Leveraging a novel dataset of open-source contract award notices, this report examines the top suppliers of AI-related goods and services to China’s defense sector. Our findings suggest two major takeaways:	本報告書は、公開されている契約授与通知の新たなデータセットを活用し、中国国防部門向けAI関連製品・サービスの主要供給企業を分析した。調査結果から以下の二つの主要なポイントが浮かび上がる：
China’s legacy defense sector players lead AI-related military procurement.	中国の伝統的な防衛産業関係者がAI関連の軍事調達を主導している。
Established defense players that have long served as the backbone of China’s defense industrial base, including state-owned defense conglomerates and research institutions with longstanding ties to China’s defense sector, were the top-awarded organizations in the dataset. Many of these entities, including CETC, CASC, CAS, and the Seven Sons, have deep, longstanding ties to China’s defense sector. Even in AI, an emerging technology, China’s legacy defense sector actors are still the top defense suppliers.	国有防衛複合企業や中国防衛部門と長年にわたり密接な関係を持つ研究機関など、中国の防衛産業基盤の基幹を担ってきた既存の防衛関連企業が、本データセットにおいて最も多くの契約を獲得した組織であった。 CETC、CASC、CAS、七子（七大企業）など、これらの事業体は中国の防衛産業と深く長年にわたる関係を持つ。新興技術であるAI分野においても、中国の伝統的な防衛産業関係者が依然として主要な防衛サプライヤーである。
Geographically, a large number of leading AI suppliers are concentrated in areas that have historically served as hubs of China’s defense industrial base. Most of these entities are large and well-resourced and were founded before the turn of the century.	地理的には、主要なAI供給業者の多くが、歴史的に中国の防衛産業基盤の拠点となってきた地域に集中している。これらの事業体の大半は規模が大きく、豊富な資源を有し、21世紀に入る前に設立されたものである。
An emerging set of NTVs and civilian universities play a consequential role in China’s AI-related military procurement.	新興の非軍事技術企業（NTV）や民間大学も、中国のAI関連軍事調達において重要な役割を果たしている。
While acknowledging the limitations of the dataset, our findings suggest that the PLA sources AI-related technologies from a wide array of suppliers, including NTVs and civilian research institutions.	データセットの限界を認めつつも、我々の調査結果は、人民解放軍がNTVや民間研究機構を含む多様な供給元からAI関連技術を入手していることを示唆している。
NTVs won 764 contracts, more than both SOEs and research institutions. Most of these firms were founded after 2010, coinciding with China’s technological rise and Beijing’s greater emphasis on encouraging civilian firms’ participation in defense procurement. These factors likely have augmented the competitiveness of NTVs, many of which are now contributing to China’s military modernization. Most of the NTVs in the dataset have fewer assets and are much smaller than the state-owned defense conglomerates with which they compete. NTVs also tend to develop a more narrow catalog of technology products for specific use cases.	NTVは764件の契約を獲得し、国有企業や研究機構を上回った。これらの企業の多くは2010年以降に設立されており、中国の技術的台頭と、民間企業の防衛調達参加促進を北京が重視するようになった時期と一致している。これらの要因がNTVの競争力を高めた可能性が高く、現在では多くのNTVが中国の軍事近代化に貢献している。データセットに含まれる民間技術企業の大半は、競合する国有防衛複合企業に比べ資産規模が小さく、規模もはるかに小さい。また民間技術企業は、特定の用途に特化したより限定的な技術製品群を開発する傾向がある。
Furthermore, the dataset reveals that several civilian universities are also developing AI-related technologies for the PLA. Some of these research institutions are not known for their ties to China’s defense sector but nevertheless feature in the dataset. The contracts awarded to these institutions are not for basic research; they have clear military applications.	さらに、民間大学数校も人民解放軍向けにAI関連技術を開発していることがデータセットから明らかになった。これらの機構の中には、中国の防衛部門とのつながりで知られていないものもあるが、それでもデータセットに名を連ねている。これらの機構に授与された契約は基礎研究ではなく、明確な軍事用途を持つものである。
Conclusion	結論
Our findings provide evidence that Beijing’s efforts to expand AI-related military procurement beyond the PLA’s traditional network of suppliers may be yielding results. However, due to the limitations discussed in the methodology section above, the dataset does not allow us to make broader statements about China’s AI defenseindustrial base. NTVs continue to face high barriers to entry, and China’s defense SOEs are still shielded from competition, especially in the procurement of major weapons systems.⁸⁹ That said, NTVs and research institutions are playing a larger role in China’s AI-related defense industrial base.	我々の調査結果は、北京が人民解放軍の従来の供給網を超えてAI関連の軍事調達を拡大する取り組みが成果を上げつつある可能性を示す証拠を提供している。ただし、前述の方法論セクションで論じた制約により、本データセットから中国のAI防衛産業基盤全体について広範な主張を行うことはできない。民間技術企業（NTV）は依然として参入障壁が高く、中国の防衛系国有企業（SOE）は特に主要兵器システムの調達において競争から保護されている。⁸⁹ とはいえ、民間技術企業や機構は中国のAI関連防衛産業基盤においてより大きな役割を担いつつある。
This report also underscores the growing complexity of sustained military, economic, and technological competition with China. The suppliers featured in this dataset include not only defense SOEs but also civilian research institutions and NTVs. Moreover, as technology is increasingly dual-use, drawing clear distinctions between the civilian and defense sectors will become more difficult.	本報告書はまた、中国との持続的な軍事・経済・技術競争の複雑化を浮き彫りにしている。本データセットに掲載された供給企業には、防衛系国有企業だけでなく民間研究機構やNTVも含まれる。さらに技術のデュアルユース化が進む中、民生分野と防衛分野の明確な区別はますます困難になるだろう。
These challenges highlight the difficulty the United States and its allies face in simultaneously advancing their technological progress while hampering the PLA’s ability to develop, acquire, and adopt advanced technologies. Many of the entities in our dataset have established research facilities or commercial operations abroad. Most are not subject to U.S. sanctions or trade restrictions. Without a clear understanding of the pathways through which the PLA acquires and deploys defense and dual-use technologies, the United States and its allies risk unintentionally supporting China’s military modernization.	こうした課題は、米国とその同盟国が自国の技術進歩を推進すると同時に、人民解放軍（PLA）の先進技術の開発・取得・採用能力を阻害することの難しさを浮き彫りにしている。本データセットに掲載されている多くの事業体は、海外に研究施設や商業拠点を設置している。その大半は米国の制裁や貿易制限の対象外である。人民解放軍が防衛技術やデュアルユース技術をどのように取得・展開しているかの経路を明確に把握しなければ、米国とその同盟国は意図せず中国の軍事近代化を支援するリスクを負うことになる。
Looking ahead, these blurring boundaries will pose significant challenges to U.S. policymakers, companies, and universities, particularly as the United States navigates difficult trade-offs between preserving openness, which is key to promoting innovation, and safeguarding national security. Blanket restrictions on the ability of U.S. researchers to work with their counterparts at Chinese universities, for example, could disrupt productive research partnerships and inadvertently undermine U.S. scientific leadership. Without close coordination with allies and partners, the unilateral implementation of economic or research security measures could undermine the global competitiveness of U.S. technology companies or isolate U.S. researchers from international scientific networks.	今後、こうした境界線の曖昧化は、米国の政策立案者、企業、大学にとって重大な課題となる。特に米国が、イノベーション促進の鍵である開放性の維持と国家安全保障の確保という難しいトレードオフを模索する中で顕著だ。例えば、米国研究者が中国の大学研究者と共同研究する能力を包括的に制限すれば、生産的な研究パートナーシップを阻害し、意図せず米国の科学技術リーダーシップを損なう恐れがある。同盟国やパートナーとの緊密な連携なしに、経済・研究安全保障措置を一方的に実施すれば、米国技術企業の国際競争力を損なうか、米国研究者を国際的な科学ネットワークから孤立させる恐れがある。
These realities underscore the need for a rigorous and evidence-based approach to managing sustained competition with China in emerging technologies that strengthens U.S. technological leadership and impairs the PLA’s ability to exploit advanced technologies. Success will require sustained investment in developing the tools and capabilities needed for granular, empirically grounded risk assessments that enables policymakers, universities, and companies to make decisions that promote long-term U.S. technological leadership while safeguarding national security. Until then, the United States will be ill-positioned to navigate the challenge of a China equipped with improving technological capabilities and a seemingly more agile defense industrial base.	こうした現実を踏まえ、新興技術分野における中国との持続的な競争を管理するには、米国の技術的リーダーシップを強化し、中国人民解放軍が先端技術を活用する能力を阻害する、厳格かつ証拠に基づくアプローチが必要である。成功には、政策立案者、大学、企業が国家安全保障を守りつつ米国の長期的な技術的リーダーシップを促進する意思決定を行えるよう、詳細かつ経験的に裏付けられたリスクアセスメントに必要なツールと能力の開発への持続的な投資が必要だ。それまでは、米国は技術的能力の向上と一見より機敏な防衛産業基盤を備えた中国という課題に対処する態勢が整わないだろう。

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.05 米国 CSET 中国武漢の人工知能開発：汎用人工知能（AGI）に向けた中国の新たな跳躍台 (2025.05)

・2026.01.05 米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)

・2026.01.04 米国 CSET 中国の身体性AI (2025.12)

Continue reading "米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)"

2026.01.05 00:00 in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.04

米国 CSET 中国の身体性AI (2025.12)

こんにちは、丸山満彦です。

中国が「身体性AI（Embodied AI）」を汎用人工知能（AGI）達成のための最重要かつ戦略的な経路として位置づけ、国家を挙げて推進していると報告していますね...

AGIの達成について、欧米（日本も？）が大規模言語モデル（LLM）のスケールアップで望む一方で、中国は知能の本質を「身体・脳・環境の相互作用」に見出し、LLMの限界（現実感の欠如や推論の脆弱性）を身体性によって克服しようとしていますね...

この中国のアプローチは、経済の自動化とAGI実現を同時に狙うものであり、米国とその同盟国は、中国がこの「身体性」という新たなパラダイムを通じてAI分野の覇権を握る可能性を警戒し、自国の研究戦略を多角化すべきだと警告していますね...

中国で人型ロボットがいろいろと芸を披露したり、人と同じように仕事をこなす様子が動画で流れたりしていますが、背景としてこういう研究の考え方があるのでしょうね...

日本も文化的には身体性AIのほうが馴染むのではないかと思いますが（鉄腕アトムやドラえもん...）、そっちに向かうというのはないのでしょうかね...

参考になることが多くあるように思います...

● CSET

・2025.12 China’s Embodied AI: A Path to AGI

China’s Embodied AI: A Path to AGI

中国の身体性AI

China is embracing “embodied AI”—artificial intelligence integrated with physical agents, such as robots and drones—both for commercial reasons and as a path to artificial general intelligence (AGI). The trend reflects China’s signature approach to AI, which recognizes diverse paths to AI dominance vis-à-vis the large models favored in the United States. This report documents PRC support for AI embodiment, describes how it is understood by China’s research community, and maps out the related infrastructure.

中国は「身体性AI」——ロボットやドローンといった物理的エージェントと統合された人工知能——を商業的理由と汎用人工知能（AGI）への道筋として積極的に取り入れている。この傾向は、米国が重視する大規模モデルとは異なる多様なAI優位性への道筋を認める、中国特有のAIアプローチを反映している。本報告書は、中国政府によるAI具現化への支援を検証し、中国の研究コミュニティにおけるその理解を説明し、関連インフラを明らかにするものである。

・[PDF]

・[DOCX][PDF] 翻訳

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
This report examines China’s embrace of embodied AI—artificial intelligence integrated with physical systems (robots, drones, vehicles, etc.)—as a critical pathway toward artificial general intelligence (AGI).	本報告書は、中国が汎用人工知能（AGI）への重要な道筋として、身体性AI（物理システム（ロボット、ドローン、車両など）と統合された人工知能）を採用していることを検証する。
In the United States and Europe, large language models (LLMs) and their multimodal variants are regarded by many AI scientists and major AI companies as the most promising path to AGI, despite known issues with abstraction and reasoning.	米国や欧州では、大規模言語モデル（LLM）とそのマルチモーダル変種が、抽象化や推論に関する既知の問題があるにもかかわらず、多くのAI科学者や主要AI企業によってAGIへの最も有望な道と見なされている。
By contrast, in China there is a broader vision of how AGI can be achieved, most recently expressed in a nationwide move toward AI embodiment—namely, intelligence developed through interaction between body, brain, and environment, in both physical and virtual forms.	これに対し中国では、AGI達成に向けたより広範なビジョンが存在し、最近では全国的な動きとして「身体性AI」が推進されている。具体的には、物理的・仮想的形態を問わず、身体・脳・環境の相互作用を通じて知能を発展させるアプローチである。
This trend toward embodied AI is backed by policy support at the national and local government levels, which has led to large embodied AI innovation centers linked to top universities and tech firms being established in coastal cities and provinces.	このエンボディッドAIへの傾向は、国や地方政府レベルでの政策支援によって支えられており、その結果、沿岸部の都市や省に、一流大学やハイテク企業と連携した大規模なエンボディッドAIイノベーションセンターが設立されている。
The upshot is China is on a path to accomplish two goals simultaneously: enriching the nation by integrating AI into the economy and achieving AGI that is more aligned with the totality of human expression.	結果として中国は、AIを経済に統合して国を豊かにすると同時に、人間の表現の総体により沿ったAGIを達成するという二つの目標を同時に達成する道を進んでいる。
The report recommends that the United States and its allies ramp up their monitoring of China’s AI progress, benchmark its claims, and consider broader approaches to AGI beyond scaling up LLMs.	本報告書は、米国とその同盟国に対し、中国のAI進展の監視強化、その主張の検証、大規模言語モデル（LLM）の拡張を超えた汎用人工知能（AGI）への広範なアプローチの検討を推奨する。

目次...

ちなみに...何度も紹介していますが...私が2020年にサイバー犯罪に関する白浜シンポジウムで発表した資料の

・[PDF] スマートサイバー　AI活用時代のサイバーリスク管理（配布用）

のP5やP7にこの考えと近いかもしれません...

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.05 米国 CSET 中国武漢の人工知能開発：汎用人工知能（AGI）に向けた中国の新たな跳躍台 (2025.05)

・2026.01.05 米国 CSET 中国の「軍民融合」のベールを剥ぐ：人民解放軍はいかにして戦略的優位のために民間のAIを動員するのか (2025.09)

・2026.01.04 米国 CSET 中国の身体性AI (2025.12)

2026.01.04 00:00 in ロボット, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.03

米国 CSET サイバー職における職場学習の未来 (2025.07)

こんにちは、丸山満彦です。

職場学習（インターン、見習い制度、青少年雇用プログラム、プロジェクトベースの学習、体験学習など）という学生を企業、政府等の実地現場で学習させるプログラムを、実務家、研究者、教育者。政府関係者がサイバーセキュリティ人材強化の手段としてどのように考えているか...

そして日本ではこんな議論も（サイバーセキュリティに限定された話ではないですが）...

● 日本経済新聞

・2026.01.02 大学に「企業お抱え」学科、教員派遣・就職有利に　台湾や韓国参考

● CSET

・2025.07 The Future of Work-Based Learning for Cyber Jobs

The Future of Work-Based Learning for Cyber Jobs	サイバー関連職種における職場学習の未来
This roundtable report explores how practitioners, researchers, educators, and government officials view work-based learning as a tool for strengthening the cybersecurity workforce. Participants engaged in an enriching discussion that ultimately provided insight and context into what makes work-based learning unique, effective, and valuable for the cyber workforce.	本ラウンドテーブル報告書は、実務家、研究者、教育者、政府関係者が、職場学習をサイバーセキュリティ人材強化の手段としてどう捉えているかを考察する。参加者らは活発な議論を展開し、職場学習がサイバー人材にとってなぜ独自性・有効性・価値を持つのかについて、洞察と背景を提供した。
Introduction	序論
The continuously evolving nature of cybersecurity demands an agile and tactical approach to learning and skill development. One method of meeting this demand is through work-based learning. Work-based learning is a type of educational programming that exposes students to the knowledge and skills required for a given career or industry and occurs in a workplace setting through on-the-job training or an environment that closely resembles the workplace.1 It includes internships, apprenticeships, youth employment programs, project-based learning, and experiential learning.	サイバーセキュリティの絶え間ない進化は、学習と技能開発に対する機敏かつ戦術的なアプローチを要求する。この要求に応える一つの方法が職場学習である。職場学習とは、特定の職業や業界に必要な知識・技能を学生に体験させる教育プログラムの一種であり、職場環境下での実務訓練、あるいは職場に酷似した環境で行われる。1 これにはインターンシップ、徒弟制度、青少年雇用プログラム、プロジェクト型学習、体験学習などが含まれる。
Work-based learning is not unique to the cybersecurity field, but it is part of a broader workforce ecosystem shift to embrace practices such as skills-based hiring and leveraging alternative educational pathways. For example, the U.S. Office of the National Cyber Director’s (ONCD) 2023 National Cyber Workforce and Education Strategy (NCWES) contains lines of effort specifically aimed at work-based learning under “Strategic Objective 3.2: Promoting Skills-Based Hiring and Workforce Development.”2 The NCWES calls upon employers to focus on skills needed for cyber jobs rather than college degrees or experience as indicators of qualification, and also to increase on-ramps into the workforce through work-based learning opportunities.	職場ベースの学習はサイバーセキュリティ分野に特有のものではないが、スキルベースの採用や代替教育経路の活用といった実践を取り入れる、より広範な労働力エコシステムの転換の一部である。例えば、米国国家サイバー長官室（ONCD）の2023年版「国家サイバー人材・教育戦略（NCWES）」では、「戦略目標3.2：スキルベース採用と人材育成の促進」の下に、職場学習を特に目的とした取り組み方針が明記されている。NCWESは雇用主に対し、資格の指標として大学の学位や経験ではなく、サイバー関連職種に必要なスキルに焦点を当てるよう求めている。また、職場学習の機会を通じて労働力への参入経路を増やすことも提唱している。
Quantitative research shows that work-based learning is an effective learning mechanism, but little qualitative research exists for the cybersecurity workforce specifically. This roundtable discussion provides insight from 16 academics, practitioners, and educators into what makes work-based learning unique, effective, and valuable for the cyber workforce. Participants are not named as the roundtable was conducted under the Chatham House Rule.	定量的研究では職場学習が効果的な学習手段であることが示されているが、サイバーセキュリティ人材に特化した定性的研究はほとんど存在しない。本ラウンドテーブル討論では、16名の学者・実務家・教育者が、職場学習がサイバーセキュリティ人材にとってなぜ独自性・効果・価値を持つのかについて洞察を提供する。討論はチャタムハウスルール下で行われたため、参加者の氏名は非公表とする。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

Introduction	序論
Key Takeaways	主なポイント
Discussion and Analysis	考察と分析
1. What does work-based learning mean to you?	1. 職場学習とは何だと思うか？
2. What is the value of work-based learning compared to the traditional four-year college degree?	2. 従来の4年制大学学位と比較した職場学習の価値は何か？
3. What are the most effective work-based learning approaches?	3. 最も効果的な職場学習のアプローチは何か？
4. What challenges or barriers prevent more utilization?	4. 活用が進まない原因となる課題や障壁は何か？
Conclusion	結論
Author	著者
Acknowledgments	謝辞
Endnotes	脚注

で...

Key Takeaways	主なポイント
Participants agreed work-based learning provides:	参加者は職場学習が以下を提供すると合意した：
• Practical opportunities for career readiness or career advancement.	• キャリア準備やキャリアアップのための実践的な機会。
• Structured, experiential, and hands-on learning that focuses on industry needs, training on industry-specific tools, or the current cyber threat landscape.	• 業界のニーズ、業界固有のツールのトレーニング、あるいは現在のサイバー脅威の状況に焦点を当てた、体系化された体験的・実践的な学習。
Participants agreed that the cybersecurity workforce needs to:	参加者は、サイバーセキュリティ人材が以下を必要としている点で合意した：
• Move past the “either/or” system so that work-based learning and traditional education is more of a “both/and” system. Higher education values theoretical learning, but these values are not always the same in industry. However, a substantial knowledge base is required for just about any occupation in the cybersecurity field, and is sometimes best delivered in a traditional educational setting.	• 「どちらか一方」というシステムを乗り越え、職場学習と伝統的教育を「両方とも」のシステムにすべきだ。高等教育は理論的学習を重視するが、産業現場では必ずしも同じ価値観が通用しない。しかしサイバーセキュリティ分野のほぼ全ての職種には、相当な知識基盤が必要であり、それは伝統的教育環境で提供されるのが最善の場合もある。
Participants believe effective approaches to work-based learning for cyber are:	参加者は、サイバー分野における効果的な職場学習アプローチとして以下を挙げている：
• Ecosystem development.	• エコシステム構築
• Programs that are paid and long in duration.	• 報酬付きで長期にわたるプログラム。
• Policy incentives to make work-based learning attractive to employers.	• 雇用主にとって職場学習を魅力的にする政策インセンティブ。
Participants perceive certain challenges that limit the utilization or adoption of work-based learning for cyber:	参加者は、サイバー分野における職場学習の利用や導入を制限する特定の課題を認識している：
• Finding people who are willing to provide the opportunity remains a challenge for the academic community.	• 機会を提供しようとするプロバイダを見つけることは、学術界にとって依然として課題である。
• Mid-career or nontraditional learners and rural communities have limited accessibility to such programs.	• 中途採用者や非伝統的な学習者、地方コミュニティは、こうしたプログラムへのアクセスが限られている。

2026.01.03 02:30 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

2026.01.02

米国 CSET (2025.05)　サイバー攻防のバランスに対する AI の影響の予測 (2025.05)

こんにちは、丸山満彦です。

2025.04から05にかけて公表された、AIとサイバー攻撃・防御に関するもので、著者はいずれもAndrew Lohn。

参考になることが多くあるように思います...

● CSET

・2025.05 Anticipating AI’s Impact on the Cyber Offense-Defense Balance

Anticipating AI’s Impact on the Cyber Offense-Defense Balance	サイバー攻防のバランスに対する AI の影響の予測
Artificial intelligence (AI) is beginning to change cybersecurity. This report takes a comprehensive look across cybersecurity to anticipate whether those changes will help cyber defense or offense. Rather than a single answer, there are many ways that AI will help both cyber attackers and defenders. The report finds that there are also several actions that defenders can take to tilt the odds to their favor.	人工知能（AI）は、サイバーセキュリティに変化をもたらし始めている。本レポートは、サイバーセキュリティを包括的に考察し、こうした変化がサイバー防御と攻撃のどちらに有利に働くかを予測するものである。AI は、単一の答えではなく、サイバー攻撃者と防御者の双方にさまざまな形で役立つだろう。本レポートは、防御側が優位に立つために取るべきいくつかの行動も提示している。
Executive Summary	エグゼクティブサマリー
The cyber domain touches nearly all systems and aspects of society, so any changes to the relative offense-defense balance in cyber could be very impactful. As a digital technology, AI can be expected to have a more direct effect on those balances than in other domains.	サイバー領域は社会のほぼすべてのシステムや側面に影響を与えているため、サイバーにおける攻防のバランスに変化が生じれば、その影響は甚大である。デジタル技術である AI は、他の領域よりもこのバランスに直接的な影響を与えると予想される。
To assess how AI may affect the offense-defense balance within cyber, we collected arguments for an offensive or defensive bias in various aspects of cyber operations as well as arguments for what gives cyber its unique character. We then considered how varying levels of AI advancement might strengthen, weaken, or alter those arguments. The results of that analysis are grouped into five categories: Changes to the Digital Ecosystem, Hardening Digital Environments, Tactical Aspects of Digital Engagements, Incentives and Opportunities, and Strategic Effects on Conflict and Crisis.	AIがサイバー領域の攻防バランスに与える影響を評価するため、我々はサイバー作戦の様々な側面における攻撃的・防御的バイアスの根拠、およびサイバー領域の独自性を支える要素に関する議論を収集した。次に、AIの進歩レベルがこれらの議論を強化・弱体化・変容させる可能性を検討した。分析結果は五つのカテゴリーに分類される：デジタル生態系の変化、デジタル環境の強化、デジタル交戦の戦術的側面、インセンティブと機会、紛争・危機への戦略的影響。
There is no single answer to the question of whether AI will make cyber offense or defense dominant. Cyber attackers and defenders have too many different goals that can be achieved in multiple ways, but AI is likely to change the cyber landscape in ways that can be predicted and perhaps controlled to some extent.	AIがサイバー領域で攻撃か防御の優位性をもたらすかという問いに唯一の答えは存在しない。サイバー攻撃者と防御者は、多様な方法で達成可能な目標を数多く有している。しかしAIは、予測可能でありある程度制御可能な形でサイバー環境を変容させるだろう。
Although AI will increase the scope of defensive tasks by making the digital ecosystem larger and more complex, it may also reduce the scope of defensive tasks in other ways, such as by decreasing the number of network connections to monitor. AI systems could replace known human weaknesses, but AI components are often vulnerable. AI components could also aggregate too much information or control into high-risk digital targets, and eliminating manual controls could reduce resilience during attacks. As system designers, acquisition officials, and users incorporate or implement AI, they will decide how much risk to accept along each of these lines.	AIはデジタルエコシステムを拡大・複雑化させることで防御タスクの範囲を拡大する一方、監視すべきネットワーク接続数を減少させるなど、別の形で防御範囲を縮小する可能性もある。AIシステムは人間の既知の弱点を補えるが、AIコンポーネント自体が脆弱性を持つ場合が多い。AIコンポーネントは過剰な情報や制御権を高リスクなデジタル標的に集約する可能性もあり、手動制御を排除すれば攻撃時のレジリエンスが低下する恐れがある。システム設計者、調達担当者、ユーザーがAIを組み込んだり実装したりする際、これらの各要素に沿ってどの程度のリスクを受け入れるかを判断することになる。
AI also promises to further harden digital environments by performing tasks that currently overwhelm defenders. If these tasks can be done reliably by AI and if defenders can keep up with faster discoveries of new vulnerabilities and attack tactics, then defenders can take advantage of their ability to impose delays and frictions to gain more from AI than attackers. Doing so could prevent AI from enticing new threat actors and could limit the strategic benefits that aggressors might see from AI’s increase in speed and scale. But that defensive advantage is far from guaranteed and there are several missteps that could push the balance toward offense instead of defense in the years to come.	また、AI は、現在防御側を圧倒しているタスクを実行することで、デジタル環境をさらに強化することも約束している。これらのタスクが AI によって確実に実行され、防御側が新しい脆弱性や攻撃戦術の発見に迅速に対応できるならば、防御側は、遅延や摩擦を課す能力を活用して、攻撃者よりも AI からより多くの利益を得ることができる。そうすることで、AI が新たな脅威アクターを惹きつけることを防ぎ、攻撃者が AI の速度と規模の拡大から得る戦略的メリットを制限することができる。しかし、その防御上の優位性は決して保証されたものではなく、今後数年のうちに、防御ではなく攻撃にバランスを傾けるような誤った動きがいくつかある。

・[PDF]

・[DOCX][PDF] 仮訳

目次的...

Introduction	序論
Changes to the Digital Ecosystem	デジタルエコシステムの変化
Hardening Digital Environments	デジタル環境の強化
Tactical Aspects of Digital Engagements	デジタルエンゲージメントの戦術的側面
Incentives and Opportunities	インセンティブと機会
Strategic Effects on Conflict and Crisis	紛争と危機への戦略的影響
Recommendations	提言
Incentivize Reliability Over Originality	独創性より信頼性を重視するインセンティブ
Fund Provable Security	証明可能なセキュリティへの資金提供
Fund Live Patching	ライブパッチングへの資金提供
Establish and Maintain Standards for Security and Reliability of AI Systems	AIシステムのセキュリティと信頼性に関する標準の確立と維持
Maintain the Option for Human Control	人間の制御オプションを維持する
Assess Compilation and Aggregation Risks	情報集積・集約リスクの評価
Enable Air-Gapping and Reduced Connectivity	エアギャップと接続性の低減を可能にする
Design Systems to Enhance Defensive Advantage	防御的優位性を高めるシステム設計
Practice AI-Induced Cyber Emergencies	AI誘発型サイバー緊急事態の訓練
Conclusion	結論

・2025.04.22 Defending Against Intelligent Attackers at Large Scales

Defending Against Intelligent Attackers at Large Scales	大規模なインテリジェントな攻撃者に対する防御
We investigate the scale of attack and defense mathematically in the context of AI's possible effect on cybersecurity. For a given target today, highly scaled cyber attacks such as from worms or botnets typically all fail or all succeed.	我々は、サイバーセキュリティに対する AI の影響の可能性という観点から、攻撃と防御の規模を数学的に調査した。今日の特定のターゲットに対して、ワームやボットネットによる大規模なサイバー攻撃は、通常、すべて失敗するか、すべて成功するかのどちらかである。
We investigate the scale of attack and defense mathematically in the context of AI’s possible effect on cybersecurity. For a given target today, highly scaled cyber attacks such as from worms or botnets typically all fail or all succeed. Here, we consider the effect of scale if those attack agents were intelligent and creative enough to act independently such that each attack attempt was different from the others or such that attackers could learn from their successes and failures. We find that small increases in the number or quality of defenses can compensate for exponential increases in the number of independent attacks and for exponential speedups.	我々は、サイバーセキュリティに対する AI の影響の可能性という観点から、攻撃と防御の規模を数学的に調査した。今日の特定のターゲットに対して、ワームやボットネットによる大規模なサイバー攻撃は、通常、すべて失敗するか、すべて成功するかのどちらかである。ここでは、それらの攻撃エージェントが、各攻撃の試みが他とは異なったものになるほど、あるいは攻撃者が成功や失敗から学ぶことができるほど、独立して行動できるほど知能的で創造的である場合の、規模の影響について考察する。防御の数や質がわずかに向上するだけで、独立した攻撃の数が指数関数的に増加したり、攻撃の速度が指数関数的に向上したりすることを補うことができることがわかった。

・[PDF]

・2025.04.17 The Impact of AI on the Cyber Offense-Defense Balance and the Character of Cyber Conflict

The Impact of AI on the Cyber Offense-Defense Balance and the Character of Cyber Conflict	AI がサイバー攻撃と防御のバランス、およびサイバー紛争の性質に与える影響
Unlike other domains of conflict, and unlike other fields with high anticipated risk from AI, the cyber domain is intrinsically digital with a tight feedback loop between AI training and cyber application. Cyber may have some of the largest and earliest impacts from AI, so it is important to understand how the cyber domain may change as AI continues to advance. Our approach reviewed the literature, collecting nine arguments that have been proposed for offensive advantage in cyber conflict and nine proposed arguments for defensive advantage.	他の紛争分野や、AI によるリスクが高いと予想される他の分野とは異なり、サイバー分野は本質的にデジタルであり、AI のトレーニングとサイバーアプリケーションの間には緊密なフィードバックループが存在する。サイバーは、AI による最大かつ最も早い影響を受ける分野のひとつである可能性があるため、AI の進歩に伴いサイバー領域がどのように変化するかを理解することが重要である。我々のアプローチでは、文献をレビューし、サイバー紛争における攻撃的優位性について提案されている 9 つの議論と、防御的優位性について提案されている 9 つの議論を収集した。
Unlike other domains of conflict, and unlike other fields with high anticipated risk from AI, the cyber domain is intrinsically digital with a tight feedback loop between AI training and cyber application. Cyber may have some of the largest and earliest impacts from AI, so it is important to understand how the cyber domain may change as AI continues to advance. Our approach reviewed the literature, collecting nine arguments that have been proposed for offensive advantage in cyber conflict and nine proposed arguments for defensive advantage. We include an additional forty-eight arguments that have been proposed to give cyber conflict and competition its character as collected separately by Healey, Jervis, and Nandrajog. We then consider how each of those arguments and propositions might change with varying degrees of AI advancement. We find that the cyber domain is too multifaceted for a single answer to whether AI will enhance offense or defense broadly. AI will improve some aspects, hinder others, and leave some aspects unchanged. We collect and present forty-four ways that we expect AI to impact the cyber offense-defense balance and the character of cyber conflict and competition.	他の紛争分野や、AI によるリスクが高いと予想される他の分野とは異なり、サイバー領域は本質的にデジタルであり、AI のトレーニングとサイバーアプリケーションの間には緊密なフィードバックループが存在する。サイバーは AI による最大かつ最も早い影響を受ける分野である可能性があるため、AI の進歩に伴いサイバー領域がどのように変化するか理解することが重要である。我々のアプローチでは、文献をレビューし、サイバー紛争における攻撃的優位性について提案されている 9 つの主張と、防御的優位性について提案されている 9 つの主張を収集した。さらに、ヒーリー、ジャービス、ナンドラジョグが個別に収集した、サイバー紛争と競争の特性について提案されている 48 の主張を追加で含めた。次に、これらの議論や提案が、AI の進歩の程度によってどのように変化するかを考察した。AI が攻撃力や防御力を広く強化するかどうかについて、サイバー領域は多面的すぎて単一の答えは出せないことがわかった。AI は、ある側面は改善し、別の側面は阻害し、またある側面は変化させないだろう。AI がサイバー攻撃と防御のバランス、およびサイバー紛争と競争の特性に与える影響について、44 の方法を収集し、提示した。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

Contents	目次
1 Introduction	1 序論
2 The Offense-Defense Balance	2 攻撃と防御のバランス
3 Types of Attackers and Defenders	3 攻撃者と防御者の種類
3.1 Cyber threat actors	3.1 サイバー脅威アクター
3.2 Defenders or targets of attack	3.2 防御者または攻撃対象
4 Levels of AI Improvement	4 AIの進化段階
4.1 Status quo	4.1 現状
4.2 Reliable and independent	4.2 信頼性と自律性
4.3 Expert	4.3 専門家レベル
4.4 Hard limits	4.4 ハードリミット
4.5 Breaking limits	4.5 リミットの突破
5 Access to Advances	5 技術進歩へのアクセス
5.1 Controlled access to capability	5.1 能力への制御されたアクセス
5.2 Limited control of access to capability	5.2 能力へのアクセス制限
5.3 Proliferated models and agents	5.3 拡散したモデルとエージェント
6 AI Capabilities to Consider During Evaluation	6 評価時に考慮すべきAI能力
6.1 Strengths	6.1 強み
6.2 Weaknesses	6.2 弱み
7 Asymmetries Between Cyber Offense and Defense	7 サイバー攻撃と防御の非対称性
7.1 Defensive Asymmetries	7.1 防御側の非対称性
7.1.1 Defenders determine the digital terrain	7.1.1 防御側がデジタル戦場を決定する
7.1.2 Defense can be resilient	7.1.2 防御はレジリエンシーを持つ
7.1.3 Defenders can observe their networks	7.1.3 防御側は自身のネットワークを監視できる
7.1.4 Defenders can provision local resources	7.1.4 防御側はローカルリソースを調達できる
7.1.5 Attackers must penetrate all defenses	7.1.5 攻撃側は全ての防御を突破しなければならない
7.1.6 There are more defenders than attackers	7.1.6 防御側は攻撃側よりも数が多い
7.1.7 Attack takes time	7.1.7 攻撃には時間がかかる
7.1.8 Offense risks escalation	7.1.8 攻撃側はエスカレーションのリスクを負う
7.1.9 Attackers are illegitimate	7.1.9 攻撃側は非合法である
7.2 Offensive Asymmetries	7.2 攻撃側の非対称性
7.2.1 Attackers Only Need One Success	7.2.1 攻撃側はたった一度の成功でよい
7.2.2 Attackers Choose Who to Strike	7.2.2 攻撃者は標的を選べる
7.2.3 Attackers Choose When to Strike	7.2.3 攻撃者は攻撃のタイミングを選べる
7.2.4 Attackers Choose Their Goals	7.2.4 攻撃者は目標を選べる
7.2.5 Targets are Easy to Find	7.2.5 標的は容易に見つかる
7.2.6 Defense Requires Reliability	7.2.6 防御には信頼性が求められる
7.2.7 Defense Has More Bureaucracy	7.2.7 防御にはより多くの官僚主義が伴う
7.2.8 Defense Has Systematic Vulnerabilities	7.2.8 防御には体系的な脆弱性がある
7.2.9 Defense Has Systemic Vulnerabilities	7.2.9 防御にはシステム的な脆弱性がある
8 The Character of Cyber	8 サイバーの特徴
8.1 Tactically Moves At Network Speed	8.1 戦術レベルではネットワーク速度で動く
8.2 Slower at Operational, Strategic Levels	8.2 作戦・戦略レベルでは遅い
8.3 Cyberspace is a Scale-Free Network	8.3 サイバー空間はスケールフリーネットワークである
8.4 Cyberspace is Human-Made and Adaptable	8.4 サイバー空間は人工的で適応可能である
8.5 Cyberspace is Unfathomably Complex	8.5 サイバー空間は計り知れないほど複雑である
8.6 Cyberspace Contains Inherent Vulnerabilities	8.6 サイバー空間には固有の脆弱性が存在する
8.7 Low-Impact Reversible Effects of Capabilities	8.7 能力の影響は軽微で可逆的
8.8 Attack is Lesser Included Case of Espionage	8.8 攻撃は諜報活動の一形態
8.9 Fast Pace of Technological Change	8.9 技術変化の急速さ
8.10 Universal Interconnection and Dependence	8.10 普遍的な相互接続性と依存性
8.11 Permissionless Innovation and Connection	8.11 許可不要の革新と接続
8.12 Fuzzy Borders	8.12 境界の曖昧さ
8.13 Tied to the Physical World	8.13 物理世界との結びつき
8.14 Ease of Copying Information (and Capabilities)	8.14 情報（及び能力）の複製容易性
8.15 Dominated by Private Sector	8.15 民間セクターによる支配
8.16 Overall Attacker Advantage	8.16 全体的な攻撃者の優位性
8.17 Difficulty of Quick or Exact Attribution	8.17 迅速かつ正確な帰属の困難さ
8.18 Hard to Directly Observe	8.18 直接観察の困難さ
8.19 Capabilities Are Transitory and Have Hard to Predict Effects	8.19 能力は一時的であり、予測困難な効果を持つ
8.20 Adversary Forces in Constant Contact with Few if Any Operational Pauses	8.20 敵対勢力は絶え間なく接触し、作戦上の休止はほとんどない
8.21 Immediate Intercontinental Proximity to National Sources of Power	8.21 国家権力の源泉に大陸間規模で近接している
8.22 Advantage Comes From Use of Capabilities Not Possession	8.22 優位性は能力の保有ではなく使用から生まれる
8.23 Adversaries Routinely Use Capabilities Mostly Below Level of Armed Conflict 47	8.23 敵対勢力は主に武力紛争レベル以下で能力を日常的に使用する
8.24 Low Barriers of Entry	8.24 参入障壁が低い
8.25 Superiority Is Fleeting	8.25 優位性は一時的である
8.26 Capabilities Are Substantially Cheaper than in Other Domains	8.26 能力は他領域より大幅に安価である
8.27 Capabilities Can Be Rapidly Regenerated	8.27 能力は迅速に再構築可能
8.28 Attacks Might Lead to Catastrophic Effects	8.28 攻撃は壊滅的結果を招く恐れがある
8.29 Tactical Success Tied to Agility and Initiative	8.29 戦術的成功は機動力と主導力に依存
8.30 Strategic Success Possibly More Tied to Audacity and Initiative	8.30 戦略的成功は大胆さと主導力により依存する可能性が高い
8.31 Difficult to Deter	8.31 抑止が困難
8.32 Defensive Success Does not Discourage Attackers	8.32 防御的成功は攻撃者を阻まない
8.33 Difficult to Warn of Attacks	8.33 攻撃の事前警告が困難
8.34 Signaling Intent is Problematic	8.34 意図の伝達が困難
8.35 Likely to Be First Strike Weapons	8.35 先制攻撃兵器となる可能性が高い
8.36 Surprise Is More Important	8.36 驚異性がより重要
8.37 Easy for Nations to Leverage Proxies	8.37 国家が代理戦力を容易に活用可能
8.38 Offense and Defense Similar, Inform One Another	8.38 攻撃と防御が類似し、相互に影響し合う
8.39 Conceptual Confusion and Lack of Precise Definitions	8.39 概念の混乱と明確な定義の欠如
8.40 Insufficient and Competing Authorities	8.40 不十分かつ競合する権限
8.41 Difficult Command and Control	8.41 指揮統制が困難
8.42 Heavily Classified	8.42 機密指定が厳重
8.43 Tactical Engagement is Basic Unit of Analysis	8.43 戦術的交戦が分析の基本単位
8.44 Conflict Escalates Horizontally and Vertically Within Cyberspace but not Yet Out of It 56	8.44 サイバー空間内では水平・垂直方向に紛争がエスカレートするが、空間外への波及はまだ見られない 56
8.45 Cyber Conflict May Invite Escalation, Miscalculation, and Instability	8.45 サイバー紛争はエスカレーション、誤算、不安定化を招く恐れがある
8.46 Internet Has Common Mode Failures	8.46 インターネットは共通モード障害を抱える
8.47 Large Number of Devices Grants Advantage	8.47 多数のデバイスが優位性をもたらす
8.48 Cyberspace Advantages Those that Operate Persistently	8.48 サイバー空間は持続的に活動する者に有利である
9 AI’s Influence on Cyber	9 AIがサイバーに与える影響
9.1 Changes to the Digital Ecosystem	9.1 デジタル生態系の変化
9.2 Hardening Digital Environments	9.2 デジタル環境の強化
9.3 Tactical Aspects of Digital Engagements	9.3 デジタル交戦の戦術的側面
9.4 Incentives and Opportunities	9.4 インセンティブと機会
9.5 Strategic Effect on Conflict and Crisis	9.5 紛争と危機への戦略的影響
10 Conclusions	10 結論