クラウド: まるちゃんの情報セキュリティ気まぐれ日記

January 2026
Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

クラウド

2026.01.09

東京都産業労働局中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 (2025.12.23)

こんにちは、丸山満彦です。

東京都産業労働局の中小企業向けサイバーセキュリティ対策のガイドが更新されていました...

サプライチェーン上重要な中小企業が存在し、その中小企業がランサムウェアにより業務が停止したり、その中小企業を足場によりよりTierの高い企業への侵入につながったり、その中小企業から重要な情報が窃盗されたりすると、国の経済活動に多大な影響がでることがあり得る。

そのため、中小企業全部とは言わないが、企業の規模に関わらず経済活動にとって重要な企業はすべてサイバーセキュリティ対策を実施しておくことが必要となる。

ところが大企業に比較すると中小企業はリソースが限られている。サイバーセキュリティ対策は規模の経済が働く面が大きく、大企業と同じレベルのセキュリティ対策を中小企業が実施しようとすると、経済的になりたたなくなる。

と言う背景もあり、日本のみならず、世界各国で中小企業のサイバーセキュリティ対策というのは重要な政策課題となっています。（少なくとも2003年に経産省でサイバーセキュリティ戦略の議論をしている時からそうでした）。また、個人情報保護法のガイドラインを策定する際にも安全管理措置の面でもその議論はでました。

サイバー以外も含めてですが、J-SOXの議論の時も中小企業（ベンチャー）のIT内部統制の評価についても議論がありました。

規模の経済という構造的な問題なので、対策としては、

・「中小企業がまとまって」対策をする

・「コストを変動費にできる」対策をする

ということしかないと考えています。

お助け隊サービスはどちかというと前者の対策。クラウドサービスの利用は前者かつ後者ともいえると思います。と考えていくと、中小企業はセキュリティ対策を起点としても、クラウドシフトを加速することになります。

結果的に国の産業のクラウド依存が高まっていくことを意味します。欧州、英国、オーストラリア、（最近ではカナダ）ではソブリンクラウドのための制度づくりをしていますよね。。。（米国クラウドベンダーを締め出すのではなく、ソブリンクラウドの要件を決め、それに従っているサービスであれば採用をする一方で、欧州のクラウドベンダーの育成もしていく）

政府、重要インフラ以外にも多くの事業者がクラウドベンダーに依存していくと、集中リスクというのはあり得ますね...

この辺りは少し先の課題かもしれません...

ということで、話を元に戻して、東京都産業労働局の中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 の紹介です。劇場風漫画形式となっています(^^)

●東京都 - 産業労働局 - 中小企業向けサイバーセキュリティ対策の極意ポータルサイト

・2025.12.23 [PDF] Ver.4.0

日本の中小企業セキュリティガイドのようなもの...

発行元	タイトル	発行/更新年	概要
NISC（内閣サイバーセキュリティセンター、政府機関）	小さな中小企業とNPO向け情報セキュリティハンドブック（インターネットの安全・安心ハンドブックに統合）	2023年（Ver.5.00）	小規模事業者向けに基本的なセキュリティ対策をハンドブック形式でまとめたもの。パスワード管理や脅威対策を中心に。
総務省（政府機関）	中小企業等担当者向けテレワークセキュリティの手引き（チェックリスト）（第3版）	2022年（第3版）	セキュリティ専任担当がいない中小企業等を対象に、テレワーク時の最低限のセキュリティ対策をチェックリスト形式で提供。テレワーク方式確認、脅威カテゴリ別の対策、緊急対応を含む。
IPA（独立行政法人情報処理推進機構）	中小企業の情報セキュリティ対策ガイドライン	2023年（第3.1版）	経営者向け指針と実践的な対策手法をステップバイステップで説明。付録にチェックリストを含む。
東京都産業労働局	中小企業向けサイバーセキュリティ対策の極意	2025年（Ver.3.0a）	漫画形式でわかりやすく、サイバー攻撃の現状と必須対策、事故対応を解説。Web版とPDF版あり。
愛知県	経済安全保障中小企業向け入門ガイド	2023年	経済安全保障の観点からサイバーセキュリティ対策を含む。従業員意識向上と体制整備を重点。
ITコンソーシアム京都（京都府関連、地方自治体支援）	セキュリティマニュアル	不明（最新版参照）	京都府内中小企業向けにサイバー相談件数推移と対策をまとめたマニュアル。相談窓口情報あり。

米国、欧州、英国、オーストラリア、カナダ等の主に中小企業向けのセキュリティガイドのようなもの...

国・地域	組織	発行元	タイトル	発行/ 更新年	概要
米国	連邦政府機関	CISA	Cyber Guidance for Small Businesses	2024年	小規模事業者向けの行動計画。CEO、セキュリティマネージャー、ITリーダーの役割ごとに分かれ、MFA導入やバックアップなどの対策を説明。実際の攻撃に基づく。
米国	連邦政府機関	CISA	Cyber Essentials	2023年	小規模事業者や地方自治体リーダー向けのガイド。アクショナブルな理解を促進し、サイバーハイジーンを強調。
米国	連邦政府機関	FTC	Cybersecurity for Small Business	継続（最新2025年）	サイバー攻撃から事業を守るツール。NIST CSF 2.0 Quick Start Guideを基に、ガバナンスとリスク管理を解説。
米国	連邦政府外郭	NIST	Small Business Cybersecurity Corner	継続（最新2025年）	寄稿者からのドキュメントとリソース集。小規模事業者のサイバーセキュリティニーズに対応。
米国	連邦政府機関	SBA	Strengthen your Cybersecurity	2024年	脅威の概要と保護方法。CISAのスキャニングサービスなどを紹介。
米国	連邦政府機関	FCC	Cybersecurity for Small Businesses	継続（最新2025年）	Small Biz Cyber Planner 2.0を提供。カスタマイズされたサイバーセキュリティ計画作成ツール。
米国	連邦政府機関	DoD Office of Small Business Programs	Cybersecurity Resources	継続（最新2025年）	意識向上とコンプライアンスのためのツールとトレーニングプラットフォーム。
米国	州政府機関	California Attorney General	Guide for Small Businesses to Protect Against Cyber Attacks	2014年	従業員と顧客のリスク低減のための具体的な推奨事項。
米国	州政府機関	New York Attorney General	Small Business Guide to Cybersecurity in New York State	不明（最新2023年）	NY州中小企業向けのデータセキュリティガイド。
米国	州政府機関	New York Attorney General	Data Security Guide	2023年	効果的なデータセキュリティ対策の採用を支援。
米国	州政府機関	Texas State Securities Board	Are You Secure?	継続（最新2025年）	サイバーリスクの特定と手順の確立のための計画ガイド。
欧州	連合機関	ENISA	Cybersecurity Guide for SMEs - 12 Steps to Securing Your Business	2021年	COVID-19後のデジタル移行を考慮した12のハイレベルステップ。システムと事業のセキュリティ向上。
欧州	連合機関	ENISA	Cybersecurity for SMEs - Challenges and Recommendations	2021年	SMEの課題と推奨事項。加盟国がSMEを支援するための提案を含む。
欧州	連合外郭	European DIGITAL SME Alliance	Guide to ISO/IEC 27001 for SMEs	継続（最新2025年）	ISO 27001の実装のためのハンディガイド。
ドイツ	連邦政府機関	BSI	Small and Medium-Sized Enterprises Guidance	継続（最新2025年）	サイバーセキュリティの基本要素と短い動画。情報セキュリティのキーアスペクトをカバー。
フランス	政府機関	ANSSI	Digital Security Best Practices for Business Travellers	2019年	出張中のデジタルセキュリティベストプラクティス。
フランス	政府機関	ANSSI	Controlling the Digital Risk	不明（最新2025年）	組織のデジタルリスク管理ガイド。
イタリア	政府機関	ACN	Practical Guides for SMEs on Cyber Risks	2025年	SME向けの実用的ガイド。サイバーリスクの特定と管理。
イタリア	政府機関	Cyber 4.0	Vademecum on Cybersecurity for SMEs	継続（最新2025年）	ENISAの12ステップを基にしたSME向けガイド。
スペイン	政府機関	INCIBE	Spanish National Guidelines for Reporting and Managing Cyber Incidents	2020年	サイバーインシデントの報告と管理のためのガイドライン。
スペイン	政府機関	INCIBE	Cybersecurity for SMEs and Freelancers	2023年	デジタル世界での事業保護。セクター別のアドバイスを含む。
英国	政府機関	NCSC	Small Business Guide: Cyber Security	継続（最新2025年）	5つの簡単ステップ（バックアップ、マルウェア対策、モバイルセキュリティ、パスワード、フィッシング）。時間とお金を節約。
英国	政府機関	NCSC	Cyber Security: Small Business Guide (PDF Version)	継続（最新2025年）	一般的な攻撃からの保護のための低コストでシンプルなテクニックのまとめ。
英国	政府機関	GOV.UK	Cyber Security Guidance for Business	継続（最新2025年）	オンラインセキュリティ向上のためのガイダンス。無料の30分セッションを含む。
英国	地方	NI Cybersecurity Centre	Basic Steps to Cyber Security – Small Organisation Guide	継続（最新2025年）	5つの簡単ステップでセキュリティ向上。評判保護に焦点。
英国	市政府	Bury Council	Cyber Security Guide For Small Businesses	継続（最新2025年）	攻撃の兆候、保護方法、無料リソースのリンク。
英国	市政府	Wandsworth Council	Cyber Security: Small Business Guide	継続（最新2025年）	バックアップ、パスワードポリシー、アクセス制御の決定。
英国	地方関係	Northwest Cyber Resilience Centre	Cyber Security Guide for Small Businesses	継続（最新2025年）	北西地域の小規模事業者向け。基本、ランサムウェアなどカバー。
豪州	政府機関	ACSC	Small Business Cyber Security Guide	2023年（最新2025年）	基本的なセキュリティ対策を説明。サイバー脅威からの保護に焦点を当て、チェックリストを含む。
豪州	政府機関	ACSC	Small Business Cloud Security Guides	2022年（最新2025年）	Essential Eightをクラウド環境に適用したガイド。Microsoft 365、Google Workspaceなどの具体例。
豪州	政府機関	Business.gov.au	Cyber Security and Your Business	継続（最新2025年）	サイバー脅威の種類と被害対応。ACSCのリソースを統合した一般ガイド。
豪州	州自治体	NSW Government	7 Steps to Cybersecurity for Small Businesses	継続（最新2025年）	小規模事業者向けの7ステップガイド。脅威認識から回復計画まで。
豪州	州自治体	NSW Small Business Commissioner	Cyber Security Awareness	継続（最新2025年）	マルウェア対策とバックアップの基本。ACSCガイドを補完。
豪州	州自治体	Business Victoria	Manage Cybersecurity in Your Business	2025年	サイバー犯罪の理解と保護方法。報告手順を含む。
豪州	州自治体	Business Victoria	The Essential Small Business Guide to Cybersecurity	2021年	一般的な脅威と安全策。ACSCに基づく。
豪州	州自治体	Business Queensland	Keeping Your Business Cyber Secure	2025年	Cyber Wardensプログラムを含む対策。脅威防止の短いコース。
豪州	州自治体	Business Queensland	Cyber Security Self-Help Toolkit for Mentors	2021年	メンター向けツールキット。事業者のリスク管理支援。
豪州	州自治体	Small Business Development Corporation	Cyber Security	継続（最新2025年）	情報保護の簡単で効果的な方法。サイバー犯罪者からの防御。
豪州	州自治体	Small Business Development Corporation	Six Cyber Security Habits to Protect Your Business	継続（最新2025年）	悪い習慣の修正と6つの積極的ステップ。
カナダ	政府機関	CCCS	Baseline Cyber Security Controls for Small and Medium Organizations	2020年	低コストの13セキュリティコントロール。リスク低減と対応力向上。
カナダ	政府機関	CCCS	Cyber Security for Small Business	2020年	基本コントロールの実装支援。サイバー敵対者からの保護。
カナダ	政府機関	Get Cyber Safe	Get Cyber Safe Guide for Small and Medium Businesses	2022年	リスク理解と対策ステップ。中小企業オーナー向け。
カナダ	政府機関	Get Cyber Safe	Get Cyber Safe Guide for Small Businesses	2024年	脅威軽減のためのステップ。デバイス、ネットワーク、データ保護。
カナダ	政府機関	Get Cyber Safe	Quick Guide to Cyber Security for Small Business	2024年	6つの簡単ステップ：在庫管理から従業員トレーニングまで。
カナダ	政府機関	CyberSecure Canada	CyberSecure Canada	継続（最新2025年）	ベストプラクティスを使用したプログラム。SMEのセキュリティ強化。
カナダ	省自治体	Ontario Government	Cyber Security	2021年	サイバーセキュリティの基本と役割。
カナダ	省自治体	Alberta Government	Government of Alberta Cybersecurity Strategy 2024	2024年	脅威情報とリソース提供。SMEを含むデジタル資産保護。
カナダ	省自治体	British Columbia Government	CyberBC	2025年	公共セクターのセキュリティ向上。SME支援のためのコラボレーション。

2026.01.09 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in クラウド, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.08

米国 CSET A米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ (2025.10)

こんにちは、丸山満彦です。

昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET（安全保障・新興技術センター）[wikipedia]から公表されている報告書をいくつか紹介します...

AI資源を外交に使おうという発想です。AIは広い意味でも生産性向上の不可欠な要素となってきています。現在のところAIサービスを提供する能力という意味では米国が圧倒的に有利な状況にいて、各国がそれを追いかける状況となっています。特に中国は米国の影響をできる限り避けるためにも国をあげて独自のAI開発を進めていますよね...もちろん、欧州も欧州連合がイニシアティブをとって進めていますし、英国もそうです。日本ももちろんそうなのですが、まだピリッとした感じがしないのは気のせいですかね...

さて、米国の立場からするとこの状況をうまく外交のカードとして使うことが重要となってきます。特に中国や欧州が台頭してくる前に有利な状況を作っておく必要があると言えます。そこでAI外交戦略が重要となってきているのかもしれません...

CSETが10月に公表した報告書では湾岸諸国でのAI関連の国家的取り組みについての分析を通じてAI外交戦略の立案の重要性が説明されています。特に米国の立場だと法の支配と民主主義的な価値観（ちょっと揺らぎつつあるのかもしれませんが...）をベースとした価値観とパッケージ化し、AI資源を、ここのケースに応じた１企業対外国政府という形態から、国家戦略に基づくAI外交フレームワークに基づいた戦略的な国際枠組みに変えていくことが重要となっています。要は、米国の利益のためのAI資源をどのように使うのか？ということになります。

で、この報告書での提案...

1. Establish a Structured, Rules-Based Framework for Access to U.S. AI	1. 米国AIへのアクセスに関する構造化されたルールベースの枠組みを確立する
2. Build a Layered Governance Architecture for AI Infrastructure	2. AIインフラのための多層的ガバナンス構造を構築する
3. Align Institutional Capacity with Strategic Objectives	3. 戦略目標と機構的能力の整合化
4. Launch an AI Cooperation Forum to Build Strategic Alignment	4. 戦略的連携を構築するための AI 協力フォーラムを立ち上げる

もっともな話だと思います。おそらく、今後米国はAI資源を外交のカードとして利用してくると思います。そうなったときに日本はどうするのか？ということになります。

日本が取りうるオプションはいくつかあるとは思います。例えば、（１）日米垂直統合（日本が米国のAI資源の不可欠な一部になる）、（２）日本完結（日本が独自のソブリンAIをつくり運用する。ハード、ソフトとも揃える）、（３）多国間協力（多国間での連携体をつくり開発・運用する）

（１）はおそらく米国がYesと言わないのでありえないと思います。となると、（２）か（３）。

どちらも難しいですが、早く決めないとオプションがどんどん減っていくかもですね...

● CSET

・2025.10 U.S. AI Statecraft - From Gulf Deals to an International Framework

U.S. AI Statecraft - From Gulf Deals to an International Framework

米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ

Recent U.S.-Gulf AI partnerships represent billions of dollars in strategic technology deals, but they raise critical questions about governance, oversight, and long-term influence. This analysis examines four major AI initiatives with Saudi Arabia and the United Arab Emirates, discussing critical issues including fragmented oversight, technology diversion, and AI sovereignty. It proposes a framework to transform ad hoc dealmaking into principled, transparent, and rule-bound AI statecraft that advances U.S. interests, strengthens technology relationships with allies and partners, and establishes durable governance mechanisms for U.S. AI deployments abroad.

最近の米国と湾岸諸国とのAI提携は、数十億ドル規模の戦略的技術取引を意味するが、ガバナンス、監督体制、長期的な影響力に関する重大な疑問を提起している。本分析はサウジアラビアおよびアラブ首長国連邦との4つの主要AIイニシアチブを検証し、断片化した監督体制、技術の転用、AI主権といった重要課題を論じる。その上で、米国利益の推進、同盟国・パートナーとの技術関係の強化、海外における米国AI展開のための持続可能なガバナンス体制構築を実現するため、場当たり的な取引を原則・透明性・ルールに基づくAI外交へと転換する枠組みを提案する。

・[PDF]

・[DOCX][PDF] 仮訳

目次...

Introduction	序論
Overview of Major U.S.–Gulf AI Initiatives (2024–2025)	主要な米国・湾岸諸国AIイニシアチブ概要（2024-2025年）
Microsoft–G42 Partnership (UAE, 2024)	マイクロソフト–G42提携（UAE、2024年）
Stargate UAE AI Campus (UAE, 2025)	スターゲートUAE AIキャンパス（UAE、2025年）
AWS–HUMAIN AI Zone Initiative (KSA, 2025)	AWS–HUMAIN AIゾーン構想（サウジアラビア、2025年）
NVIDIA–HUMAIN Partnership (KSA, 2025)	NVIDIA–HUMAINパートナーシップ（サウジアラビア、2025年）
Structures of U.S.–Gulf AI Partnerships	米国と湾岸諸国間のAIパートナーシップ構造
What Remains Uncertain, and Why It Matters	不透明な点とその重要性
Policy Recommendations: A U.S. Framework for an International AI Infrastructure	政策提言：国際AIインフラのための米国枠組み
Conclusion: From Transactions to Frameworks	結論：取引から枠組みへ
Endnotes	脚注

2026.01.08 00:00 in クラウド, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2026.01.07

欧州サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

こんにちは、丸山満彦です。

すこし古い話です(^^;; サイバーセキュリティ法（CSA）改正に関するはなし...

EUのサイバーセキュリティ関係法はデータ関連の法令も併せて混乱気味ですよね...

サイバー領域でも、CSAに続いてNIS2、サイバーレジリエンス法（CRA）、DORAが後から制定されました。規制簡素化はEUの重要なアジェンダですよね...

また、2019年から比較すると、地政学的な状況も変わってきています。2004年に時限的につくられたENISAが2019年のCSAにより恒久組織化されたわけですが、その後新たにいろいろと役割も追加されてきていることもあり、CSAで再定義する必要があるようです。

EUでは安全保障は各国ですることになっていますが、サイバーセキュリティは安全保障とのつながりが強いため、EUで機関をおかない（おいても時限的）と言う流れだったようです...2004年ENISA設置当時の話では...

さらに、欧州サイバーセキュリティ認証枠組み（ECCF）もうまくいっていない面もあり、再度調整が必要そうです。

クラウド認証（EUCS）の導入をめぐっては、主権要件をいれるかどうかで意見が分かれているようです...

この文書は、EUのサイバーセキュリティ法制度の今後の方向性を大まかに理解する上でも読んでおいた方が良いと思いました...

● European Parliament - Think Tank

・2025.12.09 Cybersecurity Act review: What to expect

Cybersecurity Act review: What to expect

サイバーセキュリティ法の見直し：今後の見通し

The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.

サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は依然として残っている。

・[PDF]

Cybersecurity Act review: What to expect	サイバーセキュリティ法の見直し：今後の見通し
The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.	サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は残っている。
The Cybersecurity Act in short	サイバーセキュリティ法の概要
Regulation (EU) 2019/881 (the CSA ) formalised the role of the European Cybersecurity Agency (ENISA ), giving it a permanent mandate, resources and tasks, including operational ones. It also established a voluntary EU cybersecurity certification framework (ECCF ) for ICT products, services and processes. The ECCF aims to set up and maintain specific certification schemes, allowing companies operating in the EU to use the certificates recognised across all Member States. In January 2025, a targeted amendment to the CSA was adopted, to enable the future adoption of European certification schemes for 'managed security services' covering areas such as incident response, penetration testing, security audits and consultancy. The CSA requires an evaluation and review every five years. Postponed several times, this is now expected on 14 January 2026.	規則（EU）2019/881（CSA）は欧州サイバーセキュリティ庁（ENISA）の役割を正式に定め、恒久的な権限・資源・任務（運用面を含む）を付与した。またICT製品・サービス・プロセス向けの任意参加型EUサイバーセキュリティ認証枠組み（ECCF）を設立した。ECCFは特定の認証スキームを確立・維持し、EU域内で事業を行う企業が全加盟国で認められる認証を利用できるようにすることを目的としている。2025年1月には、インシデント対応、ペネトレーションテスト、セキュリティ監査、コンサルティングなどの分野をカバーする「マネージドセキュリティサービス」向けの欧州認証スキームを将来的に導入可能とするため、CSAの特定改正が採択された。CSAは5年ごとの評価と見直しを義務付けている。数度延期された後、現在は2026年1月14日に実施が予定されている。
Evolving context	変化する状況
Since the CSA entered into force, cyber-attacks have been on the rise. This has prompted new EU cybersecurity laws to address the growing number and complexity of cyber threats . As a result , ENISA's roles and responsibilities have expanded. For example, ENISA supports implementation of the Directive on measures for a high common level of cybersecurity across the Union (NIS2 ) by providing technical guidelines, facilitating information sharing, and enhancing coordination between Member States. Similarly, ENISA supports implementation and enforcement of the Cyber Resilience Act (CRA ) by providing technical expertise, developing a single reporting platform for vulnerability and incident reporting, and supporting cybersecurity certification schemes.	CSA発効以降、サイバー攻撃は増加傾向にある。これにより、増加するサイバー脅威の数と複雑性に対処するため、新たなEUサイバーセキュリティ法が制定された。結果として、ENISAの役割と責任は拡大した。例えば、ENISAは技術ガイドラインの提供、情報共有の促進、加盟国間の連携強化を通じて、EU全域における高度な共通サイバーセキュリティ水準確保のための措置に関する指令（NIS2）の実施を支援している。同様に、ENISAは技術的専門知識の提供、脆弱性・インシデント報告のための単一プラットフォームの開発、サイバーセキュリティ認証スキームの支援を通じて、サイバーレジリエンス法（CRA）の実施と執行を支援している。
As regards certification, implementation of the ECCF has been challenging. So far, only one EU certification scheme has been adopted – the European cybersecurity scheme on common criteria (EUCC ), dedicated to certifying ICT products. All other schemes (cloud services – EUCS , 5G , digital identity wallets and managed security services ) are still under development. Additionally, there are concerns whether the ECCF effectively addresses non-technical supply-chain cybersecurity risks such as geopolitical dependencies. Questions have also been raised about how voluntary certification frameworks will align with the CRA, which establishes a presumption of conformity (in Article 27 ) for products certified under a recognised European scheme such as the EUCC.	認証に関しては、ECCFの実施は困難を極めている。現時点で採用されているEU認証スキームは、ICT製品の認証に特化した共通規準に基づく欧州サイバーセキュリティスキーム（EUCC）のみである。その他のスキーム（クラウドサービス向けEUCS 、5G、デジタルIDウォレット、およびマネージドセキュリティサービス向け）はいずれも開発段階にある。さらに、ECCFが地政学的依存関係などの非技術的サプライチェーンサイバーセキュリティリスクを効果的に対処できるか懸念されている。また、EUCCのような認定欧州スキームで認証された製品に対して適合性の推定（第27条）を定めるCRAと、任意認証枠組みがどのように整合するかも疑問視されている。
The proposal for a revised CSA therefore aims to address both ENISA's growing responsibilities and ECCF implementation. During the consultation, the Commission also gathered views on ICT supply chain security challenges and the simplification of cybersecurity rules, such as how to streamline reporting obligations.	したがって、改正CSA提案は、ENISAの拡大する責任とECCF実施の両方に対処することを目的としている。協議期間中、欧州委員会はICTサプライチェーンのセキュリティ課題やサイバーセキュリティ規則の簡素化（報告義務の効率化方法など）に関する意見も収集した。
CSA review: Points of convergence among stakeholders	CSA見直し：ステークホルダー間の合意点
The replies to the call for evidence for the CSA review have shown broad agreement that the CSA should be revised on the following issues: (i) streamline cybersecurity measures; (ii) enhance cyber resilience; and (iii) simplify the EU regulatory landscape. The review is seen as an opportunity to reduce administrative burden and compliance costs. A significant convergence point is the need to harmonise definitions and reporting requirements across major EU acts – such as NIS2, CRA and the General Data Protection Regulation (GDPR) – and establish a single EU incident notification platform. Such a platform has now been put forward in the proposal for a 'digital omnibus' regulation .	CSA見直しに向けた証拠提出要請への回答からは、以下の点でCSAを改正すべきとの広範な合意が示された：(i) サイバーセキュリティ対策の効率化、(ii) サイバーレジリエンスの強化、(iii) EU規制環境の簡素化。この見直しは行政負担とコンプライアンスコストを削減する機会と見なされている。主要なEU法令（NIS2、CRA、一般データ保護規則（GDPR）など）における定義と報告要件の調和、および単一のEUインシデント通知プラットフォームの確立が必要であるという点で、大きな合意が得られた。このようなプラットフォームは、「デジタルオムニバス」規制の提案において現在提唱されている。
There is consensus that ENISA's mandate should be clarified and strengthened to reflect the agency's growing operational responsibilities under new EU rules such as NIS2 and CRA. Stakeholders note that this expansion should be matched by adequate financial resources and staffing in order to ensure the agency's effectiveness. The view is that ENISA should serve as a central technical coordinator , to promote consistency and harmonise implementation of EU cybersecurity laws across the Member States, thereby reducing regulatory divergence. This echoes the Council conclusions of December 2024 on a stronger EU Agency for Cybersecurity. Poland went as far as calling for a separate law for ENISA , to separate this item from potential controversy around the EUCS discussions.	NIS2やCRAといった新たなEU規則下でENISAの業務責任が増大していることを反映し、ENISAの権限を明確化・強化すべきという点で合意が形成されている。関係者らは、この権限拡大には十分な財政資源と人員配置が伴わなければ、機関の有効性が確保できないと指摘する。ENISAは中核的な技術調整機関として機能し、加盟国間でEUサイバーセキュリティ法の一貫性と調和を促進し、規制の乖離を縮小すべきだという見解だ。これは、2024年12月の理事会結論「強化されたEUサイバーセキュリティ機関」の趣旨と一致する。ポーランドはさらに踏み込み、ENISAのための独立した法律を制定し、EUCS議論に伴う潜在的な論争からこの項目を切り離すよう求めた。
Stakeholders widely acknowledge that the process for developing and adopting certification schemes is too slow and opaque. They highlight that a more agile, transparent and inclusive process with clearer timelines is urgently needed. Furthermore, stakeholders underline that certification schemes should be based on and align with international standards in order to ensure global interoperability, maximise acceptance, and reduce compliance costs for companies operating internationally. The prevailing view is that certification schemes should also be leveraged as a recognised means of demonstrating conformity or compliance with security requirements stemming from other major EU legislative acts, including NIS2, CRA and the AI Act.	関係者らは広く、認証スキームの開発・採択プロセスが遅く不透明すぎることを認めている。彼らは強調する、より機敏で透明性が高く包括的なプロセスと明確なタイムラインが緊急に必要だと。さらに、ステークホルダーは、認証スキームが国際標準に基づき整合性を保つべきだと強調する。これにより、国際的な相互運用性を確保し、受容性を最大化し、国際的に事業を展開する企業のコンプライアンスコストを削減できるからだ。認証スキームは、NIS2、CRA、AI法を含む他の主要なEU立法措置から生じるセキュリティ要件への適合性またはコンプライアンスを証明する公認手段としても活用されるべきだという見解が主流だ。
Potential challenges	潜在的な課題
Disagreements revolve around the specific content and scope of certification schemes, particularly regarding sovereignty and the legal limits of ENISA's influence. The most contentious point is the inclusion of sovereignty requirements in certification schemes such as the EUCS. This issue divides stakeholders into those advocating measures to protect European digital autonomy (e.g. both data localisation and corporate headquarters based in the EU) and those prioritising open markets and technical neutrality. Pro-sovereignty advocates, and stakeholders supporting 'cloud by Europe ' models (i.e. entirely EU-based cloud service providers, not controlled by non-EU stakeholders), argue that these measures are crucial to protecting sensitive data and reinforcing EU strategic autonomy. By contrast, major tech companies, such as Microsoft , Amazon and Google , argue that non-technical criteria are subjective and do not improve cybersecurity outcomes, potentially restricting market access and innovation. At Member State level, too, positions are divided , with some countries expressing concern over sovereignty requirements, and others advocating in their favour.	意見の相違は、認証スキームの具体的な内容と範囲、特に主権とENISAの影響力の法的限界に関する点に集中している。最も議論の的となる点は、EUCSなどの認証スキームに主権要件を含めることである。この問題は利害関係者を、欧州のデジタル自律性を防御する措置（例：データローカリゼーションとEU域内に本社を置く企業の両方）を主張する側と、開放的な市場と技術的中立性を優先する側に分断している。主権重視派や「欧州発クラウド」モデル（非EU関係者に支配されない完全EU拠点のクラウドプロバイダ）を支持する関係者は、こうした措置が機密データの保護とEUの戦略的自律性強化に不可欠だと主張する。一方、Microsoft、Amazon、Googleなどの大手テック企業は、非技術的基準は主観的でサイバーセキュリティ効果を高めず、市場参入やイノベーションを阻害する可能性があると反論する。加盟国レベルでも立場は分かれており、一部の国々は主権要件に懸念を表明する一方、他の国々はこれを支持している。
On the nature of certification, the majority view is that it should remain mostly voluntary , to maintain flexibility and innovation. However, mandatory certification in critical sectors where high-security assurance is essential was also proposed. In addition, ENISA's regulatory power has sparked debate. Some stakeholders, including Amazon , oppose granting ENISA the authority to issue binding opinions or regulatory guidance, arguing that its role should remain technical and advisory.	認証の性質については、柔軟性と革新性を維持するため、主に任意のままであるべきという見解が大多数を占める。しかし、高いセキュリティ保証が不可欠な重要分野における義務的認証も提案された。加えて、ENISAの規制権限も議論を呼んでいる。Amazonを含む一部の利害関係者は、ENISAに拘束力のある意見や規制ガイダンスを発行する権限を与えることに反対し、その役割は技術的・助言的なものに留まるべきだと主張している。
It remains to be seen to what extent the Commission will consider stakeholders' views. The CSA review will also need to fit into the simplification of cybersecurity-related incident reporting obligations, which are part of the 'digital omnibus' proposal published on 19 November 2025.	欧州委員会が利害関係者の意見をどの程度考慮するかは、まだ見通せない。CSAの見直しは、2025年11月19日に公表された「デジタルオムニバス」提案の一部である、サイバーセキュリティ関連のインシデント報告義務の簡素化にも適合させる必要がある。

参考まで...

分類	法令名	種別	概要	発効日	適用開始日
個人データ保護	GDPR（Regulation (EU) 2016/679）	規則	EU全域の個人データ保護の基盤となる包括規則	2016.05.24	2018.05.25
データ共有・流通	Data Governance Act（Regulation (EU) 2022/868）	規則	データ共有の信頼性確保・データ仲介サービスの規律	2022.06.23	2023.09.24
データ共有・流通	Data Act（Regulation (EU) 2023/2854）	規則	IoT等のデータアクセス権・データ共有義務を定める横断規則	2024.01.11	2025.09.12 段階的
デジタル市場・プラットフォーム	Digital Services Act（Regulation (EU) 2022/2065）	規則	プラットフォームの透明性・違法コンテンツ対策を統一規制	2022.11.16	2024/2/17 VLOPs/VLOSEsは2023.08.25
デジタル市場・プラットフォーム	Digital Markets Act（Regulation (EU) 2022/1925）	規則	GAFA等ゲートキーパー企業の市場支配力を規制	2022.11.01	2023.05.02
AI	AI Act（Regulation (EU) 2024/1689）	規則	リスクベースでAIを規制し、高リスクAIに義務を課す	2024.08.01	2025〜2027年に段階的適用
サイバーセキュリティ	Cybersecurity Act（Regulation (EU) 2019/881）	規則	ENISA恒久化とEUサイバーセキュリティ認証制度（ECCF）創設	2019.06.27	2019.06.27〜認証は段階的
サイバーセキュリティ	NIS2 Directive（Directive (EU) 2022/2555）	指令	重要事業体のサイバー義務・インシデント報告を強化	2023.01.16	2024.10.17までに国内法化
製品セキュリティ	CRA（Cyber Resilience Act）Regulation (EU) 2024/2847	規則	ソフトウェア・IoT等の製品に「セキュリティ・バイ・デザイン」を義務化し、脆弱性管理・報告を規定	2024.12.10	2027.12.11から適用開始。製造者の脆弱性報告義務は2026.09.11から
金融ICTレジリエンス	DORA（Regulation (EU) 2022/2554）	規則	金融セクターのICTリスク管理・インシデント報告を統一	2023.01.16	2025.01.17

参考...

ENISA

EUサイバーセキュリティ認証の声

・2025.12.15 Voices of EU Cybersecurity Certification

Voices of EU Cybersecurity Certification	EUサイバーセキュリティ認証の声
A special publication by ENISA that incorporates feedback from stakeholders involved in building, maintaining, operating, and applying the first EU cybersecurity certification schemes.	ENISAによる特別刊行物。EU初のサイバーセキュリティ認証スキームの構築、維持、運用、適用に関わる関係者からのフィードバックをまとめたものである。

・[PDF]

2026.01.07 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in 危機管理 / 事業継続, in クラウド, in IoT, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2025.12.31

国家サイバー統括室サイバーセキュリティ関連法令Q&A Ver2.0 HTML版 (2025.12.24)

こんにちは、丸山満彦です。

国家サイバー統括室からサイバーセキュリティ関連法令Q&A Ver2.0 HTML版が公表されています。私も作成には関与しております。2023年にPDFで公開されたものですが、HTML版となりました。タグもつけてもらいましたが、読みやすさ、調べやすさについては改善が必要ですが、１歩１歩前進です。

タグによる一覧性があがるとよいですね。。。また、判例へのリンクがつけばさらに良いですね...

Ver3.0への改定にむけて粛々と進めています...

● 国家サイバー統括室

・サイバーセキュリティ関係法令Q&Aハンドブック

・[PDF] Ver2.0	令和5年9月（誤記訂正令和6年12月）
・[PDF] Ver1.0	令和2年3月

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.26 内閣官房 NISC 関係法令Q＆Aハンドブック Ver 2.0

2025.12.31 16:01 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 案内（講演 / 書籍等）, in IoT, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

米国 NIST IR 8587（初期公開ドラフト）トークンおよびアサーションの偽造・盗難・不正使用からの保護：政府機関およびクラウドサービスプロバイダ向け実装推奨事項

こんにちは、丸山満彦です。

NISTが、IR 8587 トークンおよびアサーションの偽造・盗難・不正使用からの保護：政府機関およびクラウドサービスプロバイダ向け実装推奨事項のドラフトが公開され、意見募集されていますね...

これはなかなか興味深いです...

● NIST - ITL

・2025.12.22 NIST IR 8587 (Initial Public Draft) Protecting Tokens and Assertions from Forgery, Theft, and Misuse: Implementation Recommendations for Agencies and Cloud Service Providers

NIST IR 8587 (Initial Public Draft) Protecting Tokens and Assertions from Forgery, Theft, and Misuse: Implementation Recommendations for Agencies and Cloud Service Providers	NIST IR 8587（初期公開ドラフト）トークンおよびアサーションの偽造・盗難・不正使用からの保護：政府機関およびクラウドサービスプロバイダ向け実装推奨事項
Announcement	発表
Developed in coordination with CISA’s Joint Cyber Defense Collaborative and in response to Executive Order 14144, Sustaining Select Efforts to Strengthen the Nation’s Cybersecurity and Amending Executive Order 13694, NIST Interagency Report (IR) 8587 provides implementation guidance to help federal agencies and cloud service providers (CSPs) protect identity tokens and assertions from forgery, theft, and misuse.	CISAの合同サイバー防衛協力機関と調整し、大統領令14144「国家のサイバーセキュリティ強化に向けた選定施策の持続及び大統領令13694の改正」への対応として作成されたNIST機関間報告書（IR）8587は、連邦機関及びクラウドサービスプロバイダー（CSP）が、偽造、盗難、悪用からアイデンティティトークン及び主張を防御するための実施ガイダンスを提供する。
Building on updates to NIST SP 800-53, the report outlines principles for CSPs and consuming agencies, details architectural considerations for identity providers and authorization servers, and recommends enhancements to key management, token verification, and lifecycle controls. The report also addresses threats demonstrated in recent high-profile attacks, emphasizes the importance of secure and configurable cloud services, and provides technical recommendations to safeguard single sign-on, federation, and application programming interface (API) access scenarios.	NIST SP 800-53の更新を基盤とし、本報告書はCSP及び利用機関向けの原則を概説し、IDプロバイダと認可サーバーのアーキテクチャ上の考慮事項を詳細に説明し、鍵管理、トークン検証、ライフサイクル管理の強化を推奨する。本報告書はまた、最近の注目すべき攻撃で実証された脅威に対処し、安全で設定可能なクラウドサービスの重要性を強調し、シングルサインオン、フェデレーション、アプリケーションプログラミングインターフェース（API）アクセスシナリオを保護するための技術的推奨事項を提供する。
What kind of input is NIST seeking?	NISTはどのような意見を求めているのか？
As an initial public draft, NIST IR 8587 is intended to gain critical feedback from stakeholders across government and industry. While comments are welcome and encouraged on all aspects of this document, NIST is particularly interested in the following five feedback areas:	初期公開草案として、NIST IR 8587は政府及び産業界のステークホルダーから重要なフィードバックを得ることを目的としている。本文書の全側面に関するコメントは歓迎されるが、NISTは以下の5つのフィードバック領域に特に注目している：
1. Signing Key Validity Periods. Feedback on the length of validity, the structure of the scenarios, and any additional feedback reviewers may have.	1. 署名鍵の有効期間。有効期間の長さ、シナリオの構成、およびレビューアが持つ追加的なフィードバックに関する意見。
2. Token Validity Periods. Opinions on token validity lengths and compensating controls that may impact commenters, particularly their availability, adoption, and use in government systems.	2. トークンの有効期間。トークンの有効期間の長さ、およびコメント提供者に影響を与える可能性のある補償的制御（特に政府システムにおけるそれらの可用性、採用、使用状況）に関する意見。
3. Key Protection and Isolation. Feedback on the clarity and suitability of key management definitions and whether they are appropriately mapped to FISMA system classification levels.	3. 鍵保護と隔離。鍵管理定義の明確性・適切性、およびFISMAシステム分類レベルへの適切な対応に関するフィードバック。
4. Key Scoping. Sharing of operational considerations, implementation challenges, and best practices that could strengthen these recommendations.	4. 鍵スコープ設定。運用上の考慮事項、実装上の課題、およびこれらの推奨事項を強化し得るベストプラクティスの共有。
5. Emerging Standards. Comments about emerging standards and protocols that might support the technical achievement of token and assertion protection outcomes (e.g., Demonstrated Proof-of-Possession, Global Revocation).	5. 新興標準。トークンおよび主張防御の成果（例：実証済み所持証明、グローバル失効）の技術的達成を支援し得る新興標準・プロトコルに関するコメント。
Abstract	要約
This report provides implementation guidance to help federal agencies and cloud service providers (CSPs) protect identity tokens and assertions from forgery, theft, and misuse. Building on updates to NIST SP 800-53 (Release 5.1.1), it outlines principles for CSPs and consuming agencies, details architectural considerations for identity providers and authorization servers, and recommends enhancements to key management, token verification, and life cycle controls. The report addresses threats demonstrated in recent high-profile attacks, emphasizes the importance of secure by design practices, configurability, interoperability, and continuous monitoring, and provides specific technical recommendations to safeguard single sign-on, federation, and application programming interface (API) access scenarios.	本報告書は、連邦機関及びクラウドサービスプロバイダー（CSP）が、IDトークン及びアサーションを偽造、盗難、悪用から防御するための実装ガイダンスを提供する。NIST SP 800-53（リリース5.1.1）の更新を基に、CSP及び利用機関向けの原則を概説し、IDプロバイダ及び認可サーバーのアーキテクチャ上の考慮事項を詳細に説明し、鍵管理、トークン検証、ライフサイクル管理の強化を推奨する。本報告書は、最近の高プロファイル攻撃で実証された脅威に対処し、設計段階からのセキュリティ対策、設定可能性、相互運用性、継続的監視の重要性を強調する。また、シングルサインオン、フェデレーション、アプリケーションプログラミングインターフェース（API）アクセスシナリオを保護するための具体的な技術的推奨事項を提供する。

・[PDF] NIST.IR.8587.ipd

ポイント...もう少し詳細に...

Note to Reviewers	レビュー担当者への注意
As an initial public draft, this document intends to gain critical feedback from stakeholders across government and industry. Comments are welcome on all aspects of this document and specifically encouraged on the following areas:	この文書は最初の公開ドラフトとして、政府及び産業界のステークホルダーから批判的なフィードバックを得ることを目的としている。文書のあらゆる側面についてコメントを歓迎し、特に以下の領域について積極的に意見を求める：
1. Signing Key Validity Periods. This document provides recommendations for signing key validity periods used in conjunction with tokens and assertions. They are structured around key usage scenarios (e.g., whether the key is used for more than one tenant). NIST is interested in feedback on the length of validity periods, the structure of the scenarios, and any elements.	1. 署名鍵の有効期間。本稿は、トークンおよび主張と組み合わせて使用される署名鍵の有効期間に関する推奨事項を提供する。これらは鍵の使用シナリオ（例：鍵が複数のテナントで使用されるかどうか）に基づいて構成されている。NISTは、有効期間の長さ、シナリオの構成、およびその他の要素に関するフィードバックを求めている。
2. Token Validity Periods. This document sets a baseline validity period for tokens and assertions and allows for flexibility based on the availability of certain capabilities (e.g., revocation, compromise detection). NIST is interested in comments on token validity lengths and compensating controls that may impact them, particularly their availability, adoption, and use in government systems.	2. トークンの有効期間。本文書はトークンと主張の基準有効期間を設定し、特定の機能（失効、侵害検知など）の可用性に基づく柔軟性を認める。NISTはトークン有効期間の長さ、およびそれらに影響を与えうる補償的制御（特に政府システムにおける可用性、採用、使用状況）に関する意見を求める。
3. Key Protection and Isolation. NIST is interested in feedback on the clarity and suitability of key management definitions and whether they are appropriately mapped to Federal Information Security Modernization Act (FISMA) system categorization levels.	3. 鍵保護と分離。鍵管理の定義の明確性と適切性、およびそれらが連邦情報セキュリティ近代化法（FISMA）のシステム分類レベルに適切にマッピングされているかについて、NISTはフィードバックを求めている。
4. Scoping. This document recommends limiting the scope of trust in signing keys and requiring tokens to include explicit audience and scope restrictions to limit the impact of key compromise. NIST is interested in feedback on operational considerations, implementation challenges, and best practices that could strengthen these recommendations.	4. 適用範囲。本文書は、署名鍵に対する信頼の範囲を制限し、鍵侵害の影響を限定するために、トークンに明示的な対象者および適用範囲の制限を含めることを推奨している。NISTは、これらの推奨事項を強化し得る運用上の考慮事項、実装上の課題、ベストプラクティスに関するフィードバックを求めている。
5. Emerging Standards and Protocols. This document references several new or emerging standards and protocols. NIST is particularly interested in the availability, maturity, and adoption rates of products that utilize these standards and protocols. Similarly, NIST is seeking input on additional standards and protocols that were not mentioned but could contribute to achieving security outcomes.	5. 新興標準とプロトコル。本稿は複数の新規または新興標準・プロトコルを参照している。NISTは特に、これらを活用する製品の可用性、成熟度、採用率に関心を持つ。同様に、言及されていないがセキュリティ成果達成に寄与し得る追加標準・プロトコルに関する意見も求めている。

目次...

1. Introduction	1. 序論
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Identity Management in Cloud and Hybrid Environments - Managing Responsibilities	1.2. クラウド及びハイブリッド環境におけるアイデンティティ管理 - 管理責任
1.3. Principles for Cloud Service Providers	1.3. クラウドサービスプロバイダのための原則
1.4. Principles for Consuming Agencies	1.4. 利用機関のための原則
1.5. Continuous Monitoring and Evaluation	1.5. 継続的な監視と評価
2. Overview of Assertions and Tokens	2. アサーションとトークンの概要
2.1. Terms and Concepts	2.1. 用語と概念
2.2. Types of Assertions and Tokens	2.2. アサーションとトークンの種類
2.3. Uses of Tokens and Assertions	2.3. トークンとアサーションの用途
2.3.1. Single Sign-On and Federation	2.3.1. シングルサインオンとフェデレーション
2.3.1.1. Single Sign-On and Federation Features	2.3.1.1. シングルサインオンとフェデレーションの機能
2.3.2. API Access Scenarios	2.3.2. APIアクセスシナリオ
2.3.2.1. API Access Features	2.3.2.1. APIアクセスの機能
3. IA-13: Identity Providers and Authorization Servers	3. IA-13: アイデンティティプロバイダと認可サーバー
3.1. Implementation Recommendations.	3.1. 実装に関する推奨事項
3.1.1. Architecture and Design	3.1.1. アーキテクチャと設計
3.1.2. Risk Assessment and Risk Management	3.1.2. リスクアセスメントとリスクマネジメント
3.1.3. Security Policy and Technical Documentation	3.1.3. セキュリティポリシーと技術文書
3.1.4. Authorization Systems and Zero Trust Architectures.	3.1.4. 認可システムとゼロトラストアーキテクチャ
4. Control Enhancements	4. 制御の強化
4.1. Control Enhancement 1: Protection of Cryptographic Keys	4.1. 制御強化1：暗号鍵の保護
4.1.1. Additional Guidance for the Protection of Cryptographic Keys	4.1.1. 暗号鍵保護に関する追加ガイダンス
4.1.1.1. Generation.	4.1.1.1. 生成
4.1.1.2. Distribution	4.1.1.2. 分布
4.1.1.3. Storage and Isolation for Keys and Cryptographic Functions	4.1.1.3. 鍵と暗号化機能の保管と隔離
4.1.1.4. Key Usage Periods and Rotation	4.1.1.4. 鍵の使用期間とローテーション
4.1.1.5. Key Revocation and Destruction	4.1.1.5. 鍵の失効と破棄
4.2. Control Enhancement 2: Verification of Identity Assertions and Access Token	4.2. 制御強化 2: 身元主張とアクセストークンの検証
4.2.1. Additional Guidance for the Verification of Identity Assertions and Access Tokens	4.2.1. 身元主張とアクセストークンの検証に関する追加ガイダンス
4.2.1.1. Assertion and Token Contents	4.2.1.1. 主張とトークンの内容
4.2.1.2. Key Scoping and Usage	4.2.1.2. 鍵の範囲と使用
4.3. Token Management	4.3. トークン管理
4.3.1. Additional Guidance for Token Managemen	4.3.1. トークン管理に関する追加ガイダンス
4.3.1.1. Token Refresh and Validity Length	4.3.1.1. トークンの更新と有効期間
4.3.1.2. Token Revocation	4.3.1.2. トークンの失効
4.3.1.3. Audience Restrictio	4.3.1.3. オーディエンス制限
4.3.1.4. Session Monitoring and Analsi	4.3.1.4. セッション監視と分析
5. Threats and Attack	5. 脅威と攻撃
6. Additional Considerations	6. 追加の考慮事項
6.1. Secure Integration and Configuration Between CSPs and Consumers	6.1. CSP とコンシューマー間の安全な統合と構成
6.2. Token and Assertion Presentation Methods	6.2. トークンと主張の提示方法
6.3. Token and Assertion Encryption	6.3. トークンとアサーションの暗号化
6.4. FAL3 Assertion	6.4. FAL3 アサーション
6.5. Device-Bound Session Credentials.	6.5. デバイスに紐づくセッション認証情報
6.6. Risk Signal Frameworks.	6.6. リスクシグナル枠組み
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書 A. 記号、略語、頭字語一覧
Appendix B. Glossary	附属書 B. 用語集

前提の部分ですが...

利用者（行政機関側）とクラウド事業者の責任（responsibility）の例

Responsibility Area	責任領域	CSP	Consumer
Physical Security	物理的セキュリティ	●
Infrastructure (Hardware/Networking)	インフラストラクチャ（ハードウェア／ネットワーク）	●
Core IAM Services	コアIAMサービス	●
Token Issuance/Signing	トークン発行/署名	●
Secrets Vaults/Hardware Security Module	シークレット保管庫/ハードウェアセキュリティモジュール	●
Infrastructure Logging/Monitoring	インフラストラクチャのログ記録/監視	●
IAM Policy Configuration	IAMポリシー設定		●
Application/User Access Control	アプリケーション/ユーザーアクセス管理		●
Application Secrets Management	アプリケーションシークレット管理		●
Multifactor Authentication (MFA)/User Authentication Setup	多要素認証（MFA）/ユーザー認証設定		●
Session Management	セッション管理		●
Application Logging/Monitoring	アプリケーションのログ記録/監視		●
User Education	ユーザー教育	●	●
Incident Response	インシデント対応	●	●
Continuous Monitoring	継続的監視	●	●

1.4 Principles for Cloud Service Providers	1.4 クラウドサービスプロバイダのための原則
The following principles are necessary to effectively support a secure relationship between consuming agencies and CSPs:	利用機関とCSP間の安全な関係を効果的に支援するには、以下の原則が必要である：
● Secure development and design. CSP systems are an integral component of agency services and increasingly essential to modern federal agency missions and service delivery. Not every CSP is a security company, but they still need to build security into the systems they design and deploy. Their practices should be consistent with CISA’s Secure by Design principles [3], NIST’s Secure Software Development Framework [4], and NIST’s Engineering Trustworthy Secure Systems guidelines [5].	● 安全な開発と設計。CSPシステムは機関サービスの不可欠な構成要素であり、現代の連邦機関の任務とサービス提供においてますます重要となっている。全てのCSPがセキュリティ企業ではないが、設計・展開するシステムにセキュリティを組み込む必要がある。その実践は、CISAの「設計段階からのセキュリティ確保」原則[3]、NISTの「セキュアソフトウェア開発枠組み」[4]、NISTの「信頼性のあるセキュアシステム構築ガイドライン」[5]と整合すべきである。
● Transparency. Effective risk management on both sides of the CSP-to-consumer relationship requires the CSP to be transparent about their deployed technology, the architecture underpinning the technology, and system-generated data. Particularly critical is the ability of the CSP to convey alignment with consumer security requirements (to include IA-13: Identity Providers and Authorization Servers from NIST	● 透明性。CSPと消費者の関係における効果的なリスクマネジメントには、CSPが展開技術、その基盤となるアーキテクチャ、システム生成データについて透明性を確保することが必要である。特に重要なのは、CSPが消費者のセキュリティ要件（NIST SP 800-53 Rev. 5.1.1のIA-13：IDプロバイダおよび認可サーバーを含む）との整合性を伝達する能力と、トークンおよびアサーション関連イベントの記録・分析を支援する効果的な通信チャネルを確立することである。
SP 800-53, Rev. 5.1.1) and establish effective communication channels to support logging and analyzing token- and assertion-related events.	SP 800-53, Rev. 5.1.1）との整合性を伝達し、トークンおよび主張関連のイベントの記録と分析を支援する効果的なコミュニケーションチャネルを確立する能力が特に重要である。
● Configurability. Different cloud service models (e.g., infrastructure as a service, platform as a service, software as a service) have different capabilities, and security features need to be selectable and tunable by consumers to the greatest degree practical. This allows organizations to apply mitigations that match their risk tolerance and operational needs. Critical consensus and compliance-driven mitigations (e.g., those defined in this document and SP 800-53 more generally) should be available as defaults, with additional options for organizations with advanced requirements or specific configuration needs. Appropriate training, documentation, and support capabilities must accompany these configurations.	● 設定可能性。異なるクラウドサービスモデル（例：IaaS、PaaS、SaaS）は異なる機能を有し、セキュリティ機能は消費者が実用的な範囲で最大限に選択・調整可能である必要がある。これにより組織は、リスク許容度と運用ニーズに合致した緩和を適用できる。重要な合意形成やコンプライアンス主導の緩和（例えば、本文書やSP 800-53で定義されるもの）はデフォルトで利用可能とし、高度な要件や特定の構成ニーズを持つ組織向けに追加オプションを用意すべきである。これらの構成には、適切なトレーニング、文書化、サポート機能が伴わなければならない。
● Interoperability. Providing essential support for standards-based architectures allows seamless integration and management across hybrid and multi-cloud environments, enabling consumers to support redundancy and resiliency. Standards-based deployments reduce complexity introduced by bespoke integrations and facilitate consistent security postures across the consumer’s entire enterprise. This facilitates interoperability between and amongst connected components without mandating or constraining a single approach to token or assertion management.	● 相互運用性。標準ベースのアーキテクチャに対する必須サポートを提供することで、ハイブリッドおよびマルチクラウド環境全体でのシームレスな統合と管理が可能となり、消費者が冗長性とレジリエンスをサポートできるようになる。標準ベースの展開は、特注の統合によって生じる複雑さを軽減し、消費者のエンタープライズ全体にわたる一貫したセキュリティ態勢を促進する。これにより、トークンまたは主張管理に対する単一のアプローチを強制または制限することなく、接続されたコンポーネント間の相互運用性が促進される。
Implementing these principles promotes a healthy and secure relationship between the CSP and its consumers.	これらの原則を実装することで、CSPと利用機関の健全かつ安全な関係が促進される。
1.5 Principles for Consuming Agencies	1.5 利用機関のための原則
Agencies that consume cloud services to support mission and service delivery have their own responsibilities with respect to secure implementation. Agencies must ensure that procured cloud environments and services satisfy FISMA security expectations for transaction risk and sensitivity. To effectively implement solutions that meet these responsibilities, agencies must apply the following principles to their engagement process with CSPs:	ミッションとサービス提供を支援するためにクラウドサービスを利用する機関は、安全な実装に関して独自の責任を負う。機関は、調達したクラウド環境とサービスが、取引リスクと機密性に関するFISMAのセキュリティ要件を満たすことを保証しなければならない。これらの責任を満たすソリューションを効果的に実装するため、機関はCSPとの関与プロセスにおいて以下の原則を適用しなければならない：
● Risk assessment and control selection. While CSPs may offer baseline solutions that align with FISMA categorization and FedRAMP impact levels, the consuming agency is responsible for completing a thorough risk assessment [6] in accordance with the federal Risk Management Framework (RMF) [7]. Agencies are also responsible for conducting a digital identity risk assessment (DIRA), as defined in SP 800-63-4, Digital Identity Guidelines [13]. This process helps define a baseline set of security controls, security outcomes, and assurance levels for any CSP-offered or in-house-developed token or assertion-based system.	● リスクアセスメントと制御選択。CSPがFISMA分類やFedRAMP影響レベルに沿った基本ソリューションを提供する場合もあるが、消費機関は連邦リスクマネジメント枠組み（RMF）[7]に従い、徹底的なリスクアセスメント[6]を完了する責任を負う。また、SP 800-63-4「デジタルアイデンティティガイドライン」[13]で定義されるデジタルアイデンティティリスク評価（DIRA）の実施も機関の責任である。このプロセスは、CSPが提供する、あるいは内部開発されたトークンまたは主張ベースのシステムに対し、セキュリティ管理策、セキュリティ成果、保証レベルの基盤セットを定義するのに役立つ。
● Tailoring. Control baselines serve as a starting point for selecting controls. Both the RMF and Digital Identity Guidelines enable agencies to further refine, select, and implement controls that are specific to their operational and threat environment and subsequently communicate these requirements to CSPs. This may also be informed by the availability of controls within selected CSP or on-premises environments.	● 適応化。制御ベースラインは制御選択の出発点となる。RMFとデジタルアイデンティティガイドラインの両方により、各機関は自らの運用環境や脅威環境に特化した制御をさらに精緻化し、選択し、実装することが可能となる。その後、これらの要件をCSPに伝達する。これは、選定したCSP環境またはオンプレミス環境内で利用可能な制御の存在によっても影響を受ける可能性がある。
● Secure integration and configuration. As indicated above, CSP services should be configurable. The consuming agency is responsible for configuring their cloud environments to meet their security categorization, control selection, tailoring outcomes, and defined assurance levels in coordination with their CSPs.	● 安全な統合と構成。前述の通り、CSPサービスは構成可能であるべきだ。利用機関は、CSPと連携し、自機関のセキュリティ分類、制御選択、調整結果、および定義された保証レベルを満たすよう、クラウド環境を構成する責任を負う。
While cloud-hosted services introduce complexity to the risk management process, they also enable substantial mission and business capabilities that cannot be replicated with organic agency systems and environments. By acknowledging the shared responsibility for data protection and implementing these principles, both CSPs and agencies can more effectively manage and address the threats that they face while improving the way the government delivers digital capabilities to employees and members of the public. In particular, these processes are essential to supporting remote access scenarios, SSO, and the provisioning of modern API-based services.	クラウドホスト型サービスはリスクマネジメントプロセスに複雑性をもたらす一方で、機関の内部システムや環境では再現不可能な、重要な任務遂行能力や業務能力を実現する。データ保護の責任分担を認識し、これらの原則を実施することで、CSP と機関は直面する脅威をより効果的に管理・対処できると同時に、政府が職員や国民にデジタル機能を提供する方法を改善できる。特にこれらのプロセスは、リモートアクセスシナリオ、シングルサインオン（SSO）、現代的なAPIベースのサービス提供を支援する上で不可欠である。
1.6 Continuous Monitoring and Evaluation	1.6 継続的監視と評価
No security controls — particularly identity management controls — should be “fire and forget.” Consistent with the RMF, both CSPs and consuming agencies are expected to implement continuous monitoring capabilities for the architectural components that they control. Consuming agencies coordinate with CSPs to continuously evaluate and monitor CSP environments, connections to on-premises or multi-cloud environments, and access events at all levels to identify potential vulnerabilities or incidents. In many real-world scenarios associated with token and assertion compromise, the only mechanisms for detection were the monitoring and analysis of account activity and the scrutiny of log data from CSP environments and services.	セキュリティ制御、特にID管理制御は「設定して放置」すべきではない。RMFに沿い、CSPと利用機関は双方、自らが管理するアーキテクチャ構成要素に対して継続的監視機能を実装することが求められる。利用機関はCSPと連携し、CSP環境、オンプレミスまたはマルチクラウド環境への接続、あらゆるレベルのアクセスイベントを継続的に評価・監視し、潜在的な脆弱性やインシデントを識別する。トークンや主張の侵害に関連する多くの実例では、検知手段はアカウント活動の監視・分析と、CSP環境およびサービスからのログデータの精査のみであった。

2025.12.31 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in クラウド | Permalink | Comments (0)
Tweet

2025.12.21

NCO サイバーセキュリティ推進専門家会議第３回会合サイバーセキュリティ戦略（案） (2025.12.08)とレジリエンスについて

こんにちは、丸山満彦です。

NCOのサイバーセキュリティ推進専門家会議第３回会合でサイバーセキュリティ戦略（案）が確定したのだろうと思いますが、良い内容になっていると思います。

ブログにあげるのを忘れていました...

絵に描いた餅に終わらず、確実な実行が期待されてますよね...

米国の場合は、こういう戦略を書くとその後、実行に落とすための完了責任者と完了日の設定とロードマップが公表されてくるのですが、日本ではそのあたりは、ちょっと緩いですかね。。。

2003年の情報セキュリティ総合戦略では、「望ましい実現時期」を示したのですが、経産省だったので他省庁の所管についてはあまり大きなことは言えない（産業構造審議会の下であっても。。。）ということで、「望ましい」という表現だったのですが、総合戦略の議論で政府の「司令塔」が必要ということで内閣官房の組織として実現した「NCO」であれば、調整機能を活用し、もう少し踏み込んだロードマップを示せると思いますので、期待したいところです。

実行がともなっての戦略ですからね...期待しています...

それから、今更ですで申し訳ないことですが...

レジリエンスの概念については、もう少し精緻に用語を使ったほうが良かったかもですね...これは、パブリックコメント等を通じてNCOの事務局にいれておけばよかったです...（しまった...致命的ではないのですが、米国等の国際連携の際に今の考え方だと範囲が狭いので議論がずれるかもなので...）

レジリエンス (Resilience)、レジリエンシー(Resiliency)について、戦略（案）では、

18 インシデントが発生した際に、その影響を最小化し、早急に元の状態に戻す仕組みや能力、耐性のこと。

と説明されているのですが、

辞書的には近いのでよいのでが、ビジネス的？（少なくとも、NIST SP800-160 Vol.2や、ISO 22316:2017）では、もう少し意味が深いので、説明に書いていることはともかくとして、使う際には狭い意味にとどまらないようにするのがよいと思いました。

ポイントしては、

・「インシデント（突発的な）が発生した際」だけではなく「斬新的な変化」も対象

・「元の状態に戻す」というより、「変化した環境に応じてより適応する」

という考え方が含まれた用語としてつかわれるほうがよいと思います...

ポイントは「変化」への「対応」ではなく「適応」です。

Continuityではなく、Resilienceという言葉を使っている本質がここにあると思います...

以下は参考...

ISO 22316:2017のOrganizational Resilienceの定義と私の仮訳...

ISO 22316:2017 — Security and resilience — Organizational resilience — Principles and attributes	ISO 22316:2017 — セキュリティとレジリエンス — 組織のレジリエンス — 原則と属性
Organizational resilience is the ability of an organization to anticipate, prepare for, respond and adapt to incremental change and sudden disruptions in order to survive and prosper.	組織のレジリエンスとは、組織が漸進的な変化や突発的な混乱を予測し、準備し、対応し、適応する能力である。これにより組織は存続し、繁栄する。

予測、準備、対応、適応

NIST SP80016-Vol2のCyber Resiliencyの定義と私の仮訳...

NIST Special Publication 800-160, Volume 2 Revision 1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach	NIST 特別刊行物800-160、第2巻改訂版1 サイバーレジリエンスなシステムの開発：システムセキュリティエンジニアリングアプローチ
Cyber Resiliency	サイバー・レジリエンス
The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources. Cyber resiliency is intended to enable mission or business objectives that depend on cyber resources to be achieved in a contested cyber environment.	サイバー・リソースを使用する、またはサイバー・リソースによって可能になるシステム上の不利な条件、ストレス、攻撃、または侵害を予測し、それに耐え、そこから回復し、それに適応する能力。サイバー・レジリエンスは、競合するサイバー環境において、サイバー・リソースに依存するミッションまたはビジネスの目標を達成できるようにすることを意図している。
Note: Cyber resiliency can be a property of a system, network, service, system-of-systems, mission or business function, organization, critical infrastructure sector or sub-sector, region, or nation.	注：サイバー・レジリエンスは、システム、ネットワーク、サービス、システム・オブ・システム、ミッションまたはビジネス機能、組織、重要インフラ部門またはサブ部門、地域、または国家の特性であり得る。

予測、耐え、回復、適応

サイバーレジリエンスの５つの特徴

1. ミッションまたは業務機能に焦点を当てる

組織のミッションや業務機能を支援する能力に焦点を当てる。

ミッションクリティカルなシステムやシステム構成要素を脅かす敵対的な存在がシステムやインフラに存在しても、組織が重要あるいは必須のミッションや業務機能を遂行する能力を最大化するためである。

2. 変化する環境を前提とする

脅威環境、運用環境、技術環境における継続的かつ断続的な変化を前提としている。

変化はリスクとリスク低減の機会を同時に提示する。

3. 高度な持続的脅威（APT）の影響に焦点を当てる

脅威がサイバー的か非サイバー的（例：物理的）かを問わない。

サイバーレジリエンス分析は、APTが対象システムに及ぼし得る影響、ひいてはミッションや業務機能、組織、外部ステークホルダーに与える影響に焦点を当てる。

4. 敵対者がシステムや組織を侵害または突破すると想定する

根本的な前提は、高度な敵対者を常にシステムから排除したり、迅速に検知・排除したりすることは不可能であるということ。

5. 敵対者がシステムや組織内に潜伏し続けると想定する

敵対者の存在が持続的かつ長期的な問題となり得ることを前提とする。

APTのステルス性により組織が脅威を根絶したことを確信することが困難である。

過去に有効だった対策が機能しなくなる可能性がある。

組織が脅威を根絶することに成功したとしても、再び侵入する可能性がある。

サイバーレジリエンスの4つの目標

1. 予測：Anticipate

敵対的状況に対する情報に基づく準備態勢を維持する

抑止、回避、予防は潜在的な脅威を予測する戦略である。その他の戦略には計画、準備、変形が含まれる

計画：利用可能な資源を識別し、脅威が現実化した場合にそれらを活用する計画を作成すること

準備： 利用可能な資源のセットを変更し、計画を実行すること

変形： 攻撃対象領域を変更するためにシステムを継続的に変更すること

2. 耐性：Withstand

逆境下でも必須の任務や機能を引き続き継続する

脅威が現実化した際に耐える戦略には、吸収、逸脱、廃棄がある

吸収：特定のシステム要素群への一定レベルの損害を受け入れ、他のシステム要素やシステム全体への影響を軽減する措置を講じ、損害を自動的に修復すること

逸脱：脅威事象やその影響を、標的となったシステム要素や最初に影響を受けたシステム要素とは異なる要素やシステムへ転嫁すること

廃棄：損傷の兆候に基づきシステム要素、あるいはシステム全体を除去し、それらの要素を置換するか、それらなしでもシステムやミッション、業務プロセスが稼働できるようにすること

3. 復旧：Recover

逆境時および逆境後に任務または業務機能を復旧させる。

復旧戦略には、復元、再構成、置換が含まれる。検知は復旧戦略の選択を支援できる

復元：許容可能な既知の過去状態を再現すること

再構成：重要機能と補助機能を許容レベルまで再現するか、既存システム資源を活用すること

置換：損傷・疑わしい・選択されたシステム要素を新規要素と交換するか、既存要素を再利用して重要機能と補助機能を異なる方法で遂行すること

4. 適応：Adapt

技術的、運用上、または脅威環境における予測される変化に対応し、ミッションや業務機能、および／またはそれを支える能力を変更する

適応のための戦略には、修正、強化、再方向付けが含まれる。これらの戦略は、再定義をもたらす可能性がある

修正：識別された脆弱性や弱点を補うために、コントロールを除去または新たに適用すること

強化： 攻撃対象領域を縮小または操作すること

再方向付け：将来の脅威、新興の脅威、潜在的な脅威に対して、コントロール、実践、能力を積極的に方向付けること

再定義： システムの要件、アーキテクチャ、設計、構成、調達プロセス、運用プロセスの変更

8つの目的

予防または回避	攻撃の実行成功や有害な状況の発生を未然に防ぐ
準備	予測される、または予期される困難に対処する現実的な行動方針を維持する
継続	逆境下において、必須の任務または業務機能の持続期間と実行可能性を最大化する
制約	困難による損害を制限する
復旧	災害発生後、可能な限り多くの任務または業務機能を復旧させる
理解	ミッションと業務の依存関係、および潜在的な悪影響に対するリソースの状態について、有用な表現を維持する
変革	ミッションや業務機能、およびそれを支えるプロセスを変更し、逆境に対処し、環境変化により効果的に対応できるようにする
再構築	アーキテクチャを変更し、困難に対処し、環境変化により効果的に対応する

というなが〜い前振りを読んだ上(^^)で、

● サイバーセキュリティ推進専門家会議

・2025.12.08 第３回会合（令和７年12月８日）

・・議事次第

・・資料１　サイバーセキュリティ戦略（案）に関するパブリックコメント結果の概要

・・資料２　サイバーセキュリティ戦略（案）に関するパブリックコメントの主な結果一覧

・・資料３　サイバーセキュリティ戦略（案）の概要

・・資料４　サイバーセキュリティ戦略（案）

・・資料５　漆間委員提出資料

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.11.04 国家サイバー統括室サイバーセキュリティ戦略（案）サイバーセキュリティ推進専門家会議第2回会合

・2025.09.22 NCO サイバーセキュリティ推進専門家会議

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

・2021.09.28 NISC サイバーセキュリティ戦略本部第31回会合サイバーセキュリティ戦略確定（予算からみるとサイバーセキュリティは経済発展というよりも安全保障？）

2025.12.21 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2025.12.18

英国 NCSC 中小企業向けマネージド・サービスプロバイダー選定ガイド (2025.11.24)

こんにちは、丸山満彦です。

英国のNCSCが、中小企業向けのマネージドサービス・プロバイダー選定ガイドが公表されていますね...

250名以上の企業の場合は、2018年策定（2023年最終改定）されたクラウドセキュリティガイダンスの利用が推奨されていますね...

● NCSC

・2025.11.24 Choosing a managed service provider (MSP)

Choosing a managed service provider (MSP)	マネージドサービス・プロバイダー（MSP）の選定
An SME’s guide to selecting and working with managed service providers.	中小企業向け：MSPの選定と活用ガイド
in this guidance	本ガイダンスの内容
Introduction: SMEs are at risk	序論：中小企業はリスクに晒されている
Choosing an appropriate MSP	適切なMSPの選定
Security issues to discuss with your MSP	MSPと協議すべきセキュリティ課題
Details to check in your MSP contract	MSP契約で確認すべき事項
MSP due diligence checklis	MSPデューデリジェンスチェックリスト
Many small to medium-sized enterprises (SMEs) use managed service providers (MSPs) to deliver IT products and services, manage important data, and to provide cyber security. This guidance describes how to select and work effectively with MSPs, and includes a checklist you can use when sourcing MSPs.	多くの中小企業（SME）は、IT製品・サービスの提供、重要データの管理、サイバーセキュリティ対策のためにマネージドサービス・プロバイダー（MSP）を利用している。本ガイダンスでは、MSPの選定方法と効果的な連携手法を説明し、MSP調達時に使用できるチェックリストを掲載する。
Note:	注記：
If you’re part of an IT team responsible for working with MSPs within larger organisations (over 250 people), you should refer to the NCSC’s more detailed Cloud Security Guidance.	大規模組織（従業員250名以上）においてMSPとの連携を担当するITチームの一員である場合は、NCSCのより詳細なクラウドセキュリティガイダンスを参照すべきである。

MSP due diligence checklist	MSPデューデリジェンスチェックリスト
Choosing an MSP	MSPの選定
Does the MSP hold recognised security certifications (e.g., Cyber Essentials Plus, ISO 27001)? If not, what security standards do they use?	MSPは公認のセキュリティ認証（例：Cyber Essentials Plus、ISO 27001）を保持しているか？保持していない場合、どのセキュリティ標準を採用しているか？
Can they provide references, testimonials or case studies from other SMEs?	他の中小企業からの推薦状、証言、事例研究を提供できるか？
Do they have a proven track record of security and service quality?	セキュリティとサービス品質において実績があるか？
Do they demonstrate transparency about their services and processes?	サービスとプロセスについて透明性を示しているか？
Are their service levels (response times, uptime) clearly defined in SLAs?	サービスレベル（応答時間、稼働時間）はSLAで明確に定義されているか？
Do they fit your needs and budget?	自社のニーズと予算に合致しているか？
Services to request	要求すべきサービス
Timely patch management for all systems and software	全システム・ソフトウェアに対するタイムリーなパッチ管理
Automated, off-site data backups and regular testing of restore processes	自動化されたオフサイトデータバックアップと復元プロセスの定期テスト
Security monitoring and logging, with alerts for suspicious activity	セキュリティ監視・ログ記録、不審な活動に対するアラート
Use of 2SV across all access points	全アクセスポイントでの2段階認証（2SV）の使用
Clear incident response and management procedures	明確なインシデント対応・管理手順
Application of timely security updates and firmware patches	タイムリーなセキュリティ更新とファームウェアパッチの適用
Contract and agreement considerations	契約と合意事項の検討点
Is there a detailed Service Level Agreement (SLA)?	詳細なサービスレベル契約（SLA）は存在するか？
Are roles, responsibilities, and liabilities clearly defined?	役割、責任、賠償責任は明確に定義されているか？
Does the contract specify how and when security incidents are notified?	契約書はセキュリティインシデントの通知方法と時期を規定しているか？
Are there provisions for regular reviews and reporting?	定期的な見直しと報告に関する条項は存在するか？
Is the principle of least privilege applied to MSP access?	MSPアクセスには最小権限の原則が適用されているか？
Are there clauses for managing obsolete accounts and infrastructure?	廃止されたアカウントとインフラを管理する条項は存在するか？
Is there a clear process for contract review, renewal, or termination?	契約の見直し、更新、解約に関する明確なプロセスは存在するか？
Risk and responsibility	リスクと責任
Have you assessed your MSP’s supply chain risks?	MSPのサプライチェーンリスクを評価したか？
MSP’s supply chain risks	MSPのサプライチェーンリスク
Are accountability and liability for cyber security incidents explicitly documented?	サイバーセキュリティインシデントに対する説明責任と責任が明示的に文書化されているか？
Do MSPs have a tested incident response and recovery plan?	MSPはテスト済みのインシデント対応および復旧計画を有しているか？
Are backup and disaster recovery procedures outlined and agreed upon?	バックアップおよび災害復旧手順が明記され合意されているか？
Is there a process for regular security training and awareness	定期的なセキュリティ研修および意識向上のためのプロセスは存在するか？

参考にクラウドセキュリティガイダンス...

・2023.06.07 Cloud security guidance

Cloud security guidance	クラウドセキュリティの指針
Introduction to cloud security	クラウドセキュリティの序論
Understanding cloud services	クラウドサービスの理解
Service and deployment models	サービスと展開モデル
Cloud security shared responsibility model	クラウドセキュリティの責任分担モデル
Technically enforced separation in the cloud	クラウドにおける技術的に強制された分離
Choosing and configuring a KMS for secure key management in the cloud	クラウドでの安全な鍵管理のためのKMSの選択と設定
Choosing a cloud provider	クラウドプロバイダの選定
Using cloud services securely	クラウドサービスの安全な利用
Using Software as a Service (SaaS) securely	SaaS（Software as a Service）の安全な利用
Using a cloud platform securely	クラウドプラットフォームの安全な利用
How to 'lift and shift' successfully	「リフト・アンド・シフト」の成功手法
The cloud security principles	クラウドセキュリティの原則
Principle 1: Data in transit protection	原則1：転送中のデータ保護
Principle 2: Asset protection and resilience	原則2：資産保護と耐障害性
Principle 3: Separation between customers	原則3：顧客間の分離
Principle 4: Governance framework	原則4：ガバナンスフレームワーク
Principle 5: Operational security	原則5：運用セキュリティ
Principle 6: Personnel security	原則6：職員のセキュリティ
Principle 7: Secure development	原則7：セキュアな開発
Principle 8: Supply chain security	原則8：サプライチェーンセキュリティ
Principle 9: Secure user management	原則9：安全なユーザー管理
Principle 10: Identity and authentication	原則10：アイデンティティと認証
Principle 11: External interface protection	原則11：外部インターフェースの防御
Principle 12: Secure service administration	原則12：安全なサービス管理
Principle 13: Audit information and alerting for customers	原則13：顧客向け監査情報とアラート
Principle 14: Secure use of the service	原則14：サービスの安全な利用
Lightweight approach to cloud security	クラウドセキュリティへの軽量アプローチ
Responses to the cloud security principles	クラウドセキュリティ原則への対応策

グーグルとマイクロソフトのチェックリストも参考になりますね...

・Google Workspace: Security checklist for small businesses (1-100 users)

・Microsoft 365: Top 10 ways to secure your data with Microsoft 365

2025.12.18 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in クラウド | Permalink | Comments (0)
Tweet

2025.12.06

欧州 Europolが暗号資産を使った資金洗浄ネットワークを摘発し7億ユーロ（約1260億円）の資金洗浄を阻止 (2025.12.04)

こんにちは、丸山満彦です。

Europolが暗号資産を使った資金洗浄ネットワークを摘発し7億ユーロ（約1260億円）の資金洗浄を阻止と発表していますね...

協力したのは、ベルギー、ブルガリア、キプロス、フランス、ドイツ、イスラエル、マルタ、スペインの捜査機関等のようですね...欧州以外にもイスラエルが協力していますね...

ランサムウェア犯罪と暗号資産による資金洗浄はセットになっているように思いますので、暗号資産関連事業者との協力というのも重要ですよね...

● EUROPOL

・2025.12.04 International takedown of cryptocurrency fraud network laundering over EUR 700 million

International takedown of cryptocurrency fraud network laundering over EUR 700 million	国際的な暗号通貨詐欺ネットワーク摘発、7億ユーロ超の資金洗浄を阻止
The final actions in a sweeping international operation have successfully dismantled a large-scale cryptocurrency fraud and money laundering network that had laundered over EUR 700 million. Coordinated across multiple jurisdictions, these actions, carried out last month and earlier this week, mark the culmination of years of investigation and the effective disruption of a criminal operation that spanned Europe and beyond.	大規模な国際捜査の最終段階において、7億ユーロ超の資金を洗浄していた大規模な暗号通貨詐欺・資金洗浄ネットワークの解体に成功した。複数の管轄区域で調整された今回の措置は、先月および今週初めに実施され、欧州をはじめとする広範囲に及ぶ犯罪組織の活動を効果的に阻止する、数年にわたる捜査の集大成となった。
What began as an investigation into a single fraudulent cryptocurrency platform gradually unfolded into a complex, far-reaching operation, revealing a vast network of deceit and money laundering.	単一の詐欺的仮想通貨プラットフォームへの調査として始まった捜査は、次第に複雑で広範な活動へと発展し、巨大な詐欺・資金洗浄ネットワークの存在を明らかにした。
The criminal network operated numerous fake cryptocurrency investment platforms, luring thousands of victims with sophisticated advertisements promising high returns. The victims were then repeatedly contacted by criminal call centres, where callers used social engineering to pressure victims into making further payments by showing them inflated returns on fake trading platforms.	この犯罪ネットワークは多数の偽仮想通貨投資プラットフォームを運営し、高収益を約束する洗練された広告で数千人の被害者を誘引した。その後、犯罪者によるコールセンターが被害者に繰り返し連絡し、偽の取引プラットフォーム上で水増しされた収益を示すことでソーシャルエンジニアリングを用い、追加支払いを強要した。
Once victims had transferred their cryptocurrency, the funds were stolen and laundered across various blockchains and cryptocurrency exchanges. As investigators peeled back the layers of the operation, it became clear that the network had grown far beyond a single fraud scheme, involving multiple fraudulent platforms and sophisticated financial infrastructure spanning Europe and beyond.	被害者が仮想通貨を送金すると、資金は様々なブロックチェーンや仮想通貨取引所を跨いで盗まれ、洗浄された。捜査当局が組織の構造を解明するにつれ、このネットワークが単一の詐欺スキームをはるかに超え、欧州内外に広がる複数の詐欺プラットフォームと高度な金融インフラを包含していることが明らかになった。
A coordinated disruption across multiple countries	複数国にまたがる同時摘発
On 27 October 2025, the first phase of the operation was executed, with coordinated police raids across Cyprus, Germany and Spain at the request of French and Belgian authorities. These initial actions led to the arrest of nine individuals suspected of laundering illicit funds generated by fraudulent cryptocurrency platforms.	2025年10月27日、フランスとベルギー当局の要請を受け、キプロス、ドイツ、スペインで警察による同時捜索が実施され、作戦の第一段階が実行された。この初期行動により、詐欺的な仮想通貨プラットフォームで生み出された不正資金の洗浄に関与した疑いのある9名が逮捕された。
Authorities seized millions of euros in assets, including:	当局は以下の資産を数百万ユーロ相当差し押さえた：
・EUR 800 000 in bank accounts	・銀行口座から80万ユーロ
・EUR 415 000 in cryptocurrencies	・仮想通貨41万5千ユーロ
・EUR 300 000 in cash	・現金30万ユーロ
・Digital devices	・デジタル機器
・High-value watches	・高級腕時計
The operation was carried out in close collaboration with national authorities from France, Belgium, Germany, Spain, Malta, Cyprus and other countries. Europol and Eurojust supported this first phase of the investigation.	本作戦はフランス、ベルギー、ドイツ、スペイン、マルタ、キプロス等の各国当局と緊密に連携して実施された。欧州刑事警察機構及び欧州司法機構が捜査第一段階を支援した。
Second phase targets affiliate marketing infrastructure	第二段階はアフィリエイトマーケティング基盤を標的とする
The second phase, targeting another key pillar of the investment fraud ecosystem, took place on 25 and 26 November 2025. It focused on the affiliate marketing infrastructure that supports these online scams. Coordinated actions were taken against the companies and suspects behind fraudulent advertising campaigns on social media platforms. In recent years, deceptive advertisements impersonating renowned media outlets, celebrities and politicians – often using deepfake videos - have posed a significant global challenge. The data of potential investors obtained through manipulated advertising, even on reputable platforms, is crucial to the functioning of the crypto-scam industry as a whole.	投資詐欺エコシステムのもう一つの主要基盤を標的とした第二段階は2025年11月25日及び26日に実施された。オンライン詐欺を支えるアフィリエイトマーケティング基盤に焦点を当てた。ソーシャルメディアプラットフォーム上の詐欺的広告キャンペーンに関与した企業及び容疑者に対し、調整された行動が取られた。近年、著名なメディア機関、有名人、政治家を装った欺瞞的な広告（しばしばディープフェイク動画を使用）が、世界的な重大な課題となっている。信頼できるプラットフォーム上であっても、操作された広告を通じて入手された潜在的投資家のデータは、暗号通貨詐欺業界全体の機能にとって極めて重要である。
During the action days, law enforcement teams in Belgium, Bulgaria, Germany and Israel carried out searches and additional operational measures with Europol’s support. Targets included companies that had previously offered affiliate marketing services.	行動期間中、ベルギー、ブルガリア、ドイツ、イスラエルの法執行機関は欧州刑事警察機構の支援のもと、捜索及び追加作戦を実施した。対象には過去にアフィリエイトマーケティングサービスを提供した企業も含まれた。
Significant infrastructure dismantled	重要なインフラを解体
The joint measures taken in October and November represent a coordinated strike against the various pillars of the online crypto fraud industry.	10月と11月に実施された共同措置は、オンライン暗号詐欺産業の様々な支柱に対する協調攻撃を意味する。
The scale of this criminal operation is vast. The investigation uncovered more than EUR 700 million laundered through a labyrinth of cryptocurrency exchanges, exploiting digital anonymity to conceal illicit flows. Following these two coordinated actions and multiple arrests and seizures, investigative authorities will continue to track the criminal organisation’s assets in the countries where it operates and resides.	この犯罪活動の規模は膨大である。調査により、暗号通貨取引所の複雑なネットワークを通じて7億ユーロ以上が洗浄され、デジタル匿名性を悪用して不法な資金の流れが隠蔽されていた事実が明らかになった。これら二つの連携行動と複数の逮捕・押収に続き、捜査当局は犯罪組織が活動・居住する各国において、その資産の追跡を継続する。
Europol’s support in coordinating this investigation	欧州刑事警察機構の捜査調整支援
Europol played a central role in facilitating the cross-border coordination of the operation, providing both operational and analytical support to ensure its success.	欧州刑事警察機構は作戦の越境調整を促進する中心的な役割を果たし、成功を確実にするため運用面と分析面の双方の支援を提供した。
Key contributions from Europol included:	欧州刑事警察機構の主な貢献は以下の通りである：
・Operational meetings involving law enforcement agencies from all participating countries to coordinate operational strategy and intelligence.	・参加国全ての法執行機関を巻き込んだ作戦会議の開催。作戦戦略と情報共有の調整を目的とした。
・Logistical support for the action days, assisting with operational arrangements and resources.	・行動日のための後方支援。作戦手配と資源確保の補助を行った。
・Deployment of dedicated case specialists and analysts to cross-check data, develop intelligence and ensure key insights were shared among partners.	・専任の事件専門家と分析官の展開。データの照合、情報開発、主要な知見のパートナー間共有を確実にした。
・Deployment of a cryptocurrency specialist to support efforts in identifying and seizing illicit cryptocurrency.	・暗号資産専門家の展開による、違法暗号資産の識別・押収支援
・Operational and crypto-analysis intelligence products, which provided crucial insights into the movement of illicit funds and the structure of the fraud network.	・作戦情報及び暗号分析情報製品による、違法資金の移動経路及び詐欺ネットワーク構造に関する重要知見の提供
Participating authorities	参加当局
・Belgium: Federal Judicial Police Limburg (Police Judiciaire Fédérale Limburg)	・ベルギー：連邦司法警察リンブルグ（Police Judiciaire Fédérale Limburg）
・Bulgaria: Bulgarian Cybercrime Directorate, General Directorate Combating Organized Crime	・ブルガリア：ブルガリアサイバー犯罪対策局、組織犯罪対策総局
・Cyprus: Cyprus Police	・キプロス：キプロス警察
・France: National Gendarmerie (Gendarmerie Nationale)	・フランス：国家憲兵隊（Gendarmerie Nationale）
・Germany: Bavarian Central Office for the Prosecution of Cybercrime, Police Headquarters Chemnitz (Polizeidirektion Chemnitz), Police Headquarters Görlitz (Polizeidirektion Görlitz), Criminal Investigation Department Würzburg, Police Headquarters Düsseldorf (and others)	・ドイツ：バイエルン州サイバー犯罪検察中央局、ケムニッツ警察本部（Polizeidirektion Chemnitz）、ゲルリッツ警察本部（Polizeidirektion Görlitz）、ヴュルツブルク刑事捜査部、デュッセルドルフ警察本部（その他）
・Israel: National Cybercrime Unit, Intelligence Division	・イスラエル：国家サイバー犯罪対策部、情報ディビジョン
・Malta: Malta Police	・マルタ：マルタ警察
・Spain: National Police (Policía Nacional), Spanish Regional Police of Catalonia-Mossos d'Esquadra (Mossos d'Esquadra)	・スペイン：国家警察（Policía Nacional）、カタルーニャ地方警察モッソス・デ・エスクアドラ（Mossos d'Esquadra）
Empact	エンパクト
The European Multidisciplinary Platform Against Criminal Threats (EMPACT) tackles the most important threats posed by organised and serious international crime affecting the EU. EMPACT strengthens intelligence, strategic and operational cooperation between national authorities, EU institutions and bodies, and international partners. EMPACT runs in four-year cycles focusing on common EU crime priorities.	欧州犯罪脅威対策多分野プラットフォーム（エンパクト）は、EUに影響を及ぼす組織的かつ重大な国際犯罪がもたらす最重要の脅威に対処する。エンパクトは、各国当局、EU機構・団体、国際パートナー間の情報、戦略的・運用上の連携を強化する。エンパクトは4年周期で運営され、EU共通の犯罪対策優先事項に焦点を当てる。

2025.12.06 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2025.12.03

フランス CNIL ソーシャルネットワークで子どもの写真や動画を共有すること：そのリスクとは (2025.11.28)

こんにちは、丸山満彦です。

CNILがソーシャルネットワークで子どもの写真や動画を共有することのリスクについて警告をだしていますね...

リスクについては、

・子どもの画像は悪意ある目的に利用される可能性がある

・画像を投稿すると、子どもの他の情報も漏れる可能性がある

・デジタルアイデンティティの構築は長期的に子供を気付ける可能性がある

と指摘しておりますね...

で、対策としては、

・共有する場合はソーシャルメディアではなく、インスタントメッセージ等を利用する

・公開前に子どもとその親の同意を得る

・写真や動画の共有を避け、子どもの顔を隠す

・アカウントのセキュリティ強化

などが記載されていますね...

● CNIL

・2025.11.28 Sharing photos and videos of your child on social networks: what risks

Sharing photos and videos of your child on social networks: what risks	ソーシャルネットワークで子どもの写真や動画を共有すること：そのリスクとは
Posting photos and videos of children on social networks (“sharenting”) raises the question of parental responsibility. It has consequences for their children's private lives. What are the risks and what are the best practices to adopt?	ソーシャルネットワークに子どもの写真や動画を投稿する行為（「シェアレンティング」）は、親の責任という問題を提起する。これは子どもの私生活に影響を及ぼす。そのリスクとは何か、そして取るべき最善の対策は何か？
53 % of French parents have shared content about their children on social networks.	フランス人の親の53％がソーシャルネットワークで子どもに関するコンテンツを共有したことがある。
Source : The French Observatory on parenting and digital education (Observatoire de la parentalité et de l'éducation numérique (OPEN)-POTLOC, 2023)	出典：フランス子育て・デジタル教育観測所（OPEN-POTLOC、2023年）
Sharing videos or photos of your children on social networks is not a harmless act and carries many risks.	ソーシャルネットワークで子どもの動画や写真を共有することは無害な行為ではなく、多くのリスクを伴う。
Generally speaking, the CNIL strongly advises against sharing photos or videos of your children or grandchildren on social networks, especially when your profile is public. If you still wish to do so, the CNIL suggests practical advice and guidance to follow so as to limit the risks.	一般的に、CNIL（フランス情報処理自由委員会）は、特に公開設定のプロフィールでは、子供や孫の写真・動画をSNSに共有しないよう強く勧告している。それでも共有したい場合、CNILはリスクを最小限に抑えるための実践的な助言と指針を示している。

About the video ‘Think before you post’ produced with the Data Protection Commission Ireland	アイルランドデータ保護委員会と共同制作した動画「投稿前に考えよう」について
An international survey on digital parenting, conducted in 2024 by the Global Privacy Assembly's Digital Education Working Group, highlighted the phenomenon of sharenting as an emerging issue that could affect children's rights and personal data. In light of this, the Data Protection Commission Ireland (DPC) and the CNIL wanted to raise parents' awareness of the consequences of these practices, which are becoming widespread and can undermine the privacy, autonomy and emotional well-being of minors.	2024年にグローバルプライバシーアセンブリのデジタル教育ワーキンググループが実施したデジタル子育てに関する国際調査では、シェアレンティング現象が子どもの権利や個人データに影響を及ぼす新たな問題として浮上した。これを受け、アイルランドデータ保護委員会（DPC）とCNILは、未成年者のプライバシー、自律性、精神的健康を損なう恐れのあるこうした行為が広まる中、親の意識向上を図ろうとした。
In this context, the video ‘Think before you post’ was co-designed by the two data protection authorities. It aims to illustrate in a concrete way the risks associated with parents sharing personal information, photographs or videos of their children online, and to encourage a more responsible use of digital technologies.	この文脈において、両データ保護当局は共同で動画『投稿前に考えよう』を制作した。これは、親が子供の個人データ・写真・動画をオンラインで共有することに伴うリスクを具体的に示し、デジタル技術の利用における責任ある行動を促すことを目的としている。
What are the risks of publishing your child's image on social networks?	ソーシャルネットワークに子供の画像を掲載するリスクとは？
True stories...	実例...
The CNIL regularly receives complaints, as herewith showcased:	CNILには定期的に苦情が寄せられている。以下に事例を示す：
・A child applied to the CNIL to have photographs, videos and voice recordings posted by his parents on a social network removed.	ある子供が、親がソーシャルネットワークに投稿した写真・動画・音声記録の削除をCNILに申請した。
・Parents drew the CNIL's attention to the difficulties they were experiencing in stopping the dissemination of photographs of their underage children's christenings.	親がCNILに、未成年の子供の洗礼式の写真拡散を止められない困難を訴えた。
The CNIL assists complainants in obtaining the removal of published images and videos.	CNILは、公開された画像や動画の削除を求める苦情申し立て者を支援する。
The image of your children can be misused for harmful purposes	子どもの画像は悪意ある目的に悪用される可能性がある
Videos and photos posted on social networks can be hijacked by ill-intended individuals. Some parents publish nude photos of their children (for example when they are playing in the bath): predators on the Internet hijack these photos to create fake profiles, share them with other strangers or distribute them on child pornography networks.	ソーシャルネットワークに投稿された動画や写真は、悪意のある人物に乗っ取られる恐れがある。一部の親は子どもの裸の写真（例えば風呂遊び中の写真）を公開するが、ネット上の犯罪者はこうした写真を乗っ取り、偽のプロフィールを作成したり、他の見知らぬ人と共有したり、児童ポルノネットワークで流通させたりする。
These ill-intended individuals can retrieve images without needing to be in your contacts, either because your profile is public, or because one of your contacts has shared them publicly or with other "friends".	こうした悪意のある人物は、あなたの連絡先リストにいない場合でも、あなたのプロフィールが公開されているか、あなたの連絡先の一人がそれらを公開または他の「友人」と共有したために、画像を取得できる。
Moreover, the development of AI systems facilitates the creation of deep-fakes, allowing, for example, to turn photographs of minors published on social networks into nude pictures of them. It consists of images, photographs and videos generated from various children’s content (included dressed), available online on social networks by example. This leads to increasing risks and dangers for children both online and offline.	さらに、AIシステムの発展はディープフェイクの作成を容易にし、例えばソーシャルネットワークに公開された未成年者の写真を、その人物の裸写真に変換することを可能にしている。これは、ソーシャルネットワーク上で入手可能な様々な子供向けコンテンツ（服を着ているものも含む）から生成された画像、写真、動画で構成される。これにより、オンライン上でもオフライン上でも、子供たちに対するリスクと危険が増大している。
Indeed, it can:	実際、これは以下を引き起こす可能性がある：
・Fuel school bullying and cyber-bullying;	・学校でのいじめやネットいじめを助長する；
・Intensify paedo-criminal practices. On this matter, the “Fondation pour l’enfance” (Foundation for Children) warns in particular about the development of new paedo-criminal contents related to AI use and the multiplication of paedophile content on the dark web, but also throughout publicly accessible web pages.	・小児性犯罪行為を助長する。この点について「子ども財団」は特に、AI利用に関連する新たな小児性犯罪コンテンツの増加や、ダークウェブだけでなく一般公開ページ全体における小児性愛コンテンツの拡散について警鐘を鳴らしている。
50% of children’s photos and videos shared on paedo-criminal forums have been initially published online by their own parents.	小児性犯罪フォーラムで共有される児童の写真・動画の50％は、当初その親自身によってオンラインに公開されたものである。
Source: Report by the Children's Foundation, Generative AI, the new weapon of paedophile crime, October 2024 (Rapport de la Fondation pour l’enfance, l’IA generative, nouvelle arme de la pédocriminalité, oct. 2024)	出典：子ども財団報告書『生成的AI、小児性犯罪の新たな武器』（2024年10月）
Publishing an image can reveal other information about your children	画像を投稿すると、子どもの他の情報が漏れる可能性がある
An image taken from a smartphone or camera contains data that can reveal a lot about your child.	スマートフォンやカメラで撮影した画像には、子どもに関する多くの情報を明らかにするデータが含まれている。
Photos and videos often contain information about the location and time at which the image was taken (thanks to the metadata of a photo or video, particularly GPS data). Images can also reveal valuable information about your children - such as their point of interests or the places they frequently attend, - which should not be placed in the hands of an ill-intended individuals.	写真や動画には、撮影場所や時刻の情報（特にGPSデータを含むメタデータ）が記録されていることが多い。画像からは、子供の興味の対象や頻繁に訪れる場所など、悪意ある人物の手に渡すべきでない貴重な情報も読み取れる。
Creating a digital identity can harm your children in the long term	デジタルアイデンティティの構築は長期的に子供を傷つける可能性がある
From a very early age, some children are given a "digital identity" potentially containing hundreds of photos that they will find difficult to delete once they grow up. According to a study conducted by the British agency OPINIUM and published in 2018, the parents of a 13-year-old child have already published an average of 1,300 photos of him or her on social networks.	幼い頃から、子供には何百枚もの写真を含む「デジタルアイデンティティ」が与えられ、成長後に削除するのが困難になる場合がある。英国の調査機関OPINIUMが2018年に発表した研究によると、13歳の子供の親は平均で既に1,300枚もの写真をSNSに公開している。
It is sometimes difficult to measure the extent and the consequences of the footprints left on our children for the future. What poses no problem today may seem unacceptable tomorrow. Always accessible, the photographs and videos shared by parents can prevent their children from their ability to develop their own image and identity. They can damage their online reputation (with the risk of cyber-bullying) and have a negative impact in the school setting, or on their personal and professional future.	子供たちの将来に残される足跡の規模や影響を測るのは時に困難だ。今日問題ないことが、明日には受け入れがたいものに見えるかもしれない。親が共有した写真や動画は常にアクセス可能であり、子供たちが自らのイメージやアイデンティティを育む能力を阻害する恐れがある。オンライン上の評判を損ない（ネットいじめのリスクを伴う）、学校環境や個人的・職業的な将来に悪影響を及ぼす可能性がある。
What are the best practices to apply?	では、どのような対策が有効か？
To ensure that your children are not exposed to the risks associated with "sharenting", the CNIL suggests practical advice and guidance to apply.	「シェアレンティング」に伴うリスクから子供を守るため、CNIL（フランス情報処理自由委員会）は実践的な助言と指針を示している。
Prioritise sharing by instant messaging, email or MMS	インスタントメッセージ、メール、MMSでの共有を優先する
Avoid sharing photos and videos of your child on social networks: prefer sharing via secure private instant messaging apps, some of which even have features that allow you to send ephemeral messages. Email or MMS (multimedia messaging service) should also be preferred.	ソーシャルネットワーク上での子供の写真・動画共有は避けるべきだ。代わりに、安全なプライベートのインスタントメッセージアプリを利用することを推奨する。中には一時的なメッセージ送信機能を備えたアプリもある。メールやMMS（マルチメディアメッセージングサービス）も同様に推奨される。
Don't share images of your child with all of your followers on social networks, when you can pass them on to your family and friends privately. Make sure to ask your friends and family not to share photos or videos of your child on social networks without your consent.	ソーシャルネットワークで全フォロワーに子どもの画像を共有せず、家族や友人に非公開で渡すようにする。友人や家族には、同意なしにソーシャルネットワークで子どもの写真や動画を共有しないよう必ず依頼すること。
Ask your child and the other parent for their consent before any publication.	公開前に子どもと相手の親の同意を得る。
Before publishing a photo or video of your child on social networks, it's important to talk to him or her and get his or her consent.	ソーシャルネットワークに子どもの写真や動画を投稿する前には、必ず本人に話し、同意を得る必要がある。
You must also seek the consent of the other parent. A number of court rulings have made it clear that publishing photographs of children, particularly on social networks, is a non-routine act that requires the consent of both parents.	さらに、相手の親の同意も得なければならない。複数の裁判所の判決が、特にソーシャルネットワーク上での子どもの写真公開は日常的な行為ではなく、両親双方の同意を必要とすることを明確にしている。
Children’s image right, a reinforced right by the law	子どもの肖像権、法律で強化された権利
The French law of February 19th, 2024 has reinforced the protection of children’s image right:	2024年2月19日のフランス法は子どもの肖像権保護を強化した：
・Parents must ensure that their child’s privacy is respected, including their right to their image. They involve the child in exercising their right to their image, depending on the child’s age and level of maturity.	・親は子どものプライバシー、特に肖像権が尊重されるよう確保しなければならない。子どもの年齢と成熟度に応じて、肖像権行使に子どもを関与させる。
・If the parents disagree, the judge of family affairs can prohibit one parent from publishing any pictures of their child without the other parent’s consent.	・親の間で意見が一致しない場合、家庭裁判所の裁判官は、一方の親が他方の親の同意なしに子どもの写真を公開することを禁止できる。
・If a parent’s sharing of their child’s image causes serious harms to the child’s dignity or moral integrity, a compulsory partial delegation of parental authority is instituted.	・親による子どもの画像共有が、子どもの尊厳や道徳的完全性に重大な危害をもたらす場合、親権の一部強制的な委任が実施される。
Avoid sharing certain photos and videos and hide your child's face	特定の写真や動画の共有を避け、子どもの顔を隠すこと
If you decide to publish photos and videos of your child, be selective.	子どもの写真や動画を公開する場合は、選択的に行うこと。
Avoid publishing certain photos and videos that involve your child's privacy (for example, a photo of your child in a swimming costume or in the bath).	子どものプライバシーに関わる特定の写真や動画（例：水着姿や入浴中の写真）の公開は避けること。
It is also recommended that you hide your child's face (by taking a photo of your child's back, or adding an emoji to his or her face, etc.) before posting.	投稿前に子どもの顔を隠す（後ろ姿の撮影や顔に絵文字を付けるなど）ことも推奨される。
Secure your accounts and reduce the visibility of your posts	アカウントのセキュリティ強化と投稿の可視性低下
Lock down your social network accounts by restricting the visibility of your posts to your subscribers to prevent unauthorized people from having access to photos or videos of your children.	ソーシャルネットワークアカウントをロックダウンし、投稿の閲覧を購読者だけに制限することで、許可されていない人物が子どもの写真や動画にアクセスするのを防ぐ。
For each social network, you can set up privacy settings on your account to limit the visibility of your posts.	各ソーシャルネットワークでは、アカウントのプライバシー設定を調整し、投稿の閲覧範囲を制限できる。
TikTok	TikTok
On smartphone	スマートフォンの場合
Click on the profile icon at the bottom right of the screen, on the menu at the top right, on "Settings and Privacy" and then on "Privacy".	画面右下のプロフィールアイコンをタップ→右上のメニュー→「設定とプライバシー」→「プライバシー」の順に選択。
You can then set your account to "private account".	アカウントを「非公開アカウント」に設定できる。
You can also activate the "Profile view history" option. To do so, go back on “Privacy” then select “publication views”	「プロフィール閲覧履歴」オプションも有効化できる。設定するには「プライバシー」に戻り、「投稿閲覧」を選択する。
On a computer	パソコンの場合
Click on “plus”	「プラス」をクリックする
Then press on the settings icon and then of privacy politic.	設定アイコンを押し、プライバシーポリシーを選択する
You can then set your account on private mode.	アカウントを非公開モードに設定できる。
The option “Profile view history” cannot be activated from a computer. To do so, you must go through the mobile app.	「プロフィール閲覧履歴」オプションはパソコンから有効化できない。有効化するにはモバイルアプリ経由で行う必要がある。
Instagram	Instagram
On smartphone	スマートフォンの場合
Go to your profile, then click on the menu at the top right, then on "Settings and Privacy" at the very top;	プロフィール画面へ移動し、右上のメニューをタップ。最上部の「設定とプライバシー」を選択。
Scroll down to "Who can see your content" and then "Account Privacy".	「コンテンツの閲覧範囲」までスクロールし、「アカウントのプライバシー」へ進む。
Tick the box next to "Private account";	「非公開アカウント」の横にあるチェックボックスにチェックを入れる。
Click on "Switch to a private account" to confirm.	「非公開アカウントに切り替える」をクリックして確定する。
On a computer	パソコンの場合
Access your profile, then go to "Options" in the top right-hand corner and click on "Settings and Privacy";	プロフィールにアクセスし、右上の「オプション」から「設定とプライバシー」をクリックする。
In the "Who can see your content" section, tick the box next to "Private account" and click "Switch to a private account" to confirm.	「コンテンツの閲覧権限」セクションで「非公開アカウント」の横のチェックボックスにチェックを入れ、「非公開アカウントに切り替える」をクリックして確定する。
Facebook	Facebook
On smartphone	スマートフォンの場合
Go to your profile, then click on the menu at the bottom right, then click on "Settings and Privacy", then "Settings" and go to "Audience and Visibility";	プロフィール画面から右下のメニューをタップし、「設定とプライバシー」→「設定」→「公開範囲とプライバシー」へ進む。
You can then, among other things:	その後、以下の操作が可能だ：
make your account private, by clicking on "followers and public content" and deactivating the "public" option;	「フォロワーと公開コンテンツ」をクリックし、「公開」オプションを無効化してアカウントを非公開にする；
manage who can see your "friends" or "me only" posts;	「友達」または「自分だけ」投稿の閲覧者を管理する；
deactivate the sharing of stories and real for people who follow you. If your account is public, everyone has access to your stories.	フォロワーへのストーリーとリアルタイム投稿の共有を無効化する。公開アカウントの場合、ストーリーは誰でも閲覧可能だ。
On a computer	パソコンの場合
Go to your profile, then click on your profile photo at the top right, then click on "Settings and Privacy", then "Settings" and go to "Privacy";	プロフィールページに移動し、右上のプロフィール写真をクリック。次に「設定とプライバシー」→「設定」→「プライバシー」の順に進む。
You can then, among other things:	以下の操作が可能だ：
manage who can see your future publications on "friends" or "me only";	今後の投稿を「友達」または「自分だけ」に限定する
limit the visibility of your past posts on your diary.	タイムライン上の過去の投稿の公開範囲を制限する
X	X
On smartphone	スマートフォンの場合
Tap on your profile photo, then on "Settings and Privacy" and then on "Privacy and Security".	プロフィール写真をタップし、「設定とプライバシー」→「プライバシーとセキュリティ」を選択する。
On a computer	パソコンの場合
Click on "More", on "Settings and Privacy" and then on "Privacy and security".	「その他」→「設定とプライバシー」→「プライバシーとセキュリティ」をクリックする。
In both cases, you can:	いずれの場合も以下の設定が可能だ：
protect your tweets, i.e. limit the visibility of your tweets to people who follow you;	ツイートを防御する（フォロワーのみに表示を制限）
adjust who can identify you in the photos;	写真でのタグ付けを識別できるユーザーを調整する
Sort through your subscribers and your uploaded photos and videos	購読者やアップロードした写真・動画を整理する
Sort out your followers on social networks frequently to avoid being followed by people you don't know.	ソーシャルネットワークのフォロワーは頻繁に整理し、知らない人にフォローされないようにする。
If possible, classify your subscribers into several categories (close friends, acquaintances, family, etc.): this way you can decide to share your children's photos or videos only with certain groups.	可能なら購読者をいくつかのカテゴリー（親しい友人、知人、家族など）に分類する。こうすれば子供の写真や動画を特定のグループだけに共有する選択ができる。
Help and guidance: on Instagram, you can create a group made up of your "close friends", so you don't have to share content about your children with all your followers.	ヘルプとガイダンス：Instagramでは「親しい友人」グループを作成できるため、子供に関するコンテンツを全フォロワーと共有する必要はない。
Regularly sort through your photos and videos shared on social networks: this will allow you to delete photos of your child that are no longer topical.	ソーシャルネットワークで共有した写真や動画を定期的に整理する：これにより、子供の成長が明らかになった写真を削除できる。
What rights do your children have?	子供にはどんな権利があるのか？
Since 1989 and the International Convention on the Rights of the Child, every minor has had the right to "preserve his or her identity, name and family relations". They must also be protected from "arbitrary or unlawful interference with his or her privacy" and "unlawful attacks on his or her honour and reputation".	1989年の「児童の権利に関する国際条約」以来、全ての未成年者は「自身の身分、氏名、家族関係を保持する権利」を有する。また「プライバシーへの恣意的または違法な干渉」や「名誉・信用に対する違法な侵害」から防御されねばならない。
The right to an image is a right created by Courts on the basis of the right to privacy under article 9 of the French Civil Code. The children’s image right must be protected by their parents (see as aforementioned).	肖像権は、フランス民法第9条に基づくプライバシー権を根拠に裁判所が認めた権利である。子どもの肖像権は親によって防御されなければならない（前述の通り）。
Children have the right to privacy and the right to their image.	子どもにはプライバシー権と肖像権がある。
Your children's photos and videos are personal data. Bear in mind that your children under 18 have digital rights over their data. They even benefit from enhanced protection.	子どもの写真や動画は個人データである。18歳未満の子どもには自身のデータに対するデジタル権利があることを認識せよ。彼らは強化された保護の対象となる。
In France, it is the parents (or legal representative) who, in principle, exercise the child’s rights, in particular:	フランスでは、原則として親（または代表者）が子どもの権利を行使する。具体的には：
・their right of access, which enables them to find out what data an organisation holds about the child;	・アクセス権：組織が子どもについて保有するデータの内容を確認する権利
・its right to rectification, i.e. the right to ask for certain inaccurate, outdated or incomplete information about the child to be corrected;	・訂正権：子どもに関する不正確・古くなった・不完全な情報の修正を求める権利
・its right to erasure, i.e. the possibility to request the deletion of the child's personal data;	・消去権、つまり子供の個人データの削除を要求する権利。
・their right to object, for refusing to allow some of the child’s personal data to be used by an organisation for a given purpose.	・異議申立権、つまり特定の目的で組織が子供の個人データを利用することを拒否する権利。
However, the CNIL believes that children should be able to exercise their own personal data rights on social networks directly. This ability to act autonomously does not override the parents' power to exercise those same rights on behalf of their child and to provide support during the process.	ただし、CNIL（フランス情報保護委員会）は、子供がソーシャルネットワーク上で自身の個人データ権利を直接行使できるべきだと考えている。この自律的な行動能力は、親が子の代わりに同じ権利を行使し、その過程で支援を提供する権限を無効にするものではない。
It should be noted that children can also take action against their parents if the latter fail to respect their rights. In 2018, a sixteen-year-old teenager brought a complaint against his mother for violating his privacy. The Rome Court (Italy) ordered the child's mother to stop posting photos of her son on social networks, on pain of a fine.	なお、親が子の権利を尊重しない場合、子は親に対して行動を起こすこともできる。2018年には、16歳の少年が母親のプライバシー侵害を理由に告訴した事例がある。ローマ裁判所（イタリア）は、罰金を科すことを条件に、母親に対しソーシャルネットワーク上での息子の写真投稿を停止するよう命じた。
Deleting photos or videos online	オンライン上の写真や動画の削除
If the photos or videos that you have published of your child on your social networks have been reused without your consent, you can exercise your children's rights on their behalf, in particular their right to deletion. In the same way, your children can request the deletion of photos or videos relating to them without your consent.	ソーシャルネットワークに投稿した子どもの写真や動画が、本人の同意なく再利用された場合、親は子どもの権利（特に削除権）を代行して行使できる。同様に、子供自身も親の同意なしに自身に関連する写真や動画の削除を要求できる。
The social network will then have to delete the personal data collected as part of its services as quickly as possible.	ソーシャルネットワークは、サービス提供中に収集した個人データを可能な限り速やかに削除しなければならない。
If no response nor no action is taken, you can:	対応や措置がなされない場合、以下の手段がある：
・contact the police or the appropriate officer if the photo or video puts the child in immediate danger;	・写真や動画が子供を差し迫った危険に晒す場合、警察または管轄官庁に連絡する。
・contact 3018 if the photo or video of your child is used for cyberbullying;	・子供の写真や動画がネットいじめに利用されている場合、3018（児童相談窓口）に連絡する。
・in cases where the social network fails to respond or refuses to take action, submit a complaint to the CNIL within one month of the date of the request, enclosing a copy of the steps taken with the site.	・ソーシャルネットワークが対応しない、または措置を拒否した場合、要請日から1ヶ月以内にCNIL（フランス情報保護委員会）に苦情を申し立て、サイトに対して行った手続きの写しを添付する。
・If the content is illicit (for example, if it is being misused for harmful purposes), report it on the platform Pharos.	・コンテンツが違法である場合（例えば有害な目的で悪用されている場合）、プラットフォーム「ファロス」で報告する。
Regulations to strengthen children’s protection online	オンライン上の子ども保護強化に関する規制
In France, legislators have already strengthened the protection of children online in response to specific issues such as the commercial exploitation of children’s ' images, cyber-bullying and the widespread use of parental controls or even the respect of children’s rights with regard to how their parents use them, as explained on the following website “Vie Publique”.	フランスでは、子どもの画像の商業的利用、ネットいじめ、ペアレンタルコントロールの普及、さらには親による子どもの権利尊重といった具体的な問題に対応し、立法府は既にオンライン上の子ども保護を強化している。詳細は「Vie Publique」ウェブサイトで説明されている。
Thus, the Digital Service Act (DGA), as outlined in the recently published guidelines, imposes new rules that social networks platforms must follow in order to reinforce the online protection of minors.	したがって、最近公表されたガイドラインで概説されているデジタルサービス法（DGA）は、未成年者のオンライン保護を強化するためにソーシャル・ネットワーキング・サービス・プラットフォームが従わなければならない新たな規則を課している。
Related articles	関連記事
・Protect your children's privacy booklet	・子どものプライバシーの防御パンフレット
・Content of the CNIL website on children’s digital rights	・CNILウェブサイト「子どものデジタル権利」コンテンツ
・Partnership with PEReN: the dangers of AI in relation with deep fakes - LINC	・PEReNとの連携：ディープフェイクに関連するAIの危険性 - LINC
External resources	外部リソース
・Resources from the Data Protection Commission of Ireland - Back-to-school photos: Keeping information about your child safe - DPC	・アイルランドデータ保護委員会リソース - 新学期写真：子どもの情報保護について - DPC
・2022 report by the Defender of Rights on "Privacy: a right for children" (in French)	・権利擁護者による2022年報告書「プライバシー：子どもの権利」（フランス語）
・2023 study by the Observatoire de la Parentalité et de l'Education numérique, entitled "Parents influenceurs" (in French)	・親育ちとデジタル教育監視機構による2023年研究「影響力を持つ親たち」（フランス語）
・2024 report by the Children's Foundation, Generative AI, the new weapon of paedophile crime	・2024年児童財団報告書「生成的AI、小児性犯罪の新たな武器」
Reference texts	参照文書
・Article 9 of the French Civil Code - Légifrance	・フランス民法第9条 - Légifrance
・Article 371-1 and 372-1 of the French Civil Code - Légifrance	・フランス民法第371-1条及び第372-1条 - Légifrance
・Article 21 of the law "Informatique et Libertés" - Légifrance	・情報処理及び自由に関する法律第21条 - Légifrance

2025.12.03 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド | Permalink | Comments (0)
Tweet

2025.12.01

中国国家サイバースペース管理局意見募集「大規模ネットワークプラットフォーム個人情報保護規定」(2025.11.22)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、「大規模ネットワークプラットフォーム個人情報保護規定」案について意見募集をしていますね...

中国のデジタル経済における主要なプレーヤーである大型プラットフォームに対し、大規模データ処理リスクへの対処、プラットフォーム経済の健全な発展と競争の促進、国家安全保障とデータ主権の確保を目的として、より厳格で具体的な個人情報保護の義務を課すことを考えているようです。

この法律案の対象となるのは、

・登録ユーザー数が5,000万人以上、または月間アクティブユーザー（MAU）が1,000万人以上

EUでいうところのゲートキーパーと同じ考え方だと思います。

この大規模ネットワークプラットフォームに対して、

・個人情報保護責任者（DPO？）の設置（資格要件、国籍条項あり）

・データローカライゼーション

・個人の権利利益行使への対応義務

・第三者機関による監査

などが義務付けられる想定ですね...

● 国家互联网信息办公室（国家サイバースペース管理局）

法令案...

・2025.11.22 国家互联网信息办公室、公安部关于《大型网络平台个人信息保护规定（征求意见稿）》公开征求意见的通知

国家互联网信息办公室、公安部关于《大型网络平台个人信息保护规定（征求意见稿）》公开征求意见的通知	国家サイバースペース管理局、公安部による「大規模ネットワークプラットフォーム個人情報保護規定（意見募集稿）」の公開意見募集に関する通知
为规范大型网络平台个人信息处理活动，保护个人信息合法权益，促进平台经济健康发展，根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规，国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定（征求意见稿）》，现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见：	大規模ネットワークプラットフォームにおける個人情報の処理活動を規範化し、個人情報の合法的権益を保護し、プラットフォーム経済の健全な発展を促進するため、「中華人民共和国個人情報保護法」「中華人民共和国データ安全法」「中華人民共和国サイバーセキュリティ法」「ネットワークデータ安全管理条例」等の法律・法規に基づき、国家サイバースペース管理局と公安部は「大規模ネットワークプラットフォーム個人情報保護規定（意見募集稿）」を起草した。ここに社会一般から意見を公募する。一般市民は以下の方法により意見を提出できる：
1.登录中国网信网（www.cac.gov.cn），进入首页“网信要闻”查看文稿。	1. 中国網信網（www.cac.gov.cn）にアクセスし、ホームページの「網信要聞」で文書を確認する。
2.登录公安部官网（www.mps.gov.cn），进入首页“调查征集”查看文稿。	2. 公安部公式サイト（www.mps.gov.cn）にアクセスし、ホームページの「調査・意見募集」で文書を確認する。
3.通过电子邮件方式发送至：shujuju@cac.gov.cn。	3. 電子メールでshujuju@cac.gov.cn宛に送付する。
4.通过信函方式将意见寄至：北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局，邮编100048，并在信封上注明“大型网络平台个人信息保护规定征求意见”。	4. 郵送による意見提出：北京市海淀区阜成路15号国家サイバースペース管理局ネットワークデータ管理局（郵便番号100048）宛て。封筒に「大規模ネットワークプラットフォーム個人情報保護規定意見募集」と明記すること。
意见反馈截止时间为2025年12月22日。	意見提出締切：2025年12月22日
附件：《大型网络平台个人信息保护规定（征求意见稿）》	添付資料：『大規模ネットワークプラットフォーム個人情報保護規定（意見募集稿）』
国家互联网信息办公室公安部	国家サイバースペース管理局　公安部
2025年11月22日	2025年11月22日
大型网络平台个人信息保护规定	大規模ネットワークプラットフォーム個人情報保護規定
（征求意见稿）	（意見募集稿）
第一条为规范大型网络平台个人信息处理活动，保护个人信息合法权益，促进个人信息依法合理利用，根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规，制定本规定。	第一条　大規模ネットワークプラットフォームにおける個人情報の処理活動を規範化し、個人情報の合法的権益を保護し、個人情報の法的かつ合理的な利用を促進するため、「中華人民共和国個人情報保護法」「中華人民共和国データ安全法」「中華人民共和国サイバーセキュリティ法」「ネットワークデータ安全管理条例」等の法律・法規に基づき、本規定を制定する。
第二条在中华人民共和国境内建设、运营的大型网络平台的个人信息保护，适用本规定。法律、行政法规另有规定的，从其规定。	第二条中華人民共和国国内で構築・運営される大規模ネットワークプラットフォームの個人情報保護には、本規定が適用される。法律・行政法規に別段の定めがある場合は、その規定に従う。
第三条国家网信部门会同国务院公安部门等有关部门制定发布大型网络平台目录并动态更新。	第三条国家インターネット情報弁公室は、国務院公安部門等の関係部門と共同で大規模ネットワークプラットフォームのリストを制定・公表し、随時更新する。
对大型网络平台的认定，主要考虑以下因素：	大規模ネットワークプラットフォームの認定には、主に以下の要素を考慮する：
（一）注册用户5000万以上或者月活跃用户1000万以上；	（一）登録ユーザー数が5000万人以上、または月間アクティブユーザー数が1000万人以上であること；
（二）提供重要网络服务或者经营范围涵盖多个类型业务；	（二）重要なネットワークサービスを提供しているか、または経営範囲が複数の業務類型に及んでいること。
（三）掌握处理的数据一旦被泄露、篡改、损毁，对国家安全、经济运行、国计民生等具有重要影响；	（三）処理するデータが漏洩、改ざん、毀損された場合、国家安全、経済運営、国民生活などに重大な影響を及ぼすこと。
（四）国家网信部门、国务院公安部门规定的其他情形。	（四）国家インターネット情報部門及び国務院公安部門が定めるその他の事情。
第四条提供大型网络平台服务的网络数据处理者（以下简称大型网络平台服务提供者）开展个人信息处理活动，应当遵循合法、正当、必要和诚信原则，遵守法律、法规，遵守社会公德和伦理，对所处理的个人信息安全承担主体责任，严格保护敏感个人信息和未成年人个人信息，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。	第四条大規模ネットワークプラットフォームサービスを提供するネットワークデータ処理者（以下「大規模ネットワークプラットフォームサービス提供者」という）は、個人情報処理活動を行うにあたり、合法・正当・必要・誠実の原則に従い、法律・法規を遵守し、社会道徳と倫理を順守しなければならない。処理する個人情報の安全に対し主体責任を負い、機微な個人情報及び未成年者の個人情報を厳格に保護し、社会的責任を負わなければならない。国家安全や公共の利益を害してはならず、個人や組織の合法的権益を損なってはならない。
第五条大型网络平台服务提供者应当按照法律法规有关规定指定个人信息保护负责人，并公开个人信息保护负责人的联系方式。	第五条大規模ネットワークプラットフォームサービス提供者は、法令の関連規定に基づき個人情報保護責任者を指定し、その連絡先を公開しなければならない。
个人信息保护负责人应当由大型网络平台服务提供者管理层成员担任，具有中华人民共和国国籍，无境外永久居留权或者长期居留许可，具备个人信息保护专业知识且从事相关工作5年以上。个人信息保护负责人可以由网络数据安全负责人兼任。	個人情報保護責任者は、大規模ネットワークプラットフォームサービス提供者の管理職が担当し、中華人民共和国の国籍を有し、国外の永住権または長期滞在許可を持たず、個人情報保護の専門知識を有し、かつ関連業務に5年以上従事している者でなければならない。個人情報保護責任者は、ネットワークデータセキュリティ責任者と兼任することができる。
个人信息保护负责人应当履行下列职责：	個人情報保護責任者は以下の職務を履行しなければならない：
（一）指导大型网络平台合规开展个人信息处理活动，落实国家网信部门、国务院公安部门和有关主管部门的个人信息保护监管要求，配合有关部门开展个人信息保护监督检查；	（一）大規模ネットワークプラットフォームが個人情報の処理活動をコンプライアンスに基づき実施するよう指導し、国家サイバー空間管理局、国務院公安部門及び関連主管部門の個人情報保護監督管理要求を履行させ、関係部門の個人情報保護監督検査に協力すること；
（二）参与大型网络平台个人信息处理事项相关决策，并对个人信息处理事项具有否决权；	（二）大規模ネットワークプラットフォームにおける個人情報処理事項に関する意思決定に参加し、個人情報処理事項に対して拒否権を行使する。
（三）负责对个人信息处理活动以及采取的保护措施等进行监督，发现大型网络平台个人信息处理活动存在较大安全风险或者存在违法违规情形的，应当立即采取措施，并向国家网信部门和有关主管部门报告，涉嫌违法犯罪的应当向公安机关报案；	（三）個人情報処理活動及び講じられた保護措置等を監督する責任を負い、大規模ネットワークプラットフォームの個人情報処理活動に重大な安全リスクまたは法令違反の疑いがあることを発見した場合は、直ちに措置を講じるとともに国家サイバー空間管理局及び関係主管部門に報告し、犯罪の疑いがある場合は公安機関に通報する。
（四）组织制定专门的未成年人个人信息处理规则。	（四）未成年者の個人情報処理に関する専門的な規則を策定する。
个人信息保护负责人可以直接向国家网信部门、有关主管部门报告大型网络平台服务提供者的个人信息保护有关情况。	個人情報保護責任者は、国家インターネット情報部門及び関係主管部門に対し、大規模ネットワークプラットフォームサービス提供者の個人情報保護に関する状況を直接報告することができる。
第六条大型网络平台服务提供者应当明确个人信息保护工作机构，在个人信息保护负责人领导下开展个人信息保护相关工作，包括但不限于：	第六条大規模ネットワークプラットフォームサービス提供者は、個人情報保護業務機関を明確に定め、個人情報保護責任者の指導の下で個人情報保護関連業務を実施しなければならない。これには以下が含まれるが、これらに限定されない：
（一）制定实施内部个人信息保护管理制度、操作规程以及个人信息安全事件应急预案，合理确定个人信息处理的操作权限，对大型网络平台的个人信息处理活动进行安全管理；	（一）内部個人情報保護管理制度、操作手順及び個人情報セキュリティインシデント対応計画を策定・実施し、個人情報処理の操作権限を合理的に設定し、大規模ネットワークプラットフォームの個人情報処理活動に対するセキュリティ管理を実施すること；
（二）组织开展个人信息安全风险监测、风险评估、合规审计、影响评估、应急演练、宣传教育培训等活动，及时处置个人信息安全风险和事件；	（二）個人情報セキュリティリスクの監視、リスクアセスメント、コンプライアンス監査、影響評価、緊急訓練、啓発教育・研修等の活動を組織的に実施し、個人情報セキュリティリスク及びインシデントを適時に対処すること。
（三）明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务，并对其个人信息处理活动和履行个人信息保护义务情况进行监督；	（三）プラットフォーム内の製品またはサービス提供者が個人情報を処理する際の規範及び個人情報保護義務を明確化し、その個人情報処理活動及び個人情報保護義務履行状況を監督すること。
（四）明确专人负责未成年人个人信息保护工作；	（四）未成年者の個人情報保護業務を担当する専任者を明確にすること。
（五）受理并处理个人信息保护投诉、举报；	（五）個人情報保護に関する苦情・通報を受け付け処理すること。
（六）每年编制发布大型网络平台服务提供者个人信息保护社会责任报告。	（六）毎年、大規模ネットワークプラットフォームサービス提供者の個人情報保護に関する社会的責任報告書を作成し公表すること。
鼓励大型网络平台服务提供者设立专门的个人信息保护工作机构。	大規模ネットワークプラットフォームサービス提供者は、専用の個人情報保護業務機関を設置することを推奨する。
第七条大型网络平台服务提供者应当为个人信息保护负责人、个人信息保护工作机构履行职责提供必要支持。	第七条大規模ネットワークプラットフォームサービス提供者は、個人情報保護責任者及び個人情報保護業務機関が職責を履行するために必要な支援を提供しなければならない。
第八条大型网络平台服务提供者应当及时向国家网信部门报送下列信息：	第八条大規模ネットワークプラットフォームサービス提供者は、国家インターネット情報部門に対し、以下の情報を速やかに報告しなければならない：
（一）个人信息保护负责人基本信息；	（一）個人情報保護責任者の基本情報；
（二）个人信息保护工作机构基本信息；	（二）個人情報保護業務機関の基本情報；
（三）保障个人信息保护负责人和个人信息保护工作机构履职的措施。	（三）個人情報保護責任者及び個人情報保護業務機関の職務遂行を保障する措置。
个人信息保护负责人、个人信息保护工作机构等发生变化的，大型网络平台服务提供者应当在20个工作日内报送变更信息。	個人情報保護責任者、個人情報保護業務機関等に変更が生じた場合、大規模ネットワークプラットフォームサービス提供者は20営業日以内に変更情報を報告しなければならない。
国家网信部门将大型网络平台服务提供者信息向国务院公安部门和有关主管部门共享。	国家インターネット情報部門は、大規模ネットワークプラットフォームサービス提供者の情報を国務院公安部門及び関係主管部門と共有する。
第九条大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在境内。确需向境外提供的，应当符合国家数据出境安全管理有关规定。	第九条大規模ネットワークプラットフォームサービス提供者は、中華人民共和国国内での運営において収集・生成した個人情報を国内に保存しなければならない。国外への提供がどうしても必要な場合は、国家のデータ越境に関する安全管理規定に適合しなければならない。
大型网络平台服务提供者应当按照国家有关规定，健全个人信息出境安全相关技术和管理措施，及时防范、处置个人信息违法违规出境安全风险和威胁。	大規模ネットワークプラットフォームサービス提供者は、国家の関連規定に基づき、個人情報の国外提供に関する安全技術及び管理措置を整備し、個人情報の違法・違規な個人情報越境に伴う安全リスク及び脅威を適時に防止・対処しなければならない。
第十条大型网络平台服务提供者应当将在中华人民共和国境内运营中收集和产生的个人信息存储在符合下列条件的数据中心：	第十条　大規模ネットワークプラットフォームサービス提供者は、中華人民共和国国内での運営において収集・生成した個人情報を、以下の条件を満たすデータセンターに保存しなければならない：
（一）设立在中华人民共和国境内；	（一）中華人民共和国国内に設置されていること
（二）主要负责人具有中华人民共和国国籍，无境外永久居留权或者长期居留许可；	（二）主要責任者が中華人民共和国の国籍を有し、国外の永住権または長期滞在許可を有していないこと
（三）安全性符合国家有关标准要求。	（三）安全性が国家の関連標準要求を満たしていること
第十一条数据中心应当协助大型网络平台服务提供者履行个人信息保护义务，包括但不限于：	第十一条　データセンターは、大規模ネットワークプラットフォームサービス提供者が個人情報の保護義務を履行することを支援しなければならない。これには以下が含まれるが、これらに限定されない：
（一）建立健全内部个人信息管理制度和操作规程；	（一）内部の個人情報管理制度及び操作手順を確立し、整備すること。
（二）发现系统、网络产品和服务等存在影响大型网络平台服务提供者履行个人信息保护义务的安全缺陷、漏洞等风险的，应当立即采取补救措施，按照规定向有关主管部门报告，并通报大型网络平台服务提供者个人信息保护负责人；	（二）システム、ネットワーク製品及びサービス等に、大規模ネットワークプラットフォームサービス提供者の個人情報保護義務履行に影響を及ぼすセキュリティ上の欠陥、脆弱性等のリスクを発見した場合、直ちに是正措置を講じ、規定に従い関係主管部門に報告するとともに、大規模ネットワークプラットフォームサービス提供者の個人情報保護責任者に通知すること。
（三）发生个人信息安全事件时，应当立即通报大型网络平台服务提供者个人信息保护负责人，及时启动应急处置预案，采取措施防止危害扩大，消除安全隐患，并按照规定向国家网信部门、有关主管部门报告；	（三）個人情報セキュリティインシデントが発生した場合、直ちに大規模ネットワークプラットフォームサービス提供者の個人情報保護責任者に通報し、緊急対応計画を速やかに起動し、被害拡大防止措置を講じ、安全上の隠れた危険を除去するとともに、規定に基づき国家インターネット情報部門及び関係主管部門に報告すること。
（四）及时执行国家网信部门、国务院公安部门和有关主管部门个人信息安全保护有关要求。	（四）国家インターネット情報部門、国務院公安部門及び関係主管部門の個人情報セキュリティ保護に関する要求を速やかに実行すること。
第十二条大型网络平台服务提供者委托符合本规定第十条要求的第三方数据中心存储个人信息的，应当与其签订合同，约定存储地点、规模、种类等，明确履行本规定第十一条安全要求和下列职责：	第十二条大規模ネットワークプラットフォームサービス提供者が本規定第十条の要件を満たす第三者データセンターに個人情報の保管を委託する場合、保管場所・規模・種類等を定めた契約を締結し、本規定第十一条の安全要件及び以下の責務を明確に履行しなければならない：
（一）严格依照法律法规的规定和合同约定，履行个人信息保护义务，提供安全、稳定、持续的服务，并接受大型网络平台服务提供者个人信息保护负责人、个人信息保护监督委员会等的监督；	（一）法令及び契約の規定に厳格に従い、個人情報保護義務を履行し、安全・安定・継続的なサービスを提供するとともに、大規模ネットワークプラットフォームサービス提供者の個人情報保護責任者・個人情報保護監督委員会等の監督を受けること；
（二）为大型网络平台服务提供者处理个人信息提供便利措施；	（二）大規模ネットワークプラットフォームサービス提供者の個人情報処理に対し、便宜を図る措置を講じること。
（三）协助大型网络平台服务提供者对个人信息处理活动进行安全管理。	（三）大規模ネットワークプラットフォームサービス提供者の個人情報処理活動に対する安全管理を支援すること。
第十三条大型网络平台服务提供者应当向国家网信部门等有关部门报送存储个人信息的数据中心的基本信息，包括管理团队和管理架构、内部个人信息保护管理制度、采取的安全措施、与第三方数据中心签署的合同文本等。上述信息发生变化的，应当自变化之日起10个工作日内报送变更信息。	第十三条大規模ネットワークプラットフォームサービス提供者は、個人情報を保管するデータセンターの基礎情報（管理チーム及び管理体制、内部個人情報保護管理制度、講じた安全措置、第三者データセンターと締結した契約書など）を国家サイバー空間管理局等の関係部門に報告しなければならない。上記の情報に変更が生じた場合は、変更発生日から10営業日以内に変更情報を報告しなければならない。
第十四条大型网络平台服务提供者应当为个人行使查阅、复制、更正、补充、删除、限制处理其个人信息，或者注销账号、撤回同意等权利提供便捷的方法和途径。	第十四条大規模ネットワークプラットフォームサービス提供者は、個人が自身の個人情報の閲覧、複製、訂正、補充、削除、処理制限、アカウント削除、同意撤回等の権利を行使するために、簡便な方法と手段を提供しなければならない。
个人请求将其个人信息转移至其指定的个人信息处理者的，大型网络平台服务提供者应当在接到个人请求后30个工作日内将个人信息通过通用、机器可读的格式进行转移，并以邮件、电话、短信等方式告知个人处理结果，不符合法律、行政法规规定条件的，应当向个人说明原因。因请求数量、操作复杂等原因需要延长处理期限的，应当向个人说明延期原因，可以在合理、必要的情况下再延长30个工作日。法律、行政法规、部门规章另有规定的，从其规定。	個人が自身の個人情報を指定した個人情報処理者へ移転するよう請求した場合、大規模ネットワークプラットフォームサービス提供者は、個人からの請求を受けてから30営業日以内に、個人情報を汎用的で機械可読の形式で移転し、メール、電話、SMS等の方法で個人に処理結果を通知しなければならない。法律・行政法規の規定条件に合致しない場合は、個人に理由を説明しなければならない。請求件数や操作の複雑さ等の理由により処理期間の延長が必要な場合、個人に延期理由を説明し、合理的かつ必要な場合に限りさらに30営業日を延長できる。法律・行政法規・部門規則に別段の定めがある場合は、その規定に従う。
支持大型网络平台服务提供者通过应用程序接口或者其他标准化技术方式提供转移途径，采取身份验证、加密传输等安全措施保障个人信息转移安全。	大規模ネットワークプラットフォームサービス提供者は、アプリケーションプログラミングインターフェース（API）その他の標準技術手段による移転経路の提供を支援し、本人確認・暗号化伝送等の安全措置を講じて個人情報の移転安全を確保する。
个人重复转移个人信息的，大型网络平台服务提供者可以根据转移个人信息的成本收取必要费用。	個人が個人情報を重複して移転する場合、大規模ネットワークプラットフォームサービス提供者は移転コストに基づき必要な費用を徴収できる。
第十五条大型网络平台服务提供者应当按照国家有关规定自行或者委托第三方专业机构开展个人信息保护合规审计、风险评估等活动，并对发现的问题进行整改。鼓励大型网络平台服务提供者优先选择通过认证的第三方专业机构。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。	第十五条大規模ネットワークプラットフォームサービス提供者は、国家の関連規定に基づき自らまたは第三者専門機関に委託して個人情報保護コンプライアンス監査、リスクアセスメント等の活動を実施し、発見された問題について是正措置を講じなければならない。大規模ネットワークプラットフォームサービス提供者は認証を受けた第三者専門機関を優先的に選択することが推奨される。専門機関の認証は「中華人民共和国認証認可条例」の関連規定に従って実施する。
第十六条受大型网络平台服务提供者委托开展个人信息保护合规审计、风险评估等活动的第三方专业机构，应当注册在中华人民共和国境内，发现大型网络平台服务提供者的个人信息处理活动存在较大安全风险或者存在违法违规情形的，可以直接向国家网信部门和有关主管部门报告；涉嫌违法犯罪的应当向公安机关报案。	第十六条大規模ネットワークプラットフォームサービス提供者から委託を受けて個人情報保護コンプライアンス監査、リスクアセスメント等の活動を実施する第三者専門機関は、中華人民共和国国内に登録されているものとする。大規模ネットワークプラットフォームサービス提供者の個人情報処理活動に重大な安全リスクまたは法令違反が認められた場合、直接国家インターネット情報部門及び関係主管部門に報告できる。犯罪の疑いがある場合は公安機関に通報しなければならない。
第十七条大型网络平台服务提供者有以下情形之一的，国家网信部门、国务院公安部门和有关主管部门可以要求其委托第三方专业机构对其个人信息处理活动开展合规审计、风险评估等活动：	第十七条大規模ネットワークプラットフォームサービス提供者が以下のいずれかに該当する場合、国家インターネット情報部門、国務院公安部門及び関係主管部門は、当該提供者に対し、第三者専門機関に委託して個人情報の処理活動に関するコンプライアンス監査、リスクアセスメント等の活動を実施するよう要求することができる：
（一）个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等情形的；	（一）個人情報の処理活動が個人の権益に重大な影響を及ぼす場合、または安全対策が著しく欠如している場合
（二）多次出现个人信息违规出境等违法违规情形的；	（二）個人情報の違法な個人情報越境等の法令違反が繰り返し発生している場合
（三）个人信息处理活动可能侵害众多个人权益的；	（三）個人情報の処理活動が多数の個人の権益を侵害するおそれがある場合
（四）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的；	（四）個人情報セキュリティインシデントが発生し、100万人以上の個人情報または10万人以上の機微な個人情報が漏洩、改ざん、紛失、毀損した場合。
（五）法律法规和有关主管部门规定的其他情形。	（五）法令及び関係主管部門が定めるその他の場合。
大型网络平台服务提供者应当配合第三方专业机构履行职责，为第三方专业机构开展工作提供必要保障，包括为第三方专业机构指定人员提供必要的访问大型网络平台网络数据设施、系统及操作日志记录权限等。	大規模ネットワークプラットフォームサービス提供者は、第三者専門機関の職務遂行に協力し、その業務実施に必要な保障を提供しなければならない。これには、第三者専門機関が指定した者に対し、大規模ネットワークプラットフォームのネットワークデータ施設、システム及び操作ログ記録への必要なアクセス権限などを付与することが含まれる。
发现大型网络平台服务提供者无能力保障个人信息安全的，国家网信部门、国务院公安部门和有关主管部门可以要求大型网络平台服务提供者通过签订合同等方式将个人信息存储在符合本规定要求的第三方数据中心。	大規模ネットワークプラットフォームサービス提供者が個人情報の安全を保障する能力を有しないと認められた場合、国家インターネット情報部門、国務院公安部門及び関係主管部門は、当該提供者に対し、契約締結等の方法により、本規定の要求を満たす第三者データセンターへの個人情報の保管を求めることができる。
第十八条鼓励大型网络平台服务提供者应用国家网络身份认证公共服务、使用数据标签标识技术、通过个人信息保护认证等，提高个人信息保护水平。	第十八条大規模ネットワークプラットフォームサービス提供者は、国家ネットワーク身分認証公共サービスの利用、データタグ識別技術の使用、個人情報保護認証の取得等を通じて、個人情報保護水準の向上を図るよう奨励される。
第十九条鼓励大型网络平台服务提供者开展个人信息保护相关技术、产品、服务创新，积极参与个人信息保护相关国际标准和规则制定，推动与其他国家、地区之间的个人信息保护规则、标准协调互认。	第十九条大規模ネットワークプラットフォームサービス提供者は、個人情報保護関連の技術・製品・サービスの革新を推進し、個人情報保護関連の国際標準・規則策定に積極的に参加し、他国・地域との個人情報保護規則・標準の相互認証を促進することが推奨される。
第二十条任何组织和个人有权对大型网络平台服务提供者、第三方数据中心违反本规定的活动，向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当在15个工作日内依法处理，并将处理结果告知投诉、举报人。	第二十条いかなる組織・個人も、大規模ネットワークプラットフォームサービス提供者や第三者データセンターが本規定に違反する行為について、個人情報保護職責を履行する部門に苦情・通報する権利を有する。苦情・通報を受けた部門は、15営業日以内に法に基づき処理し、その結果を通報者に通知しなければならない。
履行个人信息保护职责的部门应当加强信息共享，协同开展相关工作。	個人情報保護の職責を履行する部門は、情報共有を強化し、関連業務を連携して実施しなければならない。
第二十一条网信部门、公安机关和有关主管部门发现大型网络平台服务提供者、第三方专业机构或者数据中心未履行个人信息保护责任的，依法追究责任；构成犯罪的，依法追究刑事责任。	第二十一条ネット情報部門、公安機関及び関係主管部門は、大規模ネットワークプラットフォームサービス提供者、第三者専門機関又はデータセンターが個人情報保護責任を履行していないことを発見した場合、法に基づき責任を追及する。犯罪を構成する場合は、刑事責任を追及する。
第二十二条国家网信部门、国务院公安部门和有关主管部门、第三方数据中心、第三方专业机构的工作人员应当对工作过程中知悉的个人隐私、个人信息、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供。	第二十二条国家網信部門、国務院公安部門及び関係主管部門、第三者データセンター、第三者専門機関の職員は、業務過程で知り得た個人のプライバシー、個人情報、営業秘密、機密商業情報等について、法律に基づき秘密を保持し、漏洩または不法に他人に提供してはならない。
第二十三条开展涉及国家秘密、工作秘密的个人信息处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。	第二十三条国家機密、業務秘密に関わる個人情報の処理活動を行う場合、『中華人民共和国国家機密保護法』等の法律・行政法規の規定を適用する。
大型网络平台应当落实网络安全等级保护有关要求，属于关键信息基础设施的大型网络平台，还应当遵守国家关于关键信息基础设施安全的有关规定。	大規模ネットワークプラットフォームは、サイバーセキュリティ等級保護に関する要求を履行しなければならない。重要情報インフラに属する大規模ネットワークプラットフォームは、国家の重要情報インフラセキュリティに関する規定にも従わなければならない。
第二十四条本规定自X年X月X日起施行。	第二十四条本規定はX年X月X日より施行する。

解説...

・2025.11.24 专家解读｜新形势下完善大型网络平台个人信息保护的重要举措

专家解读｜新形势下完善大型网络平台个人信息保护的重要举措	専門家解説｜新たな情勢下における大規模ネットワークプラットフォーム個人情報保護の重要施策
日前，国家网信办、公安部联合起草的《大型网络平台个人信息保护规定（征求意见稿）》（以下简称《征求意见稿》）公开征求意见。《征求意见稿》立足新形势新挑战，围绕平台内部治理、数据处理规范、用户权益保障等方面进行精细化制度设计，提出了一系列具有针对性和前瞻性的举措，对于规范大型网络平台数据处理活动、推动平台经济创新和健康发展、完善公民个人信息保护制度体系具有重要意义。	このほど、国家インターネット情報弁公室と公安部が共同で起草した「大規模ネットワークプラットフォーム個人情報保護規定（意見募集稿）」（以下「意見募集稿」という）が意見募集を開始した。『意見募集稿』は新たな情勢と課題を踏まえ、プラットフォーム内部ガバナンス、データ処理規範、ユーザー権益保障などの面において精緻な制度設計を行い、一連の的を射た先見性のある措置を提案している。これは大規模ネットワークプラットフォームのデータ処理活動を規範化し、プラットフォーム経済の革新と健全な発展を推進し、公民個人情報保護制度体系を整備する上で重要な意義を持つ。
一、新形势下完善大型网络平台个人信息保护的重要意义	一、新たな情勢下における大規模ネットワークプラットフォーム個人情報保護の重要性
（一）落实党的二十届四中全会精神的重要举措	（一）党第20期中央委員会第4回全体会議精神の重要な措置
中国共产党第二十届中央委员会第四次全体会议通过的《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》中明确提出，完善监管，推动平台经济创新和健康发展；深化网络空间安全综合治理，加强个人信息保护。大型网络平台是平台经济的核心载体，也是个人信息保护的重点领域。在此背景下，《征求意见稿》正是贯彻落实党中央决策部署、回应新阶段发展需求的重要举措，为实现规范与发展并重、安全与创新协同提供了关键的制度保障，意义重大而深远。	中国共産党第20期中央委員会第4回全体会議で採択された『国民経済・社会発展第15次五カ年計画策定に関する中共中央の提案』は、監督管理の改善によるプラットフォーム経済の革新的かつ健全な発展の推進、サイバー空間安全の総合的ガバナンス深化、個人情報保護の強化を明確に打ち出している。大規模ネットワークプラットフォームはプラットフォーム経済の中核的担い手であり、個人情報保護の重点領域でもある。こうした背景のもと、本意見募集稿は党中央の政策決定を貫徹し、新たな段階の発展ニーズに応える重要な措置であり、規範と発展の両立、安全と革新の協調を実現するための重要な制度的保証を提供するものであり、その意義は極めて重大かつ深遠である。
（二）配套实施个人信息相关立法的必要举措	（二）個人情報関連立法を補完する実施措置の必要性
《个人信息保护法》《网络数据安全管理条例》确立了大型网络平台个人信息保护制度框架。大型网络平台具有用户规模巨大、业务模式复杂、数据处理海量和社会影响力强等显著特征。在实践中，如何将个人信息相关立法的一般性规定精准应用于大型网络平台的复杂场景，亟需更具针对性和可操作性的实施细则。《征求意见稿》对《个人信息保护法》与《网络数据安全管理条例》相关制度进行了深化、细化和补充，填补了个人信息保护领域一般性法律与平台实践之间的操作空白，特别对个人信息可携带权等内容作出了具体的操作指引，是确保个人信息相关立法在大型平台这一关键领域得到全面、深入贯彻执行的必要举措。	『個人情報保護法』『ネットワークデータ安全管理条例』は、大規模ネットワークプラットフォームにおける個人情報保護制度の枠組みを確立した。大規模ネットワークプラットフォームは、ユーザー規模が巨大、ビジネスモデルが複雑、データ処理量が膨大、社会的影響力が強いといった顕著な特徴を有する。実践において、個人情報関連立法の一般的規定を大規模ネットワークプラットフォームの複雑な状況に如何に正確に適用するかについては、より対象性と操作性を備えた実施細則が急務である。『意見募集稿』は『個人情報保護法』と『ネットワークデータ安全管理条例』の関連制度を深化・細分化・補完し、個人情報保護分野における一般法とプラットフォーム実践の間の操作上の空白を埋めた。特に個人情報のポータビリティ権などについて具体的な操作指針を示しており、個人情報関連立法が大規模プラットフォームという重要分野で全面的かつ深く貫徹・執行されるための必要措置である。
（三）推动平台经济健康发展与个人数据规范流动的有力支撑	（三）プラットフォーム経済の健全な発展と個人データの規範的流動を推進する強力な支え
数据要素是平台经济的核心引擎，大型网络平台是海量数据处理的关键枢纽，个人信息在平台间的规范、高效流动，是激发数据要素价值、发展新质生产力的重要基础。《征求意见稿》有利于打击部分大型网络平台对个人信息的违规处理，保障用户权益。通过划定清晰的合规底线和行为规范，消除不确定性，引导大型网络平台规范开展数据处理活动，有利于构建安全可信的数据处理与流动环境、赋能平台经济高质量发展。	データ要素はプラットフォーム経済の中核エンジンであり、大規模ネットワークプラットフォームは膨大なデータ処理の重要なハブである。プラットフォーム間における個人情報の規範的かつ効率的な流動は、データ要素の価値を引き出し、新たな生産力を発展させる重要な基盤である。『意見募集稿』は、一部の大規模ネットワークプラットフォームによる個人情報の違法処理を抑制し、ユーザーの権益を保護するのに有益である。明確なコンプライアンスの基準と行動規範を設定することで不確実性を排除し、大規模ネットワークプラットフォームがデータ処理活動を規範的に実施するよう導くことで、安全で信頼できるデータ処理・流通環境の構築と、プラットフォーム経済の高品質な発展の促進に寄与する。
二、大型网络平台个人信息保护制度的重要创新	二、大規模ネットワークプラットフォーム個人情報保護制度の重要な革新
（一）创新大型网络平台目录管理机制	（一）大規模ネットワークプラットフォーム目録管理メカニズムの革新
《征求意见稿》在细化大型网络平台范畴的基础上，通过制定目录清单，增强对境内建设、运营的大型网络平台管理的透明度和可预期性。《征求意见稿》细化了《网络数据安全管理条例》中对于大型网络平台的定义，明确“业务类型复杂”是指经营重要网络服务或经营范围涵盖多个类型业务，同时要求其掌握的数据一旦被泄露、篡改、毁损将对国家安全、经济运行、国计民生造成重大影响。此外，《征求意见稿》也包括了由国家网信部门和公安机关规定的其他情形，确保监管覆盖的全面性。《征求意见稿》拟建立的目录管理机制，可以让监管机关和监管对象更清晰地识别规定的适用对象，最大程度地解决了大型网络平台界定上的确定性，同时也可以通过目录动态更新，及时回应平台经济发展中的新情况。	『意見募集稿』は大規模ネットワークプラットフォームの範囲を細分化した上で、目録リストを策定することで、国内で構築・運営される大規模ネットワークプラットフォーム管理の透明性と予測可能性を高める。意見募集稿は『ネットワークデータ安全管理条例』における大規模ネットワークプラットフォームの定義を具体化し、「業務タイプが複雑」とは重要なネットワークサービスを営むか、または営業範囲が複数の業務タイプを包含することを指すと明確化している。同時に、当該プラットフォームが掌握するデータが漏洩、改ざん、毀損された場合、国家安全保障、経済運営、国民経済と民生に重大な影響を及ぼすことを要求している。さらに、意見募集稿には国家サイバー空間管理局及び公安機関が定めるその他の状況も含まれており、監督対象の包括性を確保している。意見募集稿が構築を目指すリスト管理メカニズムは、監督機関と監督対象が規定の適用対象をより明確に識別できるようにし、大規模ネットワークプラットフォームの定義における不確実性を最大限に解消すると同時に、リストの動的更新を通じてプラットフォーム経済発展における新たな状況にタイムリーに対応できる。
（二）健全大型网络平台内部治理架构	（二）大規模ネットワークプラットフォームの内部ガバナンス構造の健全化
《征求意见稿》的核心举措之一，是明确要求大型网络平台建立并落实个人信息保护负责人制度，着力完善大型网络平台的内部治理架构。	意見募集稿の中核的措置の一つは、大規模ネットワークプラットフォームに対し個人情報保護責任者制度の確立と実施を明確に要求し、同プラットフォームの内部ガバナンス体制の整備に注力することである。
一是严格限定了负责人的资质和权威性。《征求意见稿》要求负责人必须由管理层成员担任，且必须是中国国籍，无境外永久居留权或长期居留许可，并具备五年以上相关经验。为降低企业合规成本，允许数据安全负责人兼任。	第一に、責任者の資格と権限を厳格に限定した。意見募集稿は責任者が管理職メンバーが務め、かつ中国国籍を有し、海外の永住権や長期滞在許可を持たず、5年以上の関連経験を有することを要求する。企業のコンプライアンスコスト削減のため、データセキュリティ責任者の兼任を認める。
二是赋予负责人实质性的决策权与监督权。《征求意见稿》明确个人信息保护负责人有权参与个人信息处理相关决策并享有否决权，同时承担指导合规、配合检查，以及发现违法犯罪行为时向监管部门和公安机关报告的法定职责。	第二に、責任者に実質的な意思決定権と監督権を付与している。意見募集稿は、個人情報保護責任者が個人情報の処理に関する意思決定に参加し拒否権を行使できることを明確化するとともに、コンプライアンス指導、検査協力、違法行為発見時の監督部門及び公安機関への報告といった法定職責を課している。
三是强调体系化保障。《征求意见稿》要求平台配备专门团队，协助负责人开展规则制定、权限管理、监测审计、应急演练和未成年人保护等工作。负责人的相关信息须统一报国家网信部门，再由国家网信部门向公安机关等部门共享，形成高效协同的监管闭环。	第三に、体系的な保障を強調している。意見募集稿は、プラットフォームが専門チームを設置し、責任者が規則制定、権限管理、監視監査、緊急訓練、未成年者保護などの業務を遂行するのを支援するよう求めている。責任者の関連情報は国家サイバー空間管理局に一括報告され、同局から公安機関などの部門に共有されることで、効率的な連携による監督管理の閉ループを形成する。
（三）完善大型网络平台治理与审计机制	（三）大規模ネットワークプラットフォームのガバナンスと監査メカニズムの整備
《征求意见稿》着眼于数据流转的全链条安全，建立了一套严格的闭环治理机制。	意見募集稿はデータ流通の全プロセスにおける安全性に着目し、厳格な閉ループ管理メカニズムを構築した。
一是强化数据存储的属地管理与“延伸监管”。《征求意见稿》明确，境内收集和产生的数据原则上应在境内存储。对大型网络平台的监管延伸至数据中心，明确其负责人必须是中国国籍，无境外永久居留权或长期居留许可。数据中心的安全性要符合国家有关标准。数据确需出境的，必须严守国家规定。	第一に、データ保存の属地管理と「監督範囲の拡大」を強化する。意見募集稿は、国内で収集・生成されたデータは原則として国内に保存すべきと明記した。大規模ネットワークプラットフォームの監督対象をデータセンターまで拡大し、責任者は中国国籍を有し、海外の永住権や長期滞在許可を持たないことを明確化した。データセンターの安全性は国家関連標準に適合しなければならない。データが国外への持ち出しを必要とする場合、国家規定を厳守しなければならない。
二是健全风险处置与第三方协同机制。《征求意见稿》要求平台发现数据中心存在相关风险须立即补救并报告监管部门及个人信息保护负责人。若使用第三方数据中心，必须签订合同明确其职责，并要求其接受个人信息保护负责人的监督。	第二に、リスク対応と第三者連携メカニズムを整備する。意見募集稿は、プラットフォームがデータセンターにリスクを発見した場合、直ちに是正措置を講じ、監督部門及び個人情報保護責任者に報告することを要求する。第三者のデータセンターを利用する場合、契約を締結してその責任を明確化し、個人情報保護責任者の監督を受けることを要求する。
三是细化了强制合规审计的触发条件。《征求意见稿》明确，在发生严重风险、多次违规、导致100万以上个人信息或10万人以上敏感个人信息泄露的重大安全事件时，必须强制引入第三方审计，同时平台必须为第三方审计提供必要的访问权限和便利。	第三に、強制的なコンプライアンス監査のトリガー条件を細分化した。意見募集稿は、重大なリスク発生、複数回の違反、100万件以上の個人情報または10万人以上の機微な個人情報が漏洩する重大なセキュリティインシデントが発生した場合、第三者監査を強制的に導入すると同時に、プラットフォームは第三者監査に必要なアクセス権限と便宜を提供しなければならないと明確にしている。
（四）细化个人信息可携带操作方案	（四）個人情報のポータビリティ実施方案の細分化
《征求意见稿》对《个人信息保护法》中的个人信息可携带进行了操作层面的细化，为用户实现个人信息可携带提供了清晰路径。	意見募集稿は個人情報保護法における個人情報のポータビリティについて運用レベルで具体化し、ユーザーが個人情報のポータビリティを実現するための明確な道筋を示した。
一是明确了响应时限与流程。《征求意见稿》要求大型平台在收到用户转移请求后，原则上应在30个工作日内，以通用的机器可读格式完成信息转移，并通知个人结果。若因请求量大或操作复杂确需延期，在必要合理的前提下可再延长30个工作日，但必须向用户说明原因。	第一に、対応期限とプロセスを明確化した。意見募集稿は、大規模プラットフォームがユーザーの移転要求を受領後、原則として30営業日以内に汎用的な機械可読形式で情報移転を完了し、結果を個人に通知するよう求めている。要求量が多い場合や操作が複雑な場合など、延期が真に必要な時は、必要かつ合理的な前提のもとでさらに30営業日延長できるが、ユーザーに理由を説明しなければならない。
二是规范了技术实现与安全要求。《征求意见稿》支持通过应用程序接口或标准化方式进行转移，并要求平台在过程中采取身份验证和加密传输措施，确保数据转移全过程的安全可控。	次に、技術的実現と安全要件を規範化した。意見募集稿はアプリケーションプログラミングインターフェース（API）や標準（標準）化された方法による移転を支持し、プラットフォームがプロセス中に本人確認と暗号化伝送措置を講じ、データ移転の全過程の安全性と管理性を確保するよう求めている。
三是平衡了权利与成本。对于不符合法定条件而无法转移的请求，《征求意见稿》要求平台必须向用户说明理由；同时，允许平台收取基于实际成本的必要费用，确保了该机制的可持续运行。	第三に、権利とコストのバランスを取った。法定条件を満たさず移転できない請求については、プラットフォームはユーザーに理由を説明しなければならない。同時に、プラットフォームが実費に基づく必要経費を徴収することを認め、この仕組みの持続可能な運営を確保している。
《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》对有效市场和有为政府的结合提出更高要求，体现了从“管得住”到“管得好”的升维调整。相信经充分讨论和修改完善后，《征求意见稿》相关制度设计的科学性、可行性与可操作性必将得到进一步提升，有效实现大型网络平台个人信息保护“管得好”的目标，为平台经济的创新和健康发展提供更加坚实的制度保障。（作者：周辉，中国社会科学院法学研究所网络与信息法研究室副主任）	『中国共産党中央委員会による国民経済・社会発展第15次五カ年計画策定に関する提案』は、効果的な市場と有為な政府の結合に対しより高い要求を提示し、「管理できる」から「管理を良くする」への次元上昇を体現している。十分な議論と修正を経て、意見募集稿の制度設計の科学性・実現可能性・運用性はさらに向上し、大規模ネットプラットフォームにおける個人情報保護の「効果的な管理」目標を達成し、プラットフォーム経済の革新的かつ健全な発展に堅固な制度的保障を提供すると確信する。（筆者：周輝、中国社会科学院法学研究所ネットワーク・情報法研究室副主任）

1_20251130152901

● まるちゃんの情報セキュリティ気まぐれ日記

大規模ネットワークプラットフォーム

・2025.09.21 中国サイバーセキュリティ・インシデント報告管理弁法 (2025.09.15)

・2025.09.20 中国大規模オンラインプラットフォームによる個人情報保護監督委員会の設置に関する規定（案）(2025.09.12)

・2025.02.26 中国個人情報保護コンプライアンス監査管理弁法指針、Q&A、専門家による解説 (2025.02.14)

・2024.10.22 中国ネットワークデータセキュリティ管理条例 (2024.09.30)

・2022.02.20 中国「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

・2021.08.31 中国「個人情報保護法」についての専門家の解釈

・2021.08.24 中国全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

2025.12.01 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in クラウド, in 安全保障 | Permalink | Comments (0)
Tweet

まるちゃんの情報セキュリティ気まぐれ日記

サイト内検索

Archives

Categories

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

クラウド

2026.01.09

東京都産業労働局中小企業向けサイバーセキュリティ対策の極意 Ver.4.0 (2025.12.23)

2026.01.08

米国 CSET A米国のAI外交戦略 - 湾岸諸国との取引から国際枠組みへ (2025.10)

2026.01.07

欧州サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

2025.12.31

国家サイバー統括室サイバーセキュリティ関連法令Q&A Ver2.0 HTML版 (2025.12.24)

米国 NIST IR 8587（初期公開ドラフト）トークンおよびアサーションの偽造・盗難・不正使用からの保護：政府機関およびクラウドサービスプロバイダ向け実装推奨事項

2025.12.21

NCO サイバーセキュリティ推進専門家会議第３回会合サイバーセキュリティ戦略（案） (2025.12.08)とレジリエンスについて

2025.12.18

英国 NCSC 中小企業向けマネージド・サービスプロバイダー選定ガイド (2025.11.24)

2025.12.06

欧州 Europolが暗号資産を使った資金洗浄ネットワークを摘発し7億ユーロ（約1260億円）の資金洗浄を阻止 (2025.12.04)

2025.12.03

フランス CNIL ソーシャルネットワークで子どもの写真や動画を共有すること：そのリスクとは (2025.11.28)

2025.12.01

中国国家サイバースペース管理局意見募集「大規模ネットワークプラットフォーム個人情報保護規定」(2025.11.22)

より以前の記事一覧

その他のカテゴリー

ココログ

まるちゃん

関連団体

情報法関連Blog

情報法 Web

セキュリティ Blog

セキュリティ web

内部統制