欧州 EDPB 2026-2027年度作業計画：進化するデジタル環境におけるコンプライアンスの円滑化と協力強化 (2026.02.12)

こんにちは、丸山満彦です。

EDPBは、2026-2027年度作業計画を公表しています...

EDPB戦略2024-2027の4つの柱に基づき、作業計画は以下の重点分野に焦点を当ていますね：

1) 調和の強化とコンプライアンスの促進

2) 共通の執行文化と効果的な協力の強化

3) 発展するデジタル環境と規制横断的環境におけるデータ保護の確保

4) データ保護に関する国際的な対話への貢献

に重点を置いているとのことです。

 

● EDPB

・2026.02.13 Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027

Making GDPR compliance easier through new initiatives: a key focus of the EDPB work programme 2026-2027	新たな取り組みによるGDPR順守の容易化：EDPB作業計画2026-2027の重点課題
Brussels, 13 February - The EDPB has recently adopted its work programme for 2026-2027,  which is grounded in the four pillars of the EDPB strategy 2024-2027.	ブリュッセル、2月13日 - EDPBは最近、2026-2027年度の作業計画を採択した。これはEDPB戦略2024-2027の4つの柱に基づいている。
The work programme is based on the priorities set out in the EDPB strategy and it also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation.	この作業計画は、EDPB戦略で定められた優先事項に基づき、また、GDPR遵守の容易化、一貫性の強化、規制当局間の連携促進を目的とした明確化・支援・関与の強化に関するヘルシンキ声明における公約も考慮している。
Easing compliance is at the top of the EDPB agenda	コンプライアンスの容易化はEDPBの最優先課題である
The work programme reaffirms the commitment of the EDPB to simplifying GDPR compliance for organisations, which includes the development of a series of ready-to-use templates for organisations. Following the public consultation on this,  the EDPB decided to develop templates for legitimate interest assessment, record of processing activities and privacy notice/policy in addition to the already announced templates for data breach notifications and data protection impact assessment.	本作業計画は、組織向けのGDPR遵守簡素化へのEDPBの取り組みを再確認する。これには組織向け即用型テンプレートの開発が含まれる。公的協議を経て、EDPBは既に発表済みのデータ侵害通知・データ保護影響評価テンプレートに加え、正当な利益アセスメント、処理活動記録、プライバシー通知／ポリシーのテンプレート開発を決定した。
This is also in line with both the Helsinki Statement’s objectives of strengthening dialogue with stakeholders and facilitating GDPR compliance for organisations.	これは、ステークホルダーとの対話強化と組織のGDPR遵守促進というヘルシンキ声明の目標にも沿うものである。
More information about the EDPB work programme can be found here.	EDPB作業計画の詳細はこちらを参照のこと。

 

・2026.02.12 EDPB work programme 2026-2027: easing compliance and strengthening cooperation across the evolving digital landscape

EDPB work programme 2026-2027: easing compliance and strengthening cooperation across the evolving digital landscape	EDPB作業計画2026-2027：進化するデジタル環境におけるコンプライアンスの円滑化と協力強化
Brussels, 12 February - During its latest plenary, the EDPB adopted its work programme for 2026-2027.  This is the second work programme to support the implementation of the EDPB strategy 2024-2027*.	ブリュッセル、2月12日 - EDPBは最新の総会において、2026-2027年度の作業計画を採択した。これはEDPB戦略2024-2027*の実施を支援する2番目の作業計画である。
The work programme is based on the priorities set out in the EDPB strategy and the needs identified as most critical for stakeholders. It also takes into account the commitments made in the Helsinki Statement on enhanced clarity, support and engagement aimed at making GDPR compliance easier, strengthening consistency, and boosting cross-regulatory cooperation.	本作業計画は、EDPB戦略に定められた優先事項と、関係者にとって最も重要と特定されたニーズに基づいている。また、GDPR遵守の容易化、一貫性の強化、規制当局間の協力促進を目的とした「明確化・支援・関与の強化」に関するヘルシンキ声明における公約も考慮している。
Built on the four pillars of the EDPB strategy, the work programme focuses on 1) enhancing harmonisation and promoting compliance, 2) reinforcing a common enforcement culture and effective cooperation, 3) safeguarding data protection in the developing digital and cross-regulatory landscape, and 4) contributing to the global dialogue on data protection.	EDPB戦略の4つの柱に基づき、本作業計画は次の4点に焦点を当てる：1) 調和の強化とコンプライアンスの促進、2) 共通の執行文化と効果的な協力の強化、3) 発展するデジタル環境及び規制横断的環境におけるデータ保護の確保、4) データ保護に関する国際的対話への貢献。
Enhancing harmonisation and promoting compliance	調和の強化とコンプライアンスの促進
The EDPB will continue to provide timely and clear guidance on key issues and concepts of EU data protection law to make GDPR compliance easier. For example, the EDPB is working on guidelines on Consent or Pay, guidelines on anonymisation, guidelines on pseudonymisation and guidelines on children’s data. The Board will also develop and promote tools for a broader audience, by producing content for non-experts, such as templates, illustrative examples, checklists, FAQs and “how to” guides.	EDPBは、GDPR遵守を容易にするため、EUデータ保護法の重要課題や概念について、タイムリーかつ明確なガイダンスを提供し続ける。例えば、EDPBは「同意か支払い」に関するガイドライン、匿名化に関するガイドライン、仮名化に関するガイドライン、児童データに関するガイドラインの策定に取り組んでいる。委員会はまた、テンプレート、具体例、チェックリスト、FAQ、ハウツーガイドなど、専門家以外向けのコンテンツを作成することで、より幅広い対象者向けのツールを開発・推進する。
The EDPB will support the implementation of compliance measures for controllers and processors.	EDPBは、データ管理者およびデータ処理者向けのコンプライアンス対策の実施を支援する。
The EDPB will advise the EU legislature on important issues related to the protection of personal data in the EU. This includes giving advice on legislative proposals, together with the EDPS in the context of joint opinions such as with the Digital Omnibus, in response to any requests from the European Commission.	EDPBは、EUにおける個人データ保護に関連する重要事項について、EU立法府に助言を行う。これには、欧州委員会からの要請に応じ、デジタルオムニバス法などの共同意見の文脈において、欧州データ保護監督官（EDPS）と共に立法提案に関する助言を行うことも含まれる。
Reinforcing a common enforcement culture and effective cooperation	共通の執行文化と効果的な協力の強化
“We will continue working together to ensure greater consistency across Europe and to strengthen cooperation among Data Protection Authorities.	「我々は、欧州全体での一貫性を高め、データ保護当局間の協力を強化するため、引き続き協力していく。
The commitments we made last year in our Helsinki statement will be our compass going forward. We will also embrace the opportunities that come with the recently adopted Regulation on GDPR procedural rules.	昨年ヘルシンキ声明で表明したコミットメントが、今後の指針となる。また、最近採択されたGDPR手続規則に関する規則がもたらす機会も積極的に活用する。」
EDPB Chair, Anu Talus	EDPB議長　アヌ・タラス
The EDPB will remain fully committed to fulfil its role as a forum to regularly exchange information on ongoing cases, expertise and best practices among DPAs. The Board will also continue to support the development of enforcement and cooperation tools and will focus on ensuring the smooth functioning of the consistency mechanism.	EDPBは、データ保護当局間で進行中の案件、専門知識、ベストプラクティスに関する情報を定期的に交換する場としての役割を全うすることに引き続き全力を尽くす。委員会はまた、執行・協力ツールの開発を支援し続け、整合性メカニズムの円滑な機能確保に注力する。
The IT tools and systems used by the Board will be evaluated and enhanced.	委員会が使用するITツールとシステムは評価され、強化される。
Safeguarding data protection in the developing digital and cross-regulatory landscape	発展するデジタル環境と規制横断的状況におけるデータ保護の確保
The EDPB will continue to promote a human-centric approach to new technologies, including via the adoption of guidelines on generative AI and data-scraping.	EDPBは、生成的AIやデータスクレイピングに関するガイドラインの採択などを通じ、新技術に対する人間中心のアプローチを推進し続ける。
The EDPB will proactively engage with other regulatory authorities on matters relating to data protection to support the new cross-regulatory landscape. The Board will continue to take an active role in relevant forums, including the Digital Markets Act (DMA) High Level Group, the European Board for Digital Services and the European Data Innovation Board.	EDPBは、新たな規制横断的状況を支援するため、データ保護に関連する事項について他の規制当局と積極的に連携する。委員会は、デジタル市場法（DMA）ハイレベルグループ、欧州デジタルサービス委員会、欧州データイノベーション委員会を含む関連フォーラムにおいて、引き続き積極的な役割を果たす。
The Board will establish common positions and guidance in the cross-regulatory and interdisciplinary landscape, while maintaining coherent and consistent safeguards for the protection of personal data. Guidance in this regard will include joint guidelines on the Interplay between the AI Act and the GDPR and guidelines on political advertising.	委員会は、個人データ保護のための一貫性と整合性を維持しつつ、規制横断的・学際的環境における共通の立場とガイダンスを確立する。この点に関するガイダンスには、AI法とGDPRの相互作用に関する共同ガイドラインや政治広告に関するガイドラインが含まれる。
Contributing to the global dialogue on data protection	データ保護に関する国際的対話への貢献
The EDPB commits to promoting global dialogue on privacy and data protection, focusing on international cooperation in enforcement among its members and also with authorities of third countries. It will continue its initiative of close cooperation with DPAs from the countries or organisations with an adequacy decision.	欧州データ保護委員会（EDPB）は、加盟国間および第三国当局との執行協力に焦点を当て、プライバシーとデータ保護に関する国際的対話の促進に取り組む。十分性認定を受けた国・組織のデータ保護当局（DPA）との緊密な協力イニシアチブを継続する。
The EDPB will also continue to work on the GDPR and Law Enforcement Directive (LED) transfer mechanisms and provide further guidance on their practical implementation.	また、GDPRおよび法執行指令（LED）に基づく移転メカニズムに関する作業を継続し、その実践的実施に向けたさらなるガイダンスを提供する。
The EDPB will be engaged with the international community, making sure to facilitate the exchange of information and cooperation among the EDPB members active in international forums.	国際社会との連携を強化し、国際フォーラムで活動するEDPBメンバー間の情報交換と協力を促進する。
Note to editors:	編集後記：
* The first work programme supporting the EDPB strategy 2024-2027 can be found here.	* EDPB戦略2024-2027を支える最初の作業計画はこちらで確認できる。

 

2026-2027年度作業計画...

・EDPB Work Programme 2026-2027

・・[PDF]

ざっとした内容...

EDPBが2026–2027年に重点的に取り組む行動計画を示し、GDPRの調和的適用、執行協力の強化、デジタル規制群との整合性確保、国際的データ移転メカニズムの整備を体系的に位置づけたもの。実務的でアクセスしやすい指針の提供が中心的使命。また、執行協力の高度化、DMA・DSA・AI Act など他規制との相互作用への対応、生成AI・ブロックチェーン等の新技術に関するガイダンス策定、適正性認定やSCC等の国際移転ツールの整備を通じ、急速に変化する環境下でGDPRの一貫性と実効性を維持することを目的とする。これらを通じ、欧州全体のデータ保護水準を強化し、利害関係者との対話と支援を拡大することを計画している。

EDPBの2024-2027戦略の柱に沿って次のように計画している...

■ 柱I：調和の強化とコンプライアンスの促進

柱Iは、GDPRの調和的適用と実務的な遵守支援を強化するため、ガイドラインの拡充、SME向けツールの整備、認証・コードオブコンダクトの推進、EU立法への助言を中心に据えるも。専門家だけでなく一般市民や子どもを含む幅広い対象への理解促進を重視する。匿名化、正当利益、子どものデータ、研究目的処理など、実務上重要な論点へのガイダンス策定が柱となる。

• 1 ガイドライン整備

匿名化、仮名化、正当利益、子どものデータ、「consent or pay」、研究目的処理、LEDのアクセス権、DPOガイドライン更新、PNR判決フォローアップなどを扱う。

• 2 SME向けツール開発

①DPIA、②処理活動記録、③データ侵害通知、④正当利益評価、⑤プライバシーノーティス等のEU共通テンプレートを作成し、非専門家向け情報提供を強化。（② ④ ⑤ が意見募集の結果あらたにつくることになた... 
）

• 3 コンプライアンス手段の支援

認証・コードオブコンダクトに関する意見発出、監査機関の認定要件審査、利害関係者との協働を推進。

• 4 EU立法への助言

デジタル・オムニバス等の立法提案に対し、独自またはEDPSと共同で意見を提出。

 

■ 柱II：共通の執行文化と効果的な協力の強化

柱IIは、GDPRの執行における一貫性と協力体制を強化することが目的。ガイドライン更新、共同執行（CEF）の実施、タスクフォースの設置、IMIシステムの改善などを含む。文書は加盟当局間の協力を制度的に強化する姿勢を示す。特にArticle 60・61・66に関するガイドライン整備や、紛争解決機能（Art.65）の円滑化が中心となる。

• 1 協力ツールの活用促進

Art.60（共同処理）、61（相互支援）、66（緊急手続）などのガイドライン更新、苦情処理の初期対応の標準化。

• 2 執行支援と情報交換

2026 CEF（透明性義務）、2027 CEFの準備、裁判例・決定の収集、タスクフォース設置、専門家プールの活用。

• 3 一貫性メカニズムの強化

Art.64意見、Art.65紛争解決、緊急手続の運用強化、国家ガイドラインとの整合性確保。

• 4 IT基盤の改善

IMIの更新、各国DPAシステムとの接続、EDPB事務局のITツール改善。

 

■ 柱III：発展するデジタル環境と規制横断的状況におけるデータ保護の確保

柱IIIは、DMA・DSA・AI Actなどのデジタル規制群との相互作用に対応し、複数規制領域を横断する協力体制を構築することが目的。文書は「The EDPB will promote consistent application of different regulatory frameworks」と述べ、競争法、消費者保護、AML/CFTなど他分野との整合性確保を重視する。また、生成AI、テレメトリ、ブロックチェーンなど新技術に関するガイダンス策定を通じ、GDPRの人間中心アプローチを維持することが柱となる。

• 1 他規制フォーラムへの参加

DMA High Level Group、DSA Board、European Data Innovation Board で積極的役割を果たす。

• 2 クロス規制ガイダンスの策定

AI Act・DMA・DSAとの相互作用、競争法、政治広告、AML/CFTなどに関する共同ガイドライン。

• 3 他規制当局との協働

競争当局・消費者保護当局等をEDPB会合に招き、協働の枠組みを強化。

• 4 新技術への対応

生成AIのデータスクレイピング、テレメトリ、ブロックチェーンに関するガイドラインを策定。

• 5 EU立法との連携

デジタルユーロ、金融データアクセス等の新制度に対応。

 

■ 柱IV：データ保護に関する国際的対話への貢献

柱IVは、国際的なデータ保護基準の向上と、第三国当局との協力強化が目的。特にデータ移転メカニズム（SCC、BCR、認証、行政取決め、適正性認定）の整備と実務的ガイダンスの提供を中心に据える。また、国際フォーラムでの情報交換や、適正性認定国との協力深化を通じ、GDPR水準の国際的普及を図る。

• 1 データ移転メカニズムの整備

適正性認定、BCR、SCC、認証、行政取決めに関する意見・更新を実施。

• 2 国際フォーラムでの協力

国際会議での情報交換を促進し、高水準のデータ保護を国際的に推進。

• 3 第三国当局との協力強化

適正性認定国のDPAとの協働を継続し、執行協力を深化

 

 

意見募集の結果3つの新たなガイドラインをつくることになった...

・2026.02.12 EDPB Report on the public consultation on helpful templates for organisations to facilitate their GDPR compliance

 

 

---

 

参考...

EDPBの2024-2027戦略

・2024.04.18 EDPB Strategy 2024-2027

・[PDF]

 

 

一つ前の作業計画

・EDPB Work Programme 2024-2025

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

この作業計画の元になった戦略については、こちら...

・2024.04.20 欧州 EDPB Strategy 2024-2027 (2024.04.18)

 

その後2024年の活動...

・2025.04.24 欧州 EDPB 2024年の年次報告書

 

 

CSA 自律型AIエージェントのセキュリティ確保

こんにちは、丸山満彦です。

自律型AIエージェントが急速に普及しつつある...既存のIAMでAIエージェントを管理しようとしているが、人間のようにログインしないし、場合によっては自分でタスクを生成し、他のエージェントに権限を委譲する場合もあるAIは既存のIAMでは人間並みの厳格さで管理できない...

さあ、どうしよう...

静的なIAMではなく、動的・継続的・文脈依存のIAMへ変革していかないといけない...

 

ゼロトラストの導入、リアルタイムのエージェント発見、継続的認証、ランタイムのポリシー強制、完全なトレーサビリティ等が重要となるかんじですかね...

しかし、IAMができないと、セキュリティ管理できないですからね...ここがまずはポイントとなりますかね...

 

 

● CSA 

・2026.02.04 Securing Autonomous AI Agents

 

Securing Autonomous AI Agents	自律型AIエージェントのセキュリティ確保
Autonomous AI agents are being embedded across cloud, hybrid, and on-prem environments. However, most identity systems were built for humans, not for self-directed, API-driven agents operating continuously at runtime. This comprehensive survey report, commissioned by Strata, explores the current state of autonomous AI agent security in enterprises and the associated Identity and Access Management (IAM) challenges.	自律型AIエージェントは、クラウド、ハイブリッド、オンプレミス環境全体に組み込まれている。しかし、ほとんどのIDシステムは人間向けに構築されており、実行時に継続的に動作する自律型でAPI駆動のエージェント向けではない。本包括的調査レポートは、ストラタの委託により作成され、エンタープライズにおける自律型AIエージェントのセキュリティ現状と、関連するIDおよびアクセス管理（IAM）の課題を検証する。
The report reveals a growing gap between agent adoption and enterprise readiness. Organizations are deploying hundreds of AI agents, yet they lack agentic identity governance policies to help manage them safely. The findings highlight widespread reliance on static credentials, fragmented authorization models, limited discovery, and weak traceability.	本報告書は、エージェント導入とエンタープライズ側の準備態勢との間に拡大するギャップを明らかにしている。組織は数百ものAIエージェントを展開しているにもかかわらず、それらを安全に管理するためのエージェント向けIDガバナンスポリシーが欠如している。調査結果は、静的認証情報の広範な依存、断片化した認可モデル、限定的な検出機能、脆弱な追跡可能性を浮き彫りにしている。
The report argues for securing autonomous agents with the same rigor historically reserved for human users. It examines confidence in IAM for agents, traceability and human-in-the-loop oversight, and emerging investment patterns. The results point to a “Time-to-Trust” phase, where organizations are balancing innovation with caution.	本報告書は、自律型エージェントを従来の人間ユーザーと同等の厳格さで保護すべきだと主張する。エージェント向けIAMへの信頼性、追跡可能性、人間による監視ループ、新興投資パターンを検証した結果、「信頼獲得までの時間」段階にあることが示された。組織はイノベーションと慎重さのバランスを取っている。
This research provides critical insight for organizations seeking to securely scale agentic systems while maintaining governance, compliance, and operational trust.	本調査は、ガバナンス・コンプライアンス・運用上の信頼を維持しつつ、エージェントシステムの安全な拡張を目指す組織にとって重要な知見を提供する。
Key Takeaways:	主なポイント：
・40% of organizations already have agents in production. Another 31% are running pilots or tests, with 19% planning deployment within the next year.	・40％の組織が既にエージェントを本番環境で運用している。さらに31％がパイロット運用やテストを実施中であり、19％が今後1年以内の展開を計画している。
・Only 18% of respondents say they are “highly confident” their current IAM systems can manage agent identities effectively. 35% express only moderate confidence and 29% express slight confidence. Another 18% report no or uncertain confidence.	・回答者のうち「現在のIAMシステムがエージェントのアイデンティティを効果的に管理できる」と「非常に確信している」と答えたのはわずか18％である。35％が「やや確信している」とし、29％が「やや確信している」と回答した。さらに18％が「確信していない」または「確信が持てない」と報告している。
・Many organizations are still relying on outdated credentialing and access patterns. The most common authentication methods are static API keys, username and password combinations, and shared service accounts.	・多くの組織が依然として旧式の認証・アクセス方式に依存している。最も一般的な認証方法は静的APIキー、ユーザー名とパスワードの組み合わせ、共有サービスアカウントである。
・Only 21% of organizations maintain a real-time registry or inventory of their agents. 32% rely on non-real-time records, another 32% plan to build one within the next year, and 8% have no registry at all.	・エージェントのリアルタイム登録簿またはインベントリを維持している組織はわずか21%である。32%は非リアルタイム記録に依存し、さらに32%が今後1年以内に構築を計画している。8%は登録簿を全く持っていない。
・40% of organizations report increasing their overall identity and security budgets to accommodate AI agents. 34% are allocating a dedicated budget line and another 22% are reallocating funds from other security areas. Only 26% report no planned budget changes.	・40％の組織がAIエージェント対応のため、ID管理とセキュリティ予算全体を増額していると報告している。34％が専用予算枠を割り当て、さらに22％が他のセキュリティ領域から資金を再配分している。予算変更の予定がないと報告したのはわずか26％である。

 

 

Executive Summary	エグゼクティブサマリー
AI agents are rapidly moving from concept to operational reality, becoming autonomous digital actors embedded in enterprise workflows. As organizations scale from dozens to hundreds of agents—across clouds, platforms, and business units—the identity foundations inherited from human IAM are beginning to strain under new demands. The 2025 CSA Agentic Identity Survey reveals that while adoption is accelerating, enterprises lack the visibility, control, and governance required to manage these agents safely. The findings highlight an emerging identity discipline: securing autonomous agents with the same rigor and traceability long expected of human users.	AIエージェントは概念から運用段階へ急速に移行し、エンタープライズワークフローに組み込まれた自律的なデジタルアクターとなりつつある。組織が数十から数百のエージェントへ規模を拡大するにつれ（クラウド、プラットフォーム、事業部門を跨いで）、人間のIAMから継承されたアイデンティティ基盤は新たな要求に耐えきれなくなっている。2025年CSAエージェントアイデンティティ調査によれば、導入は加速しているものの、企業はこれらのエージェントを安全に管理するために必要な可視性、制御、ガバナンスを欠いている。調査結果は新たなアイデンティティ分野の必要性を浮き彫りにしている。自律型エージェントを、従来から人間ユーザーに求められてきたのと同じ厳格さと追跡可能性をもって保護することだ。
1. Agent Adoption is Accelerating Faster Than Identity Can Adapt	1. エージェント導入の加速がアイデンティティ適応を上回る
Organizations are rapidly operationalizing AI agents, with deployments expected to multiply in the next 12 months. Agents already span public cloud, private cloud, and on-prem environments, creating a highly distributed identity surface. Yet definitions remain fluid, contributing to inconsistent security expectations and practices.	組織はAIエージェントの運用化を急速に進めており、今後12ヶ月で展開数が倍増すると予測される。エージェントは既にパブリッククラウド、プライベートクラウド、オンプレミス環境にまたがり、高度に分散したアイデンティティ領域を形成している。しかし定義は流動的であり、セキュリティへの期待と実践の不一致を招いている。
2. Confidence in IAM for Agents is Low	2. エージェント向けIAMへの信頼は低い
Only a minority of organizations trust their existing IAM systems to manage agent identities effectively. Ownership is fragmented across Security, IT, and emerging AI functions, and most have not formalized agent governance strategies. Audit readiness is weak, underscoring that traditional human-centric IAM architectures are misaligned with agentic behavior.	既存のIAMシステムがエージェントのアイデンティティを効果的に管理できると確信している組織は少数派だ。所有権はセキュリティ、IT、新興AI機能に分散しており、大半はエージェントガバナンス戦略を正式化していない。監査対応態勢は脆弱で、従来の人間中心のIAMアーキテクチャがエージェントの挙動と整合していないことを浮き彫りにしている。
3. Static Credentials and Fragmented Controls Expose Organizations to Risk	3. 静的認証情報と断片化した制御が組織をリスクに晒す
Static API keys, shared accounts, and username/password credentials remain common authentication methods for agents. Runtime authorization with fine-grained guardrails are sparsely implemented, leaving long-lived access pathways and inconsistent policy enforcement across environments.	静的APIキー、共有アカウント、ユーザー名/パスワード認証は、エージェント向け認証手段として依然一般的だ。細粒度のガードレールを備えた実行時認可はほとんど実装されておらず、長期間存続するアクセス経路や環境横断的なポリシー適用の一貫性欠如を招いている。
4. Discovery and Traceability are Major Blind Spots	4. 発見と追跡可能性が主要な盲点
Real-time agent inventories are rare, and cross-environment traceability remains limited. Many organizations cannot reliably map an agent’s actions back to a human sponsor, leading to accountability gaps. Heavy reliance on human-in-the-loop oversight reflects both limited visibility and insufficient trust in autonomous workflows.	リアルタイムのエージェント在庫管理は稀であり、環境横断的な追跡可能性は依然として限定的だ。多くの組織はエージェントの行動を人間のスポンサーに確実に紐付けられず、説明責任の欠如を招いている。人間による監視への過度の依存は、可視性の限界と自律ワークフローへの信頼不足の両方を反映している。
5. Investment is Rising as Governance Gaps Become Clear	5. ガバナンスの欠如が明らかになるにつれ投資が増加
Organizations are increasing identity and security budgets to address agent risk, with more establishing formal strategies. Top concerns—including credential misuse, lack of auditability, and over-permissioning—mirror the structural weaknesses surfaced across IAM, visibility, and control.	組織はエージェントリスクに対処するため、IDとセキュリティの予算を増額し、正式な戦略を策定するケースが増えている。資格情報の悪用、監査可能性の欠如、過剰な権限付与といった主要な懸念事項は、IAM、可視性、制御の全領域で露呈した構造的弱点を反映している。
Takeaway	要点
Enterprises are embracing AI agents, but their security and governance models have not yet caught up. The current approach remains reactive and fragmented, relying on static credentials, inconsistent controls, and limited visibility. To safely unlock the potential of autonomous agents and accelerate AI program adoption, organizations must invest in unified identity orchestration—spanning discovery, authentication, authorization, and continuous traceability. Success in the agentic era will hinge on treating agent identity with the same rigor historically reserved for human users, enabling secure autonomy at enterprise scale.	エンタープライズはAIエージェントを導入しているが、そのセキュリティとガバナンスモデルはまだ追いついていない。現在のアプローチは依然として事後対応的で断片的であり、静的な認証情報、一貫性のない制御、限られた可視性に依存している。自律型エージェントの可能性を安全に解き放ち、AIプログラムの導入を加速させるためには、組織は発見、認証、認可、継続的な追跡可能性を網羅する統合されたアイデンティティオーケストレーションに投資しなければならない。エージェント時代の成功は、従来人間ユーザーにのみ適用されてきた厳格な基準をエージェントのアイデンティティにも適用し、エンタープライズ規模での安全な自律性を実現できるかどうかにかかっている。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.02.04 シンガポール 韓国 現実的なタスクにおけるデータ漏洩リスクに対するAIエージェントのテスト (2026.01.19)

・2026.01.15 英国 ICO技術展望: エージェント型AI（Agentic AI）

・2026.01.15 米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)

 

シンガポール 韓国 現実的なタスクにおけるデータ漏洩リスクに対するAIエージェントのテスト (2026.01.19)

こんにちは、丸山満彦です。

AIエージェントの利用が進んできていますが、シンガポールと韓国のAI安全研究所が共同で、現実的なタスクにおけるデータ漏洩リスクに対するAIエージェントのテストをし、その結果を発表していますね。。。

 

興味深いです...

この結果から読み取れることは...

・安全性を高めるためには、能力を高める必要もある。

タスクが遂行できているかを見極めた上で、遂行過程が安全かを評価する2段階評価が必要

・AIエージェントが完全に成功している可能性は高くはない。

正常に動作しているように見えても、少し漏えいをしているケースがあり、かつそれに気づくことは困難である。

・悪意ある攻撃より、善意の誤判断が問題である

情報感度の誤認やポリシー適用の失敗といった「事故」を防ぐためには、アクセス制御だけでなく、文脈理解能力と、組織のルールを実務に適用する「社会的判断能力」を実装レベルでいかに担保するかが重要。

・モデル選定だけでなく、組み込み方の設計も重要である。

モデル固有の性能以上に、スキャフォルディング（プロンプトやツール連携の仕組み）に依存する可能性もある。

・評価の完全自動化は困難であり、人間によるチェックと社会的制度の組み合わせが必要である

AIによる安全性評価には、文脈や社会規範の解釈において限界があることを忘れてはならない。

 

こういう実験、検証のモデルをつくって、定期的に検証をし続ける必要がありますね。。。

AIの問題の本質は、

（１）プロセス複雑すぎるためインプットからアウトプットを人間が完全に予想できない

（２）予想できなさ加減が不安定

ということによるのかもしれません。昨日はそこそこ予測できていたのに、今日は急に人がかわったように予測があるくなるとか、、、依頼の仕方がよかったらほぼ完全な回答をしてくるのに、少し違った表現でいらいするとほぼ間違った回答をしてくるとか...

これを自動化していくと、

（３）誤りが累積していき、大きな誤りになりえる

 

考えさせられる問題ですね。。。

 

● Singapore AI Safty Institute

・2026.01.19 Testing AI Agents for Data Leakage Risks in Realistic Tasks

 

 

 

 

 

欧州 ETSI EN 304 223 V2.1.1 (2025-12) 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)

こんにちは、丸山満彦です。

EUではAI法が施行され始めていますが、技術仕様としてETSI EN 304 223 V2.1.1 (2025-12) Securing Artificial Intelligence (SAI);
Baseline Cyber Security Requirements for AI Models and Systems 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件も確定して、公表されていますね...

この文書は、設計、開発、展開、保守、廃棄までのシステムライフサイクル全体にかかるセキュリティの標準になっていますね...

13の原則は次のとおりです...

AI Security Principles and Provisions	AIセキュリティ原則と規定
Secure Design	セキュア設計
Principle 1: Raise awareness of AI security threats and risks	原則 1：AIセキュリティ上の脅威とリスクに対する認識の向上
Principle 2: Design the AI system for security as well as functionality and performance	原則 2: セキュリティと機能性・性能を両立した AI システムの設計
Principle 3: Evaluate the threats and manage the risks to the AI system	原則 3：AIシステムに対する脅威評価とリスクマネジメント
Principle 4: Enable human responsibility for AI systems	原則 4：AIシステムに対する人間の責任の実現
Secure Development	セキュア開発
Principle 5: Identify, track and protect the assets	原則 5：資産の識別、追跡、防御
Principle 6: Secure the infrastructure	原則 6: インフラの保護
Principle 7: Secure the supply chain	原則 7：サプライチェーンの安全確保
Principle 8: Document data, models and prompts	原則 8：データ、モデル、プロンプトの文書化
Principle 9: Conduct appropriate testing and evaluation	原則 9: 適切なテストと評価の実施
Secure Deployment	セキュア展開
Principle 10: Communication and processes associated with End-users and Affected Entities	原則 10: エンドユーザーおよび影響を受ける事業体に関連するコミュニケーションとプロセス
Secure Maintenance	セキュア保守
Principle 11: Maintain regular security updates, patches and mitigations	原則 11：定期的なセキュリティ更新、パッチ適用、緩和策の実施
Principle 12: Monitor the system's behaviour	原則 12: システムの動作の監視
Secure End of Life	セキュア廃止
Principle 13: Ensure proper data and model disposal	原則 13：適切なデータおよびモデルの廃止の確保

 

● ETSI

・2025.01.15 ETSI releases world-leading standard for securing AI

ETSI releases world-leading standard for securing AI	ETSIがAIのセキュリティ確保に向けた世界最先端の標準を発表
Today ETSI announces the publication of its new standard, ETSI EN 304 223, that provides baseline cybersecurity requirements for AI models and systems. Building on the foundational work set out in its recent Technical Specification, it is a first globally applicable European Standard (EN) for AI cybersecurity. The EN has been extensively reviewed, and formally approved by National Standards Organisations voting, giving it a broader international scope and strengthening its authority across global markets.	本日、ETSIは新たな標準「ETSI EN 304 223」の公表を発表した。これはAIモデル及びシステムに対するサイバーセキュリティの基盤要件を規定するものである。最近の技術仕様で示された基礎的な取り組みを基に構築された本標準は、AIサイバーセキュリティ分野において世界で初めて適用可能な欧州標準（EN）となる。本標準は各国標準化機関による投票を経て正式に承認され、広範な国際的適用範囲と世界市場における権威性を強化している。
ETSI EN 304 223 establishes a robust framework to shield AI systems from growing and increasingly sophisticated cyber threats. Reinforcing the principles introduced in ETSI TS 104 223, the new standard guarantees a mature, structured and lifecycle-based set of baseline security requirements for AI models and systems.	ETSI EN 304 223は、増大し高度化するサイバー脅威からAIシステムを保護する強固な枠組みを確立する。ETSI TS 104 223で導入された原則を強化し、AIモデル及びシステム向けの成熟した構造化ライフサイクルベースの基盤セキュリティ要件を保証する。
The standard acknowledges that AI represents a distinct cybersecurity challenge that traditional software has not offered. Traditional software introduced the world to the need for cybersecurity awareness. Today the risks emerging from AI require cyber defences that account for these new and unique characteristics. These risks include data poisoning, model obfuscation, indirect prompt injection, and vulnerabilities created by complex data management and operational practices. The ETSI EN reconciles established best practices in cybersecurity with targeted, novel measures designed specifically for AI systems.	本標準は、AIが従来のソフトウェアでは生じなかった独自のサイバーセキュリティ課題をもたらすことを認識している。従来のソフトウェアは世界に対しサイバーセキュリティ意識の必要性を示したが、今日AIから生じるリスクには、こうした新奇かつ特異な特性を考慮した防御策が求められる。これらのリスクにはデータ・ポイズニング、モデル・難読化、間接的プロンプト・インジェクション、複雑なデータ管理・運用慣行が生む脆弱性などが含まれる。ETSI ENは確立されたサイバーセキュリティのベストプラクティスと、AIシステム向けに特別に設計された標的型の新規対策を調和させている。
Adopting a whole life-cycle approach, ETSI EN 304 223 defines 13 principles and requirements across five phases: secure design, secure development, secure deployment, secure maintenance, and secure end of life. Each one of these phases align with internationally recognised AI lifecycle models, ensuring consistency and interoperability with existing standards and guidance. Relevant standards and publications are referenced at the start of each principle to support implementation and harmonisation within the wider AI ecosystem.	全ライフサイクルアプローチを採用したETSI EN 304 223は、5つのフェーズ（セキュア設計、セキュア開発、セキュア展開、セキュア保守、セキュア廃棄）にわたり13の原則と要件を定義する。各フェーズは国際的に認知されたAIライフサイクルモデルと整合し、既存の標準やガイダンスとの一貫性と相互運用性を確保する。各原則の冒頭では、関連標準や出版物を参照することで、より広範なAIエコシステム内での実装と調和を支援している。
The EN will be instrumental for stakeholders throughout the AI supply chain, from vendors to integrators and operators, and will provide them with a clear and logical baseline for AI security. Its scope covers AI systems incorporating deep neural networks, including generative AI, and is developed for systems intended for real-world deployments. It reflects the expertise of international organisations, government bodies, and the cybersecurity and AI communities whose contributions ensure this collaborative, cross‑disciplinary effort is both globally relevant and practically applicable across diverse sectors.	この標準は、ベンダーからインテグレーター、オペレーターに至るAIサプライチェーン全体の関係者にとって有用であり、AIセキュリティの明確かつ論理的な基盤を提供する。その適用範囲は、生成的AIを含む深層ニューラルネットワークを組み込んだAIシステムをカバーし、実世界での展開を目的としたシステム向けに開発されている。国際機関、政府団体、サイバーセキュリティおよびAIコミュニティの専門知識を反映しており、これらの貢献により、この協力的かつ学際的な取り組みが世界的に関連性を持つと同時に、多様な分野で実用的に適用可能となっている。
Finally, an upcoming Technical Report, ETSI TR 104 159, will further this work with a domain-specific application of the ETSI EN 304 223 principles to generative AI, focusing on deepfakes, misinformation, disinformation, confidentiality risks, copyright and IPR concerns, while delivering more prescriptive specifications for this domain where necessary.	最後に、近々公開予定の技術報告書ETSI TR 104 159は、生成的AIに特化した形でETSI EN 304 223の原則を適用し、ディープフェイク、誤情報、偽情報、機密性リスク、著作権および知的財産権に関する懸念に焦点を当てつつ、必要に応じてこの分野向けのより規範的な技術仕様を提供する。
"ETSI EN 304 223 represents an important step forward in establishing a common, rigorous foundation for securing AI systems", said Scott Cadzow, Chair of ETSI's Technical Committee for Securing Artificial Intelligence". "At a time when AI is being increasingly integrated into critical services and infrastructure, the availability of clear, practical guidance that reflects both the complexity of these technologies and the realities of deployment cannot be underestimated. The work that went into delivering this framework is the result of extensive collaboration and it means that organisations can have full confidence in AI systems that are resilient, trustworthy, and secure by design."	「ETSI EN 304 223は、AIシステムのセキュリティ確保に向けた共通の厳格な基盤を確立する上で重要な前進だ」と、ETSI人工知能セキュリティ技術委員会委員長スコット・カズォウは述べた。「AIが重要サービスやインフラにますます統合される中、これらの技術の複雑性と展開の現実の両方を反映した明確で実践的な指針の重要性は計り知れない。この枠組みの策定には広範な協力が結実しており、組織は設計段階でレジリエンス・信頼性・安全性を備えたAIシステムを完全に信頼できるようになる。」

 

・[PDF]

・[DOCX][PDF] 仮訳

 

 

 

 

---

 

関連

欧州

・EU AI法

・・2024.07.21 Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act) 

 

ETSI関係

・策定中？：ETSI TR 104 128: "Securing Artificial Intelligence (SAI); Guide to Cyber Security for AI Models and Systems".「人工知能のセキュリティ確保（SAI）；AIモデルおよびシステムのためのサイバーセキュリティガイド」

・策定中？：ETSI TS 104 216: "Securing Artificial Intelligence TC (SAI); Conformance assessment for AI (EN 304 223)"「人工知能のセキュリティ技術委員会（SAI）；AIの適合性アセスメント

ENISA関係

・2023.06.07 ENISA: "Multilayer Framework for Good Cybersecurity Practices for AI", 2023. 「AIのための優れたサイバーセキュリティ実践に向けた多層枠組み」、

ISO関係

・2022.07 ISO/IEC 22989:2022: "Information technology — Artificial intelligence — Artificial intelligence concepts and terminology"「情報技術―人工知能―人工知能の概念と用語」

NCSC

・2023.NCSC: "Guidelines for secure AI system development", 2023.「安全なAIシステム開発のためのガイドライン」

ACSC

・2023.11.04 Australian Signals Directorate: "An introduction to Artificial Intelligence", 2023. 「人工知能序論」


NIST関係

・2023.01 NIST AI 100-1: "AI Risk Management Framework (AI RMF 1.0)", 2023.「AIリスクマネジメント枠組み（AI RMF 1.0）」（日本語）

・2024.01.04 NIST AI 100-2 E2023: "Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations". 「敵対的機械学習：攻撃と緩和の分類と用語集」

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.27 欧州 EDPB EDPS 欧州委員会の「AIに関するデジタルオムニバス」提案に関する共同意見書

・2025.12.04 欧州委員会 AI法についての内部通報ツールの発表 (2025.11.24)

・2025.10.11 欧州委員会 AI法エクスプローラー

・2025.09.24 金融庁 G7サイバー・エキスパート・グループによるAI及びサイバーセキュリティに関するステートメントの公表 (2025.09.22)

・2025.09.04 欧州議会 Think Tank 欧州連合（EU）のAI行動規範 (2025.08.27)

・2025.08.02 欧州委員会 AI法第 53 条(1)(d)で要求される汎用 AI モデルの訓練内容に関する公開要約の説明文書およびテンプレー(2025.07.24)

・2025.08.01 オランダ データ保護庁 アルゴリズムに基づく意思決定における意味のある人間の介入 (2025.07.23)

・2025.07.31 欧州委員会 AI法における汎用AIモデル提供者の義務範囲に関するガイドライン（2025.07.18）

・2025.07.25 欧州委員会 汎用 AI 実践規範 (2025.07.10)

・2025.05.13 欧州議会 シンクタンク AIと著作権 汎用AIのトレーニング (2025.04.23)

・2024.12.19 オランダ データ保護局 意見募集 社会的スコアリングのためのAIシステム + 操作および搾取的AIシステムに関する意見募集の概要と次のステップ

・2024.11.08 オランダ データ保護局 意見募集 職場や教育における感情認識のための特定のAIシステムの禁止 (2024.10.31)

・2024.09.29 オランダ データ保護局 意見募集 「操作的欺瞞的、搾取的なAIシステム」

・2024.08.05 欧州AI法が施行された... (2024.08.01)

・2024.07.20 EU EDPB GDPRとEU-AI法関連

・2024.07.16 EU 2024.07.12にAI法がEU官報に掲載された

 

 

 

英国 NAO 監査の知見：2024-25年度NAO財務監査からの教訓と発見 (2026.01.26)

こんにちは、丸山満彦です。

英国の国家検査院（NAO）が年間に発行された個別の400の報告書を統合し、横断的な洞察を示した報告書を公表していますね。。。

英国のNAOでは、財務報告の監査のみならず、はやくからValue for Money監査を始めています。興味深い内容です。

ITアクセス権の話も少しありますね...

 

● UK National Audit Office: NAO

・2026.01.26 Audit insights: lessons and findings from the NAO’s financial audits in 2024-25

Audit insights: lessons and findings from the NAO’s financial audits in 2024-25	監査の知見：2024-25年度NAO財務監査からの教訓と発見
Background to the report	報告書の背景
This report, for the first time, brings together thematic insights from our recent financial audits and wider assurance work. It explains key accounting terms in the context of government finances, and highlights opportunities to strengthen financial management and reporting in government which can help improve productivity and resilience in public service delivery.	本報告書は、最近の財務監査及び広範な保証業務から得られたテーマ別知見を初めてまとめたものである。政府財政の文脈における主要な会計用語を説明し、公共サービス提供の生産性とレジリエンスを向上させるのに役立つ、政府の財務管理及び報告を強化する機会を強調する。
This report supports our strategic ambitions for:	本報告書は、以下の戦略的目標達成を支援するものである：
・more productive and resilient public services, and	・より生産的でレジリエンスのある公共サービス
・better financial management and reporting in government	・政府におけるより優れた財務管理と報告
Scope of the report	報告書の範囲
This report:	本報告書は：
・provides background and context to the National Audit Office’s annual cycle of financial audits, how we work with audited bodies, and how we report the results to Parliament	・国家監査局の年次財務監査サイクルの背景と文脈、監査対象団体との連携方法、議会への結果報告方法を説明する
・outlines the importance of good annual reports, focussing on two areas where there are opportunities to improve financial management and reporting in government	・優れた年次報告書の重要性を概説し、政府の財務管理と報告を改善する機会がある二つの分野に焦点を当てる
・sets out insights from our financial audits in three areas that present particular challenges to financial management and the production of timely, high-quality accounts	・財務管理とタイムリーで高品質な会計報告の作成に特に課題がある三つの分野における財務監査からの知見を示す

 

・[PDF]

 

---

 

追記に概要。。。

↓

 

Continue reading "英国 NAO 監査の知見：2024-25年度NAO財務監査からの教訓と発見 (2026.01.26)"

欧州 サイバーセキュリティ法(CSA)の改正法案 (2025.01.20)

こんにちは、丸山満彦です。

欧州委員会がサイバーセキュリティ法(CSA)の改正法案を公表していますね...

改訂の背景...

• (i) 脅威環境の悪化に伴い、EUのサイバーセキュリティ政策枠組みと関係者のニーズとの間に生じた不整合
• (ii) 欧州サイバーセキュリティ認証枠組み（ECCF）の実施停滞
• (iii) 連合のサイバー態勢に影響を与えるサイバーセキュリティ関連政策の複雑さと多様性
• (iv) 増加するICTサプライチェーンのセキュリティリスク

で、総合目標は

• サイバーセキュリティ能力とレジリエンシーの強化、
• 単一市場における分断の防止

で、これは次の施策により達成される...

• EUのサイバーセキュリティガバナンス強化に貢献し、関連機構、当局、その他の利害関係者が、 サイバーセキュリティ脅威を協調的かつ効果的に予防、検知、対応する準備を整えることの支援
  
  
• 認証スキームなどの共通のEUサイバーセキュリティ手段の開発、実施、普及の支援、加盟国間の信頼と相互運用性を構築する調和された枠組みの提供

でその達成のために、具体的な目標(SPO)として、

• EUサイバーセキュリティ政策枠組みとステークホルダーのニーズとの不整合に対処する：
  
  • SPO1：EUサイバーセキュリティ政策を効果的に実施する能力を構築し、加盟国間のより構造化された協力を可能にする継続的な運用協力体制を確立する。
  • SPO2：加盟国、産業界、その他の関係者のニーズを効果的に支援・対応するための手段と仕組みを開発・実施する。
    
    
• ECCFの普及と有効性の低さに対処する：
  
  • SPO3：ECCFの範囲を拡大し、効果的な保守と迅速な手続きを確保し、透明性を高めることで、市場ニーズに基づくサイバーセキュリティ認証スキームの迅速な提供のための前提条件を整える。
    
    
• 分断されたコンプライアンス環境と、横断的・分野別枠組みの複雑さに対処するため：
  
  • SPO4：サイバーセキュリティ要件へのコンプライアンスを促進する仕組みと条件を整え、その実施をより一貫性があり効果的なものとする。
    
    
• サプライチェーンにおけるサイバーセキュリティリスクに対処するため：
  
  • SPO5：サイバーセキュリティ上の懸念を抱える第三国に設立された、または第三国の事業体に支配される事業体（ハイリスクサプライヤー）からの重要ICTサプライチェーンのリスクを軽減し、EUレベルでICTサプライチェーンのセキュリティリスクに対処するための一貫性のある効果的な枠組みを開発することで、 重要な依存関係を削減する。

であわせて、サイバーセキュリティ関連法令等との整合性も図る...

サイバーセキュリティ関連法令等には、

(i) NIS2指令は重要インフラのサイバーセキュリティ強化を目的とする；

(ii) 物理的セキュリティ対策は「姉妹指令」である重要事業体レジリエンス（CER）指令で定義される；

(iii) サイバーレジリエンス法（CRA）は製品のサイバーセキュリティを強化する；

(iv) サイバー連帯法（CSoA）はEU全域の対応能力を構築する；

(v) EUサイバー青写真はEUレベルでの危機管理協力を支援し、委員会と上級代表が大規模サイバーセキュリティインシデントへの準備と対応において主要な役割を担う；

(vi) 5Gサイバーセキュリティツールボックス（5Gツールボックス）は5Gネットワークのサイバーセキュリティを支援する；

(vii) 病院及び医療プロバイダのサイバーセキュリティに関する欧州行動計画は、それらのサイバーセキュリティ向上に寄与する；

(viii) サイバーセキュリティスキルアカデミー

及び、これらを補完するセクター別の法令である

・金融セクター向けのデジタル運用レジリエンス法（DORA規則）、

・電力サブセクター向けの越境電力流通におけるサイバーセキュリティ側面に関するセクター別規則ネットワークコード（NCCS）、

・航空輸送サブセクター向けの情報セキュリティ規則（PartIS）

があるという感じです...

 

ということで...

 

● European Commission

・EU Cybersecurity Act

 

Commission strengthens EU cybersecurity resilience and capabilities	欧州委員会、EUのサイバーセキュリティレジリエンスと能力を強化
Europe faces daily cyber and hybrid attacks on essential services and democratic institutions, carried out by sophisticated state and criminal groups.	欧州では、高度な国家組織や犯罪集団による、重要サービスや民主的機構へのサイバー攻撃やハイブリッド攻撃が日常的に発生している。
The European Commission has proposed a new cybersecurity package to further strengthen the EU’s cybersecurity resilience and capabilities in the face of these growing threats.	欧州委員会は、こうした増大する脅威に直面するEUのサイバーセキュリティレジリエンスと能力をさらに強化するため、新たなサイバーセキュリティ対策パッケージを提案した。
The package includes a proposal for a revised Cybersecurity Act, which enhances the security of the EU’s Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats.	このパッケージには、EUの情報通信技術（ICT）サプライチェーンの安全性を強化する改正サイバーセキュリティ法の提案が含まれる。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階でサイバーセキュリティを確保することを保証する。また、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁（ENISA）が加盟国とEUのサイバーセキュリティ脅威管理を支援する機能を強化する。
Read the full press release.	プレスリリース全文を読む。
Find more information:	詳細情報：
Questions & Answers	Q&A
Factsheet	ファクトシート
The revised Cybersecurity Act	改正サイバーセキュリティ法
The NIS2 targeted amendments	NIS2対象改正
Remarks by Executive Vice-President Virkkunen on the Cybersecurity Package	サイバーセキュリティ対策パッケージに関するヴィルクネン執行副委員長の発言

 

 

プレスリリース...

・2026.01.20 Commission strengthens EU cybersecurity resilience and capabilities

Commission strengthens EU cybersecurity resilience and capabilities	欧州委員会、EUのサイバーセキュリティレジリエンスと能力を強化
Europe faces daily cyber and hybrid attacks on essential services and democratic institutions, carried out by sophisticated state and criminal groups. The European Commission has today proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities in the face of these growing threats.	欧州では、高度な国家組織や犯罪集団による重要サービスや民主的機構へのサイバー攻撃やハイブリッド攻撃が日常的に発生している。欧州委員会は本日、こうした増大する脅威に対処するため、EUのサイバーセキュリティレジリエンスと能力をさらに強化する新たなサイバーセキュリティ対策パッケージを提案した。
The package includes a proposal for a revised Cybersecurity Act, which enhances the security of the EU's Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats.	このパッケージには、EUの情報通信技術（ICT）サプライチェーンの安全性を高める改正サイバーセキュリティ法の提案が含まれる。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階からサイバーセキュリティを確保することを保証する。また、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁（ENISA）が加盟国とEUのサイバーセキュリティ脅威管理を支援する機能を強化する。
Bolstering the security of ICT supply chains in the EU	EUにおけるICTサプライチェーンのセキュリティ強化
The new Cybersecurity Act aims to reduce risks in the EU's ICT supply chain from third-country suppliers with cybersecurity concerns. It sets out a trusted ICT supply chain security framework based on a harmonised, proportionate and risk-based approach. This will enable the EU and Member States to jointly identify and mitigate risks across the EU's 18 critical sectors, considering also economic impacts and market supply.	新たなサイバーセキュリティ法は、サイバーセキュリティ上の懸念がある第三国サプライヤーによるEUのICTサプライチェーンへのリスク低減を目指す。調和のとれた、比例原則に基づくリスクベースのアプローチに基づく信頼できるICTサプライチェーンセキュリティ枠組みを定める。これによりEUと加盟国は、経済的影響や市場供給も考慮しつつ、EUの18の重要分野全体でリスクを共同で識別・緩和できるようになる。
Recent cybersecurity incidents have highlighted the major risks posed by vulnerabilities in the ICT supply chains, which are essential to the functioning of critical services and infrastructure. In today's geopolitical landscape, supply chain security is no longer just about technical product or service security, but also about risks related to a supplier, particularly dependencies and foreign interference.	最近のサイバーセキュリティインシデントは、重要サービスやインフラの機能に不可欠なICTサプライチェーンの脆弱性がもたらす重大なリスクを浮き彫りにした。今日の世界情勢において、サプライチェーンのセキュリティはもはや技術的な製品やサービスの安全性だけでなく、供給業者に関連するリスク、特に依存関係や外国の干渉も対象となる。
The Cybersecurity Act will enable the mandatory derisking of European mobile telecommunications networks from high-risk third-country suppliers, building on the work already carried out under the 5G security toolbox.	サイバーセキュリティ法は、5Gセキュリティツールボックスの下で既に実施された取り組みを基盤とし、欧州の移動体通信ネットワークから高リスク第三国サプライヤーを排除する義務付けを可能にする。
Simplifying and enhancing European Cybersecurity Certification Framework	欧州サイバーセキュリティ認証枠組みの簡素化と強化
The revised Cybersecurity Act will ensure that products and services reaching EU consumers are tested for security in a more efficient way. This will be done through a renewed European Cybersecurity Certification Framework (ECCF). The ECCF will bring more clarity and simpler procedures, allowing certification schemes to be developed within 12 months by default. It will also introduce more agile and transparent governance to better involve stakeholders through public information and consultation.	改正サイバーセキュリティ法は、EU消費者に届く製品・サービスのセキュリティ試験をより効率的に実施することを保証する。これは刷新された欧州サイバーセキュリティ認証枠組み（ECCF）を通じて行われる。ECCFはより明確で簡素化された手続きをもたらし、認証スキームをデフォルトで12ヶ月以内に開発できるようにする。また、公開情報と協議を通じてステークホルダーをより効果的に関与させるため、より機敏で透明性の高いガバナンスを導入する。
Certification schemes, managed by ENISA, will become a practical, voluntary tool for businesses. They will allow businesses to demonstrate compliance with EU legislation, reducing the burden and costs. Beyond ICT products, services, processes and managed security services, companies and organisations will be able to certify their cyber posture to meet market needs. Ultimately, the renewed ECCF will be a competitive asset for EU businesses. For EU citizens, businesses and public authorities, it will ensure a high level of security and trust in complex ICT supply chains.	ENISAが管理する認証スキームは、企業にとって実用的で任意のツールとなる。これにより企業はEU法規への準拠を実証でき、負担とコストを削減できる。ICT製品、サービス、プロセス、管理型セキュリティサービスに加え、企業や組織は市場のニーズに応えるサイバー態勢の認証が可能となる。最終的に刷新されたECCFはEU企業の競争力強化に寄与する。EU市民、企業、公共機関にとって、複雑なICTサプライチェーンにおける高度なセキュリティと信頼性を保証するものだ。
Facilitating compliance with cybersecurity rules	サイバーセキュリティ規則への準拠促進
The package introduces measures to simplify compliance with EU cybersecurity rules and risk-management requirements for companies operating in the EU, complementing the single-entry point for incident reporting proposed in the Digital Omnibus. Targeted amendments to the NIS2 Directive aim to increase legal clarity. They will ease compliance for 28,700 companies, including 6,200 micro and small-sized enterprises. They will also introduce a new category of small mid-cap enterprises to lower compliance costs for 22,500 companies. The amendments will simplify jurisdictional rules, streamline the collection of data on ransomware attacks and facilitate the supervision of cross-border entities with ENISA's reenforced coordinating role	本パッケージは、EU域内で事業を行うエンタープライズ向けのEUサイバーセキュリティ規則及びリスクマネジメント要件への準拠を簡素化する措置を導入し、デジタルオムニバスで提案されたインシデント報告の単一窓口を補完する。NIS2指令への対象を絞った改正は法的明確性の向上を目的とする。これにより、6,200の零細・中小企業を含む28,700社の準拠負担が軽減される。また、新たに「中小中堅エンタープライズ」というカテゴリーを導入し、22,500社のコンプライアンスコストを削減する。改正により管轄規則が簡素化され、ランサムウェア攻撃に関するデータ収集が効率化される。さらにENISAの調整役が強化され、越境事業体の監督が円滑化される。
Empowering ENISA to boost Europe's cybersecurity resilience	ENISAの権限強化による欧州サイバーセキュリティレジリエンスの向上
Since the adoption of the first Cybersecurity Act in 2019, ENISA has grown as a cornerstone of the EU cybersecurity ecosystem. The revised Cybersecurity Act presented today enables ENISA to help the EU and its Member States understand the common threats. It also enables them to prepare and respond to cyber incidents.	2019年に最初のサイバーセキュリティ法が採択されて以来、ENISAはEUサイバーセキュリティエコシステムの基幹として成長してきた。本日提示された改正サイバーセキュリティ法により、ENISAはEU及び加盟国が共通の脅威を理解する支援が可能となる。また、サイバーインシデントへの準備と対応も可能にする。
The agency will further support companies and stakeholders operating in the EU by issuing early alerts of cyber threats and incidents. In cooperation with Europol and Computer Security Incident Response Teams, it will support companies in responding to and recovering from ransomware attacks. ENISA will also develop a Union approach to provide better vulnerabilities management services to stakeholders. It will operate the single-entry point for incident reporting proposed in the Digital Omnibus.	同機関は、サイバー脅威やインシデントの早期警報を発出することで、EU域内で事業を行う企業や関係者をさらに支援する。欧州刑事警察機構やコンピュータセキュリティ・インシデント対応チームと連携し、企業がランサムウェア攻撃に対応し復旧するのを支援する。ENISAはまた、関係者に優れた脆弱性管理サービスを提供するためのEU全体のアプローチを構築する。デジタルオムニバスで提案されたインシデント報告の単一窓口を運営する。
ENISA will continue to play a key role in further building a skilled cybersecurity workforce in Europe. It will do so by piloting the Cybersecurity Skills Academy and establishing EU-wide cybersecurity skills attestation schemes.	ENISAは、欧州における熟練したサイバーセキュリティ人材のさらなる育成において、引き続き重要な役割を果たす。具体的には、サイバーセキュリティスキルアカデミーのパイロット事業を実施し、EU全域のサイバーセキュリティスキル認定制度を確立する。
Next steps	今後の手順
The Cybersecurity Act will be applicable immediately after approval by the European Parliament and the Council of the EU. The accompanying NIS2 Directive amendments will also be presented for approval. Once adopted, Member States will have one year to implement the Directive into national law and communicate the relevant texts to the Commission.	サイバーセキュリティ法は、欧州議会とEU理事会の承認後、直ちに適用される。付随するNIS2指令改正案も承認のために提出される。採択後、加盟国は1年以内に指令を国内法に組み込み、関連文書を欧州委員会に通知しなければならない。
For more information	詳細情報
Questions & Answers	Q&A
Factsheet	ファクトシート
Revised Cybersecurity Act	改正サイバーセキュリティ法
NIS2 targeted amendments	NIS2対象改正案

 

Questions & Answers

Cybersecurity Package - Questions & Answers	サイバーセキュリティ対策パッケージ - 質問と回答
On 20 January 2026, the Commission has proposed a new cybersecurity package to further strengthen the EU’s cybersecurity resilience, and capabilities in the face of these growing threats, including amendments to the NIS2 Directive.	2026年1月20日、欧州委員会は新たなサイバーセキュリティ対策パッケージを提案した。これはEUのサイバーセキュリティレジリエンスと能力を強化し、増大する脅威に対処するためのもので、NIS2指令の改正案も含まれる。
1. Why did the Commission propose a new Cybersecurity Act?	1. 欧州委員会が新たなサイバーセキュリティ法を提案した理由は何か？
Since the adoption of the Cybersecurity Act in 2019, the geopolitical landscape has changed, with a significant worsening of the cyber threat landscape, affecting critical sectors in the European Union. Technological advancements have given rise to ever more sophisticated cyber threats, with players including state actors developing capabilities to disrupt critical economic sectors and societal functions in Europe.	2019年のサイバーセキュリティ法採択以降、地政学的状況は変化し、重要なサイバー脅威の状況は著しく悪化し、欧州連合の重要分野に影響を与えている。技術進歩により、国家主体を含むプレイヤーが欧州の重要経済分野や社会機能を混乱させる能力を開発するなど、サイバー脅威はますます高度化している。
To address these new concerns, the Commission has proposed to revise the Cybersecurity Act to make the EU’s cybersecurity framework and capabilities more agile and efficient, reinforcing the overall Europe’s preparedness.	こうした新たな懸念に対処するため、欧州委員会はサイバーセキュリティ法の改正を提案した。これによりEUのサイバーセキュリティ枠組みと能力をより機敏かつ効率的にし、欧州全体の備えを強化する。
2. What are the key elements of the Cybersecurity Act?	2. サイバーセキュリティ法の主な要素は何か？
The new Cybersecurity Act will strengthen the cybersecurity framework with four key elements:	新たなサイバーセキュリティ法は、以下の4つの主要要素でサイバーセキュリティ枠組みを強化する：
1. Develop a framework for addressing the ICT supply chain security challenges in critical infrastructure.	1. 重要インフラにおけるICTサプライチェーンのセキュリティ課題に対処する枠組みを構築する。
2. Simplify and enhance the European cybersecurity certification framework.	2. 欧州サイバーセキュリティ認証枠組みの簡素化と強化。
3. Introduce simplification measures to reduce unnecessary administrative burden related to the implementation of the NIS2 Directive.	3. NIS2指令実施に関連する不必要な行政負担を軽減するための簡素化措置の導入。
4. Strengthened European Union Agency for Cybersecurity (ENISA) to make it fit for purpose.	4. 欧州サイバーセキュリティ機関（ENISA）の機能強化による目的適合性の確保。
3. How will the Cybersecurity Act strengthen cybersecurity in the EU?	3. サイバーセキュリティ法はEUのサイバーセキュリティをどう強化するのか？
A shared European approach to cybersecurity is essential for protecting Europe’s overall security. The proposal will enhance the cybersecurity resilience of Europe’s critical infrastructures by setting up a horizontal framework for trusted ICT supply chain security. This will allow the EU and Member States to act together to address strategic risks of undue foreign interference and critical dependencies in critical ICT supply chains with targeted and proportionate measures. It will also ensure that operators of electronic communications networks do not rely on high-risk suppliers for their critical assets.	欧州全体の安全保障を守るには、サイバーセキュリティに対する欧州共通のアプローチが不可欠である。本提案は、信頼できるICTサプライチェーンセキュリティのための横断的枠組みを構築することで、欧州の重要インフラのサイバーセキュリティレジリエンスを強化する。これによりEUと加盟国は、重要ICTサプライチェーンにおける不当な外国干渉や重大な依存関係という戦略的リスクに対し、的を絞った均衡のとれた措置で共同対応できるようになる。また、電子通信ネットワーク事業者が重要資産において高リスクな供給業者に依存しないことも保証する。
4. Who will benefit from the revised Cybersecurity Act?	4. 改正サイバーセキュリティ法は誰に利益をもたらすか？
The revised Cybersecurity Act will reinforce the cybersecurity posture of the EU, benefiting the wider economy, citizens, businesses and public authorities. It will provide streamlined ways for businesses to demonstrate their compliance with Union cybersecurity rules, reducing their administrative costs. The Act will also help businesses recruit and train cybersecurity professionals.	改正サイバーセキュリティ法はEUのサイバーセキュリティ態勢を強化し、広範な経済、市民、企業、公共機関に利益をもたらす。企業がEUのサイバーセキュリティ規則への準拠を証明する方法を合理化し、行政コストを削減する。また企業がサイバーセキュリティ専門家を採用・育成する支援も行う。
5. How does this initiative interact with other EU policies?	5. この取り組みは他のEU政策とどう連携するのか？
The proposal for the revised Cybersecurity Act is complementary to the upcoming Cloud and AI Development Act (CADA) and the Digital Omnibus. The CADA will ensure highly critical use cases in the public sector are powered by secure EU-base cloud and AI computing services. The Digital Omnibus aims to simplify the implementation of EU cybersecurity rules.	改正サイバーセキュリティ法案の提案は、今後制定予定のクラウド・AI開発法（CADA）およびデジタルオムニバス法と補完関係にある。CADAは公共部門における極めて重要なユースケースが、EUベースの安全なクラウドコンピューティング・サービスによって支えられることを保証する。デジタルオムニバス法はEUサイバーセキュリティ規則の実施を簡素化することを目的とする。
6. How will the security of ICT supply chains be strengthened?	6. ICTサプライチェーンの安全性はどのように強化されるのか？
The Cybersecurity Act aims to reduce risks in the EU’s ICT supply chain from third-country suppliers with cybersecurity concerns. It sets a trusted ICT supply chain security framework using a harmonised, proportionate and risk-based approach.	サイバーセキュリティ法は、サイバーセキュリティ上の懸念がある第三国サプライヤーによるEUのICTサプライチェーンにおけるリスクを低減することを目指す。調和のとれた、比例原則に基づくリスクベースのアプローチを用いて、信頼できるICTサプライチェーンのセキュリティ枠組みを設定する。
Recent cybersecurity incidents have highlighted the major risks of vulnerabilities in the ICT supply chains, which are essential for critical services and infrastructure. In today’s geopolitical landscape, supply chain security is no longer only a question of the product and service technical security. It is also a question of risks related to a supplier, particularly related to dependencies and foreign interference.	最近のサイバーセキュリティインシデントは、重要サービスやインフラに不可欠なICTサプライチェーンの脆弱性がもたらす重大なリスクを浮き彫りにした。今日の世界情勢において、サプライチェーンの安全保障はもはや製品やサービスの技術的安全性の問題だけではない。サプライヤーに関連するリスク、特に依存関係や外国の干渉に関連する問題でもある。
7. How is the EU Agency for Cybersecurity being reinforced?	7. EUサイバーセキュリティ庁はどのように強化されるのか？
The proposal reinforces ENISA’s role in operational cooperation, shared situational awareness of cyber threats and incidents, standards and certification, as well as support with ransomware attack mitigation measures and the implementation of the Cybersecurity Skills Academy.	本提案は、ENISAの役割を以下の分野で強化する：運用協力、サイバー脅威・インシデントに関する状況認識の共有、標準化・認証、ランサムウェア攻撃緩和支援、サイバーセキュリティ技能アカデミーの実施。
The proposal aims to ensure that ENISA has the resources to carry out its tasks by increasing its budget by more than 75%.	ENISAが任務を遂行するための資源を確保するため、予算を75％以上増額する。
Member States would contribute to this increase by designating two liaison officers per Member State, facilitating operational cooperation and the exchange of information between Member States.	加盟国は、各加盟国から2名の連絡担当官を指名することでこの増額に貢献し、加盟国間の運用協力と情報交換を促進する。
8. What will be ENISA’s role on standardisation?	8. ENISAの標準化における役割は何か？
Standards and technical specifications play an essential role in facilitating implementation efforts for businesses and public authorities and guarantee uniform application of cybersecurity rules across the internal market, in particular those stemming from the Cyber Resilience Act.	標準と技術仕様は、企業や公的機関の実施努力を促進し、特にサイバーレジリエンス法に由来するサイバーセキュリティ規則の域内市場全体での統一的な適用を保証する上で不可欠な役割を果たす。
At international level, they shape state-of-the-art cybersecurity practices and the way technologies are designed and maintained. In line with the European Standardisation Regulation, ENISA’s role will be strengthened to be more effectively involved in the making of cybersecurity standards at European and international level in accordance with EU values. It will ensure that standardisation deliverables meet legal needs in the area of cybersecurity, for instance by supporting the Commission in assessing harmonised standards. Where no standards are available to meet legislative needs, ENISA will develop technical specifications, in particular for European cybersecurity schemes.	国際レベルでは、これらは最先端のサイバーセキュリティ実践や技術設計・維持の方法形成に寄与する。欧州標準化規則に沿い、ENISAの役割は強化され、EUの価値観に則った欧州・国際レベルでのサイバーセキュリティ標準策定へより効果的に関与する。例えば調和規格のアセスメントにおいて委員会を支援するなど、標準化成果物がサイバーセキュリティ分野の法的要件を満たすことを確保する。立法上のニーズを満たす標準が存在しない場合、ENISAは特に欧州サイバーセキュリティスキーム向けに技術仕様を開発する。
9. What are the main changes introduced in the European Cybersecurity Certification Framework (ECCF)?	9. 欧州サイバーセキュリティ認証枠組み（ECCF）に導入された主な変更点は何か？
The new ECCF will introduce three main changes:	新たなECCFでは主に3つの変更が導入される：
1. The scope of the frameworks is clarified and extended to ensure legal certainty and meet market needs. Certification is a means of technical cybersecurity assurance that will be complemented by the ICT supply chain security mechanism. Entities will be able to certify their cyber posture, next to ICT products, services, processes and managed security services, this means that entities will be able to use such certificates to demonstrate compliance and get presumption of conformity with NIS2 and other Union legislations.	1. 枠組みの適用範囲を明確化し拡大することで、法的確実性を確保し市場のニーズに応える。認証は技術的なサイバーセキュリティ保証の手段であり、ICTサプライチェーンセキュリティメカニズムによって補完される。事業体はICT製品・サービス・プロセス・マネージドセキュリティサービスに加え、自らのサイバー態勢を認証できるようになる。これは事業体が当該認証を活用し、NIS2やその他のEU法規制への適合性を証明し、適合性の推定を得られることを意味する。
2. Clear deadlines and deliverables, as well as a more efficient and effective governance framework to develop and maintain schemes. ENISA, as scheme manager, will be responsible for the maintenance of the schemes. It defines legal timelines for the development of schemes. Following the Commission request, ENISA shall develop a candidate scheme within one year as a rule.	2. 明確な期限と成果物、ならびにスキームの開発・維持のための効率的かつ効果的なガバナンス枠組みが導入される。スキーム管理者であるENISAはスキームの保守を担当する。スキーム開発の法的タイムラインが定義される。委員会の要請を受け、ENISAは原則として1年以内に候補スキームを開発しなければならない。
3. Schemes should serve as compliance tools for businesses. Any scheme must be aligned with existing cybersecurity legislation. Consistency and greater harmonisation across schemes will mean less compliance burden for businesses.	3. スキームは企業のコンプライアンスツールとして機能すべきである。あらゆるスキームは既存のサイバーセキュリティ法規と整合していなければならない。スキーム間の一貫性と調和の強化は、企業のコンプライアンス負担軽減につながる。
10. What is the state of play of the current schemes?	10. 現行スキームの進捗状況はどうか？
In 2024, the EU adopted as a first scheme the EUCC (European cybersecurity certification scheme based on Common Criteria). Currently, there are two schemes under development, respectively for certifying Digital Identity Wallets (EUID) and for managed security services (EUMSS) that could be adopted soon.	2024年、EUは初のスキームとしてEUCC（共通規準に基づく欧州サイバーセキュリティ認証スキーム）を採択した。現在、デジタルIDウォレット（EUID）認証とマネージドセキュリティサービス（EUMSS）認証の2つのスキームが開発中であり、近く採択される可能性がある。
Furthermore, the work related to the schemes for cloud services (EUCS) and 5G (EU5G) is expected to resume. Regarding 5G, the new Cybersecurity Act provides for a phase-out of high-risk suppliers from mobile networks meaning that conformity assessment bodies cannot certify products or services from those suppliers. On cloud, the new Cybersecurity Act complemented by the upcoming CADA will fill gaps related to sovereignty aspects and non-technical risks. Anchored in this legislative context, the EUCS will resume and is set up for a successful conclusion.	さらに、クラウドサービス（EUCS）および5G（EU5G）向けスキームに関する作業が再開される見込みだ。5Gに関しては、新たなサイバーセキュリティ法がモバイルネットワークからの高リスクプロバイダの段階的排除を規定しており、適合性評価団体はそれらのプロバイダの製品やサービスを認証できなくなる。クラウド分野では、新たなサイバーセキュリティ法と今後施行されるCADA（サイバーセキュリティ・アクセス・データ・保護法）が、主権的側面や非技術的リスクに関する空白を埋める。この法的枠組みに基づき、EUCSは再開され、成功裏に完了する見込みだ。
Finally, following the entry into force of the new Cybersecurity Act, the Commission intends to issue a request for a certification scheme for the cyber posture of entities.	最後に、新たなサイバーセキュリティ法の施行後、欧州委員会は事業体のサイバー態勢に関する認証スキームの要求を発行する意向である。
11. How will the new measures facilitate compliance with cybersecurity rules?	11. 新たな措置はサイバーセキュリティ規則の順守をどのように促進するのか？
The new Cybersecurity Act package also introduces clarification and simplification measures to facilitate compliance with existing cybersecurity rules and risk-management requirements for companies operating in the EU.	新たなサイバーセキュリティ法パッケージは、EU域内で事業を行う企業に対する既存のサイバーセキュリティ規則およびリスクマネジメント要件の順守を促進するため、明確化および簡素化措置も導入する。
This complements the single-entry point for incident reporting proposed in the Digital Omnibus.	これはデジタルオムニバスで提案されたインシデント報告の単一窓口を補完するものである。
The package also proposes targeted amendments to the NIS 2 Directive:	本パッケージはNIS 2指令に対する以下の対象を絞った改正も提案している：
To clarify certain aspects regarding the scope and definitions, increasing legal clarity and removing compliance burden for 28,700 companies, including 6,200 micro and small-sized enterprises;	適用範囲と定義に関する特定の側面を明確化し、法的明確性を高め、6,200の零細・中小企業を含む28,700社のコンプライアンス負担を軽減する；
To introduce a new category of small mid-cap enterprises that will reduce the compliance costs for 22,500 companies;	・新たな「中小中堅エンタープライズ」カテゴリーを導入し、22,500社のコンプライアンスコストを削減する；
To add measures simplifying jurisdictional rules, streamlining the collection of data on ransomware attacks and facilitating the supervision of cross-border entities with ENISA’s reinforced coordinating role.	・管轄規則を簡素化する措置を追加し、ランサムウェア攻撃に関するデータ収集を効率化するとともに、ENISAの強化された調整役を通じて越境事業体の監督を容易にする。
12. Why is the Commission proposing to modify the scope of the NIS2 Directive?	12. 欧州委員会がNIS2指令の適用範囲修正を提案する理由は何か？
The targeted amendments to the NIS2 Directive are informed by experience gained during the transposition and the implementation of the Directive, as well as by emerging security threats and new EU policy developments.	NIS2指令の改正案は、同指令の国内法化・実施過程で得られた知見、新たなセキュリティ脅威、EU政策の進展を踏まえて策定された。
For instance, the amendments aim to ensure proportionality in the implementation of the NIS2 Directive in sectors such as electricity or chemicals, where more precise legal drafting is necessary to appropriately define the scope of the Directive. At the same time, they ensure that submarine data cable infrastructure, as an increasingly critical type of infrastructure, is more comprehensively covered by the scope of the Directive. Furthermore, the amendments to the Directive ensure coherence with the recent legislative proposal for a regulation on establishing a framework of measures to facilitate the transport of military equipment, goods and personnel across the Union.	例えば、改正案は、電気や化学などの分野におけるNIS2指令の実施において比例原則を確保することを目的としている。これらの分野では、指令の適用範囲を適切に定義するために、より精緻な法的文言が必要である。同時に、海底データケーブルインフラがますます重要化するインフラ種別として、本指令の適用範囲により包括的に包含されることを保証する。さらに、本指令の改正は、軍事装備品・物資・要員の域内輸送を円滑化するための措置枠組みを確立する規則に関する最近の立法提案との整合性を確保するものである。
The EU’s agency for Cybersecurity is well-placed to maintain an overview of cross-border cybersecurity risks under the NIS2 Directive. By defining its role in mutual assistance under the NIS2 Directive, the proposal leverages ENISA’s capacities to better support Member States’ competent authorities in the application of the NIS2 Directive rules.	EUサイバーセキュリティ機関（ENISA）は、NIS2指令に基づく越境サイバーセキュリティリスクの全体像を把握するのに適した立場にある。NIS2指令における相互支援におけるENISAの役割を定義することで、本提案はENISAの能力を活用し、加盟国の管轄当局がNIS2指令の規則を適用する際の支援を強化する。

 

 

Factsheet

・Factsheet: New Cybersecurity Package

 

 

 

法案...

・Proposal for a Regulation for the EU Cybersecurity Act

 

Proposal for a Regulation for the EU Cybersecurity Act	EUサイバーセキュリティ法に関する規則案
The Commission has proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities.	欧州委員会は、EUのサイバーセキュリティ耐性と能力をさらに強化するため、新たなサイバーセキュリティ対策パッケージを提案した。
The Proposal for a revised Cybersecurity Act is part of this package. It aims to increase cybersecurity capabilities and resilience and prevent fragmentation across the EU digital single market. It also enhances the security of the EU's Information and Communication Technologies (ICT) supply chains. It ensures that products reaching EU citizens are cyber-secure by design through a simpler certification process. It also facilitates compliance with existing EU cybersecurity rules and reinforces the EU Agency for Cybersecurity (ENISA) in supporting Member States and the EU in managing cybersecurity threats.	改正サイバーセキュリティ法に関する提案は、このパッケージの一部である。EUデジタル単一市場におけるサイバーセキュリティ能力とレジリエンスの向上、および分断の防止を目的とする。また、EUの情報通信技術（ICT）サプライチェーンの安全性を強化する。簡素化された認証プロセスを通じて、EU市民に届く製品が設計段階からサイバーセキュリティを確保することを保証する。さらに、既存のEUサイバーセキュリティ規則への準拠を促進し、EUサイバーセキュリティ庁（ENISA）が加盟国及びEUのサイバーセキュリティ脅威管理を支援する役割を強化する。
You can download the Proposal and the annexes below.	提案書及び附属書は以下からダウンロードできる。
Downloads	ダウンロード
1. COM(2026) 11 - Proposal for a Regulation for the EU Cybersecurity Act	1. COM(2026) 11 - EUサイバーセキュリティ法に関する規則案
2. COM(2026) 11 - Annexes to the Proposal for a Regulation for the EU Cybersecurity Act	2. COM(2026) 11 - EUサイバーセキュリティ法に関する規則案の附属書
3. Impact Assessment - Proposal for a Regulation for the EU Cybersecurity Act	3. 影響アセスメント - EUサイバーセキュリティ法に関する規則案
4. Summary of the Impact Assessment - Proposal for a Regulation for the EU Cybersecurity Act	4. 影響アセスメントの概要 - EUサイバーセキュリティ法に関する規則案
Related topics	関連トピック
Cybersecurity Strengthening trust and security An agile rulebook	サイバーセキュリティ 信頼と安全の強化 柔軟なルールブック

 

 

The NIS2 targeted amendments

・Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act

 

Proposal for a Directive as regards simplification measures and alignment with the Cybersecurity Act	簡素化措置及びサイバーセキュリティ法との整合性に関する指令案
The Commission has proposed a new cybersecurity package to further strengthen the EU's cybersecurity resilience and capabilities.	欧州委員会は、EUのサイバーセキュリティレジリエンスと能力をさらに強化するため、新たなサイバーセキュリティパッケージを提案した。
The package introduces measures to simplify compliance with EU cybersecurity rules and risk-management requirements for companies operating in the EU, complementing the single-entry point for incident reporting proposed in the Digital Omnibus. Targeted amendments to the NIS2 Directive aim to increase legal clarity by simplifying jurisdictional rules, streamlining the collection of data on ransomware attacks and facilitating the supervision of cross-border entities with ENISA's reinforced coordinating role.	このパッケージは、EU内で事業を行う企業に対するEUサイバーセキュリティ規則及びリスクマネジメント要件の遵守を簡素化する措置を導入し、デジタルオムニバスで提案されたインシデント報告の単一窓口を補完するものである。NIS2指令に対する対象を絞った改正は、管轄規則の簡素化、ランサムウェア攻撃に関するデータ収集の効率化、ENISAの強化された調整役割による越境事業体の監督促進を通じて、法的明確性を高めることを目的としている。
You can download the Proposal and its annex below.	提案書とその附属書は以下からダウンロードできる。
Downloads	ダウンロード
1. COM(2026) 13 - Directive Proposal for simplification measures and alignment with the Cybersecurity Act	1. COM(2026) 13 - 簡素化措置及びサイバーセキュリティ法との整合化に関する指令提案書
2. COM(2026) 13 - Annex to the Directive Proposal for simplification measures and alignment with the Cybersecurity Act	2. COM(2026) 13 - 簡素化措置及びサイバーセキュリティ法との整合化に関する指令提案書の附属書

 

 

法案の条項...

	編		章		節		条
第1編	一般規定					第1条	対象及び適用範囲
						第2条	定義
第２編	欧州連合サイバーセキュリティ庁	第1章	使命と目的			第3条	ENISAの使命
						第4条	ENISAの目的
		第2章	任務	第1節	連合の政策及び法律の実施支援	第5条	連合の政策及び法の実施に対する支援
						第6条	能力構築
						第7条	啓発活動と人材育成
						第8条	市場知識と分析
						第9条	国際協力
				第2節	業務上の協力	第10条	連合レベルでの運用協力
						第11条	共有サイバーセキュリティ状況認識
						第12条	早期警報
						第13条	インシデント対応及びレビューの支援
						第14条	連合レベルにおけるサイバーセキュリティ演習
						第15条	ツール及びプラットフォームの提供
						第16条	脆弱性管理サービス
				第3節	サイバーセキュリティ認証及び標準化	第17条	サイバーセキュリティ認証
						第18条	標準化、技術仕様及びガイダンス
				第4節	サイバーセキュリティ技能アカデミーの実施	第19条	欧州サイバーセキュリティ技能枠組み
						第20条	欧州個人サイバーセキュリティ技能認定スキームの開発、採用及び保守
						第21条	認可された認証プロバイダ
						第22条	認定認証プロバイダとなるための申請の審査及び認定の保守
						第23条	公開情報
		第3章	ENISAの組織			第24条	ENISAの行政及び管理構造
				第1節	管理委員会	第25条	管理委員会の構成
						第26条	管理委員会の委員長
						第27条	管理委員会の会議
						第28条	管理委員会の機能
						第29条	理事会の議決規則
				第2節	執行委員会	第30条	執行委員会
				第3節	事務局長	第31条	任命、解任及び任期延長
						第32条	事務局長の任務及び責任
				第4節	副事務局長	第33条	副事務局長
						第34条	副執行理事の任務及び責任
				第5節	ENISA諮問グループ	第35条	ENISA諮問グループ
				第6節	上訴委員会	第36条	上訴委員会の設置及び構成
						第37条	上訴委員会の委員
						第38条	除斥及び忌避
						第39条	決定及び不作為に対する不服申立て
						第40条	上訴権者、期限及び形式
						第41条	中間的な見直し
						第42条	不服申立てに関する決定の審査
						第43条	欧州連合司法裁判所における訴訟
				第7節	業務	第44条	単一プログラム文書
		第4章	ENISAの予算の編成と構造			第45条	ENISAの予算の編成
						第46条	ENISAの予算の構成
						第47条	手数料
						第48条	ENISAの予算の実施
						第49条	決算報告と免責
						第50条	財務規則
						第51条	不正対策
						第52条	利害関係の申告
						第53条	透明性
						第54条	ENISA内の守秘義務
						第55条	文書へのアクセス
						第56条	一般規定
		第5章	職員及び連絡担当官			第57条	特権及び免除
						第58条	連絡担当官
						第59条	派遣された国内専門家及びその他の職員
		第6章	ENISAに関する一般規定			第60条	ENISAの法的地位
						第61条	所在地
						第62条	本部協定及び運営条件
						第63条	行政上の監督
						第64条	ENISAの責任
						第65条	言語の取扱い
						第66条	個人データの保護
第67条	機密扱いでない機微情報及び機密情報の防御に関するセキュリティ規則
第68条	EU事業体および各国当局との協力
第69条	利害関係者との協力
第70条	第三国及び国際機関との協力
第３編	欧州サイバーセキュリティ認証枠組み	第1章	目的、範囲及び手続			第71条	欧州サイバーセキュリティ認証枠組みの目的及び範囲
						第72条	公開情報と協議
						第73条	欧州サイバーセキュリティ認証スキームの要請
						第74条	欧州サイバーセキュリティ認証スキームの作成及び採択
						第75条	欧州サイバーセキュリティ認証スキームの保守
						第76条	欧州サイバーセキュリティ認証スキームの評価、見直し及び廃止
						第77条	欧州サイバーセキュリティ認証スキームにおける技術仕様
						第78条	EU法令の遵守の促進
						第79条	欧州サイバーセキュリティ認証スキームの採用、ENISAウェブサイト及び証明書の公表
		第2章	欧州サイバーセキュリティ認証スキームの内容			第80条	欧州サイバーセキュリティ認証スキームのセキュリティ目標
						第81条	欧州サイバーセキュリティ認証スキームの構成要素
						第82条	欧州サイバーセキュリティ認証スキームの保証レベル及び評価レベル
						第83条	適合性自己アセスメント
						第84条	認証済みICT製品、ICTサービス及びICTプロセスに関する補足サイバーセキュリティ情報
		第3章	欧州サイバーセキュリティ認証枠組みのガバナンス	第1節	欧州サイバーセキュリティ認証スキームの一般規則及び管理	第85条	欧州サイバーセキュリティ証明書の発行
						第86条	国内サイバーセキュリティ認証制度及び認証書
						第87条	欧州サイバーセキュリティ証明書の国際的承認
						第88条	国内サイバーセキュリティ認可機関
						第89条	ピアレビュー
						第90条	欧州サイバーセキュリティ認証グループ
				第2節	適合性アセスメント団体	第91条	適合性アセスメント団体の能力
						第92条	適合性アセスメント団体の能力に関する追加的な調和
						第93条	適合性アセスメント団体の通知
						第94条	適合性アセスメント団体の能力に関する異議申立て
						第95条	適合性アセスメント団体の情報提供及び保存義務
				第3節	その他の規定	第96条	苦情申立権及び実効的な司法救済を受ける権利
						第97条	罰則
第4編	情報通信技術サプライチェーンのセキュリティ	第1章	信頼できるICTサプライチェーンの枠組み			第98条	枠組みの適用範囲
						第99条	セキュリティリスクアセスメント
						第100条	サイバーセキュリティ上の懸念を生じさせる第三国の指定
						第101条	ICTサプライチェーンのセキュリティに関する一般的な仕組み
						第102条	主要なICT資産の特定
						第103条	ICTサプライチェーンにおける緩和措置
						第104条	高リスク供給者の特定
						第105条	サイバーセキュリティ上の懸念がある第三国の事業体によって設立または支配されている事業体に対する免除
						第106条	防御権
						第107条	登録簿
						第108条	守秘義務
						第109条	手数料
		第2章	電子通信ネットワークにおけるICTサプライチェーン			第110条	移動体、固定及び衛星電子コミュニケーションネットワークのための主要ICT資産
						第111条	移動体、固定及び衛星電子コミュニケーションネットワークに関する禁止事項
		第3章	管轄当局、監督及び執行、管轄権、防御権			第112条	管轄当局
						第113条	委員会の協力・支援サービスネットワーク
						第114条	監督及び執行措置
						第115条	罰則
						第116条	相互援助
						第117条	管轄権及び属地主義
						第118条	委員会手続
第6編	最終規定					第119条	委任の行使
						第120条	評価及び見直し
						第121条	廃止及び活動の継続
						第122条	発効

 

COM(2026) 11 - Proposal for a Regulation for the EU Cybersecurity Actの前半部分の仮訳...

・[DOCX][PDF] 仮訳

 

---

ちなみに現在のCyersecurity Acut

●  EU-Lex

・Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.01.07 欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

 

 

 

ドイツ BSIがセキュリティや主権機能の設計を支援したAWS 欧州ソブリンクラウドが開始した (2026.01.15)

こんにちは、丸山満彦です。

日本ではソブリンクラウドについてなんとなく話されている程度ですが、欧州では戦略的に体系立てて整理され、実装にむけて進んでいますね...で、AWSを利用した欧州ソブリンクラウドが開始されたという話です...

 

● BSI

・2025.01.15 AWS European Sovereign Cloud startet: BSI unterstützt bei Ausgestaltung von Sicherheits- und Souveränitätsmerkmalen

AWS European Sovereign Cloud startet: BSI unterstützt bei Ausgestaltung von Sicherheits- und Souveränitätsmerkmalen	AWS European Sovereign Cloud が開始：BSI がセキュリティおよび主権機能の設計を支援
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt den US-Cloud-Anbieter Amazon Web Services (AWS) bei der Ausgestaltung von Sicherheits- und Souveränitätsmerkmalen seiner heute gestarteten European Sovereign Cloud (ESC): einer eigenständigen Cloud-Infrastruktur, die sich vollständig innerhalb der EU befindet und deren Betrieb physisch wie auch logisch von der globalen AWS-Instanz unabhängig sein wird.	ドイツ連邦情報セキュリティ局（BSI）は、米国のクラウドプロバイダーである Amazon Web Services（AWS）が本日開始した European Sovereign Cloud（ESC）のセキュリティおよび主権機能の設計を支援している。ESC は、EU 域内に完全に設置され、物理的および論理的にグローバルな AWS インスタンスから独立して運用される、独立したクラウドインフラストラクチャである。
BSI-Präsidentin Claudia Plattner: „Um mit digitalen Innovationen Schritt zu halten und gleichzeitig digitale Souveränität zu ermöglichen, verfolgt das BSI eine Doppelstrategie. Erstens: Der europäische Markt und die hiesige Digitalindustrie müssen gestärkt werden. Zweitens: Außereuropäische globale Produkte müssen so angepasst und eingebettet werden, dass eine sichere und selbstbestimmte Nutzung möglich wird. Voraussetzung dafür sind im Bereich Cloud-Computing innovative Angebote, die als europäische Instanzen sowohl technisch als auch organisatorisch unabhängig betrieben werden. Die Zukunft der Hyperscaler in Europa sind daher Angebote wie die AWS European Sovereign Cloud. Als Cybersicherheitsbehörde Deutschlands freuen wir uns, dass wir zu deren Konzeption beitragen können. Wir werden die Umsetzung der Sicherheits- und Souveränitätsmerkmale eng begleiten.“	BSI のクラウディア・プラットナー会長は、「デジタルイノベーションに遅れを取らないよう、同時にデジタル主権を実現するため、BSI は 2 つの戦略を追求している。まず、欧州市場と欧州のデジタル産業を強化すること。次に、欧州以外のグローバル製品を、安全かつ自主的な利用が可能になるよう調整し、組み込むことだ。その前提条件としては、クラウドコンピューティングの分野において、技術的にも組織的にも独立して運営される、革新的なサービスが必要だ。したがって、ヨーロッパにおけるハイパースケーラーの未来は、AWS European Sovereign Cloud のようなサービスにある。ドイツのサイバーセキュリティ機関として、その構想に貢献できることを嬉しく思う。我々は、セキュリティと主権の特徴の実装を密接に支援していくつもりだ。」
Stéphane Israël, Managing Director AWS European Sovereign Cloud and Digital Sovereignty: „Europa braucht Zugang zu führender Cloud- und KI-Technologie. Die Erweiterung der AWS Innovationen in Europa wird dabei helfen, das Wachstum unserer Kunden und ihre KI-Ambitionen voranzutreiben. Kunden wollen das Beste aus beiden Welten – sie möchten die komplette Palette der fortschrittlichen Cloud- und KI-Services von AWS nutzen können und gleichzeitig sicherstellen, dass sie strengste Souveränitätsanforderungen erfüllen können. Indem wir eine Cloud aufbauen, die in ihrer Technologie, ihrem Betrieb und ihrer Kontrolle vollständig europäisch ist, ermöglichen wir Organisationen, mit Zuversicht zu innovieren und dabei die vollständige Kontrolle über ihre digitalen Ressourcen zu behalten.“	ステファン・イスラエル、AWS European Sovereign Cloud and Digital Sovereignty マネージングディレクター：「ヨーロッパは、最先端のクラウドおよび AI テクノロジーへのアクセスを必要としている。ヨーロッパにおける AWS のイノベーションの拡大は、お客様の成長と AI に関する野心の推進に貢献するだろう。顧客は、両方の長所を最大限に活用したいと考えている。つまり、AWS の先進的なクラウドおよび AI サービスをすべて利用しながら、最も厳しい主権要件も満たすことを望んでいる。技術、運用、管理のすべてにおいて完全にヨーロッパのクラウドを構築することで、組織は自信を持ってイノベーションを推進しながら、デジタルリソースを完全に管理し続けることができるようになる。」
Um Souveränität faktisch zu gewährleisten, sollte die AWS European Sovereign Cloud aus Sicht des BSI technische und strukturelle Souveränitätsmerkmale kombinieren: Zu den wichtigsten Aspekten gehört dabei neben der technischen Unabhängigkeit von der globalen Partition ein technisch und organisatorisch eigenständiges Personal der europäischen Cloud-Infrastruktur, das den Regelbetrieb (einschließlich der kontinuierlichen Schließung von Sicherheitslücken) sicherstellt und ausschließlich aus EU-Bürgern zusammengesetzt ist. Darüber hinaus ist es aus Sicht des BSI unabdingbar, durch technische Kontrollschichten zum einen zu verhindern, dass Nutzerdaten aus dem EU-Raum abfließen können, und zum anderen auszuschließen, dass eine externe Steuerung oder auch Abschaltung (sog. Kill-Switch) der Instanz vorgenommen werden kann. Dies betrifft auch Updates, welche in die ESC eingespielt werden.	主権を事実上確保するためには、BSI の見解では、AWS European Sovereign Cloud は技術的および構造的な主権の特徴を組み合わせていなければならない。その最も重要な側面としては、グローバルパーティションからの技術的独立性に加え、欧州のクラウドインフラストラクチャの技術的および組織的に独立したスタッフがいることが挙げられる。このスタッフは、通常の運用（セキュリティギャップの継続的な解消を含む）を確保し、EU 市民のみで構成される。さらに、BSI の見解では、技術的な制御層によって、EU 域外へのユーザーデータの流出を防止するとともに、外部からの制御やインスタンスの停止（いわゆるキルスイッチ）を不可能にすることが不可欠だ。これは、ESC に導入されるアップデートにも当てはまる。
Im nächsten Schritt wird das BSI den Status der Entkopplungsfähigkeit und die Umsetzung u.a. der genannten Souveränitätsmaßnahmen prüfen und bewerten sowie zur weiteren Optimierung der Souveränitätsmerkmale der AWS ESC beitragen.	次のステップとして、BSI は、分離可能性のステータス、および上記の主権対策などの実施状況を検証・評価し、AWS ESC の主権特性のさらなる最適化に貢献する予定だ。
Im Laufe des Jahres wird das BSI auf Basis des EU Cloud Sovereignty Framework allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen. Diese Kriterien sollen als Grundlage für die Bewertung des Autonomiegrades von Cloud-Lösungen dienen und u.a. auch in Beschaffungsprozessen eingesetzt werden können.	今年中に、BSI は EU クラウド主権フレームワークに基づいて、クラウドコンピューティングソリューションの一般的な主権基準を発表する予定だ。これらの基準は、クラウドソリューションの自律性の程度を評価するための基礎として、また調達プロセスなどで活用することができる。

 

 

---

 

 

・2025.10 [PDF] Cloud Sovereignty Framework Version 1.2.1 – Oct. 2025

・[DOCX][PDF] 仮訳

 

参考

主権目標

#	Sovereignty Objectives	主権目標	Sovereignty Objectives Descriptions	主権目標の説明
SOV-1	Strategic  Sovereignty	戦略的主権	Strategic sovereignty captures the degree to which the services of a cloud provider (or technology actor) are anchored within the European Union legal, financial, and industrial ecosystem. It assesses ownership stability, governance influence, and alignment with EU strategic priorities.	戦略的主権とは、クラウドプロバイダ（または技術アクター）のサービスが、欧州連合の法的・金融・産業エコシステムにどの程度定着しているかを示すものである。所有権の安定性、ガバナンスへの影響力、EUの戦略的優先事項との整合性を評価する。
SOV-2	Legal & Jurisdictional Sovereignty	法的・管轄主権	Legal & Jurisdictional sovereignty evaluates the legal environment, exposure to foreign authority, and enforceability of rights that govern the services of a technology provider. It determines the extent to which the services are anchored in European jurisdiction and insulated from external legal claims.	法的・管轄主権は、技術プロバイダのサービスを統治する法的環境、外国当局への曝露、権利の執行可能性を評価する。サービスが欧州の管轄権にどの程度定着し、外部からの法的請求から隔離されているかを決定する。
SOV-3	Data & AI  Sovereignty	データ・AI主権	Data & AI sovereignty focuses on the protection, control, and independence of data assets and AI services within the EU. It addresses how data is secured, where it is processed, and the degree of autonomy customers retain over AI capabilities.	データ・AI主権は、EU域内におけるデータ資産とAIサービスの防御、管理、独立性に焦点を当てる。データの防御方法、処理場所、顧客がAI機能に対して保持する自律性の程度を扱う。
SOV-4	Operational  Sovereignty	運用主権	Operational sovereignty measures the practical ability of EU actors to run, support, and evolve a technology independently of foreign control. It focuses on continuity of operations, skill availability, and resilience against external dependencies.	運用主権とは、EU関係者が外国の支配を受けずに技術を運用・支援・進化させる実践的能力を測るものである。運用継続性、技能の可用性、外部依存に対するレジリエンスに焦点を当てる。
SOV-5	Supply Chain  Sovereignty	サプライチェーン主権	Supply chain sovereignty evaluates the geographic origin, transparency, and resilience of the technology supply chain, focusing on the extent to which critical components and processes remain under EU control or exposed to non-EU dependencies.	サプライチェーン主権は、技術サプライチェーンの地理的起源、透明性、レジリエンスを評価する。重要部品やプロセスがEUの管理下に留まるか、非EU依存に晒されるかの程度に焦点を当てる。
SOV-6	Technology  Sovereignty	技術主権	Technology sovereignty evaluates the degree of openness, transparency, and independence in the underlying technological stack, ensuring EU actors can interoperate, audit, and evolve solutions without lock-in to foreign proprietary systems.	技術主権は、基盤となる技術スタックの開放性、透明性、独立性の程度を評価する。これにより、EU関係者が外国の独自システムに縛られることなく、相互運用、監査、ソリューションの進化を実現できることを保証する。
SOV-7	Security & Compliance Sovereignty	セキュリティ・コンプライアンス主権	Security & Compliance sovereignty measures the extent to which security operations, compliance obligations, and resilience measures are controlled within the EU, ensuring independence from foreign jurisdictions and long-term operational assurance.	セキュリティ・コンプライアンス主権は、セキュリティ運用、コンプライアンス義務、レジリエンス対策がEU域内で管理されている程度を測定し、外国の管轄権からの独立性と長期的な運用保証を確保する。
SOV-8	Environmental Sustainability	環境持続可能性	Environmental sustainability assesses autonomy and resilience of cloud services over the long term in relation to energy usage, dependency and raw material scarcity.	環境持続可能性は、エネルギー使用量、依存度、原材料の不足に関して、クラウドサービスの長期的な自律性とレジリエンスを評価する。

 

 

主権効果保証レベル（SEAL）

主権効果保証レベル	Sovereignty Effectiveness Assurance Levels Descriptions	主権有効性保証レベルの説明
SEAL-0	No Sovereignty:	主権なし：
	Service, technology or operations under exclusive control of non-EU third parties, governed entirely in non-EU jurisdictions.	サービス、技術、または運用が非EUサードパーティの独占的支配下にあり、完全に非EU管轄区域で管理されている状態。
SEAL-1	Jurisdictional Sovereignty:	管轄権主権：
	EU law formally applies with limited practical enforceability; service, technology or operations under exclusive control of non-EU third parties.	EU法が形式的に適用されるが、実際の執行力は限定的である。サービス、技術、または運営は非EUサードパーティの独占的支配下にある。
SEAL-2	Data Sovereignty:	データ主権：
	EU law applicable and enforceable, with material non-EU dependencies remaining; service, technology or operations under indirect control of non-EU third parties.	EU法が適用され執行可能だが、EU域外への重要な依存関係が残存する。サービス、技術、または業務がEU域外のサードパーティの間接的な管理下にある。
SEAL-3	Digital Resilience:	デジタルレジリエンス：
	EU law applicable and enforceable, EU actors exercising meaningful but not full influence; service, technology or operations under marginal control of non-EU third parties.	EU法が適用可能かつ執行可能だが、EU関係者は実質的影響力を行使するものの完全な支配権は有さない。サービス、技術、または運用が非EUサードパーティの軽微な支配下にある。
SEAL-4	Full Digital Sovereignty:	完全なデジタル主権：
	Technology and operations under complete EU control, subject only to EU law, with no critical non-EU dependencies.	技術と運用は完全にEUの管理下にあり、EU法のみに従う。重要な非EU依存関係は存在しない。

 

 

主権目標の評価要素

#	主権目標	Contributing factors	評価要素
SOV-1	戦略的主権	- Ensuring that bodies having decisive authority over your services are located within EU jurisdiction,	- サービスに対する決定権限を持つ団体がEUの管轄区域内に所在することを保証する。
		- Evaluating the assurances against change of control.	- 支配権の変更に対する保証を評価する。
		- Degree to which the provider relies on financing coming from EU sources.	- プロバイダがEU域内からの資金調達に依存する度合い。
		- Extent of investment, jobs, and value creation within EU.	- EU域内における投資、雇用創出、価値創造の規模。
		- Involvement in EU initiatives, Consistency with digital, green, and industrial sovereignty objectives defined at EU level.	- EUイニシアチブへの関与。EUレベルで定義されたデジタル主権、グリーン主権、産業主権の目標との整合性。
		- Ability to sustain secure operations against requests to cease or suspend the service, or if vendor support is withdrawn or disrupted.	- サービスの停止・中断要求、あるいはベンダーサポートの撤回・中断が発生した場合でも、安全な運用を維持する能力。
SOV-2	法的・管轄権主権	- The national legal system governing the provider’s operations and contracts.	- プロバイダの運営と契約を規定する国内法体系。
		- Degree of exposure to non-EU laws with cross-border reach (e.g., US CLOUD Act, Chinese Cybersecurity Law).	- 域外適用のある非EU法（例：米国クラウド法、中国サイバーセキュリティ法）へのエクスポージャー度合い。
		- Existence of legal, contractual, or technical channels through which non-EU authorities could compel access to data or systems.	- EU域外の当局がデータやシステムへのアクセスを強制できる法的、契約上、技術的な経路の存在。
		- Applicability of international regimes, which may restrict usage or transfer.	- 使用や移転を制限する可能性のある国際的な規制の適用性。
		- Location of intellectual property creation, registration, and development (EU vs. third countries), legal jurisdiction where IP is created and developed.	- 知的財産の創出、登録、開発の場所（EU対第三国）、知的財産が創出・開発される法的管轄区域。
SOV-3	データとAIの主権	- Ensuring that only the customer, not the provider, has effective control over cryptographic access to their data.	- 顧客のみが、プロバイダではなく、自らのデータへの暗号アクセスを効果的に制御できることを保証する。
		- Visibility into when, where, and by whom data is accessed, including auditability of AI model usage, mechanisms guaranteeing irreversible removal of data, with verifiable evidence.	- データがいつ、どこで、誰によってアクセスされたかの可視性。これにはAIモデル使用の監査可能性、データの不可逆的削除を保証するメカニズム、検証可能な証拠が含まれる。
		- Strict confinement of storage and processing to European jurisdictions, with no fallback to third countries.	- 保存と処理を欧州の管轄区域に厳格に限定し、第三国へのフォールバックを一切認めないこと。
		- Extent to which AI models and data pipelines are developed, trained, hosted, and governed under EU control, minimizing dependency on non-EU technology stacks.	- AIモデルとデータパイプラインがEUの管理下で開発、トレーニング、ホスティング、ガバナンスされる範囲を拡大し、EU外の技術スタックへの依存を最小限に抑えること。
SOV-4	運用主権	- Ease of migrating workloads or integrating with alternative EUcontrolled solutions without vendor lock-in.	- ベンダーロックインなしに、ワークロードの移行や代替となるEU管理ソリューションとの統合が容易であること。
		- Capacity for EU operators to manage, maintain, and support the technology without requiring non-EU vendor involvement	- EU 事業者が、EU 域外のベンダーの関与を必要とせずに、技術を管理、保守、サポートする能力。
		- Existence of an EU-based talent pool with the expertise to operate and sustain the service.	- サービスを運用・維持する専門知識を持つEU拠点の人材プールが存在すること。
		- Assurance that operational support is delivered from within the EU and subject exclusively to EU legal frameworks	- 運用サポートがEU域内から提供され、EUの法的枠組みのみに従うことが保証されていること。
		- Availability of full technical documentation, source code, and operational know-how enabling long-term autonomy.	- 長期的な自律性を可能にする完全な技術文書、ソースコード、運用ノウハウが利用可能であること。
		- Location and legal control of critical suppliers or subcontractors involved in service delivery.	- サービス提供に関わる重要なサプライヤーや下請け業者の所在地と法的管理。
SOV-5	サプライチェーン主権	- Geographic source of key physical parts, manufacturing location - countries where hardware is manufactured or assembled	- 主要な物理部品の地理的調達源、製造場所 - ハードウェアが製造または組み立てられる国々
		- Jurisdiction and provenance of embedded code controlling hardware, firmware	- ハードウェアを制御する組み込みコードの管轄権と来歴証明、ファームウェア
		- Origin of Software: where and by whom software is architected and programmed, location and jurisdiction governing software packaging, distribution, and updates.	- ソフトウェアの起源：ソフトウェアが設計・プログラミングされた場所と担当者、ソフトウェアのパッケージング、配布、更新を管轄する場所と管轄区域。
		- Degree of reliance on non-EU vendors, facilities, or proprietary technologies	- 非EUベンダー、施設、または独自技術への依存度
		- Visibility into the entire supplier and sub-supplier chain, including audit rights.	- サプライヤー及び下請けサプライヤーの全チェーンに対する可視性、監査権を含む。
SOV-6	技術主権	- Ability to integrate with other technologies through well-documented and non-proprietary APIs or protocols, extent to which the solution adheres to publicly governed and widely adopted standards, reducing dependency on single vendors	- 文書化され非専有のAPIやプロトコルを介した他技術との統合能力、公開ガバナンスされ広く採用された標準への準拠度合い、単一ベンダーへの依存低減
		- Whether software is accessible under open licenses, with rights to audit, modify, and redistribute, ensuring transparency and adaptability	- ソフトウェアがオープンライセンスで利用可能か、監査・修正・再配布の権利が付与されているか。透明性と適応性を確保する
		- Visibility into the design and functioning of the service, including architectural documentation, data flows, and dependencies	- サービスの設計と機能に関する可視性。これにはアーキテクチャ文書、データフロー、依存関係が含まれる。
		- Degree of EU independence in high-performance computing capabilities, including processors, accelerators, and software ecosystems.	- プロセッサ、アクセラレータ、ソフトウェアエコシステムを含む、高性能コンピューティング能力におけるEUの自立性の度合い。
SOV-7	セキュリティとコンプライアンスの主権	- Attainment of EU and internationally recognized certifications (e.g., ISO, ENISA schemes)	- EUおよび国際的に認められた認証（例：ISO、ENISAスキーム）の取得
		- Adherence to GDPR, NIS2, DORA, and other EU frameworks	- GDPR、NIS2、DORA、その他のEU枠組みへの準拠
		- Security Operations Centres and response teams operating exclusively under EU jurisdiction, control over security monitoring/logging - customer or EU authority ability to oversee logs, alerts, and monitoring functions directly.	- EUの管轄下で専ら運営されるセキュリティオペレーションセンター（SOC）および対応チーム。セキュリティ監視・ロギングの管理権限 - 顧客またはEU当局がログ、アラート、監視機能を直接監督する能力。
		- Transparent, timely, and EU-compliant reporting of breaches or vulnerabilities, maintenance Autonomy - ability to develop, test, and apply security patches independently of non-EU vendors	- 侵害や脆弱性に関する透明性のある、タイムリーでEU準拠の報告、保守自律性 - 非EUベンダーから独立してセキュリティパッチを開発、テスト、適用する能力
		- Capacity for EU entities to perform independent security and compliance audits with full access.	- EU 事業体が完全なアクセス権を持って独立したセキュリティおよびコンプライアンス監査を実施する能力。
SOV-8	環境持続可能性	- Adoption of energy-efficient infrastructure (e.g., low PUE) and measurable improvement targets.	- エネルギー効率の高いインフラ（例：低PUE）の採用と測定可能な改善目標。
		- Circular economy practices ensuring reuse, refurbishment, and responsible end-of-life treatment of hardware.	- ハードウェアの再利用、改修、責任ある廃棄処理を保証する循環経済の実践。
		- Transparent measurement and disclosure of carbon emissions, water usage, and other sustainability indicators.	- 炭素排出量、水使用量、その他の持続可能性指標の透明性のある測定と開示。
		- Sourcing of renewable or low-carbon energy to power infrastructure and operations	- インフラと運営に電力を供給するための再生可能エネルギーまたは低炭素エネルギーの調達。

 

---

 

参考...

● EUR-Lex

EUのデジタル主権を支える包括的サイバー安全保障戦略...

・2020.12.16 JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL The EU's Cybersecurity Strategy for the Digital Decade JOIN/2020/18 final

 

データ法

・2023.12.22 Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act) (Text with EEA relevance) 

 

NIS2指令

・2022.12.27 Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)

 

データガバナンス法

・2022.06.03 Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act) (Text with EEA relevance)

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.08 英国 王立防衛安全保障研究所 (RUSI) 諜報機関が商用クラウドサービスを利用するということはどういうことか？

 

ドイツ BSI 初のEUCC認証が発行されまたした... (2026.01.13)

こんにちは、丸山満彦です。

EUCCの認証を発行したようですね...

第一号はインフィニオン セキュリティ コントローラです...

 

BSIのプレス。。。

●　BSI

・2026.01.13 Erstes EUCC-Zertifikat des BSI erteilt

 

Erstes EUCC-Zertifikat des BSI erteilt	BSI が初の EUCC 認証を発行
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 13. Januar 2026 erstmals ein Zertifikat nach EU Cybersecurity Certification Scheme on Common Criteria (EUCC) übergeben. BSI-Vizepräsident Thomas Caspers übergab das Zertifikat an Thomas Rosteck, Chief Security Advisor Infineon Technologies AG.	2026年1月13日、ドイツ連邦情報セキュリティ庁（BSI）は、EUサイバーセキュリティ認証スキーム（EUCC）に基づく認証を初めて発行した。BSI副社長のトーマス・キャスパーズが、インフィニオン・テクノロジーズAGの最高セキュリティ顧問であるトーマス・ロステックに認証書を授与した。
Das EUCC-Zertifizierungsschema ist unter dem Cyber Security Act (CSA) im Rechtsrahmen der Europäischen Union verankert. Es ersetzt die bisherigen nationalen Common Criteria Zertifizierungsschemata nach CC bzw. ISO/IEC 15408 sowie das freiwillige europäische SOGIS-Abkommen zur gegenseitigen Anerkennung von CC-Zertifikaten. Dem SOGIS-Abkommen gehörten nur ein Teil der EU-Mitglieder an. EUCC-Zertifikate werden innerhalb der gesamten EU anerkannt.	EUCC 認証スキームは、欧州連合の法的枠組みであるサイバーセキュリティ法（CSA）に規定されている。これは、CC または ISO/IEC 15408 に基づく従来の各国共通基準認証スキーム、および CC 認証の相互承認に関する欧州の任意協定であるSOGIS 協定に取って代わるものである。SOGIS 協定には、EU 加盟国の一部のみが加盟していた。EUCC 認証は EU 全域で認められている。
Das BSI hat den Umstellungsprozess von SOGIS zu EUCC im vergangenen Jahr erfolgreich abgeschlossen und ist bei der EU als EUCC-Zertifizierungsstelle notifiziert.	BSI は昨年、SOGIS から EUCC への移行プロセスを無事に完了し、EU に EUCC 認証機関として登録されている。
Das Zertifikat mit der Zertifizierungsnummer EUCC-3087-2025-12-0001 wurde für einen Security Controller von Infineon ausgestellt. Dieser ist für den Einsatz in Smartcards vorgesehen und bietet verschiedensten sicherheitsrelevanten Anwendungen eine sichere Ausführungsplattform. Die Verwendungsmöglichkeiten reichen von kontaktlosen elektronischen Ausweisdokumenten über Sicherheits- und Bezahlkarten bis hin zu individuellen Anwendungszwecken.	認証番号 EUCC-3087-2025-12-0001 の認証は、インフィニオン社のセキュリティコントローラに対して発行された。これはスマートカードでの使用を目的としており、さまざまなセキュリティ関連アプリケーションに安全な実行プラットフォームを提供する。その用途は、非接触型電子身分証明書、セキュリティカード、決済カードから、個別の用途まで多岐にわたる。
Die Zertifizierung durch das BSI schafft Vertrauen für eine sichere Digitalisierung in Europa.	BSI による認証は、ヨーロッパにおける安全なデジタル化への信頼を築くものである。

 

 

ENISAのページ...

● EUCC -

スキーム...

・EUCC Certification Scheme

・・EU Cybersecurity Certification Scheme on Common Criteria (EUCC)

 

規制について...

・EU Regulatory Context

 

 

EU委員会のページ...

認証機関

・Bodies

今のところ27機関あります...

 

 

 

 

中国 サイバーセキュリティ法改正 (2025.12.29)

こんにちは、丸山満彦です。

2017年に施行された中华人民共和国网络安全法（サイバーセキュリティ法）が2025.10.28に全国人民代表大会常務委員会によって改正が決定

2025.12.29に公表されていました...

いわゆる中国サイバー三法（サイバー法、データ法、個人情報保護法）の最初のものです...

今回は、安全保障の重視、AI等のデジタル社会の進展、関連法との整合性を図るという意図で改訂されたのでしょうかね...

改訂のポイントとしては、

・サイバーセキュリティは共産党の指導を堅持し、サイバー強国になるということを新たに明記（第3条）

・AI等の新技術への対応（技術振興と安全監理の両立）（第20条）

・罰則の強化（第61条他）

・サプライチェーン規制（安全認証等を受けていないネットワーク重要機器等を販売・提供した場合の罰則
）の新設（第63条）

等々...

欧州のサイバーセキュリティ関連法制も追加追加で複雑性をましていますが、中国はさらに複雑なような気がします...　法令だけでなく、標準も実質的な技術要求となっていますし...

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2025.12.29 中华人民共和国网络安全法

中华人民共和国网络安全法	中華人民共和国サイバーセキュリティ法
（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过　根据2025年10月28日第十四届全国人民代表大会常务委员会第十八次会议《关于修改〈中华人民共和国网络安全法〉的决定》修正）	（2016年11月7日 第12期全国人民代表大会常務委員会第24回会議で可決　2025年10月28日 第14期全国人民代表大会常務委員会第18回会議『中華人民共和国サイバーセキュリティ法改正に関する決定』に基づき修正）
目　　录	目　次
第一章　总　　则	第一章　総則
第二章　网络安全支持与促进	第二章　サイバーセキュリティの支援と促進
第三章　网络运行安全	第三章　ネットワーク運用セキュリティ
第一节　一般规定	第一節　一般規定
第二节　关键信息基础设施的运行安全	第二節　重要情報インフラの運用セキュリティ
第四章　网络信息安全	第四章　ネットワーク情報セキュリティ
第五章　监测预警与应急处置	第五章　監視・警報と緊急対応
第六章　法律责任	第六章　法的責任
第七章　附　　则	第七章　附則
第一章　总　　则	第一章　総則
第一条　为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。	第一条　サイバーセキュリティを保障し、サイバースペース主権及び国家安全、社会公共利益を維持し、公民、法人及びその他の組織の合法的権益を保護し、経済社会の情報化健全な発展を促進するため、本法を制定する。
第二条　在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。	第二条　中華人民共和国国内におけるネットワークの建設、運営、維持及び使用並びにサイバーセキュリティの監督管理には、本法を適用する。
第三条　网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。	第三条　サイバーセキュリティ業務は中国共産党の指導を堅持し、総合的な国家安全観を貫徹し、発展と安全を統括し、ネットワーク強国建設を推進する。
第四条　国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。	第四条　国はサイバーセキュリティと情報化の発展を同等に重視し、積極的な利用、科学的な発展、法に基づく管理、安全の確保という方針に従い、ネットワークインフラの建設と相互接続を推進する。サイバーセキュリティ技術の革新と応用を奨励し、サイバーセキュリティ人材の育成を支援し、サイバーセキュリティ保障体系を整備・確立し、サイバーセキュリティ保護能力を高める。
第五条　国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。	第五条　国はサイバーセキュリティ戦略を策定し、絶えず改善する。サイバーセキュリティを保障するための基本要件と主要目標を明確にし、重点分野におけるサイバーセキュリティ政策、業務任務及び措置を提示する。
第六条　国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。	第六条　国は、中華人民共和国国内外に由来するサイバーセキュリティリスク及び脅威を監視、防御、対処するための措置を講じ、重要情報インフラを攻撃、侵入、妨害及び破壊から保護し、法に基づきネットワーク上の違法犯罪活動を処罰し、サイバー空間の安全と秩序を維持する。
第七条　国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。	第七条　国は、誠実で信頼できる健全かつ文明的なネットワーク行動を提唱し、社会主義の中核的価値観の普及を推進し、全社会のサイバーセキュリティ意識と水準を高めるための措置を講じ、全社会が共同でサイバーセキュリティ促進に参加する良好な環境を形成する。
第八条　国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。	第八条　国は、サイバー空間のガバナンス、ネットワーク技術の研究開発と標準策定、ネットワーク上の違法犯罪の取り締まりなどの分野における国際交流と協力を積極的に展開し、平和で安全、開放的かつ協力的なサイバー空間の構築を推進し、多国間的、民主的、透明なネットワークガバナンス体系を確立する。
第九条　国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。	第九条　国家サイバー空間管理部門は、サイバーセキュリティ業務及び関連する監督管理業務の統括調整を担当する。国務院電気通信主管部門、公安部門及びその他の関係機関は、本法及び関連する法律・行政法規の規定に基づき、それぞれの職責の範囲内でサイバーセキュリティ保護及び監督管理業務を担当する。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。	県級以上の地方人民政府関係部門のサイバーセキュリティ保護及び監督管理職責は、国家の関連規定に従って定める。
第十条　网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。	第十条　ネットワーク運営者は、経営及びサービス活動を行うにあたり、法律・行政法規を遵守し、社会公徳を尊重し、商業道徳を遵守し、誠実かつ信用をもって行動し、サイバーセキュリティ保護義務を履行し、政府及び社会の監督を受け、社会的責任を負わなければならない。
第十一条　建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。	第十一条　ネットワークを建設・運営し、またはネットワークを通じてサービスを提供する場合、法律・行政法規の規定及び国家標準の強制的要件に基づき、技術的措置その他の必要な措置を講じ、ネットワークの安全かつ安定した運用を確保し、サイバーセキュリティインシデントに効果的に対応し、ネットワーク上の違法犯罪活動を防止し、ネットワークデータの完全性、機密性及び可用性を維持しなければならない。
第十二条　网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。	第十二条　ネットワーク関連業界団体は、定款に基づき業界の自主規制を強化し、サイバーセキュリティ行動規範を制定し、会員に対しサイバーセキュリティ保護の強化を指導し、サイバーセキュリティ保護水準の向上を図り、業界の健全な発展を促進しなければならない。
第十三条　国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。	第十三条　国は、公民、法人及びその他の組織が法に基づきネットワークを利用する権利を保護し、ネットワーク接続の普及を促進し、ネットワークサービス水準を向上させ、社会に安全で便利なネットワークサービスを提供し、ネットワーク情報の法に基づく秩序ある自由な流通を保障する。
任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。	いかなる個人及び組織も、ネットワークを利用する際には憲法及び法律を遵守し、公共秩序を守り、社会道徳を尊重し、サイバーセキュリティを危害してはならず、ネットワークを利用して国家の安全、名誉及び利益を危害し、 国家政権の転覆や社会主義制度の打倒を扇動し、国家分裂や国家統一の破壊を煽り、テロリズムや過激主義を宣伝し、民族的憎悪や民族差別を煽り、暴力やわいせつな情報を流布し、虚偽の情報を捏造・流布して経済秩序や社会秩序を乱し、他人の名誉、プライバシー、知的財産権その他の合法的権益を侵害する活動を行ってはならない。
第十四条　国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。	第十四条　国は未成年者の健全な成長に資するネットワーク製品・サービスの研究開発を支援し、ネットワークを利用した未成年者の心身の健康を害する活動を法に基づき処罰し、未成年者に安全で健全なネットワーク環境を提供する。
第十五条　任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。	第十五条　いかなる個人及び組織も、サイバーセキュリティを脅かす行為について、ネット情報、電気通信、公安等の部門に通報する権利を有する。通報を受けた部門は速やかに法に基づき処理を行うものとし、当該部門の職責に属さない場合は、速やかに権限を有する部門に移送しなければならない。
有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。	関係部門は通報者の関連情報を秘密に扱い、通報者の合法的権益を保護しなければならない。
第二章　网络安全支持与促进	第二章　サイバーセキュリティの支援と促進
第十六条　国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。	第十六条　国はサイバーセキュリティ標準体系を確立し、整備する。国務院標準化行政主管部門及び国務院その他の関係部門は、それぞれの職責に基づき、サイバーセキュリティ管理及びネットワーク製品・サービス・運用安全に関する国家標準・業界標準の制定及び適時な改訂を組織する。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。	国は、企業、研究機関、高等教育機関、ネットワーク関連業界団体がサイバーセキュリティ国家標準・業界標準の制定に参加することを支援する。
第十七条　国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。	第十七条　国務院及び省・自治区・直轄市人民政府は、総合的な計画を策定し、投資を拡大し、重点サイバーセキュリティ技術産業及びプロジェクトを支援し、サイバーセキュリティ技術の研究開発と応用を支援し、安全で信頼できるネットワーク製品・サービスの普及を促進し、サイバーセキュリティ技術の知的財産権を保護し、企業、研究機関、高等教育機関等が国家サイバーセキュリティ技術革新プロジェクトに参加することを支援する。
第十八条　国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。	第十八条　国はサイバーセキュリティの社会化サービス体系の構築を推進し、関連企業・機関がサイバーセキュリティ認証、検査、リスクアセスメント等の安全サービスを展開することを奨励する。
第十九条　国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。	第十九条　国はネットワークデータ安全保護及び利用技術の開発を奨励し、公共データ資源の開放を促進し、技術革新と経済社会の発展を推進する。
第二十条　国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。	第二十条　国は人工知能の基礎理論研究及びアルゴリズム等の重要技術研究開発を支援し、訓練データ資源、計算能力等のインフラ整備を推進し、人工知能倫理規範を整備し、リスク監視及びアセスメントを強化し、人工知能の応用と健全な発展を促進する。
国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。	国はサイバーセキュリティ管理方法の革新を支援し、人工知能等の新技術を活用してサイバーセキュリティ保護水準を向上させる。
第二十一条　各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。	第二十一条　各級人民政府及びその関係部門は、定期的なサイバーセキュリティ啓発活動を組織し、関係機関に対しサイバーセキュリティ啓発活動の指導・監督を行う。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。	大衆伝播媒体は、社会に向けて対象を絞ったサイバーセキュリティ啓発活動を行う。
第二十二条　国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。	第二十二条　国は、企業及び高等教育機関、職業学校等の教育訓練機関がサイバーセキュリティ関連の教育・訓練を実施することを支援し、多様な方法でサイバーセキュリティ人材を育成し、サイバーセキュリティ人材の交流を促進する。
第三章　网络运行安全	第三章　ネットワーク運用安全
第一节　一　般　规　定	第一節　一般規定
第二十三条　国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：	第二十三条　国はサイバーセキュリティ等級保護制度を実施する。ネットワーク運営者は、サイバーセキュリティ等級保護制度の要求に基づき、以下の安全保護義務を履行し、ネットワークが妨害、破壊または不正アクセスを受けないよう保障し、ネットワークデータの漏洩または窃取・改ざんを防止しなければならない：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；	（一）内部安全管理制度及び操作規程を制定し、ネットワークセキュリティ責任者を定め、ネットワークセキュリティ保護責任を履行すること；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；	（二）コンピュータウイルスやネットワーク攻撃、ネットワーク侵入などのサイバーセキュリティを脅かす行為を防ぐ技術的措置を講じること。
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；	（三）ネットワークの稼働状態やサイバーセキュリティインシデントを監視・記録する技術的措置を講じ、規定に従い関連するネットワークログを少なくとも6か月間保存すること。
（四）采取数据分类、重要数据备份和加密等措施；	（四）データ分類、重要データのバックアップ及び暗号化などの措置を講じること。
（五）法律、行政法规规定的其他义务。	（五）法律・行政法規で定めるその他の義務。
第二十四条　网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。	第二十四条　ネットワーク製品・サービスは関連する標準の強制要求に適合しなければならない。ネットワーク製品・サービスの提供者は悪意のあるプログラムを設定してはならない。自社のネットワーク製品・サービスにセキュリティ上の欠陥や脆弱性などのリスクを発見した場合は、直ちに是正措置を講じ、規定に従い速やかに利用者に通知するとともに、関係主管部門に報告しなければならない。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。	ネットワーク製品・サービスの提供者は、自社の製品・サービスに対して継続的なセキュリティ保守を提供しなければならない。規定または当事者間で合意した期間内において、セキュリティ保守の提供を終了してはならない。
网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。	ネットワーク製品・サービスがユーザー情報収集機能を有する場合、提供者はユーザーに明示し同意を得なければならない。ユーザーの個人情報に関わる場合は、本法及び関連する法律・行政法規の個人情報保護に関する規定を遵守しなければならない。
第二十五条　网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。	第二十五条　ネットワーク重要設備及びサイバーセキュリティ専用製品は、関連する標準の強制要求に基づき、資格を有する機関による安全認証合格または安全検査合格を得た後にのみ、販売または提供することができる。国家サイバー空間管理局は国務院関係部門と共同で、ネットワーク重要設備及びサイバーセキュリティ専用製品の目録を制定・公表し、安全認証及び安全検査結果の相互承認を推進し、重複認証・検査を回避する。
第二十六条　网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。	第二十六条　ネットワーク事業者がユーザーに対し、ネットワーク接続・ドメイン名登録サービスを提供する場合、固定電話・携帯電話等の回線加入手続きを行う場合、または情報発信・インスタントメッセージ等のサービスを提供する場合、ユーザーとの契約締結時またはサービス提供確認時に、ユーザーに対し実名情報の提供を求めるものとする。ユーザーが真実の身分情報を提供しない場合、ネットワーク運営者は関連サービスを提供してはならない。
国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。	国はネットワーク信頼性身分戦略を実施し、安全で便利な電子身分認証技術の研究開発を支援し、異なる電子身分認証間の相互承認を推進する。
第二十七条　网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。	第二十七条　ネットワーク運営者はサイバーセキュリティ事象対応計画を策定し、システム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のセキュリティリスクを速やかに処理しなければならない。サイバーセキュリティを脅かす事象が発生した場合には、直ちに緊急対応計画を発動し、対応する補修措置を講じるとともに、規定に基づき関係主管部門に報告しなければならない。
第二十八条　开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。	第二十八条　サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施し、システム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表する場合は、国家の関連規定を遵守しなければならない。
第二十九条　任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。	第二十九条　いかなる個人及び組織も、他人のネットワークへの不法侵入、他人のネットワークの正常な機能の妨害、ネットワークデータの窃取など、サイバーセキュリティを危害する活動に従事してはならない。ネットワークへの侵入、ネットワークの正常な機能及び防護措置の妨害、ネットワークデータの窃取など、サイバーセキュリティを危害する活動に専ら使用されるプログラムやツールを提供してはならない。他人がサイバーセキュリティを危害する活動に従事していることを知りながら、技術支援、広告宣伝、決済などの援助を提供してはならない。
第三十条　网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。	第三十条　ネットワーク運営者は、公安機関及び国家安全機関が国家安全の維持及び犯罪捜査活動を行う際に、技術的支援及び協力を提供しなければならない。
第三十一条　国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。	第三十一条　国は、ネットワーク運営者間のサイバーセキュリティ情報収集、分析、通報及び緊急対応等の分野における協力を支援し、ネットワーク運営者の安全保障能力の向上を図る。
有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。	関連業界団体は、自業界のサイバーセキュリティ保護規範と協力メカニズムを整備し、サイバーセキュリティリスクのアセスメントを強化し、定期的に会員にリスク警告を行い、会員のサイバーセキュリティリスク対応を支援・協力する。
第三十二条　网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。	第三十二条　ネット情報部門及び関係部門は、サイバーセキュリティ保護職責の履行において取得した情報を、サイバーセキュリティ維持の必要性のみに使用し、他の目的に使用してはならない。
第二节　关键信息基础设施的运行安全	第二節　重要情報インフラの運用安全
第三十三条　国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。	第三十三条　国は、公共通信・情報サービス、エネルギー、交通、水利、金融、公共サービス、電子政府等の重要業種・分野、及びその他、破壊・機能喪失・データ漏洩が発生した場合に国家安全保障、国民経済・民生、公共利益に重大な危害を及ぼすおそれのある重要情報インフラについて、サイバーセキュリティ等級保護制度を基礎として重点保護を実施する。重要情報インフラの具体的な範囲及び安全保護弁法は国務院が定める。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。	国は、重要情報インフラ以外のネットワーク運営者が自主的に重要情報インフラ保護システムに参加することを奨励する。
第三十四条　按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。	第三十四条　国務院が定めた職責分担に基づき、重要情報インフラの安全保護を担当する部門は、それぞれ自業界・自分野の重要情報インフラ安全計画を策定し実施するとともに、重要情報インフラの運用安全保護業務を指導・監督する。
第三十五条　建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。	第三十五条　重要情報インフラを建設する際には、業務の安定的かつ継続的な運用を支える性能を確保するとともに、安全技術措置の同時計画・同時建設・同時運用を保証しなければならない。
第三十六条　除本法第二十三条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：	第三十六条　本法第二十三条の規定に加え、重要情報インフラの運営者は以下の安全保護義務を履行しなければならない：
（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；	（一）専門の安全管理機関及び安全管理責任者を設置し、当該責任者及び重要ポストの職員に対し安全背景審査を実施すること；
（二）定期对从业人员进行网络安全教育、技术培训和技能考核；	（二）従事者に対し、定期的にサイバーセキュリティ教育、技術研修及び技能評価を実施すること。
（三）对重要系统和数据库进行容灾备份；	（三）重要システム及びデータベースに対し、災害復旧用バックアップを実施すること。
（四）制定网络安全事件应急预案，并定期进行演练；	（四）サイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施すること。
（五）法律、行政法规规定的其他义务。	（五）法律・行政法規で定めるその他の義務。
第三十七条　关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。	第三十七条　重要情報インフラの運営者がネットワーク製品・サービスを購入する場合、国家安全保障に影響を及ぼす可能性があるときは、国家サイバーセキュリティ部門が国務院関係部門と共同で実施する国家安全保障審査を経なければならない。
第三十八条　关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。	第三十八条　重要情報インフラの運営者がネットワーク製品・サービスを購入する場合、規定に基づき提供者と安全保密契約を締結し、安全及び保密に関する義務と責任を明確にしなければならない。
第三十九条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。	第三十九条　重要情報インフラの運営者が中華人民共和国国内での運営において収集・生成した個人情報及び重要データは、国内に保存しなければならない。業務上必要により国外提供が不可避な場合、国家サイバー空間管理局が国務院関係部門と共同で定める弁法に基づきセキュリティ評価を実施しなければならない。法律・行政法規に別段の定めがある場合は、その規定に従う。
第四十条　关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。	第四十条　重要情報インフラの運営者は、自らまたはサイバーセキュリティサービス機関に委託して、自社のネットワークの安全性及び潜在リスクについて、少なくとも年1回セキュリティ評価を実施しなければならない。セキュリティ評価結果及び改善措置は、重要情報インフラの安全保護を担当する関連部門に報告する。
第四十一条　国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：	第四十一条　国家サイバー空間管理部門は、重要情報インフラの安全保護に関して、関係部門を統括調整し、以下の措置を講じなければならない：
（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；	（一）重要情報インフラのセキュリティリスクを抜き打ち検査し、改善措置を提案する。必要に応じて、サイバーセキュリティサービス機関に委託してネットワークのセキュリティリスクをアセスメントさせることができる。
（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；	（二）定期的に重要情報インフラの運営者に対し、サイバーセキュリティ緊急訓練を実施させ、サイバーセキュリティインシデントへの対応能力及び連携能力を向上させる。
（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；	（三）関係部門、重要情報インフラの運営者、及び関連研究機関、サイバーセキュリティサービス機関等間のサイバーセキュリティ情報共有を促進する。
（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。	（四）サイバーセキュリティインシデントへの緊急対応及びネットワーク機能の復旧等に対し、技術支援と協力を提供する。
第四章　网络信息安全	第四章　ネットワーク情報セキュリティ
第四十二条　网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。	第四十二条　ネットワーク運営者は、収集したユーザー情報を厳重に秘匿し、ユーザー情報保護制度を整備しなければならない。
网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。	ネットワーク運営者が個人情報を処理する場合、本法及び『中華人民共和国民法典』、『中華人民共和国個人情報保護法』等の法律・行政法規の規定を遵守しなければならない。
第四十三条　网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。	第四十三条　ネットワーク運営者は個人情報を収集・利用する際、合法・正当・必要の原則に従い、収集・利用規則を公開し、情報の収集・利用目的・方法・範囲を明示し、収集対象者の同意を得なければならない。
网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。	ネットワーク運営者は、提供するサービスと無関係な個人情報を収集してはならず、法律・行政法規の規定及び双方の合意に違反して個人情報を収集・利用してはならない。また、法律・行政法規の規定及びユーザーとの合意に基づき、保存する個人情報を処理しなければならない。
第四十四条　网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。	第四十四条　ネットワーク運営者は、収集した個人情報を漏洩、改ざん、毀損してはならない。収集対象者の同意を得ずに、個人情報を他人に提供してはならない。ただし、処理により特定個人を識別できず、かつ復元不可能な場合はこの限りではない。
网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。	ネットワーク運営者は、技術的措置その他の必要な措置を講じ、収集した個人情報の安全を確保し、情報の漏洩、毀損、紛失を防止しなければならない。個人情報の漏洩、毀損、紛失が発生した、または発生するおそれがある場合には、直ちに是正措置を講じ、規定に従い速やかに利用者に通知するとともに、関係主管部門に報告しなければならない。
第四十五条　个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。	第四十五条　個人は、ネットワーク運営者が法律・行政法規の規定または双方の合意に違反して個人情報を収集・利用していることを発見した場合、当該ネットワーク運営者に対し個人情報の削除を要求する権利を有する。また、ネットワーク運営者が収集・保存した個人情報に誤りがあることを発見した場合、当該ネットワーク運営者に対し訂正を要求する権利を有する。ネットワーク運営者は削除または修正のための措置を講じなければならない。
第四十六条　任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。	第四十六条　いかなる個人及び組織も、個人情報を窃取その他の違法な方法で取得してはならず、個人情報を違法に販売または提供してはならない。
第四十七条　依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。	第四十七条　法に基づきサイバーセキュリティ監督管理の職責を負う部門及びその職員は、職務遂行中に知り得た個人情報、プライバシー及び営業秘密を厳重に秘匿し、漏洩、販売または違法な提供を行ってはならない。
第四十八条　任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。	第四十八条　いかなる個人及び組織も、自らのネットワーク利用行為について責任を負わなければならない。詐欺の実行、犯罪方法の伝授、禁止物品・規制物品の製造・販売等の違法犯罪活動を行うためのウェブサイトや通信グループを設置してはならず、ネットワークを利用して詐欺の実行、禁止物品・規制物品の製造・販売その他の違法犯罪活動に関する情報を発信してはならない。
第四十九条　网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。	第四十九条　ネットワーク運営者は、ユーザーが公開する情報の管理を強化しなければならない。法律・行政法規で公開または送信が禁止されている情報を発見した場合は、直ちに当該情報の送信を停止し、削除等の措置を講じて情報の拡散を防止するとともに、関連記録を保存し、関係主管部門に報告しなければならない。
第五十条　任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。	第五十条　いかなる個人・組織も、送信する電子情報または提供するアプリケーションソフトに、悪意のあるプログラムを設定してはならず、法律・行政法規で公開または送信が禁止されている情報を含んではならない。
电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。	電子情報送信サービス提供者とアプリケーションソフトウェアダウンロードサービス提供者は、安全管理義務を履行しなければならない。利用者が前項に規定する行為を行っていることを知った場合、サービス提供を停止し、削除等の措置を講じ、関連記録を保存し、関係主管部門に報告しなければならない。
第五十一条　网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。	第五十一条　ネットワーク運営者は、ネットワーク情報セキュリティに関する苦情・通報制度を確立し、苦情・通報方法等の情報を公表し、ネットワーク情報セキュリティに関する苦情・通報を適時に受理し処理しなければならない。
网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。	ネットワーク運営者は、ネット情報部門及び関係部門が法に基づき実施する監督検査に協力しなければならない。
第五十二条　国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。	第五十二条　国家ネット情報部門及び関係部門は、法に基づきネットワーク情報セキュリティ監督管理職責を履行し、法律・行政法規で禁止されている情報の公開または伝送を発見した場合、ネットワーク運営者に対し伝送停止、除去等の措置を講じ、関連記録を保存するよう要求しなければならない。中華人民共和国国外に由来する上記情報については、関係機関に対し技術的措置その他の必要な措置を講じて伝播を遮断するよう通知しなければならない。
第五章　监测预警与应急处置	第五章　監視・警報と緊急対応
第五十三条　国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。	第五十三条　国はサイバーセキュリティ監視警報及び情報通報制度を確立する。国家サイバーセキュリティ部門は関係部門を統括調整し、サイバーセキュリティ情報の収集・分析・通報業務を強化するとともに、規定に基づき統一的にサイバーセキュリティ監視警報情報を発表しなければならない。
第五十四条　负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。	第五十四条　重要情報インフラの安全保護を担当する部門は、当該業界・分野におけるサイバーセキュリティ監視警報及び情報通報制度を整備・確立し、規定に基づきサイバーセキュリティ監視警報情報を報告しなければならない。
第五十五条　国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。	第五十五条　国家サイバー空間管理部門は関係部門を調整し、サイバーセキュリティリスクアセスメント及び緊急対応メカニズムを整備し、サイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施する。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。	重要情報インフラの安全保護を担当する部門は、自業界・自分野のサイバーセキュリティインシデント対応計画を策定し、定期的に訓練を実施しなければならない。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。	サイバーセキュリティインシデント対応計画は、インシデント発生後の危害の程度、影響範囲等の要素に基づきインシデントを分類し、対応する緊急措置を規定しなければならない。
第五十六条　网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：	第五十六条　サイバーセキュリティインシデント発生リスクが高まった場合、省級以上の人民政府関係部門は、定められた権限と手順に基づき、かつサイバーセキュリティリスクの特性及び引き起こし得る危害に応じて、以下の措置を講じるものとする：
（一）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；	（一）関係部門・機関・関係者に対し、関連情報の迅速な収集・報告を求め、サイバーセキュリティリスクの監視を強化すること；
（二）组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；	（二）関係部門・機関及び専門家を組織し、サイバーセキュリティリスク情報をアセスメントし、インシデント発生の可能性・影響範囲・危害程度を予測すること；
（三）向社会发布网络安全风险预警，发布避免、减轻危害的措施。	（三）社会に対しサイバーセキュリティリスク警報を発令し、危害を回避・軽減する措置を公表する。
第五十七条　发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。	第五十七条　サイバーセキュリティインシデントが発生した場合、直ちにサイバーセキュリティインシデント緊急対応計画を発動し、インシデントの調査・アセスメントを実施する。ネットワーク運営者に対し技術的措置その他の必要な措置を講じ、安全上の隠れた危険を除去し、危害の拡大を防止するよう要求するとともに、速やかに社会に対し公衆に関連する警戒情報を公表する。
第五十八条　省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。	第五十八条　省級以上の人民政府の関連部門は、サイバーセキュリティ監督管理職責を履行する過程で、ネットワークに重大な安全リスクが存在することまたは安全事件が発生したことを発見した場合、規定された権限と手続きに基づき、当該ネットワーク運営者の法定代表者または主要責任者に対して面談を行うことができる。ネットワーク運営者は要求に従い措置を講じ、是正を行い、リスクを排除しなければならない。
第五十九条　因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。	第五十九条　サイバーセキュリティ事件により突発事件または生産安全事故が発生した場合、『中華人民共和国突発事件対応法』、『中華人民共和国安全生産法』等の関連法律・行政法規の規定に基づき処理しなければならない。
第六十条　因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。	第六十条　国家安全及び社会公共秩序の維持、重大な突発的社会安全事件の処理の必要性に基づき、国務院の決定または承認を得て、特定区域においてネットワーク通信に対する制限等の臨時措置を講じることができる。
第六章　法　律　责　任	第六章　法　律　責　任
第六十一条　网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十一条　ネットワーク運営者が本法第二十三条及び第二十七条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、一万元以上五万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には一万元以上十万元以下の罰金を科す。
关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处五万元以上十万元以下罚款；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	重要情報インフラの運営者が本法第三十五条、第三十六条、第三十八条、第四十条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、五万元以上十万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、十万元以上百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し一万元以上十万元以下の罰金を科す。
有前两款行为，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前二項の行為により、大量のデータ漏洩、重要情報インフラの局部的機能喪失等の重大なサイバーセキュリティ危害を招いた場合、関係主管部門は五十万元以上二百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には五万元以上二十万元以下の罰金を科す。重要情報インフラの主要機能喪失等の特に深刻なサイバーセキュリティ危害を招いた場合、200万元以上1000万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し20万元以上100万元以下の罰金を科す。
第六十二条　违反本法第二十四条第一款、第二款和第五十条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：	第六十二条　本法第二十四条第一項、第二項及び第五十条第一項の規定に違反し、次の行為のいずれかを行った場合、関係主管部門は是正を命じ、警告を与える。是正を拒むか、またはサイバーセキュリティを危害する結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者には一万元以上十万元以下の罰金を科す：
（一）设置恶意程序的；	（一）悪意のあるプログラムを設置した場合；
（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；	（二）製品・サービスに存在する安全上の欠陥・脆弱性等のリスクに対し、直ちに是正措置を講じなかった場合、または規定に従い速やかにユーザーに通知し関係主管部門に報告しなかった場合
（三）擅自终止为其产品、服务提供安全维护的。	（三）製品・サービスに対する安全保守の提供を無断で終了した場合
有前款第一项、第二项行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。	前項第一号・第二号の行為により、本法第六十一条第三項に規定する結果を生じたときは、同項の規定に基づき処罰する。
第六十三条　违反本法第二十五条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。	第六十三条　本法第二十五条の規定に違反し、安全認証・安全検査を受けていない、または安全認証不合格・安全検査不適合のネットワーク重要設備及びサイバーセキュリティ専用製品を販売または提供した者は、関係主管部門により販売・提供の停止を命じられ、警告を与えられ、違法所得を没収される。違法所得がない、または十万元未満の場合、二万元以上十万元以下の罰金を併科する。違法所得が十万元以上の場合、違法所得の1倍以上5倍以下の罰金を併科する。情状が重い場合、関連業務の一時停止、営業停止による改善、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。法律・行政法規に別段の定めがある場合は、その規定による。
第六十四条　网络运营者违反本法第二十六条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十四条　ネットワーク運営者が本法第二十六条第一項の規定に違反し、ユーザーに実名情報の提供を求めなかった場合、または実名情報を提供しないユーザーに関連サービスを提供した場合、関係主管部門は是正を命ずる。是正を拒むか、または情状が重い場合、五万元以上五十万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には一万元以上十万元以下の罰金を科す。
第六十五条　违反本法第二十八条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处一万元以上十万元以下罚款；拒不改正或者情节严重的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十五条　本法第二十八条の規定に違反し、サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施した場合、またはシステム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表した場合、関係主管部門は是正を命じ、警告を与え、一万元以上十万元以下の罰金を科すことができる。是正を拒むか、または情状が重い場合には、10万元以上100万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には1万元以上10万元以下の罰金を科す。
有前款行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。	前項の行為により、本法第61条第3項に規定する結果を生じた場合には、同項の規定に基づき処罰する。
第六十六条　违反本法第二十九条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。	第六十六条　本法第二十九条の規定に違反し、サイバーセキュリティを危害する活動に従事し、またはサイバーセキュリティ危害活動に専ら使用するプログラム・ツールを提供し、もしくは他人のサイバーセキュリティ危害活動に対し技術支援・広告宣伝・決済支援等を提供した場合、犯罪を構成しないときは、公安機関は違法所得を没収し、五日以下の拘留に処し、五万元以上五十万元以下の罰金を併科することができる。情状が重い場合は、5日以上15日以下の拘留に処し、10万元以上100万元以下の罰金を併科することができる。
单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。	前項の行為を法人が行った場合、公安機関は違法所得を没収し、10万元以上100万元以下の罰金を科す。また、直接責任を負う主管者及びその他の直接責任者に対し、前項の規定に基づき処罰する。
违反本法第二十九条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。	本法第二十九条の規定に違反し、治安管理処罰を受けた者は、5年間、サイバーセキュリティ管理及びネットワーク運営の重要ポストに就くことを禁止する。刑事処罰を受けた者は、終身、サイバーセキュリティ管理及びネットワーク運営の重要ポストに就くことを禁止する。
第六十七条　关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	第六十七条　重要情報インフラの運営者が本法第三十七条の規定に違反し、安全審査を受けていない、または安全審査に合格していないネットワーク製品またはサービスを使用した場合、関係主管部門は期限を定めて是正、使用停止、国家安全保障への影響の除去を命じ、調達金額の1倍以上10倍以下の罰金を科す。直接責任を負う主管者及びその他の直接責任者には1万元以上10万元以下の罰金を科す。
第六十八条　违反本法第四十八条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。	第六十八条　本法第四十八条の規定に違反し、違法犯罪活動を実施するためのウェブサイトや通信グループを設置した場合、またはネットワークを利用して違法犯罪活動の実施に関わる情報を発信した場合で、まだ犯罪を構成しないときは、公安機関は五日以下の拘留を科し、一万元以上十万元以下の罰金を併科することができる。情状が重い場合は、五日以上十五日以下の拘留を科し、五万元以上五十万元以下の罰金を併科することができる。違法犯罪活動を実施するためのウェブサイト、通信グループを閉鎖する。
单位有前款行为的，由公安机关处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。	前項の行為を単位が行った場合、公安機関は十万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し前項の規定に基づき処罰する。
第六十九条　网络运营者违反本法第四十九条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告，或者违反本法第五十二条规定，不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告、予以通报，可以处五万元以上五十万元以下罚款；拒不改正或者情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。	第六十九条　ネットワーク運営者が本法第四十九条の規定に違反し、法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存せず、主管部門に報告しなかった場合、または本法第五十二条の規定に違反し、関係部門の要求に従って法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存しなかった場合、主管部門は是正を命じ、警告・ 通報し、五万元以上五十万元以下の罰金を科すことができる。是正を拒むか、情状が重い場合には、五十万元以上二百万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命じることができる。直接責任を負う主管者その他の直接責任者には五万元以上二十万元以下の罰金を科す。
有前款行为，造成特别严重影响、特别严重后果的，由有关主管部门处二百万元以上一千万元以下罚款，责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前項の行為により特に深刻な影響または結果を生じた場合、関係主管部門は200万元以上1000万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命じ、直接責任を負う主管者およびその他の直接責任者に対し20万元以上100万元以下の罰金を科す。
电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第五十条第二款规定的安全管理义务的，依照前两款规定处罚。	電子情報送信サービス提供者及びアプリケーションソフトウェアダウンロードサービス提供者が、本法第五十条第二項に定める安全管理義務を履行しない場合、前二項の規定に基づき処罰する。
第七十条　网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：	第七十条　ネットワーク運営者が本法の規定に違反し、次の行為のいずれかを行った場合、関係主管部門は是正を命じる。是正を拒むか、または情状が重い場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し、一万元以上十万元以下の罰金を科す：
（一）拒绝、阻碍有关部门依法实施的监督检查的；	（一）関係部門が法に基づき実施する監督検査を拒否し、または妨害した場合
（二）拒不向公安机关、国家安全机关提供技术支持和协助的。	（二）公安機関、国家安全機関に対し技術支援及び協力を提供することを拒んだ場合
第七十一条　有下列行为之一的，依照有关法律、行政法规的规定处理、处罚：	第七十一条　次の行為のいずれかを行った者は、関連する法律・行政法規の規定に基づき処理・処罰される：
（一）发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的；	（一）本法第十三条第二項及びその他の法律・行政法規が公表または送信を禁止する情報を公表または送信した場合
（二）违反本法第二十四条第三款、第四十三条至第四十五条规定，侵害个人信息权益的；	（二）本法第二十四条第三項、第四十三条から第四十五条の規定に違反し、個人情報の権益を侵害した場合
（三）违反本法第三十九条规定，关键信息基础设施的运营者在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。	（三）本法第三十九条の規定に違反し、重要情報インフラの運営者が個人情報や重要データを国外に保存し、または国外に提供した場合。
违反本法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。	本法第四十六条の規定に違反し、窃取その他の不法な手段で個人情報を取得し、不法に売却または他人に提供した場合で、犯罪を構成しないときは、公安機関が関連法律・行政法規の規定に基づき処罰する。
第七十二条　有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。	第七十二条　本法に規定する違法行為があった場合、関連する法律・行政法規の規定に基づき信用記録に記録し、公示する。
第七十三条　违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚。	第七十三条　本法の規定に違反したが、「中華人民共和国行政処罰法」に規定する処罰を軽減、免除する事情がある場合、その規定に基づき処罰を軽減、免除する。
第七十四条　国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。	第七十四条　国家機関の政務ネットワークの運営者が本法に定めるサイバーセキュリティ保護義務を履行しない場合、その上級機関または関係機関は是正を命じ、直接責任を負う主管者その他の直接責任者に対して法に基づき処分を与える。
第七十五条　网信部门和有关部门违反本法第三十二条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。	第七十五条　ネット情報部門及び関係部門が本法第三十二条の規定に違反し、サイバーセキュリティ保護職責の履行において取得した情報を他の目的に使用した場合、直接責任を負う主管者その他の直接責任者に対して法に基づき処分を与える。
网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。	サイバーセキュリティ部門及び関係部門の職員が職務怠慢、職権乱用、私情による不正行為を行い、犯罪を構成しない場合、法に基づき処分する。
第七十六条　违反本法规定，给他人造成损害的，依法承担民事责任。	第七十六条　本法の規定に違反し、他人に損害を与えた場合、法に基づき民事責任を負う。
违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。	本法の規定に違反し、治安管理違反行為を構成する場合、法に基づき治安管理処罰を与える。犯罪を構成する場合、法に基づき刑事責任を追及する。
第七十七条　境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。	第七十七条　国外の機関、組織、個人が中華人民共和国のサイバーセキュリティを危害する活動に従事した場合、法律責任を追及する。重大な結果を生じた場合、国務院公安部門及び関係部門は当該機関、組織、個人に対し、財産の凍結その他の必要な制裁措置を決定することができる。
第七章　附　　则	第七章　附則
第七十八条　本法下列用语的含义：	第七十八条　本法における以下の用語の定義は次の通りである：
（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。	（一）ネットワークとは、コンピュータその他の情報端末及び関連設備により構成され、一定の規則と手順に従って情報を収集、保存、伝送、交換、処理するシステムを指す。
（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。	（二）サイバーセキュリティとは、必要な措置を講じてネットワークに対する攻撃、侵入、妨害、破壊、不正使用及び事故を防止し、ネットワークを安定かつ確実に稼働させる状態を維持するとともに、ネットワークデータの完全性、機密性、可用性を保障する能力を指す。
（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。	（三）ネットワーク運営者とは、ネットワークの所有者、管理者及びネットワークサービス提供者を指す。
（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。	（四）ネットワークデータとは、ネットワークを通じて収集、保存、伝送、処理され、生成される各種電子データを指す。
（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。	（五）個人情報とは、電子的その他の方法で記録され、単独または他の情報と組み合わせて自然人の個人を識別できる各種情報を指す。これには自然人の氏名、生年月日、身分証明書番号、個人生体認証情報、住所、電話番号などが含まれるが、これらに限定されない。
第七十九条　存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。	第七十九条　国家機密情報に関わるネットワークの保存・処理における安全保護は、本法に加え、秘密保持に関する法律・行政法規の規定を遵守しなければならない。
第八十条　军事网络的安全保护，由中央军事委员会另行规定。	第八十条　軍事ネットワークの安全保護については、中央軍事委員会が別途規定する。
第八十一条　本法自2017年6月1日起施行。	第八十一条　本法は2017年6月1日から施行する。

 

改訂時...

・2025.10.28 

全国人民代表大会常务委员会关于修改《中华人民共和国网络安全法》的决定	全国人民代表大会常務委員会による『中華人民共和国サイバーセキュリティ法』改正に関する決定
（2025年10月28日第十四届全国人民代表大会常务委员会第十八次会议通过）	（2025年10月28日 第十四期全国人民代表大会常務委員会第十八回会議にて可決）
第十四届全国人民代表大会常务委员会第十八次会议决定对《中华人民共和国网络安全法》作如下修改：	第十四期全国人民代表大会常務委員会第十八回会議は、『中華人民共和国サイバーセキュリティ法』を以下の通り改正することを決定した：
一、增加一条，作为第三条：“网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。”	一、新たに第三条を追加する：「サイバーセキュリティ業務は中国共産党の指導を堅持し、総合的な国家安全観を貫徹し、発展と安全を統一的に考慮し、ネットワーク強国建設を推進する。」
二、将第十八条改为第十九条，删去第二款。	二、第十八条を第十九条とし、第二項を削除する。
三、增加一条，作为第二十条：“国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。	三、新たに条文を追加し、第二十条とする：「国は人工知能の基礎理論研究及びアルゴリズム等の重要技術の研究開発を支援し、訓練データ資源、計算能力等のインフラ整備を推進し、人工知能の倫理規範を整備し、リスク監視及びアセスメントを強化し、人工知能の応用と健全な発展を促進する。
“国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。”	国はサイバーセキュリティ管理方法の革新を支援し、人工知能等の新技術を活用して、サイバーセキュリティ保護水準の向上を図る。」
四、将第四十条改为第四十二条，增加一款，作为第二款：“网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。”	四、第四十条を第四十二条とし、新たに第二項を追加する：「ネットワーク運営者が個人情報を処理する場合、本法及び『中華人民共和国民法典』、『中華人民共和国個人情報保護法』等の法律・行政法規の規定を遵守しなければならない。」
五、将第五十九条改为第六十一条，修改为：“网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	五、 第五十九条を第六十一条に改め、次のように修正する：「ネットワーク運営者が本法第二十三条及び第二十七条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、一万元以上五万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティ危害等の結果を招いた場合、五万元以上五十万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には一万元以上十万元以下の罰金を科す。
“关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处五万元以上十万元以下罚款；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	重要情報インフラの運営者が本法第三十五条、第三十六条、第三十八条、第四十条に定めるサイバーセキュリティ保護義務を履行しない場合、関係主管部門は是正を命じ、警告を与え、五万元以上十万元以下の罰金を科すことができる。是正を拒むか、サイバーセキュリティを危害する結果を招いた場合、十万元以上百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に一万元以上十万元以下の罰金を科す。
“有前两款行为，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。”	前項二項の行為により、大量のデータ漏洩、重要情報インフラの局部的機能喪失等の重大なサイバーセキュリティ危害を招いた場合、関係主管部門は五十万元以上二百万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者には五万元以上二十万元以下の罰金を科す。重要情報インフラの主要機能喪失等の特に深刻なサイバーセキュリティ危害を招いた場合、200万元以上1000万元以下の罰金を科し、直接責任を負う主管者及びその他の直接責任者に対し20万元以上100万元以下の罰金を科す。」
六、将第六十条改为第六十二条，增加一款，作为第二款：“有前款第一项、第二项行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。”	六、第六十条を第六十二条とし、新たに一項を追加して第二項とする：「 前項第一号及び第二号の行為により、本法第六十一条第三項に規定する結果を生じた場合、同項の規定に基づき処罰する。」
七、增加一条，作为第六十三条：“违反本法第二十五条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。”	七、新たに一条を追加し、第六十三条とする：「本法第二十五条の規定に違反し、安全認証・安全検査を受けていない、又は安全認証不合格・安全検査不適合のネットワーク重要設備及びサイバーセキュリティ専用製品を販売又は提供した場合、関係主管部門は販売又は提供の停止を命じ、警告を与え、違法所得を没収する。違法所得がないか、違法所得が10万元未満の場合は、2万元以上10万元以下の罰金を併科する。違法所得が10万元以上の場合は、違法所得の1倍以上5倍以下の罰金を併科する。情状が重い場合は、関連業務の一時停止、営業停止による改善、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。法律・行政法規に別段の定めがある場合は、その規定による。」
八、将第六十一条改为第六十四条，其中的“并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”修改为“并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照”。	八、第六十一条を第六十四条とし、その中の「関係主管部門は関連業務の停止、営業停止による改善、ウェブサイトの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる」を「関係主管部門は関連業務の停止、営業停止による改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる」に改める。
九、将第六十二条改为第六十五条，修改为：“违反本法第二十八条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处一万元以上十万元以下罚款；拒不改正或者情节严重的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。	九、第六十二条を第六十五条に改め、次のように修正する。「本法第二十八条の規定に違反し、サイバーセキュリティ認証、検査、リスクアセスメント等の活動を実施した場合、またはシステム脆弱性、コンピュータウイルス、ネットワーク攻撃、ネットワーク侵入等のサイバーセキュリティ情報を社会に公表した場合、関係主管部門は是正を命じ、警告を与え、一万元以上十万元以下の罰金を科すことができる。是正を拒むか、または情状が重い場合には、10万元以上100万元以下の罰金を科し、関連業務の一時停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命ずることができる。直接責任を負う主管者およびその他の直接責任者には1万元以上10万元以下の罰金を科す。
“有前款行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。”	「前項の行為により、本法第61条第3項に規定する結果を生じた場合には、同項の規定に基づき処罰する。」
十、将第六十五条改为第六十七条，修改为：“关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”	十、第六十五条を第六十七条に改め、次のとおり修正する。「重要情報インフラの運営者が本法第三十七条の規定に違反し、安全審査を受けていない、または安全審査に合格していないネットワーク製品またはサービスを使用した場合、関係主管部門は期限を定めて是正、使用停止、国家安全への影響の除去を命じ、調達金額の1倍以上10倍以下の罰金を科し、直接責任を負う主管者その他の直接責任者には1万元以上10万元以下の罰金を科す。」
十一、将第六十八条、第六十九条第一项合并，作为第六十九条，修改为：“网络运营者违反本法第四十九条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告，或者违反本法第五十二条规定，不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告、予以通报，可以处五万元以上五十万元以下罚款；拒不改正或者情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。	十一、 第六十八条及び第六十九条第一項を統合し、第六十九条として次のように改正する。「ネットワーク運営者が本法第四十九条の規定に違反し、法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存せず、関係主管部門に報告しなかった場合、または本法第五十二条の規定に違反し、関係部門の要求に従って法律・行政法規で禁止されている情報の送信を停止せず、削除等の措置を講じず、関連記録を保存しなかった場合、 関係主管部門は是正を命じ、警告を与え、通報するとともに、5万元以上50万元以下の罰金を科すことができる。是正を拒む場合または情状が重い場合には、50万元以上200万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証または営業許可証の取消しを命ずることができる。直接責任を負う主管者その他の直接責任者には5万元以上20万元以下の罰金を科す。
“有前款行为，造成特别严重影响、特别严重后果的，由有关主管部门处二百万元以上一千万元以下罚款，责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。	前項の行為により特に重大な影響または特に重大な結果を生じた場合、関係主管部門は二百万元以上一千万元以下の罰金を科し、関連業務の停止、営業停止・改善、ウェブサイトまたはアプリケーションの閉鎖、関連業務許可証の取消しまたは営業許可証の取消しを命じ、直接責任を負う主管者その他の直接責任者に対し二十万元以上百万元以下の罰金を科す。
“电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第五十条第二款规定的安全管理义务的，依照前两款规定处罚。”	「電子情報送信サービス提供者及びアプリケーションソフトウェアダウンロードサービス提供者が、本法第五十条第二項に定める安全管理義務を履行しない場合、前二項の規定に基づき処罰する。」
十二、将第六十四条、第六十六条、第七十条合并，作为第七十一条，修改为：“有下列行为之一的，依照有关法律、行政法规的规定处理、处罚：	十二、第六十四条、第六十六条及び第七十条を統合し、第七十一条として次のように改正する：「次の行為のいずれかを行う者は、関連する法律・行政法規の規定に基づき処理・処罰する：
“（一）发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的；	「（一）本法第十三条第二項及びその他の法律・行政法規で禁止されている情報を発信または伝送した場合；
“（二）违反本法第二十四条第三款、第四十三条至第四十五条规定，侵害个人信息权益的；	「（二）本法第二十四条第三項、第四十三条から第四十五条の規定に違反し、個人情報の権益を侵害した場合；
“（三）违反本法第三十九条规定，关键信息基础设施的运营者在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。	「（三）本法第三十九条の規定に違反し、重要情報インフラの運営者が個人情報や重要データを国外に保存、または国外に提供した場合。
“违反本法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。”	「本法第46条の規定に違反し、個人情報を窃取し、その他の不法な方法で取得し、不法に売却し、または不法に他人に提供した場合で、犯罪を構成しないときは、公安機関は関連する法律・行政法規の規定に基づき処罰する。」
十三、增加一条，作为第七十三条：“违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚。”	十三、新たに一条を追加し、第七十三条とする：「本法の規定に違反したが、『中華人民共和国行政処罰法』に規定される情状酌量の事由、減軽事由または処罰免除事由に該当する場合は、その規定に基づき情状酌量、減軽または処罰を免除する。」
十四、将第七十五条改为第七十七条，修改为：“境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”	十四、第七十五条を第七十七条とし、次のように改める：「国外の機関、組織、個人が中華人民共和国のサイバーセキュリティを危害する活動に従事した場合、法に基づき法的責任を追及する。重大な結果を招いた場合、国務院公安部門及び関係部門は当該機関、組織、個人に対し、財産の凍結その他の必要な制裁措置を決定することができる。」
本决定自2026年1月1日起施行。	本決定は2026年1月1日から施行する。
《中华人民共和国网络安全法》根据本决定作相应修改并对条文顺序作相应调整，重新公布。	『中華人民共和国サイバーセキュリティ法』は本決定に基づき相応の修正を加え、条文順序を調整した上で、改めて公布する。

 

 

 

ちょっとした情報提供...

・2026.01.05 因势而谋系统推进网络安全立法迈入新阶段

因势而谋系统推进网络安全立法迈入新阶段	情勢に応じて計画を立て、サイバーセキュリティ法制を体系的に推進し新たな段階へ
网络安全作为国家安全的重要组成部分，对国家经济发展和安全具有全局性、基础性支撑作用。《中华人民共和国网络安全法》是我国网络立法的重要里程碑，不仅切实回应了保障网络安全、促进信息化健康发展的现实需求，也对我国网络法治建设具有重要意义。2025年10月28日，十四届全国人大常委会第十八次会议表决通过《全国人民代表大会常务委员会关于修改〈中华人民共和国网络安全法〉的决定》，自2026年1月1日起施行。此次修改立足于数字时代发展方位，把握信息革命演进大势，坚持因势而谋、应势而动、顺势而为，贯彻落实总体国家安全观，科学设置不同类型违法行为法律责任，系统引导人工智能发展与安全，对于深入推进依法治网、进一步筑牢国家网络安全屏障具有重要意义。	サイバーセキュリティは国家安全保障の重要な構成要素であり、国家の経済発展と安全に対して全体的かつ基礎的な支えとなる役割を果たす。『中華人民共和国サイバーセキュリティ法』はわが国のネットワーク立法における重要なマイルストーンであり、サイバーセキュリティの保障と情報化の健全な発展を促進するという現実的なニーズに確実に応えるだけでなく、わが国のネットワーク法治建設にとって重要な意義を持つ。2025年10月28日、第十四期全国人民代表大会常務委員会第十八回会議は「全国人民代表大会常務委員会による『中華人民共和国サイバーセキュリティ法』改正に関する決定」を採択し、2026年1月1日より施行される。今回の改正はデジタル時代の発展段階に立脚し、情報革命の進展の大勢を把握し、情勢に応じて策を講じ、情勢に応じて行動し、情勢に順応することを堅持し、総合的な国家安全観を貫徹し、異なる類型違法行為の法的責任を科学的に設定し、人工知能の発展と安全を体系的に導くものであり、法に基づくネットワーク統治を深く推進し、国家のサイバーセキュリティ障壁をさらに強固にする上で重要な意義を持つ。
全面认识网络安全法的实施成效	サイバーセキュリティ法の実施効果を全面的に認識する
网络安全形势伴随技术产业发展动态变化，我国网络安全法律制度也适应不同互联网发展阶段与时俱进。其中，网络安全法作为我国第一部全面规范网络安全和信息化的基础性法律，对于落实总体国家安全观，维护国家网络空间主权、安全和发展利益具有十分重要的意义，为推进网络强国建设提供了重要法律保障。	サイバーセキュリティ情勢は技術産業の発展に伴い動的に変化し、わが国のサイバーセキュリティ法制度もインターネット発展の異なる段階に適応して時代と共に進歩してきた。その中で、サイバーセキュリティ法はわが国初のサイバーセキュリティと情報化を包括的に規範化する基礎的法律として、総合的な国家安全保障観の実現、国家のサイバースペース主権・安全・発展利益の維持に極めて重要な意義を持ち、ネットワーク強国建設の推進に重要な法的保障を提供している。
自2017年6月1日施行以来，网络安全法不仅为我国网络安全领域构筑起坚实的制度保障，更全面推动我国网络法治建设迈入规范化、系统化发展阶段。一方面，网络安全法与相关法律法规共同构成有机整体。网络安全法既在横向上联动《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等网络领域专门立法及《中华人民共和国民法典》《中华人民共和国刑法》《中华人民共和国未成年人保护法》等相关领域立法，协同构建网络领域立法顶层设计；又在纵向上为《关键信息基础设施安全保护条例》等行政法规提供法律依据，形成系统完备的网络安全法律制度体系。另一方面，网络安全法加速推进我国网络法治建设进程。网络安全法施行以来，推动我国网络法律体系不断健全、网络法治实施持续深化、网络法治意识和素养全面提升、网络法治国际交流合作持续推进，网络法治建设各方面取得历史性成就，网络强国建设迈上新台阶。	2017年6月1日の施行以来、サイバーセキュリティ法は我が国のサイバーセキュリティ分野に堅固な制度的保障を構築しただけでなく、我が国のネットワーク法治建設を規範化・体系化の発展段階へと全面的に推進した。一方で、サイバーセキュリティ法は関連法規と有機的な全体を構成している。サイバーセキュリティ法は、横方向では『中華人民共和国データ安全法』『中華人民共和国個人情報保護法』などのネットワーク分野の専門立法や、『中華人民共和国民法典』『中華人民共和国刑法』『中華人民共和国未成年者保護法』などの関連分野の立法と連携し、ネットワーク分野の立法におけるトップダウン設計を共同で構築している。また縦方向では『重要情報インフラ安全保護条例』などの行政法規に法的根拠を提供し、体系的で完備されたサイバーセキュリティ法制度体系を形成している。一方で、サイバーセキュリティ法はわが国のネットワーク法治建設プロセスを加速させている。同法施行以来、わが国のネットワーク法体系は絶えず健全化され、ネットワーク法治の実施は持続的に深化し、ネットワーク法治意識と素養は全面的に向上し、ネットワーク法治の国際交流協力は継続的に推進され、ネットワーク法治建設の各方面で歴史的成果を収め、ネットワーク強国建設は新たな段階へと進んだ。
准确理解新形势下网络安全法的新调整	新たな情勢下におけるサイバーセキュリティ法の新たな調整を正確に理解する
世界正经历百年未有之大变局，国际力量格局深刻调整、新一轮科技革命和产业变革加速演进。在此背景下，网络安全法的修改适应网络安全新形势新要求，回应人工智能等战略性技术取得的新发展，重点强化网络安全法律责任，加强与相关法律的衔接协调，彰显了网络空间对国家经济发展和安全的战略意义。	世界は百年に一度の大変革期を経験しており、国際力学構造は深く調整され、新たな科学技術革命と産業変革が加速している。この背景のもと、サイバーセキュリティ法の改正はサイバーセキュリティの新たな情勢と要求に適応し、人工知能などの戦略的技術が新たな発展を遂げたことに対応し、特にサイバーセキュリティの法的責任を強化し、関連法律との連携・調整を強化し、サイバー空間が国家経済発展と安全にとって持つ戦略的意義を明らかにしている。
（一）贯彻落实总体国家安全观，充实网络安全工作指导原则。当前，网络空间已成为继陆、海、空、天之后的第五疆域，网络空间安全风险也已成为影响国家安全的重大变量。近年来，网络安全风险进一步凸显，利用网络从事网络入侵、网络攻击、传播违法信息等违法行为屡有发生，给国家安全带来新的挑战。网络安全法修改以总体国家安全观为根本遵循，深刻把握发展与安全的辩证统一关系。本次修改新增了第三条，将“坚持党的领导”写入指导原则，同时将“网络强国建设”首次写入法律，是习近平总书记关于网络强国的重要思想的直接体现，进一步推动了网络强国战略等重大部署法律化，为新时代网络安全工作提供了根本遵循。	（一）総合的な国家安全観を貫徹し、サイバーセキュリティ業務の指導原則を充実させる。現在、サイバー空間は陸・海・空・宇宙に次ぐ第五の領域となり、サイバー空間のリスクは国家安全保障に影響を与える重大な変数となっている。近年、サイバーセキュリティリスクは一層顕在化し、ネットワークを利用した侵入・攻撃・違法情報拡散などの違法行為が頻発し、国家安全保障に新たな挑戦をもたらしている。サイバーセキュリティ法改正は、総合的な国家安全保障観を根本的な指針とし、発展と安全の弁証法的統一関係を深く把握している。今回の改正では新たに第三条が追加され、「党の指導を堅持する」ことが指導原則に明記されると同時に、「サイバー強国建設」が初めて法律に盛り込まれた。これは習近平総書記のサイバー強国に関する重要な思想を直接反映したものであり、サイバー強国戦略などの重要施策の法制化をさらに推進し、新時代のサイバーセキュリティ業務に根本的な指針を提供している。
（二）适应技术应用发展新形势，增加促进人工智能安全与发展内容。人工智能技术快速发展，正引领新一轮科技革命和产业变革，深刻改变人类生产生活方式。人工智能等新技术具有“双刃剑”效应，既是引发网络安全风险挑战的新变量，也是提升网络安全保护水平的新增量。新修改的网络安全法积极回应当前人工智能健康发展和安全治理的需要，新增人工智能专门条款。这是我国首次在法律层面规定人工智能专条，既回应了人工智能算法安全、训练数据泄露等新挑战，又通过“运用人工智能等新技术，提升网络安全保护水平”条款，实现技术治理的闭环，实现了“以发展促安全、以安全保发展”的制度导向。	（二）技術応用発展の新たな情勢に適応し、人工知能の安全と発展を促進する内容を追加した。人工知能技術は急速に発展し、新たな科学技術革命と産業変革を牽引し、人類の生産・生活様式を深く変えている。人工知能などの新技術は「両刃の剣」効果を持ち、サイバーセキュリティリスクの新たな変数であると同時に、サイバーセキュリティ保護水準を高める新たな増分でもある。改正されたサイバーセキュリティ法は、現在の人工知能の健全な発展と安全ガバナンスの必要性に積極的に応え、人工知能に関する特別条項を新設した。これはわが国が初めて法律レベルで人工知能の特別条項を規定したものであり、人工知能アルゴリズムの安全性や訓練データの漏洩といった新たな課題に対応すると同時に、「人工知能などの新技術を活用してサイバーセキュリティ保護レベルを向上させる」という条項を通じて、技術ガバナンスの閉ループを実現し、「発展によって安全を促進し、安全によって発展を保障する」という制度的指向を実現した。
（三）提升网络安全法律体系协同性，加强相关法律间的有机衔接。网络安全法构建了网络运行安全、网络数据安全、个人信息保护等基础制度。2021年以来，数据安全法、个人信息保护法等网络安全相关立法相继制定实施，《中华人民共和国行政处罚法》修订出台，对相关法律制度作出细化完善。新修改的网络安全法加强与相关法律有机衔接，推动法律体系形成合力。其一，新增规定明确网络运营者处理个人信息的法律适用，完善了与民法典、个人信息保护法等法律、行政法规的衔接。其二，将侵害个人信息权益行为、违法向境外提供重要数据行为等情形的法律责任改为衔接性规定，科学优化相关网络安全法律责任制度。其三，统筹考虑网络安全法和行政处罚法的适用关系，推动实现网络安全领域执法工作的精细化。	（三）サイバーセキュリティ法体系の連携性を高め、関連法律間の有機的接続を強化する。サイバーセキュリティ法はネットワーク運用安全、ネットワークデータ安全、個人情報保護などの基礎制度を構築した。2021年以降、データ安全法、個人情報保護法などのサイバーセキュリティ関連立法が相次いで制定・施行され、『中華人民共和国行政処罰法』の改正が公布され、関連法律制度が詳細化・改善された。改正されたサイバーセキュリティ法は関連法律との有機的接続を強化し、法体系の相乗効果形成を推進する。第一に、新たに規定を追加し、ネットワーク運営者が個人情報を処理する際の法律適用を明確化し、民法典や個人情報保護法などの法律・行政法規との連携を改善した。第二に、個人情報権益侵害行為や重要データの違法な国外提供行為などの状況における法的責任を連携規定に変更し、関連するサイバーセキュリティの法的責任制度を科学的に最適化した。第三に、サイバーセキュリティ法と行政処罰法の適用関係を総合的に考慮し、サイバーセキュリティ分野における法執行業務の精密化を実現するよう推進した。
（四）回应监管执法实践新需求，针对性健全重点领域安全法律责任。随着国内外网络安全形势不断发展变化、网络安全相关立法相继制定实施，网络安全法既有法律责任条款的适应性问题日渐凸显。新修改的网络安全法聚焦解决突出重点问题，通过提高违法成本、完善处罚机制等方式，有效增强了法律的威慑力。一方面，结合实践中危害网络安全后果的情况，增加了对造成大量数据泄露、导致关键信息基础设施丧失功能等违法行为的处罚；另一方面，对销售或者提供不符合要求的网络关键设备和网络安全专用产品的行为，增加法律责任规定，有效保障网络领域供应链安全。	（四）監督執行実務の新たなニーズに応え、重点分野の安全責任を重点的に整備した。国内外のサイバーセキュリティ情勢が絶えず変化し、関連立法が相次いで制定・施行される中、現行サイバーセキュリティ法の責任規定の適応性が次第に顕在化していた。改正されたサイバーセキュリティ法は、突出した重点問題の解決に焦点を当て、違法コストの引き上げや処罰メカニズムの改善などを通じて、法律の抑止力を効果的に強化した。一方で、実務におけるサイバーセキュリティ危害の結果を踏まえ、大量のデータ漏洩を引き起こす行為や重要情報インフラの機能喪失を招く行為などに対する処罰を追加した。他方で、要求を満たさないネットワーク重要設備やサイバーセキュリティ専用製品を販売または提供する行為に対する法的責任規定を追加し、ネットワーク分野のサプライチェーン安全を効果的に保障した。
（五）坚持过罚相当分类施策原则，精准设置不同类型违法行为法律责任。科学合理的法律责任设置，是持续优化营商环境、促进稳预期强信心有力保障。尤其在人工智能、大数据等新技术新业态加速发展的背景下，更需要避免“一刀切”式的处罚方式挫伤市场主体的积极性和创新活力，为新技术新业态新模式的健康发展预留充足空间。新修改的网络安全法针对网络运行安全违法行为、网络信息安全违法行为设置阶梯式的处罚措施，根据一般性违法，拒不改正或者情节严重的，造成特别严重影响、特别严重后果等不同情形分类施策，科学合理设置宽严相济的法律责任，切实保障网络执法既有力度又有温度。	（五）過罰相当の分類施策原則を堅持し、異なる類型違法行為の法的責任を精密に設定する。科学的かつ合理的な法的責任設定は、ビジネス環境の持続的最適化と安定的な期待・信頼の促進を強力に保障する。特に人工知能やビッグデータなどの新技術・新業態が加速的に発展する背景において、「画一的な」処罰方式が市場主体の積極性や革新活力を損なうことを避け、新技術・新業態・新モデルの健全な発展に十分な余地を残す必要がある。改正されたサイバーセキュリティ法は、ネットワーク運用安全違反行為やネットワーク情報安全違反行為に対し段階的な処罰措置を設け、一般的な違反、是正を拒む場合や情状が重い場合、特に深刻な影響や結果をもたらした場合など、異なる状況に応じて分類した対応を取る。寛厳相済の法的責任を科学的に合理的に設定し、ネットワーク法執行が力強さと温かみを兼ね備えることを確実に保障する。
更好发挥法治的引领、规范、保障作用	法の支配の先導・規範・保障機能をより良く発揮する
网络安全法的修改是我国顺应信息时代发展要求、筑牢国家安全屏障的重要举措，集中体现了我国统筹高质量发展和高水平安全的理念，对于深化推进网络空间法治化进程意义深远。2026年1月1日，修改后的网络安全法正式施行，标志着我国网络安全法治建设进入新阶段。以此为契机，应扎实推进法律贯彻实施，全面推进国家网络安全体系和能力现代化，更好发挥法治对改革发展稳定的引领、规范、保障作用，为数字经济高质量发展、网络强国建设稳步推进提供更加坚实的法治保障。（作者：中国信息通信研究院互联网法律研究中心主任 何波）	サイバーセキュリティ法の改正は、我が国が情報時代の発展要求に応え、国家安全保障の障壁を強化する重要な措置であり、高品質な発展と高水準の安全を統合的に推進する理念を集中的に体現している。これはサイバー空間の法治化プロセスを深化させる上で、極めて深い意義を持つ。2026年1月1日、改正サイバーセキュリティ法が正式施行され、わが国のサイバーセキュリティ法治建設が新たな段階に入ったことを示す。これを契機に、法律の着実な実施を推進し、国家サイバーセキュリティ体系と能力の近代化を全面的に推進し、法治が改革・発展・安定に対して果たす指導的・規範的・保障的役割をより良く発揮させ、デジタル経済の高品質発展とサイバー強国建設の着実な推進により強固な法治的保障を提供すべきである。（筆者：中国情報通信研究院インターネット法律研究センター所長 何波）

 

 

 

欧州 サイバーセキュリティ法の改正に向けた動き... (2025.12.09)

こんにちは、丸山満彦です。

すこし古い話です(^^;;  サイバーセキュリティ法（CSA）改正に関するはなし...

EUのサイバーセキュリティ関係法はデータ関連の法令も併せて混乱気味ですよね...

サイバー領域でも、CSAに続いてNIS2、サイバーレジリエンス法（CRA）、DORAが後から制定されました。規制簡素化はEUの重要なアジェンダですよね...

また、2019年から比較すると、地政学的な状況も変わってきています。2004年に時限的につくられたENISAが2019年のCSAにより恒久組織化されたわけですが、その後新たにいろいろと役割も追加されてきていることもあり、CSAで再定義する必要があるようです。

EUでは安全保障は各国ですることになっていますが、サイバーセキュリティは安全保障とのつながりが強いため、EUで機関をおかない（おいても時限的）と言う流れだったようです...2004年ENISA設置当時の話では...

さらに、欧州サイバーセキュリティ認証枠組み（ECCF）もうまくいっていない面もあり、再度調整が必要そうです。

クラウド認証（EUCS）の導入をめぐっては、主権要件をいれるかどうかで意見が分かれているようです...

この文書は、EUのサイバーセキュリティ法制度の今後の方向性を大まかに理解する上でも読んでおいた方が良いと思いました...

 

● European Parliament - Think Tank

・2025.12.09 Cybersecurity Act review: What to expect

Cybersecurity Act review: What to expect

サイバーセキュリティ法の見直し：今後の見通し

The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.

サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は依然として残っている。

 

・[PDF]

 

Cybersecurity Act review: What to expect	サイバーセキュリティ法の見直し：今後の見通し
The Cybersecurity Act (CSA) came into force in 2019 as part of the EU's efforts to build strong cybersecurity. Since its introduction, the EU cybersecurity regulatory framework has become more complex in response to the rise in cyber-attacks. New EU rules, as well as changes in the geopolitical context, have impacted the CSA, and the regulation is currently under review. Although stakeholders are aligned on most issues, significant differences remain, notably in addressing non-technical risks relating to the security of the information and communications technology (ICT) supply chain.	サイバーセキュリティ法（CSA）は、EUが強力なサイバーセキュリティを構築する取り組みの一環として2019年に施行された。導入以来、サイバー攻撃の増加に対応し、EUのサイバーセキュリティ規制枠組みはより複雑化している。新たなEU規則や地政学的状況の変化がCSAに影響を与え、現在見直しが進められている。関係者の間では大半の課題で意見が一致しているが、情報通信技術（ICT）サプライチェーンのセキュリティに関連する非技術的リスクへの対応など、重要な相違点は残っている。
The Cybersecurity Act in short	サイバーセキュリティ法の概要
Regulation (EU) 2019/881 (the CSA) formalised the role of the European Cybersecurity Agency (ENISA), giving it a permanent mandate, resources and tasks, including operational ones. It also established a voluntary EU cybersecurity certification framework (ECCF) for ICT products, services and processes. The ECCF aims to set up and maintain specific certification schemes, allowing companies operating in the EU to use the certificates recognised across all Member States. In January 2025, a targeted amendment to the CSA was adopted, to enable the future adoption of European certification schemes for 'managed security services' covering areas such as incident response, penetration testing, security audits and consultancy. The CSA requires an evaluation and review every five years. Postponed several times, this is now expected on 14 January 2026.	規則（EU）2019/881（CSA）は欧州サイバーセキュリティ庁（ENISA）の役割を正式に定め、恒久的な権限・資源・任務（運用面を含む）を付与した。またICT製品・サービス・プロセス向けの任意参加型EUサイバーセキュリティ認証枠組み（ECCF）を設立した。ECCFは特定の認証スキームを確立・維持し、EU域内で事業を行う企業が全加盟国で認められる認証を利用できるようにすることを目的としている。2025年1月には、インシデント対応、ペネトレーションテスト、セキュリティ監査、コンサルティングなどの分野をカバーする「マネージドセキュリティサービス」向けの欧州認証スキームを将来的に導入可能とするため、CSAの特定改正が採択された。CSAは5年ごとの評価と見直しを義務付けている。数度延期された後、現在は2026年1月14日に実施が予定されている。
Evolving context	変化する状況
Since the CSA entered into force, cyber-attacks have been on the rise. This has prompted new EU cybersecurity laws to address the growing number and complexity of cyber threats. As a result, ENISA's roles and responsibilities have expanded. For example, ENISA supports implementation of the Directive on measures for a high common level of cybersecurity across the Union (NIS2) by providing technical guidelines, facilitating information sharing, and enhancing coordination between Member States. Similarly, ENISA supports implementation and enforcement of the Cyber Resilience Act (CRA) by providing technical expertise, developing a single reporting platform for vulnerability and incident reporting, and supporting cybersecurity certification schemes.	CSA発効以降、サイバー攻撃は増加傾向にある。これにより、増加するサイバー脅威の数と複雑性に対処するため、新たなEUサイバーセキュリティ法が制定された。結果として、ENISAの役割と責任は拡大した。例えば、ENISAは技術ガイドラインの提供、情報共有の促進、加盟国間の連携強化を通じて、EU全域における高度な共通サイバーセキュリティ水準確保のための措置に関する指令（NIS2）の実施を支援している。同様に、ENISAは技術的専門知識の提供、脆弱性・インシデント報告のための単一プラットフォームの開発、サイバーセキュリティ認証スキームの支援を通じて、サイバーレジリエンス法（CRA）の実施と執行を支援している。
As regards certification, implementation of the ECCF has been challenging. So far, only one EU certification scheme has been adopted – the European cybersecurity scheme on common criteria (EUCC), dedicated to certifying ICT products. All other schemes (cloud services – EUCS, 5G, digital identity wallets and managed security services) are still under development. Additionally, there are concerns whether the ECCF effectively addresses non-technical supply-chain cybersecurity risks such as geopolitical dependencies. Questions have also been raised about how voluntary certification frameworks will align with the CRA, which establishes a presumption of conformity (in Article 27) for products certified under a recognised European scheme such as the EUCC.	認証に関しては、ECCFの実施は困難を極めている。現時点で採用されているEU認証スキームは、ICT製品の認証に特化した共通規準に基づく欧州サイバーセキュリティスキーム（EUCC）のみである。その他のスキーム（クラウドサービス向けEUCS、5G、デジタルIDウォレット、およびマネージドセキュリティサービス向け）はいずれも開発段階にある。さらに、ECCFが地政学的依存関係などの非技術的サプライチェーンサイバーセキュリティリスクを効果的に対処できるか懸念されている。また、EUCCのような認定欧州スキームで認証された製品に対して適合性の推定（第27条）を定めるCRAと、任意認証枠組みがどのように整合するかも疑問視されている。
The proposal for a revised CSA therefore aims to address both ENISA's growing responsibilities and ECCF implementation. During the consultation, the Commission also gathered views on ICT supply chain security challenges and the simplification of cybersecurity rules, such as how to streamline reporting obligations.	したがって、改正CSA提案は、ENISAの拡大する責任とECCF実施の両方に対処することを目的としている。協議期間中、欧州委員会はICTサプライチェーンのセキュリティ課題やサイバーセキュリティ規則の簡素化（報告義務の効率化方法など）に関する意見も収集した。
CSA review: Points of convergence among stakeholders	CSA見直し：ステークホルダー間の合意点
The replies to the call for evidence for the CSA review have shown broad agreement that the CSA should be revised on the following issues: (i) streamline cybersecurity measures; (ii) enhance cyber resilience; and (iii) simplify the EU regulatory landscape. The review is seen as an opportunity to reduce administrative burden and compliance costs. A significant convergence point is the need to harmonise definitions and reporting requirements across major EU acts – such as NIS2, CRA and the General Data Protection Regulation (GDPR) – and establish a single EU incident notification platform. Such a platform has now been put forward in the proposal for a 'digital omnibus' regulation.	CSA見直しに向けた証拠提出要請への回答からは、以下の点でCSAを改正すべきとの広範な合意が示された：(i) サイバーセキュリティ対策の効率化、(ii) サイバーレジリエンスの強化、(iii) EU規制環境の簡素化。この見直しは行政負担とコンプライアンスコストを削減する機会と見なされている。主要なEU法令（NIS2、CRA、一般データ保護規則（GDPR）など）における定義と報告要件の調和、および単一のEUインシデント通知プラットフォームの確立が必要であるという点で、大きな合意が得られた。このようなプラットフォームは、「デジタルオムニバス」規制の提案において現在提唱されている。
There is consensus that ENISA's mandate should be clarified and strengthened to reflect the agency's growing operational responsibilities under new EU rules such as NIS2 and CRA. Stakeholders note that this expansion should be matched by adequate financial resources and staffing in order to ensure the agency's effectiveness. The view is that ENISA should serve as a central technical coordinator, to promote consistency and harmonise implementation of EU cybersecurity laws across the Member States, thereby reducing regulatory divergence. This echoes the Council conclusions of December 2024 on a stronger EU Agency for Cybersecurity. Poland went as far as calling for a separate law for ENISA, to separate this item from potential controversy around the EUCS discussions.	NIS2やCRAといった新たなEU規則下でENISAの業務責任が増大していることを反映し、ENISAの権限を明確化・強化すべきという点で合意が形成されている。関係者らは、この権限拡大には十分な財政資源と人員配置が伴わなければ、機関の有効性が確保できないと指摘する。ENISAは中核的な技術調整機関として機能し、加盟国間でEUサイバーセキュリティ法の一貫性と調和を促進し、規制の乖離を縮小すべきだという見解だ。これは、2024年12月の理事会結論「強化されたEUサイバーセキュリティ機関」の趣旨と一致する。ポーランドはさらに踏み込み、ENISAのための独立した法律を制定し、EUCS議論に伴う潜在的な論争からこの項目を切り離すよう求めた。
Stakeholders widely acknowledge that the process for developing and adopting certification schemes is too slow and opaque. They highlight that a more agile, transparent and inclusive process with clearer timelines is urgently needed. Furthermore, stakeholders underline that certification schemes should be based on and align with international standards in order to ensure global interoperability, maximise acceptance, and reduce compliance costs for companies operating internationally. The prevailing view is that certification schemes should also be leveraged as a recognised means of demonstrating conformity or compliance with security requirements stemming from other major EU legislative acts, including NIS2, CRA and the AI Act.	関係者らは広く、認証スキームの開発・採択プロセスが遅く不透明すぎることを認めている。彼らは強調する、より機敏で透明性が高く包括的なプロセスと明確なタイムラインが緊急に必要だと。さらに、ステークホルダーは、認証スキームが国際標準に基づき整合性を保つべきだと強調する。これにより、国際的な相互運用性を確保し、受容性を最大化し、国際的に事業を展開する企業のコンプライアンスコストを削減できるからだ。認証スキームは、NIS2、CRA、AI法を含む他の主要なEU立法措置から生じるセキュリティ要件への適合性またはコンプライアンスを証明する公認手段としても活用されるべきだという見解が主流だ。
Potential challenges	潜在的な課題
Disagreements revolve around the specific content and scope of certification schemes, particularly regarding sovereignty and the legal limits of ENISA's influence. The most contentious point is the inclusion of sovereignty requirements in certification schemes such as the EUCS. This issue divides stakeholders into those advocating measures to protect European digital autonomy (e.g. both data localisation and corporate headquarters based in the EU) and those prioritising open markets and technical neutrality. Pro-sovereignty advocates, and stakeholders supporting 'cloud by Europe' models (i.e. entirely EU-based cloud service providers, not controlled by non-EU stakeholders), argue that these measures are crucial to protecting sensitive data and reinforcing EU strategic autonomy. By contrast, major tech companies, such as Microsoft, Amazon and Google, argue that non-technical criteria are subjective and do not improve cybersecurity outcomes, potentially restricting market access and innovation. At Member State level, too, positions are divided, with some countries expressing concern over sovereignty requirements, and others advocating in their favour.	意見の相違は、認証スキームの具体的な内容と範囲、特に主権とENISAの影響力の法的限界に関する点に集中している。最も議論の的となる点は、EUCSなどの認証スキームに主権要件を含めることである。この問題は利害関係者を、欧州のデジタル自律性を防御する措置（例：データローカリゼーションとEU域内に本社を置く企業の両方）を主張する側と、開放的な市場と技術的中立性を優先する側に分断している。主権重視派や「欧州発クラウド」モデル（非EU関係者に支配されない完全EU拠点のクラウドプロバイダ）を支持する関係者は、こうした措置が機密データの保護とEUの戦略的自律性強化に不可欠だと主張する。一方、Microsoft、Amazon、Googleなどの大手テック企業は、非技術的基準は主観的でサイバーセキュリティ効果を高めず、市場参入やイノベーションを阻害する可能性があると反論する。加盟国レベルでも立場は分かれており、一部の国々は主権要件に懸念を表明する一方、他の国々はこれを支持している。
On the nature of certification, the majority view is that it should remain mostly voluntary, to maintain flexibility and innovation. However, mandatory certification in critical sectors where high-security assurance is essential was also proposed. In addition, ENISA's regulatory power has sparked debate. Some stakeholders, including Amazon, oppose granting ENISA the authority to issue binding opinions or regulatory guidance, arguing that its role should remain technical and advisory.	認証の性質については、柔軟性と革新性を維持するため、主に任意のままであるべきという見解が大多数を占める。しかし、高いセキュリティ保証が不可欠な重要分野における義務的認証も提案された。加えて、ENISAの規制権限も議論を呼んでいる。Amazonを含む一部の利害関係者は、ENISAに拘束力のある意見や規制ガイダンスを発行する権限を与えることに反対し、その役割は技術的・助言的なものに留まるべきだと主張している。
It remains to be seen to what extent the Commission will consider stakeholders' views. The CSA review will also need to fit into the simplification of cybersecurity-related incident reporting obligations, which are part of the 'digital omnibus' proposal published on 19 November 2025.	欧州委員会が利害関係者の意見をどの程度考慮するかは、まだ見通せない。CSAの見直しは、2025年11月19日に公表された「デジタルオムニバス」提案の一部である、サイバーセキュリティ関連のインシデント報告義務の簡素化にも適合させる必要がある。

 

 

 

参考まで...

分類	法令名	種別	概要	発効日	適用開始日
個人データ保護	GDPR（Regulation (EU) 2016/679）	規則	EU全域の個人データ保護の基盤となる包括規則	2016.05.24	2018.05.25
データ共有・流通	Data Governance Act（Regulation (EU) 2022/868）	規則	データ共有の信頼性確保・データ仲介サービスの規律	2022.06.23	2023.09.24
	Data Act（Regulation (EU) 2023/2854）	規則	IoT等のデータアクセス権・データ共有義務を定める横断規則	2024.01.11	2025.09.12 段階的
デジタル市場・プラットフォーム	Digital Services Act（Regulation (EU) 2022/2065）	規則	プラットフォームの透明性・違法コンテンツ対策を統一規制	2022.11.16	2024/2/17  VLOPs/VLOSEsは2023.08.25
	Digital Markets Act（Regulation (EU) 2022/1925）	規則	GAFA等ゲートキーパー企業の市場支配力を規制	2022.11.01	2023.05.02
AI	AI Act（Regulation (EU) 2024/1689）	規則	リスクベースでAIを規制し、高リスクAIに義務を課す	2024.08.01	2025〜2027年に段階的適用
サイバーセキュリティ	Cybersecurity Act（Regulation (EU) 2019/881）	規則	ENISA恒久化とEUサイバーセキュリティ認証制度（ECCF）創設	2019.06.27	2019.06.27〜認証は段階的
	NIS2 Directive（Directive (EU) 2022/2555）	指令	重要事業体のサイバー義務・インシデント報告を強化	2023.01.16	2024.10.17までに国内法化
製品セキュリティ	CRA（Cyber Resilience Act）Regulation (EU) 2024/2847	規則	ソフトウェア・IoT等の製品に「セキュリティ・バイ・デザイン」を義務化し、脆弱性管理・報告を規定	2024.12.10	2027.12.11から適用開始。製造者の脆弱性報告義務は2026.09.11から
金融ICTレジリエンス	DORA（Regulation (EU) 2022/2554）	規則	金融セクターのICTリスク管理・インシデント報告を統一	2023.01.16	2025.01.17

 

 

---

参考...

ENISA

EUサイバーセキュリティ認証の声

・2025.12.15 Voices of EU Cybersecurity Certification

Voices of EU Cybersecurity Certification	EUサイバーセキュリティ認証の声
A special publication by ENISA that incorporates feedback from stakeholders involved in building, maintaining, operating, and applying the first EU cybersecurity certification schemes.	ENISAによる特別刊行物。EU初のサイバーセキュリティ認証スキームの構築、維持、運用、適用に関わる関係者からのフィードバックをまとめたものである。

 

・[PDF]