サイト内検索

My Photo
December 2025
Sun Mon Tue Wed Thu Fri Sat
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

Recent Trackbacks

連載 (ITmedia)

ウェブページ

情報セキュリティ / サイバーセキュリティ

2025.12.06

欧州 Europolが暗号資産を使った資金洗浄ネットワークを摘発し7億ユーロ(約1260億円)の資金洗浄を阻止 (2025.12.04)

こんにちは、丸山満彦です。

Europolが暗号資産を使った資金洗浄ネットワークを摘発し7億ユーロ(約1260億円)の資金洗浄を阻止と発表していますね...

協力したのは、ベルギー、ブルガリア、キプロス、フランス、ドイツ、イスラエル、マルタ、スペインの捜査機関等のようですね...欧州以外にもイスラエルが協力していますね...

ランサムウェア犯罪と暗号資産による資金洗浄はセットになっているように思いますので、暗号資産関連事業者との協力というのも重要ですよね...

 

● EUROPOL

・2025.12.04 International takedown of cryptocurrency fraud network laundering over EUR 700 million

 

International takedown of cryptocurrency fraud network laundering over EUR 700 million 国際的な暗号通貨詐欺ネットワーク摘発、7億ユーロ超の資金洗浄を阻止
The final actions in a sweeping international operation have successfully dismantled a large-scale cryptocurrency fraud and money laundering network that had laundered over EUR 700 million. Coordinated across multiple jurisdictions, these actions, carried out last month and earlier this week, mark the culmination of years of investigation and the effective disruption of a criminal operation that spanned Europe and beyond. 大規模な国際捜査の最終段階において、7億ユーロ超の資金を洗浄していた大規模な暗号通貨詐欺・資金洗浄ネットワークの解体に成功した。複数の管轄区域で調整された今回の措置は、先月および今週初めに実施され、欧州をはじめとする広範囲に及ぶ犯罪組織の活動を効果的に阻止する、数年にわたる捜査の集大成となった。
What began as an investigation into a single fraudulent cryptocurrency platform gradually unfolded into a complex, far-reaching operation, revealing a vast network of deceit and money laundering. 単一の詐欺的仮想通貨プラットフォームへの調査として始まった捜査は、次第に複雑で広範な活動へと発展し、巨大な詐欺・資金洗浄ネットワークの存在を明らかにした。
The criminal network operated numerous fake cryptocurrency investment platforms, luring thousands of victims with sophisticated advertisements promising high returns. The victims were then repeatedly contacted by criminal call centres, where callers used social engineering to pressure victims into making further payments by showing them inflated returns on fake trading platforms. この犯罪ネットワークは多数の偽仮想通貨投資プラットフォームを運営し、高収益を約束する洗練された広告で数千人の被害者を誘引した。その後、犯罪者によるコールセンターが被害者に繰り返し連絡し、偽の取引プラットフォーム上で水増しされた収益を示すことでソーシャルエンジニアリングを用い、追加支払いを強要した。
Once victims had transferred their cryptocurrency, the funds were stolen and laundered across various blockchains and cryptocurrency exchanges. As investigators peeled back the layers of the operation, it became clear that the network had grown far beyond a single fraud scheme, involving multiple fraudulent platforms and sophisticated financial infrastructure spanning Europe and beyond. 被害者が仮想通貨を送金すると、資金は様々なブロックチェーンや仮想通貨取引所を跨いで盗まれ、洗浄された。捜査当局が組織の構造を解明するにつれ、このネットワークが単一の詐欺スキームをはるかに超え、欧州内外に広がる複数の詐欺プラットフォームと高度な金融インフラを包含していることが明らかになった。
A coordinated disruption across multiple countries 複数国にまたがる同時摘発
On 27 October 2025, the first phase of the operation was executed, with coordinated police raids across Cyprus, Germany and Spain at the request of French and Belgian authorities. These initial actions led to the arrest of nine individuals suspected of laundering illicit funds generated by fraudulent cryptocurrency platforms. 2025年10月27日、フランスとベルギー当局の要請を受け、キプロス、ドイツ、スペインで警察による同時捜索が実施され、作戦の第一段階が実行された。この初期行動により、詐欺的な仮想通貨プラットフォームで生み出された不正資金の洗浄に関与した疑いのある9名が逮捕された。
Authorities seized millions of euros in assets, including: 当局は以下の資産を数百万ユーロ相当差し押さえた:
・EUR 800 000 in bank accounts ・銀行口座から80万ユーロ
・EUR 415 000 in cryptocurrencies ・仮想通貨41万5千ユーロ
・EUR 300 000 in cash ・現金30万ユーロ
・Digital devices ・デジタル機器
・High-value watches ・高級腕時計
The operation was carried out in close collaboration with national authorities from France, Belgium, Germany, Spain, Malta, Cyprus and other countries. Europol and Eurojust supported this first phase of the investigation. 本作戦はフランス、ベルギー、ドイツ、スペイン、マルタ、キプロス等の各国当局と緊密に連携して実施された。欧州刑事警察機構及び欧州司法機構が捜査第一段階を支援した。
Second phase targets affiliate marketing infrastructure 第二段階はアフィリエイトマーケティング基盤を標的とする
The second phase, targeting another key pillar of the investment fraud ecosystem, took place on 25 and 26 November 2025. It focused on the affiliate marketing infrastructure that supports these online scams. Coordinated actions were taken against the companies and suspects behind fraudulent advertising campaigns on social media platforms. In recent years, deceptive advertisements impersonating renowned media outlets, celebrities and politicians – often using deepfake videos - have posed a significant global challenge. The data of potential investors obtained through manipulated advertising, even on reputable platforms, is crucial to the functioning of the crypto-scam industry as a whole. 投資詐欺エコシステムのもう一つの主要基盤を標的とした第二段階は2025年11月25日及び26日に実施された。オンライン詐欺を支えるアフィリエイトマーケティング基盤に焦点を当てた。ソーシャルメディアプラットフォーム上の詐欺的広告キャンペーンに関与した企業及び容疑者に対し、調整された行動が取られた。近年、著名なメディア機関、有名人、政治家を装った欺瞞的な広告(しばしばディープフェイク動画を使用)が、世界的な重大な課題となっている。信頼できるプラットフォーム上であっても、操作された広告を通じて入手された潜在的投資家のデータは、暗号通貨詐欺業界全体の機能にとって極めて重要である。
During the action days, law enforcement teams in Belgium, Bulgaria, Germany and Israel carried out searches and additional operational measures with Europol’s support. Targets included companies that had previously offered affiliate marketing services. 行動期間中、ベルギー、ブルガリア、ドイツ、イスラエルの法執行機関は欧州刑事警察機構の支援のもと、捜索及び追加作戦を実施した。対象には過去にアフィリエイトマーケティングサービスを提供した企業も含まれた。
Significant infrastructure dismantled 重要なインフラを解体
The joint measures taken in October and November represent a coordinated strike against the various pillars of the online crypto fraud industry. 10月と11月に実施された共同措置は、オンライン暗号詐欺産業の様々な支柱に対する協調攻撃を意味する。
The scale of this criminal operation is vast. The investigation uncovered more than EUR 700 million laundered through a labyrinth of cryptocurrency exchanges, exploiting digital anonymity to conceal illicit flows. Following these two coordinated actions and multiple arrests and seizures, investigative authorities will continue to track the criminal organisation’s assets in the countries where it operates and resides. この犯罪活動の規模は膨大である。調査により、暗号通貨取引所の複雑なネットワークを通じて7億ユーロ以上が洗浄され、デジタル匿名性を悪用して不法な資金の流れが隠蔽されていた事実が明らかになった。これら二つの連携行動と複数の逮捕・押収に続き、捜査当局は犯罪組織が活動・居住する各国において、その資産の追跡を継続する。
Europol’s support in coordinating this investigation 欧州刑事警察機構の捜査調整支援
Europol played a central role in facilitating the cross-border coordination of the operation, providing both operational and analytical support to ensure its success. 欧州刑事警察機構は作戦の越境調整を促進する中心的な役割を果たし、成功を確実にするため運用面と分析面の双方の支援を提供した。
Key contributions from Europol included: 欧州刑事警察機構の主な貢献は以下の通りである:
・Operational meetings involving law enforcement agencies from all participating countries to coordinate operational strategy and intelligence. ・参加国全ての法執行機関を巻き込んだ作戦会議の開催。作戦戦略と情報共有の調整を目的とした。
・Logistical support for the action days, assisting with operational arrangements and resources. ・行動日のための後方支援。作戦手配と資源確保の補助を行った。
・Deployment of dedicated case specialists and analysts to cross-check data, develop intelligence and ensure key insights were shared among partners. ・専任の事件専門家と分析官の展開。データの照合、情報開発、主要な知見のパートナー間共有を確実にした。
・Deployment of a cryptocurrency specialist to support efforts in identifying and seizing illicit cryptocurrency. ・暗号資産専門家の展開による、違法暗号資産の識別・押収支援
・Operational and crypto-analysis intelligence products, which provided crucial insights into the movement of illicit funds and the structure of the fraud network. ・作戦情報及び暗号分析情報製品による、違法資金の移動経路及び詐欺ネットワーク構造に関する重要知見の提供
Participating authorities 参加当局
・Belgium: Federal Judicial Police Limburg (Police Judiciaire Fédérale Limburg) ・ベルギー:連邦司法警察リンブルグ(Police Judiciaire Fédérale Limburg)
・Bulgaria: Bulgarian Cybercrime Directorate, General Directorate Combating Organized Crime ・ブルガリア:ブルガリアサイバー犯罪対策局、組織犯罪対策総局
・Cyprus: Cyprus Police ・キプロス:キプロス警察
・France: National Gendarmerie (Gendarmerie Nationale) ・フランス:国家憲兵隊(Gendarmerie Nationale)
・Germany: Bavarian Central Office for the Prosecution of Cybercrime, Police Headquarters Chemnitz (Polizeidirektion Chemnitz), Police Headquarters Görlitz (Polizeidirektion Görlitz), Criminal Investigation Department Würzburg, Police Headquarters Düsseldorf (and others) ・ドイツ:バイエルン州サイバー犯罪検察中央局、ケムニッツ警察本部(Polizeidirektion Chemnitz)、ゲルリッツ警察本部(Polizeidirektion Görlitz)、ヴュルツブルク刑事捜査部、デュッセルドルフ警察本部 (その他)
・Israel: National Cybercrime Unit, Intelligence Division ・イスラエル:国家サイバー犯罪対策部、情報ディビジョン
・Malta: Malta Police ・マルタ:マルタ警察
・Spain: National Police (Policía Nacional), Spanish Regional Police of Catalonia-Mossos d'Esquadra (Mossos d'Esquadra) ・スペイン:国家警察(Policía Nacional)、カタルーニャ地方警察モッソス・デ・エスクアドラ(Mossos d'Esquadra)
Empact エンパクト
The European Multidisciplinary Platform Against Criminal Threats (EMPACT) tackles the most important threats posed by organised and serious international crime affecting the EU. EMPACT strengthens intelligence, strategic and operational cooperation between national authorities, EU institutions and bodies, and international partners. EMPACT runs in four-year cycles focusing on common EU crime priorities. 欧州犯罪脅威対策多分野プラットフォーム(エンパクト)は、EUに影響を及ぼす組織的かつ重大な国際犯罪がもたらす最重要の脅威に対処する。エンパクトは、各国当局、EU機構・団体、国際パートナー間の情報、戦略的・運用上の連携を強化する。エンパクトは4年周期で運営され、EU共通の犯罪対策優先事項に焦点を当てる。

 

1_20251120121101

 

 

2025.12.06 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

2025.12.05

第30回サイバー犯罪に関する白浜シンポジウムのウェブサイトがオープン 「これからの”連携”を考える」

こんにちは、丸山満彦です。

2026年で30回目となるサイバー犯罪に関する白浜シンポジウム(2026.05-21-23)のウェブサイトがオープンしました。

今年は会場もBig-Uから白浜会館(講演会)、総合体育館(企業展示ブース)、青少年研修センター(セキュリティ道場)に変更となります。

警察BOF以外のBOFはホテルシーモアでいつもと同じです。

個人的にはBig-Uには思い出もあって好きなのですが、人気シンポジウムで手狭となりましたからね...

肝心のテーマは「これからの”連携”を考える」です。

もともと、白浜シンポジウムは官民学の連携で始まっているんです。しかも、昔はFBI国土安全保障省(DHS)の高官なども招聘していたのです。それの人材を引っ張ってきていたのが、ISACA大阪。そして、和歌山大学もサポートをしてくれていました。

なので、「これまでも連携」だったわけですが、これまでを踏まえて「これからの”連携”を考える」ということだと思います。

 

サイバー犯罪に関する白浜シンポジウム

・2025.12.03 第30回 サイバー犯罪に関する白浜シンポジウム

20251205-22848

第30回サイバー犯罪に関する白浜シンポジウム テーマ

 これからの”連携”を考える

≪趣旨≫

「コンピュータ犯罪に関する白浜シンポジウム」は産・官・学各界のキーパーソンを一同に集めて温泉につかりながら情報交換を行うことで、互いの“連携”を円滑にすることを目的に始まりました。

時は流れ、「サイバー犯罪に関する白浜シンポジウム」となった今、サイバー犯罪は高度化の一途を辿り、緊迫する国際情勢の下で、サイバー諜報やテロ活動が活発化する一方です。

サイバー対処能力強化法や経済安全保障促進法の実効性を高めるためにも、業界内、異なる業界、官民、産官学といった組織間などの様々なところでの人材交流を含めたより一層の“連携”が求められています。

ただ、連携といっても異なる組織文化、異なる目的・背景を持つ組織間の連携は一筋縄ではいきません。

白浜シンポジウムが30年目を迎える今、これからの “連携”について皆様と濃密な議論をしたいと思います。

様々な分野からのご参加をお待ちしています。

 

様々な分野からの参加を待っていますということです!

過去のテーマは...

2026 第30回 これからの”連携”を考える
2025 第29回 アイデンティティを問い直す:匿名、なりすまし、ペルソナ、そして人ならざるもの
2024 第28回 激変する環境、複雑化するサイバー犯罪にどう立ち向かうのか?
2023 第27回 足りない人材、 追いつかない育成、次の一手は?
2022 第26回 顕在化する国境なきサイバー犯罪に立ち向かうために
~ ランサムウェアの脅威を考える ~
2021 第25回 今こそ考えるサイバー空間の「信頼」
~クラウドセキュリティとゼロトラストネットワーク~
2020 第24回 AIはサイバーセキュリティの夢を見るか?
2019 第23回 メガイベントのセキュリティ対策
~デジタル時代のイベントに対して、我々は何をすべきか~
2018 第22回 『若者とサイバー犯罪:被害者・加害者・傍観者』
2017 第21回 先見の明 IoT&AI犯罪の被害者をどう救うのか?
2016 第20回 サイバー犯罪 温故知新
2015 第19回 IT内部犯行をどう防ぐか
2014 第18回 サイバー犯罪の抑止とダメージコントロール
2013 第17回 追跡困難な新しいネット犯罪にどう立ち向かうか
2012 第16回 サイバー攻撃にどう備えるか
2011 第15回 クラウド時代のセキュリティ対策
2010 第14回 有害サイトから、子ども(我が身)を守ろう
2009 第13回 ウイルスとマルウェアの脅威 ~あなたの生活が狙われている~
2008 第12回 国民総ネット化時代の情報安全教育
2007 第11回 多様化するサイバー犯罪とその対策
2006 第10回 これまでの10年、これからの10年
2005 第09回 顔の見えないネット社会 ~匿名性を考える~
2004 第08回 ユビキタス時代の個人情報保護
2003 第07回 e-japanを考える
2002 第06回 電子政府への期待と懸念
2001 第05回 サイバー社会の防衛のための国際協力
2000 第04回 サイバー社会の防衛
1999 第03回 ネットワーク時代のコンピュータ 犯罪
1998 第02回  
1997 第01回  

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.05.23 第29回サイバー犯罪に関する白浜シンポジウム 「アイデンティティを問い直す:匿名、なりすまし、ペルソナ、そして人ならざるもの」

・2023.05.27 サイバー犯罪に関する白浜シンポジウム 第27回 - 足りない人材、 追いつかない育成、次の一手は?

・2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

 

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.07.14 日本のインターネットはどうなんのよ。。。

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.06 「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について

・2008.06.06 学校の先生は教育できるだけの知識があるのだろうか?@白浜

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

・2004.12.17 MSのセキュリティレスポンスチームが高校の授業

 

 

2025.12.05 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 安全保障 | | Comments (0)

米国 NIST AI 700-2 AIのリスクと影響の評価(ARIA) ARIA 0.1:パイロット評価報告書 (2025.11.17)

こんにちは、丸山満彦です。

NISTが信頼性と責任ある人工知能のシリーズNIST AI 700-2 AIのリスクと影響の評価(ARIA) ARIA 0.1:パイロット評価報告書を公表していますね...

NISTのAIリスク・影響アセスメント評価(ARIA)パイロット版:ARIA 0.1の評価手順を説明したものです。この後詳細版もだすようです...

パイロットには、5つの組織が参加し、評価対象として合計7つのAIアプリケーションを提出しているようですが、この回の報告書では、本稿では3つの評価シナリオ

  • TVネタバレ
  • 食事プランナー
  • パスファインダー

についての報告のようです。

テストについては次の3つ、

  1. モデルテスト(アプリケーション機能の確認)
  2. レッドチームテスト(プリケーションの負の挙動を引き出す)
  3. フィールドテスト(アプリケーションの実用的な使用状況を観察)

の設計について説明していますね...

また、

  • 対話注釈
  • 質問票

をつかったアセスメント手法についても説明がありますね...

そして、測定ツリーを用いたAIアプリケーションの妥当性確認アプローチについて説明がありますね...

日本もAIの普及にむけた品質評価のフレームワーク等を定めていく必要がありますね...

 

NIST - ITL 

Assessing Risks and Impacts of AI

・2025.11.17 [PDF] AI 700-2 Assessing Risks and Impacts of AI (ARIA) ARIA 0.1: Pilot Evaluation Report

20251204-83107

・[DOCX][PDF] 仮訳 (図3、4、5除く)

 

 

2025.12.05 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in AI/Deep Learning | | Comments (0)

2025.12.03

フランス CNIL ソーシャルネットワークで子どもの写真や動画を共有すること:そのリスクとは (2025.11.28)

こんにちは、丸山満彦です。

CNILがソーシャルネットワークで子どもの写真や動画を共有することのリスクについて警告をだしていますね...

リスクについては、

・子どもの画像は悪意ある目的に利用される可能性がある

・画像を投稿すると、子どもの他の情報も漏れる可能性がある

・デジタルアイデンティティの構築は長期的に子供を気付ける可能性がある

と指摘しておりますね...

で、対策としては、

・共有する場合はソーシャルメディアではなく、インスタントメッセージ等を利用する

・公開前に子どもとその親の同意を得る

・写真や動画の共有を避け、子どもの顔を隠す

・アカウントのセキュリティ強化

などが記載されていますね...

 

 

CNIL

・2025.11.28 Sharing photos and videos of your child on social networks: what risks

Sharing photos and videos of your child on social networks: what risks ソーシャルネットワークで子どもの写真や動画を共有すること:そのリスクとは
Posting photos and videos of children on social networks (“sharenting”) raises the question of parental responsibility. It has consequences for their children's private lives. What are the risks and what are the best practices to adopt? ソーシャルネットワークに子どもの写真や動画を投稿する行為(「シェアレンティング」)は、親の責任という問題を提起する。これは子どもの私生活に影響を及ぼす。そのリスクとは何か、そして取るべき最善の対策は何か?
53 % of French parents have shared content about their children on social networks. フランス人の親の53%がソーシャルネットワークで子どもに関するコンテンツを共有したことがある。
Source : The French Observatory on parenting and digital education (Observatoire de la parentalité et de l'éducation numérique (OPEN)-POTLOC, 2023) 出典:フランス子育て・デジタル教育観測所(OPEN-POTLOC、2023年)
Sharing videos or photos of your children on social networks is not a harmless act and carries many risks. ソーシャルネットワークで子どもの動画や写真を共有することは無害な行為ではなく、多くのリスクを伴う。
Generally speaking, the CNIL strongly advises against sharing photos or videos of your children or grandchildren on social networks, especially when your profile is public. If you still wish to do so, the CNIL suggests practical advice and guidance to follow so as to limit the risks. 一般的に、CNIL(フランス情報処理自由委員会)は、特に公開設定のプロフィールでは、子供や孫の写真・動画をSNSに共有しないよう強く勧告している。それでも共有したい場合、CNILはリスクを最小限に抑えるための実践的な助言と指針を示している。
20251201-24237
About the video ‘Think before you post’ produced with the Data Protection Commission Ireland アイルランドデータ保護委員会と共同制作した動画「投稿前に考えよう」について
An international survey on digital parenting, conducted in 2024 by the Global Privacy Assembly's Digital Education Working Group, highlighted the phenomenon of sharenting as an emerging issue that could affect children's rights and personal data. In light of this, the Data Protection Commission Ireland (DPC) and the CNIL wanted to raise parents' awareness of the consequences of these practices, which are becoming widespread and can undermine the privacy, autonomy and emotional well-being of minors. 2024年にグローバルプライバシーアセンブリのデジタル教育ワーキンググループが実施したデジタル子育てに関する国際調査では、シェアレンティング現象が子どもの権利や個人データに影響を及ぼす新たな問題として浮上した。これを受け、アイルランドデータ保護委員会(DPC)とCNILは、未成年者のプライバシー、自律性、精神的健康を損なう恐れのあるこうした行為が広まる中、親の意識向上を図ろうとした。
In this context, the video ‘Think before you post’ was co-designed by the two data protection authorities. It aims to illustrate in a concrete way the risks associated with parents sharing personal information, photographs or videos of their children online, and to encourage a more responsible use of digital technologies. この文脈において、両データ保護当局は共同で動画『投稿前に考えよう』を制作した。これは、親が子供の個人データ・写真・動画をオンラインで共有することに伴うリスクを具体的に示し、デジタル技術の利用における責任ある行動を促すことを目的としている。
What are the risks of publishing your child's image on social networks? ソーシャルネットワークに子供の画像を掲載するリスクとは?
True stories... 実例...
The CNIL regularly receives complaints, as herewith showcased: CNILには定期的に苦情が寄せられている。以下に事例を示す:
・A child applied to the CNIL to have photographs, videos and voice recordings posted by his parents on a social network removed. ある子供が、親がソーシャルネットワークに投稿した写真・動画・音声記録の削除をCNILに申請した。
・Parents drew the CNIL's attention to the difficulties they were experiencing in stopping the dissemination of photographs of their underage children's christenings. 親がCNILに、未成年の子供の洗礼式の写真拡散を止められない困難を訴えた。
The CNIL assists complainants in obtaining the removal of published images and videos. CNILは、公開された画像や動画の削除を求める苦情申し立て者を支援する。
The image of your children can be misused for harmful purposes 子どもの画像は悪意ある目的に悪用される可能性がある
Videos and photos posted on social networks can be hijacked by ill-intended individuals. Some parents publish nude photos of their children (for example when they are playing in the bath): predators on the Internet hijack these photos to create fake profiles, share them with other strangers or distribute them on child pornography networks. ソーシャルネットワークに投稿された動画や写真は、悪意のある人物に乗っ取られる恐れがある。一部の親は子どもの裸の写真(例えば風呂遊び中の写真)を公開するが、ネット上の犯罪者はこうした写真を乗っ取り、偽のプロフィールを作成したり、他の見知らぬ人と共有したり、児童ポルノネットワークで流通させたりする。
These ill-intended individuals can retrieve images without needing to be in your contacts, either because your profile is public, or because one of your contacts has shared them publicly or with other "friends". こうした悪意のある人物は、あなたの連絡先リストにいない場合でも、あなたのプロフィールが公開されているか、あなたの連絡先の一人がそれらを公開または他の「友人」と共有したために、画像を取得できる。
Moreover, the development of AI systems facilitates the creation of deep-fakes, allowing, for example, to turn photographs of minors published on social networks into nude pictures of them. It consists of images, photographs and videos generated from various children’s content (included dressed), available online on social networks by example. This leads to increasing risks and dangers for children both online and offline. さらに、AIシステムの発展はディープフェイクの作成を容易にし、例えばソーシャルネットワークに公開された未成年者の写真を、その人物の裸写真に変換することを可能にしている。これは、ソーシャルネットワーク上で入手可能な様々な子供向けコンテンツ(服を着ているものも含む)から生成された画像、写真、動画で構成される。これにより、オンライン上でもオフライン上でも、子供たちに対するリスクと危険が増大している。
Indeed, it can: 実際、これは以下を引き起こす可能性がある:
・Fuel school bullying and cyber-bullying; ・学校でのいじめやネットいじめを助長する;
・Intensify paedo-criminal practices. On this matter, the “Fondation pour l’enfance” (Foundation for Children) warns in particular about the development of new paedo-criminal contents related to AI use and the multiplication of paedophile content on the dark web, but also throughout publicly accessible web pages. ・小児性犯罪行為を助長する。この点について「子ども財団」は特に、AI利用に関連する新たな小児性犯罪コンテンツの増加や、ダークウェブだけでなく一般公開ページ全体における小児性愛コンテンツの拡散について警鐘を鳴らしている。
50% of children’s photos and videos shared on paedo-criminal forums have been initially published online by their own parents. 小児性犯罪フォーラムで共有される児童の写真・動画の50%は、当初その親自身によってオンラインに公開されたものである。
Source: Report by the Children's Foundation, Generative AI, the new weapon of paedophile crime, October 2024 (Rapport de la Fondation pour l’enfance, l’IA generative, nouvelle arme de la pédocriminalité, oct. 2024) 出典:子ども財団報告書『生成的AI、小児性犯罪の新たな武器』(2024年10月)
Publishing an image can reveal other information about your children 画像を投稿すると、子どもの他の情報が漏れる可能性がある
An image taken from a smartphone or camera contains data that can reveal a lot about your child. スマートフォンやカメラで撮影した画像には、子どもに関する多くの情報を明らかにするデータが含まれている。
Photos and videos often contain information about the location and time at which the image was taken (thanks to the metadata of a photo or video, particularly GPS data). Images can also reveal valuable information about your children - such as their point of interests or the places they frequently attend, - which should not be placed in the hands of an ill-intended individuals. 写真や動画には、撮影場所や時刻の情報(特にGPSデータを含むメタデータ)が記録されていることが多い。画像からは、子供の興味の対象や頻繁に訪れる場所など、悪意ある人物の手に渡すべきでない貴重な情報も読み取れる。
Creating a digital identity can harm your children in the long term デジタルアイデンティティの構築は長期的に子供を傷つける可能性がある
From a very early age, some children are given a "digital identity" potentially containing hundreds of photos that they will find difficult to delete once they grow up. According to a study conducted by the British agency OPINIUM and published in 2018, the parents of a 13-year-old child have already published an average of 1,300 photos of him or her on social networks. 幼い頃から、子供には何百枚もの写真を含む「デジタルアイデンティティ」が与えられ、成長後に削除するのが困難になる場合がある。英国の調査機関OPINIUMが2018年に発表した研究によると、13歳の子供の親は平均で既に1,300枚もの写真をSNSに公開している。
It is sometimes difficult to measure the extent and the consequences of the footprints left on our children for the future. What poses no problem today may seem unacceptable tomorrow. Always accessible, the photographs and videos shared by parents can prevent their children from their ability to develop their own image and identity. They can damage their online reputation (with the risk of cyber-bullying) and have a negative impact in the school setting, or on their personal and professional future. 子供たちの将来に残される足跡の規模や影響を測るのは時に困難だ。今日問題ないことが、明日には受け入れがたいものに見えるかもしれない。親が共有した写真や動画は常にアクセス可能であり、子供たちが自らのイメージやアイデンティティを育む能力を阻害する恐れがある。オンライン上の評判を損ない(ネットいじめのリスクを伴う)、学校環境や個人的・職業的な将来に悪影響を及ぼす可能性がある。
What are the best practices to apply? では、どのような対策が有効か?
To ensure that your children are not exposed to the risks associated with "sharenting", the CNIL suggests practical advice and guidance to apply. 「シェアレンティング」に伴うリスクから子供を守るため、CNIL(フランス情報処理自由委員会)は実践的な助言と指針を示している。
Prioritise sharing by instant messaging, email or MMS インスタントメッセージ、メール、MMSでの共有を優先する
Avoid sharing photos and videos of your child on social networks: prefer sharing via secure private instant messaging apps, some of which even have features that allow you to send ephemeral messages. Email or MMS (multimedia messaging service) should also be preferred. ソーシャルネットワーク上での子供の写真・動画共有は避けるべきだ。代わりに、安全なプライベートのインスタントメッセージアプリを利用することを推奨する。中には一時的なメッセージ送信機能を備えたアプリもある。メールやMMS(マルチメディアメッセージングサービス)も同様に推奨される。
Don't share images of your child with all of your followers on social networks, when you can pass them on to your family and friends privately. Make sure to ask your friends and family not to share photos or videos of your child on social networks without your consent. ソーシャルネットワークで全フォロワーに子どもの画像を共有せず、家族や友人に非公開で渡すようにする。友人や家族には、同意なしにソーシャルネットワークで子どもの写真や動画を共有しないよう必ず依頼すること。
Ask your child and the other parent for their consent before any publication. 公開前に子どもと相手の親の同意を得る。
Before publishing a photo or video of your child on social networks, it's important to talk to him or her and get his or her consent. ソーシャルネットワークに子どもの写真や動画を投稿する前には、必ず本人に話し、同意を得る必要がある。
You must also seek the consent of the other parent. A number of court rulings have made it clear that publishing photographs of children, particularly on social networks, is a non-routine act that requires the consent of both parents. さらに、相手の親の同意も得なければならない。複数の裁判所の判決が、特にソーシャルネットワーク上での子どもの写真公開は日常的な行為ではなく、両親双方の同意を必要とすることを明確にしている。
Children’s image right, a reinforced right by the law 子どもの肖像権、法律で強化された権利
The French law of February 19th, 2024 has reinforced the protection of children’s image right: 2024年2月19日のフランス法は子どもの肖像権保護を強化した:
・Parents must ensure that their child’s privacy is respected, including their right to their image. They involve the child in exercising their right to their image, depending on the child’s age and level of maturity. ・親は子どものプライバシー、特に肖像権が尊重されるよう確保しなければならない。子どもの年齢と成熟度に応じて、肖像権行使に子どもを関与させる。
・If the parents disagree, the judge of family affairs can prohibit one parent from publishing any pictures of their child without the other parent’s consent. ・親の間で意見が一致しない場合、家庭裁判所の裁判官は、一方の親が他方の親の同意なしに子どもの写真を公開することを禁止できる。
・If a parent’s sharing of their child’s image causes serious harms to the child’s dignity or moral integrity, a compulsory partial delegation of parental authority is instituted. ・親による子どもの画像共有が、子どもの尊厳や道徳的完全性に重大な危害をもたらす場合、親権の一部強制的な委任が実施される。
Avoid sharing certain photos and videos and hide your child's face 特定の写真や動画の共有を避け、子どもの顔を隠すこと
If you decide to publish photos and videos of your child, be selective. 子どもの写真や動画を公開する場合は、選択的に行うこと。
Avoid publishing certain photos and videos that involve your child's privacy (for example, a photo of your child in a swimming costume or in the bath). 子どものプライバシーに関わる特定の写真や動画(例:水着姿や入浴中の写真)の公開は避けること。
It is also recommended that you hide your child's face (by taking a photo of your child's back, or adding an emoji to his or her face, etc.) before posting. 投稿前に子どもの顔を隠す(後ろ姿の撮影や顔に絵文字を付けるなど)ことも推奨される。
Secure your accounts and reduce the visibility of your posts アカウントのセキュリティ強化と投稿の可視性低下
Lock down your social network accounts by restricting the visibility of your posts to your subscribers to prevent unauthorized people from having access to photos or videos of your children. ソーシャルネットワークアカウントをロックダウンし、投稿の閲覧を購読者だけに制限することで、許可されていない人物が子どもの写真や動画にアクセスするのを防ぐ。
For each social network, you can set up privacy settings on your account to limit the visibility of your posts. 各ソーシャルネットワークでは、アカウントのプライバシー設定を調整し、投稿の閲覧範囲を制限できる。
TikTok TikTok
On smartphone スマートフォンの場合
Click on the profile icon at the bottom right of the screen, on the menu at the top right, on "Settings and Privacy" and then on "Privacy". 画面右下のプロフィールアイコンをタップ→右上のメニュー→「設定とプライバシー」→「プライバシー」の順に選択。
You can then set your account to "private account". アカウントを「非公開アカウント」に設定できる。
You can also activate the "Profile view history" option. To do so, go back on “Privacy” then select “publication views” 「プロフィール閲覧履歴」オプションも有効化できる。設定するには「プライバシー」に戻り、「投稿閲覧」を選択する。
On a computer パソコンの場合
Click on “plus” 「プラス」をクリックする
Then press on the settings icon and then of privacy politic. 設定アイコンを押し、プライバシーポリシーを選択する
You can then set your account on private mode. アカウントを非公開モードに設定できる。
The option “Profile view history” cannot be activated from a computer. To do so, you must go through the mobile app. 「プロフィール閲覧履歴」オプションはパソコンから有効化できない。有効化するにはモバイルアプリ経由で行う必要がある。
Instagram Instagram
On smartphone スマートフォンの場合
Go to your profile, then click on the menu at the top right, then on "Settings and Privacy" at the very top; プロフィール画面へ移動し、右上のメニューをタップ。最上部の「設定とプライバシー」を選択。
Scroll down to "Who can see your content" and then "Account Privacy". 「コンテンツの閲覧範囲」までスクロールし、「アカウントのプライバシー」へ進む。
Tick the box next to "Private account"; 「非公開アカウント」の横にあるチェックボックスにチェックを入れる。
Click on "Switch to a private account" to confirm. 「非公開アカウントに切り替える」をクリックして確定する。
On a computer パソコンの場合
Access your profile, then go to "Options" in the top right-hand corner and click on "Settings and Privacy"; プロフィールにアクセスし、右上の「オプション」から「設定とプライバシー」をクリックする。
In the "Who can see your content" section, tick the box next to "Private account" and click "Switch to a private account" to confirm. 「コンテンツの閲覧権限」セクションで「非公開アカウント」の横のチェックボックスにチェックを入れ、「非公開アカウントに切り替える」をクリックして確定する。
Facebook Facebook
On smartphone スマートフォンの場合
Go to your profile, then click on the menu at the bottom right, then click on "Settings and Privacy", then "Settings" and go to "Audience and Visibility"; プロフィール画面から右下のメニューをタップし、「設定とプライバシー」→「設定」→「公開範囲とプライバシー」へ進む。
You can then, among other things: その後、以下の操作が可能だ:
make your account private, by clicking on "followers and public content" and deactivating the "public" option; 「フォロワーと公開コンテンツ」をクリックし、「公開」オプションを無効化してアカウントを非公開にする;
manage who can see your "friends" or "me only" posts; 「友達」または「自分だけ」投稿の閲覧者を管理する;
deactivate the sharing of stories and real for people who follow you. If your account is public, everyone has access to your stories. フォロワーへのストーリーとリアルタイム投稿の共有を無効化する。公開アカウントの場合、ストーリーは誰でも閲覧可能だ。
On a computer パソコンの場合
Go to your profile, then click on your profile photo at the top right, then click on "Settings and Privacy", then "Settings" and go to "Privacy"; プロフィールページに移動し、右上のプロフィール写真をクリック。次に「設定とプライバシー」→「設定」→「プライバシー」の順に進む。
You can then, among other things: 以下の操作が可能だ:
manage who can see your future publications on "friends" or "me only"; 今後の投稿を「友達」または「自分だけ」に限定する
limit the visibility of your past posts on your diary. タイムライン上の過去の投稿の公開範囲を制限する
X X
On smartphone スマートフォンの場合
Tap on your profile photo, then on "Settings and Privacy" and then on "Privacy and Security". プロフィール写真をタップし、「設定とプライバシー」→「プライバシーとセキュリティ」を選択する。
On a computer パソコンの場合
Click on "More", on "Settings and Privacy" and then on "Privacy and security". 「その他」→「設定とプライバシー」→「プライバシーとセキュリティ」をクリックする。
In both cases, you can: いずれの場合も以下の設定が可能だ:
protect your tweets, i.e. limit the visibility of your tweets to people who follow you; ツイートを防御する(フォロワーのみに表示を制限)
adjust who can identify you in the photos; 写真でのタグ付けを識別できるユーザーを調整する
Sort through your subscribers and your uploaded photos and videos 購読者やアップロードした写真・動画を整理する
Sort out your followers on social networks frequently to avoid being followed by people you don't know. ソーシャルネットワークのフォロワーは頻繁に整理し、知らない人にフォローされないようにする。
If possible, classify your subscribers into several categories (close friends, acquaintances, family, etc.): this way you can decide to share your children's photos or videos only with certain groups. 可能なら購読者をいくつかのカテゴリー(親しい友人、知人、家族など)に分類する。こうすれば子供の写真や動画を特定のグループだけに共有する選択ができる。
Help and guidance: on Instagram, you can create a group made up of your "close friends", so you don't have to share content about your children with all your followers. ヘルプとガイダンス:Instagramでは「親しい友人」グループを作成できるため、子供に関するコンテンツを全フォロワーと共有する必要はない。
Regularly sort through your photos and videos shared on social networks: this will allow you to delete photos of your child that are no longer topical. ソーシャルネットワークで共有した写真や動画を定期的に整理する:これにより、子供の成長が明らかになった写真を削除できる。
What rights do your children have? 子供にはどんな権利があるのか?
Since 1989 and the International Convention on the Rights of the Child, every minor has had the right to "preserve his or her identity, name and family relations". They must also be protected from "arbitrary or unlawful interference with his or her privacy" and "unlawful attacks on his or her honour and reputation". 1989年の「児童の権利に関する国際条約」以来、全ての未成年者は「自身の身分、氏名、家族関係を保持する権利」を有する。また「プライバシーへの恣意的または違法な干渉」や「名誉・信用に対する違法な侵害」から防御されねばならない。
The right to an image is a right created by Courts on the basis of the right to privacy under article 9 of the French Civil Code. The children’s image right must be protected by their parents (see as aforementioned). 肖像権は、フランス民法第9条に基づくプライバシー権を根拠に裁判所が認めた権利である。子どもの肖像権は親によって防御されなければならない(前述の通り)。
Children have the right to privacy and the right to their image. 子どもにはプライバシー権と肖像権がある。
Your children's photos and videos are personal data. Bear in mind that your children under 18 have digital rights over their data. They even benefit from enhanced protection. 子どもの写真や動画は個人データである。18歳未満の子どもには自身のデータに対するデジタル権利があることを認識せよ。彼らは強化された保護の対象となる。
In France, it is the parents (or legal representative) who, in principle, exercise the child’s rights, in particular: フランスでは、原則として親(または代表者)が子どもの権利を行使する。具体的には:
・their right of access, which enables them to find out what data an organisation holds about the child; アクセス権:組織が子どもについて保有するデータの内容を確認する権利
・its right to rectification, i.e. the right to ask for certain inaccurate, outdated or incomplete information about the child to be corrected; 訂正権:子どもに関する不正確・古くなった・不完全な情報の修正を求める権利
・its right to erasure, i.e. the possibility to request the deletion of the child's personal data; 消去権、つまり子供の個人データの削除を要求する権利。
・their right to object, for refusing to allow some of the child’s personal data to be used by an organisation for a given purpose. 異議申立権、つまり特定の目的で組織が子供の個人データを利用することを拒否する権利。
However, the CNIL believes that children should be able to exercise their own personal data rights on social networks directly. This ability to act autonomously does not override the parents' power to exercise those same rights on behalf of their child and to provide support during the process. ただし、CNIL(フランス情報保護委員会)は、子供がソーシャルネットワーク上で自身の個人データ権利を直接行使できるべきだと考えている。この自律的な行動能力は、親が子の代わりに同じ権利を行使し、その過程で支援を提供する権限を無効にするものではない。
It should be noted that children can also take action against their parents if the latter fail to respect their rights. In 2018, a sixteen-year-old teenager brought a complaint against his mother for violating his privacy. The Rome Court (Italy) ordered the child's mother to stop posting photos of her son on social networks, on pain of a fine. なお、親が子の権利を尊重しない場合、子は親に対して行動を起こすこともできる。2018年には、16歳の少年が母親のプライバシー侵害を理由に告訴した事例がある。ローマ裁判所(イタリア)は、罰金を科すことを条件に、母親に対しソーシャルネットワーク上での息子の写真投稿を停止するよう命じた。
Deleting photos or videos online オンライン上の写真や動画の削除
If the photos or videos that you have published of your child on your social networks have been reused without your consent, you can exercise your children's rights on their behalf, in particular their right to deletion. In the same way, your children can request the deletion of photos or videos relating to them without your consent. ソーシャルネットワークに投稿した子どもの写真や動画が、本人の同意なく再利用された場合、親は子どもの権利(特に削除権)を代行して行使できる。同様に、子供自身も親の同意なしに自身に関連する写真や動画の削除を要求できる。
The social network will then have to delete the personal data collected as part of its services as quickly as possible. ソーシャルネットワークは、サービス提供中に収集した個人データを可能な限り速やかに削除しなければならない。
If no response nor no action is taken, you can: 対応や措置がなされない場合、以下の手段がある:
・contact the police or the appropriate officer if the photo or video puts the child in immediate danger; ・写真や動画が子供を差し迫った危険に晒す場合、警察または管轄官庁に連絡する。
contact 3018 if the photo or video of your child is used for cyberbullying; ・子供の写真や動画がネットいじめに利用されている場合、3018(児童相談窓口)に連絡する。
・in cases where the social network fails to respond or refuses to take action, submit a complaint to the CNIL within one month of the date of the request, enclosing a copy of the steps taken with the site. ・ソーシャルネットワークが対応しない、または措置を拒否した場合、要請日から1ヶ月以内にCNIL(フランス情報保護委員会)に苦情を申し立て、サイトに対して行った手続きの写しを添付する。
・If the content is illicit (for example, if it is being misused for harmful purposes), report it on the platform Pharos. ・コンテンツが違法である場合(例えば有害な目的で悪用されている場合)、プラットフォーム「ファロス」で報告する。
Regulations to strengthen children’s protection online オンライン上の子ども保護強化に関する規制
In France, legislators have already strengthened the protection of children online in response to specific issues such as the commercial exploitation of children’s ' images, cyber-bullying and the widespread use of parental controls or even the respect of children’s rights with regard to how their parents use them, as explained on the following website “Vie Publique”. フランスでは、子どもの画像の商業的利用、ネットいじめ、ペアレンタルコントロールの普及、さらには親による子どもの権利尊重といった具体的な問題に対応し、立法府は既にオンライン上の子ども保護を強化している。詳細は「Vie Publiqueウェブサイトで説明されている。
Thus, the Digital Service Act (DGA), as outlined in the recently published guidelines, imposes new rules that social networks platforms must follow in order to reinforce the online protection of minors. したがって、最近公表されたガイドラインで概説されているデジタルサービス法(DGA)は、未成年者のオンライン保護を強化するためにソーシャル・ネットワーキング・サービス・プラットフォームが従わなければならない新たな規則を課している。
Related articles 関連記事
Protect your children's privacy booklet 子どものプライバシーの防御パンフレット
Content of the CNIL website on children’s digital rights CNILウェブサイト「子どものデジタル権利」コンテンツ
Partnership with PEReN: the dangers of AI in relation with deep fakes - LINC PEReNとの連携:ディープフェイクに関連するAIの危険性 - LINC
External resources 外部リソース
Resources from the Data Protection Commission of Ireland - Back-to-school photos: Keeping information about your child safe - DPC アイルランドデータ保護委員会リソース - 新学期写真:子どもの情報保護について - DPC
2022 report by the Defender of Rights on "Privacy: a right for children" (in French) 権利擁護者による2022年報告書「プライバシー:子どもの権利」(フランス語)
2023 study by the Observatoire de la Parentalité et de l'Education numérique, entitled "Parents influenceurs" (in French) 親育ちとデジタル教育監視機構による2023年研究「影響力を持つ親たち」(フランス語)
2024 report by the Children's Foundation, Generative AI, the new weapon of paedophile crime 2024年 児童財団報告書「生成的AI、小児性犯罪の新たな武器」
Reference texts 参照文書
Article 9 of the French Civil Code - Légifrance フランス民法第9条 - Légifrance
Article 371-1 and 372-1 of the French Civil Code - Légifrance ・フランス民法第371-1条及び第372-1条 - Légifrance
Article 21 of the law "Informatique et Libertés" - Légifrance 情報処理及び自由に関する法律第21条 - Légifrance

 

 

 

 

2025.12.03 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド | | Comments (0)

2025.12.02

フランス CNIL サイバー犯罪:個人データに対するリスクと影響 (2025.11.28)

こんにちは、丸山満彦です。

CNILが、個人データの経済的価値についての調査をしています。3部作の最終回。

個人データ侵害の被害者が被る物質的損害についての内容...興味深いですね...

被害の頻度と金銭的影響

  • 41% の回答者が過去3年間に自身のデータが不正利用された経験があり、そのうち21% が金銭的損害を受けた

  • 平均的な金融損失は740ユーロで、特に身元盗用(アイデンティティ窃盗)による被害額が平均915ユーロと最も高額

行動への影響と信頼の喪失

  • 被害に遭った人の67% がリスクを減らすために行動を変えた

  • 57% は個人データの不正利用を恐れてデジタルサービスの利用を中止した

  • これは、ネット犯罪がデジタル経済への信頼を損ない、経済活動に間接的な悪影響を及ぼすことを示している

偏った被害の分布

  • 金銭的被害は一部の人に集中

  • 被害者の半数は200ユーロ未満の損失

  • 14% は1,000ユーロを超える被害

行動バイアスの問題

  • 人は経験から学習するため、実際に被害に遭うまでネット犯罪のリスクを過小評価する傾向がある

  • 経験と説明のギャップ」が適切な保護対策の導入を妨げている

個人の防御意識向上と企業の投資強化が不可欠であり、サイバー保険など新たな手段の活用も有効

 

 

CNIL

・2025.11.26 Cybercriminalité : risques et conséquences pour les données personnelles

・2025.11.28 Cybercrime: what risks and consequences for personal data?

Cybercrime: what risks and consequences for personal data? サイバー犯罪:個人データにどのようなリスクと影響があるのか?
The CNIL commissioned a survey on French people's perceptions of the use of their personal data and consent to online advertising. This final article in a series of three publications looks at the financial harm for victims of personal data breaches. CNILは、フランス人の個人データ利用に対する認識とオンライン広告への同意に関する調査を委託した。この3回シリーズの最終記事では、個人データ漏えいの被害者が被る金銭的損害について考察する。
Cybercrime related to personal data (e.g. data breach or theft) is a well-known and widely discussed phenomenon, however, its actual impact for individuals remains difficult to quantify. 個人データに関連するサイバー犯罪(データ侵害や窃盗など)は広く認知され議論されている現象だが、個人への実際の影響は依然として定量化が難しい。
Estimates of its total cost for society vary significantly depending on the source. For example, in France, Statista assessed the cost for organizations at €119 billion in 2024, while the consulting firm Asterès estimated it at only €2 billion for 2022. In light of these large discrepancies, CNIL sought to better quantify the financial and non-financial harms borne by individuals (e. g. losses, changes in behaviour) as a result of the fraudulent use of their personal data. The CNIL also studied how the nature of cybercrime harms is likely to induce behavioural biases leading to risky behaviour. 社会全体の総コストに関する推定値は情報源によって大きく異なる。例えばフランスでは、Statistaが2024年の組織へのコストを1190億ユーロと評価した一方、コンサルティング会社Asterèsは2022年時点でわずか20億ユーロと見積もっている。こうした大きな乖離を踏まえ、CNILは個人データの不正利用によって個人が被る金銭的・非金銭的損害(損失、行動変化など)をより正確に量化しようとした。CNILはまた、サイバー犯罪被害の性質が、リスクを伴う行動につながる行動バイアスを誘発する可能性についても研究した。
This study echoes a theme previously explored in another CNIL publication that identified underinvestment in cybersecurity as a structural issue among companies. This new study shows that the very nature of cyber risk is susceptible to generate behavioural biases in individuals, hindering the emergence of an ecosystem resilient against cybercrime. この研究は、企業のサイバーセキュリティ投資不足を構造的問題として指摘したCNILの別の出版物で以前に探求されたテーマを反映している。この新たな研究は、サイバーリスクの本質そのものが個人に行動バイアスを生じさせやすく、サイバー犯罪に耐性のあるエコシステムの構築を妨げていることを示している。
This question was studied by CNIL, through an online survey conducted by Harris Interactive from December 18 to 23 2024 among a representative sample of 2,082 French residents aged 15 and older. Respondents were asked whether they had experienced fraudulent or unauthorized use of their personal data, and what material or immaterial harms had resulted. この問題は、ハリス・インタラクティブ社が2024年12月18日から23日にかけて実施したオンライン調査を通じてCNILが研究した。調査対象は15歳以上のフランス居住者2,082名の代表者サンプルである。回答者には、個人データの不正利用または無断利用を経験したか、またその結果生じた物質的・非物質的損害について質問した。
The frequency and gravity of cybercrimes relating to personal data 個人データに関連するサイバー犯罪の頻度と深刻度
The survey reveals that incidents involving the unauthorized use of personal data are frequent. 41% of respondents reported having already experienced fraudulent use of their data, and among them, 21% reported having suffered financial damage. 調査によれば、個人データの不正利用を伴うインシデントは頻繁に発生している。回答者の41%が既にデータの不正利用を経験したと報告し、そのうち21%が金銭的損害を被ったと回答した。
The average declared financial loss is €740. Identity theft stands out as the type of breach leading to the highest financial damage (with an average financial loss of 915 euros). 申告された平均金銭的損失額は740ユーロである。特に身元盗用は、最も高い金銭的損害をもたらす侵害類型として際立っており(平均損失額915ユーロ)、
Poorly protected personal data thus leads to tangible harms, clearly quantified by individuals, with impacts perceived as particularly significant, especially for lower-income groups. 防御が不十分な個人データは、個人によって明確に数値化される具体的な損害を引き起こし、特に低所得層においてその影響が特に重大であると認識されている。
Fraudulent use of personal data perceived by individuals in the last 3 years 過去3年間に個人が認識した個人データの不正利用
1_20251130162301
Among those affected by these incidents, 30% reported them to a public authority (police, CNIL). The most common reaction is changing one’s behavior to reduce perceived risk, as mentioned by 67% of respondents. 被害を受けた者のうち、30%が公的機関(警察、CNIL)に通報した。最も一般的な対応は、認識されたリスクを軽減するための行動変容であり、回答者の67%がこれを挙げた。
These incidents also have a lasting impact on individuals’ trust: they lead to greater distrust and to the abandonment of certain digital services, particularly online shopping. Thus, 57% of individuals who suffered harm over the past three years reported giving up using a digital service out of fear that their personal data might be misused, compared with 35% for the general population. これらのインシデントは個人の信頼にも持続的な影響を与える:不信感の増大や、特にオンラインショッピングといった特定デジタルサービスの利用放棄を招く。実際、過去3年間に被害を受けた個人の57%が、個人データの悪用を恐れてデジタルサービスの利用を断念したと報告している。これは一般人口の35%を大きく上回る数値だ。
Beyond direct financial losses, cybercrime fosters a climate of mistrust toward the digital economy, discouraging online transactions and thus amplifying its overall impact on both individuals and companies. These are the indirect costs of cybercrime, a notion already discussed by CNIL. 直接的な金銭的損失を超えて、サイバー犯罪はデジタル経済に対する不信感を助長し、オンライン取引を阻害する。これにより個人と企業の双方への全体的な影響が増幅される。これらはサイバー犯罪の間接的コストであり、CNILが既に議論している概念である。
41% of respondants report having already experienced fraudulent use of their data in the last three years. 回答者の41%が、過去3年間に自身のデータが不正利用された経験があると報告している。
More than half the respondants that experienced fraudulent use of their data in the last three years have given up using a digital service afterwards. 過去3年間にデータ不正利用を経験した回答者の半数以上が、その後デジタルサービスの利用を断念している。
Harms: an unequal distribution of financial consequences 被害:金銭的影響の不均等な分布
The CNIL observes a strong concentration of financial harms among a small number of respondents. Among the 2,082 people surveyed, total reported losses amounted to €131,614, i.e. an average of €63 per respondent. However, this average conceals considerable disparities: one person alone reported nearly €20,000 in financial harm. CNILは、金銭的被害が少数の回答者に集中していることを確認している。調査対象2,082名の総被害額は131,614ユーロ(回答者1人あたり平均63ユーロ)であった。しかしこの平均値は著しい格差を隠している。1人だけで約20,000ユーロの金銭的被害を報告した事例があった。
Half of those experiencing financial harm reported amounts below €200, while 14% suffered damages exceeding €1,000, highlighting the highly uneven distribution of cybercrime-related harms. 金銭的被害を受けた人の半数は200ユーロ未満の被害額を報告した一方、14%は1,000ユーロを超える損害を被っており、サイバー犯罪関連の被害が極めて不均等に分布していることを浮き彫りにしている。
The most serious incidents therefore appear as relatively rare but particularly severe. したがって、最も深刻なインシデントは比較的稀だが特に重大な被害をもたらすものとして現れる。
The figure below illustrates this phenomenon by showing the distribution of financial harms across the population. 下図は、人口全体における金銭的被害の分布を示すことでこの現象を説明している。
2_20251130162401
Distribution of financial harms of cybercrime サイバー犯罪による金銭的被害の分布
Guidance for reading the graph: The peak on the left side of the distribution represents the majority of individuals who experience financial harm of only around €100. However, a minority is affected by much higher amounts, which significantly lengthens the tail of the distribution (on the right side). グラフの読み方: 分布の左側にあるピークは、約100ユーロ程度の金銭的被害しか経験していない大多数の個人を表している。しかし、ごく少数の個人がはるかに高額な被害を受けており、これが分布の尾(右側)を著しく長くしている。
These figures also highlight the relevance and potential value, not only for companies but also for individuals, of emerging cyber insurance products developed by insurers and brokers, and can contribute to actuarial analyses in this area. これらの数値は、保険会社やブローカーが開発した新興のサイバー保険商品が、企業だけでなく個人にとっても関連性と潜在的な価値を持つことを示しており、この分野の保険数理分析に貢献し得る。
Understanding behavioural biases to avoid falling victim to them 行動バイアスを理解し、被害に遭わないようにする
In experimental economics, it is well established that individuals tend to overweight the likelihood of rare events and display risk aversion when faced with potential losses (Kahneman & Tversky, 1979). From this perspective, one might expect individuals to be particularly well prepared for the risk of cybercrime. 実験経済学では、個人が稀な事象の発生確率を過大評価し、損失の可能性に直面するとリスク回避的になる傾向があることが確立されている(Kahneman & Tversky, 1979)。この観点から、個人はサイバー犯罪のリスクに対して特に備えていると予想されるかもしれない。
However, this bias only occurs when the probabilities of different events are explicitly stated to individuals (e.g. in weather forecasts). For many events, people instead infer probabilities from their past experiences. In such cases, the likelihood of rare events tends to be underestimated, a phenomenon known as the description–experience gap (Hertwig et al., 2004, Hertwig & Erev, 2009). しかしこのバイアスは、異なる事象の確率が個人に明示的に提示された場合(例:天気予報)にのみ生じる。多くの事象では、人々は過去の経験から確率を推測する。この場合、稀な事象の発生確率は過小評価されがちであり、これは記述と経験のギャップとして知られる現象である(Hertwig et al., 2004, Hertwig & Erev, 2009)。
In cybersecurity, the likelihood of an incident is never really observable, except through surveys designed to estimate it. Individuals therefore primarily learn through experience, which creates a tendency to underestimate the risk of cybercrime. Many respondents thus indicated to the survey that their perception of risk increased after a data breach. Hence, a low initial perception of risk, which biases individuals’ cost–benefit analyses, makes it more difficult to incentivize the adoption of appropriate protective measures. サイバーセキュリティ分野では、インシデント発生の確率は、それを推定するための調査を通じてでなければ、実際には観測できない。したがって個人は主に経験を通じて学ぶため、サイバー犯罪のリスクを過小評価する傾向が生じる。多くの回答者は調査で、データ侵害後にリスク認識が高まったと示した。つまり、初期のリスク認識が低いと個人の費用便益分析にバイアスがかかり、適切な保護対策の導入を促すインセンティブが弱まる。
Through this study and its regular publications on the subject, the CNIL aims to alert individuals to the reality of this threat so that they can adopt appropriate behaviors. This awareness-raising mission complements the CNIL’s other actions related to enforcement towards organizations that do not sufficiently protect personal data. 本調査及び関連する定期刊行物を通じて、CNILは個人に対しこの脅威の現実を認識させ、適切な行動を取らせることを目指している。この啓発活動は、個人データを十分に防御しない組織に対するCNILの執行措置を補完するものである。
Did you know? ご存知ですか?
Among every 1,000 readers of this publication, approximately 13 are likely to experience fraudulent use of their personal data within the next three years, resulting in financial harm exceeding €1,000. この出版物を読む1,000人につき、約13人が今後3年以内に個人データの不正利用を経験し、1,000ユーロを超える金銭的損害を受ける可能性が高い。
To reduce the likelihood of becoming a victim and the associated negative consequences (financial, psychological…), adopt the essential protective reflexes without delay. 被害者となる確率とそれに伴う負の結果(金銭的、心理的…)を減らすため、遅滞なく基本的な防御習慣を身につけよ。
Learn more : Cybersecurity Guidelines 詳細はこちら:サイバーセキュリティガイドライン
Related articles 関連記事
[1/3] Are we ready to pay for online services without targeted advertising? [1/3] ターゲティング広告なしでオンラインサービスを利用できるか?
[2/3] Monetisation of personal data: how much is our data worth? [2/3] 個人データの収益化:データにどれほどの価値があるのか?
Read more 続きを読む
All our contents about data economy データ経済に関する全コンテンツ

 

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

2025.11.22 フランス CNIL 私たちのデータはどれほどの価値があるのか? (2025.11.18)

 

 

2025.12.02 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | | Comments (0)

イタリア 国家サイバーセキュリティ庁長官へのインタビュー:デジタルリスクに対する国家の対応 (2025.11.27)

こんにちは、丸山満彦です。

イタリアの国家サイバーセキュリティ庁のフラッタシ長官へのインタビューの中で、投資、脅威(ランサムウェアとDDoS攻撃)、国家防衛(中小企業および文民・軍事統合を含む)について語っているので紹介...

日本は2005年に情報セキュリティセンターを(NISC)内閣官房に情報セキュリティについての政府の司令塔として設置し、2014年のサイバーセキュリティ基本法の成立で、サイバーセキュリティセンターとして衣替えし、2022年の国家安全保障戦略に基づき、2025年のサイバー対処能力強化法及び同整備法の成立に基づき、国家サイバー統括室(NCO)となったわけですが、2005年のNISCの当時から経済産業省、総務省、警察庁、防衛省を中心にメンバーがでていたことを考えると、先取りをしていた感じはするんですよね...

 

Itary

● Agenzia per la cybersicurezza nazionale: ACN

・2025.11.27 La risposta dello Stato contro i rischi digitali

La risposta dello Stato contro i rischi digitali デジタルリスクに対する国家の対応
Intervista al prefetto Bruno Frattasi, Direttore Generale dell'Acn, su investimenti, minacce (ransomware e DDos) e difesa nazionale, incluse le Pmi e l'integrazione civile-militare ACN(国家サイバーセキュリティ庁)長官であるブルーノ・フラッタシ氏へのインタビュー。投資、脅威(ランサムウェアやDDoS攻撃)、国家防衛(中小企業や文民と軍隊の統合を含む)について。
di Francesca A. Conidi - Fortune Italia フランチェスカ・A・コニディ - フォーチュン・イタリア
Mentre la tecnologia evolve rapidamente, con essa crescono anche i rischi informatici che minacciano cittadini, imprese e infrastrutture. L’Agenzia per la Cybersicurezza Nazionale è la risposta dello Stato per contrastare i pericoli che si annidano all’interno di questo mondo sempre più radicato in ogni aspetto della nostra vita. テクノロジーが急速に進化するにつれて、市民、企業、インフラを脅かすサイバーリスクも増大している。国家サイバーセキュリティ庁(ACN)は、私たちの生活のあらゆる側面に深く根ざしたこの世界の中に潜む危険に対抗するための国家の対応策だ。
Ne parliamo con il prefetto Bruno Frattasi, Direttore Generale dell’Acn.  ACN長官のブルーノ・フラッタシ氏に話を聞いた。
Prefetto Frattasi, quali sono gli investimenti che il governo sta attuando per implementare un settore strategico come quello della cybersicurezza? フラッタシ長官、サイバーセキュリティという戦略的分野を実装するために、政府はどのような投資を行っているのか?
Abbiamo a disposizione fondi strutturali nazionali che utilizziamo per incrementare la capacità di resilienza cibernetica del nostro Paese. Sono fondi che riguardano sia la spesa corrente sia quella di investimento. L’Agenzia li gestisce con una funzione di raccordo rispetto a tutte le altre amministrazioni beneficiarie, chiamandole a un tavolo di confronto per indirizzare le risorse verso progetti concreti. Inoltre, disponiamo di risorse europee anche provenienti dal dispositivo next generation Eu e quindi allocate nella missione 1 del Piano Nazionale di Ripresa e Resilienza. Negli ultimi tre anni, con oltre 620 mln di euro provenienti dal Pnrr, sono stati gestiti interventi di resilienza cibernetica a favore di istituzioni e amministrazioni pubbliche, centrali e locali. Partecipiamo anche a progetti comunitari finanziati dal Centro di coordinamento europeo - Eccc con fondi destinati alla ricerca, sviluppo e al trasferimento tecnologico. Quanto allo sviluppo dell’AI l’obiettivo è creare in Italia delle vere e proprie factory di intelligenza artificiale che mettano insieme ricerca accademica e imprese per trovare le risposte necessarie a tutelare e implementare la nostra capacità industriale e rafforzare naturalmente la prevenzione e il contrasto della minaccia cibernetica.  我々は、我が国のサイバーレジリエンス能力を強化するために、国家構造基金を利用している。この基金は、経常支出と投資支出の両方に関係する。同庁は、他のすべての受益行政機関との調整機能として、具体的なプロジェクトに資源を振り向けるため、協議の場を設けて、これらの機関を呼び寄せている。さらに、欧州の次世代EU基金からも資金が提供されており、これらは国家復興・レジリエンス計画(PNRR)のミッション1に割り当てられている。過去3年間、PNRRから6億2000万ユーロ以上が投入され、中央および地方の公的機関や行政機関を対象としたサイバーレジリエンス対策が実施されてきた。また、欧州調整センター(ECCC)が研究開発および技術移転のために資金を提供する共同プロジェクトにも参加している。AIの開発に関しては、学術研究と企業を結びつけ、イタリアの産業能力を保護・強化し、サイバー脅威の予防と対策の強化に必要な答えを見出す、真の意味での人工知能の工場をイタリアに設立することが目標だ。
Quali sono le minacce che dobbiamo affrontare? 我々が直面している脅威とは何だろうか?
Le minacce sono diverse. La principale, in questo momento, arriva dai ransomware, un tipo di malware che limita l’accesso al dispositivo che infetta, cifrandone i dati. È preoccupante perché combina la distruzione del capitale informativo con un la richiesta di un riscatto economico per recuperarlo. Ad attuare questa minaccia, poi, solitamente non sono dei singoli attori isolati ma vere e proprie filiere criminali. Pagare la somma richiesta è sbagliato perché alimenta queste organizzazioni rendendole sempre più forti. 脅威は様々だ。現時点で主な脅威は、感染したデバイスへのアクセスを制限し、データを暗号化するマルウェアの一種であるランサムウェアである。これは、情報資産を破壊すると同時に、その回復のために金銭の身代金を要求するため、懸念される。さらに、この脅威を実行するのは、通常、孤立した個人ではなく、実際の犯罪組織である。要求された金額を支払うことは、こうした組織をますます強力にするため、間違っている。
Un’altra minaccia rilevante è rappresentata anche dagli attacchi DDoS, che abbiamo iniziato a conoscere soprattutto in concomitanza con la guerra in Ucraina. Ricordo che al mio insediamento, nel marzo del 2023, un gruppo di hacker filorussi organizzò delle campagne di DDoS contro l’Italia. Ai tempi siamo riusciti a resistere ma oggi abbiamo migliorato nettamente le nostre capacità di difesa. Insieme a queste minacce ne esistono anche di meno visibili, come lo spionaggio industriale condotto da attori state sponsored che mirano ad ottenere vantaggi competitivi nel settore economico e finanziario. もう一つの重要な脅威は、DDoS攻撃である。これは、ウクライナ戦争と同時期に、我々が認識し始めたものである。2023年3月に私が就任したとき、親ロシアのハッカー集団がイタリアに対してDDoS攻撃キャンペーンを行ったことを覚えている。当時は耐えることができたが、現在では防御能力が大幅に強化されている。こうした脅威に加えて、国家が支援する主体による産業スパイなど、より目に見えにくい脅威も存在する。彼らは経済・金融分野で競争上の優位性を獲得することを目指している。
Come ci si difende da questi attacchi? こうした攻撃からどのように防御すればよいのか?
Prima di tutto bisogna rafforzare le difese informatiche delle infrastrutture critiche. L’Agenzia monitora quotidianamente le possibili minacce e allerta migliaia di soggetti della nostra constituency mettendoli in condizione di reagire. Ad esempio, se andiamo a guardare gli attacchi DDoS, un tempo i servizi digitali colpiti restavano offline per ore, adesso invece rimangono operativi o, al massimo, inattivi per tempi relativamente brevi. Siamo cresciuti nella capacità di resistenza. Questo è avvenuto anche grazie all’utilizzo dell’intelligenza artificiale: da un lato, infatti, chi attacca la usa per rendere i colpi più potenti ma noi dall’altro possiamo renderla alleata per difenderci meglio. まず第一に、重要インフラのサイバー防衛を強化する必要がある。当機関は、日々、潜在的な脅威を監視し、何千もの構成員に警告を発して、対応できる態勢を整えている。例えば、DDoS攻撃を見てみると、かつては攻撃を受けたデジタルサービスは数時間オフラインになったが、現在では稼働を継続できるか、せいぜい比較的短時間だけ停止する程度だ。我々の耐性は向上した。これは人工知能の利用も一因だ。攻撃者は人工知能を利用して攻撃力を強化するが、我々は人工知能を味方につけて防御力を高めることができる。
L‘Italia è un Paese costituito soprattutto da piccole e medie imprese. Queste realtà spesso hanno meno consapevolezza dei pericoli digitali, come possono proteggersi? イタリアは中小企業中心の国だ。こうした企業はデジタル上の危険に対する認識が乏しいことが多いが、どうすれば身を守れるのか?
Le Pmi purtroppo in questi anni hanno investito poco in sicurezza digitale. È anche una questione culturale. L’imprenditore, che si concentra sul profitto, spesso ha preferito investire altrove. La pandemia poi ha rappresentato uno spartiacque: con lo smart working forzato il digitale è diventato una questione essenziale sia nel privato sia nel lavoro e gli hacker ne hanno approfittato. 残念ながら、ここ数年、中小企業はデジタルセキュリティへの投資をほとんど行ってこなかった。これは文化的な問題でもある。利益を重視する起業家は、他の分野への投資を好むことが多い。そして、パンデミックは分水嶺となった。強制的なスマートワーキングにより、デジタルは私生活でも仕事でも不可欠なものとなり、ハッカーたちはそれを利用した。
E così, anche se la consapevolezza sta lentamente crescendo, le piccole imprese rimangono vulnerabili. そのため、意識は徐々に高まっているものの、中小企業は依然として脆弱なままである。
Oggi il patrimonio informativo di un’azienda è quasi tutto digitalizzato, se un datacenter viene colpito da ransomware e non ci sono dei backup adeguati, si rischia il fallimento. 今日、企業の情報資産はほぼすべてデジタル化されている。データセンターがランサムウェアの攻撃を受け、適切なバックアップがない場合、破産のリスクがある。
Cosa comporta l’atto di intesa tra la Difesa e l’Agenzia? 国防省と情報機関間の合意は、どのような意味を持つのか?
È un argomento fondamentale. Sappiamo che il contesto internazionale è segnato da conflitti accesi e che la guerra tradizionale, fatta con carri armati e missili, lascia ampio spazio a strumenti digitali: di questi tempi un drone da poche migliaia di dollari può distruggere un carro armato da milioni di euro senza perdite umane. La guerra digitale è diventata una realtà. これは非常に重要な問題だ。国際情勢は激しい紛争に彩られており、戦車やミサイルによる従来の戦争は、デジタルツールに大きな余地を残している。今日では、数千ドルのドローンが、人命の損失なく、数百万ユーロの戦車を破壊することができる。デジタル戦争は現実のものとなった。
Anche per questo motivo abbiamo sottoscritto un accordo che prevede l’arrivo in Agenzia di un nucleo della Difesa guidato da un alto ufficiale che si integrerà con le nostre attività di interesse comune. Anche in ambito Nato, l’integrazione civile-militare è da tempo una realtà evoluta. Del resto, in Italia il nostro ecosistema di difesa informatica non è affidato ad un solo attore e si fonda, infatti, su quattro pilastri: la nostra Agenzia, civile e sotto la presidenza del Consiglio, la Polizia Postale per il cybercrime, l’intelligence per la raccolta informativa e la Difesa per la Cyber defense. この理由からも、我々は、高位の将校が率いる国防省のチームを機関に迎え入れ、我々の共通関心事である活動と統合することを定めた協定に署名した。NATOの分野でも、文民と軍隊の統合は、かねてより進化した現実となっている。結局のところ、イタリアのサイバー防衛のエコシステムは、単一の主体に委ねられているわけではなく、実際には4つの柱、すなわち、内閣府傘下の文民機関である当庁、サイバー犯罪を担当する郵政警察、情報収集を担当する情報機関、そしてサイバー防衛を担当する国防省によって構成されている。

 

1_20251130081001

 

 

2025.12.02 00:00 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in 安全保障 | | Comments (0)

2025.12.01

中国 国家サイバースペース管理局 意見募集「大規模ネットワークプラットフォーム個人情報保護規定」(2025.11.22)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、「大規模ネットワークプラットフォーム個人情報保護規定」案について意見募集をしていますね...

中国のデジタル経済における主要なプレーヤーである大型プラットフォームに対し、大規模データ処理リスクへの対処、プラットフォーム経済の健全な発展と競争の促進、国家安全保障とデータ主権の確保を目的として、より厳格で具体的な個人情報保護の義務を課すことを考えているようです。

この法律案の対象となるのは、

登録ユーザー数が5,000万人以上、または月間アクティブユーザー(MAU)が1,000万人以上

EUでいうところのゲートキーパーと同じ考え方だと思います。

この大規模ネットワークプラットフォームに対して、

・個人情報保護責任者(DPO?)の設置(資格要件、国籍条項あり)

・データローカライゼーション

・個人の権利利益行使への対応義務

・第三者機関による監査

などが義務付けられる想定ですね...

 

国家互联网信息办公室(国家サイバースペース管理局)

法令案...

・2025.11.22 国家互联网信息办公室、公安部关于《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见的通知

国家互联网信息办公室、公安部关于《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见的通知 国家サイバースペース管理局、公安部による「大規模ネットワークプラットフォーム個人情報保護規定(意見募集稿)」の公開意見募集に関する通知
为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见: 大規模ネットワークプラットフォームにおける個人情報の処理活動を規範化し、個人情報の合法的権益を保護し、プラットフォーム経済の健全な発展を促進するため、「中華人民共和国個人情報保護法」「中華人民共和国データ安全法」「中華人民共和国サイバーセキュリティ法」「ネットワークデータ安全管理条例」等の法律・法規に基づき、国家サイバースペース管理局と公安部は「大規模ネットワークプラットフォーム個人情報保護規定(意見募集稿)」を起草した。ここに社会一般から意見を公募する。一般市民は以下の方法により意見を提出できる:
1.登录中国网信网(www.cac.gov.cn),进入首页“网信要闻”查看文稿。 1. 中国網信網(www.cac.gov.cn)にアクセスし、ホームページの「網信要聞」で文書を確認する。
2.登录公安部官网(www.mps.gov.cn),进入首页“调查征集”查看文稿。 2. 公安部公式サイト(www.mps.gov.cn)にアクセスし、ホームページの「調査・意見募集」で文書を確認する。
3.通过电子邮件方式发送至:shujuju@cac.gov.cn。 3. 電子メールでshujuju@cac.gov.cn宛に送付する。
4.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“大型网络平台个人信息保护规定征求意见”。 4. 郵送による意見提出:北京市海淀区阜成路15号 国家サイバースペース管理局 ネットワークデータ管理局(郵便番号100048)宛て。封筒に「大規模ネットワークプラットフォーム個人情報保護規定 意見募集」と明記すること。
意见反馈截止时间为2025年12月22日。 意見提出締切:2025年12月22日
附件:《大型网络平台个人信息保护规定(征求意见稿)》 添付資料:『大規模ネットワークプラットフォーム個人情報保護規定(意見募集稿)』
国家互联网信息办公室 公安部 国家サイバースペース管理局 公安部
2025年11月22日 2025年11月22日
大型网络平台个人信息保护规定 大規模ネットワークプラットフォーム個人情報保護規定
(征求意见稿) (意見募集稿)
第一条 为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进个人信息依法合理利用,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,制定本规定。 第一条 大規模ネットワークプラットフォームにおける個人情報の処理活動を規範化し、個人情報の合法的権益を保護し、個人情報の法的かつ合理的な利用を促進するため、「中華人民共和国個人情報保護法」「中華人民共和国データ安全法」「中華人民共和国サイバーセキュリティ法」「ネットワークデータ安全管理条例」等の法律・法規に基づき、本規定を制定する。
第二条 在中华人民共和国境内建设、运营的大型网络平台的个人信息保护,适用本规定。法律、行政法规另有规定的,从其规定。 第二条 中華人民共和国国内で構築・運営される大規模ネットワークプラットフォームの個人情報保護には、本規定が適用される。法律・行政法規に別段の定めがある場合は、その規定に従う。
第三条 国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新。 第三条 国家インターネット情報弁公室は、国務院公安部門等の関係部門と共同で大規模ネットワークプラットフォームのリストを制定・公表し、随時更新する。
对大型网络平台的认定,主要考虑以下因素: 大規模ネットワークプラットフォームの認定には、主に以下の要素を考慮する:
(一)注册用户5000万以上或者月活跃用户1000万以上; (一)登録ユーザー数が5000万人以上、または月間アクティブユーザー数が1000万人以上であること;
(二)提供重要网络服务或者经营范围涵盖多个类型业务; (二)重要なネットワークサービスを提供しているか、または経営範囲が複数の業務類型に及んでいること。
(三)掌握处理的数据一旦被泄露、篡改、损毁,对国家安全、经济运行、国计民生等具有重要影响; (三)処理するデータが漏洩、改ざん、毀損された場合、国家安全、経済運営、国民生活などに重大な影響を及ぼすこと。
(四)国家网信部门、国务院公安部门规定的其他情形。 (四)国家インターネット情報部門及び国務院公安部門が定めるその他の事情。
第四条 提供大型网络平台服务的网络数据处理者(以下简称大型网络平台服务提供者)开展个人信息处理活动,应当遵循合法、正当、必要和诚信原则,遵守法律、法规,遵守社会公德和伦理,对所处理的个人信息安全承担主体责任,严格保护敏感个人信息和未成年人个人信息,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。 第四条 大規模ネットワークプラットフォームサービスを提供するネットワークデータ処理者(以下「大規模ネットワークプラットフォームサービス提供者」という)は、個人情報処理活動を行うにあたり、合法・正当・必要・誠実の原則に従い、法律・法規を遵守し、社会道徳と倫理を順守しなければならない。処理する個人情報の安全に対し主体責任を負い、機微な個人情報及び未成年者の個人情報を厳格に保護し、社会的責任を負わなければならない。国家安全や公共の利益を害してはならず、個人や組織の合法的権益を損なってはならない。
第五条 大型网络平台服务提供者应当按照法律法规有关规定指定个人信息保护负责人,并公开个人信息保护负责人的联系方式。 第五条 大規模ネットワークプラットフォームサービス提供者は、法令の関連規定に基づき個人情報保護責任者を指定し、その連絡先を公開しなければならない。
个人信息保护负责人应当由大型网络平台服务提供者管理层成员担任,具有中华人民共和国国籍,无境外永久居留权或者长期居留许可,具备个人信息保护专业知识且从事相关工作5年以上。个人信息保护负责人可以由网络数据安全负责人兼任。 個人情報保護責任者は、大規模ネットワークプラットフォームサービス提供者の管理職が担当し、中華人民共和国の国籍を有し、国外の永住権または長期滞在許可を持たず、個人情報保護の専門知識を有し、かつ関連業務に5年以上従事している者でなければならない。個人情報保護責任者は、ネットワークデータセキュリティ責任者と兼任することができる。
个人信息保护负责人应当履行下列职责: 個人情報保護責任者は以下の職務を履行しなければならない:
(一)指导大型网络平台合规开展个人信息处理活动,落实国家网信部门、国务院公安部门和有关主管部门的个人信息保护监管要求,配合有关部门开展个人信息保护监督检查; (一)大規模ネットワークプラットフォームが個人情報の処理活動をコンプライアンスに基づき実施するよう指導し、国家サイバー空間管理局、国務院公安部門及び関連主管部門の個人情報保護監督管理要求を履行させ、関係部門の個人情報保護監督検査に協力すること;
(二)参与大型网络平台个人信息处理事项相关决策,并对个人信息处理事项具有否决权; (二)大規模ネットワークプラットフォームにおける個人情報処理事項に関する意思決定に参加し、個人情報処理事項に対して拒否権を行使する。
(三)负责对个人信息处理活动以及采取的保护措施等进行监督,发现大型网络平台个人信息处理活动存在较大安全风险或者存在违法违规情形的,应当立即采取措施,并向国家网信部门和有关主管部门报告,涉嫌违法犯罪的应当向公安机关报案; (三)個人情報処理活動及び講じられた保護措置等を監督する責任を負い、大規模ネットワークプラットフォームの個人情報処理活動に重大な安全リスクまたは法令違反の疑いがあることを発見した場合は、直ちに措置を講じるとともに国家サイバー空間管理局及び関係主管部門に報告し、犯罪の疑いがある場合は公安機関に通報する。
(四)组织制定专门的未成年人个人信息处理规则。 (四)未成年者の個人情報処理に関する専門的な規則を策定する。
个人信息保护负责人可以直接向国家网信部门、有关主管部门报告大型网络平台服务提供者的个人信息保护有关情况。 個人情報保護責任者は、国家インターネット情報部門及び関係主管部門に対し、大規模ネットワークプラットフォームサービス提供者の個人情報保護に関する状況を直接報告することができる。
第六条 大型网络平台服务提供者应当明确个人信息保护工作机构,在个人信息保护负责人领导下开展个人信息保护相关工作,包括但不限于: 第六条 大規模ネットワークプラットフォームサービス提供者は、個人情報保護業務機関を明確に定め、個人情報保護責任者の指導の下で個人情報保護関連業務を実施しなければならない。これには以下が含まれるが、これらに限定されない:
(一)制定实施内部个人信息保护管理制度、操作规程以及个人信息安全事件应急预案,合理确定个人信息处理的操作权限,对大型网络平台的个人信息处理活动进行安全管理; (一)内部個人情報保護管理制度、操作手順及び個人情報セキュリティインシデント対応計画を策定・実施し、個人情報処理の操作権限を合理的に設定し、大規模ネットワークプラットフォームの個人情報処理活動に対するセキュリティ管理を実施すること;
(二)组织开展个人信息安全风险监测、风险评估、合规审计、影响评估、应急演练、宣传教育培训等活动,及时处置个人信息安全风险和事件; (二)個人情報セキュリティリスクの監視、リスクアセスメント、コンプライアンス監査、影響評価、緊急訓練、啓発教育・研修等の活動を組織的に実施し、個人情報セキュリティリスク及びインシデントを適時に対処すること。
(三)明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务,并对其个人信息处理活动和履行个人信息保护义务情况进行监督; (三)プラットフォーム内の製品またはサービス提供者が個人情報を処理する際の規範及び個人情報保護義務を明確化し、その個人情報処理活動及び個人情報保護義務履行状況を監督すること。
(四)明确专人负责未成年人个人信息保护工作; (四)未成年者の個人情報保護業務を担当する専任者を明確にすること。
(五)受理并处理个人信息保护投诉、举报; (五)個人情報保護に関する苦情・通報を受け付け処理すること。
(六)每年编制发布大型网络平台服务提供者个人信息保护社会责任报告。 (六)毎年、大規模ネットワークプラットフォームサービス提供者の個人情報保護に関する社会的責任報告書を作成し公表すること。
鼓励大型网络平台服务提供者设立专门的个人信息保护工作机构。 大規模ネットワークプラットフォームサービス提供者は、専用の個人情報保護業務機関を設置することを推奨する。
第七条 大型网络平台服务提供者应当为个人信息保护负责人、个人信息保护工作机构履行职责提供必要支持。 第七条 大規模ネットワークプラットフォームサービス提供者は、個人情報保護責任者及び個人情報保護業務機関が職責を履行するために必要な支援を提供しなければならない。
第八条 大型网络平台服务提供者应当及时向国家网信部门报送下列信息: 第八条 大規模ネットワークプラットフォームサービス提供者は、国家インターネット情報部門に対し、以下の情報を速やかに報告しなければならない:
(一)个人信息保护负责人基本信息; (一)個人情報保護責任者の基本情報;
(二)个人信息保护工作机构基本信息; (二)個人情報保護業務機関の基本情報;
(三)保障个人信息保护负责人和个人信息保护工作机构履职的措施。 (三)個人情報保護責任者及び個人情報保護業務機関の職務遂行を保障する措置。
个人信息保护负责人、个人信息保护工作机构等发生变化的,大型网络平台服务提供者应当在20个工作日内报送变更信息。 個人情報保護責任者、個人情報保護業務機関等に変更が生じた場合、大規模ネットワークプラットフォームサービス提供者は20営業日以内に変更情報を報告しなければならない。
国家网信部门将大型网络平台服务提供者信息向国务院公安部门和有关主管部门共享。 国家インターネット情報部門は、大規模ネットワークプラットフォームサービス提供者の情報を国務院公安部門及び関係主管部門と共有する。
第九条 大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在境内。确需向境外提供的,应当符合国家数据出境安全管理有关规定。 第九条 大規模ネットワークプラットフォームサービス提供者は、中華人民共和国国内での運営において収集・生成した個人情報を国内に保存しなければならない。国外への提供がどうしても必要な場合は、国家のデータ越境に関する安全管理規定に適合しなければならない。
大型网络平台服务提供者应当按照国家有关规定,健全个人信息出境安全相关技术和管理措施,及时防范、处置个人信息违法违规出境安全风险和威胁。 大規模ネットワークプラットフォームサービス提供者は、国家の関連規定に基づき、個人情報の国外提供に関する安全技術及び管理措置を整備し、個人情報の違法・違規な個人情報越境に伴う安全リスク及び脅威を適時に防止・対処しなければならない。
第十条 大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在符合下列条件的数据中心: 第十条 大規模ネットワークプラットフォームサービス提供者は、中華人民共和国国内での運営において収集・生成した個人情報を、以下の条件を満たすデータセンターに保存しなければならない:
(一)设立在中华人民共和国境内; (一)中華人民共和国国内に設置されていること
(二)主要负责人具有中华人民共和国国籍,无境外永久居留权或者长期居留许可; (二)主要責任者が中華人民共和国の国籍を有し、国外の永住権または長期滞在許可を有していないこと
(三)安全性符合国家有关标准要求。 (三)安全性が国家の関連標準要求を満たしていること
第十一条 数据中心应当协助大型网络平台服务提供者履行个人信息保护义务,包括但不限于: 第十一条 データセンターは、大規模ネットワークプラットフォームサービス提供者が個人情報の保護義務を履行することを支援しなければならない。これには以下が含まれるが、これらに限定されない:
(一)建立健全内部个人信息管理制度和操作规程; (一)内部の個人情報管理制度及び操作手順を確立し、整備すること。
(二)发现系统、网络产品和服务等存在影响大型网络平台服务提供者履行个人信息保护义务的安全缺陷、漏洞等风险的,应当立即采取补救措施,按照规定向有关主管部门报告,并通报大型网络平台服务提供者个人信息保护负责人; (二)システム、ネットワーク製品及びサービス等に、大規模ネットワークプラットフォームサービス提供者の個人情報保護義務履行に影響を及ぼすセキュリティ上の欠陥、脆弱性等のリスクを発見した場合、直ちに是正措置を講じ、規定に従い関係主管部門に報告するとともに、大規模ネットワークプラットフォームサービス提供者の個人情報保護責任者に通知すること。
(三)发生个人信息安全事件时,应当立即通报大型网络平台服务提供者个人信息保护负责人,及时启动应急处置预案,采取措施防止危害扩大,消除安全隐患,并按照规定向国家网信部门、有关主管部门报告; (三)個人情報セキュリティインシデントが発生した場合、直ちに大規模ネットワークプラットフォームサービス提供者の個人情報保護責任者に通報し、緊急対応計画を速やかに起動し、被害拡大防止措置を講じ、安全上の隠れた危険を除去するとともに、規定に基づき国家インターネット情報部門及び関係主管部門に報告すること。
(四)及时执行国家网信部门、国务院公安部门和有关主管部门个人信息安全保护有关要求。 (四)国家インターネット情報部門、国務院公安部門及び関係主管部門の個人情報セキュリティ保護に関する要求を速やかに実行すること。
第十二条 大型网络平台服务提供者委托符合本规定第十条要求的第三方数据中心存储个人信息的,应当与其签订合同,约定存储地点、规模、种类等,明确履行本规定第十一条安全要求和下列职责: 第十二条 大規模ネットワークプラットフォームサービス提供者が本規定第十条の要件を満たす第三者データセンターに個人情報の保管を委託する場合、保管場所・規模・種類等を定めた契約を締結し、本規定第十一条の安全要件及び以下の責務を明確に履行しなければならない:
(一)严格依照法律法规的规定和合同约定,履行个人信息保护义务,提供安全、稳定、持续的服务,并接受大型网络平台服务提供者个人信息保护负责人、个人信息保护监督委员会等的监督; (一)法令及び契約の規定に厳格に従い、個人情報保護義務を履行し、安全・安定・継続的なサービスを提供するとともに、大規模ネットワークプラットフォームサービス提供者の個人情報保護責任者・個人情報保護監督委員会等の監督を受けること;
(二)为大型网络平台服务提供者处理个人信息提供便利措施; (二)大規模ネットワークプラットフォームサービス提供者の個人情報処理に対し、便宜を図る措置を講じること。
(三)协助大型网络平台服务提供者对个人信息处理活动进行安全管理。 (三)大規模ネットワークプラットフォームサービス提供者の個人情報処理活動に対する安全管理を支援すること。
第十三条 大型网络平台服务提供者应当向国家网信部门等有关部门报送存储个人信息的数据中心的基本信息,包括管理团队和管理架构、内部个人信息保护管理制度、采取的安全措施、与第三方数据中心签署的合同文本等。上述信息发生变化的,应当自变化之日起10个工作日内报送变更信息。 第十三条 大規模ネットワークプラットフォームサービス提供者は、個人情報を保管するデータセンターの基礎情報(管理チーム及び管理体制、内部個人情報保護管理制度、講じた安全措置、第三者データセンターと締結した契約書など)を国家サイバー空間管理局等の関係部門に報告しなければならない。上記の情報に変更が生じた場合は、変更発生日から10営業日以内に変更情報を報告しなければならない。
第十四条 大型网络平台服务提供者应当为个人行使查阅、复制、更正、补充、删除、限制处理其个人信息,或者注销账号、撤回同意等权利提供便捷的方法和途径。 第十四条 大規模ネットワークプラットフォームサービス提供者は、個人が自身の個人情報の閲覧、複製、訂正、補充、削除、処理制限、アカウント削除、同意撤回等の権利を行使するために、簡便な方法と手段を提供しなければならない。
个人请求将其个人信息转移至其指定的个人信息处理者的,大型网络平台服务提供者应当在接到个人请求后30个工作日内将个人信息通过通用、机器可读的格式进行转移,并以邮件、电话、短信等方式告知个人处理结果,不符合法律、行政法规规定条件的,应当向个人说明原因。因请求数量、操作复杂等原因需要延长处理期限的,应当向个人说明延期原因,可以在合理、必要的情况下再延长30个工作日。法律、行政法规、部门规章另有规定的,从其规定。 個人が自身の個人情報を指定した個人情報処理者へ移転するよう請求した場合、大規模ネットワークプラットフォームサービス提供者は、個人からの請求を受けてから30営業日以内に、個人情報を汎用的で機械可読の形式で移転し、メール、電話、SMS等の方法で個人に処理結果を通知しなければならない。法律・行政法規の規定条件に合致しない場合は、個人に理由を説明しなければならない。請求件数や操作の複雑さ等の理由により処理期間の延長が必要な場合、個人に延期理由を説明し、合理的かつ必要な場合に限りさらに30営業日を延長できる。法律・行政法規・部門規則に別段の定めがある場合は、その規定に従う。
支持大型网络平台服务提供者通过应用程序接口或者其他标准化技术方式提供转移途径,采取身份验证、加密传输等安全措施保障个人信息转移安全。 大規模ネットワークプラットフォームサービス提供者は、アプリケーションプログラミングインターフェース(API)その他の標準技術手段による移転経路の提供を支援し、本人確認・暗号化伝送等の安全措置を講じて個人情報の移転安全を確保する。
个人重复转移个人信息的,大型网络平台服务提供者可以根据转移个人信息的成本收取必要费用。 個人が個人情報を重複して移転する場合、大規模ネットワークプラットフォームサービス提供者は移転コストに基づき必要な費用を徴収できる。
第十五条 大型网络平台服务提供者应当按照国家有关规定自行或者委托第三方专业机构开展个人信息保护合规审计、风险评估等活动,并对发现的问题进行整改。鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。 第十五条 大規模ネットワークプラットフォームサービス提供者は、国家の関連規定に基づき自らまたは第三者専門機関に委託して個人情報保護コンプライアンス監査、リスクアセスメント等の活動を実施し、発見された問題について是正措置を講じなければならない。大規模ネットワークプラットフォームサービス提供者は認証を受けた第三者専門機関を優先的に選択することが推奨される。専門機関の認証は「中華人民共和国認証認可条例」の関連規定に従って実施する。
第十六条 受大型网络平台服务提供者委托开展个人信息保护合规审计、风险评估等活动的第三方专业机构,应当注册在中华人民共和国境内,发现大型网络平台服务提供者的个人信息处理活动存在较大安全风险或者存在违法违规情形的,可以直接向国家网信部门和有关主管部门报告;涉嫌违法犯罪的应当向公安机关报案。 第十六条 大規模ネットワークプラットフォームサービス提供者から委託を受けて個人情報保護コンプライアンス監査、リスクアセスメント等の活動を実施する第三者専門機関は、中華人民共和国国内に登録されているものとする。大規模ネットワークプラットフォームサービス提供者の個人情報処理活動に重大な安全リスクまたは法令違反が認められた場合、直接国家インターネット情報部門及び関係主管部門に報告できる。犯罪の疑いがある場合は公安機関に通報しなければならない。
第十七条 大型网络平台服务提供者有以下情形之一的,国家网信部门、国务院公安部门和有关主管部门可以要求其委托第三方专业机构对其个人信息处理活动开展合规审计、风险评估等活动: 第十七条 大規模ネットワークプラットフォームサービス提供者が以下のいずれかに該当する場合、国家インターネット情報部門、国務院公安部門及び関係主管部門は、当該提供者に対し、第三者専門機関に委託して個人情報の処理活動に関するコンプライアンス監査、リスクアセスメント等の活動を実施するよう要求することができる:
(一)个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等情形的; (一)個人情報の処理活動が個人の権益に重大な影響を及ぼす場合、または安全対策が著しく欠如している場合
(二)多次出现个人信息违规出境等违法违规情形的; (二)個人情報の違法な個人情報越境等の法令違反が繰り返し発生している場合
(三)个人信息处理活动可能侵害众多个人权益的; (三)個人情報の処理活動が多数の個人の権益を侵害するおそれがある場合
(四)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的; (四)個人情報セキュリティインシデントが発生し、100万人以上の個人情報または10万人以上の機微な個人情報が漏洩、改ざん、紛失、毀損した場合。
(五)法律法规和有关主管部门规定的其他情形。 (五)法令及び関係主管部門が定めるその他の場合。
大型网络平台服务提供者应当配合第三方专业机构履行职责,为第三方专业机构开展工作提供必要保障,包括为第三方专业机构指定人员提供必要的访问大型网络平台网络数据设施、系统及操作日志记录权限等。 大規模ネットワークプラットフォームサービス提供者は、第三者専門機関の職務遂行に協力し、その業務実施に必要な保障を提供しなければならない。これには、第三者専門機関が指定した者に対し、大規模ネットワークプラットフォームのネットワークデータ施設、システム及び操作ログ記録への必要なアクセス権限などを付与することが含まれる。
发现大型网络平台服务提供者无能力保障个人信息安全的,国家网信部门、国务院公安部门和有关主管部门可以要求大型网络平台服务提供者通过签订合同等方式将个人信息存储在符合本规定要求的第三方数据中心。 大規模ネットワークプラットフォームサービス提供者が個人情報の安全を保障する能力を有しないと認められた場合、国家インターネット情報部門、国務院公安部門及び関係主管部門は、当該提供者に対し、契約締結等の方法により、本規定の要求を満たす第三者データセンターへの個人情報の保管を求めることができる。
第十八条 鼓励大型网络平台服务提供者应用国家网络身份认证公共服务、使用数据标签标识技术、通过个人信息保护认证等,提高个人信息保护水平。 第十八条 大規模ネットワークプラットフォームサービス提供者は、国家ネットワーク身分認証公共サービスの利用、データタグ識別技術の使用、個人情報保護認証の取得等を通じて、個人情報保護水準の向上を図るよう奨励される。
第十九条 鼓励大型网络平台服务提供者开展个人信息保护相关技术、产品、服务创新,积极参与个人信息保护相关国际标准和规则制定,推动与其他国家、地区之间的个人信息保护规则、标准协调互认。 第十九条 大規模ネットワークプラットフォームサービス提供者は、個人情報保護関連の技術・製品・サービスの革新を推進し、個人情報保護関連の国際標準・規則策定に積極的に参加し、他国・地域との個人情報保護規則・標準の相互認証を促進することが推奨される。
第二十条 任何组织和个人有权对大型网络平台服务提供者、第三方数据中心违反本规定的活动,向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当在15个工作日内依法处理,并将处理结果告知投诉、举报人。 第二十条 いかなる組織・個人も、大規模ネットワークプラットフォームサービス提供者や第三者データセンターが本規定に違反する行為について、個人情報保護職責を履行する部門に苦情・通報する権利を有する。苦情・通報を受けた部門は、15営業日以内に法に基づき処理し、その結果を通報者に通知しなければならない。
履行个人信息保护职责的部门应当加强信息共享,协同开展相关工作。 個人情報保護の職責を履行する部門は、情報共有を強化し、関連業務を連携して実施しなければならない。
第二十一条 网信部门、公安机关和有关主管部门发现大型网络平台服务提供者、第三方专业机构或者数据中心未履行个人信息保护责任的,依法追究责任;构成犯罪的,依法追究刑事责任。 第二十一条 ネット情報部門、公安機関及び関係主管部門は、大規模ネットワークプラットフォームサービス提供者、第三者専門機関又はデータセンターが個人情報保護責任を履行していないことを発見した場合、法に基づき責任を追及する。犯罪を構成する場合は、刑事責任を追及する。
第二十二条 国家网信部门、国务院公安部门和有关主管部门、第三方数据中心、第三方专业机构的工作人员应当对工作过程中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供。 第二十二条 国家網信部門、国務院公安部門及び関係主管部門、第三者データセンター、第三者専門機関の職員は、業務過程で知り得た個人のプライバシー、個人情報、営業秘密、機密商業情報等について、法律に基づき秘密を保持し、漏洩または不法に他人に提供してはならない。
第二十三条 开展涉及国家秘密、工作秘密的个人信息处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。 第二十三条 国家機密、業務秘密に関わる個人情報の処理活動を行う場合、『中華人民共和国国家機密保護法』等の法律・行政法規の規定を適用する。
大型网络平台应当落实网络安全等级保护有关要求,属于关键信息基础设施的大型网络平台,还应当遵守国家关于关键信息基础设施安全的有关规定。 大規模ネットワークプラットフォームは、サイバーセキュリティ等級保護に関する要求を履行しなければならない。重要情報インフラに属する大規模ネットワークプラットフォームは、国家の重要情報インフラセキュリティに関する規定にも従わなければならない。
第二十四条 本规定自X年X月X日起施行。 第二十四条 本規定はX年X月X日より施行する。

 

 

解説...

・2025.11.24 专家解读|新形势下完善大型网络平台个人信息保护的重要举措

专家解读|新形势下完善大型网络平台个人信息保护的重要举措 専門家解説|新たな情勢下における大規模ネットワークプラットフォーム個人情報保護の重要施策
日前,国家网信办、公安部联合起草的《大型网络平台个人信息保护规定(征求意见稿)》(以下简称《征求意见稿》)公开征求意见。《征求意见稿》立足新形势新挑战,围绕平台内部治理、数据处理规范、用户权益保障等方面进行精细化制度设计,提出了一系列具有针对性和前瞻性的举措,对于规范大型网络平台数据处理活动、推动平台经济创新和健康发展、完善公民个人信息保护制度体系具有重要意义。 このほど、国家インターネット情報弁公室と公安部が共同で起草した「大規模ネットワークプラットフォーム個人情報保護規定(意見募集稿)」(以下「意見募集稿」という)が意見募集を開始した。『意見募集稿』は新たな情勢と課題を踏まえ、プラットフォーム内部ガバナンス、データ処理規範、ユーザー権益保障などの面において精緻な制度設計を行い、一連の的を射た先見性のある措置を提案している。これは大規模ネットワークプラットフォームのデータ処理活動を規範化し、プラットフォーム経済の革新と健全な発展を推進し、公民個人情報保護制度体系を整備する上で重要な意義を持つ。
一、新形势下完善大型网络平台个人信息保护的重要意义 一、新たな情勢下における大規模ネットワークプラットフォーム個人情報保護の重要性
(一)落实党的二十届四中全会精神的重要举措 (一)党第20期中央委員会第4回全体会議精神の重要な措置
中国共产党第二十届中央委员会第四次全体会议通过的《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》中明确提出,完善监管,推动平台经济创新和健康发展;深化网络空间安全综合治理,加强个人信息保护。大型网络平台是平台经济的核心载体,也是个人信息保护的重点领域。在此背景下,《征求意见稿》正是贯彻落实党中央决策部署、回应新阶段发展需求的重要举措,为实现规范与发展并重、安全与创新协同提供了关键的制度保障,意义重大而深远。 中国共産党第20期中央委員会第4回全体会議で採択された『国民経済・社会発展第15次五カ年計画策定に関する中共中央の提案』は、監督管理の改善によるプラットフォーム経済の革新的かつ健全な発展の推進、サイバー空間安全の総合的ガバナンス深化、個人情報保護の強化を明確に打ち出している。大規模ネットワークプラットフォームはプラットフォーム経済の中核的担い手であり、個人情報保護の重点領域でもある。こうした背景のもと、本意見募集稿は党中央の政策決定を貫徹し、新たな段階の発展ニーズに応える重要な措置であり、規範と発展の両立、安全と革新の協調を実現するための重要な制度的保証を提供するものであり、その意義は極めて重大かつ深遠である。
(二)配套实施个人信息相关立法的必要举措 (二)個人情報関連立法を補完する実施措置の必要性
《个人信息保护法》《网络数据安全管理条例》确立了大型网络平台个人信息保护制度框架。大型网络平台具有用户规模巨大、业务模式复杂、数据处理海量和社会影响力强等显著特征。在实践中,如何将个人信息相关立法的一般性规定精准应用于大型网络平台的复杂场景,亟需更具针对性和可操作性的实施细则。《征求意见稿》对《个人信息保护法》与《网络数据安全管理条例》相关制度进行了深化、细化和补充,填补了个人信息保护领域一般性法律与平台实践之间的操作空白,特别对个人信息可携带权等内容作出了具体的操作指引,是确保个人信息相关立法在大型平台这一关键领域得到全面、深入贯彻执行的必要举措。 『個人情報保護法』『ネットワークデータ安全管理条例』は、大規模ネットワークプラットフォームにおける個人情報保護制度の枠組みを確立した。大規模ネットワークプラットフォームは、ユーザー規模が巨大、ビジネスモデルが複雑、データ処理量が膨大、社会的影響力が強いといった顕著な特徴を有する。実践において、個人情報関連立法の一般的規定を大規模ネットワークプラットフォームの複雑な状況に如何に正確に適用するかについては、より対象性と操作性を備えた実施細則が急務である。『意見募集稿』は『個人情報保護法』と『ネットワークデータ安全管理条例』の関連制度を深化・細分化・補完し、個人情報保護分野における一般法とプラットフォーム実践の間の操作上の空白を埋めた。特に個人情報のポータビリティ権などについて具体的な操作指針を示しており、個人情報関連立法が大規模プラットフォームという重要分野で全面的かつ深く貫徹・執行されるための必要措置である。
(三)推动平台经济健康发展与个人数据规范流动的有力支撑 (三)プラットフォーム経済の健全な発展と個人データの規範的流動を推進する強力な支え
数据要素是平台经济的核心引擎,大型网络平台是海量数据处理的关键枢纽,个人信息在平台间的规范、高效流动,是激发数据要素价值、发展新质生产力的重要基础。《征求意见稿》有利于打击部分大型网络平台对个人信息的违规处理,保障用户权益。通过划定清晰的合规底线和行为规范,消除不确定性,引导大型网络平台规范开展数据处理活动,有利于构建安全可信的数据处理与流动环境、赋能平台经济高质量发展。 データ要素はプラットフォーム経済の中核エンジンであり、大規模ネットワークプラットフォームは膨大なデータ処理の重要なハブである。プラットフォーム間における個人情報の規範的かつ効率的な流動は、データ要素の価値を引き出し、新たな生産力を発展させる重要な基盤である。『意見募集稿』は、一部の大規模ネットワークプラットフォームによる個人情報の違法処理を抑制し、ユーザーの権益を保護するのに有益である。明確なコンプライアンスの基準と行動規範を設定することで不確実性を排除し、大規模ネットワークプラットフォームがデータ処理活動を規範的に実施するよう導くことで、安全で信頼できるデータ処理・流通環境の構築と、プラットフォーム経済の高品質な発展の促進に寄与する。
二、大型网络平台个人信息保护制度的重要创新 二、大規模ネットワークプラットフォーム個人情報保護制度の重要な革新
(一)创新大型网络平台目录管理机制 (一)大規模ネットワークプラットフォーム目録管理メカニズムの革新
《征求意见稿》在细化大型网络平台范畴的基础上,通过制定目录清单,增强对境内建设、运营的大型网络平台管理的透明度和可预期性。《征求意见稿》细化了《网络数据安全管理条例》中对于大型网络平台的定义,明确“业务类型复杂”是指经营重要网络服务或经营范围涵盖多个类型业务,同时要求其掌握的数据一旦被泄露、篡改、毁损将对国家安全、经济运行、国计民生造成重大影响。此外,《征求意见稿》也包括了由国家网信部门和公安机关规定的其他情形,确保监管覆盖的全面性。《征求意见稿》拟建立的目录管理机制,可以让监管机关和监管对象更清晰地识别规定的适用对象,最大程度地解决了大型网络平台界定上的确定性,同时也可以通过目录动态更新,及时回应平台经济发展中的新情况。 『意見募集稿』は大規模ネットワークプラットフォームの範囲を細分化した上で、目録リストを策定することで、国内で構築・運営される大規模ネットワークプラットフォーム管理の透明性と予測可能性を高める。意見募集稿は『ネットワークデータ安全管理条例』における大規模ネットワークプラットフォームの定義を具体化し、「業務タイプが複雑」とは重要なネットワークサービスを営むか、または営業範囲が複数の業務タイプを包含することを指すと明確化している。同時に、当該プラットフォームが掌握するデータが漏洩、改ざん、毀損された場合、国家安全保障、経済運営、国民経済と民生に重大な影響を及ぼすことを要求している。さらに、意見募集稿には国家サイバー空間管理局及び公安機関が定めるその他の状況も含まれており、監督対象の包括性を確保している。意見募集稿が構築を目指すリスト管理メカニズムは、監督機関と監督対象が規定の適用対象をより明確に識別できるようにし、大規模ネットワークプラットフォームの定義における不確実性を最大限に解消すると同時に、リストの動的更新を通じてプラットフォーム経済発展における新たな状況にタイムリーに対応できる。
(二)健全大型网络平台内部治理架构 (二)大規模ネットワークプラットフォームの内部ガバナンス構造の健全化
《征求意见稿》的核心举措之一,是明确要求大型网络平台建立并落实个人信息保护负责人制度,着力完善大型网络平台的内部治理架构。 意見募集稿の中核的措置の一つは、大規模ネットワークプラットフォームに対し個人情報保護責任者制度の確立と実施を明確に要求し、同プラットフォームの内部ガバナンス体制の整備に注力することである。
一是严格限定了负责人的资质和权威性。《征求意见稿》要求负责人必须由管理层成员担任,且必须是中国国籍,无境外永久居留权或长期居留许可,并具备五年以上相关经验。为降低企业合规成本,允许数据安全负责人兼任。 第一に、責任者の資格と権限を厳格に限定した。意見募集稿は責任者が管理職メンバーが務め、かつ中国国籍を有し、海外の永住権や長期滞在許可を持たず、5年以上の関連経験を有することを要求する。企業のコンプライアンスコスト削減のため、データセキュリティ責任者の兼任を認める。
二是赋予负责人实质性的决策权与监督权。《征求意见稿》明确个人信息保护负责人有权参与个人信息处理相关决策并享有否决权,同时承担指导合规、配合检查,以及发现违法犯罪行为时向监管部门和公安机关报告的法定职责。 第二に、責任者に実質的な意思決定権と監督権を付与している。意見募集稿は、個人情報保護責任者が個人情報の処理に関する意思決定に参加し拒否権を行使できることを明確化するとともに、コンプライアンス指導、検査協力、違法行為発見時の監督部門及び公安機関への報告といった法定職責を課している。
三是强调体系化保障。《征求意见稿》要求平台配备专门团队,协助负责人开展规则制定、权限管理、监测审计、应急演练和未成年人保护等工作。负责人的相关信息须统一报国家网信部门,再由国家网信部门向公安机关等部门共享,形成高效协同的监管闭环。 第三に、体系的な保障を強調している。意見募集稿は、プラットフォームが専門チームを設置し、責任者が規則制定、権限管理、監視監査、緊急訓練、未成年者保護などの業務を遂行するのを支援するよう求めている。責任者の関連情報は国家サイバー空間管理局に一括報告され、同局から公安機関などの部門に共有されることで、効率的な連携による監督管理の閉ループを形成する。
(三)完善大型网络平台治理与审计机制 (三)大規模ネットワークプラットフォームのガバナンスと監査メカニズムの整備
《征求意见稿》着眼于数据流转的全链条安全,建立了一套严格的闭环治理机制。 意見募集稿はデータ流通の全プロセスにおける安全性に着目し、厳格な閉ループ管理メカニズムを構築した。
一是强化数据存储的属地管理与“延伸监管”。《征求意见稿》明确,境内收集和产生的数据原则上应在境内存储。对大型网络平台的监管延伸至数据中心,明确其负责人必须是中国国籍,无境外永久居留权或长期居留许可。数据中心的安全性要符合国家有关标准。数据确需出境的,必须严守国家规定。 第一に、データ保存の属地管理と「監督範囲の拡大」を強化する。意見募集稿は、国内で収集・生成されたデータは原則として国内に保存すべきと明記した。大規模ネットワークプラットフォームの監督対象をデータセンターまで拡大し、責任者は中国国籍を有し、海外の永住権や長期滞在許可を持たないことを明確化した。データセンターの安全性は国家関連標準に適合しなければならない。データが国外への持ち出しを必要とする場合、国家規定を厳守しなければならない。
二是健全风险处置与第三方协同机制。《征求意见稿》要求平台发现数据中心存在相关风险须立即补救并报告监管部门及个人信息保护负责人。若使用第三方数据中心,必须签订合同明确其职责,并要求其接受个人信息保护负责人的监督。 第二に、リスク対応と第三者連携メカニズムを整備する。意見募集稿は、プラットフォームがデータセンターにリスクを発見した場合、直ちに是正措置を講じ、監督部門及び個人情報保護責任者に報告することを要求する。第三者のデータセンターを利用する場合、契約を締結してその責任を明確化し、個人情報保護責任者の監督を受けることを要求する。
三是细化了强制合规审计的触发条件。《征求意见稿》明确,在发生严重风险、多次违规、导致100万以上个人信息或10万人以上敏感个人信息泄露的重大安全事件时,必须强制引入第三方审计,同时平台必须为第三方审计提供必要的访问权限和便利。 第三に、強制的なコンプライアンス監査のトリガー条件を細分化した。意見募集稿は、重大なリスク発生、複数回の違反、100万件以上の個人情報または10万人以上の機微な個人情報が漏洩する重大なセキュリティインシデントが発生した場合、第三者監査を強制的に導入すると同時に、プラットフォームは第三者監査に必要なアクセス権限と便宜を提供しなければならないと明確にしている。
(四)细化个人信息可携带操作方案 (四)個人情報のポータビリティ実施方案の細分化
《征求意见稿》对《个人信息保护法》中的个人信息可携带进行了操作层面的细化,为用户实现个人信息可携带提供了清晰路径。 意見募集稿は個人情報保護法における個人情報のポータビリティについて運用レベルで具体化し、ユーザーが個人情報のポータビリティを実現するための明確な道筋を示した。
一是明确了响应时限与流程。《征求意见稿》要求大型平台在收到用户转移请求后,原则上应在30个工作日内,以通用的机器可读格式完成信息转移,并通知个人结果。若因请求量大或操作复杂确需延期,在必要合理的前提下可再延长30个工作日,但必须向用户说明原因。 第一に、対応期限とプロセスを明確化した。意見募集稿は、大規模プラットフォームがユーザーの移転要求を受領後、原則として30営業日以内に汎用的な機械可読形式で情報移転を完了し、結果を個人に通知するよう求めている。要求量が多い場合や操作が複雑な場合など、延期が真に必要な時は、必要かつ合理的な前提のもとでさらに30営業日延長できるが、ユーザーに理由を説明しなければならない。
二是规范了技术实现与安全要求。《征求意见稿》支持通过应用程序接口或标准化方式进行转移,并要求平台在过程中采取身份验证和加密传输措施,确保数据转移全过程的安全可控。 次に、技術的実現と安全要件を規範化した。意見募集稿はアプリケーションプログラミングインターフェース(API)や標準(標準)化された方法による移転を支持し、プラットフォームがプロセス中に本人確認と暗号化伝送措置を講じ、データ移転の全過程の安全性と管理性を確保するよう求めている。
三是平衡了权利与成本。对于不符合法定条件而无法转移的请求,《征求意见稿》要求平台必须向用户说明理由;同时,允许平台收取基于实际成本的必要费用,确保了该机制的可持续运行。 第三に、権利とコストのバランスを取った。法定条件を満たさず移転できない請求については、プラットフォームはユーザーに理由を説明しなければならない。同時に、プラットフォームが実費に基づく必要経費を徴収することを認め、この仕組みの持続可能な運営を確保している。
《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》对有效市场和有为政府的结合提出更高要求,体现了从“管得住”到“管得好”的升维调整。相信经充分讨论和修改完善后,《征求意见稿》相关制度设计的科学性、可行性与可操作性必将得到进一步提升,有效实现大型网络平台个人信息保护“管得好”的目标,为平台经济的创新和健康发展提供更加坚实的制度保障。(作者:周辉,中国社会科学院法学研究所网络与信息法研究室副主任) 『中国共産党中央委員会による国民経済・社会発展第15次五カ年計画策定に関する提案』は、効果的な市場と有為な政府の結合に対しより高い要求を提示し、「管理できる」から「管理を良くする」への次元上昇を体現している。十分な議論と修正を経て、意見募集稿の制度設計の科学性・実現可能性・運用性はさらに向上し、大規模ネットプラットフォームにおける個人情報保護の「効果的な管理」目標を達成し、プラットフォーム経済の革新的かつ健全な発展に堅固な制度的保障を提供すると確信する。(筆者:周輝、中国社会科学院法学研究所ネットワーク・情報法研究室副主任)

 

1_20251130152901

 

 

まるちゃんの情報セキュリティ気まぐれ日記

大規模ネットワークプラットフォーム

・2025.09.21 中国 サイバーセキュリティ・インシデント報告管理弁法 (2025.09.15)

・2025.09.20 中国 大規模オンラインプラットフォームによる個人情報保護監督委員会の設置に関する規定(案)(2025.09.12)

・2025.02.26 中国 個人情報保護コンプライアンス監査管理弁法 指針、Q&A、専門家による解説 (2025.02.14)

・2024.10.22 中国 ネットワークデータセキュリティ管理条例 (2024.09.30)

・2022.02.20 中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見 

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

 

2025.12.01 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in クラウド, in 安全保障 | | Comments (0)

IPA ★3(レベル3)セキュリティ要件・適合基準案へのパブリック・コメント募集 (2025.11.27)

こんにちは、丸山満彦です。

IPAが、「★3(レベル3)セキュリティ要件・適合基準案(通信機器)と(ネットワークカメラ)」へのパブリック・コメントが募集されていますね...

ケアレスミスがいくつかあるようですが、それは修正されるとして、他の制度や文書等で求められているセキュリティ要件との関係性も本当はよく確認しないと間違っている場合もあるかもですね...

あと、関係性についても、どのような関係性なのか、定義をしておく必要があるように思いますね。。。

今回の適合基準の要件を緑色、比較する基準の要件をグレーとすると

Bの場合は、比較する基準の要件を満たしていれば、今回の適合基準の要件に自動的に適合するわけですが、AやCの場合は、そうとは限らない。

そして、関係性の深さもA1、B1、C1とA2、B2、C2の場合では異なる...せめてBなのかBでないかの区別はあっても良いかもですね...

1_20251130065001

 

 

● IPA

・2025.11.27 ★3(レベル3)セキュリティ要件・適合基準案へのパブリック・コメント募集

 

通信機器

・[PDF] ★3セキュリティ要件・適合基準案(通信機器)

20251129-183024

・[PDF] ★3適合基準案_ガイダンス文書あり(通信機器)

20251129-183226

 

ネットワークカメラ

・[PDF] ★3セキュリティ要件・適合基準案(ネットワークカメラ)

20251129-183043

・[PDF] ★適合基準案_ガイダンス文書あり(ネットワークカメラ)

20251129-183234

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2025.11.30 中国 サイバースペース管理局 意見募集「サイバーセキュリティラベル管理弁法」(2025.11.21)

 

 

 

2つの適合基準案が比較しやすいようにしてみました...

↓↓↓↓↓↓








 

 

Continue reading "IPA ★3(レベル3)セキュリティ要件・適合基準案へのパブリック・コメント募集 (2025.11.27)"

2025.12.01 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in パブコメ, in IoT | | Comments (0)

2025.11.30

中国 国家サイバースペース管理局 意見募集「サイバーセキュリティラベル管理弁法」(2025.11.21)

こんにちは、丸山満彦です。

中国のIoT機器のセキュリティ認証制度についての意見募集がおこなわれていますね...JC-STARの中国版ですね...

星(等級)は3段階。ラベルには、等級と生産者名、製品型番、有効期間の記載だけでなく、QRコードをスキャンすると検査報告書や詳細なセキュリティ情報が見られるようにするようです...

星3は第三者機関のペネトレーションテストが必要のようです...

ドイツ、日本、米国、中国で似たような制度になっているので、国際標準にしてしまえばよいのにね...なんて...

 

国家互联网信息办公室(国家サイバースペース管理局)

・2025.09.16 国家互联网信息办公室关于公开征求《网络安全标识管理办法》(征求意见稿)意见的通知

 

​​国家互联网信息办公室关于公开征求《网络安全标识管理办法》(征求意见稿)意见的通知 国家サイバースペース管理局による「サイバーセキュリティラベル管理弁法」(意見募集稿)の意見募集に関する通知
为提升产品的网络安全能力,加强消费者权益保护,维护网络安全和公共利益,根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室、工业和信息化部起草了《网络安全标识管理办法》(征求意见稿)和《实施网络安全标识的产品目录(第一批)》(征求意见稿),现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见: 製品のサイバーセキュリティ能力を向上させ、消費者権益保護を強化し、サイバーセキュリティと公共の利益を維持するため、「中華人民共和国サイバーセキュリティ法」等の法律・法規に基づき、国家サイバースペース管理局及び工業情報化部は「サイバーセキュリティラベル管理弁法」(意見募集稿)及び「サイバーセキュリティラベルを実施する製品目録(第一陣)」(意見募集稿)を起草した。ここに社会一般から意見を公募する。以下の方法により意見を提出できる:
1.通过电子邮件方式发送至:wajscy@cac.gov.cn。 1. 電子メールで送付:wajscy@cac.gov.cn。
2.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络安全协调局,邮编100048,并在信封上注明“网络安全标识管理办法征求意见”。 2.書面で送付:北京市海淀区阜成路15号 国家サイバースペース管理局 サイバーセキュリティ調整局(郵便番号100048)。封筒に「サイバーセキュリティセキュリティラベル管理弁法に関する意見募集」と明記すること。
意见反馈截止时间为2025年12月6日。 意見提出期限は2025年12月6日である。
附件:1.网络安全标识管理办法(征求意见稿) 添付資料:1.サイバーセキュリティセキュリティラベル管理弁法 (意見募集稿)
   2.实施网络安全标识的产品目录(第一批)(征求意见稿) 2.サイバーセキュリティラベル実施製品目録(第一陣)(意見募集稿)
国家互联网信息办公室 国家サイバースペース管理局
2025年11月21日 2025年11月21日
网络安全标识管理办法 サイバーセキュリティラベル管理弁法
(征求意见稿) (意見募集稿)
第一章 总则 第一章 総則
第一条 为提升产品的网络安全能力,加强消费者权益保护,维护网络安全和公共利益,根据《中华人民共和国网络安全法》等法律法规,制定本办法。 第一条 製品のサイバーセキュリティ能力向上、消費者権益保護の強化、サイバーセキュリティ及び公共利益の維持を図るため、「中華人民共和国サイバーセキュリティ法」等の法律法規に基づき、本弁法を制定する。
第二条 本办法所称网络安全标识,是指能够反映产品本身网络安全能力水平的信息标识。 第二条 本管理弁法における「サイバーセキュリティラベル」とは、製品自体のサイバーセキュリティ能力水準を反映できる情報ラベルを指す。
具有互联网联网功能的产品适用于本办法,具体产品实施目录管理。 インターネット接続機能を有する製品は本管理弁法の適用対象とし、具体的な製品はリスト管理を実施する。
第三条 网络安全标识管理工作坚持统筹发展和安全,产品生产者按照自愿原则参与。 第三条 サイバーセキュリティラベル管理業務は、発展と安全の統合的推進を堅持し、製品生産者は自発的原則に基づき参加する。
鼓励产品生产者依据本办法提升产品网络安全能力,标注网络安全标识。 製品生産者が本管理弁法に基づき製品のサイバーセキュリティ能力を向上させ、サイバーセキュリティラベルを付与することを奨励する。
鼓励消费者优先选用标注网络安全标识的产品。 消費者がサイバーセキュリティラベルが付与された製品を優先的に選択することを奨励する。
第四条 国家互联网信息办公室、工业和信息化部负责网络安全标识管理工作,分批制定公布《实施网络安全标识的产品目录》,明确每类产品的具体实施规则和依据的国家标准或技术文件,授权中国电子技术标准化研究院(以下简称“备案机构”)承担网络安全标识备案、信息发布、违规行为处置等工作。 第四条 国家サイバースペース管理局及び工業情報化部は、サイバーセキュリティラベルの管理業務を担当する。段階的に『サイバーセキュリティラベルを実施する製品目録』を制定・公布し、各製品カテゴリーの具体的な実施規則及び根拠となる国家標準または技術標準を明確化する。中国電子技術標準化研究院(以下「登録機関」という)に対し、サイバーセキュリティラベルの登録、情報公開、違反行為の処理等の業務を委託する。
第二章 标识实施 第二章 セキュリティラベルの実施
第五条 网络安全标识对应的网络安全能力由低到高依次为基础级、增强级、领先级,相应的标识等级分别用一星、二星、三星表示。基础级要求产品应当满足相关国家标准的基本安全要求,如不存在弱口令或通用默认口令、建立漏洞管理机制并动态修复漏洞、保持软件更新等;增强级要求产品网络安全能力达到国内先进水平;领先级要求产品网络安全能力达到国际先进水平,同时还应通过渗透性测试方法,检测抵御高级别网络攻击的能力。 第五条 サイバーセキュリティセキュリティラベルに対応するサイバーセキュリティ能力は、低から高へ順に基礎級、強化級、先進級であり、対応するラベル等級はそれぞれ一星、二星、三星で表示する。基礎級は製品が関連国家標準の基本的安全要求を満たすことを求める。例えば、脆弱なパスワードや汎用デフォルトパスワードが存在しないこと、脆弱性管理メカニズムを確立し動的に脆弱性を修復すること、ソフトウェア更新を維持することなどである。強化級は製品のサイバーセキュリティ能力が国内先進レベルに達することを求める。最上位レベルでは、製品のサイバーセキュリティ能力が国際的に先進的な水準に達していること、さらにペネトレーションテスト手法による高度なサイバー攻撃への耐性検証を経ていることが求められる。
每类产品的标识等级具体安全要求,在实施规则中确定。安全要求应当和现行国家标准、国际标准做好衔接,充分借鉴吸收其它实施网络安全标识制度国家和地区的相关经验。 各製品カテゴリーの認証等級における具体的な安全要件は、実施規則で定める。安全要件は現行の国家標準・国際標準と整合性を保ち、サイバーセキュリティ認証制度を実施する他国・地域の関連経験を十分に参考にするものとする。
第六条 网络安全标识(英文名称为China Cybersecurity Label)应当包括以下基本内容: 第六条 サイバーセキュリティラベル(英語名称:China Cybersecurity Label)には以下の基本情報を含めるものとする:
(一)产品生产者名称; (一)製品製造者の名称;
(二)产品规格型号; (二)製品仕様・型番;
(三)网络安全能力等级; (三)サイバーセキュリティ能力等級;
(四)网络安全标识有效期; (四)サイバーセキュリティラベルの有効期限;
(五)检测实验室名称; (五)検査機関の名称;
(六)依据的国家标准或技术文件编号; (六)根拠となる国家標準または技術文書の番号;
(七)备案信息码,通过扫码可以获取检测报告、关键指标、产品生产者符合性声明等信息。 (七)登録情報コード(スキャンにより検査報告書、主要指標、製品製造者の適合性宣言等の情報を取得可能)。
网络安全标识基本样式如下: サイバーセキュリティラベルの基本様式は以下の通りである:
1_20251130085401
每类产品标识的具体样式应当在对应的实施规则中明确,可根据产品实际形态在上述基本样式基础上适当调整。 各製品カテゴリーのラベルの具体的な様式は、対応する実施規則で明確に定め、製品の実際の形態に応じて上記基本様式を適宜調整することができる。
第七条 需要标注网络安全标识的产品,产品生产者应当依据实施规则相关要求开展网络安全能力检测,确定网络安全能力等级,并取得检测报告。 第七条 サイバーセキュリティラベルの表示が必要な製品について、製品製造者は実施規則の関連要求に基づきサイバーセキュリティ能力検査を実施し、サイバーセキュリティ能力等級を確定し、検査報告書を取得しなければならない。
(一)需要标注一星级、二星级的产品,产品生产者可以利用自有检测实验室或者委托依法取得资质认定的第三方检测机构开展检测; (一)星1つ・星2つの表示が必要な製品については、製品製造者は自社検査室を利用するか、法的に資格認定を受けた第三者検査機関に委託して検査を実施できる。
(二)需要标注三星级的产品,产品生产者在满足有关检测要求基础上,还应当委托符合条件的第三方检测机构开展渗透性测试。 (二)星3つの表示が必要な製品については、製品製造者は関連検査要件を満たすことに加え、条件を満たす第三者検査機関にペネトレーションテストを委託しなければならない。
第八条 备案机构建设网络安全标识备案管理平台,产品生产者备案网络安全标识通过平台线上办理。 第八条 登録機関はサイバーセキュリティラベル登録管理プラットフォームを構築し、製品製造者は同プラットフォームを通じてオンラインでサイバーセキュリティラベルの登録手続きを行う。
备案时应当提交以下材料的电子版: 登録時には以下の資料の電子版を提出しなければならない:
(一)网络安全标识备案表; (一)サイバーセキュリティラベル登録申請書;
(二)网络安全能力等级检测报告; (二)サイバーセキュリティ能力等級検査報告書;
(三)依据实施规则设计的本产品网络安全标识样式; (三)実施規則に基づき設計した当該製品のサイバーセキュリティラベルデザイン;
(四)产品生产者符合性声明; (四)製品製造者の適合性宣言書;
(五)产品生产者营业执照; (五)製品製造者の営業許可証;
(六)自有检测实验室的相关检测能力证明材料,或者第三方检测机构相关资质认定证书; (六)自社検査実験室の関連検査能力証明資料、または第三者検査機関の関連資格認定証明書;
(七)由代理人提交备案材料的,还应当提交产品生产者的委托代理文件等。 (七)代理人が届出書類を提出する場合、製品製造者の委任状等を追加提出すること。
产品生产者及代理人应当对上述材料的真实性、准确性、完整性负责。 製品製造者及び代理人は、上記書類の真実性、正確性、完全性について責任を負う。
第九条 备案机构应当自收到完整备案材料之日起10个工作日内,对材料的真实性、准确性、完整性进行形式审查,完成备案工作并公告产品相关备案信息。 第九条 届出機関は、完全な届出書類を受領した日から10営業日以内に、書類の真実性、正確性、完全性について形式審査を行い、届出手続きを完了し製品関連届出情報を公示する。
备案完成后,产品生产者可以按照实施规则要求印制、使用和展示网络安全标识。 登録完了後、製品製造者は実施規則の要求に基づき、サイバーセキュリティラベルを印刷、使用及び表示することができる。
第十条 网络安全标识有效期在相关产品实施规则中明确。备案完成的产品,关键技术参数等发生变更可能影响产品网络安全能力的,或者标识超过有效期的,应当重新备案。 第十条 サイバーセキュリティラベルの有効期間は、関連製品の実施規則で明確に定める。登録完了した製品において、主要技術パラメータ等の変更が製品のサイバーセキュリティ能力に影響を及ぼす可能性がある場合、またはラベルの有効期間が経過した場合は、改めて登録しなければならない。
第十一条 任何组织和个人不得伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传。 第十一条 いかなる組織及び個人も、サイバーセキュリティラベルを偽造、不正使用したり、サイバーセキュリティラベルを利用して虚偽の宣伝を行ってはならない。
第十二条 备案机构应当建立健全网络安全标识备案工作规范,客观、公正开展网络安全标识备案相关工作。 第十二条 登録機関は、サイバーセキュリティセキュリティラベル登録業務規範を整備し、客観的かつ公正にサイバーセキュリティセキュリティラベル登録関連業務を実施しなければならない。
产品生产者自有检测实验室或者第三方检测机构应当严格按照有关标准开展检测,保证检测结果客观公正、真实准确,不得伪造检测结果或者出具虚假检测报告。 製品製造者の自社検査室または第三者検査機関は、関連標準に厳格に従い検査を実施し、検査結果の客観性・公正性・真実性・正確性を保証しなければならない。検査結果を偽造したり虚偽の検査報告書を発行してはならない。
备案机构和检测机构不得泄露在工作中知悉的国家秘密、商业秘密。 登録機関及び検査機関は、業務上知り得た国家機密・営業秘密を漏洩してはならない。
第三章 监督管理 第三章 監督管理
第十三条 国家互联网信息办公室、工业和信息化部负责组织对网络安全标识备案、使用情况进行监督检查,发现有违反本办法规定行为的,按照有关规定及时处理。 第十三条 国家サイバースペース管理局及び工業情報化部は、サイバーセキュリティラベルの登録及び使用状況に対する監督検査を組織する責任を負い、本弁法の規定に違反する行為を発見した場合は、関連規定に基づき速やかに処理する。
地方网信部门、通信管理局负责组织对本区域内网络安全标识使用进行监督检查,发现有违反本办法规定行为的,及时通知备案机构。 地方のネット情報部門及び通信管理局は、管轄区域内のサイバーセキュリティラベルの使用状況に対する監督検査を組織する責任を負い、本弁法の規定に違反する行為を発見した場合は、速やかに登録機関に通知する。
第十四条 发现以下情况,备案机构应当撤销备案并及时公告: 第十四条 以下の状況が発見された場合、登録機関は登録を取り消し、速やかに公告しなければならない:
(一)备案材料弄虚作假的; (一)登録資料に虚偽の記載がある場合
(二)网络安全标识与实际网络安全能力不相符的; (二)サイバーセキュリティラベルが実際のサイバーセキュリティ能力と一致しない場合
(三)使用的网络安全标识不符合有关样式、规格等标注规定的; (三)使用されているサイバーセキュリティラベルが関連する様式、規格等の表示規定に適合しない場合
(四)产品生产者终止对备案产品开展技术支持服务的; (四)製品製造者が登録製品に対する技術サポートサービスの提供を終了した場合
(五)其他应当撤销标识的违规行为。 (五)その他セキュリティラベルを取り消すべき違反行為がある場合
第十五条 产品生产者伪造、冒用网络安全标识或者利用网络安全标识进行虚假宣传的,备案机构应当撤销相关产品的网络安全标识备案,对产品生产者违规行为予以公告,自公告之日起一年内不再受理其产品备案。 第十五条 製品製造者がサイバーセキュリティラベルを偽造・不正使用し、またはラベルを利用した虚偽宣伝を行った場合、登録機関は当該製品のサイバーセキュリティラベル登録を取り消し、製品製造者の違反行為を公告する。公告日から一年間、当該製品の登録申請を受け付けない。
第十六条 产品生产者自有检测实验室或者第三方检测机构伪造检测结果或者出具虚假检测报告的,备案机构应当撤销相关产品的网络安全标识备案,对检测机构违规行为予以公告,自公告之日起一年内不再采信其检测结果。 第十六条 製品製造者が自社検査室または第三者検査機関において検査結果を偽造し、または虚偽の検査報告書を発行した場合、登録機関は当該製品のサイバーセキュリティセキュリティラベル登録を取り消し、検査機関の違反行為を公告する。公告の日から一年間は、その検査結果を採択しない。
第十七条 任何组织和个人发现违反本办法规定的行为,可以向地方网信部门、通信管理局举报。地方网信部门、通信管理局应当及时调查处理,并为举报人保密,调查过程中备案机构应当予以配合。 第十七条 本弁法に違反する行為を発見した組織及び個人は、地方ネット情報部門または通信管理局に通報することができる。地方ネット情報部門及び通信管理局は速やかに調査処理を行い、通報者の秘密を守るものとする。調査過程において、登録機関は協力しなければならない。
第十八条 网络安全能力检测过程中发现或者获知产品安全漏洞的,应当按照《网络产品安全漏洞管理规定》有关要求进行报告、修补和发布。 第十八条 サイバーセキュリティ能力検査の過程で製品のセキュリティ脆弱性を発見または認知した場合、『サイバー製品セキュリティ脆弱性管理規定』の関連要求に基づき、報告、修正及び公表を行わなければならない。
第四章 附则 第四章 附則
第十九条 本办法所称网络安全能力,是指产品生产者通过采取必要技术和管理措施,使网络产品本身具备防范攻击、侵入、干扰、破坏和非法使用,保障产品稳定可靠运行和网络数据完整性、保密性、可用性的能力。 第十九条 本弁法において「サイバーセキュリティ能力」とは、製品製造者が必要な技術的・管理的措置を講じることで、サイバー製品自体が攻撃・侵入・妨害・破壊・不正使用を防止し、製品の安定確実な稼働及びサイバーデータの完全性・機密性・可用性を保障する能力を指す。
第二十条 网络关键设备和网络安全专用产品依据国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会《关于调整网络安全专用产品安全管理有关事项的公告》(2023年第1号)开展安全管理,不列入《实施网络安全标识的产品目录》。 第二十条 サイバー重要設備及びサイバーセキュリティ専用製品は、国家サイバースペース管理局、工業情報化部、公安部、財政部、国家認証認可監督管理委員会による「サイバーセキュリティ専用製品の安全管理に関する事項の調整についての公告」(2023年第1号)に基づき安全管理を実施し、「サイバーセキュリティラベルを実施する製品目録」には含まれない。
第二十一条 本办法自2026年 月 日起施行。 第二十一条 本弁法は2026年 月 日から施行する。
实施网络安全标识的产品目录(第一批) サイバーセキュリティラベルを実施する製品目録(第一陣)
(征求意见稿) (意見募集稿)
序号 番号
CSL 0001-2025 CSL 0001-2025
 产品名称   製品名
消费类网联摄像头 消費者向けネットワーク接続カメラ
适用范围  適用範囲
适用于由消费者购买、使用,为个人和家庭提供音视频信息采集和处理服务的、具有互联网联网功能的独立摄像头。不适用于公共安全领域的摄像头。 消費者が購入・使用する、個人や家庭向けに音声・映像情報の収集・処理サービスを提供する、インターネット接続機能を備えた独立型カメラに適用する。公共安全分野のカメラには適用しない。

 

 

まるちゃんの情報セキュリティ気まぐれ日記

 

 

中国...

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

・2025.11.30 中国 サイバースペース管理局 意見募集「サイバーセキュリティラベル管理弁法」(2025.11.21)

 

日本

・2025.11.07 経済産業省 JC-STARと英国PSTI法の相互承認に関する覚書に署名 (2025.11.06)

・2025.05.30 IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR)適合製品の公開 (2025.05.21)

・2025.05.27 経済産業省 「産業サイバーセキュリティ研究会」が「政策の方向性」と「産業界へのメッセージ」を発出(2025.05.23)

・2025.02.06 Five Eyes + チェコ、日本、韓国、オランダ エッジ・デバイスの安全に関する報告書...

・2024.10.01 IPA セキュリティ要件適合評価及びラベリング制度(JC-STAR)のページを開設

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

EU

・2024.10.12 欧州理事会 サイバーレジリエンス法を採択 (2024.10.10)

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国...

・2025.06.14 米国 大統領令14306 国家のサイバーセキュリティを強化するための厳選された取り組みを維持し、大統領令13694と大統領令14144を改正する (2025.06.06)

・2025.05.16 米国 NIST IR 8259 Rev.1(初期公開ドラフト)IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...(2025.05.13)

・2025.01.10 米国 ホワイトハウス サイバートラストマークを開始...

・2024.12.28 米国 NIST IR 8498 スマートインバーターのサイバーセキュリティ:住宅および小規模商業用ソーラーエネルギーシステムのためのガイドライン(2024.12.20)

・2024.09.14 米国 NIST IR 8425A 一般消費者向けルーター製品に推奨されるサイバーセキュリティ要件 (2024.09.10)

・2024.09.13 米国 FCC IoTのためのサイバーセキュリティ・ラベリングFAQと管理者の申請プロセス (2024.09.10) 

・2024.08.02 米国 FCC IoTのためのサイバーセキュリティ・ラベリング最終規則

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

英国...

・2025.11.07 経済産業省 JC-STARと英国PSTI法の相互承認に関する覚書に署名 (2025.11.06)

・2025.06.24 英国 ICO 意見募集 消費者向けIoT製品およびサービスに関するガイダンス (2025.06.16)

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

 

2025.11.30 10:18 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in IoT | | Comments (0)

アサヒホールディングス サイバー攻撃によるシステム障害発生についての記者会見他 (2025.11.27)

こんにちは、丸山満彦です。

このブログではとりあげていませんでしたが、このブログでも記録として残しておいた方が良いと思ったので...10年もすればリンクも見られなくなるだろうし...

勝木社長の記者会見はとても上手であったと思います。まわりのスタッフも含めて関係者が相当に準備をして取り組んだものと思いました。B to Cビジネスをしている会社は総じてB to Bビジネスが中心の会社よりもこういうのは適切にする印象があります...

 

アサヒホールディングス

記者発表当日

・2025.11.27 サイバー攻撃による情報漏えいに関する調査結果と今後の対応について  [for the record]

・2025.11.27 お知らせ】個人情報に関するお問合せ専用窓口の設置について [for the record]

・2025.11.27 2025 年 12 月期第 3 四半期決算の発表延期に伴う事業の進捗状況に関するお知らせ [for the record]

・2025.11.27 2025年12月期決算短信の開示が期末後 50 日を超えることに関するお知らせ [for the record]

 

適時開示

●日本取引所グループ

・2025.11.27 [PDF] 2025年12月期決算短信の開示が期末後 50 日を超えることに関するお知らせ

・2025.11.27 [PDF] 2025年12月期第3四半期決算の発表延期に伴う事業の進捗状況に関するお知らせ



記者会見の様子...

・共同通信 [youtube]ノーカット】サイバー攻撃でアサヒが会見 191万件情報漏えい恐れ

毎日新聞 [youtube]【ノーカット】アサヒHD社長、サイバー攻撃で初会見

FNNプライムオンライン [youtube]【ライブ】サイバー攻撃からの復旧は…アサヒグループHDが会見

The Page [youtube] アサヒ・勝木社長が会見 サイバー攻撃によるシステム障害の調査結果を説明(2025年11月27日)

テレ東Biz [youtube] アサヒGHD サイバー攻撃で個人情報191万件漏えいの恐れ 勝木社長らが会見【ノーカット】

 

 

 

過去のプレス発表...

・2025.10.14 「サイバー攻撃によるシステム障害発生について(第4報)」  [for the record]

・2025.10.08 「サイバー攻撃によるシステム障害発生について(第3報)」 [for the record]

・2025.10.03 「サイバー攻撃によるシステム障害発生について(第2報)」 [for the record]

・2025.09.29 「サイバー攻撃によるシステム障害発生について」 [for the record]



3_20251130093201

 

 

 

きっとここには詳細にのるはず...(^^)

piyolog

・2025.10.04 アサヒグループホールディングスへのサイバー攻撃についてまとめてみた

 

 

2025.11.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 脆弱性, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | | Comments (0)

より以前の記事一覧

その他のカテゴリー

(temp)COVID-19 AI/Deep Learning ESG/CSR IoT ウイルス クラウド パブコメ フィッシング フォレンジック リンク ロボット 個人情報保護 / プライバシー 内部統制 / リスクマネジメント 危機管理 / 事業継続 安全保障 情報セキュリティ / サイバーセキュリティ 新エネルギー 暗号 / 電子署名 / ブロックチェーン 案内(講演 / 書籍等) 法律 / 犯罪 監査 / 認証 脆弱性 量子技術 電子投票