予告 2026.06.10から新しいブログに書いていきます...
こんにちは、丸山満彦です。
現在のまるちゃんの情報セキュリティ気まぐれ日記の容量がいっぱいとなったため、2026.06.10からこちらの新しいまるちゃんの情報セキュリティ気まぐれ日記2にブログを書いていくことになります...
引き続きよろしくお願いいたします。
2026.06.09
金融庁 「取引モニタリングの検知能力強化に向けた横断的レビューにかかる調査業務」報告書 (2026.05.28)
こんにちは、丸山満彦です。
金融庁が、「取引モニタリングの検知能力強化に向けた横断的レビューにかかる調査業務」報告書を公表していますね...
金融犯罪の巧妙化に対応するため、金融機関は取引モニタリングの検知について、手法の多層化・高度化(AI利用含む)、即時検知等により高度化し、業界全体で底上げをしていく必要がありますよね...
ただ、リソース(人、資金等)が十分にとれない地域金融機関の底上げというのが課題となるでしょうね...
特殊詐欺等については、海外では金融機関は知らないではすまない...という報告になってきているようですから、今から検知能力を強化していかなければ、金融機関も生き残れない状況になってきていますね...
● 金融庁
・2026.05.28 「取引モニタリングの検知能力強化に向けた横断的レビューにかかる調査業務」報告書の公表について
・・[PDF]
米国 USCYBERCOM 司令官による2026年姿勢表明書 (2026.06.05)
こんにちは、丸山満彦です。
米国サイバー軍(USCYBERCOM)司令官が米議会へ提出した姿勢表明書が公表されていますね...
サイバー空間は現代戦の中核領域となっていて、米軍の作戦遂行能力はサイバー能力に大きく依存していますよね...おそらく他の国の軍もそうなると思いますが...
敵対的な国といえる、中国、ロシア、イラン、北朝鮮や、場合によっては犯罪組織も、米軍ネットワークや重要インフラを継続的に標的としているので、それを防御するのもサイバー軍の仕事ですね...
中国を中心とする高度化するサイバー脅威に対抗するため、AI・人材・同盟・権限を強化し、USCYBERCOM を米国の統合抑止戦略の中核戦力へ発展させる必要がありますね。
USCYBERCOM の司令官が、NSA 長官を兼務し(dual-hat)、情報収集と作戦実行を統合することで作戦上位意味のある速度(speed of relevance)を実現していると説明していますが、日本はどうですかね...軍事作戦より、テロ、傍受を含む公安的な要素が強いですかね...
あと、気になったのが、米国外の外国勢力が何を企んでいるかを、迅速に把握するための情報収集制度であるFISA702(法律)ですね...
これは、日本でも気にしていて、国家情報会議設置法(内閣官房 概要 要綱 法律案・理由 新旧対照表 参照条文 衆議院 国家情報会議設置法案)の成立をはかりましたね...これから諜報活動の強化に向けて具体的な内容が深まるかもしれません...
日本は能力の問題ばかり気にしているように見えます、しかし問題は、能力に比例した国民監視の実効性ですよね...このあたりは、少なくともFISAに学ぶべきことが多いと思います。ただ、それでもEUと米国の個人データ移転に関するPrivacy Shield制度がSchrems II判決により無効となりましたよね...そういうことも意識しておく必要があります...
・2026.06.05 Posture Statement of General Joshua M. Rudd
| Posture Statement of General Joshua M. Rudd | ジョシュア・M・ラッド大将の所信表明 |
| Chairman Wicker, Ranking Member Reed, and distinguished members of the committee, thank you for your support through my recent confirmation process and for the privilege of representing the men and women of U.S. Cyber Command (USCYBERCOM) and the Cyber Mission Force (CMF). I value our partnership and this opportunity to discuss the changing strategic landscape, the Command’s accomplishments in 2025, and its way ahead in 2026. Last year the Command demonstrated its proficiency in integrating cyberspace operations with the Joint Force. This year, the Command continues to build upon our warfighting successes in defense of the nation, evidenced by on-going support to current operations.</ | ウィッカー委員長、リード筆頭委員、そして委員会の皆様、私の最近の承認手続きにおけるご支援、ならびに米国サイバー軍(USCYBERCOM)およびサイバー任務部隊(CMF)の将兵を代表するこの光栄な機会を賜り、心より感謝申し上げます。私は、皆様との連携、そして変化する戦略的状況、2025年の当司令部の成果、そして2026年に向けた今後の方向性について議論するこの機会を大変重視しております。昨年、当司令部はサイバー空間作戦と統合部隊との統合においてその能力を実証しました。今年、当司令部は、現在進行中の作戦への継続的な支援が示す通り、国家防衛における戦闘上の成功をさらに発展させていきます。 |
| I've witnessed our critical role in integrating cyber operations across the Joint Force; including in South America, the Middle East, and the Indo-Pacific. We deliver and integrate capabilities that support Combatant Commanders while mitigating risk for the Department of War (DoW), and enhancing mastery in our cyber forces, all of which depend on our congressionally granted Service-like authorities, such as Joint Force Trainer, Enhanced Budget Control, and acquisition. These authorities allow USCYBERCOM to shape the force that the nation requires in cyberspace – and we are executing them as intended. | 私は、南米、中東、インド太平洋地域を含め、統合軍全体におけるサイバー作戦の統合において、我々が果たす極めて重要な役割を目の当たりにしてきました。我々は、戦闘指揮官を支援する能力を提供・統合すると同時に、国防総省(DoW)のリスクを軽減し、サイバー部隊の能力を向上させています。これらすべては、統合軍トレーナー、強化予算管理、調達といった、議会から付与された軍種と同等の権限に依存しています。これらの権限により、USCYBERCOMは国家がサイバー空間に求める戦力を構築することが可能となっており、我々はそれらを意図通りに実行しています。 |
| OUR MISSION AND PARTNERS | 我々の任務とパートナー |
| USCYBERCOM, through its subordinate unified commands and components, executes three assigned missions in support of the Department’s and Administration’s priorities outlined in the National Security Strategy, the Cyber Strategy for America, and National Defense Strategy. The Cyber National Mission Force (CNMF) defends the nation from malicious cyberspace actors who threaten our homeland. The Department of War Cyber Defense Command (DCDC) operates, secures and defends the Department of War Information Networks (DoWIN) to ensure our warfighters can execute missions globally. Our Service-led Joint Force Headquarters-Cyber – JFHQ-C (Navy), JFHQ-C (Army), JFHQ-C (Marines), and JFHQ-C (Air Force) – enable full spectrum cyber operations in support of Combatant Commands’ missions to meet the Department’s priorities. Finally, I should also mention that Coast Guard Cyber, under the Department of Homeland Security (DHS) serves as a component of USCYBERCOM, bringing important capacity and authorities to support our operations. All our components enhance the effectiveness of our allies and partners, collaborating and enabling them to bear greater common defense burdens. Also, the recently published Cyber Strategy for America affords additional operational latitude for cyber to support national security objectives. This range of duties and activities demands effective coordination, robust intelligence, and a deep understanding of both the cyber domain and broader geopolitical contexts. | USCYBERCOMは、その傘下の統合司令部および構成部隊を通じて、『国家安全保障戦略』、『米国のサイバー戦略』、および『国防戦略』に概説された国防総省および行政当局の優先事項を支援するため、3つの任務を遂行しています。サイバー国家任務部隊(CNMF)は、我が国の国土を脅かす悪意あるサイバー空間の行為者から国家を防衛する。国防総省サイバー防衛司令部(DCDC)は、国防総省情報ネットワーク(DoWIN)を運用、保護、防衛し、我が軍の戦闘要員が世界中で任務を遂行できるようにする。各軍主導の合同部隊司令部・サイバー(JFHQ-C)――海軍、陸軍、海兵隊、空軍――は、国防総省の優先事項を達成するための戦闘指揮部の任務を支援し、全領域にわたるサイバー作戦を可能にしています。最後に、国土安全保障省(DHS)傘下の沿岸警備隊サイバー部門がUSCYBERCOMの一翼を担い、我々の作戦を支援するための重要な能力と権限を提供している点にも言及すべきでしょう。我々のすべての構成要素は、同盟国やパートナー国の有効性を高め、彼らと協力し、共通の防衛負担をより多く担えるよう支援しています。また、最近公表された『米国のサイバー戦略』は、国家安全保障上の目標を支援するために、サイバー分野にさらなる作戦上の裁量権を与えています。こうした幅広い任務と活動には、効果的な調整、強固な情報収集、そしてサイバー領域とより広範な地政学的状況の両方に対する深い理解が求められます。 |
| I also serve as the Director of the National Security Agency (NSA), which is USCYBERCOM’s closest partner. The Agency is simultaneously a Combat Support Agency, a key component of the Intelligence Community, and the security overseer for vital national security systems. NSA’s roles, responsibilities, and capabilities complement those of USCYBERCOM. The synergy between these two organizations drives a unity of effort and unity of Command that strengthens the Joint Force, the Intelligence Community, and ultimately the nation. With the dual-hat command relationship between USCYBERCOM and NSA, I can make and execute decisions at the speed of war and speed of relevance, contributing substantially to the nation’s defense and the Department’s ability to fulfill its mission. | 私はまた、USCYBERCOMの最も緊密なパートナーである国家安全保障局(NSA)の長も務めています。NSAは、戦闘支援機関であると同時に、情報コミュニティの主要構成要素であり、重要な国家安全保障システムのセキュリティ監督機関でもあります。NSAの役割、責任、能力は、USCYBERCOMのそれらを補完するものです。これら二つの組織間の相乗効果は、共同作戦部隊、情報コミュニティ、そして最終的には国家そのものを強化する「努力の一致」と「指揮の一致」を推進します。USCYBERCOMとNSAとの二重指揮関係により、私は「戦争の速度」と「状況に応じた迅速さ」で意思決定を行い実行することができ、国家の防衛および国防総省が任務を遂行する能力に大きく貢献しています。 |
| DEFENDING THE HOMELAND | 国土防衛 |
| U.S. Cyber Command is in daily contact with malicious cyber actors, including state-sponsored entities working for our nation’s adversaries. We have witnessed persistent efforts by state-sponsored cyber actors to achieve strategic objectives against the United States and its allies and partners. We see these actors probing the DoWIN, weapons systems, and critical infrastructure with the intent to hold our economic and national institutions at-risk. DoW systems and data – as well as critical civilian infrastructure in the United States – are being targeted, and our responsibility to defend them remains a no-fail mission for the Department and the nation. | 米国サイバー軍は、わが国の敵対勢力のために活動する国家支援組織を含む、悪意あるサイバー攻撃者たちと日々対峙している。我々は、米国およびその同盟国・パートナー国に対して戦略的目標を達成しようと、国家支援を受けたサイバー攻撃者たちが執拗な努力を続けているのを目の当たりにしてきた。これらの攻撃者たちは、わが国の経済・国家機関を危険にさらす意図を持って、国防情報網(DoWIN)、兵器システム、重要インフラを偵察している。国防総省のシステムやデータ、そして米国内の重要な民間インフラが標的となっており、これらを防衛する我々の責任は、国防総省および国家にとって絶対に失敗が許されない任務であり続けています。 |
| I am pleased to report that we are also increasing CMF talent, resources, and focus on behalf of the Combatant Commands directly engaged in defending the American homeland within their areas of responsibility and functional missions. To meet the demand, we continually reassess our force allocation and have realigned forces to ensure complete alignment with the National Security Strategy, the Cyber Strategy for America, and the National Defense Strategy. | また、各戦域軍がそれぞれの責任地域および機能的任務の範囲内で米国の国土防衛に直接従事できるよう、CMF(サイバー戦力)の人材、資源、および注力度を強化していることをご報告できることを嬉しく思います。この需要に応えるため、我々は部隊配置を継続的に見直し、国家安全保障戦略、米国サイバー戦略、および国防戦略との完全な整合性を確保するために部隊の再編を行ってきました。 |
| We are in direct support to U.S. Southern Command (USSOUTHCOM) in its operations with partners to counter foreign drug cartels, build meaningful partner capacity, and bring stability to the Western Hemisphere. This has entailed a wide range of cyberspace operations, including force protection, hardening DoW systems, hunt forward missions (more on these below), and integration across the full spectrum of military capability. In particular, I am proud of the proficiency and impact of USCYBERCOM’s recent participation in Operation ABSOLUTE RESOLVE. Command personnel showed remarkable dedication, expertise, and sheer stamina in pivoting to integrate cyber effects and intelligence with USSOUTHCOM’s mission in Venezuela. We support U.S. Northern Command (USNORTHCOM) in securing our borders. This means not only tracking and disrupting the supply chain that delivers fentanyl into America, but also assisting bilateral efforts against cartels that profit from the drug trade and human trafficking. We also support U.S. Strategic Command (USSTRATCOM), U.S. Space Command (USSPACECOM), and other DoW entities in bolstering defenses against attacks against the United States. USCYBERCOM, for example, is a key contributor to the President’s Golden Dome for America initiative. | 我々は、外国の麻薬カルテルに対抗し、パートナーの能力を実質的に構築し、西半球に安定をもたらすためのパートナーとの共同作戦において、米国南方軍(USSOUTHCOM)を直接支援しています。これには、部隊の防護、DoW(国防)システムの強化、ハンティング・フォワード任務(詳細は後述)、および軍事能力の全領域にわたる統合など、幅広いサイバー空間作戦が含まれています。特に、USCYBERCOMが最近「オペレーション・アブソリュート・リゾルブ」に参加した際の熟練度と成果を誇りに思います。司令部の要員たちは、ベネズエラにおけるUSSOUTHCOMの任務にサイバー効果と情報を統合するために迅速に対応し、並外れた献身、専門知識、そして驚異的な持久力を示しました。我々は、国境の安全確保において米国北方軍(USNORTHCOM)を支援しています。これは、フェンタニルを米国に流入させる供給網を追跡・遮断するだけでなく、麻薬取引や人身売買で利益を得るカルテルに対する二国間の取り組みを支援することも意味します。また、我々は米国戦略軍(USSTRATCOM)、米国宇宙軍(USSPACECOM)、およびその他の国防総省(DoD)機関に対し、米国に対する攻撃への防衛体制強化を支援している。例えば、米サイバー軍(USCYBERCOM)は、大統領の「ゴールデン・ドーム・フォー・アメリカ」イニシアチブにおいて重要な役割を果たしている。 |
| Our efforts to defend the homeland flow through our Service components and the CNMF. CNMF personnel have deployed more than a hundred times in recent years to over 30 countries in partner-enabled missions to hunt on host networks. They conducted more than two dozen such “hunt forward” missions in 2025, generating insights and constraining adversary freedom of maneuver around the globe. These missions frequently lead to public releases of malware samples for analysis by the global cybersecurity community. Such disclosures have made Internet users in America and around the world, as well as in host countries, safer on-line. They also frustrate the military and intelligence operations of authoritarian regimes. | 国土防衛に向けた我々の取り組みは、各軍種およびCNMFを通じて展開されています。CNMF要員は近年、パートナー国の支援を受けた任務として、ホストネットワーク上での脅威探索を行うため、30カ国以上に100回以上展開してきました。2025年には、こうした「ハンティング・フォワード」任務を20回以上実施し、知見を生み出し、世界中で敵対勢力の行動の自由を制限しました。これらの任務は、しばしばマルウェアサンプルの公開につながり、世界中のサイバーセキュリティコミュニティによる分析が可能となっています。こうした情報の公開により、米国や世界中のインターネットユーザー、さらにはホスト国のユーザーも、オンライン上でより安全に過ごせるようになりました。また、これらは独裁政権による軍事・諜報活動を阻害する効果も持っています。 |
| Our Command secures, defends, and operates the military systems and data that provide warning, situational awareness, synchronization, and sustainment for our fellow Combatant Commands. This work focuses on the defense of our warfighting networks. That is our supported mission at USCYBERCOM. Every Combatant Command’s operational plan depends on the ability of leaders and commanders to communicate orders and share data securely. | 当司令部は、他の戦闘司令部に対し、警戒、状況認識、連携、および持続的支援を提供する軍事システムとデータを、保護・防衛・運用しています。この活動は、我々の戦闘ネットワークの防衛に重点を置いている。これこそが、USCYBERCOMにおける我々の支援任務である。各戦闘司令部の作戦計画は、指導者や指揮官が命令を伝達し、データを安全に共有する能力に依存している。 |
| USCYBERCOM coordinates with Geographic Combatant Commands to identify key cyber ‘terrain’ to inform and prioritize DCDC and Service component’s Defensive Cyber Operations (DCO) efforts. We seek to ensure our partners fully understand key mission systems and execute clearly defined roles and assignments for defending that terrain. When necessary, our Cyber Protection Teams work with local network defenders to secure and defend Joint Force systems, networks, and data. | USCYBERCOMは、地域戦闘司令部と連携し、重要なサイバー「戦場」を特定することで、DCDCおよび各軍構成部隊の防御的サイバー作戦(DCO)の取り組みに情報を提供し、優先順位を決定している。我々は、パートナーが主要な任務システムを完全に理解し、その戦域を防衛するための明確に定義された役割と任務を遂行できるよう努めています。必要に応じて、我々のサイバー保護チームは現地のネットワーク防衛担当者と協力し、統合部隊のシステム、ネットワーク、およびデータを保護・防衛します。 |
| One of USCYBERCOM’s primary sources of intelligence to identify and counter cyber threats such as ransomware attacks on U.S. critical infrastructure is FISA Section 702 collection. Intelligence derived from FISA Section 702 collection has proven invaluable in protecting our nation and warfighters overseas from terrorist attacks, adversary state actors, and malicious cyber activity. I assess there is no substitute for the speed and reliability of FISA Section 702 collection, or the specific and actionable insights that FISA Section 702 collection yields in defense of the homeland and warfighter networks. | 米国の重要インフラに対するランサムウェア攻撃などのサイバー脅威を特定し、対処するためのUSCYBERCOMの主要な情報源の一つが、FISA第702条に基づく情報収集です。FISA第702条に基づく情報収集から得られる知見は、テロ攻撃、敵対的な国家主体、および悪意あるサイバー活動から、我が国および海外に展開する戦闘員を保護する上で極めて貴重なものであることが実証されています。私は、FISA第702条に基づく情報収集の迅速性と信頼性、あるいは同収集がもたらす具体的かつ実行可能な知見に代わるものはないと評価しています。これらは、国土および戦闘員ネットワークの防衛において不可欠なものです。 |
| USCYBERCOM is strengthening the network defenses of our warfighting networks in several ways. We are emplacing stronger, more dynamic cybersecurity measures; investing in artificial intelligence and machine learning to improve threat detection, response times, and predictive analysis; enhancing the knowledge, skills, and capabilities of our workforce; leveraging new and legacy authorities; and working with Allies, partners, and industry to make the DoWIN a more difficult target for our adversaries. | USCYBERCOMは、いくつかの方法で戦闘ネットワークの防御を強化しています。より強力で動的なサイバーセキュリティ対策を導入し、脅威の検知、対応時間、予測分析を改善するために人工知能(AI)と機械学習に投資し、要員の知識、技能、能力を向上させ、新規および既存の権限を活用し、同盟国、パートナー、産業界と協力して、DoWINを敵対者にとってより攻撃しにくい標的にしています。 |
| Defending Joint Force systems and data parallels our efforts to support those who defend adjacent cyber terrain, particularly government, critical infrastructure, and partner networks. We work across the Joint Force and with a variety of partners to do this – something we call “Setting the Globe” – because systems in one region often depend on the functionality and the security of U.S. and foreign systems hundreds or even thousands of miles away. | 統合軍(Joint Force)のシステムとデータを防衛することは、隣接するサイバー領域、特に政府、重要インフラ、およびパートナーのネットワークを防衛する人々を支援する我々の取り組みと並行するものです。我々はこれを実現するために、統合軍全体および多様なパートナーと連携しています。これは我々が「Setting the Globe(地球規模での展開)」と呼ぶ取り組みです。なぜなら、ある地域のシステムは、数百、あるいは数千マイル離れた場所にある米国や外国のシステムの機能やセキュリティに依存していることが多いためです。 |
| We collaborate with an array of U.S. and foreign partners to ensure that adversaries cannot impair that connectivity – or our decisionmakers’ trust in its security. Foreign adversaries continuously sharpen how they operate, and frequently work through (unwitting) American-owned networks and systems. USCYBERCOM fosters unity of action across partners like the Service counterintelligence agencies, the Federal Bureau of Investigation (FBI)-led National Counterintelligence Task Force, and DHS’s Cybersecurity and Infrastructure Security Agency (CISA), sharing insights that enhance network defenses and counter adversary tactics. In addition, USCYBERCOM (with NSA) enables efforts by the Department of the Treasury, the FBI, and other partners to disrupt ransomware, cryptocurrency theft, and other criminal activities. | 我々は、敵対勢力がその接続性を損なうこと、あるいは意思決定者がそのセキュリティに対する信頼を損なうことができないよう、米国および外国の多様なパートナーと協力している。外国の敵対勢力は、その活動手法を絶えず洗練させており、しばしば(知らぬ間に)米国が所有するネットワークやシステムを介して活動しています。USCYBERCOMは、各軍の情報機関、連邦捜査局(FBI)主導の国家対諜報タスクフォース、国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)といったパートナー間で行動の一致を図り、ネットワーク防御を強化し、敵対勢力の戦術に対抗するための知見を共有しています。さらに、USCYBERCOMは(NSAと連携して)、財務省、FBI、その他のパートナーによるランサムウェア、暗号資産窃盗、その他の犯罪活動を阻止する取り組みを支援している。 |
| Consistent with Congressional intent, USCYBERCOM engages in a two-way voluntary sharing of information with industry to help bolster private companies’ ability to defend themselves against exploitation by malicious cyber actors and enhance our ability to act against those same actors. We aim to broaden the sharing of insights, ensuring mutual gain from this collaboration. Our UNDERADVISEMENT program, a voluntary collaboration with more than a hundred companies, links cybersecurity expertise across industry and government. This partnership has cued significant operational successes, enabling network owners to close vulnerabilities and eradicate threats from their systems. Such efforts by design frustrate adversaries and make their campaigns more expensive for them and less consequential for us. | 議会の意図に沿い、USCYBERCOMは産業界と双方向の自発的な情報共有を行い、民間企業が悪意あるサイバー攻撃者による悪用から自らを守る能力を強化し、我々がそれらの攻撃者に対して行動する能力を高めることを支援している。我々は、この協力から相互の利益が得られるよう、知見の共有を拡大することを目指している。100社以上の企業と自発的に連携する「UNDERADVISEMENT」プログラムは、産業界と政府のサイバーセキュリティ専門知識を結びつけている。このパートナーシップは、ネットワーク所有者が脆弱性を修正し、システムから脅威を根絶することを可能にし、重要な運用上の成功をもたらしてきた。こうした取り組みは、意図的に敵対者を挫き、彼らの作戦コストを増加させると同時に、我々への影響を軽減するものである。 |
| ENABLING DETERRENCE | 抑止力の強化 |
| China seeks a world order more amenable to the Chinese Communist Party (CCP)’s vision and ideology – and views cyber as a critical domain for modern warfare. Not only is China confronting us in cyberspace, it is also expanding its sway in the Pacific while insisting that it is only acting to defend itself. China has constructed a substantial cyberspace operations force, supported by capable and adaptive enablers in its native defense, cybersecurity, and information technology industries. | 中国は、中国共産党(CCP)のビジョンとイデオロギーに合致した世界秩序を追求しており、サイバー空間を現代戦争における極めて重要な領域と見なしている。中国はサイバー空間で我々と対峙しているだけでなく、自国の防衛のために行動しているに過ぎないと主張しつつ、太平洋地域での影響力を拡大させている。中国は、自国の防衛、サイバーセキュリティ、情報技術産業における有能かつ適応力のある支援体制に支えられ、大規模なサイバー作戦部隊を構築している。 |
| Focusing on the strategic and operational challenges that China presents in cyberspace, our Command recognizes the vital role that we play in supporting the Joint Force in Pacific-area contingencies. We support U.S. Indo-Pacific Command (USINDOPACOM) in its mission to deter aggression and defend its area of responsibility. This commitment extends to the other Combatant Commands that would be involved in a Pacific crisis, particularly U.S. Transportation Command (USTRANSCOM), U.S. Special Operations Command (USSOCOM), and USSPACECOM. As noted, we also work daily with U.S. Government partners and industry to deny China-based cyber threats to our homeland, allies, and partners. We are countering China’s cyber operators’ efforts to burrow into U.S. critical infrastructure systems and pre-position for attack in a contingency or crisis scenario. We are also hardening DoW’s cyber “terrain” across the Pacific region to make it more secure and defensible against any attacker. Our Command gratefully acknowledges the importance that our allies and partners provide in defending our common interests in the Pacific. | 我が司令部は、サイバー空間において中国がもたらす戦略的・作戦上の課題に焦点を当て、太平洋地域における不測の事態において統合軍を支援する上で我々が果たす極めて重要な役割を認識している。我々は、侵略を阻止し、その責任地域を防衛するという米インド太平洋軍(USINDOPACOM)の任務を支援する。この取り組みは、太平洋地域の危機に関与する他の戦闘指揮部、特に米国輸送軍(USTRANSCOM)、米国特殊作戦軍(USSOCOM)、および米国宇宙軍(USSPACECOM)にも及ぶ。前述の通り、我々はまた、米国政府のパートナーや産業界と日々連携し、自国、同盟国、およびパートナーに対する中国発のサイバー脅威を阻止している。我々は、中国のサイバー攻撃者が米国の重要インフラシステムに潜入し、不測の事態や危機発生時に攻撃を行うための準備を整えようとする動きに対抗している。また、太平洋地域全域において、DoWのサイバー「戦域」を強化し、いかなる攻撃者に対してもより安全で防御可能な状態にするよう取り組んでいる。当司令部は、太平洋における共通の利益を守る上で、同盟国やパートナーが果たす重要な役割に深く感謝している。 |
| We also support USINDOPACOM and U.S. Forces Korea in upholding deterrence on the Korean Peninsula. North Korea, like Iran, sponsors increasingly capable cyber actors. Pyongyang focuses cyber activities on the circumvention of international sanctions and the generation of illicit revenue through cryptocurrency exploitation that supports the regime’s nuclear weapons and ballistic missile programs. | また、朝鮮半島における抑止力の維持において、米インド太平洋軍(USINDOPACOM)および在韓米軍を支援している。北朝鮮はイランと同様、能力を増大させているサイバーアクターを支援している。平壌は、国際制裁の回避と、体制の核兵器および弾道ミサイル計画を支援する仮想通貨の悪用を通じた不正収益の獲得に、サイバー活動を集中させている。 |
| We support U.S. European Command (USEUCOM) in stabilizing the security environment in Europe. Russia remains a threat to the peace of the Continent and to the global order. Moscow violates international norms with its aggression in Ukraine, coupled with its overt and covert campaigns to intimidate Ukraine’s friends. As with China, Russia’s military and intelligence cyber forces serve the Kremlin’s strategic objectives – as we have seen time and again in the Ukraine war, the first major conflict with a full-fledged cyber front. Russian cyber actors work to subvert Ukraine and divide its Western allies, seeking to undermine them abroad and internally. In the Russian case, the Kremlin encourages, or at least tolerates, brazen cyber-criminal entities that indirectly serve state purposes against foreign targets. | 我々は、欧州における安全保障環境の安定化に向け、米欧州軍(USEUCOM)を支援する。ロシアは、欧州大陸の平和および世界秩序に対する脅威であり続けている。モスクワは、ウクライナへの侵略に加え、ウクライナの友好国を威嚇するための公然たる、あるいは秘密裏の作戦を展開することで、国際規範に違反している。中国と同様、ロシアの軍事・諜報サイバー部隊はクレムリンの戦略的目標に奉仕している。これは、本格的なサイバー戦線が展開された初の主要な紛争であるウクライナ戦争において、我々が繰り返し目にしてきた通りである。ロシアのサイバー攻撃主体は、ウクライナを転覆させ、その西側同盟国を分断しようと働きかけ、国外および国内でそれらの国々を弱体化させようとしている。ロシアの場合、クレムリンは、外国の標的に対して間接的に国家の目的を果たす、厚かましいサイバー犯罪組織を奨励しているか、少なくとも容認している。 |
| USCYBERCOM supports U.S. Central Command (USCENTCOM) and USSOCOM in their campaigns to counter Iranian aggression. With USCENTCOM, we have helped bolster the cyber defenses of Israel and other regional partners, including support for regional stability efforts. The Command has focused on securing key partners and networks in the region, and provides actionable information, insights, and options to policy makers. | 米サイバー軍(USCYBERCOM)は、イランの侵略に対抗する米中央軍(USCENTCOM)および米特殊作戦軍(USSOCOM)の作戦を支援している。USCENTCOMと連携し、我々はイスラエルやその他の地域パートナーのサイバー防衛を強化する支援を行っており、これには地域の安定化に向けた取り組みへの支援も含まれる。同軍は、地域内の主要なパートナーやネットワークの安全確保に注力しており、政策立案者に対して実用的な情報、洞察、および選択肢を提供している。 |
| Non-state cyber actors remain a threat in cyberspace. Cyber criminals continue to find new victims in the United States and globally. We are concerned about the criminal enablers of such activities, such as those providing ransomware-as-a-service. In addition, violent extremist groups still spread propaganda and incite attacks in cyberspace. Though their capabilities have been eroded, the Islamic State in Iraq and Syria (ISIS), al Qaida, and their offshoots maintain the intent to target Americans. Our Joint Force Headquarters- Cyber (Marines) works in conjunction with U.S. military and diplomatic efforts, supporting allies and partners who are disrupting terrorist messaging and mobilization online as well as providing critical intelligence. | 非国家主体のサイバーアクターは、依然としてサイバー空間における脅威である。サイバー犯罪者は、米国内および世界中で新たな被害者を見つけ続けている。我々は、ランサムウェア・アズ・ア・サービス(RaaS)を提供する者など、こうした活動を助長する犯罪者について懸念を抱いている。さらに、暴力的な過激派グループは、依然としてサイバー空間でプロパガンダを拡散し、攻撃を扇動している。その能力は弱体化しているものの、イラク・シリア・イスラム国(ISIS)、アルカイダ、およびそれらの分派組織は、依然として米国人を標的とする意図を維持している。我々の海兵隊サイバー統合部隊司令部(JFHQ-Cyber)は、米軍の軍事・外交活動と連携し、オンライン上でのテロリストのメッセージ発信や動員を妨害する同盟国・パートナーを支援するとともに、重要な情報を提供している。 |
| Strong partnerships with government, industry, academia, and foreign colleagues amplify our operational effectiveness and in turn create advantages for our partners. Such advantages force dilemmas upon our adversaries, and broaden the perspectives and insights we can utilize and exploit. Our components, when working in unison with diplomatic, military, law enforcement, homeland security, and intelligence capabilities, make a powerful combination that can disrupt the plans of malicious cyber actors wherever they hide. In addition, our Regional Cybersecurity and Engagement Strategy in the Indo-Pacific guides efforts with partners to counter and contest foreign adversaries. These efforts at USCYBERCOM go into fostering capacity building among partners, promoting interoperability, burden-sharing, and reducing barriers to information sharing and combined activities. | 政府、産業界、学界、および海外の同僚との強固なパートナーシップは、我々の作戦上の有効性を高め、ひいてはパートナーにとっての優位性を生み出します。こうした優位性は敵対者にジレンマを強いるとともに、我々が活用し、利用し得る視点や洞察を広げます。我々の構成要素が、外交、軍事、法執行、国土安全保障、および情報能力と一体となって活動する際、それは強力な組み合わせとなり、悪意あるサイバーアクターがどこに潜んでいようとも、その計画を阻止することができます。さらに、インド太平洋地域における「地域サイバーセキュリティ・エンゲージメント戦略」は、外国の敵対勢力に対抗し、牽制するためのパートナーとの取り組みを導くものである。USCYBERCOMにおけるこれらの取り組みは、パートナー間の能力構築の促進、相互運用性の推進、負担分担、そして情報共有や共同活動における障壁の低減に注力している。 |
| USING OUR AUTHORITIES | 権限の活用 |
| USCYBERCOM employs unique Service-like authorities to enhance readiness, improve capabilities, and advance partnerships. These authorities help to ensure that innovation adds speed, agility, and scale across operations, capability deployment, data sharing, and procurement. | USCYBERCOMは、独自の軍種並みの権限を活用して、即応態勢の強化、能力の向上、およびパートナーシップの推進を図っています。これらの権限は、作戦、能力展開、データ共有、および調達において、イノベーションがスピード、機動力、そして規模をもたらすことを確実にするのに役立ちます。 |
| The Enhanced Budgetary Control (EBC) authority and resources granted by Congress are crucial to the execution of our Service-like functions. This portfolio of fiscal authorities has transformed our relations with DoW, the Services, and our Components. EBC entrusts nearly $4 billion of the DoW budget to USCYBERCOM, and streamlines how we engage the Department’s planning, programing, budgeting, and execution processes. EBC also promotes the transparency that aligns authorities, responsibility, and accountability in cyberspace operations. Greater accountability in turn facilitates better cybersecurity as well as faster development and fielding of new capabilities. | 議会から付与された「強化予算管理(EBC)」の権限と資源は、我々の軍種並みの機能を遂行する上で極めて重要です。この一連の財政権限は、国防総省(DoW)、各軍種、および我々の構成組織との関係を大きく変革しました。EBCは、国防総省(DoW)予算のうち約40億ドルをUSCYBERCOMに委任し、同省の計画、プログラム策定、予算編成、および実行プロセスへの関与方法を合理化します。また、EBCは、サイバー空間作戦における権限、責任、説明責任を整合させる透明性を促進します。説明責任の強化は、結果としてサイバーセキュリティの向上に加え、新能力の開発および配備の迅速化を可能にします。 |
| Agile acquisition is key to creating advantage for our commanders, components, and operators. The Command collaborates and partners closely with the Services, the Defense Advanced Research Projects Agency (DARPA), the Strategic Capabilities Office (SCO), Defense Innovation Unit (DIU), and others, to ensure our acquisition strategies enable agility, scale, and precision at the rapid pace demanded to keep the United States ahead of our adversaries in the cyber domain. For example, USCYBERCOM partners with DARPA through an acquisition initiative called CONSTELLATION to bridge the proverbial “valley of death” for new capabilities, which it can now transition more rapidly from concepts to operational use. | アジャイルな調達体制は、指揮官、各軍種、および運用要員に優位性をもたらすための鍵である。当司令部は、各軍種、国防高等研究計画局(DARPA)、戦略能力局(SCO)、国防イノベーションユニット(DIU)などと緊密に連携・協力し、米国のサイバー領域における敵対勢力に対する優位性を維持するために求められる迅速なペースで、調達戦略が俊敏性、規模、および精度を実現できるよう確保している。例えば、USCYBERCOMは「CONSTELLATION」と呼ばれる調達イニシアチブを通じてDARPAと提携し、新能力が直面するいわゆる「死の谷」を乗り越えることで、概念段階から実戦運用への移行をより迅速に行えるようにしている。 |
| Many of our missions depend on the Joint Cyber Warfighting Architecture (JCWA), a suite of systems with associated capabilities that facilitate a full range of cyberspace missions and foster overmatch against malicious adversaries. Our Command is employing its Department-approved systems engineering and integration authorities to ensure JCWA develops efficiently in accord with a shared vision. Common standards between the Service-managed subcomponents of JCWA have accelerated its interoperability, tool development capacity, and data flows within and across the Command and mission partners. Finally, the Department is working with USCYBERCOM through our JCWA Program Executive Office (PEO) to provide our Command with milestone decision authority for the Service-managed JCWA programs of record. | 我々の任務の多くは、合同サイバー戦闘アーキテクチャ(JCWA)に依存している。これは、サイバー空間におけるあらゆる任務を円滑にし、悪意ある敵対者に対する圧倒的優位性を確立するための、関連能力を備えた一連のシステムである。当司令部は、国防総省が承認したシステム工学および統合に関する権限を行使し、JCWAが共通のビジョンに沿って効率的に発展するよう確保している。JCWAの各軍が管理するサブコンポーネント間の共通基準により、相互運用性、ツール開発能力、および司令部内および司令部と任務パートナー間のデータフローが加速されました。最後に、国防総省は、JCWAプログラム執行部(PEO)を通じてUSCYBERCOMと連携し、各軍が管理する公式JCWAプログラムについて、当司令部にマイルストーン決定権限を付与するよう取り組んでいます。 |
| USCYBERCOM’s designation as a federal laboratory for technology transfer empowered our work with industry and academia. Using our authorities as a federal lab, USCYBERCOM signs Cooperative Research and Development Agreements (CRADAs) with industry and academic partners. With thanks to Congress for amending this authority in the FY25 NDAA, we are now able to engage our territorial partners in such key areas as Guam. These agreements allow tighter collaboration between our operators and technical experts and, for example, local network defenders seeking to enhance their capabilities to detect whether their systems have been compromised. USCYBERCOM has also signed Education Partnership Agreements (EPAs) with a variety of institutions. Finally, our Academic Engagement Network (AEN) of more than 120 institutions is facilitating new partnerships and bringing fresh ideas to shared challenges. | USCYBERCOMが技術移転のための連邦研究所として指定されたことは、産業界や学界との連携を強化する原動力となった。連邦研究所としての権限を活用し、USCYBERCOMは産業界や学術パートナーと共同研究開発協定(CRADA)を締結している。2025会計年度国防権限法(NDAA)において議会がこの権限を改正してくれたおかげで、我々は現在、グアムなどの重要な地域における現地パートナーと協力することが可能となっている。これらの協定により、当司令部の運用要員や技術専門家と、例えば自システムの侵害検知能力の向上を目指す現地のネットワーク防衛担当者との間で、より緊密な連携が可能となります。また、USCYBERCOMは様々な機関と教育連携協定(EPA)を締結しています。最後に、120以上の機関からなる当司令部の学術連携ネットワーク(AEN)は、新たなパートナーシップを促進し、共通の課題に対して斬新なアイデアをもたらしています。 |
| Artificial intelligence (AI) holds the potential to change the character of war. Automation and autonomy – in cases enabled by AI – are transforming ideas from theory into reality and even disruptive weapons and tools on battlefields and in competition around the world. Our allies, partners, and adversaries are all engaged and propelling this technological progress. Adversaries employ AI for similar purposes as we do. | 人工知能(AI)は、戦争の様相を一変させる可能性を秘めています。AIによって可能となる自動化と自律化は、理論上の構想を現実のものとし、さらには世界中の戦場や競争の場において、従来の枠組みを覆すような兵器やツールを生み出しています。同盟国、パートナー、そして敵対勢力のすべてが、この技術的進歩に関与し、それを推進しています。敵対勢力も、我々と同様の目的でAIを活用しています。 |
| Congress made a significant and strategic investment in our AI capabilities, and we are employing those resources effectively. USCYBERCOM's acquisition and programming authorities promote agile methodologies for rapid AI development and iteration, accelerating adaptation to evolving cyber threats and operational needs. The Command is implementing its framework for ensuring AI solution interoperability and integration across the cyber domain. This supports rapid prototyping, streamlined software acquisition, and the integration of commercial AI advances. USCYBERCOM is leveraging AI to enhance our capabilities in collection, detection, exploitation, maneuver, and command and control, generating greater speed and scale. A general officer in our headquarters is now leading our Command’s effort to explore and apply artificial intelligence to the cyber mission set. He works with the AI Task Force in CNMF and already sees success in a growing series of pilot projects, many of which are having operational impacts today. | 議会は我々のAI能力に対し、重要かつ戦略的な投資を行っており、我々はそれらの資源を効果的に活用している。USCYBERCOMの調達およびプログラム策定権限は、AIの迅速な開発と反復のためのアジャイル手法を促進し、進化するサイバー脅威や作戦上のニーズへの適応を加速させている。同司令部は、サイバー領域全体におけるAIソリューションの相互運用性と統合を確保するための枠組みを実施している。これは、迅速なプロトタイピング、効率化されたソフトウェア調達、および商用AI技術の進歩の統合を支援するものである。USCYBERCOMは、AIを活用して情報収集、検知、活用、機動、指揮統制における能力を強化し、より高い速度と規模を実現している。現在、本部の将官が、サイバー任務群への人工知能の活用と適用を推進する当司令部の取り組みを主導している。同将官はCNMFのAIタスクフォースと連携しており、すでに増加するパイロットプロジェクトで成果を上げており、その多くは今日、作戦上の影響を及ぼしている。 |
| In an environment transformed by AI and big data, operational and strategic advantage accrues to the side that sustains speed and efficiency in collecting and ingesting reams of data, building and employing models and algorithms, and deploying and updating them at-scale, while also denying similar advantages to adversaries seeking to exploit our systems and data. We are focused on ensuring our data and analytic infrastructures deliver advantage, and that those systems attain sufficient resilience to function even under attack. Some of this work proceeds under the auspices of the DoW and USCYBERCOM-developed five-year AI Roadmap. This guides the appropriate people, data, organizations, and infrastructure to deliver AI capabilities for all cyber mission sets; to counter AI threats and seize emerging opportunities; and to enable AI adoption. | AIとビッグデータによって変革された環境において、膨大なデータの収集・取り込み、モデルやアルゴリズムの構築・運用、そしてそれらを大規模に展開・更新する上で、速度と効率を維持できる側に、作戦上および戦略上の優位性がもたらされます。同時に、我々のシステムやデータを悪用しようとする敵対勢力に対し、同様の優位性を与えないようにする必要があります。我々は、データおよび分析インフラが優位性をもたらすことを確実にすることに注力しており、それらのシステムが攻撃下にあっても機能し得る十分なレジリエンス(回復力)を獲得するよう取り組んでいます。こうした取り組みの一部は、国防総省(DoW)と米サイバー軍(USCYBERCOM)が策定した5カ年AIロードマップの下で進められています。これは、あらゆるサイバー任務セットに向けたAI能力を提供し、AIによる脅威に対抗して新たな機会を捉え、AIの導入を可能にするために、適切な人材、データ、組織、インフラを導くものです。 |
| BUILDING AND SUSTAINING MASTERY | 専門性の構築と維持 |
| I am pleased to report that all our Service cyber components and the forces they present to our Command remain mission ready, while consistently working to get better. This achievement rested on sustained efforts by the Services to improve the manning, training, and equipping of their respective forces. The staffing and training of our teams is improving, and the Command’s cyber readiness system shares data directly with the Defense Readiness and Reporting System (DRRS). While our current force is meeting readiness standards, they are insufficiently scaled for the threat environment. The next year provides us a great opportunity to attack this problem. | 各軍種のサイバー部隊および当司令部に配備されている部隊は、常に改善に努めつつ、任務遂行態勢を維持していることを報告できることを嬉しく思います。この成果は、各軍種がそれぞれの部隊の人員配置、訓練、装備の改善に向けて継続的に取り組んできたことに支えられています。各チームの人員配置と訓練は改善されており、当司令部のサイバー準備態勢システムは、国防準備・報告システム(DRRS)とデータを直接共有しています。現在の部隊は即応基準を満たしてはいますが、脅威環境に対応するには規模が不十分です。来年は、この問題に取り組む絶好の機会となります。 |
| When the Department established USCYBERCOM in 2010 and authorized our Cyber Mission Force in 2012, it did not fully project the requirement to sustain cyberspace operations at-scale. The Assistant Secretary of War for Cyber Policy (ASW/CP), as the Department’s Principal Cyber Advisor, is a key partner in meeting this challenge and has sharpened the Department’s focus on cyber matters, which is instrumental to USCYBERCOM as we implement new authorities and evolve to increase domain mastery and warfighting readiness. | 国防総省が2010年にUSCYBERCOMを設立し、2012年にサイバー任務部隊を承認した際、大規模なサイバー空間作戦を持続させる必要性を十分に予測していませんでした。サイバー政策担当国防次官補(ASW/CP)は、国防総省の首席サイバー顧問として、この課題に対処する上での重要なパートナーであり、サイバー問題に対する国防総省の焦点を明確化してきた。これは、我々が新たな権限を実施し、領域の掌握と戦闘準備態勢を強化するために進化していく上で、USCYBERCOMにとって極めて重要な役割を果たしている。 |
| With the ASW/CP, we are implementing our Revised Cyber Force Generation Model (commonly referred to as CYBERCOM 2.0). The Secretary of War recently endorsed several concepts to update USCYBERCOM’s force generation and the ways in which we build and sustain specialization and expertise in our teams. Our revised model establishes policy, implements programs, and executes new approaches to recruiting, developing, and retaining cyber talent. In short, it will foster mastery across the force so we can overmatch quantity with quality. These steps were prompted and facilitated by Congressionally approved provisions on readiness and force generation that collectively gave the Department the opportunity to modernize the cyber force and reshape USCYBERCOM. | ASW/CPと共に、我々は改訂版サイバー戦力構築モデル(通称CYBERCOM 2.0)を実施している。国防長官は最近、USCYBERCOMの戦力構築を更新し、各チームにおける専門性と知見を構築・維持する方法を刷新するためのいくつかの構想を承認した。この改訂モデルは、サイバー人材の採用、育成、定着に向けた政策を確立し、プログラムを実施し、新たなアプローチを実行するものである。要するに、これは部隊全体での熟達度を高め、量ではなく質で優位に立つことを可能にするものです。これらの措置は、議会が承認した戦備および戦力構成に関する規定によって促され、促進されたものであり、これらが総合的に、国防総省にサイバー戦力を近代化し、USCYBERCOMを再構築する機会をもたらしました。 |
| CYBERCOM 2.0 calls for several new entities, which are currently under construction. These include a Cyber Talent Management Organization planned for the near year, followed by an Advanced Cyber Training and Education Center and a Cyber Innovation Warfare Center. These are slated to be operational in the near term. The Department and Command had the opportunity to explore these entities in a hearing before the Cybersecurity Subcommittee last month. Together they will help change the Department’s approach to generating cyber forces, emphasizing domain mastery, strengthening specialized skills, and enhancing mission agility. Coupled with the readiness improvements highlighted above and organizational efforts to streamline the force, the end result will be a more experienced, better-trained, and better-equipped cyber force capable of adapting in the dynamic cyberspace environment. I look forward to providing regular updates on the implementation of these initiatives to enhance lethality in the future. | CYBERCOM 2.0では、現在構築中のいくつかの新たな組織が求められています。これには、来年中に設立が予定されている「サイバー人材管理組織」に加え、続いて「高度サイバー訓練・教育センター」および「サイバー・イノベーション・ウォーフェア・センター」が含まれます。これらは近い将来に運用開始される予定です。先月、サイバーセキュリティ小委員会での公聴会において、国防総省および司令部はこれらの組織について説明する機会を得ました。これら組織は一体となって、ドメインの熟達を重視し、専門技能を強化し、任務遂行の機動性を高めることで、サイバー戦力の編成に対する国防総省のアプローチを変革する一助となるでしょう。前述の戦備態勢の改善や、部隊の効率化に向けた組織的な取り組みと相まって、その結果として、ダイナミックなサイバー空間環境に適応できる、より経験豊富で、より高度な訓練を受け、より優れた装備を備えたサイバー部隊が誕生することになるでしょう。今後、戦闘能力を強化するためのこれらの取り組みの実施状況について、定期的に最新情報をお伝えできることを楽しみにしています。 |
| At USCYBERCOM, our Code is “We win with People.” This principle guides a culture where initiative, innovation, collaboration, and the expertise of our personnel drive mission success. The people of USCYBERCOM are determined to defend our networks, counter threats, strengthen our partners, and provide decisive advantages for policymakers and military commanders. We amplify the impact of federal, military, foreign, and private-sector partner activities, synergizing the application of all instruments of national power against our adversaries. We seek to ensure our people have the necessary resources to optimize readiness and resilience. | USCYBERCOMのモットーは「We win with People(人材こそが勝利の鍵)」です。この原則は、職員の主体性、革新性、協調性、そして専門知識が任務の成功を牽引する文化を導くものです。USCYBERCOMの職員は、ネットワークを防衛し、脅威に対抗し、パートナーを強化し、政策立案者や軍事指揮官に決定的な優位性を提供することに決意しています。我々は、連邦政府、軍、外国、民間セクターのパートナーによる活動のインパクトを増幅させ、敵対勢力に対して国家のあらゆる力の手段を相乗的に適用します。我々は、要員が即応性と回復力を最適化するために必要なリソースを確保できるよう努めています。 |
| USCYBERCOM’s efforts depend on the initiative, motivation, and excellence it sustains in its people. We must hire and retain critical expertise while ensuring all our personnel remain ready to meet the challenges of competition, crisis, and conflict in and through cyberspace. We are working to cultivate uniformed cyber leaders at all levels, up to and including the officers who will eventually succeed me in this post. Furthermore, USCYBERCOM’s authorities as Joint Cyberspace Trainer facilitates joint training standards across the entire Department, boosting DoW’s ability to defend networks while enabling CMF teams to focus on hunting and contesting foreign adversaries. | USCYBERCOMの取り組みは、要員が維持する主体性、意欲、そして卓越性に依存しています。サイバー空間内およびサイバー空間を通じた競争、危機、紛争の課題に全要員が常に対応できるよう確保しつつ、重要な専門知識を持つ人材を採用・定着させなければなりません。我々は、最終的にこのポストで私の後任となる将校を含む、あらゆるレベルの制服を着たサイバーリーダーを育成するために取り組んでいます。さらに、合同サイバー空間訓練機関としてのUSCYBERCOMの権限は、国防総省全体における合同訓練基準の整備を促進し、国防総省のネットワーク防衛能力を強化すると同時に、CMF(サイバー戦部隊)チームが外国の敵対勢力の追跡と対抗に注力できるようにしています。 |
| The Department of the Army acts as our Combatant Command Support Agency. Army specialists are helping us fill our civilian billets and facilitating hiring actions to onboard exceptional civilians across the Command. We are leveraging the DoW Cyber Excepted Service authority to streamline civilian hiring and offer competitive employment incentives. We also employ special hiring authorities offered in 10 U.S.C. 4092 to attract top technical talent to join USCYBERCOM, and look forward to hiring more experts in 2026. | 陸軍省は、我々の戦闘指揮部支援機関としての役割を果たしています。陸軍の専門家たちは、民間職の補充を支援し、司令部全体で優秀な民間人材を採用するための手続きを円滑に進めています。我々は、国防総省のサイバー例外職権を活用して民間人の採用を効率化し、競争力のある雇用インセンティブを提供している。また、10 U.S.C. 4092に規定された特別採用権限を活用し、USCYBERCOMにトップクラスの技術人材を惹きつけており、2026年にはさらに多くの専門家を採用できることを期待している。 |
| Finally, USCYBERCOM is exploring innovative ways to enhance our capabilities using the expertise resident in the National Guard and Reserves. Our personnel operate daily alongside activated members of the Reserve Component integrated into our teams, and we collaborate with National Guard units on State Active Duty and State Partnership Program engagements. We look forward to expanding ways to make the Reserve Component integral to our efforts. In particular, in a hearing before this committee on CYBERCOM 2.0, we noted options to improve USCYBERCOM’s ability to leverage expertise in the Guard and Reserve, such as the establishment of a Joint Cyber Reserve Component or funded reimbursable authority. | 最後に、USCYBERCOMは、州兵および予備役が有する専門知識を活用して能力を強化するための革新的な方法を模索しています。当司令部の人員は、チームに統合された予備役構成員の動員要員と日々連携して活動しており、州兵部隊とは、州動員任務や州パートナーシップ・プログラムにおける活動において協力しています。予備役構成員を当司令部の取り組みに不可欠な存在とするための方法をさらに拡大していくことを期待しています。特に、本委員会における「CYBERCOM 2.0」に関する公聴会では、合同サイバー予備役部隊の創設や資金提供可能な償還権限の付与など、USCYBERCOMが州兵および予備役の専門知識を活用する能力を向上させるための選択肢について言及しました。 |
| CONCLUSION | 結論 |
| U.S. Cyber Command creates advantage for the Joint Force, for the Department, for our partners at home and abroad, and for the nation. We operate in and through cyberspace to support national strategic goals and set conditions for the Joint Force to prevail in crisis and win our nation’s wars. We must do so with greater agility and at a larger scale in 2026 because the United States and our allies face increasingly dangerous cyber threats from both state and non-state actors. We are meeting that need, and posturing our people and organization to accelerate their efforts. And we proceed with scrupulous regard for the privacy and civil liberties of U.S. persons, and in an objective, non-partisan manner. | 米国サイバーコマンドは、統合軍、国防総省、国内外のパートナー、そして国家のために優位性を創出します。我々は、国家の戦略的目標を支援し、危機において統合軍が優位に立ち、国家の戦争に勝利するための条件を整えるべく、サイバー空間において、またサイバー空間を通じて活動しています。米国および同盟国は、国家主体および非国家主体双方からのますます危険なサイバー脅威に直面しているため、2026年には、より高い機動力とより大規模な規模でこれを行う必要があります。我々は、そのニーズに応え、人員と組織体制を整え、取り組みを加速させています。そして我々は、米国人のプライバシーと市民的自由を厳格に尊重し、客観的かつ超党派的な姿勢で活動を進めている。 |
| Our operational experience at USCYBERCOM reinforces the central role of cyberspace in enhancing Joint Force combat credibility, lethality, and deterrence and contributing to overall national strategic objectives. The Command is executing its Service-like authorities to set and validate requirements, to plan and execute programs, and to administer budgets and resources. It is working with the Services to organize, train, and equip the nation’s military cyber force, sustaining its readiness. USCYBERCOM’s goal now is promoting mastery in our personnel by using the new resources and authorities Congress and the Executive Branch have provided. I am dedicated to creating a more lethal cyber force, operating with the speed, scale, agility, and precision required in the cyber strategic landscape. | USCYBERCOMにおける我々の作戦経験は、合同部隊の戦闘信頼性、殺傷能力、抑止力を高め、国家の戦略的目標全体に貢献する上で、サイバー空間が果たす中心的な役割を裏付けている。本司令部は、各軍と同様の権限を行使し、要件の設定と検証、計画とプログラムの遂行、予算と資源の管理を行っている。また、各軍と連携し、米国の軍事サイバー部隊の編成、訓練、装備を整え、その即応態勢を維持しています。USCYBERCOMの現在の目標は、議会および行政府から付与された新たな資源と権限を活用し、要員の能力を向上させることです。私は、サイバー戦略環境において求められる速度、規模、機動力、そして精度をもって運用できる、より強力なサイバー部隊の構築に尽力しています。 |
| The warfighters at USCYBERCOM are grateful for the partnership with your Committee. I am proud and somewhat humbled that the President and the Congress have entrusted to me the duty of leading and representing our Service members and civilians, and I look forward to demonstrating how they are effectively managing their responsibilities, employing the resources that you have provided, and accomplishing our missions to defend our nation. With continued strong partnership with Congress, we will succeed. Thank you. | USCYBERCOMの戦士たちは、貴委員会との連携に深く感謝しております。大統領および議会が、我が軍の将兵と文官を率い、代表する責務を私に託してくださったことを誇りに思うと同時に、謙虚な気持ちにもなっております。彼らが如何に効果的に責任を果たし、皆様から提供された資源を活用し、国家防衛という我々の任務を遂行しているかを示すことを楽しみにしております。議会との強固な連携を継続することで、我々は成功を収めるでしょう。ありがとうございました。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.05.06 もし、国民の政治への関心が高くなく、マスコミが現政府の政策に対して積極的に批判をしない社会において情報機関の機能強化が行われた場合、どのような社会になりそうか?
・2026.04.10 内閣官房 国家情報会議設置法案他 (2028.03.13-04.07)
・2026.03.24 米国 ODNI 2026 米国インテリジェンス・コミュニティの年次脅威アセスメント (2026.03.18)
・2026.01.26 欧州 EDPB EU-米国データ・プライバシー枠組みに関するFAQ等 (2026.01.23)
・2025.11.17 米国 国家情報長官室の話...
・2025.10.24 オーストラリア サイバー脅威年次報告 2024-2025
・2025.09.10 カナダ 通信保安庁 年次報告書 2024-2025 (2025.06.27)
・2025.03.28 米国 ODNI 2025 米国インテリジェンス・コミュニティの年次脅威アセスメント (2025.03.25)
・2024.08.29 OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的
・2024.03.14 米国 インテリジェンス・コミュニティによる2024年の脅威評価
・2023.09.27 米国 国家情報局 ナカソネ将官、サイバーセキュリティとシギントの将来について洞察を語る
・2023.08.11 米国 国家情報戦略 2023
・2023.07.31 米国 FBI長官がサイバー脅威サミットで人工知能に対するFBIの姿勢を示す
・2023.04.09 米国 インテリジェンスコミュニティーによる2023年脅威評価 (2023.02.06)
・2023.03.02 EDPB EU-米国データ・プライバシー・フレームワークにおける改善を歓迎するが、いいたいことは54ページ分ほどある(^^)
・2022.12.16 欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始
・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応)
・2022.06.04 米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演
・2022.03.27 米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。
・2021.06.06 米国 インテリジェンスコミュニティーによる2021年脅威評価 by ODNI at 2021.04.09
・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見
・2020.08.13 プライバシーシールド無効の判決を受けて、米国商務長官と欧州司法長官が共同プレス声明していますね
・2020.07.21 プライバシーシールド無効判決後のアメリカとイギリス
・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所
米国 NIST IR 8320E(初期ドラフト)ハードウェア支援型セキュリティ:クラウドワークロードにおけるデータの機密コンピューティング
こんにちは、丸山満彦です。
NISTが、 IR 8320E(初期ドラフト)ハードウェア支援型セキュリティ:クラウドワークロードにおけるデータの機密コンピューティングが公表され、意見募集がされています。
この文書は、クラウド環境においてAIワークロードが処理する機密データやAIモデル自体を、ハードウェアベースの「機密コンピューティング(Confidential Computing)」技術を用いて保護するための実践的な技術ガイドということのようです。。。
従来のクラウドセキュリティでは、ディスクに保存されている時(保存時)やネットワークを流れている時(転送時)のデータは暗号化されているが、AIが計算を行うためにCPUがデータを読み込む「使用中(In Use)」の瞬間、メモリ上では一度復号(平文化)される必要がある。
この状況では、クラウド事業者の特権管理者や、OS・ハイパーバイザーの脆弱性を突いた攻撃者、同じサーバーを使う他のテナントからデータが覗き見られるリスクが残る。
ということで、OSすら入れないハードウェアレベルで物理的な隔離空間」(CPU内部に作られる信頼実行環境(TEE:Trusted Execution Environment) )をCPUの中に作成するということで解決できる...ただ、TEEが本物か、改ざんされていない安全な状況であるか、などを確認する必要もありますよね...
このシリーズのIR 8320Cは2022年にドラフトだしたまま、IR 8320Dは2023年にドラフトをだしたまま、最終化されていないです。。。
● NIST - ITL
| NIST IR 8320E (Initial Public Draft) Hardware-Enabled Security: Confidential Computing of Data in Cloud Workloads | NIST IR 8320E(初期ドラフト)ハードウェア支援型セキュリティ:クラウドワークロードにおけるデータの機密コンピューティング |
| Announcement | 通知 |
| The National Cybersecurity Center of Excellence (NCCoE) invites public comments NIST Interagency Report (NIST IR) 8320E ipd (initial public draft), Hardware-Enabled Security: Confidential Computing of Data in Cloud Workloads. This is the latest in a series of reports on hardware-enabled security techniques and technologies. | 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST省庁間報告書(NIST IR)8320E ipd(初期ドラフト)『ハードウェア支援型セキュリティ:クラウドワークロードにおけるデータの機密コンピューティング』について、一般からのコメントを募集している。これは、ハードウェア支援型セキュリティの手法および技術に関する一連の報告書の最新版である。 |
| Confidential computing addresses data security and privacy concerns for organizations that move sensitive workloads to the cloud. It is a critical advancement that enables the encryption of data while it is being processed in memory, extending encryption coverage to data in active use. As cloud adoption continues to grow, confidential computing will play a pivotal role in improving security and privacy in cloud environments. | 機密コンピューティングは、機密性の高いワークロードをクラウドに移行する組織におけるデータセキュリティおよびプライバシーの懸念に対処するものである。これは、メモリ内で処理中のデータを暗号化し、暗号化の対象をアクティブに使用中のデータにまで拡大することを可能にする重要な進歩である。クラウドの導入が拡大し続ける中、機密コンピューティングはクラウド環境におけるセキュリティとプライバシーの改善において極めて重要な役割を果たすことになる。 |
| IR 8320E describes an example approach to protecting data being acted upon by artificial intelligence workloads on cloud infrastructures so that the datasets are protected from malware, data theft, and other security-related vulnerabilities. This report is intended to be a blueprint that the general security community can use to validate and utilize the described implementation. | IR 8320Eでは、クラウドインフラ上で人工知能(AI)ワークロードによって処理されるデータを防御し、データセットをマルウェア、データ盗難、およびその他のセキュリティ関連の脆弱性から守るためのアプローチ例を記述している。本報告書は、セキュリティコミュニティ全体が、記述された実装の妥当性確認および活用を行うための青写真となることを意図している。 |
| The public comment period for this draft is open through July 13, 2026. See the publication details for a copy of the draft and instructions for submitting comments. You can also contact the authors at hwsec@nist.gov. | 本ドラフトに対するパブリックコメントの受付期間は、2026年7月13日までである。ドラフトのコピーおよびコメント提出方法については、出版物の詳細を参照のこと。また、hwsec@nist.gov 宛てに著者に連絡することも可能である。 |
| Abstract | 概要 |
| Confidential computing addresses data security and privacy concerns for organizations that move sensitive workloads to the cloud. It is a critical advancement that enables the encryption of data both while it is being processed in memory and in active use. As cloud adoption continues to grow, confidential computing will play a pivotal role in improving security and privacy in cloud environments. This report describes an effective approach to protecting data being acted upon by artificial intelligence workloads on cloud infrastructures so that the datasets are protected from malware, data theft, and other security-related vulnerabilities. | コンフィデンシャル・コンピューティングは、機密性の高いワークロードをクラウドに移行する組織におけるデータセキュリティおよびプライバシーの懸念に対処するものである。これは、メモリ内で処理されている間およびアクティブに使用されている間のデータの両方を暗号化することを可能にする、極めて重要な進歩である。クラウドの導入が進むにつれ、機密コンピューティングはクラウド環境におけるセキュリティとプライバシーの改善において極めて重要な役割を果たすことになる。本レポートでは、クラウドインフラ上で人工知能(AI)ワークロードによって処理されるデータを防御し、データセットをマルウェア、データ盗難、その他のセキュリティ関連の脆弱性から守るための効果的なアプローチについて説明する。 |
・[PDF]
関係文書
| Release Date | Series | Number | Title | タイトル | Status |
| Hardware-Enabled Security : | ハードウェアによるセキュリティ: | ||||
| 2026.05.29 | IR | 8320E | Confidential Computing of Data in Cloud Workloads | クラウドワークロードにおけるデータの機密コンピューティング | Draft |
| 2023.02.23 | IR | 8320D | Hardware-Based Confidential Computing | ハードウェアベースの機密コンピューティング | Draft |
| 2022.05.04 | IR | 8320 | Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases | クラウドおよびエッジコンピューティングのユースケースに向けた、プラットフォームセキュリティの多層的アプローチの実現 | Final |
| 2022.04.20 | IR | 8320B | Policy-Based Governance in Trusted Container Platforms | 信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス | Final |
| 2022.04.20 | IR | 8320C | Machine Identity Management and Protection | マシンIDの管理と保護 | Draft |
| 2021.10.27 | IR | 8320B | Policy Based Governance in Trusted Container Platforms | 信頼されたコンテナプラットフォームにおけるポリシーベースのガバナンス | Draft (Obsolete) |
| 2021.10.27 | IR | 8320 | Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases | クラウドおよびエッジコンピューティングのユースケースに向けたプラットフォームセキュリティの多層的アプローチの実現 | Draft (Obsolete) |
| 2021.06.17 | IR | 8320A | Container Platform Security Prototype | コンテナプラットフォームセキュリティのプロトタイプ | Final |
| 2021.05.27 | IR | 8320 | Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases | クラウドおよびエッジコンピューティングのユースケースに向けたプラットフォームセキュリティの多層的アプローチの実現 | Draft (Obsolete) |
| 2020.12.07 | IR | 8320A | Container Platform Security Prototype | コンテナプラットフォームセキュリティのプロトタイプ | Draft (Obsolete) |
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.02.24 NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング
・2022.05.07 NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護
・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)
・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ
・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現
・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集
2026.06.07
経済産業省 産業サイバーセキュリティ研究会 WG3 サイバーセキュリティ・サービス事業者の信頼性強化に向けた検討会 中間とりまとめ (2026.06.05)
こんにちは、丸山満彦です。
地味に発表していますが、サイバーセキュリティ関連事業を(特に、「情報セキュリティサービス審査登録制度」を利用)している企業にとっては、影響のある話です...
サイバーセキュリティ・サービス提供事業者に起因する機微情報流出等のリスクに対応するため、政府機関・重要インフラ、安全保障に関係する事業者等が「適切な運営体制」を有しているサービス提供事業者を選定、活用できる制度を経済産業省が検討しています。
その検討状況を中間とりまとめとして公表していますね...
私もこの制度を検討する委員です...
まず、この検討している制度を理解する前提として「情報セキュリティサービス審査登録制度」について説明しますね...
この制度は、経済産業省の施策で、IPAが運営を行っています。審査と登録企業の台帳については、JASAが運営しています。
情報セキュリティサービスについては、
(1)情報セキュリティ監査サービス
(2)脆弱性診断サービス及びペネトレーションテスト(侵入試験)サービス
(3)デジタルフォレンジックサービス
(4)セキュリティ監視・運用サービス
(5)機器検証サービス
の5種類があり、それぞれの登録サービス数は、以下のようになっています。
| サービス分野 | 件数 |
| 情報セキュリティ監査サービス | 84 |
| 脆弱性診断サービス | 188 |
| ( )内は、ペネトレーションテスト(侵入試験)サービスオプションありの件数 | (51) |
| デジタルフォレンジックサービス | 43 |
| セキュリティ監視・運用サービス | 51 |
| 機器検証サービス | 32 |
| 合計 | 398 |
どのようなサービスが登録されているかは、JASAの情報セキュリティサービス台帳のウェブページから検索できます。
今回は、これらの登録サービスを運営している会社について、さらに「適切な運用体制」をとっているか?ということを確認できる制度を検討しているということになります。
経済安保情報についての取り扱いは、いわゆるセキュリティクリアランス制度で対応をすることになりますが、CUI(Controlled Unclassified Information)的な情報を取り扱いをする対象に対する情報セキュリティサービスをする組織が適切であるかを確認できる制度となります。
ただ、その情報の重要性については、グラデーションがあることから、一律にレベルを定めるのではなく、一定レベルの基準を満たした上でさらにどのような運用体制をとっているのか、確認ができるようにする制度を考えています。
例えば、サプライチェーンセキュリティ評価制度(SCS評価制度)の★4とISMSの両方を取得していること...ということも考えています...
予定を超える?議論を重ねてこの中間報告を公表しています...
ということを頭に入れながら...
● 経済産業省 - 産業サイバーセキュリティ研究会 - WG3 - サイバーセキュリティ・サービス事業者の信頼性強化に向けた検討会
・2026.06.05 産業サイバーセキュリティ研究会 ワーキンググループ3 サイバーセキュリティ・サービス事業者の信頼性強化に向けた検討会 中間とりまとめ
・・中間とりまとめ
関係すると思われる事業者の方はよく読んでおいた方が良いと思います。また、考え方に対する意見があれば、それも伝えた方が良いと思います。
参考
◼️ 今回の制度を検討している委員会
● 経済産業省 - 産業サイバーセキュリティ研究会 - WG3(産業振興・人材育成)
・サイバーセキュリティ・サービス事業者の信頼性強化に向けた検討会
| 2026.06.05 | 中間とりまとめ | 発表資料 | 中間とりまとめ(概要) |
| 中間とりまとめ | |||
| 2026.06.01 | 第5回 | 開催資料 | 資料1 議事次第・配布資料一覧 |
| 資料2 委員等名簿 | |||
| 資料3 事務局説明資料 | |||
| 議事要旨 | |||
| 2026.02.17 | 第4回 | 開催資料 | 資料1 議事次第・配布資料一覧 |
| 資料2 委員等名簿 | |||
| 資料3 事務局説明資料(非公表) | |||
| 議事要旨 | |||
| 2025.12.19 | 第3回 | 開催資料 | 資料1 議事次第・配布資料一覧 |
| 資料2 委員等名簿 | |||
| 資料3 事務局説明資料(非公表) | |||
| 議事要旨 | |||
| 2025.10.08 | 第2回 | 開催資料 | 資料1 議事次第・配布資料一覧 |
| 資料2 委員等名簿 | |||
| 資料3 株式会社ラック 発表資料(非公表) | |||
| 資料4 日本電気株式会社 発表資料(非公表) | |||
| 資料5 独立行政法人情報処理推進機構(IPA)発表資料 | |||
| 資料6 事務局説明資料(一部非公表) | |||
| 議事要旨 | |||
| 2025.08.18 | 第1回 | 開催資料 | 資料1 議事次第・配布資料一覧 |
| 資料2 委員等名簿 | |||
| 資料3 本検討会の運営について | |||
| 資料4 サイバーセキュリティ・サービス事業者の信頼性強化に向けた検討について(一部非公開) | |||
| 資料5 情報セキュリティサービス審査登録制度における審査の課題(特定非営利活動法人日本セキュリティ監査協会 永宮様からの情報提供)(非公開) | |||
| 議事要旨 |
◼️ 情報セキュリティサービス審査登録制度
制度全般
● 経済産業省
・・2026.03.31 [PDF] 情報セキュリティサービス基準第4.1版
・・2026.03.31 [PDF] 情報セキュリティサービスにおける技術及び品質確保に資する取組の例示令和7年3月版
・・2026.03.31 [PDF] 情報セキュリティサービスに関する審査登録機関基準第2.1版
適合サービスリスト
● IPA情報セキュリティサービス基準適合サービスリスト
・[PDF] 情報セキュリティ監査サービス
・[PDF] 脆弱性診断サービス
・[PDF] ペネトレーションテスト(侵入試験)サービス
・[PDF] デジタルフォレンジックサービス
・[PDF] セキュリティ監視・運用サービス
・[PDF] 機器検証サービス
サービス検索、審査登録
● 日本セキュリティ監査協会 (JASA) 情報セキュリティサービス基準審査登録制度
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.09.07 国家サイバー統括室 (NCO) 政府機関等の対策基準策定のためのガイドライン(令和7年度版)の一部改訂 (2025.09.05)
・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会
2026.06.06
米国 カリフォルニア州 AIによる潜在的な混乱に備え、労働者と企業を支援するための全米初の州知事令に署名 (2026.05.21)
こんにちは、丸山満彦です。
カリフォルニア州知事が、AIに関連した州知事令をだしたようですね...
AI関連といっても安全やセキュリティや産業振興というよりも、労働者を意識した、労働者保護・再教育・利益共有の仕組みを検討するための準備をしろという命令...
● California GOVERNOR GAVIN NEWSOM
| Governor Newsom signs first-of-its-kind executive order to prepare workers and businesses for potential AI disruption | ニューサム知事が、AIによる潜在的な混乱に備え、労働者と企業を支援するための全米初の州知事令に署名 |
| What you need to know: Governor Newsom is signing a first-in-the-nation executive order to confront the economic impacts of artificial intelligence on workers and small businesses, support workers in sectors impacted by AI transition, and pursue new policies that ensure Californians — not just big tech companies — benefit from the wealth-generating opportunities of the future economy. | 知っておくべきこと:ニューサム知事は、人工知能が労働者や中小企業に与える経済的影響に対処し、AIの移行によって影響を受ける分野の労働者を支援し、大手ハイテク企業だけでなくカリフォルニア州民全体が、未来の経済がもたらす富を生み出す機会から恩恵を受けられるよう、新たな政策を推進するための、全米初の州知事令に署名する。 |
| SACRAMENTO – Governor Gavin Newsom today issued an executive order directing California to prepare workers, small businesses, and communities for the economic disruption that artificial intelligence will bring to the workforce. The order mobilizes state agencies, labor experts, economists, universities, and industry leaders to develop new policies, gather data, and identify early warning signs of workforce disruption — while ensuring workers share in the gains created by AI-driven productivity. | サクラメント発――ギャビン・ニューサム知事は本日、人工知能が労働力にもたらす経済的混乱に備え、労働者、中小企業、地域社会を準備させるようカリフォルニア州に指示する州知事令を発令した。この命令は、州機関、労働専門家、経済学者、大学、業界リーダーを動員し、新たな政策の策定、データの収集、労働力混乱の早期兆候の特定を行うとともに、AIによる生産性向上が生み出す利益を労働者が確実に享受できるようにするものである。 |
| The order directs the state to explore policies including severance standards, employment insurance and transition support for displaced workers, worker ownership models, universal basic capital concepts, expanded workforce training, and stronger tracking of hiring and payroll trends to help California respond faster to potential layoffs and economic disruption. Read the executive order here. | この州知事令は、解雇標準、失業者への雇用保険および転職支援、労働者所有モデル、普遍的基礎資本(UBC)の概念、労働力訓練の拡充、採用および給与動向のより強力な追跡など、カリフォルニア州が潜在的な解雇や経済的混乱に迅速に対応できるよう支援する政策の検討を州に指示するものである。州知事令はこちらで閲覧可能だ。 |
| “California has never sat back and watched as the future happened to us – and we won’t start now. We have taken the lead on advancing innovation, safety, and transparency. But we must think bigger. This moment demands that we reimagine the entire system — how we work, how we govern, how we prepare people for the future — and that work is starting right here in the Golden State. | 「カリフォルニアは、未来が我々の身に降りかかるのをただ傍観してきたことは一度もない――そして今さらそんなことはしない。我々はイノベーション、安全性、透明性の推進において主導的な役割を果たしてきた。しかし、より大きな視野で考える必要がある。今こそ、システム全体――働き方、ガバナンスの在り方、未来に向けた人材育成――を再構築することが求められており、その取り組みはここゴールデンステートから始まる。 |
| Today is just the first step as we rewrite policy and direction, creating a future of work that works for all.” | 政策と方向性を書き換え、すべての人にとって機能する「未来の働き方」を創り出す上で、今日はその第一歩に過ぎない。」 |
| Governor Gavin Newsom | ギャビン・ニューサム知事 |
| “As the epicenter of the tech industry, California recognizes our responsibility to ensure workers are prepared for success as AI reshapes the economy. Women, in particular, face disproportionate risks of displacement and widening economic inequality as AI evolves. So, California is committed to understanding AI’s impacts on workers, modernizing workforce training, and expanding pathways into the jobs of the future so more Californians are set up for success. Today’s executive order underscores California’s commitment to advancing opportunity alongside responsible innovation.” | 「テクノロジー産業の中心地として、カリフォルニア州は、AIが経済を再構築する中で、労働者が成功に向けて準備を整えられるよう確保する責任を認識している。特に女性は、AIの進化に伴い、職を失うリスクや経済格差の拡大に不釣り合いなほど直面している。したがって、カリフォルニア州は、AIが労働者に与える影響を理解し、労働力育成を近代化し、未来の職業への道筋を拡大することに尽力し、より多くのカリフォルニア州民が成功できるよう支援する。本日の州知事令は、責任あるイノベーションと並行して機会を推進するというカリフォルニア州の決意を強調するものである。」 |
| Jennifer Siebel Newsom | ジェニファー・シーベル・ニューサム |
| California’s first-in-the-nation approach | 全米初のカリフォルニア州のアプローチ |
| California has dominated AI innovation, with 33 of the top 50 private AI companies in the world based in California, and no state has taken more aggressive action to strengthen the safety, security, and consumer privacy of technology and online platforms. Today’s order adds to California’s comprehensive approach in creating commonsense guardrails balanced with opportunities to advance innovation in this growing sector. | カリフォルニア州はAIイノベーションを牽引しており、世界の民間AI企業トップ50社のうち33社がカリフォルニア州に拠点を置いている。また、テクノロジーやオンラインプラットフォームの安全性、セキュリティ、および消費者のプライバシーを強化するために、これほど積極的な措置を講じた州は他にない。本日の命令は、この成長分野におけるイノベーションを推進する機会とバランスを保ちつつ、常識的な安全策を講じるというカリフォルニア州の包括的な取り組みをさらに強化するものである。 |
| In 2023, Governor Newsom made California the first state to take action on Generative AI policy, announcing an executive order to both responsibly adopt this technology in state government and begin studying its risks. The Governor convened world-leading academic experts to draft the California Report on Frontier AI Policy, providing the state with policy recommendations that helped lead to the Governor’s signature on the first state legislation nationwide, the Transparency in Frontier Technology Act (Senate Bill 53, Wiener) to help ensure that this technology moves forward responsibly. The law has since been replicated and modeled in similar laws adopted in other states. | 2023年、ニューサム知事はカリフォルニア州を生成的AI政策に取り組み始めた全米初の州とし、州政府においてこの技術を責任を持って導入するとともに、そのリスクの調査を開始する旨の州知事令を発表した。知事は世界トップクラスの学術専門家を招集し、「フロンティアAI政策に関するカリフォルニア報告書」を起草させた。これにより、同州は政策提言を得て、この技術が責任を持って進展するよう確保するための全米初の州法である「フロンティア技術透明化法」(上院法案53号、ウィーナー)に知事が署名するに至った。同法はその後、他の州で採択された類似の法律において模倣・参考とされている。 |
| This adds to other protections signed by Governor Newsom to create strong protocols for child safety and protections against self-harm, crack down on sexually explicit deepfakes and require AI watermarking, protect performers’ digital likenesses, and prevent scams from AI-generated robocalls. In addition, it supplements the Governor’s March 2026 executive order, which strengthened civil rights and privacy in California’s procurement of AI technology and expanded California’s adoption of AI to improve government services. | これは、ニューサム知事が署名した他の保護措置に加わるもので、子どもの安全と自傷行為からの保護に関する強力なプロトコルの策定、性的に露骨なディープフェイクの取り締まりとAIへの電子透かし表示の義務化、パフォーマーのデジタル肖像の保護、AI生成による自動音声通話(ロボコール)による詐欺の防止などを盛り込んでいる。さらに、本法は2026年3月の州知事令を補完するものであり、同州知事令はカリフォルニア州によるAI技術の調達における公民権とプライバシーを強化し、政府サービスの改善に向けたAI導入を拡大するものである。 |
| Shaping response to AI’s impact on the workforce | AIが労働力に与える影響への対応を構築する |
| Today’s executive order directs state agencies to build a framework for responding to potential workforce disruption and ensuring workers are not left behind as AI adoption accelerates. | 本日の州知事令は、AI導入が加速する中で、潜在的な労働力の混乱に対応し、労働者が取り残されないよう確保するためのフレームワークを州機関が構築するよう指示するものである。 |
| The order directs the various state agencies to: | 本命令は、各州機関に対し以下のことを指示している: |
| ・Empower workers and help them share in the gains made from AI adoptions: | ・労働者のエンパワーメントを図り、AI導入による利益を労働者と共有する: |
| Evaluate and support opportunities to expand and enhance worker ownership models to support broad-based capital growth and build wealth from productivity gains among workers, including employee-owned company structures. | 従業員所有企業構造を含め、労働者所有モデルを拡大・強化する機会を評価・支援し、広範な資本成長を支え、生産性向上による労働者の資産形成を促進する。 |
| Support small businesses through educational and incentive opportunities on best practices and applications for using emerging technology to support competition and broad-based economic growth, while supporting workforce training and retention. | 新興技術の活用に関するベストプラクティスや応用事例についての教育・インセンティブ機会を通じて中小企業を支援し、競争力と広範な経済成長を支えるとともに、労働力の訓練と定着を支援する。 |
| Identify ways the collective bargaining process has delivered positive outcomes for workers. | 団体交渉プロセスが労働者にどのような好結果をもたらしてきたかを識別する。 |
| Add more on-the-job training and AI preparation in higher education. | 高等教育において、実地研修およびAI対応準備をさらに充実させる。 |
| ・Track and understand the impact of AI on the workforce, filling the gaps of knowledge and providing clear and concrete data with: | ・AIが労働力に与える影響を追跡・把握し、知識のギャップを埋め、以下を通じて明確かつ具体的なデータを提供する: |
| A new report on recommendations, best practices, and early economic warning signals of potential labor disruptions, drafted in consultation with labor, industry, and academic experts. | 労働、産業界、学界の専門家と協議して作成された、提言、ベストプラクティス、および潜在的な労働市場の混乱に関する早期経済警告信号に関する新たな報告書。 |
| A new dashboard showing the impact of AI across sectors. | AIが各セクターに与える影響を示す新たなダッシュボード。 |
| Recommendations within 180 days on revisions and updates to the California Worker Adjustment and Retraining Notification (WARN) Act, to ensure WARN can be used to provide early warning data and is responsive to emerging industry trends. | カリフォルニア州労働者調整・再訓練通知法(WARN法)の改正・更新に関する提言を180日以内に提出し、WARN法が早期警告データの提供に活用され、新たな産業動向に対応できるよう確保する。 |
| New business feedback on the role of technology in workforce decisions incorporated into the state’s monthly jobs report. | 労働力に関する意思決定における技術の役割についての新たな企業からのフィードバックを、州の月次雇用報告に組み込む。 |
| ・Respond to possible employment and workforce disruption by: | ・雇用および労働力への混乱の可能性に対し、以下の対応を講じる: |
| Reviewing policies that provide workers with a safety net, including severance and other forms of compensation such as stock or other forms of equity. | 退職金や株式・その他の持分といった補償を含む、労働者へのセーフティネットを提供する政策を見直す。 |
| Increasing awareness and enrollment of employment insurance programs, including employment stability payments. | 雇用安定給付を含む雇用保険制度の認知度向上および登録促進を図る。 |
| Creating an AI playbook to modernize job training programs, including expanding strategies for connecting dislocated workers with training and technical assistance and updating target industries to reflect emerging economic trends. | 職業訓練プログラムを近代化するためのAIプレイブックを作成する。これには、職を失った労働者と訓練・技術支援を結びつける戦略の拡充や、新たな経済動向を反映した対象産業の更新が含まれる。 |
| Creating a single online platform to enable Californians to more easily navigate government services and, ultimately, help Californians identify all social services for which they may be eligible. | カリフォルニア州民が政府サービスをより容易に利用できるよう、単一のオンラインプラットフォームを構築し、最終的に州民が受給資格のあるすべての社会福祉サービスを識別できるよう支援する。 |
| Leveraging California Volunteers for those experiencing long-term unemployment and to provide essential training for entry-level workers. | 長期失業者を支援し、初級労働者に不可欠な訓練を提供するため、「カリフォルニア・ボランティア」を活用する。 |
| ・Develop stronger public policy and support programs for using AI to advance the public good: | ・公共の利益を促進するためのAI活用に向けた、より強力な公共政策と支援プログラムを策定する: |
| Work with academic experts and the private sector to develop recommendations for altering incentive structures and increasing the likelihood of AI development and deployments that advance the public good and address critical problems facing society. | 学術専門家や民間セクターと連携し、インセンティブ構造を改変し、公益を促進し社会が直面する重大な問題に対処するAIの開発・展開の可能性を高めるための提言を策定する。 |
| Every Californian gets a seat at the table | すべてのカリフォルニア州民に発言の機会を |
| Governor Newsom announced this month the first-ever statewide deliberative democracy effort with Engaged California to assess the impacts of AI on Californians. All Californians are invited to participate in this innovative program, which provides every resident a seat at the table in shaping state policy on AI. The results of this engagement will help inform all of the activities directed by the EO. Sign up at engaged.ca.gov/ai . |
ニューサム知事は今月、AIがカリフォルニア州民に与える影響を評価するため、「エンゲージド・カリフォルニア」と連携した州史上初の州全域にわたる審議型民主主義の取り組みを発表した。すべてのカリフォルニア州民は、この革新的なプログラムへの参加を歓迎される。このプログラムでは、AIに関する州の政策形成において、すべての住民に発言の機会が与えられる。この取り組みの結果は、行政命令(EO)に基づくすべての活動に反映されることになる。engaged.ca.gov/ai から登録してほしい。 |
知事令...
・[PDF]
| EXECUTIVE DEPARTMENT STATE OF CALIFORNIA | カリフォルニア州 行政部 |
| EXECUTIVE ORDER N-6-26 | 州知事令 N-6-26 |
| WHEREAS California is the largest economy in the nation, the world’s preeminent innovation ecosystem, and an incubator for new technologies, as well as the businesses that create and scale those technologies; and | カリフォルニア州は、全米最大の経済規模を誇り、世界有数のイノベーション・エコシステムであり、新技術およびそれらを創出し拡大させる企業のインキュベーターである。また |
| WHEREAS since taking office in 2019, my Administration has focused on growing and sustaining California’s economic and technological leadership, all while working closely with industry, labor, academia, and civil society to ensure emerging technologies are developed and deployed safely and responsibly; and | 2019年の就任以来、当政権は、新興技術が安全かつ責任を持って開発・展開されるよう、産業界、労働界、学界、市民社会と緊密に連携しつつ、カリフォルニア州の経済的・技術的リーダーシップの拡大と維持に注力してきた;また |
| WHEREAS the artificial intelligence (AI) industry has grown exponentially, with conservative estimates placing it at approximately $375 billion annually worldwide, and AI now deployed in industries as diverse as transportation, retail, manufacturing, energy, education, healthcare, and IT & telecom; and | 人工知能(AI)産業は飛躍的に成長しており、控えめな推計でも世界全体で年間約3,750億ドル規模に達し、現在では運輸、小売、製造事業者、エネルギー、教育、医療、IT・通信など多岐にわたる産業でAIが展開されている;また |
| WHEREAS California has dominated AI innovation, with 33 of the top 50 private AI companies in the world based in California, even as no state has taken more aggressive action to strengthen the safety, security, and consumer privacy of technology and online platforms, including AI; and | カリフォルニア州はAIイノベーションを主導しており、世界の民間AI企業トップ50社のうち33社がカリフォルニア州に拠点を置いている。また、AIを含む技術やオンラインプラットフォームの安全性、セキュリティ、および消費者のプライバシーを強化するために、これほど積極的な措置を講じている州は他にない。;また |
| WHEREAS on September 6, 2023, I issued Executive Order N-12-23 directing how the State would safely innovate to use AI for the benefit of Californians, as well as identify potential risks to individuals, communities, state government, and state workers; and | 2023年9月6日、私は州知事令N-12-23を発令し、カリフォルニア州民の利益のためにAIを活用する安全なイノベーションの推進方法、ならびに個人、地域社会、州政府、および州職員に対する潜在的なリスクの識別について指示した。;また |
| WHEREAS in response to Executive Order N-12-23, my Administration established guidelines for public sector procurement of AI products, uses, and required trainings; published guidelines for State agencies and departments to analyze the impact of AI tools on marginalized and vulnerable communities; published reports on building and supporting a AI-ready state workforce; and launched pilots of AI projects to help improve public services; and | また、州知事令N-12-23を受けて、私の政権は、AI製品およびその利用に関する公共部門の調達指針ならびに必須研修を策定した。また、AIツールが社会的弱者や脆弱なコミュニティに与える影響を分析するための州機関および部門向け指針を公表し、AI対応可能な州職員の育成・支援に関する報告書を公表し、公共サービスの改善を支援するためのAIプロジェクトのパイロット事業を開始した。;また |
| WHEREAS in 2025, a group of world-leading AI researchers and experts— convened at my request—released a first-in-the-nation report on sensible frontier AI guardrails, based on empirical, science-based analysis of the capabilities and attendant risks of frontier models, including recommendations on ensuring evidence-based policymaking, balancing the need for transparency, safety, and trust with innovation; and | 2025年、私の要請により招集された世界トップクラスのAI研究者および専門家グループは、最先端モデルの能力とそれに伴うリスクに関する実証的かつ科学的な分析に基づき、全米初の「最先端AIの適切な安全策」に関する報告書を公表した。これには、証拠に基づく政策立案の確保、透明性・安全性・信頼性の確保とイノベーションの調和を図るための提言が含まれている;また |
| WHEREAS in partnership with the Legislature, I have signed legislation addressing frontier AI trust and safety, children's safety online, data privacy, cybersecurity, and consumer protection, proving that innovation and economic growth are fully compatible with common sense guardrails; and | また、私は州議会と連携し、最先端AIの信頼性と安全性、児童のオンライン上の安全、データ・プライバシー、サイバーセキュリティ、および消費者保護に関する法案に署名した。これにより、イノベーションと経済成長は、常識的な安全策と完全に両立し得ることが証明された;また |
| WHEREAS on March 30, 2026, I issued Executive Order N-5-26 directing my Administration to ensure AI procurement and adoption protect civil rights, civil liberties, and privacy, while reinforcing the importance of transparent, safe, and responsible AI adoption to make government more efficient, effective, and engaged; and | 2026年3月30日、私は州知事令N-5-26を発令し、行政に対し、AIの調達および導入が市民権、市民的自由、およびプライバシーを保護することを確保するとともに、政府をより効率的、効果的、かつ市民参加型にするために、透明性があり、安全で、責任あるAI導入の重要性を強化するよう指示した;また |
| WHEREAS the private sector’s ability to raise substantial capital and invest in developing and scaling emerging technologies has facilitated the rapid development of AI technology and its deployment for varied use cases across sectors; and | 民間部門が巨額の資金を調達し、新興技術の開発および拡大に投資する能力は、AI技術の急速な発展と、あらゆる分野における多様なユースケースへの展開を促進してきた;また |
| WHEREAS due to the market incentives that shape private-sector decision making, development and deployment of AI to advance the public good may not be prioritized or, in some cases, pursued at all, especially when coupled with the concentration of computing power among a handful of private actors and prohibitive costs of developing AI ecosystems at scale; and | 民間部門の意思決定を左右する市場のインセンティブにより、公益を促進するためのAIの開発・展開は優先されないか、場合によっては全く追求されない可能性がある。特に、少数の民間事業者に計算能力が集中していることや、大規模なAIエコシステムを構築するための莫大なコストが伴う場合にはなおさらである;また |
| WHEREAS government can play a key role in ensuring access to AI infrastructure for the public good, including support for development and deployment of AI technology to address critical issues like AI safety, improving governmental services, mitigating climate change, and meeting basic human needs like clean air, clean water, food security, and health; and | 政府は、AIの安全性、行政サービスの改善、気候変動の緩和、そして清潔な空気、清潔な水、食糧安全保障、健康といった人間の基本的ニーズへの対応といった重要な課題に取り組むためのAI技術の開発・展開を支援することを含め、公益のためのAIインフラへのアクセスを確保する上で重要な役割を果たし得る。;また |
| WHEREAS since taking office, I have also championed historic investments and initiatives to expand economic opportunity for all Californians, through our public TK-12 school and higher education systems; initiatives creating clear pathways to good paying jobs integrated under California’s Master Plan for Career Education; region-specific, bottom-up economic development plans and investments through Jobs First and the Economic Blueprint; and expanded universal access to capital through CalKIDS college and career savings accounts; and | 私が就任以来、公立の幼稚園から高校までの教育システムおよび高等教育システムを通じて、すべてのカリフォルニア州民の経済的機会を拡大するための歴史的な投資と取り組みを推進してきた。これには、カリフォルニア州の「キャリア教育マスタープラン」の下で統合された、高賃金の仕事への明確な道筋を創出する取り組み、Jobs FirstおよびEconomic Blueprintを通じた地域に特化したボトムアップ型の経済開発計画と投資、ならびにCalKIDS大学・キャリア貯蓄口座を通じた資本への普遍的なアクセスの拡大が含まれる。;また |
| WHEREAS in alignment with the Master Plan for Career Education, my Administration has prioritized jobs and workers, creating wide-reaching worker training programs and supported more than 674,000 earn-and-learn training opportunities, including over 250,000 registered apprenticeships statewide, and worked with industry and labor to build the skills for today and tomorrow, developing training programs alongside existing programs such as the Employment Training Panel, the University of California’s Extension program and the Community College System that support the workforce development that is vital to the California economy; and | また、キャリア教育マスタープランに沿い、私の政権は雇用と労働者を最優先とし、広範な労働者訓練プログラムを創設し、州全体で25万件を超える登録見習制度を含む67万4,000件以上の「働きながら学ぶ」訓練機会を支援した。さらに、産業界や労働組合と連携して現在および将来に必要なスキルを構築し、雇用訓練委員会、 カリフォルニア大学エクステンション・プログラム、およびカリフォルニア州の経済にとって不可欠な労働力開発を支えるコミュニティ・カレッジ・システムといった既存のプログラムと並行して、訓練プログラムを開発してきた。;また |
| WHEREAS the University of California’s Extension program serves over 300,000 people every year, the California State University system also offers extended education programs at every campus, and these programs support Californians to learn new skills relevant to their fields, earn certificates or transition into new fields and offer a comprehensive range of educational opportunities tailored to the needs of the community and working professionals; and | カリフォルニア大学エクステンション・プログラムは毎年30万人以上にサービスを提供しており、カリフォルニア州立大学システムも各キャンパスで継続教育プログラムを提供している。これらのプログラムは、カリフォルニア州民が自身の分野に関連する新たなスキルを習得し、資格を取得したり、新たな分野へ転身したりすることを支援するとともに、地域社会や働く専門家のニーズに合わせた包括的な教育機会を提供している;また |
| WHEREAS the University of California launched Degree Plus in 2025, a twoyear pilot program that combines a UC bachelor’s degree with skills-based certificates and paid internships to strengthen workforce readiness and connect students with employers; and | カリフォルニア大学は2025年に「Degree Plus」を開始した。これは、UCの学士号とスキルベースの修了証、有給インターンシップを組み合わせた2年間のパイロットプログラムであり、労働力としての準備態勢を強化し、学生と雇用主を結びつけるものである;また |
| WHEREAS through the Jobs First initiative, for the first time, California provided regions across the state funding to develop their own data-driven, community-led economic plans, including identifying strategic industry sectors; and | 「Jobs First」イニシアチブを通じて、カリフォルニア州は初めて、州内の各地域に対し、戦略的産業セクターの特定を含む、データに基づいた地域主導の経済計画を策定するための資金を提供した;また |
| WHEREAS in 2025 alone, these efforts under the Jobs First initiative supported nearly $1.6 billion in investments across all 13 economic regions in California, that helped create more than 61,000 new jobs and train more than 142,000 workers; and | 2025年だけで、「ジョブズ・ファースト」イニシアチブに基づくこれらの取り組みは、カリフォルニア州の全13の経済地域において約16億ドルの投資を支援し、6万1,000件以上の新規雇用創出と14万2,000人以上の労働者育成に寄与した;また |
| WHEREAS California is leading the country with policies to support portable benefits for workers and families, including universal access to retirement savings, through Cal Savers, universal school meals, universal TK, access to low and no-cost before and after-school childcare, and up to $1,500 invested for all Californian children through CalKIDS, to name a few; and | カリフォルニア州は、Cal Saversを通じた退職貯蓄への普遍的アクセス、学校給食の普遍化、TK(就学前教育)の普遍化、低料金または無料の放課後保育へのアクセス、CalKIDSを通じた全カリフォルニア州の子供への最大1,500ドルの投資など、労働者と家族のためのポータブル・ベネフィット(持ち運び可能な福利厚生)を支援する政策において、全米をリードしている;また |
| WHEREAS this comprehensive approach has provided a foundation to support Californians in pursuing economic opportunity and prosperity in the face of an evolving economy, including adapting to potential economic impacts caused by AI and other emerging technologies; and | この包括的なアプローチは、AIやその他の新興技術による潜在的な経済的影響への適応を含め、変化し続ける経済情勢の中で、カリフォルニア州民が経済的機会と繁栄を追求するための基盤を提供してきた;また |
| WHEREAS California must continue to lead, both in supporting responsible growth of emerging technologies and addressing their impacts on society and maintaining economic opportunity for all Californians, including by reviewing and updating, as needed, existing protections and exploring other tools for more broadly sharing the economic benefits with workers in industries and businesses impacted by AI and other emerging technologies; and | カリフォルニア州は、新興技術の責任ある成長を支援し、社会への影響に対処するとともに、すべてのカリフォルニア州民の経済的機会を維持する上で、引き続き主導的役割を果たさなければならない。これには、必要に応じて既存の保護措置を見直し更新すること、およびAIやその他の新興技術の影響を受ける産業や企業の労働者と経済的利益をより広く共有するための他の手段を模索することが含まれる;また |
| WHEREAS California already has robust worker protection laws that apply to firms adopting emerging technologies, such as anti-discrimination and retaliation protections and layoff and closure notices to workers, and has existing programs, such as the Work Sharing program, that provide alternatives to layoffs in the face of changing market conditions and help businesses keep trained employees and recover when business conditions improve, but these programs are currently underutilized; and | カリフォルニア州には、新興技術を採用する企業に適用される、差別禁止や報復行為からの保護、労働者への解雇・閉鎖通知などの強固な労働者保護法が既に存在し、また、市場環境の変化に直面した際の解雇に代わる選択肢を提供し、企業が訓練を受けた従業員を維持し、事業環境が改善した際に回復を支援する「ワークシェアリング」プログラムなどの既存の制度があるが、これらの制度は現在十分に活用されていない;また |
| WHEREAS existing collective bargaining agreements often include measures to ensure consultation, consent, and compensation with respect to the adoption of new systems, standards, and technologies; and | 既存の団体交渉協定には、新たなシステム、標準、技術の導入に関して、協議、同意、および補償を確保するための措置がしばしば含まれている;また |
| WHEREAS California is implementing several initiatives that address potential risks and opportunities associated with AI and other new technologies, including: | カリフォルニア州は、AIやその他の新技術に関連する潜在的なリスクと機会に対処するいくつかの取り組みを実施しており、これには以下が含まれる: |
| • Memorandums of understanding with NVIDIA, Adobe, Google, IBM, and Microsoft—in collaboration with California State University and the California Community Colleges—to expand AI literacy trainings; and | • カリフォルニア州立大学およびカリフォルニア・コミュニティ・カレッジと連携し、NVIDIA、Adobe、Google、IBM、Microsoftとの間で、AIリテラシー研修を拡大するための覚書を締結すること;また |
| • Strengthening employee protections, such as California Civil Rights Department regulations prohibiting discrimination in employment through Automated Decision Systems and California Privacy Protection Agency regulations strengthening employee and consumer privacy protections with respect to automated decision-making technology; and | • 従業員保護の強化。具体的には、自動化された意思決定システムによる雇用上の差別を禁止するカリフォルニア州公民権局の規制や、自動化された意思決定技術に関する従業員および消費者のプライバシー保護を強化するカリフォルニア州プライバシー保護庁の規制など;また |
| WHEREAS workers and consumers should have a voice in the future of broad-based technological adoption; and | 労働者と消費者は、広範な技術導入の将来について発言権を持つべきである;また |
| WHEREAS I have empowered Californians to help inform policy decisions through the country’s first deliberative democracy platform, Engaged California, and launched the Innovation Council, Emerging Technology Accelerator, and Breakthrough Project to ensure my Administration continues to leverage the expertise of Californians; and | カリフォルニア州民が、全米初の審議型民主主義プラットフォーム「Engaged California」を通じて政策決定への情報提供を行えるよう支援するとともに、本政権が引き続きカリフォルニア州民の専門知識を活用できるよう、イノベーション評議会、新興技術アクセラレーター、およびブレークスルー・プロジェクトを立ち上げた;また |
| WHEREAS I launched a new round of Engaged California earlier this month focused on the economic and labor impacts of AI to gather input directly from Californians; and | 今月初め、AIの経済および労働への影響に焦点を当てた「Engaged California」の新たなラウンドを開始し、カリフォルニア州民から直接意見を収集した;また |
| WHEREAS while new technologies present opportunities, it is in our collective interest to take proactive steps to manage and mitigate potential disruptions to our workforce, education systems, and economy, alongside harnessing opportunities, through ongoing study and recommendations to help guide future policymaking and regulations to protect the public, workers, and our economy. | 新技術は機会をもたらす一方で、労働力、教育制度、経済に対する潜在的な混乱を管理・緩和するための積極的な措置を講じ、同時に機会を活用することは、我々の共通の利益である。これには、市民、労働者、そして経済を防御するための将来の政策立案や規制を導くための継続的な調査と提言が含まれる。 |
| NOW, THEREFORE, I, GAVIN NEWSOM, Governor of the State of California, in accordance with the authority vested in me by the State Constitution and statutes of the State of California, do hereby issue the following Order to become effective immediately: | よって、私、カリフォルニア州知事ギャビン・ニューサムは、カリフォルニア州憲法および州法により私に付与された権限に基づき、以下の命令を発し、直ちに発効させる。 |
| IT IS HEREBY ORDERED THAT: | ここに命ずる。 |
| 1. Within 90 days of the issuance of this Order, the Labor and Workforce Development Agency, GO-Biz, and the Department of Finance, in consultation with academic and relevant industry partners and other state agencies, as appropriate, shall provide to the Governor a review of the emerging body of academic research identifying the potential workforce impacts of technological shifts, including AI’s impact on California’s labor market and potential disproportionate impacts on demographic groups. Analysis should include best practices—to the extent practicable—on early economic warning signals of future labor disruptions. | 1. 本命令の発令から90日以内に、労働・労働力開発庁、GO-Biz、および財務省は、必要に応じて学術機関、関連業界のパートナー、その他の州機関と協議の上、技術的変革が労働力に及ぼす潜在的な影響を特定する、新たに蓄積されつつある学術研究のレビューを州知事に提出しなければならない。これには、AIがカリフォルニア州の労働市場に与える影響、および特定の人口統計学的グループに不均衡な影響を及ぼす可能性も含まれる。分析には、将来の労働市場の混乱に関する早期の経済的警告信号について、実行可能な範囲でベストプラクティスを含めるものとする。 |
| 2. Within 180 days of the issuance of this Order, LWDA shall review and provide to the Governor recommendations on revisions and updates to the California Worker Adjustment and Retraining Notification (WARN) Act in a manner that is responsive to, and effectively provides early warning data on, emerging industry trends. | 2. 本命令の発令から180日以内に、労働・労働力開発局(LWDA)は、新たな産業動向に対応し、かつそれらに関する早期警告データを効果的に提供できる形で、カリフォルニア州労働者調整・再訓練通知法(WARN法)の改正および更新に関する提言を検討し、知事に提出しなければならない。 |
| 3. Within 180 days of the issuance of this Order, the Labor and Workforce Development Agency shall: | 3. 本命令の発令から180日以内に、労働・労働力開発局は以下の措置を講じなければならない: |
| a. Submit to the Governor a review of policies and practices that provide displaced workers with a safety net, including severance and other forms of compensation such as stock or other forms of equity, and any recommendations for incorporating such policies or strengthening existing programs, including a review of temporary subsidized employment programs like CalWORKs/JobsNOW, in coordination with relevant agencies. This review should include, to the extent practicable, a comparative analysis of policies or common practices in other countries. | a. 解雇された労働者にセーフティネットを提供する政策および慣行(退職金や株式・その他の持分といった形態の補償を含む)に関する検討結果を、関連機関と連携して、CalWORKs/JobsNOWのような一時的な助成雇用プログラムの検討を含め、当該政策の導入または既存プログラムの強化に向けた提言と共に、知事に提出しなければならない。この検討には、実行可能な範囲で、他国の政策または一般的な慣行との比較分析を含めるべきである。 |
| b. Submit to the Governor a workplan for expanding awareness of and enrollment in employment insurance programs such as employment stability payments through Work Share. | b. ワークシェアを通じた雇用安定給付金などの雇用保険プログラムに対する認知度向上および登録促進に向けた実施計画を、知事に提出すること。 |
| c. In coordination with the Governor’s Office of Service and Community Engagement (GO-Serve) and other relevant agencies, identify, promote and enhance service opportunities, including through California Volunteers, for those experiencing long-term unemployment and other potential employment disruptions, and explore options to amplify and expand the California Service Corps and Corps to Careers to leverage opportunities for all Californians to provide work experience relevant to their future career paths. | c. 知事室サービス・コミュニティ・エンゲージメント局(GO-Serve)およびその他の関連機関と連携し、長期失業者やその他の雇用喪失のリスクに直面している人々に対し、カリフォルニア・ボランティアズなどを通じた奉仕活動の機会を識別、促進、拡充するとともに、カリフォルニア・サービス・コープおよびコープ・トゥ・キャリアーズを拡大・強化する方策を検討し、すべてのカリフォルニア州民が将来のキャリアパスに関連する実務経験を積む機会を活用できるようにする。 |
| d. In coordination with the Jobs First Council, submit to the Governor recommendations on options for improving efforts to connect unemployed workers to opportunities for training and upskilling, including but not limited to through the Workforce Pell Grant program. | d. ジョブズ・ファースト・カウンシルと連携し、ワークフォース・ペル・グラント・プログラムなどを通じ、失業者を訓練やスキルアップの機会につなげる取り組みの改善に関する選択肢に関する提言を、知事に提出する。 |
| 4. No later than October 15, 2026, the Labor and Workforce Development Agency (LWDA), in consultation with labor organizations, employer groups, and relevant experts, shall review how the collective bargaining process is incorporating and addressing new technologies, such as AI, in ways tailored to the specific needs of workers and employers, including how worker voice is incorporated in adoption of emerging technologies, to identify what can be learned from unionized workplaces. | 4. 2026年10月15日までに、労働・労働力開発庁(LWDA)は、労働組合、雇用者団体、および関連する専門家と協議の上、AIなどの新技術が、労働者と雇用者の具体的なニーズに合わせてどのように団体交渉プロセスに組み込まれ、対処されているか、また新興技術の導入において労働者の声がどのように反映されているかを含め、組合組織化された職場から何を学べるかを特定するため、検討を行うものとする。 |
| 5. No later than October 15, 2026, the Labor and Workforce Development Agency shall review existing workforce training programs to ensure programs are fit for purpose and targeted towards growing industries and professions, in close coordination with the Jobs First Council, businesses, community colleges, labor unions, and other community organizations. The Employment Development Department, in partnership with local workforce development boards, shall develop an AI playbook to expand dislocated worker strategies for occupations exposed to AI and provide Local Boards with technical assistance on the utilization of Workforce Innovation and Opportunity Act resources for AI literacy-related programs. | 5. 2026年10月15日までに、労働・労働力開発局は、ジョブズ・ファースト評議会、企業、コミュニティカレッジ、労働組合、その他の地域団体と緊密に連携し、既存の労働力訓練プログラムを見直し、プログラムが目的に適合し、成長産業や職業を対象としていることを確保しなければならない。雇用開発局は、地域の労働力開発委員会と連携し、AIの影響を受ける職種に対する離職者支援戦略を拡大するためのAI対応ガイドラインを策定するとともに、AIリテラシー関連プログラムにおける「労働力革新・機会法(WIOA)」資源の活用について、地域委員会に技術的支援を提供しなければならない。 |
| 6. The Employment Development Department (EDD) shall include, as a part of the California Labor Market Review, a summary of feedback from businesses about the role of technological adoption in determining hiring or workforce decisions. Reporting shall occur twice per year through the end of 2027. | 6. 雇用開発局(EDD)は、カリフォルニア州労働市場レビューの一環として、採用や労働力に関する意思決定において技術導入が果たす役割についての企業からのフィードバックの概要を含めなければならない。報告は2027年末まで年2回行われるものとする。 |
| 7. Within 90 days of the issuance of this Order, EDD shall launch a dashboard showing AI’s impacts on employment across various sectors using Unemployment Insurance data. EDD may consult with leading AI labs that have published related data to build out its dashboard. | 7. 本命令の発令から90日以内に、EDDは失業保険データを用いて、様々なセクターにおける雇用へのAIの影響を示すダッシュボードを立ち上げるものとする。EDDは、ダッシュボードの構築にあたり、関連データを公表している主要なAI研究所と協議することができる。 |
| 8. The Jobs First Council shall work with local leadership on opportunities to support regions facing systemically high unemployment in a manner that is responsive to the regional plans and Jobs First sectors of focus, to the extent practicable. | 8. ジョブズ・ファースト評議会は、地域計画およびジョブズ・ファーストの重点分野に配慮しつつ、体系的に高い失業率に直面している地域を支援する機会について、可能な範囲で地域の指導者と協力しなければならない。 |
| 9. No later than October 15, 2026, the Government Operations Agency shall, in consultation with academics and experts from the University of California system, Stanford University’s Institute for Human-Centered Artificial Intelligence, and the private sector, provide the Governor with options and recommendations for actions that could alter incentive structures and increase likelihood of AI development and deployments that advance the public good and address critical problems and emerging opportunities facing society. Recommendations may include, but should not be limited to, public-private partnerships, voluntary or mandatory programs that direct a portion of revenue generated by AI companies to support beneficial deployments of AI that otherwise would not be pursued based solely on market incentives, and securing dedicated access to computing power for research and development of AI that meets specified criteria for advancing the public good. | 9. 2026年10月15日までに、政府運営局は、カリフォルニア大学システム、スタンフォード大学人間中心人工知能研究所、および民間セクターの学者や専門家と協議の上、インセンティブ構造を変更し、公共の利益を促進するとともに、社会が直面する重大な問題や新たな機会に対処するAIの展開・導入の可能性を高めるための措置に関する選択肢と提言を、知事に提出しなければならない。提言には、官民パートナーシップ、AI企業が創出する収益の一部を、市場インセンティブのみに基づいては実施されない有益なAI展開を支援するために充てる任意または義務的なプログラム、および公益の促進に向けた特定の規準を満たすAIの研究開発のための計算リソースへの専用アクセスの確保などが含まれるが、これらに限定されるものではない。 |
| 10.The Governor’s Office for Business and Economic Development (GO-Biz) and its Office of the Small Business Advocate (CalOSBA) shall evaluate and, where appropriate, support opportunities to expand and enhance worker ownership models to support broad-based capital growth and build wealth from productivity gain among workers, including, but not limited to, exploring any existing regulatory barriers to employee-owned company structures, as well as best practices leveraged in other states to provide direct and indirect economic support for the formation of or conversion to employee-owned companies. | 10. ビジネス・経済開発局(GO-Biz)およびその中小企業擁護局 (CalOSBA)は、広範な資本成長を支援し、労働者の生産性向上による富の創出を図るため、従業員所有モデルを拡大・強化する機会を評価し、適切であれば支援するものとする。これには、従業員所有企業構造に対する既存の規制上の障壁の調査、および従業員所有企業の設立または転換に対する直接的・間接的な経済的支援を提供するために他州で活用されているベストプラクティスの検討が含まれるが、これらに限定されない。 |
| 11.GO-Biz shall engage in educational and other initiatives to support business adoption of “opportunity AI.” This includes, but is not limited to, direct engagement through CalOSBA to support small business technology adoption and education on best practices and applications for using emerging technology, including AI, to support competition and broad-based economic growth while supporting workforce training and retention, and engagement with the Labor and Workforce Development Agency and the Employment Training Panel. | 11.GO-Bizは、「オポチュニティAI」の企業導入を支援するための教育その他の取り組みを行うものとする。これには、CalOSBAを通じた直接的な関与による中小企業の技術導入支援、AIを含む新興技術の利用に関するベストプラクティスや応用事例の教育(競争力強化および広範な経済成長を支援しつつ、労働力の育成と定着を促進するため)、ならびに労働・労働力開発庁および雇用訓練委員会との連携が含まれるが、これらに限定されない。 |
| 12.Institutions of higher education, in coordination, as appropriate, with the California Education Interagency Council, are requested to: | 12.高等教育機構は、必要に応じてカリフォルニア州教育省庁間協議会と連携し、以下のことを行うよう要請される。 |
| a. Evaluate and, where appropriate, expand upon existing measures to support a workforce able to leverage the opportunities presented by technologies in the future while mitigating risks and potential harms. | a. 将来の技術がもたらす機会を活用しつつ、リスクや潜在的な害を緩和できる労働力を支援するための既存の措置を評価し、適切であれば拡大すること。 |
| b. Evaluate opportunities to include on-the-job training as part of their comprehensive academic offerings, including but not limited to BA/AA programs, aligning apprenticeships and training that lead to employment for recent graduates. | b. 学士号(BA)および準学士号(AA)プログラムを含むがこれらに限定されない包括的な教育プログラムの一環として、実地研修を取り入れる機会を評価し、見習い制度や研修を、新卒者の就職につながるよう調整する。 |
| 13.The California Health and Human Services Agency, in coordination with the Labor and Workforce Development Agency, the Office of Data and Innovation (ODI), and other relevant departments and agencies, shall leverage ODI’s single online platform to enable Californians to more easily navigate government services and, ultimately, help Californians identify all social services for which they may be eligible. Agencies, in consultation with key stakeholders in the public and private sectors, shall identify opportunities for greater coordination and collaboration across programs and systems. | 13.カリフォルニア州保健・社会福祉局は、労働・労働力開発局、データ・イノベーション局(ODI)、およびその他の関連部門・機関と連携し、ODIの単一オンラインプラットフォームを活用して、カリフォルニア州民が政府サービスをより容易に利用できるようにし、最終的には、州民が受給資格のあるすべての社会福祉サービスを識別できるよう支援しなければならない。各機関は、官民セクターの主要な利害関係者と協議の上、プログラムやシステムを越えたより一層の調整と連携の機会を識別しなければならない。 |
| 14.Departments and Agencies shall incorporate, to the extent practicable, the findings from Engaged California’s newly launched engagement around AI into all of the above work streams. | 14.各省庁および機関は、実行可能な範囲で、Engaged Californiaが新たに開始したAIに関する取り組みの知見を、上記のすべての業務プロセスに組み込まなければならない。 |
| I FURTHER DIRECT that as soon as hereafter possible, this Order be filed in the Office of the Secretary of State and that widespread publicity and notice be given of this Order. | さらに、本命令は、今後可能な限り速やかに州務長官室に提出され、本命令について広く周知・告知されるよう指示する。 |
| This Order is not intended to, and does not, create any rights or benefits, substantive or procedural, enforceable at law or in equity, against the State of California, its agencies, departments, entities, officers, employees, or any other person. | 本命令は、カリフォルニア州、その機関、省庁、事業体、役員、職員、またはその他のいかなる者に対しても、法または衡平法に基づき執行可能な、実体的または手続的な権利または利益を創設することを意図しておらず、また、そのような権利または利益を創設するものではない。 |
| IN WITNESS WHEREOF I have hereunto set my hand and caused the Great Seal of the State of California to be affixed this 21st day of May 2026. | その証として、私はここに署名し、2026年5月21日、カリフォルニア州の大印を捺印した。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.06.06 米国 カリフォルニア州 AIによる潜在的な混乱に備え、労働者と企業を支援するための全米初の州知事令に署名 (2026.05.21)
米国 カリフォルニア州 AIの保護と責任ある利用を強化する州知事令に署名 (2026.03.30)
こんにちは、丸山満彦です。
米国のカリフォルニア州が、AIの保護と責任ある利用を強化する州知事令を公表してました...
● California GOVERNOR GAVIN NEWSOM
| As Trump rolls back protections, Governor Newsom signs first-of-its-kind executive order to strengthen AI protections and responsible use | トランプ政権が保護策を後退させる中、ニューサム知事はAIの保護と責任ある利用を強化する、前例のない州知事令に署名した |
| What you need to know: While the federal government dismantles contracting standards and removes basic protections for Americans, Governor Gavin Newsom today issued an executive order to explore stronger AI standards for state procurement — ensuring that companies demonstrate responsible policies and meet rigorous privacy and security standards while expanding the state’s responsible and ethical use of AI to make government more efficient, effective and engaged. | 知っておくべきこと:連邦政府が契約標準を撤廃し、米国市民に対する基本的な保護措置を解除する中、ギャビン・ニューサム知事は本日、州の調達におけるAI標準の強化を検討する州知事令を発令した。これにより、企業が責任ある方針を実証し、厳格なプライバシーおよびセキュリティ標準を満たすことを確保するとともに、政府の効率性、有効性、市民との関与を高めるため、州によるAIの責任ある倫理的な利用を拡大する。 |
| SAN FRANCISCO — Governor Gavin Newsom issued an executive order today to strengthen California’s procurement processes and raise the bar for artificial intelligence companies seeking to do business with the state. The order aims to ensure that companies meet strong standards and demonstrate responsible policies that prevent misuse of their technology, while protecting users’ safety and privacy. Unlike the Trump administration, California remains committed to ensuring that AI solutions adopted and deployed by the largest state in the nation and 4th largest economy in the world cannot be misused by bad actors seeking to exploit their users’ data, subvert their security, and violate their civil rights. | サンフランシスコ発 — ギャビン・ニューサム知事は本日、カリフォルニア州の調達プロセスを強化し、州との取引を目指す人工知能(AI)企業に対する標準を引き上げるための州知事令を発令した。この命令は、企業が厳格な標準を満たし、技術の悪用を防ぐ責任ある方針を示すことを確保すると同時に、ユーザーの安全とプライバシーを保護することを目的としている。 トランプ政権とは異なり、カリフォルニア州は、全米最大の州であり世界第4位の経済規模を誇るこの地で採用・展開されるAIソリューションが、ユーザーのデータを悪用し、セキュリティを侵害し、市民権を侵害しようとする悪意ある者によって悪用されないよう、引き続き尽力する。 |
| “California’s always been the birthplace of innovation. But we also understand the flip side: in the wrong hands, innovation can be misused in ways that put people at risk. California leads in AI, and we’re going to use every tool we have to ensure companies protect people’s rights, not exploit them or put them in harm’s way. While others in Washington are designing policy and creating contracts in the shadow of misuse, we’re focused on doing this the right way.” | 「カリフォルニアは常にイノベーションの発祥地であった。しかし我々は、その裏側も理解している。つまり、イノベーションは悪用されれば、人々に対してリスクをもたらす可能性があるのだ。カリフォルニアはAI分野をリードしており、企業が人々の権利を防御し、搾取したり危険にさらしたりしないよう、我々はあらゆる手段を講じるつもりだ。ワシントンの他の人々が悪用の影で政策を策定し契約を結んでいる一方で、我々は正しい方法でこれに取り組むことに注力している。」 |
| Governor Gavin Newsom | ギャビン・ニューサム知事 |
| The order also commits to expanding California’s use of GenAI to help deliver improved state services, including a new AI-directed tool to help Californians navigate available programs and benefits by life event, such as starting a business or finding a job. The executive order can be viewed here. | この州知事令では、カリフォルニア州がGenAIの活用を拡大し、州サービスの改善を図ることも約束している。これには、起業や就職といった人生の節目に応じて、利用可能なプログラムや給付をカリフォルニア州民が把握できるよう支援する、AI主導の新しいツールも含まれる。この州知事令はこちらで閲覧できる。 |
| California is the fourth-largest economy in the world, the birthplace of tech, and the top pipeline for tech talent, and has demonstrated its ability to responsibly advance innovation and safeguards — helping everyone from the nation’s largest valued tech companies to pre-seed startups to thrive. | カリフォルニア州は世界第4位の経済規模を誇り、テクノロジーの発祥地であり、技術人材の最大の供給源でもある。同州は、イノベーションと保護策を責任を持って推進する能力を実証しており、国内で最も時価総額の高いテクノロジー企業からプレシード段階のスタートアップに至るまで、あらゆる企業が繁栄できるよう支援している。 |
| California’s tech leadership | カリフォルニア州のテクノロジー分野におけるリーダーシップ |
| The announcement follows the Trump administration’s recent contracting missteps and attempts to require companies to violate their users’ privacy and civil rights and to deploy technologies that would put individuals’ safety at risk. Meanwhile, California is taking a different approach. | この発表は、トランプ政権による最近の契約上の失策や、企業に対しユーザーのプライバシーや公民権を侵害するよう要求したり、個人の安全にリスクを伴う技術の展開を強要しようとしたりした動きを受けて行われたものである。一方、カリフォルニア州は異なるアプローチを取っている。 |
| Governor Newsom’s order will direct the Government Operations Agency to develop a plan for new state contracting processes and best practices that vet companies based in part on how they attest and explain their policies and safeguards to protect the public from the following with regard to their technology: | ニューサム知事の命令により、政府運営局は、新たな州の契約プロセスおよびベストプラクティスの策定を指示される。これには、企業が自社の技術に関して以下から公衆を保護するためのポリシーや安全対策をどのように証明し説明するかを基準の一部として、企業を審査する仕組みが含まれる。 |
| ・Exploitation or distribution of illegal content | ・違法コンテンツの悪用または流通 |
| ・Models that display bias or lack technology to prevent such bias | ・バイアスを示すモデル、またはそのようなバイアスを防ぐ技術が欠如しているモデル |
| ・Violations of civil rights and free speech | ・公民権および言論の自由の侵害 |
| The order will also enable the state to separate its procurement authorization process from the federal government’s if needed and direct the state to leverage AI to improve government service delivery, increase transparency, and strengthen accountability. | また、この州知事令により、必要に応じて州は連邦政府とは別の調達認可プロセスを確立できるようになり、政府サービスの提供改善、透明性の向上、説明責任の強化のためにAIを活用するよう州に指示する。 |
| The Governor also directs the California Department of Technology to create recommendations and best practices for watermarking AI-generated images or manipulated video consistent with state law — the first of its kind nationwide. | さらに知事は、カリフォルニア州技術局に対し、州法に準拠したAI生成画像や改変動画への電子透かし入れに関する提言とベストプラクティスを策定するよう指示した。これは全米で初めての試みである。 |
| Read the full executive order here. | 州知事令の全文はこちら。 |
| AI’s impact on our workforce | AIが労働力に与える影響 |
| With opportunities created by AI come questions about job security and the potential for the technology to have a disruptive impact on the California workforce. Californians deserve the opportunity to weigh in on how state policy responds to this emerging technology and shapes the future economy. Last year, Governor Newsom announced a first-in-the-nation digital democracy platform, Engaged California, a new tool to help the state build communication and engagement with Californians. The tool was first launched as a pilot to allow Angelenos to better shape recovery after the LA firestorms. The tool was then used to provide state employees with the opportunity to inform efficiency efforts in state government. | AIがもたらす機会とともに、雇用の安定性や、この技術がカリフォルニア州の労働力に破壊的な影響を与える可能性についての疑問も生じている。カリフォルニア州民には、この新興技術に対し州の政策がどのように対応し、将来の経済を形作るかについて意見を述べる機会が与えられるべきだ。昨年、ニューサム知事は全米初のデジタル・デモクラシー・プラットフォーム「エンゲージド・カリフォルニア(Engaged California)」を発表した。これは、州がカリフォルニア州民とのコミュニケーションと関与を構築するための新たなツールである。このツールは当初、ロサンゼルス大火災後の復興をロサンゼルス市民がより良く形作れるよう支援するパイロット事業として立ち上げられた。その後、州政府の効率化に向けた取り組みに州職員が意見を反映させる機会を提供するために活用された。 |
| Governor Newsom is announcing today that the state is launching the first statewide engagement effort with all Californians through Engaged California, providing a stronger tool to help guide the state’s response to AI and its impact on the workforce. This new first-in-the-nation digital democracy effort will roll out in the upcoming months. | ニューサム知事は本日、州が「エンゲージド・カリフォルニア」を通じて全カリフォルニア州民を対象とした初の州全域にわたる参加型取り組みを開始し、AIへの州の対応および労働力への影響を導くためのより強力なツールを提供すると発表した。この全米初の新たなデジタル・デモクラシーへの取り組みは、今後数ヶ月のうちに展開される予定だ。 |
| This effort is in contrast to the Trump administration and congressional Republicans, who have proven themselves incapable of passing even the most basic protections when it comes to AI. This also adds to Governor Newsom’s work putting California more out front on advancing AI than any other state: | この取り組みは、AIに関して最も基本的な保護策さえ可決できないことが証明されているトランプ政権や連邦議会の共和党員たちとは対照的である。これはまた、カリフォルニア州を他のどの州よりもAI推進の最前線に立たせるというニューサム知事の取り組みをさらに強化するものである: |
| ・Directing the state to responsibly integrate generative AI into state operations, including directing the development of innovative new procurement mechanisms, AI sandboxes to pilot the technology, new cybersecurity assessments, and new guidelines to ensure safe and ethical use. | ・生成的人工知能を州の業務に責任を持って統合するよう州に指示すること。これには、革新的な新たな調達メカニズムの開発、技術の試験運用を行うAIサンドボックス、新たなサイバーセキュリティアセスメント、および安全かつ倫理的な利用を確保するための新たなガイドラインの策定が含まれる。 |
| ・Advancing cutting-edge policy by commissioning a report from world-leading AI academics and experts to help advance responsible AI governance. | ・責任あるAIガバナンスの推進を支援するため、世界をリードするAI学者や専門家による報告書の作成を委託し、最先端の政策を推進すること。 |
| ・Leading with efficiency, issuing an executive order to solicit input from state employees and partnering with executive and tech leaders to expand the use of efficiency tools, including AI, within state government. | ・効率性を重視し、州職員からの意見募集を行う州知事令を発令するとともに、経営幹部やテクノロジー分野のリーダーと連携し、州政府内でのAIを含む効率化ツールの活用を拡大する。 |
| ・Making Californians’ lives better through GenAI, reducing highway congestion, improving roadway safety, and improving wildfire detection, among other new initiatives. | ・生成的AIを通じてカリフォルニア州民の生活を向上させ、高速道路の渋滞緩和、道路の安全性向上、山火事検知の改善など、新たな取り組みを推進する。 |
| ・Leveraging industry partnerships with Nvidia, Google, Adobe, IBM, and Microsoft to help prepare the current and future generation to lead an AI-ready workforce, including expanding access to AI trainings for over two million students and faculty in public high schools and universities across California, including community colleges and California State Universities. | ・Nvidia、Google、Adobe、IBM、Microsoftとの産業パートナーシップを活用し、現在および将来の世代がAI対応の労働力を牽引できるよう準備を支援する。これには、コミュニティカレッジやカリフォルニア州立大学を含む、州内の公立高校および大学に在籍する200万人以上の学生と教職員に対するAI研修へのアクセス拡大が含まれる。 |
| California’s innovation economy dominates | カリフォルニアのイノベーション経済が主導的地位を占める |
| ・California is home to 33 of the top 50 privately held AI companies around the globe and leads with 25% of all AI patents, conference papers, and companies. | ・カリフォルニア州には、世界の非上場AI企業トップ50社のうち33社が拠点を置き、AI関連の特許、学会論文、企業の25%を占めてトップを走っている。 |
| ・The Bay Area captured a majority of U.S. AI startup funding in the past year. From Q3 2024 to Q2 2025, the Bay Area attracted 51% of ALL U.S. AI startup funding on Carta’s platform — far ahead of the entire state of New York (11%) and Boston (5.5%). | ・ベイエリアは、過去1年間で米国のAIスタートアップ資金調達の大部分を占めた。2024年第3四半期から2025年第2四半期にかけて、ベイエリアはCartaのプラットフォーム上で全米のAIスタートアップ資金調達の51%を集めた。これはニューヨーク州全体(11%)やボストン(5.5%)を大きく上回る数字だ。 |
| ・California leads U.S. demand for AI talent. In 2024, 15.7% of all U.S. AI job postings were in California — #1 by state, well ahead of Texas (8.8%) and New York (5.8%), per the 2025 Stanford AI Index. | ・カリフォルニア州は、米国におけるAI人材の需要を牽引している。2025年版スタンフォードAIインデックスによると、2024年の全米AI求人件数の15.7%がカリフォルニア州に集中しており、州別では第1位で、テキサス州(8.8%)やニューヨーク州(5.8%)を大きく引き離している。 |
| ・In 2024, more than half of global VC funding for AI and machine learning startups went to companies in the Bay Area. | ・2024年、AIおよび機械学習スタートアップに対する世界のVC資金調達の半数以上が、ベイエリアの企業に流れた。 |
| ・California is home to three of the four companies that have passed the $3 trillion valuation mark. Each of these California-based companies — Google, Apple, and Nvidia — are tech companies involved in AI and have created hundreds of thousands of jobs. | ・時価総額3兆ドルの大台を突破した4社のうち3社が、カリフォルニアに拠点を置いている。Google、Apple、Nvidiaといったこれらのカリフォルニア企業はいずれもAIに関わるテック企業であり、数十万もの雇用を創出している。 |
| Birthplace of modern tech | 現代テクノロジーの発祥地 |
| California works closely to foster tech leadership and create an environment where industry and talent thrive. This is why California is home to the most tech companies in the nation. California is the global leader in technology and is balancing its work to advance AI with commonsense laws to protect the public, while also embracing the technology to make our lives easier and make government more efficient, effective, and transparent. | カリフォルニア州は、テクノロジーのリーダーシップを育成し、産業と人材が繁栄する環境を構築するために緊密に連携している。これが、カリフォルニア州が全米で最も多くのテクノロジー企業を擁する理由である。カリフォルニア州はテクノロジーの世界的リーダーであり、AIの発展を推進する取り組みと、公衆を保護するための常識的な法律とのバランスを取りつつ、私たちの生活をより便利にし、政府をより効率的、効果的、かつ透明性の高いものにするために、この技術を取り入れている。 |
| California currently has laws that help: | カリフォルニア州には現在、以下のことを支援する法律がある: |
| ・Foster and guide the development of frontier AI models | ・最先端のAIモデルの開発を促進し、導くこと |
| ・Safeguard against the risks of catastrophic harms | ・壊滅的な被害のリスクから守ること |
| ・Create strong protocols for child safety and protections against self-harm | ・子どもの安全と自傷行為からの保護のための強力なプロトコルを作成すること |
| ・Crack down on sexually explicit deepfakes and require AI watermarking | ・性的に露骨なディープフェイクを取り締まり、AIによる電子透かしを義務付けること |
| ・Protect performers’ digital likenesses | ・出演者のデジタル肖像を保護すること |
| ・Prevent scams from AI-generated robocalls | ・AI生成による自動音声通話(ロボコール)による詐欺を防止すること |
| EXECUTIVE DEPARTMENT STATE OF CALIFORNIA | カリフォルニア州行政部 |
| EXECUTIVE ORDER N-5-26 | 州知事令 N-5-26 |
| WHEREAS California is the global epicenter of artificial intelligence ("Al") innovation, home to 33 of the 50 top artificial intelligence companies, leading academic and research institutions including five of the world's top fifteen artificial intelligence higher education programs, and a vibrant ecosystem that drives economic growth and scientific advancement; and | カリフォルニア州は、人工知能(「AI」)イノベーションの世界的な中心地であり、上位50社の人工知能企業のうち33社が拠点を置き、世界トップ15の人工知能高等教育プログラムのうち5つを含む主要な学術・研究機構が集まり、経済成長と科学の進歩を牽引する活気あるエコシステムを有している。 |
| WHEREAS on September 6, 2023, I issued Executive Order N-12-23 outlining how the State would safely learn, innovate, and use Generative Artificial Intelligence ("GenAl") for the benefit of Californians and state workers, and in response my Administration has analyzed the most significant beneficial use cases for deployment; issued guidelines, policies, and procedures for responsible public sector procurement, uses, and required trainings; published guidelines for State agencies and departments to analyze the impact of GenAl tools on marginalized and vulnerable communities; and launched pilots of GenAl projects to reduce highway congestion, improve roadway safety, enhance customer service, accelerate the approval process for rebuilding permits, and improve firefighting detection and response; and | 2023年9月6日、私は州知事令N-12-23を発令し、カリフォルニア州民および州職員の利益のために、州が生成的人工知能(「GenAI」)を安全に学習、革新、活用する方法を概説した。これを受けて、私の政権は、展開における最も重要な有益なユースケースを分析し、公共部門における責任ある調達、利用、および必須の研修に関するガイドライン、方針、手順を発行した。州機関および各部門に対し、GenAlツールが社会的弱者や脆弱なコミュニティに与える影響を分析するための指針を公表した。また、高速道路の渋滞緩和、道路の安全性向上、顧客サービスの向上、再建許可の承認プロセスの迅速化、および火災検知・対応の改善を目的としたGenAlプロジェクトのパイロット事業を開始した。 |
| WHEREAS my administration has leveraged GenAl to foster greater collaboration and co-creation between the state and people of California through Engage California, a first-in-the-nation deliberative democracy program empowering Californians to help inform policy decisions and program design, and to strengthen public health innovation, collaboration, and communication through the Public Health Network Information Exchange (PHNIX); and | また、私の政権は、カリフォルニア州民が政策決定やプログラム設計への情報提供に参画できるよう支援する全米初の審議型民主主義プログラム「Engage California」を通じて、州とカリフォルニア州民との間のより一層の連携と共創を促進するためにGenAlを活用し、さらに「公衆衛生ネットワーク情報交換(PHNIX)」を通じて、公衆衛生のイノベーション、連携、およびコミュニケーションを強化してきた; |
| WHEREAS no state has taken more aggressive action to strengthen the safety and security of technology and online platforms, including through enacting legislation addressing Al trust and safety, children's safety online, data privacy, cybersecurity, and consumer protection; and | また、AIの信頼性と安全性、児童のオンライン上の安全、データ・プライバシー、サイバーセキュリティ、消費者保護に対処する法律の制定を含め、技術およびオンラインプラットフォームの安全性とセキュリティを強化するために、これほど積極的な措置を講じた州は他にない;および |
| WHEREAS the rapid development and adoption of GenAl since I issued Executive Order N-12-23 presents novel opportunities to make government more efficient, effective, and engaged; strengthen government transparency, accessibility, and accountability, including identifying and preventing fraud; support scientific research, especially in drug discovery, material science, fusion, quantum, energy, and climate change; and advance public health and safety, while simultaneously posing new risks if developed or deployed without appropriate safeguards or if misused, including the potential for mass surveillance, manipulation of information, and violations of civil rights and civil liberties; and | また、私が州知事令N-12-23を発令して以来のGenAlの急速な開発と導入は、政府をより効率的、効果的、かつ市民参加型にする新たな機会をもたらしている; 政府の透明性、アクセシビリティ、説明責任を強化し、これには詐欺の識別および防止が含まれる;科学研究、特に創薬、材料科学、核融合、量子、エネルギー、気候変動分野を支援する;そして公衆衛生と安全を推進する一方で、適切な安全対策なしに開発または展開された場合、あるいは悪用された場合には、大量監視、情報の操作、市民権および市民的自由の侵害の可能性を含む新たなリスクをもたらす;および |
| WHEREAS public procurement represents one of the most powerful tools available to governments to shape market behavior and encourage responsible innovation; and | 公共調達は、市場振る舞いを形作り、責任あるイノベーションを促進するために政府が利用できる最も強力な手段の一つである;および |
| WHEREAS the State of California has a responsibility to both leverage GenAl for the benefit of Californians and to ensure these tools are deployed transparently and in ways that protect privacy and civil liberties, demonstrating that innovation and democratic values are not mutually exclusive. | カリフォルニア州には、カリフォルニア州民の利益のためにGenAlを活用するとともに、これらの手段が透明性を持って、かつプライバシーと市民的自由を保護する形で展開されることを確保する責任があり、それによってイノベーションと民主的価値観が相互に排他的なものではないことを示す必要がある。 |
| NOW, THEREFORE, l, GAVIN NEWSOM, Governor of the State of California, in accordance with the authority vested in me by the State Constitution and statutes of the State of California, do hereby issue the following Order to become effective immediately: | よって、私、カリフォルニア州知事ギャビン・ニューサムは、カリフォルニア州憲法および州法により私に付与された権限に基づき、以下の命令を発し、直ちに発効させる。 |
| IT IS HEREBY ORDERED THAT: | ここに命ずる。 |
| 1 . Within 120 days of the issuance of this Order, the Department of General Services (DGS) and the Department of Technology (CDT) shall submit recommendations to the Governor for new certifications that may be incorporated into state contracting processes, where consistent with existing procurement statutes and regulations, allowing entities seeking to do business with the state of California to attest to and explain their policies and safeguards to protect public safety while preventing the misuse of their technologies, as applicable, including but not limited to: | 1. 本命令の発令から120日以内に、 一般サービス局(DGS)および技術局(CDT)は、既存の調達法令および規制と整合する範囲において、カリフォルニア州との取引を希望する事業体が、公共の安全を保護しつつ、自社の技術の悪用を防止するためのポリシーおよび安全対策を証明し説明できるようにする、州の契約プロセスに組み込むことのできる新たな認証に関する提言を、知事に提出しなければならない。これには、該当する場合、以下を含むがこれらに限定されない: |
| a. Exploitation or distribution of illegal content, such as child sexual abuse material and non-consensual intimate imagery; | a. 児童性的虐待素材や同意のない親密な画像などの違法コンテンツの悪用または流通; |
| b. Utilization of models that display harmful bias or lack governance to reduce the risk of such harmful bias; and | b. 有害なバイアスを示すモデルの利用、またはそのような有害なバイアスのリスクを軽減するためのガバナンスの欠如;および |
| c. Violation of civil rights and civil liberties such as free speech, voting, human autonomy, and protections against unlawful discrimination, detention, and surveillance. | c. 言論の自由、投票権、人間の自律性、ならびに違法な差別、拘束、監視からの保護といった、市民権および市民的自由の侵害。 |
| 2. The CDT State Chief Information Security Officer (CISO) shall review any new designations of companies as supply chain risks by the federal government. If the CISO concludes that the designation is improper, DGS and CDT will jointly issue guidance ensuring that departments and agencies can continue to easily procure from that company. The CISO may also review other federal procurement changes to assess whether they improperly restrict procurement and to recommend appropriate measures in response. | 2. CDTの州最高情報セキュリティ責任者(CISO)は、連邦政府によるサプライチェーンリスク企業としての新たな指定について審査を行うものとする。CISOが当該指定が不適切であると結論付けた場合、DGSおよびCDTは共同でガイダンスを発行し、各省庁が当該企業から引き続き容易に調達できるよう確保する。また、CISOは、連邦政府のその他の調達変更についても審査を行い、それらが調達を不当に制限していないかを評価し、対応として適切な措置を勧告することができる。 |
| 3. Within 1 20 days of the issuance of this Order, the Government Operations Agency (GovOps), in consultation with DGS and CDT, shall submit recommendations to the Governor on any reforms to contractor responsibility provisions, including suspension and ineligibility authorities, needed to ensure state entities do not contract with entities judicially determined to have unlawfully undermined privacy or civil liberties, as applicable, such as but not limited to freedom of speech, voting, and protections from unlawful discrimination and surveillance. | 3. 本命令の発令から120日以内に、 政府運営局(GovOps)は、DGSおよびCDTと協議の上、州機関が、司法判断によりプライバシーまたは市民的自由(言論の自由、投票権、不法な差別や監視からの保護などを含むがこれらに限定されない)を不法に侵害したと認定された事業体と契約を結ばないよう確保するために必要な、契約業者責任規定(契約停止権限および契約資格剥奪権限を含む)の改革に関する提言を、知事に提出しなければならない。 |
| 4. Within 120 days of the issuance of this Order, CovOps, including CDT, the Office of Data and Innovation (ODI), DGS, and the California Department of Human Resources (CalHR), shall: | 4. 本命令の発令から120日以内に、CDT、データ・イノベーション局(ODI)、DGS、およびカリフォルニア州人事局(CalHR)を含むCovOpsは、以下の措置を講じなければならない: |
| a. Facilitate employee access to vetted GenAl tools for general use cases with appropriate privacy and cybersecurity safeguards, and in accordance with procedures specified in the Budget Act of 2025; | a. 適切なプライバシーおよびサイバーセキュリティ対策が講じられ、2025年度予算法に定められた手続きに従い、一般的な利用ケース向けに審査済みのGenAlツールへの従業員のアクセスを促進すること; |
| b. Leverage the State Technology Council and the Al Community of Practice to share best practices on responsible Al procurement and adoption while protecting public safety, civil liberties, and privacy; | b. 州技術評議会およびAI実践コミュニティを活用し、公共の安全、市民的自由、およびプライバシーを保護しつつ、責任あるAIの調達および導入に関するベストプラクティスを共有する; |
| c. Update the State Digital Strategy to identify opportunities for CenAl to strengthen government transparency and accountability, improve performance, and make government services easily accessible for every Californian; | c. 州デジタル戦略を更新し、CenAlが政府の透明性と説明責任を強化し、パフォーマンスを向上させ、すべてのカリフォルニア州民が政府サービスに容易にアクセスできるようにする機会を識別する; |
| d. Develop a pilot of an application or website using GenAl to provideCalifornians with streamlined and user-friendly access togovernment services organized by life event, such as disaster relief, starting a business, and finding a job; | d. GenAlを使用したアプリケーションまたはウェブサイトのパイロット版を開発し、災害支援、起業、就職活動などのライフイベントごとに整理された政府サービスへの、効率的でユーザーフレンドリーなアクセスをカリフォルニア州民に提供する; |
| e. Expand trainings on emerging technology, including artificial intelligence, leveraging partnerships with industry and nonprofit partners; and | e. 産業界や非営利団体との連携を活用し、人工知能を含む新興技術に関する研修を拡大する;および |
| f. Publish a data minimization toolkit for departments and agencies with best practices, templates, special contract provisions, and program review checklists, and support select departments with sensitive data collection to implement this toolkit. | f. ベストプラクティス、テンプレート、特別な契約条項、プログラム審査チェックリストを盛り込んだデータ最小化ツールキットを各部門・機関向けに公表し、機微なデータを収集する特定の部門に対し、本ツールキットの導入を支援する。 |
| 5. Within 120 days, CDT, in collaboration with GovOps, shall issue best practice guidance for departments and agencies to appropriately watermark, according to industry best practices and in line with the requirements outlined in California Business & Professional Code SS 22757.2 & 22757.3, Al-generated or significantly manipulated images or video. | 5. 120日以内に、CDTはGovOpsと協力し、業界のベストプラクティスに従い、かつカリフォルニア州ビジネス・プロフェッショナル法典第22757.2条および第22757.3条に規定された要件に沿って、AI生成的または大幅に加工された画像や動画に適切な電子透かしを入れるためのベストプラクティス指針を、各省庁向けに発行するものとする。 |
| I FURTHER DIRECT that as soon as hereafter possible, this Order be filed in the Office of the Secretary of State and that widespread publicity and notice be given of this Order. | さらに、本命令は、可能な限り速やかに州務長官室に提出され、広く周知・告知されるものとする。 |
| This Order is not intended to, and does not, create any rights or benefits, substantive or procedural, enforceable at law or in equity, against the State of California, its agencies, departments, entities, officers, employees, or any other person. | 本命令は、カリフォルニア州、その機関、部門、事業体、役員、職員、またはその他のいかなる者に対しても、実体法上または手続法上、法または衡平法に基づき執行可能な権利または利益を創設することを意図しておらず、また創設するものではない。 |
| IN WITNESS WHEREOF I have hereunto set my hand and caused the Great Seal of the State of California to be affixed this 30th day of March 2026. | 以上の証として、私はここに署名し、2026年3月30日、カリフォルニア州の大印を捺印した。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.06.06 米国 カリフォルニア州 AIによる潜在的な混乱に備え、労働者と企業を支援するための全米初の州知事令に署名 (2026.05.21)
JNSA CISOがおさえておきたいAIセキュリティの基本 (2026.05.25)
こんにちは、丸山満彦です。
JNSAが、「CISOがおさえておきたいAIセキュリティの基本」を公表しています...
一般企業、つまりAIを主に利用する企業のCISOが理解しておいたほうがよいAIセキュリティの基本について、AIの仕組みの図解も交えながら、丁寧に説明しています...
Nythosの何が問題なのかなども説明しています...
この文書の主要な制作者の高橋正和さんが、1990年代からサイバーセキュリティに関わってきて、現在はAI会社(Preferred Networks)のCISOですからね...
文書の主な範囲...
● JNSA
・2026.05.25「CISOがおさえておきたいAIセキュリティの基本」
・[PDF]
で...
参考になります...
2026.06.05
米国 NIST SP 800-238 2025会計年度サイバーセキュリティおよびプライバシー年次報告書
こんにちは、丸山満彦です。
NISTが2025年の成果について報告書を公表していますね...
昨年の報告書から新しい番号がつく報告書は1つしか出していないってことですね...
● NIST - ITL
・2026.05.21 NIST SP 800-238 Fiscal Year 2025 Cybersecurity and Privacy Annual Report
| NIST SP 800-238 Fiscal Year 2025 Cybersecurity and Privacy Annual Report | NIST SP 800-238 2025会計年度サイバーセキュリティおよびプライバシー年次報告書 |
| Abstract | 概要 |
| Throughout Fiscal Year 2025 (FY 2025) — from October 1, 2024, through September 30, 2025 — the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the ITL Cybersecurity and Privacy Program’s FY 2025 research activities, including the ongoing participation and development of international standards, research, and practical applications in several key priority, including improved software and supply chain cybersecurity, work on IoT cybersecurity guidelines, National Cybersecurity Center of Excellence (NCCoE) projects, a new comment site for NIST’s Risk Management Framework, the release of a Phish scale, and progress in the Identity and Access Management program. | 2025会計年度(FY 2025)——2024年10月1日から2025年9月30日まで——を通じて、NIST情報技術研究所(ITL)サイバーセキュリティ・プライバシー・プログラムは、セキュリティとプライバシーにおける数多くの課題と機会に対し、適切に対応した。本年次報告書では、ITLサイバーセキュリティ・プライバシー・プログラムの2025会計年度の研究活動について概説する。これには、国際標準への継続的な参画と策定、ソフトウェアおよびサプライチェーンのサイバーセキュリティ強化、IoTサイバーセキュリティガイドラインに関する取り組み、 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のプロジェクト、NISTリスクマネジメントフレームワーク向けの新しいコメントサイト、フィッシング・スケールの公開、およびID・アクセス管理プログラムの進展などが含まれる。 |
・[PDF] SP.800-238
| FOREWORD | まえがき | |
| Cryptography | 暗号 | 詳細 |
| Cybersecurity & AI | サイバーセキュリティとAI | 詳細 |
| Education & Workforce | 教育・人材育成 | 詳細 |
| Hardware & Software Security | ハードウェアおよびソフトウェアのセキュリティ | 詳細 |
| Infrastructure Security | インフラセキュリティ | 詳細 |
| Risk Management | リスクマネジメント | 詳細 |
過去の目次...
| 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 |
| SP800-238 | SP800-236 | SP800-229 | SP800-225 | SP800-220 | SP800-214 | SP800-211 | SP800-206 | SP800-203 |
| 暗号 | 暗号 | 暗号 | 暗号 | 暗号の標準と検証 | サイバーセキュリティの啓発と教育 | サイバーセキュリティとプライバシーの標準化の進化 | サイバーセキュリティとプライバシー基準の推進 | 国際ITセキュリティ標準へのITLの関与 |
| サイバーセキュリティとAI | 教育・人材 | 教育、トレーニング、人材開発 | 教育、トレーニング、人材開発 | サイバーセキュリティの測定 | アイデンティティとアクセス管理 | リスク管理の強化 | リスクマネジメントの強化 | リスク管理 |
| 教育・人材育成 | 新興技術 | 新興技術 | アイデンティティとアクセス管理 | 教育と労働力 | 測定基準と測定 | 暗号標準と検証の強化 | 暗号の標準と検証の強化 | バイオメトリクス標準と関連する適合性評価試験ツール |
| ハードウェアおよびソフトウェアのセキュリティ | 人間中心のサイバーセキュリティ | 人間中心のサイバーセキュリティ | プライバシー | アイデンティティとアクセス管理 | リスクマネジメント | 先端サイバーセキュリティ研究・応用開発 | サイバーセキュリティの研究・応用開発の推進 | サイバーセキュリティアプリケーション |
| インフラセキュリティ | アイデンティティとアクセス管理 | アイデンティティとアクセス管理 | リスクマネジメントと計測 | プライバシーエンジニアリング | プライバシーエンジニアリング | サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 | サイバーセキュリティの意識向上、トレーニング、教育、人材開発 | ソフトウェアの保証と品質 |
| リスクマネジメント | プライバシー | プライバシー | 信頼できるネットワークとプラットフォーム | リスクマネジメント | 新規技術 | アイデンティティとアクセス管理の強化 | アイデンティティとアクセス管理の強化 | 連邦サイバーセキュリティ調査研究 |
| リスクマネジメント | リスクマネジメント | 利用可能なサイバーセキュリティ | 信頼できるネットワーク | 暗号の標準化と検証 | 通信・インフラ保護の強化 | 必インフラストラクチャの保護強化 | コンピュータ・フォレンジック | |
| 信頼されるネットワークとプラットフォーム | 信頼できるネットワークとプラットフォーム | 信頼できるプラットフォーム | 信頼性の高いネットワーク | 新技術の確保 | 新規技術の保護 | サイバーセキュリティに関する知識・訓練・教育・アウトリーチ | ||
| 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE) | NIST 国立サイバーセキュリティ・センター・オブ・エクセレンス | 信頼性の高いプラットフォーム | セキュリティテストと測定ツールの進化 | セキュリティのテストと測定ツールの推進 | 暗号標準化プログラム | |||
| バリデーションプログラム | ||||||||
| ID ・アクセス管理 | ||||||||
| 新規技術の研究 | ||||||||
| ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) |
||||||||
| インターネットインフラ保護 | ||||||||
| 高度なセキュリティ試験と測定 | ||||||||
| 技術的な安全性の指標 | ||||||||
| 利便性とセキュリティ |
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.05.03 米国 NIST SP 800-236 2024会計年度サイバーセキュリティ・プライバシー年次報告書 (2025.04.28)
・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティ・プライバシー年次報告書
・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)
・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)
・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書
・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019
・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program
2026.06.04
米国 NIST SP 1800-41(初期ドラフト) サイバー攻撃への対応と復旧:製造業セクターのためのサイバーセキュリティ (2026.05.21)
こんにちは、丸山満彦です。
NISTがSP 1800-41(初期ドラフト) サイバー攻撃への対応と復旧:製造業セクターのためのサイバーセキュリティを公表し、意見募集をしていますね...
附属書にあるシナリオは、各シナリオはNISTIR 8428(OT向けDFIRフレームワーク)のワークフローに従い、検知から封じ込め、根絶、復旧までの技術的・手順的ステップを詳細に解説しています...
可用性が高く求められるシステムについては、完全に防御できるわけではないという前提のもと、復旧計画とそれに従った準備が必要で、昔から金融機関の対策として同じといえば、同じ考え方ですかね...
● NIST - ITL
| NIST SP 1800-41 (Initial Public Draft) Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector | NIST SP 1800-41(初期ドラフト) サイバー攻撃への対応と復旧:製造業セクターのためのサイバーセキュリティ |
| Announcement | お知らせ |
| The NIST National Cybersecurity Center of Excellence (NCCoE) has released this initial public draft NIST Cybersecurity Practice Guide, which provides guidelines on response and recovery activities in an industrial control system (ICS) environment and recommendations to improve operational resilience. The comment period for this publication is open through July 8, 2026. | NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、産業用制御システム(ICS)環境における対応および復旧活動に関するガイドラインと、運用レジリエンスを向上させるための推奨事項を提示する、本NISTサイバーセキュリティ実践ガイドの初期ドラフトを公表した。本出版物に対する意見募集期間は2026年7月8日までである。 |
| Background | 背景 |
| As Operational Technology (OT) systems like ICS become increasingly interconnected with IT networks, they are increasingly being targeted by cyber threats, putting factory operations, safety, and property at risk. Organizations operating these systems, such as those in the manufacturing sector, need to have plans and capabilities in place to respond to cyber incidents and restore operations to improve overall resilience. | ICSのような運用技術(OT)システムがITネットワークとますます相互接続されるにつれ、これらはサイバー脅威の標的となりやすくなっており、工場の操業、安全、および資産にリスクを招いている。製造事業者などのこれらのシステムを運用する組織は、サイバーインシデントに対応し、操業を復旧させて全体的なレジリエンスを向上させるための計画と能力を整備する必要がある。 |
| The NCCoE worked with 11 industry collaborators to develop reference architectures, describe response and recovery scenarios, and demonstrate relevant approaches and capabilities. | NCCoEは11の業界パートナーと協力し、リファレンスアーキテクチャの策定、対応および復旧シナリオの記述、関連するアプローチや能力の実証を行った。 |
| This draft publication provides actionable guidelines on responding to and recovering from cyber attacks in manufacturing environments. Discover how to: | 本ドラフトは、製造環境におけるサイバー攻撃への対応および復旧に関する実践的なガイドラインを提供する。以下の方法について確認できる: |
| ・Understand the risks and potential impact of cyber incidents on your operations | ・サイバーインシデントが業務に及ぼすリスクと潜在的な影響を理解する |
| ・Develop a comprehensive response and recovery plan | ・包括的な対応および復旧計画を策定する |
| ・Implement best practices to minimize downtime and restore operations quickly | ・ダウンタイムを最小限に抑え、迅速に業務を復旧させるためのベストプラクティスを実施する |
| Comment Now! | 今すぐコメントを! |
| We encourage you to review the publication and share your feedback by July 8, 2026. If you’re interested in staying up-to-date on this project, you can join the NCCoE Manufacturing Community of Interest by signing up on our project page. | 2026年7月8日までに、本資料を確認し、フィードバックを共有することを推奨する。本プロジェクトの最新情報を入手したい場合は、プロジェクトページから登録して、NCCoE製造関心コミュニティに参加することができる。 |
| Abstract< | 概要 |
| Industrial Control Systems (ICS) that operate manufacturing environments play a critical role in the supply chain. Manufacturing organizations rely on control systems to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber incidents, posing a real threat to safety and production, and impacting the economic performance of manufacturing organizations. Though defense-in-depth security architecture helps mitigate cyber risks, it cannot eliminate all cyber risks; therefore, manufacturing organizations should also have a plan to recover and restore operations should a cyber incident impact operations. This practice guide showcases various cyber attack scenarios developed with industry collaborators to produce a methodology that enables the adoption and implementation of response and recovery measures in manufacturing environments to strengthen operational resilience. | 製造環境を運用する産業用制御システム(ICS)は、サプライチェーンにおいて極めて重要な役割を果たしている。製造事業者は、一般消費向けの製品を生産する物理的プロセスを監視・制御するために、制御システムに依存している。しかし、これらのシステムはサイバーインシデントの増加に直面しており、安全性や生産に対する現実的な脅威となり、製造事業者の経済的パフォーマンスに影響を及ぼしている。多層防御のセキュリティアーキテクチャはサイバーリスクの緩和に役立つが、すべてのサイバーリスクを排除することはできない。したがって、製造事業者は、サイバーインシデントが業務に影響を与えた場合に備え、業務を復旧・回復させる計画も策定すべきである。本実践ガイドでは、業界の協力者と共に策定した様々なサイバー攻撃シナリオを紹介し、製造環境における対応および復旧措置の採用と実施を可能にする方法論を提示することで、業務のレジリエンスを強化する。 |
・[PDF] sp1800-41ipd
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| Manufacturing systems play a critical role in the supply chain and are essential to the nation’s economic security. Manufacturing organizations rely on Industrial Control Systems (ICS) to monitor and control physical processes to improve business agility and operational efficiencies. These same systems are facing an increasing number of cyber incidents from destructive malware, malicious insider activity, hardware failures, or unintended human error. Potential outages can be significant in scope and downtime, and may result in a loss of production, affecting safety controls for personnel, or the loss of millions of dollars to the organization. While defense-in-depth security architecture can help mitigate these risks, it cannot guarantee the elimination of cyber incidents. Therefore, manufacturing organizations should have a plan in place to maintain a resilient infrastructure in the event of cyber incidents that impact operations. To help with these challenges, this practice guide was developed using the NIST Cybersecurity Framework (CSF) 2.0 [1] as the basis for a response and recovery effort. The CSF defines standardized outcomes upon which organizations can base response and recovery objectives. | 製造システムはサプライチェーンにおいて極めて重要な役割を果たしており、国家の経済的安全保障に不可欠である。製造企業は、ビジネスの俊敏性と運用効率を向上させるため、物理的プロセスの監視と制御に産業用制御システム(ICS)に依存している。しかし、これらのシステムは、破壊的なマルウェア、内部関係者による悪意のある活動、ハードウェアの故障、あるいは意図しない人的ミスなど、増加するサイバーインシデントに直面している。発生しうる停止は、その規模やダウンタイムが甚大であり、生産の損失、従業員の安全制御への影響、あるいは組織にとって数百万ドル規模の損失につながる可能性がある。多層防御のセキュリティアーキテクチャはこれらのリスクを緩和するのに役立つが、サイバーインシデントの完全な排除を保証することはできない。したがって、製造事業者は、業務に影響を及ぼすサイバーインシデントが発生した場合に備え、レジリエンスを持つインフラを維持するための計画を策定しておくべきである。こうした課題への対応を支援するため、本実践ガイドは、対応および復旧活動の基盤としてNISTサイバーセキュリティフレームワーク(CSF)2.0 [1] を用いて作成された。CSFは、組織が対応および復旧の目標を策定するための基準となる標準化された成果を定義している。 |
| For organizations without established cybersecurity controls, establishing and implementing response and recovery procedures can be a daunting task. In addition, guidelines and frameworks alone can be difficult to follow without practical applications. In response, the National Institute of Standards and Technology (NIST) National Cybersecurity Center of Excellence (NCCoE) worked with stakeholders and industry collaborators specializing in response and recovery to demonstrate the practical application of cybersecurity technologies in a discrete-based manufacturing system that emulates a typical manufacturing environment. The effort resulted in this Practice Guide, providing three functional scenarios that demonstrate implementation of response and recovery procedures using commercially available technologies. The aim is to illustrate effective execution of response and recovery fundamentals, as well as highlight the benefits that result from the deployment of technologies that improve operational resilience. | 確立されたサイバーセキュリティ対策を持たない組織にとって、対応および復旧手順の策定と実施は困難な課題となり得る。さらに、ガイドラインやフレームワークだけでは、実用的な応用がなければ従うのが難しい場合もある。これに対応するため、国立標準技術研究所(NIST)の国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、対応および復旧を専門とするステークホルダーや業界パートナーと協力し、典型的な製造環境を模したディスクリート型製造システムにおいて、サイバーセキュリティ技術の実用的な応用を実証した。この取り組みの結果として作成された本実践ガイドでは、市販の技術を用いた対応および復旧手順の実装を示す3つの機能シナリオを提供する。その目的は、対応および復旧の基本原則の効果的な実行を具体例で示すとともに、運用レジリエンスを向上させる技術の展開によって得られるメリットを強調することにある。 |
| Key takeaways from the development of this Practice Guide are as follows: | 本実践ガイドの作成を通じて得られた主な知見は以下の通りである: |
| • Planning and preparation are critical in responding to and recovering from cyber incidents, since risks still exist despite efforts to implement defense-in-depth protections against known threats. | • 既知の脅威に対する多層防御の導入に努めてもリスクは依然として存在するため、サイバーインシデントへの対応および復旧においては、計画と準備が極めて重要である。 |
| • Logging and visibility across assets and the supporting ecosystem improve investigation, diagnostics, and protection, and shorten the time between detection and containment. | • 資産および支援エコシステム全体にわたるロギングと可視化は、調査、診断、保護を向上させ、検知から封じ込めまでの時間を短縮する。 |
| • Robust monitoring goes beyond simple event logging and should include behavioral analysis and ongoing coordination between the OT engineering and the Security Operations Center (SOC) team. | • 堅牢な監視は単なるイベントロギングにとどまらず、振る舞い分析や、OTエンジニアリングチームとセキュリティ・オペレーションセンター(SOC)チーム間の継続的な連携を含めるべきである。 |
| • Human factors, such as employee training on the stages of response and recovery, communicating between IT and ICS administrators, and working with OT product vendors, will allow for effective plan implementation in addition to technical solutions. | • 対応および復旧の各段階に関する従業員のトレーニング、ITとICS管理者間のコミュニケーション、OT製品ベンダーとの連携といった人的要因は、技術的ソリューションに加え、効果的な計画の実行を可能にする。 |
目次...
| Contents | 目次 |
| Executive Summary | エグゼクティブサマリー |
| 1 Introduction | 1 序論 |
| 1.1 Scope | 1.1 範囲 |
| 1.2 Audience | 1.2 対象読者 |
| 1.3 How to Use This Guide | 1.3 本ガイドの活用方法 |
| 2 Project Overview | 2 プロジェクト概要 |
| 2.1 Project Approach & Assumptions | 2.1 プロジェクトのアプローチと前提条件 |
| 2.2 Response and Recovery Challenges | 2.2 対応および復旧における課題 |
| 2.3 Project Collaborators | 2.3 プロジェクト協力者 |
| 2.4 Build Architecture & Collaborator | 2.4 ビルドアーキテクチャと協力者 |
| 2.4.1 Product Control Mappings | 2.4.1 製品管理マッピング |
| 2.4.2 Build Components | 2.4.2 ビルドコンポーネント |
| 2.4.3 Build Details | 2.4.3 ビルドの詳細 |
| 2.5 Assumptions | 2.5 前提条件 |
| 2.5.1 Attack Assumptions | 2.5.1 攻撃に関する前提条件 |
| 2.5.2 Preparation Assumptions | 2.5.2 準備に関する前提条件 |
| 2.5.3 General Project Assumptions | 2.5.3 プロジェクト全般に関する前提条件 |
| 3 Functional Demonstrations | 3 機能デモ |
| 3.1 Demonstration Methodology | 3.1 デモの方法論 |
| 3.2 Demonstration Use Cases | 3.2 デモのユースケース |
| 3.2.1 Scenario A: Compromise Human Machine Interface (HMI) or Operator Console | 3.2.1 シナリオA:ヒューマン・マシン・インターフェース(HMI)またはオペレーターコンソールの侵害 |
| 3.2.2 Scenario A: Response Execution | 3.2.2 シナリオ A:対応の実行 |
| 3.2.3 Scenario A: Recovery Execution | 3.2.3 シナリオ A:復旧の実行 |
| 3.2.4 Scenario B: Data Exfiltration | 3.2.4 シナリオ B:データの持ち出し |
| 3.2.5 Scenario B: Response Execution | 3.2.5 シナリオ B:対応の実行 |
| 3.2.6 Scenario B: Recovery Execution | 3.2.6 シナリオ B:復旧の実行 |
| 3.2.7 Scenario C: Unauthorized Command Message | 3.2.7 シナリオ C:不正なコマンドメッセージ |
| 3.2.8 Scenario C: Response Execution | 3.2.8 シナリオ C:対応の実行 |
| 3.2.9 Scenario C: Recovery Execution | 3.2.9 シナリオ C:復旧の実行 |
| 4 General Findings | 4 一般的な調査結果 |
| Appendix A List of Acronyms | 附属書 A 略語一覧 |
| Appendix B References | 附属書 B 参考文献 |
| Appendix C Build Implementation Instructions | 附属書 C ビルド実装手順 |
| C.1 Scenario A: Technical Details - Preparation | C.1 シナリオ A:技術的詳細 - 準備 |
| C.1.1 Creating a Splunk Dashboard to detect USB Activity | C.1.1 USB アクティビティを検知するための Splunk ダッシュボードの作成 |
| C.1.2 Backup the Rockwell PanelView™ HMI | C.1.2 Rockwell PanelView™ HMIのバックアップ |
| C.1.3 ForceField Zero Trust Storage | C.1.3 ForceField Zero Trust Storage |
| C.1.4 FactoryTalk® Logs in Windows Event Viewer | C.1.4 Windowsイベントビューアー内のFactoryTalk®ログ |
| C.2 Scenario A: Technical Details – Response | C.2 シナリオA:技術的詳細 – 対応 |
| C.2.1 Dragos Case Creation | C.2.1 Dragosケースの作成 |
| C.2.2 Disconnect WAN from Cisco ISA Firewall | C.2.2 Cisco ISAファイアウォールからのWAN切断 |
| C.2.3 Isolation of HMI | C.2.3 HMIの隔離 |
| C.2.4 Inductive Automation, Data Historian | C.2.4 Inductive Automation、データヒストリアン |
| C.2.5 Rockwell FactoryTalk® Transfer Utility | C.2.5 Rockwell FactoryTalk® 転送ユーティリティ |
| C.2.6 Rockwell Automation FactoryTalk® AssetCentre, Log Review | C.2.6 Rockwell Automation FactoryTalk® AssetCentre、ログの確認 |
| C.2.7 Update Dragos Case | C.2.7 Dragosケースの更新 |
| C.2.8 Remove Virtual Machine from Network | C.2.8 ネットワークからの仮想マシンの削除 |
| C.2.9 Taking Snapshots of VMs | C.2.9 仮想マシンのスナップショット取得 |
| C.2.10 Remove Physical Device from the Network | C.2.10 ネットワークから物理デバイスを削除する |
| C.2.11 Antivirus Scan | C.2.11 ウイルススキャン |
| C.2.12 Search for Malicious File | C.2.12 悪意のあるファイルの検索 |
| C.2.13 Script for Finding Malicious File | C.2.13 悪意のあるファイルを見つけるためのスクリプト |
| C.3 Scenario A: Technical Details – Recovery | C.3 シナリオ A:技術的詳細 – 復旧 |
| C.3.1 Downloading Backups from Authoritative Source | C.3.1 信頼できるソースからのバックアップのダウンロード |
| C.3.2 Restore the HMI | C.3.2 HMIの復元 |
| C.3.3 Close Dragos Ticket | C.3.3 Dragosチケットのクローズ |
| C.4 Scenario B: Technical Details – Preparation | C.4 シナリオB:技術的詳細 – 準備 |
| C.4.1 Configuring Garland to Enable Multiple Detections | C.4.1 Garlandの設定による複数検知の有効化 |
| C.4.2 Creating Graphic Interface in ConsoleWorks | C.4.2 ConsoleWorksでのグラフィカルインターフェースの作成 |
| C.4.3 Creating a Redundant Ignition Instance in AWS | C.4.3 AWSでの冗長Ignitionインスタンスの作成 |
| C.4.4 Creating a Baseline in Dragos | C.4.4 Dragosでのベースラインの作成 |
| C.4.5 Creating a Baseline Policy in Tenable | C.4.5 Tenableでのベースラインポリシーの作成 |
| C.4.6 Creating a Splunk Dashboard for SQL protocol Activity | C.4.6 SQLプロトコルアクティビティ用のSplunkダッシュボードの作成 |
| C.5 Scenario B: Technical Details – Response | C.5 シナリオB:技術的詳細 – 対応 |
| C.5.1 Detection using Splunk Dashboard | C.5.1 Splunkダッシュボードを使用した検知 |
| C.5.2 Analyzing Tenable Alert | C.5.2 Tenableアラートの分析 |
| C.5.3 Analyzing Dragos Deviation Alert | C.5.3 Dragosの逸脱アラートの分析 |
| C.5.4 Dragos Case Management | C.5.4 Dragosのケース管理 |
| C.5.5 Isolate ICS DMZ using ISA3000 | C.5.5 ISA3000を使用したICS DMZの隔離 |
| C.5.6 Disconnect JumpHost VM from Network | C.5.6 JumpHost VMのネットワークからの切断 |
| C.5.7 Take Snapshot of JumpHost VM | C.5.7 JumpHost VMのスナップショットの取得 |
| C.5.8 Isolate Local Database and Historian Gateway | C.5.8 ローカルデータベースおよびヒストリアンゲートウェイの隔離 |
| C.5.9 Validate Redundant AWS Cloud Historian | C.5.9 冗長化された AWS Cloud Historian の妥当性確認 |
| C.5.10 Detecting Large Data Transfer in Dragos | C.5.10 Dragos での大容量データ転送の検知 |
| C.5.11 Detecting Policy Deviation in Tenable | C.5.11 Tenable でのポリシー逸脱の検知 |
| C.5.12 Browsing Packet Captures from Tenable | C.5.12 Tenable からのパケットキャプチャの閲覧 |
| C.5.13 Reviewing ConsoleWorks User Session | C.5.13 ConsoleWorks ユーザーセッションの確認 |
| C.5.14 Disable Compromised Accounts | C.5.14 侵害されたアカウントの無効化 |
| C.6 Scenario B: Technical Details – Recovery | C.6 シナリオ B:技術的詳細 – 復旧 |
| C.7 Scenario C: Technical Details – Preparation | C.7 シナリオ C:技術的詳細 – 準備 |
| C.7.1 Creating Siemens Traffic Detection Policy in Tenable | C.7.1 Tenable での Siemens トラフィック検出ポリシーの作成 |
| C.7.2 Creating Splunk dashboard for unauthorized Siemens traffic | C.7.2 不正な Siemens トラフィック用の Splunk ダッシュボードの作成 |
| C.8 Scenario C: Technical Details – Response | C.8 シナリオ C:技術的詳細 – 対応 |
| C.8.1 View Tags in Data Historian | C.8.1 Data Historian でのタグの表示 |
| C.8.2 Managing Dragos Tickets | C.8.2 Dragos チケットの管理 |
| C.8.3 Isolate ICS Network using SIBERprotect | C.8.3 SIBERprotect を使用した ICS ネットワークの隔離 |
| C.8.4 Viewing policy violations in Tenable | C.8.4 Tenable でのポリシー違反の確認 |
| C.8.5 TIA Portal Diagnostics | C.8.5 TIA Portal の診断 |
| C.8.6 Windows Task Manager | C.8.6 Windows タスク マネージャー |
| C.8.7 Review ConsoleWorks Sessions for User Activity | C.8.7 ユーザーアクティビティに関する ConsoleWorks セッションの確認 |
| C.9 Scenario C: Technical Details – Recovery | C.9 シナリオ C: 技術的詳細 – 復旧 |
| C.9.1 TIA Portal Reinstall | C.9.1 TIA Portalの再インストール |
| C.9.2 Download PLC Backup Program File from ForceField | C.9.2 ForceFieldからのPLCバックアッププログラムファイルのダウンロード |
| C.9.3 Add Password and Restore from Backup with TIA Portal | C.9.3 TIA Portalでのパスワード追加およびバックアップからの復元 |
● まるちゃんの情報セキュリティ気まぐれ日記
SP 800-61関連
・2026.02.02 IPA AIインシデントレスポンス・アプローチ (2025.01.09)
・2025.10.03 米国 NIST IR 8183 Rev. 2 (初期公開ドラフト) サイバーセキュリティ・フレームワーク2.0 製造業プロファイル (2025.09.29)
・2025.04.07 米国 NIST SP 800-61 Rev. 3 サイバーセキュリティリスク管理のためのインシデント対応に関する推奨事項および考慮事項:CSF 2.0 コミュニティプロファイル (2025.04.03)
・2025.01.26 米国 NIST IR 8374 Rev.1(初期公開ドラフト)ランサムウェアのリスクマネジメント: サイバーセキュリティフレームワーク2.0コミュニティ (2025.01.13)
・2024.09.02 米国 CISA サイバー報告の改善に向けた新しいポータルを開設 (2024.08.29)
・2024.04.05 米国 意見募集 NIST SP 800-61 Rev.3(初期公開ドラフト) サイバーセキュリティリスクマネジメントのためのインシデント対応の推奨と考慮事項: CSF 2.0 コミュニティプロファイル
IR 8428
・2022.06.25 米国 NISTIR 8428 運用技術(OT)向けデジタルフォレンジックおよびインシデント対応(DFIR)フレームワーク (2022.06.22)
米国 NIST IR 8500A(初期ドラフト)ブロックチェーンベースのセキュアなソフトウェア資産管理(BloSS@M)(2026.05.19)
こんにちは、丸山満彦です。
NISTがIR 8500A(初期ドラフト)ブロックチェーンベースのセキュアなソフトウェア資産管理(BloSS@M)を公表し、意見募集をしていますね...
現在のシステムは複雑になり、システムを構成するソフトウェアもまたサプライチェーンに依存し、複雑になっている。財弱性管理を含む、ソフトウェア管理の重要性が増している一方で、ソフトウェア資産管理が適切に行えなくなっている。
ということで、連邦政府むけにブロックチェーン技術を活用したソフトウェア資産管理の概念モデル「BloSS@M」を提案しているのがこの文書ということですかね...
このBloSS@Mは、各連邦政府機関が個別に調達・ライセンス管理を行うのではなく、ブロックチェーンを用いてソフトウェアライセンスを共有資産として管理・再配分する「ソフトウェアリースサービス」モデルという感じですかね...
で、パーミッションドブロックチェーン、OSCAL、SWID、MITREフレームワーク等を統合し、
(1) 資産構成の機械可読な可視化と、脆弱性・脅威・ライセンス情報の自動関連付け
(2) 参加組織間でのソフトウェアライセンスの共有・再配分による調達効率化とコスト削減
(3) OSCALを用いた継続的評価(cATO)による、動的環境下でのリスクベース承認の実現
ということを考えているようで、継続的な運用(OSCALとの連携を含め)を非常に意識していると思います。また、調達時における類似製品の価格比較等も可能となるようにし、調達の効率化、コスト削減にも寄与しようとしているようです。
ブロックチェーン技術を使うメリットは、十分な信頼関係が成立していない環境においても共通の記録を維持し、資産情報を検証可能な状態で共有できることですかね...
一方、厳格なアクセス制御や(OSCALを利用した)証拠管理が必要であり、複雑な運用というのが実装にむけたチャレンジという感じですかね...
● NIST - ITL
・2026.05.19 NIST IR 8500A (Initial Public Draft) Blockchain-Based Secure Software Assets Management (BloSS@M)
| NIST IR 8500A (Initial Public Draft) Blockchain-Based Secure Software Assets Management (BloSS@M) | NIST IR 8500A(初期ドラフト)ブロックチェーンベースのセキュアなソフトウェア資産管理(BloSS@M) |
| Announcement | お知らせ |
| NIST Internal Report (IR) 8500A ipd (initial public draft), Blockchain-Based Secure Software Assets Management (BloSS@M), outlines a modernized conceptual approach for transforming how software assets are acquired, tracked, and secured across an interagency ecosystem. | NIST内部報告書(IR)8500A ipd(初期ドラフト)『ブロックチェーンベースのセキュアなソフトウェア資産管理(BloSS@M)』は、省庁間エコシステム全体におけるソフトウェア資産の取得、追跡、および保護の方法を変革するための、近代化された概念的アプローチを概説するものである。 |
| The conceptual approach for BloSS@M was developed in consideration of federal asset inventory and management requirements — including OMB Circular A-130 and OMB M-13-13 — as well as NIST SP 800-37 and SP 800-53 guidelines. BloSS@M establishes a shared infrastructure for software acquisition that promotes asset reuse, eliminates duplicative procurement, and strengthens supply chain security at scale. Its key capabilities include: | BloSS@Mの概念的アプローチは、OMB Circular A-130やOMB M-13-13を含む連邦資産の棚卸しおよび管理要件、ならびにNIST SP 800-37およびSP 800-53のガイドラインを考慮して策定された。BloSS@Mは、資産の再利用を促進し、重複した調達を排除し、大規模なサプライチェーンのセキュリティを強化する、ソフトウェア調達のための共有インフラを確立する。その主な機能は以下の通りだ: |
| ・Federal purchasing power: A consolidated model that reduces redundant spending and increases collective leverage with vendors through government-wide aggregation | ・連邦政府の購買力:政府全体での集約を通じて、重複した支出を削減し、プロバイダに対する集団的な交渉力を高める統合モデル |
| ・Immutable life cycle tracking: Utilizes blockchain’s tamper-resistance to provide a verifiable, continuous record of asset provenance from acquisition to retirement | ・改ざん不可能なライフサイクル追跡:ブロックチェーンの改ざん耐性を活用し、取得から廃棄に至るまでの資産の来歴証明に関する検証可能な継続的な記録を提供する |
| ・Automated vulnerability management: Real-time integration with the National Vulnerability Database (NVD) to continuously surface newly disclosed vulnerabilities associated with deployed assets | ・自動化された脆弱性管理:National Vulnerability Database(NVD)とのリアルタイム統合により、導入済み資産に関連する新たに公開された脆弱性を継続的に特定する |
| ・Machine-processable compliance: Leverages the Open Security Controls Assessment Language (OSCAL) to enable automated risk assessments, continuous monitoring, and scalable life cycle management across heterogeneous environments | ・機械処理可能なコンプライアンス:Open Security Controls Assessment Language(OSCAL)を活用し、異種環境全体での自動リスクアセスメント、継続的なモニタリング、およびスケーラブルなライフサイクル管理を実現する |
| While BloSS@M is optimized for software, where end-to-end automation is most achievable, the approach is architected to support hardware assets when integrated with appropriate physical delivery and retrieval mechanisms. | BloSS@Mは、エンドツーエンドの自動化が最も実現しやすいソフトウェア向けに最適化されているが、適切な物理的な配送・回収メカニズムと統合することで、ハードウェア資産もサポートできるよう設計されている。 |
| Abstract | 概要 |
| The report proposes a conceptual aggregation model for software acquisitions. The proposed approach relies on the immutability and auditability of blockchain technology. The model also enables automated, dynamic queries to the National Vulnerability Database (NVD) to continuously identify newly disclosed vulnerabilities associated with leased software assets. In parallel, the digitization of asset-level security and compliance information using the Open Security Controls Assessment Language (OSCAL) supports machine-readable and tool-consumable risk assessment, continuous monitoring, and life cycle-based risk management workflows. This proposed approach could be utilized for federal software acquisition to enable interagency sharing, reuse, and lifecycle management of software assets. It also has the potential to significantly increase collective purchasing power, reduce duplicative procurements, and strengthen supply chain security and IT asset management practices. | 本報告書は、ソフトウェア調達のための概念的な集約モデルを提案する。提案されたアプローチは、ブロックチェーン技術の不変性と監査可能性に依存している。また、このモデルは、National Vulnerability Database(NVD)への自動的かつ動的なクエリを可能にし、リースされたソフトウェア資産に関連する新たに公開された脆弱性を継続的に識別する。並行して、Open Security Controls Assessment Language(OSCAL)を用いた資産レベルのセキュリティおよびコンプライアンス情報のデジタル化は、機械可読かつツールで処理可能なリスクアセスメント、継続的監視、およびライフサイクルベースのリスクマネジメントワークフローを支援する。この提案されたアプローチは、連邦政府のソフトウェア調達において、ソフトウェア資産の省庁間での共有、再利用、およびライフサイクル管理を可能にするために活用できる。また、集合的な購買力を大幅に高め、重複した調達を減らし、サプライチェーンのセキュリティおよびIT資産管理の実践を強化する可能性も秘めている。 |
・[PDF] IR.8500A.ipd
目次...
| 1. Introduction | 1. 序論 |
| 2. BloSS@M: The Proposed Solution | 2. BloSS@M:提案されるソリューション |
| 2.1. BloSS@M Capabilities | 2.1. BloSS@Mの機能 |
| 2.1.1. Operational Capabilities | 2.1.1. 運用機能 |
| 2.1.2. Technical Capabilities | 2.1.2. 技術的機能 |
| 2.2. Blossom Members ATO | 2.2. BlossomメンバーのATO |
| 3. Leveraged Technologies | 3. 活用技術 |
| 3.1. Blockchain and Next Generation Access Control. | 3.1. ブロックチェーンと次世代アクセス管理 |
| 3.1.1. Permissioned Blockchain | 3.1.1. 許可型ブロックチェーン |
| 3.1.2. Next Generation Access Control | 3.1.2. 次世代アクセス管理 |
| 3.2. Open Security Controls Assessment Language | 3.2. オープン・セキュリティ・コントロールアセスメント言語 |
| 3.3. SWID for Assets Traceability | 3.3. アセットのトレーサビリティのためのSWID |
| 3.4. Asset Security | 3.4. アセットのセキュリティ |
| 3.4.1. Secure Configuration and Controls Satisfaction With OSCAL | 3.4.1. OSCALを用いたセキュアな構成と制御の適合性 |
| 3.4.2. NVD and Assets Vulnerabilities .. | 3.4.2. NVDとアセットの脆弱性 .. |
| 3.4.3. Leveraging MITRE ATT&CK and D3FEND for Software Asset Resilience Assessment | 3.4.3. ソフトウェア・アセットのレジリエンスアセスメントにおけるMITRE ATT&CKおよびD3FENDの活用 |
| 4. Technologies Integration Into Blossom. | 4. Blossomへの技術統合 |
| 4.1. Information Access Control in BloSS@M | 4.1. BloSS@Mにおける情報アクセス管理 |
| 4.2. Onboarding Process | 4.2. オンボーディングプロセス |
| 4.2.1. OSCAL Support for cATO | 4.2.1. cATOに対するOSCALのサポート |
| 5. Use-Case-Driven Walkthrough: End-to-End Application of BloSS@M | 5. ユースケース主導のウォークスルー:BloSS@Mのエンドツーエンド適用 |
| 5.1. Use Case Overview. | 5.1. ユースケースの概要 |
| 5.2. Asset Discovery and Initial Filtering. | 5.2. アセットの発見と初期フィルタリング |
| 5.3. Cost and Leasing Evaluation | 5.3. コストおよびリースアセスメント |
| 5.4. Security Configuration and Control Review | 5.4. セキュリティ構成および制御のレビュー |
| 5.5. Vulnerability and Threat Analysis | 5.5. 脆弱性および脅威の分析 |
| 5.6. Al-Assisted Provisional Assessment. | 5.6. AIを活用した暫定アセスメント |
| 5.7. Selection and Ongoing Monitoring.. | 5.7. 選定および継続的なモニタリング |
| 6. BloSS@M Benefits | 6. BloSS@Mのメリット |
| References | 参考文献 |
2026.06.03
米国 大統領令 先進的人工知能(AI)のイノベーションとセキュリティの推進 (2026.06.02)
こんにちは、丸山満彦です。
先進的AIに関する大統領令が公表されていますね...
AIについても、アメリカファーストですね...
で、規制ではなく自由競争で...
国家安全保障システムや国防総省、連邦政府機関のサイバー防衛を優先するかんじですね...AIサイバーセキュリティの「クリアリングハウス(脆弱性スキャンやパッチ配布を調整する機関)」をCISAに設立すると...
● The White House - News
・2026.06.02 PROMOTING ADVANCED ARTIFICIAL INTELLIGENCE INNOVATION AND SECURITY
| PROMOTING ADVANCED ARTIFICIAL INTELLIGENCE INNOVATION AND SECURITY | 先進的人工知能(AI)のイノベーションとセキュリティの推進 |
| By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered: | 米国憲法および米国法に基づき、大統領として私に付与された権限により、ここに以下の通り命ずる。 |
| Section 1. Purpose. The United States continues to lead the world in Artificial Intelligence (AI) because of the enormous talent and innovation of our AI industry, and because we refuse to stifle this innovation with overly burdensome regulation. My Administration has unleashed tremendous technological growth and economic investment in AI by slashing the bureaucratic constraints that the prior administration placed on America’s AI developers and researchers, and by instead encouraging AI innovation and accelerating responsible AI adoption across government and industry. | 第1条 目的。 米国が人工知能(AI)の分野で世界をリードし続けているのは、わが国のAI産業が持つ膨大な人材と革新力によるものであり、また、過度に負担の大きい規制によってこの革新を阻害することを拒んできたからである。わが政権は、前政権が米国のAI開発者や研究者に課していた官僚的な制約を大幅に撤廃し、その代わりにAIの革新を奨励し、政府および産業界全体における責任あるAIの導入を加速させることで、AI分野における驚異的な技術的成長と経済的投資を解き放ってきた。 |
| Advanced AI capabilities make our Nation stronger, but also introduce new national security considerations that require coordinated action across executive departments and agencies (agencies), and components. As these capabilities evolve, my Administration will continue to work closely with industry to ensure that the best and most secure technology is deployed rapidly to confront any and all threats to our country. We will continue to lead an America First cybersecurity effort that enhances both our national security and our global AI dominance. | 高度なAI能力は我が国をより強固にする一方で、行政部門や機関(エージェンシー)、および構成組織全体での協調的な行動を必要とする新たな国家安全保障上の考慮事項ももたらす。これらの能力が進化するにつれ、わが政権は産業界と緊密に連携し続け、我が国に対するあらゆる脅威に立ち向かうため、最良かつ最も安全な技術が迅速に展開されるよう確保する。我々は、国家安全保障と世界的なAI優位性の両方を強化する「アメリカ・ファースト」のサイバーセキュリティへの取り組みを引き続き主導する。 |
| It is the policy of the United States to promote AI innovation and security by working collaboratively with the private sector to modernize government and private sector information systems and harden them against external threats; to protect American ingenuity and intellectual property from exploitation and theft by adversaries; and to cultivate America’s advanced AI-enabled capabilities. | 米国の方針は、民間セクターと協力して政府および民間セクターの情報システムを近代化し、外部の脅威に対して強固なものとすることで、AIのイノベーションとセキュリティを促進することである。また、敵対者による悪用や窃取から米国の創意工夫と知的財産を防御し、米国の高度なAI活用能力を育成することである。 |
| Sec. 2. Upgrading American Systems for Advanced AI. (a) Within 30 days of the date of this order, the Committee on National Security Systems shall prioritize the cyber defense of National Security Systems, as defined in 44 U.S.C. 3552(b)(6)(A), by taking appropriate and expeditious action consistent with the purpose of this order. | 第2条 高度なAIに向けた米国システムのアップグレード。 (a) 本命令の発令日から30日以内に、国家安全保障システム委員会は、本命令の目的に沿った適切かつ迅速な措置を講じ、合衆国法典第44編第3552条(b)(6)(A)に定義される国家安全保障システムのサイバー防衛を優先するものとする。 |
| (b) Within 30 days of the date of this order, the Secretary of War shall prioritize the cyber defense of Department of War information systems by taking appropriate and expeditious action consistent with the purpose of this order. | (b) 本命令の発令日から30日以内に、陸軍長官は、本命令の目的に沿った適切かつ迅速な措置を講じ、国防総省の情報システムのサイバー防衛を優先的に実施しなければならない。 |
| (c) Within 30 days of the date of this order, the Secretary of Homeland Security, through the Director of the Cybersecurity and Infrastructure Security Agency (CISA), in consultation with the Director of the Office of Management and Budget (OMB), the Assistant to the President for National Security Affairs, and the National Cyber Director, shall release Binding Operational Directives and other guidance as appropriate to: | (c) 本命令の発令日から30日以内に、国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁(CISA)長官を通じ、行政管理予算局(OMB)局長、大統領国家安全保障問題担当補佐官、および国家サイバー長官室と協議の上、以下の目的のために、拘束的運用指令およびその他の適切な指針を公表しなければならない: |
| (i) expedite and prioritize the cyber defense of civilian Federal Government information systems in order to protect our Nation’s vital functions; | (i) わが国の重要機能を防御するため、連邦政府の民間情報システムのサイバー防衛を迅速化し、優先順位を付けること; |
| (ii) establish or expand Federal programs and cybersecurity services that enhance AI-enabled defensive tools; and | (ii) AIを活用した防御ツールを強化する連邦プログラムおよびサイバーセキュリティサービスを確立または拡大すること;および |
| (iii) facilitate access to cybersecurity tools and services including, where appropriate, covered frontier models for agencies, State and local authorities, and operators of critical infrastructure such as rural hospitals, community banks, and local utilities. | (iii) 連邦機関、州および地方自治体、ならびに地方の病院、地域銀行、地方公益事業体などの重要インフラの運営者に対し、サイバーセキュリティツールおよびサービスへのアクセスを促進すること。これには、適切な場合には、対象となるフロンティアモデルを含む。 |
| (d) Within 30 days of the date of this order, the Secretary of the Treasury, in consultation with the National Cyber Director, the Secretary of War, through the Director of the National Security Agency (NSA), and the Secretary of Homeland Security, through the Director of CISA, shall form an AI cybersecurity clearinghouse, in voluntary collaboration with the AI industry and operators of critical infrastructure, that coordinates and deconflicts scanning for software vulnerabilities, discovers and validates such vulnerabilities, and coordinates and prioritizes remediation and distribution of vulnerability patches. | (d) 本命令の発令日から30日以内に、財務長官は国家サイバー担当長官と協議の上、国防長官は国家安全保障局(NSA)局長を通じて、 並びに国土安全保障長官は、CISA長官を通じて、AI業界および重要インフラの運営者と自発的に協力し、ソフトウェアの脆弱性スキャンを調整・調整し、当該脆弱性を発見・妥当性確認し、修正および脆弱性パッチの配布を調整・優先順位付けするAIサイバーセキュリティ・クリアリングハウスを設立しなければならない。 |
| (e) Within 30 days of the date of this order, the Director of OMB, in coordination with the National Cyber Director and the Director of CISA, shall determine whether any Federal grant programs have available and relevant funding that can be directed toward applicants developing advanced AI vulnerability detection. | (e) 本命令の発令日から30日以内に、OMB長官は、国家サイバー長官室およびCISA長官と連携し、高度なAI脆弱性検知技術を開発する申請者に対して充てることができる、利用可能かつ関連性のある資金が連邦助成プログラムに存在するかどうかを判断しなければならない。 |
| (f) Within 60 days of the date of this order, the Director of the Office of Personnel Management shall expand the United States Tech Force Information Cybersecurity Specialist hiring and placement pathways. | (f) 本命令の発令日から60日以内に、人事管理局長官は、米国テックフォース情報サイバーセキュリティ専門家の採用および配置の経路を拡大しなければならない。 |
| Sec. 3. Secure Frontier Model Deployment. Within 60 days of the date of this order, the Secretary of the Treasury, the Secretary of War, through the Director of NSA, and the Secretary of Homeland Security, through the Director of CISA, in consultation with the White House Chief of Staff, through the National Cyber Director, the Assistant to the President for Science and Technology (APST), and the Secretary of Commerce, through the Director of the National Institute of Standards and Technology, and in coordination with other agencies, as appropriate, shall: | 第3条 セキュア・フロンティア・モデルの展開。本命令の発令日から60日以内に、財務長官、国防長官(NSA長官を通じて)、および国土安全保障長官(CISA長官を通じて)は、ホワイトハウス首席補佐官(国家サイバー担当長官を通じて)、大統領科学技術担当補佐官(APST)、 ならびに商務長官は、国立標準技術研究所(NIST)所長を通じて、また必要に応じて他の機関と調整の上、以下の措置を講じなければならない: |
| (a) develop and maintain a classified benchmarking process to assess the advanced cyber capabilities of AI models and determine the threshold at which an AI model should be designated a “covered frontier model” for the purposes of this order, sharing such assessments with AI developers and researchers as appropriate. Such a determination shall be made by the Director of NSA, in consultation with the National Cyber Director, the APST, the Director of CISA, and other representatives of the Department of War, as appropriate. | (a) AIモデルの高度なサイバー能力を評価し、本命令の目的上、AIモデルを「対象フロンティアモデル」として指定すべき閾値を決定するための機密扱いのベンチマークプロセスを策定・維持し、必要に応じて当該アセスメントをAI開発者および研究者と共有すること。 かかる決定は、NSA長官が、国家サイバー担当長官、APST、CISA長官、および必要に応じて国防総省のその他の代表者と協議の上、行うものとする。 |
| (b) design a voluntary framework with AI developers through which developers would be able to: | (b) AI開発者と共に、開発者が以下を行えるような自主的なフレームワークを設計する: |
| (i) engage the Federal Government to determine whether model(s) under development meet the designation of “covered frontier model”; | (i) 開発中のモデルが「対象フロンティアモデル」の指定要件を満たすかどうかを判断するため、政府と協議すること; |
| (ii) provide the Federal Government with access to covered frontier models, subject to appropriate confidentiality, cybersecurity, insider-risk, and intellectual-property protection, use, and nondisclosure requirements, for a period of up to 30 days before they plan to release such models to other trusted partners; and | (ii) 適切な機密保持、サイバーセキュリティ、内部者リスク、および知的財産の保護、利用、非開示の要件を遵守した上で、対象となるフロンティアモデルを、他の信頼できるパートナーに公開する予定の日から最大30日前に、連邦政府に提供すること;および |
| (iii) collaborate with the Federal Government to select trusted partners that will have early access to covered frontier models to promote secure innovation and strengthen the cybersecurity of critical infrastructure. | (iii) 安全なイノベーションを促進し、重要インフラのサイバーセキュリティを強化するため、対象となるフロンティアモデルに早期アクセスできる信頼できるパートナーを選定するよう、連邦政府と協力すること。 |
| (c) Nothing in this section shall be construed to authorize the creation of a mandatory governmental licensing, preclearance, or permitting requirement for the development, publication, release, or distribution of new AI models, including frontier models. | (c) 本節のいかなる規定も、フロンティアモデルを含む新たなAIモデルの開発、公表、公開、または配布に対する、政府による強制的なライセンス、事前承認、または許可要件の創設を認可しない。 |
| Sec. 4. Protection Against Criminal Actors. The Attorney General shall prioritize the enforcement of 18 U.S.C. 1028, 18 U.S.C. 1030, 18 U.S.C. 1343, and all other applicable Federal criminal laws against anyone who utilizes AI to illegally access or damage a computer without authorization, or who utilizes AI while engaged in such illegal access to further any other crime. This includes breaching any public or private information technology system, or employing AI agents to unlawfully access data or information that is subsequently used for a criminal or unlawful purpose. | 第4条 犯罪者に対する防御。 司法長官は、AIを利用して無断でコンピュータに違法にアクセスし、または損害を与える者、あるいはそのような違法なアクセスに従事する際にAIを利用してその他の犯罪を助長する者に対し、合衆国法典第18編第1028条、第1030条、第1343条、およびその他すべての適用法の執行を優先するものとする。 これには、公的または私的な情報技術システムへの侵入、あるいはAIエージェントを用いてデータや情報に不法にアクセスし、その後、犯罪的または違法な目的のために使用することが含まれる。 |
| Sec. 5. General Provisions. (a) Nothing in this order shall be construed to impair or otherwise affect: | 第5条 一般規定 (a) 本命令のいかなる規定も、以下を損なうもの、またはその他の方法で影響を及ぼすものと解釈してはならない。 |
| (i) the authority granted by law to an executive department or agency, or the head thereof; or | (i) 法律により行政部門、行政機関、またはその長に付与された権限、または |
| (ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. | (ii) 予算、行政、または立法上の提案に関する行政管理予算局長の機能。 |
| (b) This order shall be implemented consistent with applicable law and subject to the availability of appropriations. | (b) 本命令は、適用法に従い、かつ予算の確保を条件として実施されるものとする。 |
| (c) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. | (c) 本命令は、いかなる当事者も、米国、その省庁、機関、または事業体、その職員、従業員、代理人、またはその他の者に対して、法または衡平法に基づき執行可能な、実体法上または手続法上のいかなる権利または利益も創設することを意図しておらず、また創設するものではない。 |
| (d) The costs for publication of this order shall be borne by the Department of War. | (d) 本命令の公布にかかる費用は、陸軍省が負担する。 |
| DONALD J. TRUMP | ドナルド・J・トランプ |
| THE WHITE HOUSE, | ホワイトハウス、 |
| June 2, 2026. | 2026年6月2日。 |
・2026.06.02 Fact Sheet: President Donald J. Trump Promotes Advanced Artificial Intelligence Innovation and Security
| Fact Sheet: President Donald J. Trump Promotes Advanced Artificial Intelligence Innovation and Security | ファクトシート:ドナルド・J・トランプ大統領、先進的人工知能(AI)のイノベーションとセキュリティを推進 |
| PROMOTING AMERICAN AI INNOVATION AND SECURITY: Today, President Donald J. Trump signed an Executive Order to advance American artificial intelligence (AI) innovation to strengthen America’s cybersecurity, protect critical infrastructure, and ensure the United States remains the global leader in AI innovation. | 米国のAIイノベーションとセキュリティの推進:本日、ドナルド・J・トランプ大統領は、米国のサイバーセキュリティを強化し、重要インフラを防御し、米国がAIイノベーションにおける世界的なリーダーであり続けることを確保するため、米国のAIイノベーションを推進する大統領令に署名した。 |
| ・The Order directs appropriate agencies to prioritize the cyber defense of National Security Systems, Department of War information systems, and civilian Federal government information systems. | ・本大統領令は、関係機関に対し、国家安全保障システム、国防総省の情報システム、および民間連邦政府の情報システムのサイバー防衛を優先するよう指示する。 |
| ・This includes the Secretary of Homeland Security, in consultation with the Director of the Office of Management and Budget, the Assistant to the President for National Security Affairs, and the National Cyber Director, issuing binding operational directives and other guidance to facilitate access to AI-enabled cybersecurity tools and services for Federal agencies, State and local authorities, and operators of critical infrastructure, including rural hospitals, community banks, and local utilities. | ・これには、国土安全保障長官が、行政管理予算局局長、大統領国家安全保障問題担当補佐官、および国家サイバー長官室と協議の上、連邦機関、州および地方自治体、ならびに地方の病院、地域銀行、地方公益事業体を含む重要インフラの運営者に対し、AIを活用したサイバーセキュリティツールやサービスへのアクセスを促進するための拘束的運用指令やその他の指針を発出することが含まれる。 |
| ・The Order establishes an AI cybersecurity clearinghouse, in voluntary coordination with the AI industry and critical infrastructure operators, to identify and remediate software vulnerabilities at scale. | ・本大統領令は、AI業界および重要インフラ運営者と自発的に連携し、ソフトウェアの脆弱性を大規模に特定・是正するためのAIサイバーセキュリティ情報共有拠点を設立する。 |
| ・The Order directs the Office of Management and Budget and the Office of Personnel Management to identify funding opportunities for advanced AI cybersecurity capabilities and expand Federal cybersecurity hiring and placement pathways. | ・本大統領令は、行政管理予算局および人事管理局に対し、高度なAIサイバーセキュリティ能力のための資金調達機会を識別し、連邦政府におけるサイバーセキュリティ人材の採用および配置経路を拡大するよう指示する。 |
| ・The Order calls for the development of a classified benchmarking process against which industry may assess their models for advanced AI cyber capabilities, identifying covered frontier models. | ・本大統領令は、業界が自社のモデルを高度なAIサイバー能力の観点からアセスメントし、対象となる最先端モデルを識別するための、機密扱いのベンチマークプロセスの策定を求めている。 |
| ・The Order directs the Federal government to establish a voluntary framework in collaboration with AI developers regarding covered frontier models, which would provide the Federal government with secure early access for trusted partners to strengthen cybersecurity and promote secure innovation. | ・本大統領令は、連邦政府に対し、対象となる最先端モデルに関してAI開発者と協力して自主的なフレームワークを確立するよう指示している。これにより、連邦政府は信頼できるパートナーに対して安全な早期アクセス権を提供し、サイバーセキュリティを強化するとともに、安全なイノベーションを促進することになる。 |
| ・The Order expressly states that nothing shall be construed to authorize creation of any mandatory governmental licensing, pre-clearance, or permitting requirement for the development, publication, release or distribution of AI models. | ・本大統領令は、AIモデルの開発、公表、公開、または配布に関して、政府による強制的なライセンス、事前承認、または許可要件の創設を認可してはならないことを明示している。 |
| ・The Order directs the Attorney General to prioritize enforcement against individuals who use AI to illegally access or damage computer systems, steal data, or facilitate other criminal activity. | ・本大統領令は、AIを利用してコンピュータシステムに違法にアクセスしたり損害を与えたり、データを盗んだり、その他の犯罪活動を助長したりする個人に対する取り締まりを優先するよう、司法長官に指示している。 |
| STRIKING THE RIGHT BALANCE BETWEEN INNOVATION AND SECURITY: President Trump believes America must lead the world in AI without burdening innovators with unnecessary regulation. | イノベーションとセキュリティの適切なバランス: トランプ大統領は、不必要な規制でイノベーターに負担をかけることなく、米国がAI分野で世界をリードすべきだと考えている。 |
| ・Unlike the Biden Administration’s top-down regulatory approach, President Trump is working hand-in-hand with American industry to strike the right balance between innovation and national security. | ・バイデン政権のトップダウン型の規制アプローチとは異なり、トランプ大統領は米国産業界と緊密に連携し、イノベーションと国家安全保障の適切なバランスを図っている。 |
| ・President Trump recognizes that America’s private sector leads the world in AI innovation and that government should partner with innovators – not stifle them. | ・トランプ大統領は、米国の民間セクターがAIイノベーションにおいて世界をリードしていることを認識しており、政府はイノベーターを抑制するのではなく、彼らと協力すべきだと考えている。 |
| ・As AI capabilities increase, new cyber and national security considerations emerge that require coordinated action between the Federal government and the private sector. | ・AIの能力が高まるにつれ、連邦政府と民間セクターの協調的な行動を必要とする、新たなサイバーセキュリティおよび国家安全保障上の課題が生じている。 |
| ・The United States must protect American ingenuity, intellectual property, and critical systems from exploitation and cyberattacks by adversaries. | ・米国は、敵対勢力による悪用やサイバー攻撃から、米国の独創性、知的財産、および重要インフラを防御しなければならない。 |
| ・President Trump and his Administration are not in the business of picking winners and losers. This Administration has one goal: ensure the best and safest tech is deployed rapidly to defeat any and all threats. | ・トランプ大統領とその政権は、勝者と敗者を選別するようなことはしない。この政権には一つの目標がある。それは、あらゆる脅威を打ち負かすために、最良かつ最も安全な技術が迅速に展開されることを確実にすることだ。 |
| ・Protecting American ingenuity and critical infrastructure requires the full power of both the public and private sectors working together, and President Trump’s common-sense, America First approach will ensure the United States continues to dominate globally. | ・米国の独創性と重要インフラを防御するには、官民双方の全力を結集して協力することが必要であり、トランプ大統領の常識的な「アメリカ・ファースト」のアプローチにより、米国が世界的に優位性を維持し続けることが保証される。 |
| LEADING THE WORLD IN INNOVATION AND CYBERSECURITY: President Trump is the most forward leaning President on innovation in American history. | イノベーションとサイバーセキュリティにおける世界のリーダー:トランプ大統領は、米国史上最もイノベーションに前向きな大統領である。 |
| ・Immediately upon returning to office, President Trump eliminated the Biden Administration’s overreaching and harmful AI policies, unleashing a new era of innovation. | ・再任直後、トランプ大統領はバイデン政権の行き過ぎた有害なAI政策を撤廃し、イノベーションの新時代を切り開いた。 |
| ・In July 2025, President Trump released his AI Action Plan, which called for examining and removing onerous regulations that hinder America’s ability to lead in this key technology. | ・2025年7月、トランプ大統領はAI行動計画を発表し、この重要技術における米国の主導力を阻害する過度な規制の検討と撤廃を求めた。 |
| ・In July 2025, he signed an Executive Order preventing the Federal government from using AI models that include ideological biases or social agendas. | ・2025年7月、彼は、イデオロギー的なバイアスや社会的アジェンダを含むAIモデルを政府が使用することを禁止する大統領令に署名した。 |
| ・In December 2025, he signed an Executive Order to protect American AI innovation from an inconsistent and costly compliance regime resulting from varying State laws. | ・2025年12月、彼は、州ごとの法律の相違に起因する一貫性を欠き、コストのかかるコンプライアンス体制から米国のAIイノベーションを防御するための大統領令に署名した。 |
| ・In March 2026, President Trump released his National Cyber Strategy for America, which outlines his priorities for ensuring that America remains unrivaled in cyberspace, calling for unprecedented coordination across government and the private sector to invest in the best technologies and continue world-class innovation, and to make the most of America’s cyber capabilities for both offensive and defensive missions. | ・2026年3月、トランプ大統領は「米国のための国家サイバー戦略」を発表した。同戦略は、米国がサイバー空間において比類なき地位を維持するための優先事項を概説し、政府と民間部門の未曾有の連携を通じて最先端技術への投資と世界最高水準のイノベーションを継続し、攻撃・防御双方の任務において米国のサイバー能力を最大限に活用するよう求めている。 |
| ・In March 2026, President Trump unveiled his comprehensive national legislative framework that addresses the most pressing policy topics that AI presents. | ・2026年3月、トランプ大統領は、AIが提起する最も差し迫った政策課題に対処する包括的な国家立法フレームワークを発表した。 |
| ・Today’s Executive Order advances President Trump’s ongoing effort to position the United States as the global leader in AI, cybersecurity, and next-generation technologies. | ・本日の大統領令は、AI、サイバーセキュリティ、次世代技術において米国を世界のリーダーとして位置づけるという、トランプ大統領の継続的な取り組みを推進するものである。 |
¥中国 人工知能アプリケーションの倫理・安全ガイドライン 1.0 (2026.05.22)
こんにちは、丸山満彦です。
中国のTC260が、人工知能アプリケーションの倫理・安全ガイドライン 1.0 を公表していますね...
この文書は、AIの応用における倫理的・安全上の影響を提示し、AI応用の倫理的・安全上の理念と原則を提唱し、AIアプリケーションの開発、サービスの提供、および利用に関する安全指針を規定するものということのようです...
| 《人工智能应用伦理安全指引1.0》发布 | 『人工知能応用倫理・安全ガイドライン1.0』を発表 |
| 5月19日,在2026年中国网络文明大会人工智能赋能网络文明建设分论坛上,全国网络安全标准化技术委员会(以下简称“网安标委”)发布了《人工智能应用伦理安全指引1.0》(以下简称《指引》)。 | 5月19日、2026年中国ネットワーク文明大会の「人工知能によるネットワーク文明建設の促進」分科会において、全国サイバーセキュリティ標準化技術委員会(以下、「網安標委」)は『人工知能応用倫理・安全ガイドライン1.0』(以下、『ガイドライン』)を発表した。 |
| 为进一步引导人工智能应用坚持以人为本、智能向善,推动人工智能应用相关方正确认识和妥善应对应用活动中的伦理安全影响,促进人工智能应用在规范有序、安全可控的轨道上健康发展,《指引》给出了人工智能应用伦理安全理念与原则,明确了人工智能应用开发、服务提供和应用使用等安全指引。 | 人工知能(AI)の応用において「人間中心」の理念を堅持し、AIが善のために活用されるようさらに導くとともに、AI応用関係者が応用活動における倫理・安全への影響を正しく認識し適切に対処するよう促し、規範的かつ秩序ある、安全で管理可能な軌道の上でAI応用の健全な発展を促進するため、『指針』はAI応用の倫理・安全に関する理念と原則を示し、AI応用の開発、サービス提供、利用などに関する安全指針を明確にした。 |
| 网安标委秘书处相关负责同志表示,《指引》的发布,正是对引导人工智能应用尊重人的主体地位、维护公平正义、保障合法权益、促进社会信任,推动人工智能技术始终朝着有益、安全、公平方向发展这一时代课题的积极回应,体现了人工智能治理坚持积极稳妥、开放包容、协同共治的实践导向,也体现了网络文明建设对人工智能时代技术向善、价值引领和秩序塑造的主动回应。 | サイバーセキュリティ標準化委員会の事務局関係責任者は、「指針」の発表は、AIの応用において人の主体的地位を尊重し、公平と正義を守り、合法的権益を保障し、社会的信頼を促進するとともに、AI技術が常に有益かつ安全で公平な方向へと発展するよう導くという時代の課題に対する積極的な対応であり、AIガバナンスが積極的かつ着実で、 開放・包容、協調・共治という実践志向を堅持していることを体現しており、また、ネットワーク文明の建設が、AI時代の「技術による善」、価値のリード、秩序の形成に対して能動的に応えていることも示している。 |
・[PDF]《人工智能应用伦理安全指引1.0》
・2026.05.22 一图读懂|TC260-005《人工智能应用伦理安全指引1.0》
中国 インターネット誠実性発展報告(2026)(2026.05.22)
こんにちは、丸山満彦です。
中国の国家サイバースペース管理局が、インターネット誠実性発展報告書2026を公表しています...
技術は、それを支える信頼無くして発展することはないという考えに党の精神をまぶした感じでしょうか?
党・政府だけでの統治は無理なので、民間も協力して対応をしていくという感じですかね...(ある意味官民連携ですが、官と民が対等か...というところはありますかね...)
最終的には、技術、制度、文化を総合して、あるべき社会を作るという感じですかね...
ただ、表向きに考えている内容は至極まっとうですね...
・2026.05.22 中国网络社会组织联合会正式发布《中国网络诚信发展报告(2026)》
| 中国网络社会组织联合会正式发布《中国网络诚信发展报告(2026)》 | 中国インターネット社会組織連合会が『中国インターネット誠信発展報告(2026)』を正式に発表した |
| 5月20日, 2026年中国网络文明大会互联网企业社会责任分论坛在广西南宁举行,中国网络社会组织联合会正式发布《中国网络诚信发展报告(2026)》(以下简称《报告》)。《报告》以习近平总书记关于网络强国的重要思想为根本遵循,系统总结网络诚信建设的内涵演变、基本特征、治理理念,全面梳理2025年我国网络诚信建设的丰硕成果与突破进展。这是中网联连续编写发布的第六份年度《中国网络诚信发展报告》。 | 5月20日、2026年中国インターネット文明大会の「インターネット企業の社会的責任」分科会が広西チワン族自治区南寧市で開催され、中国インターネット社会組織連合会は『中国インターネット誠信発展報告(2026)』(以下、『報告』)を正式に発表した。『報告書』は、習近平総書記の「ネット強国」に関する重要思想を根本的な指針とし、ネット誠信建設の内実の変遷、基本的特徴、ガバナンス理念を体系的に総括するとともに、2025年のわが国のネット誠信建設における豊かな成果と画期的な進展を全面的に整理した。これは中国インターネット社会組織連合会が連続して作成・発表した6回目の年次『中国ネット誠信発展報告書』である。 |
| 今年《报告》分为正文和附录两大部分,正文部分包括政策理论、主体实践、重点专题、发展建议共4大篇章。附录部分包括2025年中国网络诚信十件大事、2025年网络诚信建设工作案例。 | 今年の『報告書』は本文と付録の2つの主要部分に分かれており、本文部分には政策理論、主体の実践、重点テーマ、発展提言の計4つの章が含まれている。付録部分には、2025年の中国インターネット誠信に関する10大出来事、2025年のインターネット誠信構築の事例が含まれている。 |
| 报告研究认为,2025年,国家从法规制度层面大力推进网络诚信建设,中央网信办、国家市场监管总局等有关部门,印发互联网平台价格行为规则、直播电商监督管理、人脸识别技术应用安全等制度文件,深入开展整治AI技术滥用、自媒体乱象等“清朗”系列专项行动,督促指导网站平台压实主体责任,推动网络诚信建设稳步推进、成效显著,呈现多元协同与责任明晰相统一、虚拟治理与现实赋能相统一、法治约束与文化浸润相统一、动态治理与前瞻防控相统一的鲜明特征。 | 報告書の分析によると、2025年、国は法規・制度の面からインターネット誠実性構築を強力に推進した。国家インターネット情報弁公室、国家市場監督管理総局などの関係部門は、インターネットプラットフォームの価格行動規則、ライブコマースの監督管理、顔認識技術の応用安全などに関する制度文書を発行し、AI技術の乱用や自メディアの乱象などを是正する「清朗」シリーズ特別行動を深く展開した。また、ウェブサイトやプラットフォームに対し主体責任の徹底を促し、指導することで、インターネット誠実性構築を着実に推進し、顕著な成果を上げた。多元的な協調と責任の明確化の統一、仮想ガバナンスと現実へのエンパワーメントの統一、法治による制約と文化による浸透の統一、動的ガバナンスと先見的な予防・抑制の統一という鮮明な特徴を示している。 |
| 据了解,《报告》与往年相比,既有传承,也有创新,主要呈现三个特点: | 情報によると、『報告書』は例年と比較して、継承と革新の両面を持ち、主に以下の3つの特徴を示している: |
| 一是守正创新,进一步丰富网络诚信建设的理论体系。立足我国互联网发展治理实践,《报告》研究提出,从基础诚信向协同诚信、全域诚信的发展过程中,网络诚信从技术约束、制度规范向全面治理、高质量发展演进,形成坚持党的领导、坚持以人为本、坚持良法善治、坚持系统观念、坚持创新驱动的治理理念。 | 第一に、正道を守りつつ革新を図り、ネット誠実性構築の理論体系をさらに充実させる。中国のインターネット発展・ガバナンスの実践に基づき、『報告書』は、基礎的な誠実性から協調的誠実性、全域的誠実性へと発展する過程において、ネット誠実性が技術的制約や制度的規範から、全面的なガバナンスと質の高い発展へと進化し、党の指導の堅持、人間本位の堅持、良法善治の堅持、システム的観念の堅持、イノベーション駆動の堅持というガバナンス理念を形成したと提言している。 |
| 二是立足实践,全面呈现多元主体参与网络诚信建设的经验成效。《报告》总结展示各地各部门、行业组织、各类企业、广大网民等多元主体参与诚信文化传播、城市文明建设、科技向善赋能、行业自律规范等方面的有益探索与成熟经验,具体体现了各类主体加强网络诚信建设的生动实践。《报告》记录2025年中国网络诚信建设各领域的十件大事,标注年度工作的重要成果。 | 第二に、実践に立脚し、多様な主体がインターネット誠信建設に参加した経験と成果を全面的に提示している。「報告書」は、各地の各部門、業界団体、各種企業、広範なネットユーザーなど、多様な主体が誠信文化の普及、都市文明の建設、テクノロジーによる善への貢献、業界の自主規制などの面で行った有益な模索と成熟した経験を総括・展示しており、各主体によるインターネット誠信建設の強化に向けた生きた実践を具体的に体現している。「報告書」は、2025年の中国におけるインターネット誠信建設の各分野における10大出来事を記録し、年間の取り組みにおける重要な成果を明記している。 |
| 三是紧扣热点,深入剖析重点领域风险挑战及对策建议。结合新技术发展动向、社会大众关心热点,《报告》以专题形式深度剖析网络谣言治理、人工智能+医疗服务、互联网金融、数字文旅、网络公益等重点领域工作经验与共性难题,分析指出网络诚信建设面临新技术衍生失信问题、网上网下协同治理难度加大、信用评价标准体系不统一等风险挑战,提出规范新技术新应用管理、深化跨域联动合作、凝聚多方合力等对策建议。 | 第三に、注目すべき話題に焦点を当て、重点分野におけるリスクや課題、および対策案を深く分析する。新技術の発展動向や社会一般の関心事と結びつけ、 本報告書は特集形式で、ネット上のデマ対策、AIを活用した医療サービス、インターネット金融、デジタル文化観光、ネット公益活動などの重点分野における実務経験と共通の課題を深く分析している。また、ネット誠信建設が直面する、新技術に起因する信用失墜問題、オンライン・オフラインの連携によるガバナンスの難度増大、信用評価標準体系の不統一といったリスクと課題を指摘し、新技術・新アプリケーションの管理規範化、領域横断的な連携協力の深化、多方面の協力の結集といった対策案を提示している。 |
| 《报告》的发布,着力于打造网络诚信建设成果交流展示平台,力求为社会各界了解我国网络诚信建设发展状况提供参考借鉴。 | 本『報告書』の発表は、ネット上の信用構築の成果を交流・展示するプラットフォームの構築に重点を置き、社会各界がわが国のネット上の信用構築の発展状況を理解するための参考となることを目指している。 |
・中国网络诚信发展报告(2026)
・[PDF]
目次...
| 第一章 政策理论:网络诚信的理论体系 | 第1章 政策理論:インターネット誠実性の理論体系 |
| 一、网络诚信的内涵演变 | 一、ネット誠実性の内実の変遷 |
| (一)基础诚信 | (一)基礎的誠実性 |
| (二)协同诚信 | (二)協調的誠実性 |
| (三)全域诚信 | (三)全域的誠実性 |
| 二、2025 年网络诚信建设的基本特征 | 二、2025 年のネット誠実性構築の基本的特徴 |
| (一)多元协同与责任明晰相统一:多方参与、共建共享 | (一)多元的協調と責任の明確化の統一:多方面の参加、共同建設・共有 |
| (二)虚拟治理与现实赋能相统一:线上线下、深度融合 | (二)仮想ガバナンスと現実のエンパワーメントの統一:オンラインとオフラインの深い融合 |
| (三)法治约束与文化浸润相统一:刚性保障、柔性引领 | (三)法治による制約と文化による浸透の統一:強固な保障、柔軟な導き |
| (四)动态治理与前瞻防控相统一:与时俱进、精准适配 | (四)動的ガバナンスと先見的な予防・管理の統一:時代とともに進歩し、的確に適応する |
| 三、网络诚信建设的治理理念 | 三、インターネット上の誠実性構築におけるガバナンス理念 |
| (一)坚持党的领导,把握网络诚信建设的正确方向 | (一)党の指導を、インターネット上の誠実性構築の正しい方向性を |
| (二)坚持以人为本,顺应为民惠民利民的迫切需求 | (二)人間本位を堅持し、国民のため、国民の利益となるという切実なニーズに応える |
| (三)坚持良法善治,筑牢网络诚信建设的法治根基 | (三)良法善治を堅持し、インターネット上の信用構築における法治の基盤を強 |
| (四)坚持系统观念,构建线上线下协同的治理体系 | (四)システム的思考を堅持しオンラインとオフラインが連携するガバナンス体制を |
| (五)坚持创新驱动,提升网络诚信建设的治理效能 | (五)イノベーション主導を堅持し、インターネット上の信用構築におけるガバナンスの効率性を |
| 第二章 主体实践:多元协同的实践经验 | 第2章 主体の実践:多元的協働の実践経験 |
| 一、政府监管实践:精准与协同治理推进 | 一、政府の監督管理の実践:的確かつ協調的なガバナンスの推進 |
| (一)治理模式创新:精准治理重点领域失信问题 | (一)ガバナンスモデルの革新:重点分野における信用失墜問題への的確なガバナンス |
| (二)跨域治理实践:多方协同联动强化监管合力 | (二)域を跨ぐガバナンスの実践:多者間の連携による監督の相乗効果の強化 |
| 二、平台主体履责:治理能力与机制升级 | 二、プラットフォーム主体の責任履行:ガバナンス能力とメカニズムの高度化 |
| (一)强化主体责任,完善内部诚信规范机制 | (一)主体責任の強化、内部誠実規範メカニズムの |
| (二)创新治理模式,提升失信行为处置效能 | (二)ガバナンスモデルの革新:信用失墜行為への対応効率の向上 |
| 三、社会协同参与:多元力量赋能与联动 | 三、社会の協働参加:多様な力の活用と連携 |
| (一)行业组织引领:行业自律规范的制定与推广实践 | (一)業界団体の主導:業界の自主規制規範の策定と普及の実践 |
| (二)公众监督赋能:公众监督的渠道建设与实践成效 | (二)公衆による監督の活性化:公衆監督のチャネル構築と実践成果 |
| 四、人工智能信任:技术风控与诚信共建 | 四、人工知能への信頼:技術によるリスク管理と誠実な協力体制の構築 |
| (一)强化技术合规风控,筑牢可信运行底层支撑 | (一)技術的コンプライアンス・リスク管理、信頼できる運用の基盤を |
| (二)深化社会信任培育,构建全域协同诚信生态 | (二)社会的信頼の醸成を深化させ、全領域にわたる協調的な誠実なエコシステムを |
| 第三章 重点专题:关键领域的探索研究 | 第3章 重点テーマ:重要分野における探索的研究 |
| 一、网络谣言治理:构建风清气正的网络生态 | 一、ネットデマ対策:健全で公正なネット環境の |
| (一)网络谣言治理成效 | (一)ネットデマ対策の成果 |
| (二)网络谣言治理面临的突出问题 | (二)ネットデマ対策が直面する顕著な問題 |
| (三)网络谣言治理的优化建议 | (三)ネットデマ対策の最適化に関する提言 |
| 二、人工智能+医疗服务:规范数字化服务的诚信底线 | 二、AI+医療サービス: デジタルサービスの誠実性の基準を規範化する |
| (一)人工智能+互联网医疗网络诚信的政策环境 | (一)人工知能+ インターネット医療におけるネットワーク誠実性の政策環境 |
| (二)人工智能+互联网医疗的发展现状分析 | (二)人工知能+ インターネット医療の発展状況の分析 |
| (三)人工智能+互联网医疗网络诚信的实践经验 | (三)人工知能+ インターネット医療におけるネットワーク誠実性の実践経験 |
| (四)人工智能+互联网医疗网络诚信建设的政策建议 | (四)人工知能+ インターネット医療におけるネットワーク誠実性構築のための政策提言 |
| 三、互联网金融:守护金融消费的诚信生态 | 三、インターネット金融:金融消費における誠実な環境の維持 |
| (一)互联网金融诚信监管发展成效 | (一)インターネット金融における誠実性監督の成果 |
| (二)互联网金融诚信现存突出问题 | (二)インターネット金融における誠実性に関する現状の顕著な問題 |
| (三)互联网金融诚信治理建议 | (三)インターネット金融における誠実性ガバナンスに関する提言 |
| 四、数字文旅:夯实文旅融合的诚信基础 | 四、デジタル文化観光:文化と観光の融合における誠実な基盤の |
| (一)数字文旅发展成效 | (一)デジタル文化観光の発展成果 |
| (二)数字文旅突出问题 | (二)デジタル文化観光の顕著な問題 |
| (三)数字文旅治理建议 | (三)デジタル文化観光のガバナンスに関する提言 |
| 五、网络公益:筑牢公益慈善的网络诚信防线 | 五、ネット公益:公益・慈善活動のネット上の誠実性の防衛線を強固にする |
| (一)网络公益发展成效 | (一)ネット公益の発展成果 |
| (二)网络公益突出问题 | (二)オンライン公益の顕著な問題 |
| (三)网络公益发展治理建议 | (三)オンライン公益の発展に関するガバナンスの提言 |
| 第四章发展建议:提质增效的优化路径 | 第4章 発展に向けた提言:質と効率の向上に向けた最適化の道筋 |
| 一、风险挑战 | 一、リスクと課題 |
| (一)新技术新应用衍生风险与防控难点 | (一)新技術・新アプリケーションに起因するリスクと予防・管理の難点 |
| (二)跨域网络诚信治理的协同联动难题 | (二)領域横断的なネット上の信用ガバナンスにおける連携の難題 |
| (三)长效治理机制的短板与适配性不足 | (三)長期的ガバナンス体制の課題と適合性の欠如 |
| 二、发展建议 | 二、発展に向けた提言 |
| (一)规范新技术新应用管理,化解技术带来的 | (一)新技術・新用途の管理を規範化し技術がもたらす問題を |
| (二)健全跨域联动机制,提升多维度协同治理效能 | (二)領域横断的な連携メカニズムを多角的な協調ガバナンスの効力を |
| (三)凝聚多方合力,促进网上网下诚信有机融合 | (三)多方面の協力を結集し、オンラインとオフラインの誠実性の有機的な融合を促進する |
2026.06.02
中国 2026年人工知能技術を活用したサイバーセキュリティ応用テストに関する公告 (2026.05.18)
こんにちは、丸山満彦です。
中国の国家サイバースペース管理局が、実戦的な競争を通じて、サイバーセキュリティ分野におけるAIの“即戦力”を評価・発掘・育成するためのコンテストを実施するようですね...
- 実力あるAI製品・チームの発掘
- 重要インフラの防御力強化
- AIセキュリティの産業エコシステム形成
が狙いというかんじですかね...
興味深い取り組みだと思います...日本でもすればよいのにね...
・2026.05.18 2026年人工智能技术赋能网络安全应用测试公告
| 2026年人工智能技术赋能网络安全应用测试公告 | 2026年人工知能技術を活用したサイバーセキュリティ応用テストに関する公告 |
| 为推动人工智能技术在网络安全领域的赋能应用、挖掘高应用价值网络安全业务场景、遴选优秀的人工智能技术产品,提高重要行业领域网络安全防护水平、促进网络安全科技创新,深化人工智能赋能网络安全治理,组织开展2026年人工智能技术赋能网络安全应用测试活动。 | サイバーセキュリティ分野における人工知能技術の活用を推進し、高い応用価値を持つサイバーセキュリティ業務シナリオを発掘し、優れた人工知能技術製品を選定するとともに、重要産業分野のサイバーセキュリティ防御レベルを向上させ、サイバーセキュリティ技術革新を促進し、人工知能を活用したサイバーセキュリティガバナンスを深化させるため、2026年人工知能技術を活用したサイバーセキュリティ応用テストを実施する。 |
| 一、组织单位 | 一、主催機関 |
| 指导单位:中央网信办网络安全协调局、最高人民法院审管办、教育部科学技术与信息化司、工业和信息化部网络安全管理局、公安部科技信息化局、人力资源社会保障部网信办、自然资源部网信办、交通运输部科技司、商务部电子商务司、中国人民银行科技司、海关总署科技发展司、广电总局安全传输保障司、国家统计局办公室、中国科学院科技基础能力局、国家能源局电力安全监管司、中国民航局人事科教司 | 指導機関:国家インターネット情報弁公室サイバーセキュリティ調整局、最高人民法院審理管理弁公室、教育部科学技術・情報化司、 工業情報化部サイバーセキュリティ管理局、公安部科学技術情報化局、人力資源社会保障部インターネット情報化弁公室、自然資源部インターネット情報化弁公室、交通運輸部科学技術司、商務部電子商取引司、中国人民銀行科学技術司、税関総署科学技術発展司、国家広播電視総局安全伝送保障司、国家統計局弁公室、中国科学院科学技術基礎能力局、国家エネルギー局電力安全監督管理司、中国民用航空局人事科学教育司 |
| 主办单位:国家互联网应急中心 | 主催:国家インターネット緊急対応センター |
| 联合主办单位:中国科学院信息工程研究所、国家信息技术安全研究中心、山东广播电视台 | 共同主催:中国科学院情報工学研究所、国家情報技術安全研究センター、山東放送テレビ局 |
| 协办单位:中国司法大数据研究院、人力资源社会保障部信息中心、长江三峡通航管理局、中国金融电子化集团有限公司、中国工商银行、国家统计局数据管理中心、中国大唐集团有限公司、国家电力投资集团、中国国际航空股份有限公司、天津滨海国际机场、中关村实验室、长安通信科技有限责任公司 | 協賛:中国司法ビッグデータ研究院、人力資源社会保障部情報センター、長江三峡通航管理局、中国金融電子化集団有限公司、中国工商銀行、国家統計局データ管理センター、中国大唐集団有限公司、国家電力投資集団、中国国際航空株式会社、天津浜海国際空港、中関村実験室、長安通信科技有限責任会社 |
| 技术支持单位:华为技术有限公司 | 技術支援:ファーウェイ・テクノロジーズ株式会社 |
| 二、测试场景设置 | 二、テストシナリオの設定 |
| 共设置8个测试场景,包括AI驱动攻击的网络安全智能防御、网络系统及源代码漏洞智能挖掘、网络流量安全威胁检测、网络安全告警日志降噪、大模型安全护栏能力检测、AIGC生成图片检测、AI智能体恶意操作行为检测、广播电视IPTV账号异常行为检测,测试场景说明见“附件1”。 | 計8つのテストシナリオを設定する。これには、AI駆動型攻撃に対するサイバーセキュリティのインテリジェント防御、ネットワークシステムおよびソースコードの脆弱性のインテリジェントな発掘、ネットワークトラフィックのセキュリティ脅威検出、サイバーセキュリティアラートログのノイズ除去、大規模モデルのセキュリティガードレール機能の検出、AIGC生成画像の検出、AIエージェントの悪意ある操作行動の検出、放送・テレビIPTVアカウントの異常行動検出が含まれる。テストシナリオの詳細は「別紙1」を参照のこと。 |
| 三、报名方式 | 三、参加申込方法 |
| 本次测试活动面向社会各企事业单位自愿报名参加。每家单位最多选派3个团队参与3个不同的场景测试;每个团队成员不超过3人,需全部来自同一单位且不得重复参与。 | 本テスト活動は、社会各企業の自発的な参加を募集する。各組織は最大3チームを選出し、3つの異なるシナリオのテストに参加できる。各チームのメンバーは3名以内とし、全員が同一組織に所属している必要があり、重複参加は認められない。 |
| 将报名信息表(见附件2)和加盖公章的扫描件发送至电子邮箱([mail])完成报名。邮件标题以“测试场景名称-团队名称”命名,报名信息表以“测试场景名称-团队名称.xlsx”命名,盖章扫描件以“测试场景名称-团队名称.pdf”命名。主办方将结合上述报名要求,对各团队提交的团队优势、技术能力、相关经验等进行审核,通过后将以邮件形式通知。 | 参加申込書(別紙2参照)および公印を押印したスキャンデータを電子メール([mail] )に送信し、申し込みを完了する。メールの件名は「テストシナリオ名-チーム名」とし、申込情報表は「テストシナリオ名-チーム名.xlsx」、公印押印済みのスキャンデータは「テストシナリオ名-チーム名.pdf」と命名すること。主催者は上記の申込要件に基づき、各チームが提出したチームの強み、技術力、関連経験などを審査し、通過した場合はメールにて通知する。 |
| 四、时间安排 | 四、スケジュール |
| 1.报名与资格审核:即日起至5月28日。主办方对各团队的报名信息进行审核,于5月29日前将审核通过结果通知团队联系人。 | 1. 申込および資格審査:本日から5月28日まで。主催者は各チームの申込情報を審査し、5月29日までに審査通過の結果をチームの連絡担当者に通知する。 |
| 2.测试前辅导:5月30日至6月6日。围绕基础环境适配、场景详细说明等,对参与团队进行测试前辅导,帮助熟悉软硬件环境和样例数据。 | 2. テスト前指導:5月30日から6月6日まで。基本環境の適合やシナリオの詳細説明などを中心に、参加チームに対してテスト前指導を行い、ソフトウェア・ハードウェア環境およびサンプルデータに慣れるよう支援する。 |
| 3.第一阶段测试:6月7日至7月6日。提供线上测试环境,各参与团队在截止时间前按要求提交测试结果,以最后一次提交的结果计算得分,每个测试场景前6名进入第二阶段测试。 | 3. 第1段階テスト:6月7日から7月6日まで。オンラインテスト環境を提供し、各参加チームは締切日までに要件に従ってテスト結果を提出する。最終提出された結果に基づいて得点が算出され、各テストシナリオの上位6チームが第2段階テストに進む。 |
| 4.第二阶段测试:7月18日至8月15日,各参与团队在北京市指定场所进行模型部署、调试、开展测试等,并在截止时间前提交测试结果和技术方案,以最后一次提交的测试结果计算得分。 | 4. 第2段階テスト:7月18日から8月15日。各参加チームは北京市が指定した場所でモデルのデプロイ、デバッグ、テストを実施し、締切までにテスト結果と技術案を提出する。最終提出されたテスト結果に基づいて得点を算出する。 |
| 5.结果发布:9月在“国家网络安全宣传周”发布测试结果;为表现优秀的团队颁发证书。 | 5. 結果発表:9月の「国家サイバーセキュリティ広報週間」においてテスト結果を発表する。優秀な成績を収めたチームには認定証を授与する。 |
| 五、测试结果应用 | 五、テスト結果の活用 |
| 相关测试指导单位组织本行业领域有需求的机构,参考测试结果积极应用人工智能产品或服务。对于表现优秀团队,支持团队的成员参加网络安全人才队伍建设和相关行业科技创新人才评选。支持在国内主流AI应用市场上架表现优秀的人工智能解决方案,支持在国内主流开源社区孵化发布表现优秀的大模型。 | 関連するテスト指導機関は、当該業界・分野でニーズのある機関を組織し、テスト結果を参考に人工知能製品やサービスを積極的に活用する。優秀な成績を収めたチームについては、チームメンバーがサイバーセキュリティ人材育成プログラムや関連業界の科学技術イノベーション人材選考に参加できるよう支援する。国内の主要なAIアプリケーション市場において、優秀な人工知能ソリューションの公開を支援し、国内の主要なオープンソースコミュニティにおいて、優秀な大規模モデルのインキュベーションおよび公開を支援する。 |
| 六、其他说明 | 六、その他の説明 |
| 1.参与团队应遵守相关法律法规和本公告有关内容,如有违反,主办方有权取消相应团队参与资格。 | 1. 参加チームは関連法規および本公告の内容を遵守しなければならない。違反があった場合、主催者は当該チームの参加資格を取り消す権利を有する。 |
| 2.参与团队须独立完成所有测试环节与结果提交,不得侵犯他人知识产权,如有作弊行为,将被终止参与资格并取消成绩。 | 2. 参加チームはすべてのテスト工程および結果の提出を独自に行わなければならず、他者の知的財産権を侵害してはならない。不正行為があった場合、参加資格を停止し、成績を取り消す。 |
| 3.主办方提供的测试数据仅可用于本次活动,参与团队不得将测试数据及分析过程数据和结果数据进行下载、以任何形式留存或用于完成测试要求外的其他目的。 | 3. 主催者が提供するテストデータは本イベントでのみ使用可能であり、参加チームはテストデータおよび分析プロセスデータ・結果データをダウンロードしたり、いかなる形式でも保存したり、テスト要件以外の目的で使用してはならない。 |
| 4.关于参与测试的具体情况,未经主办方许可,参与团队不得以任何形式公开传播。 | 4. テスト参加に関する具体的な状況について、主催者の許可なく、参加チームはいかなる形式でも公開・拡散してはならない。 |
| 5.高校团队报名应加盖学校科研管理部门公章。 | 5. 大学チームの申し込みには、大学の科学研究管理部門の公印を押印しなければならない。 |
| 6.活动最终解释权归主办方所有。 | 6. 本イベントの最終的な解釈権は主催者に帰属する。 |
| 7.咨询电话:010-82991733;010-82991766(工作日9:00-11:30;14:00-16:30) | 7. お問い合わせ電話番号:010-82991733;010-82991766(平日9:00-11:30;14:00-16:30) |
| 附件:1.测试场景说明 | 添付資料:1. テストシナリオ説明 |
| 2.报名信息表 | 2. 申込情報表 |
| 附件1 | 添付資料1 |
| 测试场景说明 | テストシナリオ説明 |
| 场景1:AI驱动攻击的网络安全智能防御 | シナリオ1:AI駆動型攻撃に対するサイバーセキュリティのインテリジェント防御 |
| 利用 AI 大模型或智能体对流式推送的多源日志进行实时自动化分析,检测攻击行为,并通过跨设备、跨时间窗口的关联分析还原属于同一攻击链的事件。测试数据包括 WAF 日志、服务器 WEB 日志、DNS 日志、主机进程日志、主机认证日志等。按照攻击识别的准确率、漏报率以及攻击链还原的准确率综合评分。 | AI大規模モデルまたはエージェントを活用し、ストリーミング配信される多ソースログをリアルタイムで自動分析し、攻撃行為を検知する。さらに、デバイス間・時間枠を超えた相関分析を通じて、同一の攻撃チェーンに属するイベントを復元する。テストデータには、WAFログ、サーバーWEBログ、DNSログ、ホストプロセスログ、ホスト認証ログなどが含まれる。攻撃識別精度、検知漏れ率、および攻撃チェーン復元精度に基づき総合評価を行う。 |
| 场景2:网络系统及源代码漏洞智能挖掘 | シナリオ2:ネットワークシステムおよびソースコードの脆弱性インテリジェント検出 |
| 使用 AI 智能体自主完成目标理解、程序分析、漏洞验证、漏洞评估等任务,实现对源代码和网络系统的漏洞挖掘。漏洞挖掘结果需要包含对漏洞位置、利用条件、复现场景等描述,达到评判人员能够复现的程度。按照漏洞识别的准确率、漏报率等指标进行综合评分。 | AIエージェントを用いて、目標の理解、プログラム解析、脆弱性の検証、脆弱性アセスメントなどのタスクを自律的に実行し、ソースコードおよびネットワークシステムの脆弱性検出を実現する。脆弱性検出結果には、脆弱性の位置、悪用条件、再現シナリオなどの記述を含め、審査員が再現可能なレベルとする。脆弱性識別精度、検出漏れ率などの指標に基づき総合評価を行う。 |
| 场景3:网络流量安全威胁检测 | シナリオ3:ネットワークトラフィックのセキュリティ脅威検出 |
| 使用 AI 技术对互联网流量进行分析处理,识别侦察、初始访问、持久化和命令与控制等攻击阶段,以及端口扫描、漏洞利用、植入后门、木马回连等攻击技术。测试数据为 PCAP 格式的流量数据包文件。按照识别的准确率、漏报率等指标进行综合评分。 | AI技術を用いてインターネットトラフィックを分析・処理し、偵察、初期アクセス、持続化、コマンド&コントロールなどの攻撃段階、およびポートスキャン、脆弱性悪用、バックドアの埋め込み、トロイの木馬による接続など、攻撃技術を識別する。テストデータはPCAP形式のトラフィックパケットファイルである。識別精度、検出漏れ率などの指標に基づき総合評価を行う。 |
| 场景4:网络安全告警日志降噪 | シナリオ4:サイバーセキュリティアラートログのノイズ除去 |
| 使用AI技术对网络威胁告警日志和终端日志进行分析,从日志中找出攻击成功、可以形成攻击事件的真实告警。按照真实告警识别的准确率、漏报率等指标进行综合评分。 | AI技術を用いてネットワーク脅威アラートログおよびエンドポイントログを分析し、ログの中から攻撃が成功し、攻撃インシデントとなり得る真のアラートを抽出する。真のアラート識別精度、検知漏れ率などの指標に基づき総合評価を行う。 |
| 场景5:大模型安全护栏能力检测 | シナリオ5:大規模モデル向けセキュリティガードレールの能力アセスメント |
| 评估大模型安全护栏相关产品的风险识别与防护能力,帮助大模型过滤安全风险,促进提升大模型安全防护水平。测试数据为对大模型的提问内容及其输出内容。按照准确率、漏报率等指标进行综合评分。 | 大規模モデル向けセキュリティガードレール関連製品のリスク特定および防御能力をアセスメントし、大規模モデルによるセキュリティリスクのフィルタリングを支援し、大規模モデルのセキュリティ防御レベルの向上を促進する。テストデータは、大規模モデルへの質問内容およびその出力内容である。正答率、見逃し率などの指標に基づき総合評価を行う。 |
| 场景6:AIGC生成图片检测 | シナリオ6:AIGC生成画像の検出 |
| 在海量图片中识别出 AI 技术生成的图片。测试数据为图像数据,按照识别的准确率、漏报率进行综合评分。 | 膨大な画像の中から、AI技術によって生成された画像を識別する。テストデータは画像データであり、識別精度や検知漏れ率に基づいて総合評価を行う。 |
| 场景7:AI智能体恶意操作行为检测 | シナリオ7:AIエージェントの悪意ある操作行動の検出 |
| 对 AI 智能体运行过程中产生的日志进行分析,检测并识别其中权限获取与提升、敏感数据窃取与外传、破坏性操作等恶意行为。测试数据包括应用日志、主机日志以及 PCAP流量包3类信息。按照识别的准确率、漏报率进行综合评分。 | AIエージェントの実行中に生成されるログを分析し、権限の取得・昇格、機密データの窃取・外部への流出、破壊的な操作などの悪意ある行動を検出し識別する。テストデータには、アプリケーションログ、ホストログ、およびPCAPトラフィックパケットの3種類の情報が含まれる。識別精度と検知漏れ率に基づいて総合評価を行う。 |
| 场景8:广播电视IPTV账号异常行为检测 | シナリオ8:放送・テレビIPTVアカウントの異常行動検知 |
| 使用 AI 技术对 IPTV 账号的原始行为日志进行分析,识别出内容爬取、刷播放量、账号共享等异常行为。测试数据包括点播记录、页面访问记录、开机记录。按识别异常行为的准确率、漏报率等指标综合评分。 | AI技術を用いてIPTVアカウントの生行動ログを分析し、コンテンツのスクレイピング、再生回数の水増し、アカウントの共有などの異常行動を識別する。テストデータには、オンデマンド視聴記録、ページアクセス記録、起動記録が含まれる。異常行動の識別精度や検知漏れ率などの指標に基づき、総合評価を行う。 |
中国 インターネット通報ガイドラインを公表 (2026.05.14)
こんにちは、丸山満彦です。
中国でも、偽情報やネット権利侵害は問題なので、取り締まりを強化していますが、
- ネット通報ガイド
- ネットデマ対策ガイド
- ネット権利侵害通報ガイド
を公表していますね...
詳細までは読んでいませんが、日本でも参考になりますかね...この方向性ではない、方法で解決を目指しますかね...
・2026.05.14 中央网信办举报中心公布网络举报指南
| 中央网信办举报中心公布网络举报指南 | 国家インターネット情報弁公室通報センターがネット通報ガイドラインを公表 |
| 为方便网民更好了解网络举报和网络辟谣工作,有效参与网络生态治理,中央网信办举报中心编制了《网络举报指南》《网络辟谣指南》《网络侵权举报指南》,系统介绍网络举报和网络辟谣基础知识、举报渠道和举报方法,供大家参考使用。 | ネットユーザーがネット通報やネット上のデマ対策についてより深く理解し、ネット環境のガバナンスに効果的に参加できるよう、国家インターネット情報弁公室通報センターは『ネット通報ガイドライン』『ネット上のデマ対策ガイドライン』『ネット上の権利侵害通報ガイドライン』を作成した。これらには、ネット通報やネット上のデマ対策に関する基礎知識、通報ルート、通報方法が体系的に紹介されており、参考として活用できる。 |
| 附件:1.网络举报指南 | 添付資料:1. ネット通報ガイド |
| 2.网络辟谣指南 | 2. ネットデマ対策ガイド |
| 3.网络侵权举报指南 | 3. ネット権利侵害通報ガイド |
● インターネット通報プラットフォーム
インターネット上の違法・有害情報を一般市民が通報するための実用的な手順書
偽情報の拡散を防止し、適切に報告ができるようにするためのガイド...
1. デマの定義と類型
| 類型 | 具体例 |
| 党史国史関連 | 党の歴史・英雄人物・重大事件に関する虚偽情報 |
| 公共安全関連 | 治安・消防・交通安全に関する不安を煽る情報 |
| 突発事件関連 | 災害・事故・公衆衛生事件に関する虚偽の状況報告 |
| 食品医薬関連 | 食品・医薬品・医療に関する科学的根拠のない情報 |
| 公共政策関連 | 法律・民生政策・行政通知に関する虚偽解釈 |
| 社会ホットトピック | 世論を操作するための虚偽の詳細や原因説明 |
| 偽科学 | %康常識」を装った虚偽知識 |
2. デマを見分けるつの方法
✓ チェックソース:政府公式サイト・権威あるメディアを優先
✓ アカウント確認:公式認証の有無を確認
✓ 表現の検討:「衝撃的」「緊急」「必見」等の煽り表現に注意
✓ 詳細の整合性:時間・場所・人物・データの明確さを確認
✓ 根拠の検証:権威あるデータや公式文書の引用を確認
✓ 画像・動画の真偽:逆画像検索等で出所を検証
✓ 複数ソースでのクロスチェック
✓ アカウント確認:公式認証の有無を確認
✓ 表現の検討:「衝撃的」「緊急」「必見」等の煽り表現に注意
✓ 詳細の整合性:時間・場所・人物・データの明確さを確認
✓ 根拠の検証:権威あるデータや公式文書の引用を確認
✓ 画像・動画の真偽:逆画像検索等で出所を検証
✓ 複数ソースでのクロスチェック
個人や企業に対するネット上の権利侵害(名誉毀損、肖像権侵害、プライバシー侵害、企業評判毀損など)について、一般市民や企業が適切に通報・報告できるよう支援するためのガイド。
主な内容:
- 主要プラットフォーム(微博、小红书、快手、抖音、百度、騰訊など)ごとの具体的な通報手順
- 侵害タイプ別の必要証拠書類の説明
- 中央网信办(国家インターネット情報弁公室)傘下の「12377」通報ホットライン・ウェブサイトの活用方法
- 企業・個人別での報告フローの違い
2026.06.01
オランダ データ規則関するガイドライン(データ共有ガイドライン)(暫定版) (2026.05.15)
こんにちは、丸山満彦です。
オランダの消費者・市場庁(ACM)が、2025年9月12日より適用されているデータ規則に関するガイドライン(データ共有ガイドライン)の暫定版を公表していますね...
EUデータ法は、欧州データ戦略に基づいて策定されたものですね。その背景は...
・データの囲い込み問題(IoT製品(産業機械、スマート家電、医療機器など)が生成する大量のデータが、メーカーやサービス提供者の内部に閉じ込められ、有効活用されていない)
・「データを生み出す側」と「使える側」の不均衡(実際にはユーザーが生成したデータであっても、製品設計の段階でデータ管理権限がメーカー側に偏っており、中小企業やエンドユーザーがデータを自由に活用できない格差が生じていた)
・単一データ市場の構築(EUはデータを経済成長・競争力・イノベーションの基盤と位置付け、「データ主権」の確保と域内でのデータ流通促進を目指す「欧州データ戦略」を策定した)
ということで、IoTデータ等が対象となります。
罰則が、GDPRと同様に高額です。個人データである場合は、両方の規制がかかることになりますが、GDPRが優先します...
複雑になりすぎた?EUのデジタル規制は現在、オムニバス法により簡素化のための改訂作業中ですね...
● Netherlands - Authority for Cunsumers & Markets
・2025.05.15 By publishing guidelines, ACM offers businesses clarity regarding the sharing of data
| By publishing guidelines, ACM offers businesses clarity regarding the sharing of data | ACMはガイドラインを公表することで、データ共有に関する明確な指針を企業に提供している |
| Summary | 概要 |
| ・The European Data Act has been in force since September 2025. | ・欧州データ法は2025年9月から施行されている。 |
| ・By publishing guidelines, ACM offers businesses practical explanations regarding the section on data sharing. | ・ACMはガイドラインを公表することで、データ共有に関する条項について、企業向けに実践的な解説を提供している。 |
| ・These guidelines will be further expanded at a later date. Additionally, separate guidelines regarding data processing services will be published, too. | ・これらのガイドラインは、後日さらに拡充される予定だ。また、データ処理サービスに関する別途のガイドラインも公表される予定である。 |
| On May 15, the Netherlands Authority for Consumers and Markets (ACM) published the Data Sharing Guidelines (in Dutch: Leidraad Data Delen). These Guidelines help businesses in the application of the rules laid down in the European Data Act, which has been in forcet since September 2025. With these Guidelines, ACM explains the Data Act’s section on data sharing. The guidelines are targeted towards manufacturers, suppliers, and sellers of smart devices and related services. With this publication, ACM is at the forefront in Europe: it is the first national regulator to offer businesses practical guidance on this topic. This is a provisional version of the Guidelines, as the European Commission will still publish additional guidance later this year. In late 2026, separate guidelines for data processing services will also be published, in which ACM will explain that section of the Data Act. | 5月15日、オランダ消費者・市場庁(ACM)は「データ共有ガイドライン」(オランダ語:Leidraad Data Delen)を公表した。本ガイドラインは、2025年9月から施行されている欧州データ法に定められた規則の適用において、企業を支援するものである。ACMは本ガイドラインを通じて、同法のデータ共有に関する条項について解説している。本ガイドラインは、スマートデバイスおよび関連サービスの製造業者、供給業者、販売業者を対象としている。今回の公表により、ACMは欧州において先駆的な立場にある。このテーマに関して企業に実践的な指針を提供した最初の国内規制当局だからだ。これは暫定版であり、欧州委員会は今年後半に追加の指針を公表する予定である。2026年末には、データ処理サービスに関する別途のガイドラインも公表される予定であり、その中でACMはデータ法の当該条項について解説する。 |
| The Data Act gives the European data economy an important boost. The Act ensures that users gain more control over data that is generated by smart devices, such as cars and agricultural machines. It also makes it easier for them to share that data with third parties, for example car repair shops or developers of digital services. In practice, this means, for example, that a car’s owner gets access to the data that their car collects and is able to share that with a car repair shop of their choice, or, for example, that farmers are able to easily share the data from soil sensors and their harvesters with an innovative company, which subsequently offers recommendations regarding optimal irrigation and fertilization. In that way, farmers are able to save costs and reduce the burden on the environment. | データ法は、欧州のデータ経済に重要な後押しを与える。同法は、自動車や農業機械などのスマートデバイスによって生成されるデータに対し、ユーザーがより多くの管理権限を得られることを保証する。また、ユーザーが自動車修理工場やデジタルサービス開発者といった第三者と、そのデータを共有しやすくする。具体的には、例えば自動車の所有者が自身の車が収集したデータにアクセスし、任意の自動車修理工場と共有できるようになることや、あるいは農家が土壌センサーや収穫機からのデータを革新的な企業と容易に共有し、その企業が最適な灌漑や施肥に関する推奨事項を提供できるようになることを意味する。これにより、農家はコストを削減し、環境への負荷を軽減することができる。 |
| Focus on sharing data | データ共有に焦点を当てる |
| With these Guidelines, ACM offers practical guidance to manufacturers, suppliers, and sellers of smart devices in order to help them implement the obligations laid down in the Data Act properly. In that context, ACM pays attention to the information requirements that businesses must meet as well as to the way in which they must grant users access to the data from the devices they use. For example, businesses must clearly explain to users what data is collected and how they are able to consult and request it. They must offer users access to the data free of charge and in an easy and secure manner as well. In addition, the Data Act contains specific requirements regarding the permitted use of data as well as the arrangements that stakeholders can make with one another. | ACMは本ガイドラインを通じて、スマートデバイスの製造業者、供給業者、販売業者に対し、データ法に定められた義務を適切に履行できるよう実践的な指針を提供する。その文脈において、ACMは企業が満たすべき情報提供要件に加え、ユーザーが使用するデバイスからのデータへのアクセスをどのように付与すべきかにも注目している。例えば、企業はユーザーに対し、どのようなデータが収集されるか、またユーザーがどのようにそのデータを閲覧・請求できるかを明確に説明しなければならない。また、企業はユーザーに対し、無料で、かつ簡単かつ安全な方法でデータへのアクセスを提供しなければならない。さらに、データ法には、データの許容される利用に関する具体的な要件や、関係者が相互に結ぶことができる取り決めについても規定されている。 |
| Provisional guidelines | 暫定ガイドライン |
| ACM previously published a draft version of the Guidelines, which had been submitted for consultation to market participants and other stakeholders. The responses from this consultation have been incorporated into the current version. As a result, the Guidelines address real-world needs and questions better. The additional information that was published by the European Commission in the interim has been incorporated into the Guidelines, too. | ACMは以前、市場参加者やその他の関係者に意見募集のために提出されたガイドラインの草案を公表していた。この意見募集からの回答は、現在のバージョンに反映されている。その結果、本ガイドラインは実務上のニーズや疑問により適切に対応できるようになった。その間に欧州委員会が公表した追加情報も、本ガイドラインに反映されている。 |
| Some explanations of the data act are still under review. In order to enable businesses to implement the new rules on time, ACM decided to publish provisional guidelines already now. The European Commission will publish additional guidance later this year. As soon as this becomes available, ACM will finalize the Guidelines. | データ法に関する一部の説明については、現在も検討中である。企業が新たな規則を期限内に実施できるよう、ACMは現時点で暫定ガイドラインを公表することを決定した。欧州委員会は今年後半に追加のガイダンスを公表する予定である。これが利用可能になり次第、ACMはガイドラインを最終版として完成させる。 |
| In addition, the European Commission will revise the Data Act in the coming years through the so-called ‘Digital Omnibus’. Those changes, too, will obviously be incorporated into ACM’s Guidelines in due course. | さらに、欧州委員会は今後数年のうちに、いわゆる「デジタル・オムニバス」を通じてデータ法を改正する予定だ。それらの変更点も、当然ながら適宜ACMのガイドラインに組み込まれることになる。 |
| Oversight and awareness | 監視と啓発 |
| ACM focuses greatly on education in order to inform stakeholders of their rights and obligations. The Guidelines serve as an important tool in that context. In addition, ACM also uses other methods for educating stakeholders. For example, ACM publishes explainer videos, organizes roundtable discussions, and speaks at conferences in order to draw attention to the Data Act. Industries that are curious about what the Data Act means for their sectors can contact ACM themselves as well, by sending an email to[mail]. | ACMは、ステークホルダーに対し権利と義務を周知するため、教育に重点を置いている。ガイドラインは、その文脈において重要なツールとなる。さらにACMは、ステークホルダーへの啓発のために他の手法も活用している。例えば、データ法への関心を高めるため、解説動画の公開、円卓会議の開催、カンファレンスでの講演などを行っている。データ法が自業界にどのような意味を持つかについて関心のある業界は、[mail] 宛てにメールを送ることで、ACMに直接問い合わせることも可能だ。 |
| What is next: guidelines for data processing services | 今後の展開:データ処理サービスに関するガイドライン |
| In addition to rules on data sharing, the Data Act also contains rules on data processing services, such as provisions on making it easier to switch providers as well as on linking different services. Later this year, ACM will publish guidelines that specifically concern the obligations for data processing providers. | データ法には、データ共有に関する規則に加え、プロバイダーの乗り換えを容易にする規定や異なるサービスの連携に関する規定など、データ処理サービスに関する規則も含まれている。今年後半、ACMはデータ処理プロバイダーの義務に特化したガイドラインを公表する予定だ。 |
| ACM is charged with oversight over businesses whose headquarters (European or otherwise) are established in the Netherlands. ACM works closely together with other European regulators in order to be able to tackle cross-border problems too. In the Netherlands, ACM works together with the Dutch Data Protection Authority (AP), which has been charged with enforcement of the provisions laid down in the Data Act that are related to the General Data Protection Regulation (in Dutch: Algemene verordening gegevensbescherming, AVG). | ACMは、本社(欧州内外を問わず)がオランダに所在する企業に対する監督権限を有している。ACMは、国境を越えた問題にも対応できるよう、他の欧州の規制当局と緊密に連携している。オランダ国内では、ACMはオランダデータ保護局(AP)と協力しており、同局は一般データ保護規則(オランダ語:Algemene verordening gegevensbescherming、AVG)に関連するデータ法規定の執行を担当している。 |
| See also | 参照 |
| 15-05-2026 Guidelines on sharing data (Sharing data from connected products and related services) (in Dutch. An English translation will be published soon) | 2026年5月15日 データ共有に関するガイドライン(接続製品および関連サービスからのデータ共有)(オランダ語。英語版は近日公開予定) |
| Data from smart devices | ACM (in Dutch) | スマートデバイスからのデータ | ACM(オランダ語) |
ガイドラインの概要...
| De leidraad in het kort | ガイドラインの概要 |
| Doel Dataverordening | データ規則の目的 |
| Hoofddoel en achtergrond | 主な目的と背景 |
| De Autoriteit Consument en Markt (hierna: ACM) publiceert deze voorlopige versie van de leidraad over de Dataverordening, die sinds 12 september 2025 van toepassing is. Deze verordening maakt onderdeel uit van de Europese datastrategie, gericht op het creëren van een interne datamarkt waar gegevens vrij kunnen stromen. De Dataverordening geeft daartoe onder andere regels over het delen van gegevens en over clouddiensten. Deze leidraad heeft uitsluitend betrekking op die hoofdstukken uit de Dataverordening die zien op data delen, en betreft een voorlopige versie. De definitieve versie zal later dit jaar door de ACM worden gepubliceerd. | 消費者・市場庁(以下、ACM)は、2025年9月12日より適用されているデータ規則に関する本ガイドラインの暫定版を公表する。本規則は、データが自由に流通できる域内データ市場の構築を目指す欧州データ戦略の一環である。データ規則は、その目的のために、データの共有やクラウドサービスに関する規則などを定めている。本ガイドラインは、データ規則のうちデータの共有に関する章にのみ関するものであり、暫定版である。最終版は今年後半にACMによって公表される予定だ。 |
| Een van de belangrijkste uitgangspunten is dat de gebruiker zeggenschap krijgt over de gegevens die worden verzameld door het gebruik van verbonden producten en gerelateerde diensten. Verbonden producten zijn apparaten die via een elektronische communicatiedienst (zoals het internet), via een kabel, of via het apparaat zelf, gegevens kunnen uitwisselen. Voorbeelden zijn een slimme thermostaat, een moderne auto of een melkrobot. Vaak kunnen deze apparaten op afstand worden bediend en verzamelen zij via sensoren verschillende soorten gegevens. Een gerelateerde dienst is een digitale dienst die gekoppeld is aan een verbonden product en waarmee de functionaliteit, het gedrag of de bediening van het verbonden product kan worden beïnvloed, bijvoorbeeld via een app waarmee de slimme thermostaat bediend kan worden. | 最も重要な基本原則の一つは、接続された製品および関連サービスの利用を通じて収集されるデータについて、ユーザーが管理権限を持つことである。接続された製品とは、電子通信サービス(インターネットなど)、ケーブル、または機器自体を通じてデータを交換できる機器を指す。例としては、スマートサーモスタット、最新型自動車、搾乳ロボットなどが挙げられる。多くの場合、これらの機器は遠隔操作が可能であり、センサーを通じて様々な種類のデータを収集する。関連サービスとは、コネクテッド製品と連携し、その機能、動作、または操作に影響を与えることができるデジタルサービスのことであり、例えばスマートサーモスタットを操作できるアプリなどが該当する。 |
| De Dataverordening is een rechtstreeks toepasselijke Europese verordening met algemene gelding in alle lidstaten, en bindt zowel natuurlijke personen als rechtspersonen (zoals ondernemingen en organisaties). Onder bepaalde voorwaarden heeft de verordening ook extraterritoriale werking, waardoor deze van toepassing is op organisaties buiten de Europese Unie (hierna: EU), wanneer zij goederen of digitale diensten aanbieden aan gebruikers binnen de EU. | 一般データ保護規則(GDPR)は、すべての加盟国において普遍的に適用される直接適用される欧州規則であり、自然人および法人(企業や組織など)の双方を拘束する。一定の条件下では、同規則は域外適用も有しており、欧州連合(以下、EU)域外の組織であっても、EU域内のユーザーに商品やデジタルサービスを提供する場合、同規則の適用対象となる。 |
| Deze leidraad richt zich primair op organisaties die verplichtingen uit de Dataverordening krijgen opgelegd. In het bijzonder: fabrikanten, leveranciers, verkopers, verhuurders en leasegevers van verbonden producten en gerelateerde diensten binnen de EU. | 本ガイドラインは、主にGDPRに基づく義務を課される組織を対象としている。具体的には、EU域内における接続製品および関連サービスの製造業者、供給業者、販売業者、賃貸業者、およびリース業者である。 |
| Toezicht | 監督 |
| De ACM is aangewezen als toezichthouder op een groot deel van de Dataverordening en als datacoördinator voor Nederland. Ook de Autoriteit Persoonsgegevens (hierna: AP) heeft een aantal toezichtstaken. Organisaties met hun (Europese) hoofdkantoor in Nederland vallen onder het toezicht van deze Nederlandse autoriteiten. | ACMは、GDPRの大部分に関する監督機関およびオランダのデータ調整機関として指定されている。また、オランダ個人情報保護庁(以下、AP)もいくつかの監督任務を担っている。オランダに(欧州)本社を置く組織は、これらのオランダ当局の監督下にある。 |
| Opzet | 構成 |
| Voor deze samenvatting worden de verplichtingen uit de Dataverordening ingedeeld in drie thema’s: 1) informatieverplichtingen; 2) verplichtingen met betrekking tot het bieden van toegang tot gegevens uit verbonden producten en gerelateerde diensten; en 3) voorschriften, voorwaarden en overeenkomsten. In deze samenvatting wordt per thema een beknopte uitleg gegeven van de verplichtingen. Relevante begrippen worden alleen gedefinieerd voor zover de termen niet algemeen bekend zijn of de definities substantieel afwijken van de gangbare betekenis. Een gedetailleerde begrippenlijst is te vinden in hoofdstuk 2 van deze leidraad. | 本要約では、一般データ保護規則(GDPR)に基づく義務を以下の3つのテーマに分類する:1) 情報提供義務;2) 関連製品および関連サービスからのデータへのアクセス提供に関する義務;および3) 規定、条件、および契約。本要約では、各テーマごとに義務について簡潔に説明する。関連する用語については、一般に広く知られていない場合、またはその定義が一般的な意味から著しく逸脱している場合に限り、定義を行う。詳細な用語集は、本ガイドラインの第2章に記載されている。 |
| Tema 1 Informatieverplichting | テーマ1 情報提供義務 |
| De Dataverordening legt specifieke informatieverplichtingen op aan aanbieders van verbonden producten of gerelateerde diensten. Deze verplichtingen gelden voordat een overeenkomst wordt gesloten voor de aankoop, huur of leasing van een verbonden product of voor het verlenen van een gerelateerde dienst. | データ保護規則は、接続製品または関連サービスの提供者に特定の情報提供義務を課している。これらの義務は、接続製品の購入、賃貸、リース、または関連サービスの提供に関する契約が締結される前に適用される。 |
| Informatievereisten voor verbonden producten | 接続製品に関する情報要件 |
| Bij een verbonden product rust de informatieverplichting op de verkoper, verhuurder of leasegever. Er moet informatie worden gegeven over de volgende zaken: | 接続製品の場合、情報提供義務は販売者、賃貸人、またはリース提供者に課される。以下の事項について情報を提供しなければならない: |
| • Het type gegevens dat door het verbonden product wordt gegenereerd; | • 接続製品によって生成されるデータの種類; |
| • Het formaat en het geschatte volume van de gegevens, evenals informatie over de mogelijkheid tot continue en realtime generatie van gegevens; | • データの形式および推定量、ならびにデータの継続的かつリアルタイムな生成の可能性に関する情報; |
| • Waar het verbonden product gegevens kan opslaan en hoe lang deze gegevens worden bewaard; | • 接続製品がデータを保存できる場所および当該データの保存期間; |
| • Hoe de gebruiker gegevens kan raadplegen, opvragen of wissen. Hierbij hoort ook informatie over de benodigde technische middelen, inclusief gebruikersvoorwaarden en kwaliteitsinformatie van deze middelen; | • ユーザーがデータを参照、取得、または削除する方法。これには、必要な技術的手段に関する情報(利用規約および当該手段の品質情報を含む)も含まれる; |
| • De identiteit van de persoon of organisatie, die het recht of de verplichting heeft om gegevens uit een verbonden product of gerelateerde dienst te gebruiken of beschikbaar te stellen (gegevenshouder), van wie de gebruiker de gegevens kan opvragen. | • 接続された製品または関連サービスからデータを使用または提供することを権利または義務として有する個人または組織(データ管理者)の身元、およびユーザーが当該データ管理者にデータを開示を求めることができること。 |
| Informatievereisten voor gerelateerde diensten | 関連サービスに関する情報要件 |
| Bij een gerelateerde dienst is de leverancier van de dienst verantwoordelijk voor het verstrekken van informatie. Er moet informatie worden gegeven over de volgende zaken: | 関連サービスの場合、情報の提供責任はサービス提供者に帰属する。以下の事項について情報を提供しなければならない: |
| • De aard van de gegevens die de gegevenshouder verzamelt, het geschatte volume daarvan en de frequentie van verzameling. Daarnaast moet worden aangegeven welke gegevens door de gerelateerde dienst zelf worden gegenereerd en in welke hoeveelheid; | • データ管理者が収集するデータの性質、その推定量、および収集頻度。さらに、関連サービス自体が生成するデータの種類と量についても明示しなければならない; |
| • Transparantie over het gebruik van gegevens. Dit betreft zowel het verwachte gebruik van gegevens door de gegevenshouder zelf als door derde partijen. De identiteit van de gegevenshouder en andere gegevensverwerkende partijen moet daarbij worden verstrekt; | • データの利用に関する透明性。これには、データ保有者自身によるデータの予想される利用および第三者による利用の両方が含まれる。その際、データ保有者およびその他のデータ処理者の身元を開示しなければならない; |
| • De beschikbare communicatiemiddelen; | • 利用可能な連絡手段; |
| • Hoe de gebruiker gegevens met een derde partij kan delen of het delen kan stopzetten; | • ユーザーが第三者とデータを共有する方法、または共有を停止する方法; |
| • Het recht van de gebruiker om klachten in te dienen bij de bevoegde autoriteit; | • ユーザーが管轄当局に苦情を申し立てる権利; |
| • Eventuele bedrijfsgeheimen die onderdeel zijn van de toegankelijke gegevens en wie daarvan de houder is; | • アクセス可能なデータに含まれる営業秘密の有無およびその保有者; |
| • De duur van de overeenkomst en beëindigingsregelingen, inclusief wat met de gegevens gebeurt bij beëindiging van het contract. | • 契約期間および解約規定(契約終了時のデータの取り扱いを含む)。 |
| Algemene vereisten | 一般的な要件 |
| • De te verstrekken informatie moet duidelijk en begrijpelijk zijn, en in het Nederlands of Engels worden opgesteld. | • 提供される情報は明確かつ理解しやすく、オランダ語または英語で作成されなければならない。 |
| • Wanneer informatie wijzigt tijdens de levensduur van het verbonden product of de contractperiode van de gerelateerde dienst, moet deze gewijzigde informatie opnieuw aan de gebruiker worden verstrekt. | • 接続製品の使用期間中または関連サービスの契約期間中に情報が変更された場合、その変更された情報をユーザーに再度提供しなければならない。 |
| Thema 2 Toegangsverplichtingen | テーマ2 アクセス義務 |
| De Dataverordening bevat uitgebreide regelgeving voor toegang tot gegevens die worden gegenereerd door een verbonden product of gerelateerde dienst. Toegang moet makkelijk, veilig en kosteloos worden gegeven in een toegankelijk en algemeen bruikbaar formaat. Toegang kan op twee manieren worden gegeven: via directe toegang (access-by-design) of indirecte toegang op verzoek. | データ保護規則には、接続製品または関連サービスによって生成されるデータへのアクセスに関する詳細な規定が含まれている。アクセスは、利用しやすく汎用性の高い形式で、容易かつ安全に、かつ無料で提供されなければならない。アクセスは、直接アクセス(access-by-design)または要請に基づく間接アクセスの2つの方法で提供される。 |
| Directe toegang (access-by-design) | 直接アクセス(アクセス・バイ・デザイン) |
| Verbonden producten en gerelateerde diensten dienen zodanig ontworpen te worden dat gegevens rechtstreeks en zonder onevenredige inspanning toegankelijk zijn voor de gebruiker, voor zover dit relevant en technisch haalbaar is. Deze toegang moet mogelijk zijn met de technische middelen waar de gebruiker over beschikt zonder tussenkomst van andere partijen. De verplichting geldt voor de partij die verantwoordelijkheid draagt voor het ontwerp en de productie van een verbonden product of gerelateerde dienst, doorgaans de fabrikant of ontwerper. Soms zijn dit meerdere partijen. | コネクテッド製品および関連サービスは、関連性があり技術的に実現可能な範囲において、ユーザーが過度な労力を要することなく直接データにアクセスできるよう設計されなければならない。このアクセスは、第三者の介入なしに、ユーザーが保有する技術的手段を用いて可能でなければならない。この義務は、接続製品または関連サービスの設計および製造に責任を負う当事者、通常は製造業者または設計者に適用される。場合によっては、複数の当事者が該当することもある。 |
| Technische haalbaarheid wordt beoordeeld op basis van beschikbare technologie, middelen en kennis, waarbij rekening wordt gehouden met ontwikkelingskosten, beveiligingsvereisten, en bescherming van bedrijfsgeheimen en intellectueel eigendom. Relevant betekent dat de fabrikant rekening mag houden met de specifieke kenmerken van verschillende verbonden producten of gerelateerde diensten. | 技術的実現可能性は、利用可能な技術、手段、知識に基づき、開発コスト、セキュリティ要件、および営業秘密や知的財産の保護を考慮して評価される。「適切」とは、製造業者が様々な接続製品や関連サービスの特性を考慮に入れてよいことを意味する。 |
| Indirecte toegang (toegang op verzoek) | 間接アクセス(要請に基づくアクセス) |
| Wanneer directe toegang niet mogelijk of relevant is, moet de gegevenshouder gegevens onmiddellijk beschikbaar stellen aan de gebruiker op diens verzoek. Dit moet kunnen via een eenvoudig elektronisch verzoek. De gegevenshouder mag de identiteit van de gebruiker verifiëren, maar mag hierbij niet verder gaan dan nodig is. | 直接アクセスが不可能または適切でない場合、データ保有者は、ユーザーの要請に応じて直ちにデータをユーザーに提供しなければならない。これは、簡単な電子的な要請によって可能でなければならない。データ保有者はユーザーの身元を確認することができるが、その際、必要以上に踏み込んではいけない。 |
| De gebruiker kan de gegevenshouder ook verzoeken om een derde partij toegang te verlenen tot de gegevens. Deze mogelijkheid tot het delen van gegevens is altijd mogelijk en staat los van de vraag of de gebruiker zelf directe of indirecte toegang heeft. Voor toegang aan een derde partij moet de gegevenshouder met de derde partij voorwaarden en eventueel een vergoeding overeenkomen. | 利用者は、データ保有者に対し、第三者にデータへのアクセスを許可するよう要請することもできる。このデータ共有の選択肢は常に利用可能であり、利用者自身が直接アクセスまたは間接アクセスを持っているかどうかにかかわらず適用される。第三者へのアクセスについては、データ保有者は当該第三者と条件および場合によっては対価について合意しなければならない。 |
| Tot welke gegevens moet toegang worden verschaft | どのデータへのアクセスを提供すべきか |
| De toegangsverplichting geldt voor gegevens die worden gegenereerd door het gebruik van een verbonden product of gerelateerde dienst. Het gaat om gegevens die voortvloeien uit de interactie tussen de gebruiker of diens omgeving, en een verbonden product of gerelateerde dienst. Deze gegevens kunnen zijn voorbewerkt met als doel ze begrijpelijk te maken. Hieronder vallen ook zogenaamde metagegevens die de inhoud of het gebruik van de gegevens beschrijven, waardoor het vinden of gebruiken van die gegevens makkelijker wordt. | アクセス提供義務は、接続された製品または関連サービスの利用によって生成されるデータに適用される。これは、ユーザーまたはその環境と、コネクテッド製品または関連サービスとの相互作用から生じるデータである。これらのデータは、理解しやすくするために前処理されている場合がある。これには、データの内容や使用状況を記述し、そのデータの検索や利用を容易にする、いわゆるメタデータも含まれる。 |
| De toegangsverplichting in de Dataverordening geldt niet voor zogenaamde afgeleide gegevens, welke dusdanig zijn verwerkt door de gegevenshouder dat dit leidt tot nieuwe, waardevolle inzichten. Deze verwerking moet verder gaan dan simpele transformatie om de leesbaarheid te verbeteren. | データ規則におけるアクセス義務は、いわゆる派生データには適用されない。派生データとは、データ保有者によって処理され、その結果として新たな価値ある知見が得られるようなデータを指す。この処理は、可読性を向上させるための単純な変換を超えるものでなければならない。 |
| Uitzonderingsgronden: beveiligingsrisico’s en bedrijfsgeheimen | 例外事由:セキュリティリスクと営業秘密 |
| Onder bepaalde omstandigheden mogen gegevenshouders en gebruikers het delen van gegevens beperken of weigeren: om beveiligingsrisico’s te ondervangen of om bedrijfsgeheimen te beschermen. Bij beveiligingsrisico’s gaat het om situaties waarbij toegang tot de gegevens beveiligingsvereisten van een verbonden product verzwakt. | 特定の状況下において、データ保有者および利用者は、セキュリティリスクに対処するため、または営業秘密を保護するために、データの共有を制限または拒否することができる。セキュリティリスクとは、データへのアクセスが関連製品のセキュリティ要件を弱体化させるような状況を指す。 |
| Bij een risico op schending van bedrijfsgeheimen dient de gegevenshouder te bepalen wat bedrijfsgeheimen zijn. Bij een verzoek tot gegevensdeling dient met de gebruiker of derde partij noodzakelijke maatregelen afgesproken te worden om de vertrouwelijkheid te waarborgen. Als er geen overeenstemming wordt bereikt over maatregelen of als deze niet worden nageleefd kan gegevensdeling worden tegengehouden. In uitzonderlijke gevallen, waarbij de gegevenshouder kan aantonen dat hij zeer waarschijnlijk ernstige economische schade zal lijden bij het delen van gegevens, kan de toegang tot specifieke gegevens geweigerd worden. | 営業秘密の侵害リスクがある場合、データ保有者は営業秘密の定義を定める必要がある。データ共有の要請があった際には、機密性を確保するために必要な措置について、利用者または第三者と合意しなければならない。措置について合意に至らない場合、またはこれらが遵守されない場合、データ共有は差し止められることがある。データ保有者が、データ共有により深刻な経済的損害を被る可能性が極めて高いことを立証できる例外的なケースにおいては、特定のデータへのアクセスを拒否することができる。 |
| Als de gegevenshouder weigert gegevens te delen, moet hij de ACM daarvan in kennis stellen. Meldingen kunnen worden gedaan via een speciaal formulier op de website van de ACM. In beide situaties kan de gebruiker of derde partij, in het geval van bedrijfsgeheimen, een klacht indienen bij de ACM. Ook kan de gebruiker of derde partij geschilbeslechting aanvragen bij een gecertificeerd geschilbeslechtingsorgaan of de zaak voorleggen aan de rechter. | データ保有者がデータの共有を拒否する場合、ACMにその旨を通知しなければならない。通知は、ACMのウェブサイトにある専用フォームを通じて行うことができる。いずれの場合も、営業秘密に関する事案においては、利用者または第三者はACMに苦情を申し立てることができる。また、利用者または第三者は、認定された紛争解決機関に紛争解決を申請するか、裁判所に提訴することもできる。 |
| Thema 3 Voorschriften, voorwaarden en overeenkomsten | テーマ3 規定、条件および契約 |
| De Dataverordening gaat uitgebreid in op de contractuele relatie tussen de gegevenshouder en de gegevensontvanger. De verordening bevat specifieke voorschriften voor alle betrokken partijen over het toegestane gebruik van gegevens en reguleert welke afspraken partijen onderling mogen maken. | データ保護規則は、データ保有者とデータ受領者との間の契約関係について詳細に規定している。同規則は、データの許容される利用についてすべての関係当事者に対する具体的な規定を含み、当事者間でどのような合意を結ぶことができるかを定めている。 |
| Voorschriften voor gegevenshouders | データ保有者に対する規定 |
| • De gegevenshouder mag gegevens alleen gebruiken als dit vooraf (contractueel) is overeengekomen met de gebruiker. De gegevenshouder mag de gegevens niet gebruiken om de commerciële positie van de gebruiker of een derde partij te schaden. | • データ保有者は、ユーザーと事前に(契約上)合意した場合にのみ、データを利用することができる。データ保有者は、利用者または第三者の商業的立場を損なう目的でデータを利用してはならない。 |
| • De gegevenshouder mag gegevens alleen aan een derde partij verstrekken voor doeleinden die in de overeenkomst met de gebruiker zijn vastgesteld. De gegevenshouder moet in het contract met de derde partij vastleggen dat de derde partij de gegevens niet verder mag doorgeven aan anderen. | • データ保有者は、利用者との契約で定められた目的のためにのみ、第三者にデータを提供することができる。データ保有者は、第三者との契約において、第三者がデータを他者に転送してはならないことを明記しなければならない。 |
| • Technische beschermingsmaatregelen ter voorkoming van ongeoorloofde toegang tot de gegevens zijn toegestaan. Deze maatregelen moeten proportioneel en niet-discriminerend zijn. | • データへの不正アクセスを防止するための技術的保護措置は認められる。これらの措置は、比例原則に則り、かつ差別的でないものでなければならない。 |
| • De gegevenshouder dient zich onverminderd aan de Algemene verordening gegevensbescherming (hierna: AVG) te houden. Dit betekent dat persoonsgegevens alleen mogen worden verwerkt op basis van een geldige rechtsgrond onder de AVG. | • データ保有者は、一般データ保護規則(以下、GDPR)を遵守しなければならない。これは、個人データがGDPRに基づく有効な法的根拠に基づいてのみ処理されることを意味する。 |
| Voorschriften voor gebruikers en derde partijen | ユーザーおよび第三者に対する規定 |
| • Gegevens mogen niet worden gebruikt voor de ontwikkeling van concurrerende verbonden producten, maar wel voor het ontwikkelen van gerelateerde of andere diensten. | • データは、競合する関連製品の開発には使用してはならないが、関連サービスまたはその他のサービスの開発には使用することができる。 |
| • Gegevens mogen niet worden gebruikt om inzicht te verkrijgen in de economische situatie van een fabrikant of gegevenshouder, om druk uit te oefenen voor gegevenstoegang, of om zonder expliciete toestemming van de gegevenshouder, technische beschermingsmaatregelen te wijzigen. | • データは、製造業者またはデータ保有者の経済状況を把握するため、データへのアクセスを要求するために圧力をかけるため、またはデータ保有者の明示的な同意なしに技術的保護措置を変更するために使用してはならない。 |
| Specifieke voorschriften voor derde partijen | 第三者に対する具体的な規定 |
| • De derde partij mag ontvangen gegevens uitsluitend gebruiken voor doeleinden waarvoor de gebruiker toestemming heeft gegeven en binnen de overeengekomen voorwaarden. Gegevens moeten worden gewist zodra deze niet langer nodig zijn voor het overeengekomen doel, tenzij anders is afgesproken in het geval van niet-persoonsgegevens. | • 第三者は、受け取ったデータを、ユーザーが同意した目的および合意された条件の範囲内でのみ使用しなければならない。データは、合意された目的のために不要になった時点で直ちに消去されなければならない。ただし、非個人データについては、別途合意がある場合を除く。 |
| • Het moet voor de gebruiker even gemakkelijk zijn om de toegang van de derde partij tot de gegevens te weigeren of stop te zetten, als het voor de gebruiker is om toegang te verlenen. De derde partij mag het de gebruiker niet onnodig moeilijk maken om zijn keuzes of rechten uit te oefenen. | • ユーザーが第三者へのデータアクセスを拒否または停止することは、アクセスを許可することと同様に容易でなければならない。第三者は、ユーザーが自身の選択や権利を行使することを不必要に困難にしてはならない。 |
| • De derde partij mag de ontvangen gegevens niet gebruiken om personen te profileren tenzij dit noodzakelijk is om de door de gebruiker gevraagde dienst te verlenen. | • 第三者は、ユーザーから依頼されたサービスを提供するために必要な場合を除き、受け取ったデータを用いて個人をプロファイリングしてはならない。 |
| • De derde partij mag de ontvangen gegevens niet doorgeven aan een andere derde partij, tenzij dat gebeurt op basis van een overeenkomst met de gebruiker. | • 第三者は、ユーザーとの合意に基づく場合を除き、受け取ったデータを他の第三者に提供してはならない。 |
| • De derde partij mag de ontvangen gegevens niet doorgeven aan bedrijven die zijn aangemerkt als poortwachter, zoals bedoeld in de Verordening digitale markten. | • 第三者は、デジタル市場規則で定義される「ゲートキーパー」に指定された企業に対し、受け取ったデータを提供してはならない。 |
| • De derde partij mag de ontvangen gegevens niet gebruiken als dat negatieve gevolgen heeft voor de veiligheid van een verbonden product of gerelateerde dienst. | • 第三者は、接続された製品または関連サービスの安全性に悪影響を及ぼす場合、受け取ったデータを使用してはならない。 |
| • Van de derde partij wordt verwacht dat hij de specifieke maatregelen naleeft die met de gegevenshouder of de houder van een bedrijfsgeheim zijn overeengekomen. De derde partij wordt bovendien expliciet verboden de vertrouwelijkheid van bedrijfsgeheimen te ondermijnen. | • 第三者は、データ保有者または営業秘密の保有者と合意した具体的な措置を遵守することが求められる。さらに、第三者は営業秘密の機密性を損なうことを明示的に禁じられる。 |
| • De derde partij die gegevens ontvangt, mag een gebruiker die een consument is niet hinderen, bijvoorbeeld door middel van contractvoorwaarden, om de gegevens met een andere partij te delen. | • データを受領する第三者は、契約条件などを通じて、消費者であるユーザーが他の当事者とデータを共有することを妨げてはならない。 |
| Herstelmaatregelen | 是正措置 |
| Wanneer een gegevensontvanger zich niet aan de bovengenoemde voorschriften houdt, kunnen de gegevenshouder, de gebruiker, of de houder van bedrijfsgeheimen herstelmaatregelen inroepen. Deze herstelmaatregelen omvatten het wissen van gegevens, het staken van productie en handel, het informeren van gebruikers, en het schadeloos stellen van een partij die schade heeft geleden. | データ受領者が上記の規定を遵守しない場合、データ保有者、ユーザー、または営業秘密の保有者は是正措置を求めることができる。これらの是正措置には、データの消去、製造および販売の停止、ユーザーへの通知、および損害を被った当事者への賠償が含まれる。 |
| Voorwaarden voor gegevensdeling met derde partijen | 第三者とのデータ共有の条件 |
| Wanneer de gegevenshouder verplicht is gegevens te delen met een derde partij, moet daarvoor een overeenkomst worden opgesteld met eerlijke, redelijke, niet-discriminerende en transparante voorwaarden (FRAND-normen). Daarnaast bepaalt de Dataverordening dat bepaalde eenzijdig opgelegde contractuele bepalingen als oneerlijk worden beschouwd en daarom niet bindend zijn. | データ保有者が第三者とデータを共有する義務を負う場合、公正、合理的、非差別的かつ透明な条件(FRAND基準)に基づく契約を締結しなければならない。さらに、データ保護規則は、一方的に課された特定の契約条項を不公正とみなし、したがって拘束力を持たないと定めている。 |
| Redelijke vergoedingen | 妥当な対価 |
| De gegevenshouder en gegevensontvanger kunnen onderling afspraken maken over een vergoeding voor het beschikbaar stellen van gegevens. Dit is enkel toegestaan in relaties tussen ondernemingen onderling en is niet toegestaan in de relatie tussen een gegevenshouder en een consument. De vergoeding mag niet worden opgevat als betaling voor de gegevens zelf. | データ保有者とデータ受領者は、データの提供に対する対価について相互に合意することができる。これは企業間の関係においてのみ認められ、データ保有者と消費者の関係においては認められない。対価は、データそのものに対する支払いと解釈されてはならない。 |
| Bij het overeenkomen van de vergoedingen moet hoofdzakelijk rekening gehouden worden met de (technische) kosten voor het beschikbaar stellen van gegevens en de investeringen in het verzamelen en produceren van gegevens. Voor micro- en kleine ondernemingen of onderzoeksorganisaties zonder winstoogmerk mogen alleen de (technische) kosten voor het beschikbaar stellen van gegevens worden meegenomen. | 対価を合意するにあたっては、主にデータの提供にかかる(技術的)コストおよびデータの収集・作成への投資を考慮しなければならない。零細企業や小規模企業、あるいは非営利の研究機関については、データの提供にかかる(技術的)コストのみを考慮に入れることができる。 |
| Standaardcontracten | 標準契約 |
| De Europese Commissie heeft modelcontractvoorwaarden, de zogenoemde “Model Contractual Terms” (hierna: MCT’s), ontwikkeld en aanbevolen om partijen te helpen bij de implementatie van de voorschriften. Deze MCT's bieden sjablonen voor eerlijke, redelijke en niet-discriminerende contractuele rechten en plichten, inclusief de bescherming van bedrijfsgeheimen. Het gebruik van de MCT's is niet verplicht, maar zij bieden praktische ondersteuning voor naleving van de Dataverordening in verschillende typen commerciële relaties. | 欧州委員会は、当事者が規制を実施するのを支援するため、いわゆる「モデル契約条項」(以下、MCT)を策定し、推奨している。これらのMCTは、営業秘密の保護を含め、公正かつ合理的で、かつ差別的でない契約上の権利と義務に関するテンプレートを提供するものである。MCTの使用は義務付けられていないが、様々な種類の商業関係において、一般データ保護規則(GDPR)への準拠に向けた実用的な支援を提供するものである。 |
目次...
| De leidraad in het kort | ガイドラインの概要 |
| 1 Inleiding | 1 はじめに |
| 1.1 De Dataverordening | 1.1 一般データ保護規則 |
| 1.2 Het doel van deze leidraad | 1.2 本ガイドラインの目的 |
| 1.3 Voor wie is deze leidraad bedoeld? | 1.3 本ガイドラインの対象者 |
| 1.4 Leeswijzer | 1.4 読み方 |
| 2 Reikwijdte en begrippen | 2 適用範囲と用語 |
| 2.1 Inleiding | 2.1 はじめに |
| 2.2 Voor wie gelden de regels uit de Dataverordening? | 2.2 一般データ保護規則の規定は誰に適用されるのか |
| 2.3 Vanaf wanneer gelden de regels uit de Dataverordening? | 2.3 データ保護規則の規定はいつから適用されるのか? |
| 2.4 De belangrijkste actoren in de Dataverordening | 2.4 データ保護規則における主な関係者 |
| 2.5 Belangrijkste definities | 2.5 主な定義 |
| 2.6 Samenloop AVG | 2.6 GDPRとの併存 |
| 2.7 Samenloop overige wetgeving | 2.7 その他の法令との併存 |
| 3 Informatieverplichting | 3 情報提供義務 |
| 3.1 Inleiding | 3.1 はじめに |
| 3.2 Wat houdt de verplichting in? | 3.2 義務の内容とは? |
| 3.3 Te verschaffen informatie over een verbonden product | 3.3 関連製品に関する提供すべき情報 |
| 3.4 Te verschaffen informatie over een gerelateerde dienst | 3.4 関連サービスに関する提供すべき情報 |
| 4 Toegang tot gegevens uit een verbonden product of gerelateerde dienst | 4 関連製品または関連サービスからのデータへのアクセス |
| 4.1 Inleiding | 4.1 はじめに |
| 4.2 Directe en indirecte toegangsverlening | 4.2 直接的および間接的なアクセスの提供 |
| 4.3 Directe toegang tot gegevens (access-by-design) | 4.3 データへの直接アクセス(アクセス・バイ・デザイン) |
| 4.4 Indirecte toegang op verzoek | 4.4 要請に基づく間接的なアクセス |
| 4.5 Tot welke gegevens moet toegang worden verschaft | 4.5 アクセスを提供すべきデータ |
| 4.6 Eisen aan het geven van toegang | 4.6 アクセス提供に関する要件 |
| 4.7 Uitzonderingsgevallen waarin het is toegestaan om het delen van gegevens te weigeren vanwege beveiligingsrisico’s of bedrijfsgeheimen | 4.7 セキュリティリスクまたは営業秘密を理由にデータ共有を拒否することが認められる例外 |
| 4.8 Geschilbeslechting bij de beperking van de toegang tot gegevens | 4.8 データへのアクセス制限に関する紛争解決 |
| 5 Voorschriften, voorwaarden en overeenkomsten over het delen van gegevens | 5 データ共有に関する規定、条件および契約 |
| 5.1 Inleiding | 5.1 はじめに |
| 5.2 Voorschriften voor gegevenshouders | 5.2 データ保有者に対する規定 |
| 5.3 Voorschriften voor gebruikers en derde partijen | 5.3 利用者および第三者に対する規定 |
| 5.4 Voorschriften voor het delen van gegevens door de gegevenshouder | 5.4 データ保有者によるデータ共有に関する規定 |
| 5.5 Vergoeding voor het beschikbaar stellen van gegevens | 5.5 データ提供に対する対価 |
| 5.6 Standaardcontracten | 5.6 標準契約書 |
意見募集を受けての「データ共有ガイドライン」の改訂
・[PDF] Aanpassingen Leidraad Data Delen n.a.v. consultatie
| Aanpassingen Leidraad Data Delen n.a.v. consultatie | 意見募集を受けての「データ共有ガイドライン」の改訂 |
| De ACM heeft de afgelopen maanden gewerkt aan een nieuwe versie van de Leidraad Data Delen. Op 11 september 2025 heeft de ACM een conceptversie van de leidraad ter consultatie gepubliceerd.[1] | ACMはここ数ヶ月、「データ共有ガイドライン」の新版作成に取り組んできた。2025年9月11日、ACMは同ガイドラインの草案を意見募集のために公表した。[1] |
| Geïnteresseerden kregen gedurende zes weken, tot 31 oktober 2025, de gelegenheid om een reactie in te dienen. De ACM heeft diverse schriftelijke reacties ontvangen, die hebben geleid tot verschillende aanpassingen. Daarnaast heeft de Europese Commissie nieuwe documentatie gepubliceerd, die eveneens door de ACM is verwerkt. Ten slotte heeft de ACM op eigen initiatief wijzigingen aangebracht en de leidraad aangevuld. De gewijzigde versie van de leidraad is tevens voorgelegd aan de Europese Commissie ter consultatie. Let op: de leidraad die nu door de ACM wordt gepubliceerd betreft een voorlopige versie, welke zal worden geactualiseerd op basis van later dit jaar te verschijnen richtsnoeren van de Europese Commissie. | 関心のある関係者には、2025年10月31日までの6週間、意見提出の機会が与えられた。ACMは様々な書面による意見を受け取り、これに基づいていくつかの修正を行った。さらに、欧州委員会が新たな文書を公表しており、ACMはこれについても反映させた。最後に、ACMは独自の判断で変更を加え、ガイドラインを補足した。改訂版ガイドラインは、欧州委員会にも意見募集のために提出された。注意:現在ACMが公表しているガイドラインは暫定版であり、今年後半に公表される予定の欧州委員会の指針に基づき更新される予定である。 |
| De ACM adviseert bedrijven die te maken hebben met verbonden producten en bijbehorende diensten, alsmede andere geïnteresseerden, om de leidraad opnieuw te bestuderen. In dit document informeert de ACM u over de gevolgen die in algemene zin aan de consultatiereacties zijn gegeven en over de belangrijkste wijzigingen van de leidraad. | ACMは、関連製品および関連サービスを取り扱う企業、ならびにその他の関係者に対し、本ガイドラインを改めて検討するよう推奨する。本文書において、ACMは、意見募集への回答が全体としてどのような影響を与えたか、およびガイドラインの主な変更点について説明する。 |
| Consultatiereacties | パブリックコメント |
| De ACM heeft de leidraad over het algemeen aangepast naar aanleiding van de volgende consultatiereacties: | ACMは、以下のパブリックコメントを受けて、ガイドラインを全体的に改訂した。 |
| • Verzoeken om meer informatie te verstrekken over onderdelen van hoofdstuk 2 en 3 van de Dataverordening die in de conceptleidraad niet waren opgenomen. | • 草案ガイドラインに含まれていなかった、一般データ保護規則(GDPR)の第2章および第3章の項目について、より詳細な情報を提供するよう求める要望。 |
| • Verzoeken om aanvullende toelichting waar mogelijk, bijvoorbeeld door te verwijzen naar relevante overwegingen uit de Dataverordening, aanverwante wetgeving of andere bronnen. | • 可能な限り、例えばデータ保護規則の関連する考慮事項、関連法規、またはその他の情報源への言及を通じて、補足的な説明を求める要望。 |
| • Constateringen dat bepaalde uitleg van de wettekst van de Dataverordening niet volledig in lijn was met hetgeen in de verordening zelf is opgenomen, bijvoorbeeld in de overwegingen. | • データ保護規則の条文に関する特定の解釈が、規則自体(例えば、その考慮事項)に盛り込まれている内容と完全に一致していないという指摘。 |
| Uit enkele consultatiereacties kwam de wens naar voren voor meer uitleg over de wijze waarop de ACM toezicht zal houden. De ACM begrijpt deze wens, maar kan hier momenteel nog slechts beperkt over informeren. De invulling van het toezicht is afhankelijk van diverse externe factoren en bovendien nog volop in ontwikkeling. Daarnaast is de leidraad niet de meest geschikte plaats om deze informatie op te nemen, aangezien de leidraad vooral praktische handvatten wil bieden voor de toepassing van de wet en voor de wijze waarop bedrijven hieraan kunnen voldoen.[2] Vanzelfsprekend streeft de ACM ernaar de leidraad in de toekomst bij te werken op basis van ervaringen met het toezicht op de Dataverordening. | 一部の意見募集への回答からは、ACMがどのように監督を行うかについて、より詳しい説明を求める声が上がった。ACMはこの要望を理解しているが、現時点ではこれについて限られた情報しか提供できない。監督の具体的な実施方法は、様々な外部要因に依存しており、さらに現在もなお発展途上にある。加えて、本ガイドラインは、主に法の適用および企業がこれを遵守する方法に関する実践的な指針を提供することを目的としているため、こうした情報を盛り込むには最も適した場ではない。[2] 当然のことながら、ACMは今後、データ保護規則の監督における経験を踏まえて、本ガイドラインを更新していくことを目指している。 |
| Belangrijkste wijzigingen in de leidraad | ガイドラインの主な変更点 |
| Algemeen | 全般 |
| • De taal en spelling in het gehele document zijn vereenvoudigd en gecorrigeerd. | • 文書全体の言葉遣いや表記を簡素化し、修正した。 |
| • De lay-out van het document is geüpdatet. | • 文書のレイアウトを更新した。 |
| • Diverse voorbeelden en illustraties zijn toegevoegd. | • 様々な事例や図解が追加された。 |
| Autoriteit Consument en Markt Openbaar | 消費者・市場庁 公開 |
| Zaaknr. ACM/25/199472 / Documentnr. ACM/UIT/666323 | 案件番号 ACM/25/199472 / 文書番号 ACM/UIT/666323 |
| • Aanvullende informatie uit de FAQ,3 handvatten in de automotivesector,4 en conceptversies van nog te verschijnen richtsnoeren van de Europese Commissie zijn verwerkt. | • FAQ3、自動車業界向けの手引き4、および欧州委員会が今後公表予定のガイドラインの草案から得られた追加情報が反映された。 |
| Samenvatting | 要約 |
| • De samenvatting is herschreven en ingekort, onder andere als gevolg van inhoudelijke wijzigingen in het gehele document. | • 文書全体の内容変更などを踏まえ、要約を書き直し、短縮した。 |
| Hoofdstuk 1: Inleiding | 第1章:序論 |
| • Er zijn geen grote inhoudelijke wijzigingen aangebracht. | • 内容上の大きな変更はない。 |
| Hoofdstuk 2: Reikwijdte en begrippen | 第2章:適用範囲および用語 |
| • De overgangsperiode voor de “access-by-design”-verplichting en de contractvoorwaarden is nader toegelicht. | • 「アクセス・バイ・デザイン」義務および契約条件に関する移行期間について、さらに詳細な説明が加えられた。 |
| • De belangrijkste actoren uit de verordening zijn verduidelijkt, met aanvullende uitleg en voorbeelden. | • 規則における主要な関係者が明確化され、補足的な説明や事例が追加された。 |
| • De definitie van een verbonden product is aangescherpt en uitgebreid. | • 接続製品の定義が明確化され、拡充された。 |
| • Voorbeelden van gerelateerde diensten zijn toegevoegd. | • 関連サービスの事例が追加された。 |
| • Nieuwe definities zijn opgenomen voor diverse typen gegevens, zoals ruwe gegevens, voorbewerkte gegevens en afgeleide gegevens. Daarnaast is meer uitleg en zijn aanvullende voorbeelden toegevoegd voor de overige gegevenscategorieën. | • 生データ、前処理データ、派生データなど、様々な種類のデータに関する新たな定義が盛り込まれた。また、その他のデータカテゴリーについても、より詳しい説明と追加の事例が加えられた。 |
| Hoofdstuk 3: Informatieverplichting | 第3章:情報提供義務 |
| • Er is meer uitleg gegeven over het moment waarop informatie verstrekt dient te worden. | • 情報を提供すべき時期について、より詳しい説明が加えられた。 |
| • Er is meer toelichting gegeven over de informatie die moet worden verschaft. | • 提供すべき情報について、より詳しい解説が加えられた。 |
| Hoofdstuk 4: Toegang tot gegevens uit een verbonden product of gerelateerde dienst | 第4章:接続製品または関連サービスからのデータへのアクセス |
| • De opbouw van dit hoofdstuk is grondig herzien ten behoeve van de leesbaarheid en begrijpelijkheid. Zo is paragraaf 4.1 gesplitst in de paragrafen 4.1 en 4.2, is het stroomschema verduidelijkt en is dubbele informatie zoveel mogelijk verwijderd. | • 読みやすさと理解しやすさを向上させるため、本章の構成を徹底的に見直した。具体的には、4.1項を4.1項と4.2項に分割し、フローチャートを明確化し、重複する情報を可能な限り削除した。 |
| • In verschillende paragrafen zijn voorbeelden toegevoegd. | • いくつかの段落に例が追加された。 |
| • De verhouding tussen de verschillende toegangsverplichtingen is nader toegelicht. | • 各種アクセス義務間の関係について、さらに詳しく説明された。 |
| • Paragraaf 4.5, over de typen gegevens waarvoor toegang moet worden verleend, is volledig herschreven en uitgebreid. | • アクセスを許可すべきデータの種類に関する第4.5項は、全面的に書き直され、内容が拡充された。 |
| • De voorwaarden voor toegangsverlening zijn uitgebreider toegelicht, onder meer door termen beter te definiëren en meer voorbeelden toe te voegen. | • アクセス許可の条件について、用語の定義を明確化したり、例を追加したりするなどして、より詳しく説明された。 |
| • Paragraaf 4.7, over de uitzonderingsgronden, is herschreven en verduidelijkt. | • 例外事由に関する第4.7項は、書き直され、明確化された。 |
| • Paragraaf 4.8, over geschilbeslechting, is toegevoegd. | • 紛争解決に関する第4.8項が追加された。 |
| Hoofdstuk 5: Voorschriften, voorwaarden en overeenkomsten over het delen van gegevens | 第5章:データ共有に関する規定、条件および合意 |
| • In paragraaf 5.2 is een voorbeeld toegevoegd. | • 第5.2項に例が追加された。 |
| • Paragraaf 5.3.3 is herschreven ten behoeve van de duidelijkheid. Onder andere de opsommingen zijn vereenvoudigd en gesplitst. | • 第5.3.3項は、明確化のために書き直された。とりわけ、箇条書きは簡素化され、分割された。 |
| • Paragraaf 5.5 is volledig herzien en uitgebreid op basis van een conceptversie van nog te publiceren richtsnoeren van de Europese Commissie over redelijke vergoedingen.5 | • 第5.5項は、欧州委員会が今後公表予定の「適正な対価」に関するガイドラインの草案に基づき、全面的に見直され、拡充された。5 |
[2] ACMがデジタル経済をどのように監督しているかについての詳細は、以下を参照のこと:https://www.acm.nl/nl/publicaties/speerpunten-van-het-acm-toezicht-op-de-digitale-economie-2026
[4] https://digital-strategy.ec.europa.eu/nl/library/guidance-vehicle-data-accompanying-data-act
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.11.22 欧州委員会 EU企業の成長を支援する簡素化されたデジタル規則 (オムニバス法)
・2025.11.03 欧州議会 AI法とEUデジタル立法フレームワークの相互作用 (2025.10.30)
2026.05.31
シンガポール エージェンティックAIのためのAIガバナンスフレームワークVer. 1.5 (2026.05.20)
こんにちは、丸山満彦です。
シンガポールの情報通信メディア開発庁が、2026年1月に公表したエージェンティックAIのためのAIガバナンスフレームワークをVer. 1.5に改定していますね...
かなり力作ではありますよね...
● Sigapore - Infocomm Media Development Authority
・2026.05.20 [PDF] MODEL AI GOVERNANCE FRAMEWORK FOR AGENTIC AI Version 1.5 
目次...
| Executive Summary | エグゼクティブサマリー |
| What’s new in this version | 本バージョンの新機能 |
| 1 Introduction to Agentic AI | 1 エージェンティックAIの序論 |
| 1.1 What is Agentic AI? | 1.1 エージェンティックAIとは何か |
| 1.1.1 Core components of an agent | 1.1.1 エージェントの主要構成要素 |
| 1.1.2 Multi-agent setups | 1.1.2 マルチエージェント構成 |
| 1.1.3 How agent design affects the limits and capabilities of each agent | 1.1.3 エージェントの設計が各エージェントの限界と能力に与える影響 |
| 1.2 Risks of Agentic AI | 1.2 エージェンティックAIのリスク |
| 1.2.1 Sources of risk | 1.2.1 リスクの要因 |
| 1.2.2 Types of risk | 1.2.2 リスクの種類 |
| 1.2.3 Systemic and multi-agent risks | 1.2.3 システミックリスクおよびマルチエージェントリスク |
| 2 Model AI Governance Framework for Agentic AI | 2 エージェンティックAIのためのモデルAIガバナンスフレームワーク |
| 2.1 Assess and bound the risks upfront | 2.1 リスクを事前にアセスメントし、範囲を限定する |
| 2.1.1 Determine suitable use cases for agent deployment | 2.1.1 エージェント展開に適したユースケースを決定する |
| 2.1.2 Bound risks through design by defining agents limits and permissions | 2.1.2 エージェントの制限と権限を定義することで、設計を通じてリスクを抑制する |
| 2.2 Make humans meaningfully accountable | 2.2 人間に有意義な説明責任を負わせる |
| 2.2.1 Clear allocation of responsibilities within and outside the organisation | 2.2.1 組織内外における責任の明確な割り当て |
| 2.2.2 Design for meaningful human oversight | 2.2.2 有意義な人的監督を可能にする設計を行う |
| 2.3 Implement technical controls and processes | 2.3 技術的統制とプロセスを実装する |
| 2.3.1 During design and development, use technical controls | 2.3.1 設計および開発段階において、技術的制御を活用する |
| 2.3.2 Before deploying, test agents | 2.3.2 展開前にエージェントをテストする |
| 2.3.3 When deploying, continuously monitor and test | 2.3.3 展開時には、継続的に監視およびテストを行う |
| 2.4 Enable end-user responsibility | 2.4 エンドユーザーの責任を明確にする |
| 2.4.1 Different users, different needs | 2.4.1 ユーザーによってニーズは異なる |
| 2.4.2 Users who interact with agents | 2.4.2 エージェントとやり取りするユーザー |
| 2.4.3 Users who integrate agents into their work processes | 2.4.3 業務プロセスにエージェントを組み込むユーザー |
| Annex A: Further resources | 附属書A:関連リソース |
| Annex B: Call for feedback and case studies | 附属書B:フィードバックおよび事例研究の募集 |
| Acknowledgements | 謝辞 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| Agentic AI is the next evolution of AI, holding transformative potential for users and businesses. Compared to generative AI, AI agents can take actions, adapt to new information, and interact with other agents and systems to complete tasks on behalf of humans. While use cases are rapidly evolving, agents are already transforming the workplace through coding assistants, customer service agents, and automating enterprise productivity workflows. | エージェンティックAIはAIの次の進化形であり、ユーザーや企業に変革をもたらす可能性を秘めている。生成的AIと比較して、AIエージェントは行動を起こし、新しい情報に適応し、他のエージェントやシステムと連携して、人間の代わりにタスクを完了することができる。ユースケースは急速に進化しているが、エージェントはすでに、コーディングアシスタント、カスタマーサービスエージェント、エンタープライズの生産性ワークフローの自動化を通じて、職場を変革しつつある。 |
| These greater capabilities also bring forth new risks. Agents’ access to sensitive data and ability to make changes to their environment, such as updating a customer database or making a payment, are double-edged swords. As we move towards deploying multiple agents with complex interactions, outcomes also become more unpredictable. | こうした高度な機能は、新たなリスクももたらす。エージェントが機密データにアクセスしたり、顧客データベースの更新や支払いの実行など、環境を変更する能力を持つことは、諸刃の剣である。複雑な相互作用を持つ複数のエージェントを展開する方向へ進むにつれ、結果もより予測困難になる。 |
| Humans must remain accountable and properly manage these risks. While existing governance principles for trusted AI such as transparency, accountability and fairness continue to apply, they need to be translated in practice for agents. Additionally, meaningful human control and oversight need to be integrated into the agentic AI lifecycle. Nevertheless, a balance needs to be struck as continuous human oversight over all agent workflows becomes impractical at scale. | 人間は責任を負い続け、これらのリスクを適切に管理しなければならない。透明性、説明責任、公平性といった信頼できるAIのための既存のガバナンス原則は引き続き適用されるが、エージェントに対して実践的に適用する必要がある。さらに、有意義な人間の制御と監視をエージェンティックAIのライフサイクルに組み込む必要がある。とはいえ、すべてのエージェントのワークフローに対する継続的な人間の監視は、規模が大きくなると現実的ではなくなるため、バランスを取る必要がある。 |
| The Model AI Governance Framework (MGF) for Agentic AI gives organisations a structured overview of the risks of agentic AI and emerging best practices in managing these risks. If risks are properly managed, organisations can adopt agentic AI with greater confidence. The MGF is targeted at organisations looking to deploy agentic AI, whether by developing AI agents in-house or using third-party agentic solutions. | エージェンティックAIのためのモデルAIガバナンスフレームワーク(MGF)は、組織に対し、エージェンティックAIのリスクと、これらのリスクを管理するための新たなベストプラクティスについて、体系的な概要を提供する。リスクが適切に管理されれば、組織はより確信を持ってエージェンティックAIを導入できる。MGFは、社内でAIエージェントを開発する場合でも、サードパーティのエージェンティックソリューションを利用する場合でも、エージェンティックAIの展開を検討している組織を対象としている。 |
| Building on our previous model governance frameworks, we have outlined key considerations for organisations in four areas for agentic AI: | これまでのモデルガバナンスフレームワークを基に、エージェンティックAIに関して組織が考慮すべき4つの主要な事項をまとめた。 |
| 1. Assess and bound the risks upfront | 1. リスクを事前にアセスメントし、範囲を限定する |
| Organisations should adapt their internal structures and processes to account for new risks from agents. Key to this is first understanding the risks posed by the agent’s actions, which depend on factors such as the scope of actions the agent can take, the reversibility of those actions, and the agent’s level of autonomy. | 組織は、エージェントによる新たなリスクに対応できるよう、内部の構造やプロセスを適応させるべきである。その鍵となるのは、まずエージェントの行動がもたらすリスクを理解することであり、これにはエージェントが実行可能な行動の範囲、それらの行動の可逆性、およびエージェントの自律性のレベルといった要因が影響する。 |
| To manage these risks early, organisations could limit their agents' scope of impact by designing appropriate boundaries at the planning stage, such as limiting access to tools and external systems. They could also ensure that the agent’s actions are traceable and controllable through measures such as identity management and access controls for agents. | これらのリスクを早期に管理するため、組織は計画段階で適切な境界を設定し、ツールや外部システムへのアクセスを制限するなどして、エージェントの影響範囲を限定することができる。また、エージェントのID管理やアクセス管理などの措置を通じて、エージェントの行動が追跡可能かつ制御可能であることを確保することもできる。 |
| 2. Make humans meaningfully accountable | 2. 人間に実質的な説明責任を負わせる |
| Once the “green light” is given for agentic AI deployment, an organisation should take steps to ensure human accountability. | エージェンティックAIの展開に「ゴーサイン」が出されたら、組織は人間の説明責任を確保するための措置を講じるべきである。 |
| However, the autonomy of agents may complicate traditional responsibility assignments which are tied to static workflows. Multiple actors may also be involved in different parts of the agent lifecycle, diffusing accountability. It is therefore important to clearly define the responsibilities of different stakeholders, both within the organisation and with external vendors, while emphasising adaptive governance, so that the organisation is set up to quickly understand new developments and update its approach as the technology evolves. | しかし、エージェントの自律性は、静的なワークフローに紐づく従来の責任の割り当てを複雑にする可能性がある。また、エージェントのライフサイクルの異なる段階に複数の関係者が関与することで、説明責任が分散してしまう恐れもある。したがって、組織内および外部ベンダーを含む各ステークホルダーの責任を明確に定義するとともに、適応型ガバナンスを重視することが重要である。そうすることで、組織は新たな動向を迅速に把握し、技術の進化に合わせてアプローチを更新できる体制を整えることができる。 |
| Specifically, “human-in-the-loop” has to be adapted to address automation bias, which has become a bigger concern with increasingly capable agents. This includes defining significant checkpoints in the agentic workflow that require human approval, such as high-stakes or irreversible actions, and regularly auditing human oversight to check that it remains effective over time. | 具体的には、エージェントの能力向上に伴い懸念が高まっている「自動化バイアス」に対処するため、「ヒューマン・イン・ザ・ループ」のアプローチを適応させる必要がある。これには、重大なリスクを伴う行動や取り返しのつかない行動など、人間の承認を必要とする重要なチェックポイントをエージェントのワークフローに定義すること、および人間の監督が長期にわたり有効に機能し続けているかを確認するために定期的に監査を行うことが含まれる。 |
| 3. Implement technical controls and processes | 3. 技術的統制とプロセスの導入 |
| Organisations should ensure the safe and reliable operationalisation of AI agents by implementing technical measures across the agent lifecycle. | 組織は、AIエージェントのライフサイクル全体にわたって技術的措置を実施することで、AIエージェントの安全かつ信頼性の高い運用を確保すべきである。 |
| During development, organisations should incorporate technical controls for new agentic components such as planning, tools and still-maturing protocols, to address increased risks from these new attack surfaces. | 開発段階では、計画、ツール、およびまだ成熟途上のプロトコルといった新しいエージェントコンポーネントに対して技術的制御を組み込み、これらの新たな攻撃対象領域から生じる増大したリスクに対処すべきである。 |
| Before deployment, organisations should test agents for baseline safety and reliability, including new dimensions such as overall execution accuracy, policy adherence, and tool use. New testing approaches will be needed to evaluate agents. | 展開前には、全体的な実行精度、ポリシーの順守、ツールの使用といった新たな側面を含め、エージェントの基本的な安全性と信頼性をテストすべきである。エージェントを評価するためには、新たなテスト手法が必要となる。 |
| During and after deployment, as agents interact dynamically with their environment and not all risks can be anticipated upfront, it is recommended to gradually roll out agents alongside continuous monitoring after deployment. | 展開中および展開後は、エージェントが環境と動的にやり取りするため、すべてのリスクを事前に予測することはできない。そのため、展開後は継続的な監視を行いながら、エージェントを段階的に展開することが推奨される。 |
| 4. Enable end-user responsibility | 4. エンドユーザーの責任を明確にする |
| Trustworthy deployment of agents does not rely solely on developers, but also on endusers using them responsibly. To enable responsible use, as a baseline, users should be informed of the agent’s range of actions, access to data, and the user’s own responsibilities. Organisations should consider layering on training to equip employees with the knowledge required to manage human-agent interactions and exercise effective oversight, while maintaining their tradecraft and foundational skills. | エージェントの信頼性の高い展開は、開発者だけに依存するものではなく、責任を持って使用するエンドユーザーにも依存する。責任ある利用を可能にするため、最低限、ユーザーにはエージェントの動作範囲、データへのアクセス権限、およびユーザー自身の責任について周知すべきである。組織は、従業員が人間とエージェントの相互作用を管理し、効果的な監督を行うために必要な知識を身につけられるよう、トレーニングを段階的に実施することを検討すべきである。その際、従業員の専門技術や基礎的なスキルを維持することも重要である。 |
| This is a living document. We have worked with government agencies and leading companies to collate current best practices and contribute realworld case studies, but this is a fast-developing space. This framework will need to be continuously updated to keep pace with new developments. We invite feedback to refine the framework, and more case studies demonstrating how the framework can be applied for responsible agentic deployment. | これは継続的に更新される文書である。我々は政府機関や主要企業と協力し、現在のベストプラクティスをまとめ、実世界の事例研究を提供してきたが、この「 」は急速に発展している分野である。このフレームワークは、新たな動向に対応するために継続的に更新される必要がある。フレームワークを洗練させるためのフィードバック、および責任あるエージェント展開にフレームワークを適用する方法を示すさらなる事例研究を歓迎する。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.05.19 シンガポール 情報通信メディア開発庁 事例研究:OPENCLAWの責任ある展開 (2026.05.14) とエージェンティックAIのためのAIガバナンスのモデルフレームワーク (2026.01.22)
・2026.05.17 WEF 政府におけるエージェンティックAIの活用:導入準備フレームワーク (2026.04.24)
・2026.05.08 Five Eyes エージェンティックAIの慎重な導入 (2026.05.01)
・2026.05.05 英国 CyberUK2026 (2026.04.21-23) における安全保障大臣のスピーチ
・2026.04.17 英国 デジタル規制協力フォーラム テーマ別イノベーション・ハブ第1弾「エージェンティックAI」の主なポイント (2026.04.10)
・2026.04.13 CSA NIST AIエージェントのセキュリティ:レッドチーム活動に関するガイダンスとエンタープライズコンプライアンス (2026.03.31)
・2026.04.10 経済産業省 AI利活用における民事責任の解釈適用に関する手引き (2026.04.09)
・2026.04.01 総務省 「AI事業者ガイドライン第1.2版」と「AI事業者ガイドライン活用の手引き(案)」(2026.03.31)
・2026.03.27 OWASP 2026年版 エージェント型アプリケーション向けOWASP Top 10 (2025.12.09)
・2026.03.11 オランダ データ保護庁 AIとアルゴリズム (2026.03.05)
・2026.03.08 OECD エージェンティックAIの展望とその概念的基盤
・2026.03.07 米国 トランプ大統領のアメリカのためのサイバー戦略 (2026.03.06)
・2026.03.02 論文 インテリジェントAI委任 (2026.02.12)
・2026.02.04 シンガポール 韓国 現実的なタスクにおけるデータ漏洩リスクに対するAIエージェントのテスト (2026.01.19)
・2026.01.15 英国 ICO技術展望: エージェント型AI(Agentic AI)
・2025.11.18 Code Blue 2025@Tokyoは今日と明日
・2025.10.28 オーストラリア AI導入ガイダンス (2025.10.21) と AIポリシーガイドとテンプレート (2025.10.02) など
・2025.10.09 英国 ICOの内部AI利用規定が公表され、多くの人が参考にできるようになっていますね...
・2025.09.24 金融庁 G7サイバー・エキスパート・グループによるAI及びサイバーセキュリティに関するステートメントの公表 (2025.09.22)
・2025.04.07 米国 上院軍事委員会 AIのサイバー能力の活用に関する証言 (2025.03.25)
2026.05.30
経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)特設サイト (2026.05.29)
こんにちは、丸山満彦です。
経済産業省が、サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)特設サイトを開設しましたね...
FAQもあります。
まずは、制度理解が重要となりますので、ぜひ覗いてみてくださいませ...
● 経済産業省
・サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)
FAQの目次...
註:本FAQは、SCS評価制度における制度構築方針に対してよく寄せられる質問に対し、最終更新日時点での回答を記載したものであり、今後の制度詳細化に当たって内容が変更される可能性があることを、あらかじめ御承知おき下さい。
Q1 SCS評価制度の具体的な開始時期はいつですか?
Q2 ★3や★4の取得は必ですか?それとも任意ですか?
Q3 各★の取得情報(取得企業)は公開されるのでしょうか?
Q4 ★3の取得に必要となる、「専門家」とはどのような人材ですか?
Q5 評価機関はどこに公開されていますか?
Q6 SCS評価制度は、どのような業種や企業規模に適用されるのですか?
Q7 サイバーセキュリティお助け隊サービス(新類型)は、どのような支援を提供するのですか?
Q8 ★取得しないと委託契約を打ち切られると聞きました。本当ですか?
Q9 ISMSとSCS評価制度は何が違うのですか?
Q10 EDRや資産管理システムなど、特定のセキュリティ対策製品を導入しなければならないのですか?
Q11 ★3の取得に必要なチェックリストはどこで入手できますか?判定方法や合格基準も教えてください
Q12 ★3取得の際、社内の情報システム担当者が確認すれば良いのでしょうか?
Q13 ★3や★4の取得後、どのように「基準を達成しています」と宣言すれば良いですか?
Q14 ★4の評価機関とは具体的にどのような機関ですか?
Q15 制度の詳細や提出様式、受付開始時期などはいつ公表されますか?
Q16 サプライチェーンのどの範囲まで評価対象となりますか?(例:在宅勤務者や出向者の業務環境も含まれますか?)
Q17 ★の取得は公共事業の入札要件になりますか?
Q18 中小企業だけが対象ですか?大企業も評価対象になりますか?
Q19 ★3の有効期間は1年とありますが、取引期間が1年を超える場合はどうなりますか?
Q20 ★によって想定される脅威が異なると聞きましたが、どのような違いがありますか?
Q21 全ての要求事項・評価基準を満たさないと、制度開始後直ちに取引停止等になるのでしょうか?
回答も合わせると...回答は現時点ですから、制度が固まっていくと変わっていきます...
| Q1 | SCS評価制度の具体的な開始時期はいつですか? | A1 | 現時点では、SCS評価制度の開始時期(申請の受付開始時期)は令和8年度末頃(1月~3月頃)を予定しています。詳細なスケジュールや提出様式等については、令和8年度に具体化される予定ですので、SCS評価制度のスキームオーナーである独立行政法人情報処理推進機構(IPA)の公表をお待ちください。 |
| Q2 | ★3や★4の取得は必ですか?それとも任意ですか? | A2 | 本制度は、事業者間で委託元から委託先に対して求めるセキュリティ水準を分かりやすく提示し、サプライチェーン全体のセキュリティ水準を高めることを目的とした任意の制度です。 |
| ★の取得は委託元(または委託先)との取引契約において決められるものであり、本制度として何らかの規制を課すものではありません。 | |||
| 関連ワード:強制, 義務, 取引停止 | |||
| Q3 | 各★の取得情報(取得企業)は公開されるのでしょうか? | A3 | ★3や★4を取得した企業については、制度オーナーである独立行政法人情報処理推進機構(IPA)のWEBサイトで公開することを予定しています。詳細は令和8年度の制度具体化後にIPAから公表する予定です。 |
| Q4 | ★3の取得に必要となる、「専門家」とはどのような人材ですか? | A4 | ★3の「専門家確認付き自己評価」における「専門家」とは、制度構築方針p.20に記載の要件を満たす「セキュリティ専門家」を指します。具体的には、情報処理安全確保支援士、公認情報セキュリティ監査人、CISSP、CISM、CISA又はISO27001主任審査員等の資格保持者のうち、本制度における所定の研修を受講した者を想定しています。詳細な要件については、制度の具体化に伴い改めてIPAから公表する予定です。 |
| 関連ワード:登録セキスペ | |||
| Q5 | 評価機関はどこに公開されていますか? | A5 | ★4の第三者評価における評価機関は、制度構築方針p.39に記載の通り、令和8年12月頃を目途にIPAから公表される予定です。現時点では、指定・公表は行われていません。 |
| Q6 | SCS評価制度は、どのような業種や企業規模に適用されるのですか? | A6 | 業種や事業規模を問わず、幅広い事業者が対象となり得ます。サプライチェーンを構成する企業等を対象としていますが、取引先からの要請が無くても、各企業が自らのサイバーセキュリティ対策状況を可視化するために、マーク(★)を自主的に取得することも考えられます。 |
| Q7 | サイバーセキュリティお助け隊サービス(新類型)は、どのような支援を提供するのですか? | A7 | サイバーセキュリティお助け隊サービス(新類型)は、★3や★4の取得支援を目的としたサービスです。具体的には、セキュリティポリシー策定などの組織的対策の支援をサービス内容とする予定です。 |
| 詳細は下記URLをご参照ください。 | |||
| [web] | |||
| Q8 | ★取得しないと委託契約を打ち切られると聞きました。本当ですか? | A8 | 本制度は、2社間の取引契約等において、発注企業が、受注側に適切な段階(★)を提示し、示された対策の実施を促すとともに、実施状況を確認することを想定しています。 |
| したがって、★取得をどのような要件として契約上扱うかは、契約当事者同士で円満に合意されるべきものであり、独占禁止法上及び取適法上適切に本制度を活用することが求められます。 | |||
| 詳細は、下記URLを御参照ください。 | |||
| [web] | |||
| Q9 | ISMSとSCS評価制度は何が違うのですか? | A9 | SCS評価制度の★3及び★4は、代表的な脅威を参考に、効果の高い管理策を抽出するベースラインアプローチを採用しています。ISMS(情報セキュリティマネジメントシステム)とは相互補完的な制度と位置づけていますが、詳細な比較については制度構築方針p.28をご参照ください。 |
| Q10 | EDRや資産管理システムなど、特定のセキュリティ対策製品を導入しなければならないのですか? | A10 | ★の取得を希望する組織の規模やシステム構成によって求められる対応が必ずしも同一では無いことから、本制度の評価基準を達成するにあたっては、特定のセキュリティ対策製品の導入を求めるものではありません。 |
| Q11 | ★3の取得に必要なチェックリストはどこで入手できますか?判定方法や合格基準も教えてください | A11 | ★3・★4要求事項及び評価基準は制度構築方針と共に公開しています。詳細な評価方法は、来年度の制度具体化の過程でIPAから公表予定です(ガイダンス資料として、令和8年秋頃目途で公開予定です。)。 |
| Q12 | ★3取得の際、社内の情報システム担当者が確認すれば良いのでしょうか? | A12 | ★3の取得にあたっては、「セキュリティ専門家」による確認が必要です。単に社内の情報システム担当者であれば良いというものではありません。セキュリティ専門家の要件については、制度構築方針p.20をご参照ください。 |
| Q13 | ★3や★4の取得後、どのように「基準を達成しています」と宣言すれば良いですか? | A13 | ★3や★4の取得後の、取得企業における社外周知・広報活動に係る活用方法については、令和8年度の制度具体化の中でIPAから公表します。 |
| 関連ワード:ラベル, マーク | |||
| Q14 | ★4の評価機関とは具体的にどのような機関ですか? | A14 | ★4の評価機関については、制度構築方針p.21にて要件が示されています。現時点では、評価機関の指定・公表は行われておりません。制度構築方針p.39のスケジュール上で公表していないものについては、令和8年度の制度具体化の過程において、制度開始までにIPAから公表します。 |
| Q15 | 制度の詳細や提出様式、受付開始時期などはいつ公表されますか? | A15 | 制度の詳細や提出様式、受付開始時期等については、令和8年度の制度具体化の過程において、制度開始までにIPAから公表します。公表までお待ちください。 |
| Q16 | サプライチェーンのどの範囲まで評価対象となりますか?(例:在宅勤務者や出向者の業務環境も含まれますか?) | A16 | 現時点では、制度構築方針にて制度の方針が示されている段階です。詳細な評価対象の範囲については、令和8年度の制度具体化の過程において、制度開始までにIPAから公表します。公表までお待ちください。 |
| 関連ワード:テレワーク, 社外常駐者 | |||
| Q17 | ★の取得は公共事業の入札要件になりますか? | A17 | 政府機関等や重要インフラ事業者等における調達等での活用は、今後検討してまいります。 |
| 関連ワード:調達要件 | |||
| Q18 | 中小企業だけが対象ですか?大企業も評価対象になりますか? | A18 | 制度構築方針に記載の通り、業種や事業規模を問わず、幅広い事業者が対象となり得ます。中小企業だけでなく、大企業も評価対象とすることが可能なように制度を設計しています。 |
| Q19 | ★3の有効期間は1年とありますが、取引期間が1年を超える場合はどうなりますか? | A19 | 本制度は、2社間の取引契約等において、発注企業が、受注側に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認することを想定しています。 |
| したがって、契約上で★の取得状況をどのような要件として取り扱うかは、契約当事者同士で合意されるべきものでありますが、制度の趣旨に鑑みると、例えば当該契約の満了までは、必要な★の評価を維持し続けることを求める等の運用が考えられます。 | |||
| Q20 | ★によって想定される脅威が異なると聞きましたが、どのような違いがありますか? | A20 | ★によって想定される脅威については、制度構築方針にて「一般的なサイバー攻撃」と「未知の攻撃も含めた高度なサイバー攻撃」等の違いが示されています。詳細は制度構築方針をご参照ください。 |
| 関連ワード:脆弱性 | |||
| Q21 | 全ての要求事項・評価基準を満たさないと、制度開始後直ちに取引停止等になるのでしょうか? | A21 | 本制度は、事業者間で委託元から委託先に対して求めるセキュリティ水準を分かりやすく提示し、サプライチェーン全体のセキュリティ水準を高めることを目的とした任意の制度です。 |
| したがって、契約上で★の取得状況をどのような要件として取り扱うかは、契約当事者同士で合意されるべきものではありますが、例えば、★取得の有無のほかに、本制度の要求事項・評価基準を共通のチェックリストとして必要なセキュリティ基準を満たしているか確認するといった活用方法も想定されます。 | |||
| なお、本制度の開始は申請受付の開始を意味しており、制度開始時点において★を取得している企業は存在しません。 | |||
| 関連ワード:強制, 義務, ★取得できない, 一部不適合 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.04.29 経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)に係る不適切な勧誘に御注意ください (2026.04.27)
・2026.04.22 IPA サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)のWebページを公開 (2026.04.21)
・2026.04.14 金融庁 金融機関のサードパーティ・サイバーセキュリティリスク管理強化に関する調査 (2026.04.03)
・2026.03.28 経済産業省 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針) (2026.03.27)
・2026.03.17 経済産業省 サプライチェーン・サイバーセキュリティ評価(SCS)制度のパブコメへの回答の一覧...
欧州 ENISA NIS360 NIS2 -重要度の高いNISセクターにおけるサイバーセキュリティの成熟度と重大度に関する最新の知見-
こんにちは、丸山満彦です。
ENISAが、NIS360報告書を公表しています。NIS360報告書は、NIS2指令の附属書Iで特定された重要度の高い全セクターについて、サイバーセキュリティの成熟度と重要度を評価した報告書で、今年の報告書で3回目のとなりますね。
ポイント...
- AIの急速な進展:攻撃側・防御側の双方に影響。攻撃側の技術普及が先行し、検知・対応の時間枠短縮が求められる。
- サプライチェーン・第三者リスク:組織の信頼関係が連鎖し、単一の侵害がセクター全体に波及するシステムリスクが増大。
- 地政学的変動の激化:制裁、輸出規制、地域不安定化がサイバーセキュリティに直接影響。国家主体の攻撃やデジタル主権への関心が高まっている。
どこも同じような話になりますね...
● ENISA
・2026.05.28 ENISA NIS360
・[PDF] ENISA NIS360
目次...
| Executive Summary | エグゼクティブサマリー |
| 1. Cybersecurity maturity overview of NIS2 sectors of high criticality | 1. 重要度の高いNIS2セクターにおけるサイバーセキュリティ成熟度の概要 |
| 1.1 Assessing progress in maturity and criticality of sectors | 1.1 セクターの成熟度および重要度に関する進捗状況の評価 |
| 1.2 Cross-sector progress overview | 1.2 セクター横断的な進捗状況の概要 |
| 1.3 Emerging context | 1.3 新たな動向 |
| 2. Sector-by-sector cybersecurity maturity overview |
2. セクター別のサイバーセキュリティ成熟度概要 |
| 2.1 Energy | 2.1 エネルギー |
| 2.2 Digital infrastructure | 2.2 デジタルインフラ |
| 2.3 Transport | 2.3 運輸 |
| 2.4 Finance | 2.4 金融 |
| 2.5 Health | 2.5 医療 |
| 2.6 ICT service management | 2.6 ICTサービス管理 |
| 2.7 Public administrations | 2.7 行政 |
| 2.8 Space | 2.8 宇宙 |
| 2.9 Drinking and Waste water | 2.9 飲料水・廃水 |
| A Annex: Overview of maturity dimensions per sector | A 附属書:セクターごとの成熟度次元の概要 |
| A.1 Energy | A.1 エネルギー |
| A.2 Digital Infrastructure | A.2 デジタルインフラ |
| A.3 Transport | A.3 運輸 |
| A.4 Finance | A.4 金融 |
| A.5 Health | A.5 医療 |
| A.6 ICT service management | A.6 ICTサービス管理 |
| A.7 Public administrations | A.7 行政 |
| A.8 Space | A.8 宇宙 |
| A.9 Drinking water and Waste water | A.9 飲料水・廃水 |
| B Annex: NIS360 methodology | B 附属書:NIS360の方法論 |
| C Annex: Abbreviations and key legislation | C 附属書:略語および主要な法規制 |
エグゼクティブサマリー...
| Executive Summary | エグゼクティブサマリー |
| This edition of the ENISA NIS360 report is the third to assess the cybersecurity maturity and criticality of all sectors of high criticality as identified under Annex I of the NIS2 directive. The assessment covers the entire ecosystem of a sector, where each sector is understood to comprise relevant actors (i.e., national authorities, entities, EU bodies) and applicable rules (EU legislation). The assessment relies on a structured methodology developed and continuously refined by ENISA. This methodology, takes into account the structural and gradually evolving nature of sectoral cybersecurity maturity and criticality, and builds on evidence gathered over time from: organisations operating in sectors that are within the scope of NIS2 and national authorities supervising those organisations, but also EU-level data, to reflect our latest evidence-informed understanding of where each sector stands. | 本版ENISA NIS360報告書は、NIS2指令の附属書Iに基づき特定された、重要度の高い全セクターのサイバーセキュリティ成熟度および重要度を評価する3回目の報告書である。本評価はセクター全体のエコシステムを対象としており、各セクターは関連する主体(すなわち、国家当局、組織、EU機関)および適用される規則(EU法)から構成されると理解される。本評価は、ENISAが開発し継続的に改良を重ねてきた体系的な方法論に基づいている。この方法論は、セクターごとのサイバーセキュリティの成熟度および重要性の構造的かつ漸進的に変化する性質を考慮に入れ、NIS2の適用範囲内にあるセクターで事業を行う組織や、それらを監督する国家当局から長期間にわたり収集された証拠に加え、EUレベルのデータも活用することで、各セクターの現状に関する最新の証拠に基づく理解を反映している。 |
| Since the previous edition of this report, cybersecurity maturity across sectors of high criticality in the EU, has been steadily improving as organisations respond to evolving policy requirements and cyber threats they face. Banking, electricity and telecommunications remain the most mature and critical sectors, while three sectors, trust services, aviation, and financial market infrastructures (FMIs) moved into the high maturity band. Four sectors strengthened their maturity within the moderate band: gas, road, maritime, and health. Several compounding factors contribute to these improvements, including developments in cybersecurity legislation, increased political attention, but also progress across specific maturity dimensions assessed. Overall, maturity is steadily improving across critical sectors, but progress still remains uneven both across and within sectors. A number of factors contribute to these variations including skill shortages, sector-specific characteristics and even organisational size. | 本報告書の前回版以降、EU内の重要度の高いセクターにおけるサイバーセキュリティの成熟度は、組織が進化する政策要件や直面するサイバー脅威に対応するにつれ、着実に向上している。銀行、電力、通信は依然として最も成熟度が高く重要なセクターである一方、信頼サービス、航空、金融市場インフラ(FMI)の3つのセクターは、高い成熟度帯へと移行した。ガス、道路、海運、医療の4セクターは、中程度の成熟度帯において成熟度を強化した。こうした改善には、サイバーセキュリティ関連法規の整備や政治的関心の高まりに加え、評価対象となった特定の成熟度指標における進展など、複数の複合的な要因が寄与している。全体として、重要セクター全体で成熟度は着実に向上しているが、セクター間およびセクター内においても進捗には依然としてばらつきが見られる。こうした差異には、スキル不足、セクター固有の特性、さらには組織規模など、多くの要因が影響している。 |
| Sector criticality, under the ENISA NIS360, is assessed based on factors such as its level of digitalisation, the socioeconomic impact of incidents affecting it, and its time-criticality i.e. how quickly the impact of incidents affecting it can be felt on the ground considering interconnections with other sectors. As these factors typically change gradually, criticality scores tend to remain relatively stable from year to year. For instance, sectors such as banking, electricity, aviation, space, and digital infrastructure (including telecommunications, cloud, and data centres) remain the most critical. Nevertheless, in this NIS360 edition, limited adjustments were introduced to the criticality dimension of certain sectors to better reflect the evolving socio-economic conditions and threat landscape. In particular, the criticality score for the space and railway sectors has been revised to reflect changes in how society or other sectors depend on them, and the extent to which they are being targeted. | ENISAのNIS360におけるセクターの重要度は、デジタル化のレベル、当該セクターに影響を及ぼすインシデントの社会経済的影響、および時間的緊急性(すなわち、他セクターとの相互接続性を考慮した際、当該セクターに影響を及ぼすインシデントの影響が現場でどの程度迅速に感じられるか)といった要因に基づいて評価される。これらの要因は通常、徐々に変化するため、重要度スコアは年ごとに比較的安定している傾向にある。例えば、銀行、電力、航空、宇宙、およびデジタルインフラ(通信、クラウド、データセンターを含む)といったセクターは、依然として最も重要度が高い。しかしながら、今回のNIS360版では、変化する社会経済状況や脅威の状況をより適切に反映させるため、特定のセクターの重要度評価に限定的な調整が加えられた。特に、宇宙および鉄道セクターの重要度スコアは、社会や他のセクターがこれらに依存する状況の変化、および標的とされる度合いを反映するよう改訂された。 |
| Combining and jointly interpreting the criticality and maturity dimensions helps identify mismatches between the two and helps define the risk zone. The risk zone includes sectors with lower-thanaverage maturity and criticality that exceeds their maturity. Its composition changes over time as overall maturity improves across sectors. This is one of the reasons why three sectors previously at the risk zone boundary - rail, drinking water, and waste water are now within the risk zone. The positive development is that the gas sector has started moving out of the risk zone. This shift is driven by improved information sharing, stronger collaboration, and better implementation of risk management measures that are to higher maturity. | 重大度と成熟度の両次元を組み合わせて解釈することで、両者の不一致を特定し、リスクゾーンを定義するのに役立つ。リスクゾーンには、平均以下の成熟度を持ち、かつその成熟度を上回る重要度を有するセクターが含まれる。その構成は、セクター全体で成熟度が向上するにつれて時間とともに変化する。これが、以前はリスクゾーンの境界線上にあった鉄道、飲料水・廃水の3つのセクターが、現在ではリスクゾーン内に位置している理由の一つである。前向きな進展として、ガスセクターがリスクゾーンから脱却し始めていることが挙げられる。この変化は、情報共有の改善、連携の強化、そしてより高い成熟度に向けたリスク管理措置の適切な実施によって推進されている。 |
| It is expected that, as factors such as cybersecurity legislation, perceived cyber risk and threat exposure, past experience, interdependencies, and ecosystem expectations continue to act as key drivers for both cybersecurity investment and preparedness efforts, more sectors will be moving out of the risk zone. | サイバーセキュリティ関連法規、認識されるサイバーリスクや脅威への曝露、過去の経験、相互依存関係、エコシステムの期待といった要因が、サイバーセキュリティへの投資と準備態勢の両方における主要な推進力として引き続き作用するにつれ、より多くのセクターがリスクゾーンから脱却していくものと予想される。 |
成熟度と重大度のマトリックス...
矢印で前回からの変化を示しています...
どの分野がやばいという図...
● まるちゃんの情報セキュリティ気まぐれ日記
昨年の...
・2025.03.09 欧州 ENISA NIS360 2024 (2025.03.05) 重要インフラのセキュリティの状況...
脅威...
・2025.11.09 欧州 ENISA セクター別脅威状況 - 公共行政 (2025.11.06)
・2025.10.05 ENISA 脅威状況 2025 (2025.10.01)
・2025.08.07 ENISA サイバーセキュリティ脅威状況の評価方法 (2025.08.01)
・2025.03.30 欧州ENISA 宇宙脅威状況 2025 (2025.03.26)
・2025.02.23 欧州 ENISA 脅威状況 (2023.01-2024.06):金融セクター
・2024.09.26 ENISA 脅威状況2024
・2023.12.09 ENISA 戦争と地政学がDoS攻撃に拍車をかけている - DoS攻撃に関する脅威状況
・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる
・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)
・2023.03.22 ENISA 輸送セクターのサイバー脅威状況
・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況
・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす
・2022.08.01 ENISA ランサムウェアについての脅威状況
・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?
・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。
・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート
・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。
投資...
・2025.12.21 欧州 ENISA NIS投資報告書 2025 (2025.12.08)
・2024.11.25 欧州 ENISA NIS投資報告書 2024
・2023.11.18 ENISA EUにおけるサイバーセキュリティ投資 2023
・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022
・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17
2026.05.29
米国 FBI SECへの報告要件 - サイバーインシデントの被害者に対するFBIの指針
こんにちは、丸山満彦です。
備忘録です...
米国のSECが [PDF] サイバーセキュリティ・リスクマネジメント、戦略、ガバナンス、およびインシデント開示に関する規則」(88 Fed. Reg. 51896)を公布し、原則2023年12月からForm 10-K/20-Fによるサイバーセキュリティ関連の年次開示、Form 8-K/6-Kによる適時開示が義務化されました。
投資家に対して企業のサイバーリスクへのエクスポージャーと管理能力を評価可能な情報を提供することを目的としていると言えます。
しかし、Form 8-K等による適時開示で国家安全保障又は公共の安全上の理由から開示をしないほうが良い状況も考えられるため、サイバー被害企業が、開示の延期を要請することが認められています。この取り扱いに対するFBIの指針の紹介。おそらく制度開始時から公表されていたと思いますが(^^;;
● FBI - SEC Reporting Requirements FBI Guidance to Victims of Cyber Incidents
| SEC Reporting Requirements | SECの報告要件 |
| FBI Guidance to Victims of Cyber Incidents | サイバーインシデントの被害者に対するFBIのガイダンス |
| In 2023, the Securities and Exchange Commission (SEC) published rules for Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure (88 Fed. Reg. 51896) requiring certain companies ("registrants") to disclose material cybersecurity incidents. The FBI, in coordination with the Department of Justice, is providing guidance on how victims can request related disclosure delays for national security or public safety reasons. The FBI recommends all publicly traded companies establish a relationship with the cyber squad at their local FBI field office. | 2023年、米国証券取引委員会(SEC)は、サイバーセキュリティリスク管理、戦略、ガバナンス、およびインシデント開示に関する規則(88 Fed. Reg. 51896)を公布し、特定の企業(「登録企業」)に対し、重要なサイバーセキュリティインシデントの開示を義務付けた。FBIは司法省と連携し、被害者が国家安全保障または公共の安全上の理由から、関連する開示の延期をどのように申請できるかについてガイダンスを提供している。FBIは、すべての上場企業に対し、管轄のFBI現地事務所のサイバー対策チームと連携体制を構築することを推奨している。 |
| Click on the buttons at the bottom of this page to read the guidance on requesting a delay and providing necessary information to the FBI, to view the SEC rules, to view the Justice Department's guidelines on material cybersecurity incident delay determinations, and to read the FBI’s Policy Directive about how victim requests are processed. | このページの下部にあるボタンをクリックすると、開示の延期を要請しFBIに必要な情報を提供するためのガイダンス、SECの規則、重大なサイバーセキュリティインシデントの開示延期判断に関する司法省のガイドライン、および被害者からの要請がどのように処理されるかに関するFBIの政策指令を読むことができる。 |
| The FBI strongly encourages companies to contact the FBI directly or through the U.S. Secret Service (USSS), another federal law enforcement agency, the Cybersecurity and Infrastructure Security Agency (CISA), or another sector risk management agency soon after a registrant believes disclosure of a newly-discovered cybersecurity incident may pose a substantial risk to national security or public safety. This early outreach allows the FBI to familiarize itself with the facts and circumstances of an incident before the company makes a materiality determination. If the victim of a cyber intrusion engages with the FBI or another U.S. government agency, this engagement doesn't trigger a determination of materiality. However, it could assist with the FBI’s review if the company determines that a cybersecurity incident is material and seeks a disclosure delay. | FBIは、登録企業が新たに発見されたサイバーセキュリティインシデントの開示が国家安全保障または公共の安全に重大なリスクをもたらす可能性があると判断した場合、直ちにFBIに直接、あるいは別の連邦法執行機関である米国シークレットサービス(USSS)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、またはその他のセクター別リスク管理機関を通じて連絡することを強く推奨する。こうした早期の連絡により、企業が重要性の判断を行う前に、FBIはインシデントの事実関係や状況を把握することができる。サイバー侵入の被害者がFBIやその他の米国政府機関と接触した場合でも、その接触自体が重要性の判断を引き起こすことはない。ただし、企業がサイバーセキュリティインシデントを重要と判断し、開示の遅延を求めた場合、この接触はFBIの審査に役立つ可能性がある。 |
| Please note that delay requests won't be processed unless they are received by the FBI immediately upon a company’s determination to disclose a cyber incident via 8k. | なお、開示遅延の要請は、企業が8-Kを通じてサイバーインシデントを開示すると決定した直後にFBIに受理されない限り、処理されないことに留意されたい。 |
| FBI Guidance to Victims of Cyber Incidents on SEC Reporting Requirements: Request a Delay | サイバーインシデントの被害企業に対するSEC報告要件に関するFBIのガイダンス:報告の延期申請 |
| To request a reporting delay, victim companies must contact the FBI directly by filling out the form located at sec8k.ic3.gov or through the U.S. Secret Service, the Cybersecurity and Infrastructure Security Agency, the Department of Defense, or another sector risk management agency. | 報告の延期を申請するには、被害企業はsec8k.ic3.govにあるフォームに記入してFBIに直接連絡するか、米国シークレットサービス、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国防総省、またはその他のセクター別リスク管理機関を通じて連絡しなければならない。 |
| *Each request must contain all of the following information: | *各申請には、以下の情報をすべて記載しなければならない: |
| 1. What is the name of your company? | 1. 貴社の名称は何か? |
| 2. When did the cyber incident occur? | 2. サイバーインシデントはいつ発生したか? |
| 3. When did you make a determination to disclose a cyber incident via 8k? Include the date, time, and time zone. (Note: Failure to report this information immediately upon determination will cause your delay-referral request to be denied.) | 3. 8-Kを通じてサイバーインシデントを開示すると決定したのはいつか?日付、時刻、およびタイムゾーンを含めること。(注:決定後直ちにこの情報を報告しない場合、延期申請は却下される。) |
| 4. Are you already in contact with the FBI or another U.S. government agency regarding this incident? If so, provide the names and field offices of the FBI points of contact or information regarding the U.S. government agency with whom you're in contact. | 4. 本インシデントに関して、すでにFBIまたはその他の米国政府機関と連絡を取っているか。その場合、FBIの連絡担当者の氏名および管轄事務所、または連絡を取っている米国政府機関に関する情報を提供すること。 |
| 5. Describe the incident in detail. Include the following details, at minimum: | 5. インシデントの詳細を記述すること。少なくとも以下の詳細を含めること: |
| a. What type of incident occurred? | a. どのような種類のインシデントが発生したか? |
| b. What are the known or suspected intrusion vectors, including any identified vulnerabilities if known? | b. 既知または疑われる侵入経路は何か。特定されている脆弱性があれば、それも含めてほしい。 |
| c. What infrastructure or data were affected (if any) and how were they affected? | c. どのようなインフラやデータが影響を受けたか(該当する場合)、またどのように影響を受けたか。 |
| d. What is the operational impact on the company, if known? | d. 企業への業務上の影響は何か(分かっている場合)。 |
| 6. Is there confirmed or suspected attribution of the cyber actors responsible? | 6. 責任のあるサイバー攻撃者の帰属が確認されているか、または疑われているか。 |
| 7. What is the current status of any remediation or mitigation efforts? | 7. 是正または軽減措置の現在の状況はどうか? |
| 8. Where did the incident occur? Provide the street address, city, and state where the incident occurred. | 8. インシデントはどこで発生したか? インシデントが発生した住所、都市、州を記載すること。 |
| 9. Who are your company’s points of contact for this matter? Provide the name, phone number, and email address of personnel you want the FBI to contact to discuss this request. | 9. この件に関する貴社の連絡担当者は誰か? この要請について協議するため、FBIに連絡してほしい担当者の氏名、電話番号、メールアドレスを記載すること。 |
| 10. Has your company previously submitted a delay referral request or is this the first time? If you have previously submitted a delay request, please include details about when DOJ made its last delay determination(s), on what grounds, and for how long it granted the delay (if applicable). | 10. 貴社は過去に延期要請を提出したことがあるか、それとも今回が初めてか?過去に延期要請を提出したことがある場合は、司法省が前回いつ延期決定を行ったか、その根拠、および延期が認められた期間(該当する場合)の詳細を記載すること。 |
| *Other U.S. government agencies that are in receipt of a requested delay and that are seeking FBI submission to the Department of Justice for Attorney General approval must immediately send the request to the FBI by filling out the form located at sec8k.ic3.gov. | *延期要請を受領し、司法長官の承認を得るためにFBIによる司法省への提出を求めている他の米国政府機関は、sec8k.ic3.govにあるフォームに記入し、直ちにFBIへ要請を送付しなければならない。 |
| FBI Guidance to Victims of Cyber Incidents | サイバーインシデントの被害者に対するFBIのガイダンス |
| on SEC Reporting Requirements: FBI Policy Directive Summary | SEC報告要件について:FBI方針指令の概要 |
| A summary of the FBI’s Policy Directive regarding cyber victim requests to delay disclosure pursuant to the Securities and Exchange Commission's rules and Department of Justice (DOJ) guidance is, as follows: | 証券取引委員会(SEC)の規則および司法省(DOJ)のガイダンスに基づき、開示の延期を求めるサイバー被害者からの要請に関するFBIの方針指令の概要は、以下の通りである。 |
| ・As per the Securities and Exchange Commission (SEC) requirement, if a registrant experiences a cybersecurity incident that the registrant determines to be material, the registrant must disclose certain facts about that incident. | ・証券取引委員会(SEC)の要件によれば、登録企業が重要であると判断したサイバーセキュリティインシデントを経験した場合、当該企業はそのインシデントに関する特定の事実を開示しなければならない。 |
| ・・The SEC defines “cybersecurity incident” to mean “an unauthorized occurrence, or a series of related unauthorized occurrences, on or conducted through a registrant’s information systems that jeopardizes the confidentiality, integrity, or availability of a registrant’s information systems or any information residing therein.” | ・・SECは、「サイバーセキュリティインシデント」を、「登録企業の情報システム上、または同システムを通じて行われた、登録企業の情報システムもしくはそこに保存されている情報の機密性、完全性、または可用性を脅かす不正な事象、または一連の関連する不正な事象」と定義している。 |
| ・Once a company makes a materiality determination, the company has four business days to disclose the incident by filing a SEC Form 8-K Item 1.05 in the SEC’s publicly accessible Electronic Data Gathering, Analysis, and Retrieval (EDGAR) system. | ・企業が重要性の判断を下した場合、企業は4営業日以内に、SECの一般公開されている電子データ収集・分析・検索(EDGAR)システムにSECフォーム8-Kの項目1.05を提出し、当該インシデントを開示しなければならない。 |
| ・The SEC rules included a provision—Item 1.05(c)—that allows the DOJ Attorney General to grant a disclosure delay based on substantial risk to national security or public safety. | ・SEC規則には、国家安全保障または公共の安全に対する重大なリスクを理由に、司法長官が開示の延期を認めることを可能とする規定(項目1.05(c))が含まれている。 |
| ・A delay may be granted for up to 30 days. If the Attorney General determines that disclosure continues to pose a substantial risk to national security, the disclosure delay may be extended for an additional period of up to 30 days. In extraordinary circumstances, the Attorney General may extend the disclosure delay an additional 60 days due to substantial national security risks. | ・開示の延期は最大30日間認められる。司法長官が開示が引き続き国家安全保障に重大なリスクをもたらすと判断した場合、開示の延期はさらに最大30日間延長されることがある。極めて例外的な状況下において、司法長官は、重大な国家安全保障上のリスクを理由として、開示の延期をさらに60日間延長することができる。 |
| ・Delays cannot exceed a total of 120 days (or 60 days in instances that solely relate to public safety) without an exemptive order from the SEC. | ・SECからの免除命令がない限り、延期の総期間は120日(公共の安全のみに関連する事例の場合は60日)を超えてはならない。 |
| ・The FBI is responsible for: | ・FBIは以下の責任を負う: |
| ・・Intaking delay requests on behalf of DOJ | ・・司法省(DOJ)に代わって開示遅延の要請を受け付ける |
| ・・Documenting those requests | ・・それらの要請を記録する |
| ・・Coordinating checks of U.S. government national security and public safety equities, including consulting with the U.S. Secret Service (USSS), Cybersecurity and Infrastructure Security Agency (CISA), and sector risk management agencies (SRMAs) as appropriate | ・・米国政府の国家安全保障および公共の安全に関する利害関係の確認を調整する。これには、必要に応じて米国シークレットサービス(USSS)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、およびセクターリスク管理機関(SRMA)との協議が含まれる |
| ・・Referring information to the DOJ | ・・情報を司法省(DOJ)に照会する |
| ・The FBI encourages victims to engage with the FBI directly or through the USSS, CISA, or SRMAs prior to the company’s determination to disclose details of a cyber incident via an SEC Form 8-K Item 1.05. | ・FBIは、企業がSECフォーム8-Kの項目1.05を通じてサイバーインシデントの詳細を開示することを決定する前に、被害者がFBIに直接、あるいはUSSS、CISA、またはSRMAを通じて連絡を取るよう推奨している。 |
| ・・If the FBI doesn't receive the delay request from the victim directly or through the USSS, another law enforcement agency, CISA, or another SRMA immediately upon this determination, the FBI won't process the request. | ・・この決定直後に、被害者から直接、あるいはUSSS、他の法執行機関、CISA、または他のSRMAを通じて遅延要請がFBIに届かない場合、FBIはその要請を処理しない。 |
| ・・In other words, failure to report the cyber incident immediately upon this determination will cause a delay-referral request to be denied. | ・・言い換えれば、この決定直後にサイバーインシデントを報告しなかった場合、開示遅延の照会要請は却下されることになる。 |
| ・After the FBI makes a referral based on equities checks and fact-finding procedures, the Justice Department will issue a delay determination. This determination will be communicated in writing to the victim and the SEC. | ・FBIが利益衡量および事実確認手続きに基づき照会を行った後、司法省が開示遅延の決定を下す。この決定は、被害者およびSECに対して書面で通知される。 |
| ・If DOJ approves the delay request, the FBI should invite the victim to submit any requests for delay extensions to the FBI by filling out the form located at sec8k.ic3.gov. Requests for delay extensions should be submitted no later than five business days before the expiration of a granted delay. | ・司法省が遅延要請を承認した場合、FBIは被害者に対し、sec8k.ic3.govにあるフォームに記入してFBIへ遅延延長の要請を提出するよう促すべきである。遅延延長の要請は、承認された遅延期間の満了日の5営業日前までに提出しなければならない。 |
| ・Please note this summary is written for convenience only and isn't intended to replace or supersede the FBI’s Policy Directive. | ・なお、この要約は便宜上作成されたものであり、FBIの政策指令に代わるものではないことに留意されたい。 |
| DEPARTMENT OF JUSTICE MATERIAL CYBERSECURITY INCIDENT DELAY DETERMINATIONS | 司法省 重大なサイバーセキュリティインシデントに関する報告期限の延長決定 |
| 12-Dec-23 | 2023年12月12日 |
| These departmental guidelines outline the process that companies subject to the reporting requirements in Section 13 or 15(d) of the Securities Exchange Act of 1934 (“registrants”), or U.S. Government agencies in coordination with registrants, may use to request that the Attorney General[1] authorize delays of cyber incident disclosures required by the U.S. Securities and Exchange Commission (“Commission”) pursuant to Form 8-K Item 1.05. | 本省ガイドラインは、1934年証券取引法第13条または第15条(d)項の報告義務の対象となる企業(「登録企業」)、あるいは登録企業と連携する米国政府機関が、米国 証券取引委員会(「委員会」)がForm 8-Kの項目1.05に基づき要求するサイバーインシデントの開示の延期を、司法長官[1]に承認するよう要請するために利用できる手順を概説するものである。 |
| When a registrant “experiences a cybersecurity incident that is determined by the registrant to be material,” SEC Form 8-K Item 1.05(a) requires the registrant to disclose “the material aspects of the nature, scope, and timing of the incident, and the material impact or reasonably likely material impact on the registrant, including its financial condition and results of operations.” Instruction 4 to Item 1.05 provides that: “A registrant need not disclose specific or technical information about its planned response to the incident or its cybersecurity systems, related networks and devices, or potential system vulnerabilities in such detail as would impede the registrant’s response or remediation of the incident.” Item 1.05(c) contains an exception to the general disclosure requirement: | 登録者が「登録者自身によって重要であると判断されるサイバーセキュリティインシデントを経験した場合」、SECフォーム8-Kの項目1.05(a)は、登録者に対し、「インシデントの性質、範囲、および発生時期に関する重要な側面、ならびに登録者(その財務状況および経営成績を含む)に対する重要な影響または合理的に予想される重要な影響」を開示することを求めている。項目1.05の指示4では、次のように規定されている。「登録者は、当該インシデントへの対応計画、サイバーセキュリティシステム、関連するネットワークおよびデバイス、あるいは潜在的なシステムの脆弱性について、登録者のインシデントへの対応や是正を妨げるほどの詳細な具体的または技術的な情報を開示する必要はない。」 項目1.05(c)には、一般的な開示要件に対する例外が定められている: |
| …if the United States Attorney General determines that disclosure required by paragraph (a) of this Item 1.05 poses a substantial risk to national security or public safety, and notifies the Commission of such determination in writing, the registrant may delay providing the disclosure required by this Item 1.05 for a time period specified by the Attorney General, up to 30 days following the date when the disclosure required by this Item 1.05 was otherwise required to be provided. Disclosure may be delayed for an additional period of up to 30 days if the Attorney General determines that disclosure continues to pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing. In extraordinary circumstances, disclosure may be delayed for a final additional period of up to 60 days if the Attorney General determines that disclosure continues to pose a substantial risk to national security and notifies the Commission of such determination in writing. Beyond the final 60-day delay under this paragraph, if the Attorney General indicates that further delay is necessary, the Commission will consider additional requests for delay and may grant such relief through Commission exemptive order. | …米国司法長官が、本項目1.05の(a)項で要求される開示が国家安全保障または公共の安全に重大なリスクをもたらすと判断し、その判断を委員会に書面で通知した場合、 登録者は、司法長官が指定する期間(本項1.05に基づく開示が本来行われるべきであった日から起算して最大30日間)に限り、本項1.05に基づく開示の提供を遅延させることができる。司法長官が、開示が引き続き国家安全保障または公共の安全に重大なリスクをもたらすと判断し、その判断を委員会に書面で通知した場合、開示はさらに最大30日間遅延させることができる。極めて例外的な状況において、司法長官が開示が引き続き国家安全保障に重大なリスクをもたらすと判断し、その判断を委員会に書面で通知した場合、開示は最終的に最大60日間までさらに延期することができる。本項に基づく最終的な60日間の延期を超えて、司法長官がさらなる延期が必要であると示した場合、委員会は追加の延期要請を検討し、委員会の免除命令を通じてそのような救済を認めることができる。 |
| This document outlines the approach the Department of Justice (“Department”) will take in making the determinations described in Item 1.05(c). | 本文書は、司法省(「省」)が項目1.05(c)に記載された決定を行う際に採用するアプローチを概説するものである。 |
| 1. Limited circumstances for finding a substantial risk to national security or public safety | 1. 国家安全保障または公共の安全に対する重大なリスクが認められる限定的な状況 |
| The primary inquiry for the Department is whether the public disclosure of a cybersecurity incident threatens public safety or national security, not whether the incident itself poses a substantial risk to public safety and national security. While cybersecurity incidents themselves frequently threaten public safety and national security, the disclosure to the public that those incidents have occurred poses threats less often. In many circumstances, the prompt public disclosure of relevant information about a cybersecurity incident provides an overall benefit for investors, public safety, and national security. | 本省が主に検討するのは、サイバーセキュリティインシデントの公開が公共の安全または国家安全保障を脅かすかどうかであり、インシデント自体が公共の安全および国家安全保障に重大なリスクをもたらすかどうかではない。サイバーセキュリティインシデント自体は頻繁に公共の安全および国家安全保障を脅かすが、それらのインシデントが発生したことを公に開示することが脅威となることは、それほど頻繁ではない。多くの場合、サイバーセキュリティインシデントに関する関連情報を速やかに一般に開示することは、投資家、公共の安全、および国家安全保障にとって全体的な利益をもたらす。 |
| Form 8-K Item 1.05 requires registrants to “describe the material aspects of the nature, scope, and timing of the incident, and the material impact or reasonably likely material impact on the registrant, including its financial condition and results of operations.” Typically, registrants will be able to publicly disclose this material information at a level of generality that does not pose a substantial risk to national security or public safety. In certain circumstances, however, the disclosure of some or all of the information required by Item 1.05 could pose such a risk. Those circumstances of which a registrant would be aware are expected to be limited to the following categories: | フC198ォーム8-Kの項目1.05は、登録者に対し、「インシデントの性質、範囲、および発生時期に関する重要な側面、ならびに登録者(その財務状況および経営成績を含む)に対する重要な影響または合理的に予想される重要な影響」を記述することを求めている。通常、登録者は、国家安全保障や公共の安全に重大なリスクをもたらさない程度の概略的なレベルで、この重要な情報を公表することができる。しかし、特定の状況下では、項目1.05で要求される情報の一部または全部を開示することが、そのようなリスクをもたらす可能性がある。登録者が認識しうるそのような状況は、以下のカテゴリーに限定されると予想される: |
| a) The cybersecurity incident occurred because the illicit cyber activities were reasonably suspected to have involved a technique for which there is not yet well-known mitigation— for example, exploiting a software vulnerability for which there is no patch or other reasonably available mitigation—and the disclosure required by Item 1.05 could lead to more incidents, thereby posing a substantial risk to national security or public safety. | a) サイバーセキュリティインシデントが、まだ広く知られた対策が存在しない手法(例えば、パッチやその他の合理的に利用可能な対策が存在しないソフトウェアの脆弱性の悪用など)を用いた不正なサイバー活動によるものと合理的に疑われる場合に発生し、かつ項目1.05で要求される開示がさらなるインシデントを招き、それによって国家安全保障または公共の安全に重大なリスクをもたらす恐れがある場合。 |
| b) The cybersecurity incident primarily impacts a system operated or maintained by a registrant that contains sensitive U.S. Government information, or information the U.S. Government would consider sensitive, and public disclosure required by Item 1.05 would make that information and/or system vulnerable to further exploitation by illicit cyber activity, thereby posing a substantial risk to national security or public safety. This category includes systems operated or maintained for the government as well as systems not specifically operated or maintained for the government that contain information the government would view as sensitive, such as that regarding national defense or research and development performed pursuant to government contracts. | b) サイバーセキュリティインシデントが、登録者が運用または保守するシステムに主に影響を及ぼし、そのシステムには機密性の高い米国政府情報、または米国政府が機密とみなす情報が含まれており、項目1.05で要求される公開開示を行うと、当該情報および/またはシステムが不正なサイバー活動によるさらなる悪用に対して脆弱となり、それによって国家安全保障または公共の安全に重大なリスクをもたらす場合。このカテゴリーには、政府のために運用または保守されているシステムに加え、政府のために特に運用または保守されているわけではないが、国防や政府契約に基づき実施される研究開発に関する情報など、政府が機密とみなす情報を含むシステムも含まれる。 |
| c) The registrant is conducting remediation efforts for any critical infrastructure or critical system, and any disclosure required by Item 1.05(a) revealing that the registrant is aware of the incident would undermine those remediation efforts and thus pose a substantial risk to national security or public safety. | c) 登録者が重要インフラまたは重要システムに対する是正措置を実施している場合、項目1.05(a)で要求される開示により、登録者が当該インシデントを認識していることが明らかになることで、その是正措置が損なわれ、ひいては国家安全保障または公共の安全に重大なリスクをもたらす場合。 |
| d) The circumstances described below in Section 3, after a government agency has made the registrant aware of them. | d) 政府機関から登録者に対し通知がなされた後、第3節に記載される状況。 |
| 2. Procedure for registrants to follow when Item 1.05(c)’s exception might apply | 2. 項目1.05(c)の例外が適用される可能性がある場合における登録者の手順 |
| When a registrant discovers a cybersecurity incident and believes that disclosure may pose a substantial risk to national security or public safety, the registrant should, directly or through another U.S. Government agency (e.g., the U.S. Secret Service, another federal law enforcement agency, the Cybersecurity & Infrastructure Security Agency (CISA), or another sector risk management agency (SRMA)), immediately contact the FBI consistent with reporting instructions the FBI has issued. The registrant should convey in its report a concise description of the facts forming the basis of the registrant’s belief that disclosure required under Item 1.05 may pose a substantial risk to national security or public safety, citing one or more of the categories described above. The most relevant facts will pertain to the potential consequences to national security or public safety that would result from a disclosure within the timeframe required by Item 1.05. The Attorney General must invoke the provision permitting a delay in disclosing an incident under the Commission rule within four business days of a determination by the registrant that the registrant has experienced a material cybersecurity incident. As such, it is important that the registrant provide to the FBI, directly or indirectly through another U.S. Government agency, information about a cybersecurity incident likely to meet the requirements for delayed disclosure as soon as possible, even beginning well before the registrant has completed its materiality analysis or its investigation into the incident. The FBI will document the facts of the incident provided by the registrant and findings from related FBI national security and public safety records, equity checks, and appropriate consultations with other U.S. Government agencies including USSS, CISA, or SRMAs. The FBI’s referral of a delay request to the Department will include an evaluation of whether the public disclosure required by Form 8-K Item 1.05 within its prescribed timeframe would pose a substantial risk to national security or public safety. | 登録者がサイバーセキュリティインシデントを発見し、その開示が国家安全保障または公共の安全に重大なリスクをもたらす可能性があると判断した場合、登録者は、直接、または他の米国政府機関(例:米国シークレットサービス、他の連邦法執行機関、サイバーセキュリティ・インフラセキュリティ庁(CISA)、または他のセクターリスク管理機関(SRMA))を通じて、FBIが発行した報告指示に従い、直ちにFBIに連絡しなければならない。登録者は、項目1.05に基づく開示が国家安全保障または公共の安全に重大なリスクをもたらす可能性があるという自身の判断の根拠となる事実について、上記のカテゴリーのいずれか一つ以上を引用しつつ、報告書に簡潔に記述しなければならない。最も関連性の高い事実は、項目1.05で要求される期間内での開示によって生じうる、国家安全保障または公共の安全への潜在的な影響に関するものである。司法長官は、登録者が重大なサイバーセキュリティインシデントを経験したと判断してから4営業日以内に、委員会規則に基づきインシデントの開示を遅延させることを認める規定を発動しなければならない。したがって、登録者は、重大性分析やインシデントの調査を完了するかなり前からであっても、開示遅延の要件を満たす可能性のあるサイバーセキュリティインシデントに関する情報を、直接、あるいは他の米国政府機関を通じて間接的に、できるだけ速やかにFBIに提供することが重要である。FBIは、登録者から提供されたインシデントの事実関係、およびFBIの国家安全保障・公共安全に関する記録、身元調査、ならびにUSSS、CISA、SRMAを含む他の米国政府機関との適切な協議から得られた知見を文書化する。FBIによる開示遅延要請の省への付託には、所定の期間内に行われるForm 8-K項目1.05に基づく公開開示が、国家安全保障または公共の安全に重大なリスクをもたらすかどうかの評価が含まれる。 |
| 3. Procedure for a U.S. Government agency to follow when Item 1.05(c)’s exception might apply | 3. 項目1.05(c)の例外が適用される可能性がある場合における米国政府機関の手順 |
| Whenever any U.S. Government agency becomes aware of a cybersecurity incident pertaining to a registrant’s information system and believes the available facts show that a disclosure potentially required by paragraph (a) of Item 1.05 poses a substantial risk to national security or public safety, that U.S. Government agency should, in consultation with the FBI and other U.S. Government agencies as appropriate, determine whether the U.S. Government should notify and coordinate with the registrant to determine the timing and content of information the registrant plans to disclose, absent an Item 1.05(c) exemption; and whether the registrant would agree to a delayed disclosure should the Attorney General make the necessary determination. If a delay in public disclosure is believed to be warranted by the relevant U.S. Government agency and is agreed to by the registrant, then the U.S. Government agency should immediately contact the Department through the FBI, communicate the relevant facts, explain why a delay is appropriate, and recommend a period for delay. The Department anticipates that the following are the types of scenarios in which, at least initially, a recommending U.S. Government agency, rather than a registrant, is likely to be aware of a substantial risk to national security or public safety: | 米国政府機関が、登録者の情報システムに関連するサイバーセキュリティインシデントを把握し、入手可能な事実から、項目1.05(a)項に基づき開示が求められる可能性のある情報が、国家安全保障または公共の安全に重大なリスクをもたらすと判断した場合、当該米国政府機関は、FBIおよびその他の米国政府機関と適切に協議の上、以下の事項を決定すべきである。政府が、項目1.05(c)の免除がない場合、登録者に対し通知を行い、登録者が開示を予定している情報の時期および内容を決定するために調整を行うべきか、また、司法長官が必要な決定を行った場合、登録者が開示の延期に同意するか否かを判断すべきである。関連する米国政府機関が公表の遅延が正当であると判断し、かつ登録者がこれに同意する場合、当該米国政府機関は直ちにFBIを通じて司法省に連絡し、関連する事実を伝え、遅延が適切である理由を説明し、遅延期間を推奨すべきである。司法省は、少なくとも当初においては、国家安全保障または公共の安全に対する重大なリスクを認識しているのは、登録者ではなく勧告を行う米国政府機関である可能性が高いと想定している。 |
| a) Disclosure to the public of the cybersecurity incident as required by Item 1.05 would risk revealing a confidential source, information relating to U.S. national security, or law enforcement sensitive information and thereby pose a substantial threat to national security or public safety. The risk that disclosure will pose a substantial threat to national security or public safety is higher where the registrant learned of the cybersecurity incident only because a U.S. Government agency alerted the registrant to the cybersecurity incident or its possibility of occurrence. | a) 項目1.05で要求されるサイバーセキュリティインシデントの一般への開示は、機密情報源、米国の国家安全保障に関する情報、または法執行上の機密情報の暴露を招き、それによって国家安全保障または公共の安全に重大な脅威をもたらすリスクがある。登録者が当該サイバーセキュリティインシデント、またはその発生の可能性について、米国政府機関から通報を受けたために初めてその事実を知った場合、開示が国家安全保障または公共の安全に重大な脅威をもたらすリスクはより高くなる。 |
| b) The U.S. Government is prepared to execute, or is aware of, an operation to disrupt ongoing illicit cyber activity that poses a substantial risk to national security or public safety, such as through freezing or seizing information, assets, or infrastructure involved in illicit cyber activity, or by effecting the arrest of an individual or individuals for illicit cyber activity, and public disclosure of the cybersecurity incident as required by Item 1.05 would pose a demonstrable threat or impediment to the success of such an operation. | b) 米国政府が、国家安全保障または公共の安全に重大なリスクをもたらす進行中の違法なサイバー活動を阻止するための作戦(情報の凍結や差し押さえ、 資産、またはインフラの凍結・差し押さえ、あるいはサイバー違法活動に関与した個人の逮捕などを通じて、進行中のサイバー違法活動を阻止する作戦を実行する準備があるか、またはその存在を把握している場合、かつ項目1.05で要求されるサイバーセキュリティインシデントの公開が、当該作戦の成功に対して明白な脅威または障害となる場合。 |
| c) The U.S. Government is aware of or conducting remediation efforts for any critical infrastructure or critical system, and any disclosure required by Item 1.05(a) revealing that the registrant is aware of the incident would undermine those remediation efforts and thus pose a substantial risk to national security or public safety. | c) 米国政府が重要インフラまたは重要システムに対する修復措置を把握しているか、または実施している場合、かつ、項目1.05(a)で要求される開示により登録者が当該インシデントを把握していることが明らかになることが、それらの修復措置を損ない、ひいては国家安全保障または公共の安全に重大なリスクをもたらす場合。 |
| 4. Procedures following the Department’s determination of whether an Item 1.05(c) exception might apply | 4. 項目1.05(c)の例外が適用されるか否かの省による判断後の手続き |
| The Department has sole discretionary authority to determine whether and how long a substantial risk to national security or public safety exists such that a delay in disclosure is necessary consistent with Item 1.05. In making this determination and as referenced in section 2, the Department, through the FBI, will consult with other relevant U.S. Government agencies, such as USSS, CISA, and SRMAs, as appropriate. When the Attorney General determines that disclosure of all or part of the information required by Item 1.05 poses a substantial risk to national security or public safety, the Department will notify the Commission of such determination in writing. That notice will specify a period for the delay, up to 30 days. The Attorney General’s determination might pertain to only part of the information that Item 1.05 requires; for example, that disclosure of the timing of the incident would not pose a substantial risk to national security or public safety, but disclosure of the nature or scope of the incident would pose such a risk. The Department will, at or near the same time, also notify the recommending agency and the registrant of the determination, including the scope of information described in Item 1.05 covered by the determination, and the period for the delay. | 省は、項目1.05に準拠して開示の遅延が必要となるほど、国家安全保障または公共の安全に対する重大なリスクが存在するか否か、またその期間について、単独の裁量権を有する。この判断を行うにあたり、第2項で言及されている通り、同省はFBIを通じて、必要に応じてUSSS、CISA、SRMAなどの他の関連する米国政府機関と協議する。司法長官が、項目1.05で要求される情報の全部または一部の開示が国家安全保障または公共の安全に重大なリスクをもたらすと判断した場合、同省はその判断を委員会に書面で通知する。当該通知には、最大30日間の開示遅延期間が明記される。司法長官の判断は、項目1.05で要求される情報の一部のみを対象とする場合がある。例えば、事件の発生時期の開示は国家安全保障または公共の安全に重大なリスクをもたらさないが、事件の性質または範囲の開示はそうしたリスクをもたらす、といった場合である。同省は、これと同時またはほぼ同時に、勧告機関および登録者に対しても、当該決定について通知する。その際、決定の対象となる項目1.05に記載された情報の範囲および遅延期間を含めるものとする。 |
| When the Department determines, in its discretion, that the standard is not met for a disclosure delay, it will inform the recommending agency and the registrant, where applicable. If the recommending agency disagrees with the Department’s determination, it should inform the Department immediately and, time permitting, provide additional information or supporting material. | 省が、その裁量により、開示遅延の基準が満たされていないと判断した場合は、推奨機関および登録者(該当する場合)にその旨を通知する。推奨機関が省の決定に同意しない場合は、直ちに省にその旨を通知し、時間が許せば、追加情報または裏付け資料を提出すべきである。 |
| 5. Changes in circumstances during a delay period | 5. 遅延期間中の状況の変化 |
| The recommending agency should inform the registrant of the ongoing need to apprise the recommending agency of any new or changed information relevant or potentially relevant to the national security or public safety risks of public disclosure that arises during the delay period. If, during the period of delay, the recommending agency assesses that public disclosure as required by Item 1.05 would no longer pose a substantial risk to national security or public safety, it will immediately notify the Department through the FBI. If the Department determines that the circumstances no longer meet Item 1.05(c)’s requirements for delaying disclosure, it will notify the recommending U.S. Government agency, the Commission, and the registrant of that determination in writing. | 推薦機関は、開示遅延期間中に生じた、公開による国家安全保障または公共の安全へのリスクに関連する、あるいは関連する可能性のある新たな情報または変更された情報について、引き続き推薦機関に報告する必要がある旨を登録者に通知しなければならない。開示遅延期間中、推薦機関が、項目1.05で要求される公開がもはや国家安全保障または公共の安全に対する重大なリスクをもたらさないと判断した場合、FBIを通じて直ちに当省に通知する。同省が、当該状況がもはや項目1.05(c)の開示遅延要件を満たさないと判断した場合、その判断を推薦した米国政府機関、委員会、および登録者に書面で通知する。 |
| 6. Subsequent periods of delay | 6. その後の遅延期間 |
| Item 1.05(c) refers to an initial delay of up to 30 days, a possible “additional” period of up to 30 days, a possible “final additional” period of delay of up to 60 days, and a possible further delay “beyond the final 60-day delay.” | 項目1.05(c)は、最大30日間の初期遅延、最大30日間の「追加」遅延期間、最大60日間の「最終追加」遅延期間、および「最終60日間の遅延を超えて」さらに遅延する可能性について言及している。 |
| “Additional” periods of delay after initial delay | 初期の遅延後の「追加」遅延期間 |
| Item 1.05(c) provides that “[d]isclosure may be delayed for an additional period of up to 30 days if the Attorney General determines that disclosure continues to pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing.” | 項目1.05(c)は、「司法長官が、開示が引き続き国家安全保障または公共の安全に重大なリスクをもたらすと判断し、その判断を委員会に書面で通知した場合、開示は最大30日間の追加期間遅延されることがある」と規定している。 |
| If, during an initial delay period, the recommending agency, the registrant, or another U.S. Government agency assesses that the substantial risk to national security or public safety from public disclosure will continue to exist beyond the initial delay period, then a request to the FBI for an “additional period” of delay is appropriate. A request for an “additional period” should be made at least five business days before the end of the initial period of delay and include a description of the continued substantial risk that disclosure poses to national security or public safety and an estimate of the duration that such risk may last. | 初期の遅延期間中、勧告機関、登録者、または他の米国政府機関が、公開による国家安全保障または公共の安全に対する重大なリスクが初期の遅延期間を超えて存続すると判断した場合、FBIに対し「追加期間」の遅延を要請することが適切である。「追加期間」の要請は、最初の延期期間の終了の少なくとも5営業日前に行われ、開示が国家安全保障または公共の安全に及ぼす継続的な重大なリスクの説明、および当該リスクが継続すると見込まれる期間の見積もりを含める必要がある。 |
| When the Attorney General determines that public disclosure continues to pose a substantial risk to national security or public safety and that a specific additional period of delay is justified, the Department will notify the Commission, the recommending agency, and the registrant of the nature and scope of such determination and the duration of the additional delay period in writing. | 司法長官が、公開が引き続き国家安全保障または公共の安全に対する重大なリスクをもたらし、かつ特定の追加の開示遅延期間が正当化されると判断した場合、同省は、当該判断の性質と範囲、および追加の遅延期間について、委員会、勧告機関、および登録者に書面で通知する。 |
| When the Department determines that the standard is not met for an additional delay in disclosure, it will inform the recommending agency and the registrant, where applicable. If the recommending agency disagrees with the Department’s determination, it may inform the Department immediately and, time permitting, provide additional information or supporting material. | 司法省が、開示の追加遅延に関する基準が満たされていないと判断した場合は、勧告機関および登録者(該当する場合)にその旨を通知する。勧告機関が司法省の判断に同意しない場合は、直ちに司法省にその旨を通知し、時間が許せば、追加情報または裏付け資料を提出することができる。 |
| “Final additional” periods of delay | 「最終的な追加」遅延期間 |
| Item 1.05(c) provides that “[i]n extraordinary circumstances, disclosure may be delayed for a final additional period of up to 60 days if the Attorney General determines that disclosure continues to pose a substantial risk to national security and notifies the Commission of such determination in writing.” | 第1.05(c)項は、「極めて例外的な状況において、司法長官が開示が引き続き国家安全保障に重大なリスクをもたらすと判断し、その判断を委員会に書面で通知した場合、開示を最大60日間の最終的な追加期間遅延させることができる」と規定している。 |
| If, during an “additional period” of delay, the recommending agency, the registrant, or another U.S. Government agency assesses that there is an extraordinary circumstance in which public disclosure continues to pose a substantial risk to national security beyond the additional delay period, the recommending agency, registrant, or other relevant U.S. Government agency will inform the FBI and the | 「追加の延期期間」中に、勧告機関、登録者、または他の米国政府機関が、追加の延期期間を超えてもなお、公開が国家安全保障に重大なリスクをもたらし続けるような特段の事情があると判断した場合、勧告機関、登録者、またはその他の関連する米国政府機関は、FBIおよび |
| Department as soon as possible. A request for a “final additional period” should include a description of the extraordinary circumstances and continued substantial risk that public disclosure poses to national security. As with the earlier periods of delay, the Department’s determination might pertain to only part of the information that Item 1.05(a) requires and might be narrower in scope than the determination for the additional period of delay. If the Attorney General determines that public disclosure continues to pose a substantial risk to national security or public safety (as described in Section 2 above), the Department will notify the Commission, the recommending agency, and the registrant of the nature and scope of such determination and the duration of the final additional delay period in writing. | 同省にできるだけ速やかに通知する。「最終追加期間」の要請には、特段の事情および公開が国家安全保障に及ぼし続ける重大なリスクに関する説明を含める必要がある。以前の延期期間と同様、司法省の判断は、項目1.05(a)で要求される情報の一部のみを対象とする場合があり、追加延期期間の判断よりも範囲が狭くなる可能性がある。司法長官が、公開が引き続き国家安全保障または公共の安全に重大なリスクをもたらすと判断した場合(上記第2項に記載の通り)、同省は、当該判断の性質と範囲、および最終的な追加遅延期間の期間について、委員会、勧告機関、および登録者に書面で通知する。 |
| When the Department determines that the standard is not met for an additional disclosure delay, it will inform the recommending agency and the registrant, where applicable. If the recommending agency disagrees with the Department’s determination, it may inform the Department immediately and, time permitting, provide additional information or supporting material. | 司法省が、開示の追加遅延に関する基準が満たされていないと判断した場合、当該省は、勧告機関および登録者(該当する場合)にその旨を通知する。勧告機関が司法省の判断に同意しない場合、直ちに司法省にその旨を通知し、時間が許せば、追加情報または裏付け資料を提出することができる。 |
| Periods “beyond the final 60-day delay” | 「最終60日間の延期期間」を超える期間 |
| Item 1.05(c) provides that “[b]eyond the final 60-day delay under this paragraph, if the Attorney General indicates that further delay is necessary, the Commission will consider additional requests for delay and may grant such relief through Commission exemptive order.” | 項目1.05(c)は、「本項に基づく最終60日間の延期期間を超えて、司法長官がさらなる延期が必要であると示した場合、委員会は追加の延期要請を検討し、委員会の免除命令を通じてそのような救済を認めることができる」と規定している。 |
| If, during a “final additional” period of delay, the recommending agency, the registrant, or another U.S. Government agency assesses that public disclosure continues to pose a substantial risk to national security beyond the final additional period of delay, the recommending agency, registrant, or other relevant U.S. Government agency will so inform the FBI and the Department. If the Attorney General determines that public disclosure continues to pose a substantial risk to national security, the Department will so indicate in writing to the Commission, which will consider the merits of issuing an exemptive order allowing additional delay. If any additional delay is allowed, the Department will notify the recommending agency and the registrant of the nature and scope of such determination and the duration of the additional delay period in writing. | 「最終的な追加」延期期間中、勧告機関、登録者、または他の米国政府機関が、公開が最終的な追加延期期間を超えてもなお国家安全保障に重大なリスクをもたらし続けると判断した場合、勧告機関、登録者、またはその他の関連する米国政府機関は、その旨をFBIおよび司法省に通知する。司法長官が、公開が引き続き国家安全保障に重大なリスクをもたらすと判断した場合、司法省は委員会に対し書面でその旨を通知し、委員会は追加の延期を認める免除命令の発令の是非を検討する。追加の延期が認められる場合、司法省は、その決定の内容と範囲、および追加の延期期間について、勧告機関および登録者に書面で通知する。 |
| When the Department determines that the standard is not met for an additional disclosure delay, it will inform the recommending agency and the registrant, where applicable. If the recommending agency disagrees with the Department’s determination, it may inform the Department immediately and, time permitting, provide additional information or supporting material. | 司法省が、開示の追加延期に関する基準が満たされていないと判断した場合は、勧告を行った機関および登録者(該当する場合)にその旨を通知する。勧告を行った機関が司法省の判断に同意しない場合は、直ちに司法省にその旨を通知し、時間が許せば、追加情報または裏付け資料を提出することができる。 |
| 7. This document’s limited scope | 7. 本文書の限定的な範囲 |
| These guidelines do not address processes or procedures for interagency sharing of registrantrelated information. While the Department anticipates considerable coordination and consultation with other agencies, this document does not purport to describe that work. | 本ガイドラインは、登録者関連情報の省庁間共有に関するプロセスや手続きについては扱わない。当省は他省庁との相当な調整や協議を見込んでいるが、本文書はそのような業務について記述するものではない。 |
| These guidelines do not attempt to describe every situation in which the law might require a cybersecurity disclosure, or when cybersecurity disclosures are advisable even if not required. Aside from the Commission’s public disclosure requirements contained in Item 1.05, additional or concurrent reporting to the Commission pursuant to other statutory or regulator provisions or other government agencies (such as to CISA, SRMAs, or regulators) may be legally required or advisable. | 本ガイドラインは、法律によりサイバーセキュリティ開示が義務付けられるあらゆる状況、あるいは義務付けられていない場合でも開示が望ましい状況について、すべてを網羅するものではない。項目1.05に含まれる委員会の公開開示要件とは別に、他の法令や規制当局の規定、あるいは他の政府機関(CISA、SRMA、規制当局など)への追加的または並行的な報告が、法的に義務付けられているか、あるいは推奨される場合がある。 |
| This document provides no legal advice about the meaning of Item 1.05, or about the nature or extent of the Commission’s reporting requirements. | 本文書は、項目1.05の意味、あるいは委員会の報告要件の性質や範囲について、法的助言を提供するものではない。 |
| Future rulemaking pursuant to the Cyber Incident Reporting Act for Critical Infrastructure | 重要インフラ向けサイバーインシデント報告法(CIRCIA) |
| (CIRCIA) and the Cyber Incident Reporting Council’s directive to harmonize mandatory cyber incident reporting under CIRCIA (see 6 U.S.C. §§ 681f and 681g) may affect the contents of these guidelines. The Department will reassess these guidelines after CIRCIA rulemaking is complete, with consideration of any relevant recommendations from the Council on harmonization and streamlined reporting processes. | に基づく今後の規則制定、およびCIRCIAに基づく義務的なサイバーインシデント報告の調和を図るためのサイバーインシデント報告評議会の指示(6 U.S.C. §§ 681f および 681g 参照)は、本ガイドラインの内容に影響を与える可能性がある。当省は、CIRCIAに基づく規則制定が完了した後、調和および報告プロセスの合理化に関する評議会からの関連する提言を考慮し、本ガイドラインを再評価する。 |
| These guidelines have no regulatory effect, confer no rights or remedies, and do not have the force of law. See United States v. Caceres, 440 U.S. 741 (1979). | 本ガイドラインは規制上の効力を有さず、いかなる権利や救済手段も付与せず、法的拘束力を持たない。United States v. Caceres, 440 U.S. 741 (1979) を参照のこと。 |
| [1] References to “the Attorney General” throughout this document refer to the Attorney General and authorized designees at the Department of Justice. | [1] 本文書における「司法長官」への言及は、司法長官および司法省内の権限を付与された指名者を指す。 |
・2025.02.28 [PDF] FEDERAL BUREAU OF INVESTIGATION POLICY DIRECTIVE Cyber Victim Requests to Delay Securities and Exchange Commission Public Disclosure Policy Directive 1355D
| FEDERAL BUREAU OF INVESTIGATION POLICY DIRECTIVE | 連邦捜査局(FBI)方針指令 |
| Cyber Victim Requests to Delay Securities and Exchange Commission Public Disclosure Policy Directive 1355D | 証券取引委員会(SEC)への情報開示延期を求めるサイバー被害者からの要請に関する方針指令 1355D |
| General Information | 概要 |
| Proponent Cyber Division (CyD) | 提案者:サイバー部門(CyD) |
| Publication Date 2025-02-28 | 公表日 2025-02-28 |
| Last Updated N/A | 最終更新日 該当なし |
| Supersession Cyber Victim Requests to Delay Securities and Exchange Commission Public Disclosure Policy Notice (1297N) | 廃止 サイバー被害者による証券取引委員会(SEC)への公開開示延期要請に関する方針通知(1297N) |
| 1. Authorities | 1. 根拠 |
| • Volume 88 Federal Register (Fed. Reg.), No. 51896, Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure, Securities and Exchange Commission (SEC) (2023) | • 連邦官報(Fed. Reg.)第88巻、第51896号、「サイバーセキュリティリスク管理、戦略、ガバナンス、およびインシデント開示」、証券取引委員会(SEC)(2023年) |
| • Department of Justice (DOJ) Material Cybersecurity Incident Delay Determinations (2023) | • 司法省(DOJ)重要サイバーセキュリティインシデントの開示延期決定 (2023) |
| • Securities Exchange Act of 1934 | • 1934年証券取引法 |
| 2. Purpose | 2. 目的 |
| 2.1. This policy directive (PD) implements the DOJ Material Cybersecurity Incident Delay Determinations guidelines and establishes procedures by which Federal Bureau of Investigation (FBI) personnel will document cybersecurity incident public disclosure delay requests, related incident details, and United States government (USG) national security or public safety checks in an FD-1219, “Federal Bureau of Investigation 8-K Cyber Delay Referral Form.” This PD also establishes the roles, responsibilities, and procedures by which FBI personnel will send these forms to DOJ to facilitate delay determinations. | 2.1. 本方針指令(PD)は、司法省(DOJ)の「重大なサイバーセキュリティインシデントに関する公表延期決定」ガイドラインを実施するものであり、連邦捜査局(FBI)職員が、サイバーセキュリティインシデントの公表延期要請、関連するインシデントの詳細、および米国政府(USG)による国家安全保障または公共の安全に関する審査を、FD-1219「連邦捜査局 8-K サイバーセキュリティインシデント公表延期照会書」に記録するための手順を定めるものである。また、本PDは、遅延決定を円滑に進めるため、FBI職員がこれらの様式を司法省(DOJ)に送付する際の役割、責任、および手順を定めるものである。 |
| 2.2. Per the SEC’s Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure rule (88 Fed. Reg. 51896), publicly traded companies are required to determine whether each cybersecurity incident that they experience is a material cybersecurity incident pursuant to the rule. This determination is the responsibility of publicly traded companies subject to the rule and the Securities Exchange Act. Once a company makes a materiality determination, the company has four business days to publicly disclose the incident by filing an SEC Form 8-K in the SEC’s EDGAR database. | 2.2. SECの「サイバーセキュリティ・リスク管理、戦略、ガバナンス、およびインシデント開示に関する規則」(88 Fed. Reg. 51896)に基づき、上場企業は、自社で発生した各サイバーセキュリティインシデントが、同規則に従い重要なサイバーセキュリティインシデントに該当するかどうかを判断することが義務付けられている。この判断は、同規則および証券取引法の適用を受ける上場企業の責任である。企業が重要性の判断を下した後、同社は4営業日以内にSECのEDGARデータベースへSECフォーム8-Kを提出し、当該インシデントを公表しなければならない。 |
| 2.3. The SEC rule permits DOJ to notify these companies that they may delay public filing if the Attorney General (AG) (or designee) determines that disclosure through a public filing poses a substantial risk to national security or public safety and notifies the SEC of such determination in writing. Initially, disclosure may be delayed for a timeframe specified by the AG but must only last up to 30 calendar days following the date when the SEC disclosure was otherwise required to be provided (i.e., four business days from determining materiality). If the AG determines that disclosure continues to pose a substantial risk to national security or public safety, the disclosure delay may be extended for an additional period of up to 30 calendar days, and DOJ will notify the SEC of such determination in writing. In extraordinary circumstances, if the AG determines that disclosure continues to pose a substantial risk to national security and notifies the SEC of such determination in writing, disclosure may be delayed for a final additional period of up to 60 calendar days. The DOJ Material Cybersecurity Incident Delay Determinations memo explains how DOJ and the AG will make these determinations and notify the requesting victim, the SEC, and the referring agency (including the FBI) of determinations. Through this memo, the FBI is responsible for intaking all such requests (either from a victim directly, the Cybersecurity and Infrastructure Security Agency [CISA], or other government agencies [OGA]) on behalf of DOJ; coordinating checks of USG national security and public safety equities; and reporting the outcome of these checks to DOJ. | 2.3. SEC規則は、司法長官(AG)(またはその指名者)が、公的届出による開示が国家安全保障または公共の安全に重大なリスクをもたらすと判断し、その判断をSECに書面で通知した場合、DOJが当該企業に対し、公的届出を遅延させることができる旨を通知することを認めている。当初、開示は司法長官が指定した期間だけ遅延させることができるが、その期間は、本来SECへの開示が義務付けられていた日(すなわち、重要性の判断から4営業日後)から起算して30暦日以内にとどめなければならない。司法長官が開示が引き続き国家安全保障または公共の安全に重大なリスクをもたらすと判断した場合、開示の延期は最大30暦日延長され、司法省は当該判断をSECに書面で通知する。極めて例外的な状況において、司法長官が開示が引き続き国家安全保障に重大なリスクをもたらすと判断し、その判断をSECに書面で通知した場合、開示は最終的に最大60暦日延長されることがある。司法省の「重大なサイバーセキュリティインシデントに関する開示遅延の決定」に関する覚書は、司法省および司法長官がこれらの決定をどのように行い、要請を行った被害者、SEC、および照会機関(FBIを含む)に決定を通知するかを説明している。この覚書を通じて、 FBIは、司法省に代わって、被害者本人、サイバーセキュリティ・インフラセキュリティ庁(CISA)、またはその他の政府機関(OGA)からのすべての当該要請を受け付けること、米国政府の国家安全保障および公共の安全に関する利益の照合を調整すること、およびこれらの照合結果を司法省に報告することを担当する。 |
| 3. Scope | 3. 適用範囲 |
| This PD applies to all FBI personnel. | 本PDは、すべてのFBI職員に適用される。 |
| 4. Exemptions | 4. 適用除外 |
| There are no exemptions to this PD. | 本PDには適用除外はない。 |
| 5. Policy Statement | 5. 方針声明 |
| 5.1. This PD applies to all requests from cyber incident victims for a referral of their incident to DOJ for a delay of SEC public filing requirements, regardless of whether: | 5.1. 本PDは、サイバーインシデントの被害者から、SECの公開提出要件の延期を目的として、当該インシデントをDOJに照会するよう求めるすべての要請に適用される。以下のいずれの場合であっても適用される: |
| 5.1.1. The request is the FBI’s first notice of the incident or the request is made after the FBI is already aware of the incident. | 5.1.1. 当該要請がFBIにとってのインシデントに関する最初の通知であるか、またはFBIが既に当該インシデントを把握している後に要請がなされたか。 |
| 5.1.2. The victim is requesting a delay determination for the first time or an extension of an existing delay determination. | 5.1.2. 被害者が遅延決定を初めて請求しているか、既存の遅延決定の延長を請求しているか。 |
| 5.2. This PD establishes roles, responsibilities, and procedures of FBI personnel for: | 5.2. 本PDは、以下の事項に関するFBI職員の役割、責任、および手順を定める: |
| 5.2.1. The intake of delay referral requests from cyber incident victims directly or via CISA or OGAs. | 5.2.1. サイバーインシデントの被害者から直接、またはCISAやOGAを通じて行われる遅延照会請求の受付。 |
| 5.2.2. Coordinating checks of USG national security and public safety equities for each delay referral request. | 5.2.2. 各遅延照会要請について、米国政府の国家安全保障および公共の安全上の利益に関する確認を調整すること。 |
| 5.2.3. Documenting these requests and checks in an FD-1219. | 5.2.3. これらの要請および確認内容をFD-1219に記録すること。 |
| 5.2.4. Submitting approved and completed FD-1219 forms to DOJ. | 5.2.4. 承認済みかつ記入済みのFD-1219フォームを司法省(DOJ)に提出すること。 |
| 5.2.5. Conducting follow-up victim engagement, as appropriate. | 5.2.5. 必要に応じて、被害者とのフォローアップ対応を行うこと。 |
| 5.2.6. Coordinating and documenting requests for additional delay referrals. | 5.2.6. 追加の遅延付託要請について調整し、記録する。 |
| 5.3. This PD complements and does not supersede other cyber incident response, victim notification, or coordination requirements found in the Cyber Division Policy Guide (1181PG) [Redacted]. | 5.3. 本PDは、『サイバー部門ポリシーガイド(1181PG)』[削除済み]に記載されている他のサイバーインシデント対応、被害者通知、または調整要件を補完するものであり、それらに優先するものではない。 |
| 6. Roles and Responsibilities | 6. 役割と責任 |
| 6.1. All FBI personnel who are in receipt of a request from a cyber incident victim, either directly or via CISA or OGAs, for a referral of their incident to DOJ for a delay of SEC public filing requirements must as soon as possible direct victims to make these delay requests by filling out the online “SEC Reporting Requirements Delay Request Form” <https://sec8k.ic3.gov>. | 6.1. サイバーインシデントの被害者から、直接、あるいはCISAやOGAを通じて、SECの公開提出要件の延期を目的としたDOJへのインシデント照会要請を受けたすべてのFBI職員は、被害者に対し、オンラインの「SEC報告要件延期要請フォーム」<https://sec8k.ic3.gov>に記入して、これらの延期要請を行うよう、できるだけ速やかに指示しなければならない。 |
| 6.2. The time requirements of the following subsections of this policy must be actioned for all initial requests for a disclosure delay. If a victim is granted a disclosure delay by DOJ and submits a request for an extension at least five business days prior to the expiration of the granted delay, then CyWatch may adjust the timeliness requirements of the following subsections as appropriate per its judgement. | 6.2. 本方針の以下の各節に定める時間要件は、開示遅延に関するすべての初回要請に対して適用されなければならない。被害者が司法省(DOJ)から開示遅延の許可を受け、かつ許可された遅延期間の満了日の少なくとも5営業日前までに延長要請を提出した場合、CyWatchはその判断に基づき、以下の各節の適時性要件を適切に調整することができる。 |
| 6.3. CyWatch must: | 6.3. CyWatchは以下を行わなければならない: |
| 6.3.1. Within two hours of receipt of a request submitted through the online form, conduct the following actions (although, if the online form is submitted during a non-business day, these designated time requirements commence at the next opening of business hours): | 6.3.1. オンラインフォームを通じて提出された要請を受領してから2時間以内に、以下の措置を講じなければならない(ただし、オンラインフォームが非営業日に提出された場合、これらの指定された時間要件は次の営業時間の開始時に適用される): |
| 6.3.1.1. Verify the request has been made by a publicly traded company. | 6.3.1.1. 要請が上場企業によって行われたことを確認する。 |
| 6.3.1.2. Verify the request has been made immediately upon the company’s determination to disclose details of a cyber incident via an SEC Form 8-K. | 6.3.1.2. 当該企業がSECフォーム8-Kを通じてサイバーインシデントの詳細を開示することを決定した直後に、リクエストが行われたことを確認する。 |
| 6.3.1.3. Upon verification of the criteria asked in the above subsections 6.3.1.1. and 6.3.1.2. of this PD, conduct initial record checks of FBI databases for information specifically related to the incident, including but not limited to a past or present investigation or [Redacted] on the request's referenced cyber incident and the attributed threat activity or actors responsible for the incident, if known. If the victim is not a publicly traded company, or if the victim does not make this request to CyWatch immediately upon the company’s determination to disclose details of a cyber incident via an SEC Form 8-K, CyWatch should not process the request. If CyWatch determines not to process a request based on these criteria, it must document this determination in an administrative case file maintained [Redacted] by CyWatch. | 6.3.1.3. 本PDの上記6.3.1.1.および6.3.1.2.項で求められた基準の確認後、当該インシデントに特に関連する情報について、FBIデータベースの初期記録照会を行う。これには、リクエストで言及されたサイバーインシデントおよび、判明している場合は当該インシデントの原因となった脅威活動または責任あるアクターに関する、過去または現在の調査、あるいは[削除済み]などが含まれるが、これらに限定されない。被害者が上場企業でない場合、または被害者がSECフォーム8-Kを通じてサイバーインシデントの詳細を開示することを決定した直後にCyWatchに本要請を行わない場合、CyWatchは当該要請を処理してはならない。CyWatchがこれらの基準に基づき要請を処理しないと判断した場合、CyWatchが[削除]で管理する行政案件ファイルに、その判断を記録しなければならない。 |
| 6.3.1.4. Populate questions one through six of a new draft FD-1219 based on the information provided in the victim’s request and initial record checks, per the above subsection 6.3.1.3. of this PD. If responses to the online delay request form satisfy any or all of questions one through six of the FD-1219, CyWatch should not alter the provided information but may add to it, as appropriate (e.g., using information found during record checks). CyWatch must designate in the FD-1219 which text was provided by the victim and which was new text added by CyWatch. | 6.3.1.4. 本PDの上記6.3.1.3項に従い、被害者の要請および初期記録照会により提供された情報に基づき、新規FD-1219草案の質問1から6までを記入する。オンライン遅延要請フォームへの回答が、FD-1219の質問1から6のいずれかまたはすべてを満たす場合、CyWatchは提供された情報を変更してはならないが、必要に応じて(例:記録照会中に発見された情報を使用するなど)追加することはできる。CyWatchは、FD-1219において、どのテキストが被害者によって提供されたものであり、どのテキストがCyWatchによって新たに追加されたものであるかを明記しなければならない。 |
| 6.3.1.5. If a field office (FO) has an open investigation on the request’s referenced cyber incident, send a [Redacted] email to the corresponding appropriate FO cyber squad(s) for the investigation. If no FO has an open investigation on the request’s referenced cyber incident, send a [Redacted] email to the corresponding appropriate FO cyber squad(s) of the victim’s local FO. These emails should include, at minimum: | 6.3.1.5. 現地事務所(FO)が、当該要請で言及されたサイバーインシデントについて未解決の調査を行っている場合、当該調査を担当する適切なFOサイバーチームに対し、[Redacted]メールを送信する。どのFOも当該要請で言及されたサイバーインシデントについて未解決の調査を行っていない場合、被害者の管轄FOの適切なFOサイバーチームに対し、[Redacted]メールを送信する。これらのメールには、少なくとも以下を含めること: |
| 6.3.1.5.1. A subject line stating, “SEC Disclosure Delay Referral: Request by [Insert Victim Identity].” | 6.3.1.5.1. 「SEC開示遅延の照会:[被害者の身元を挿入]による要請」と記載した件名。 |
| 6.3.1.5.2. The draft FD-1219, initiated per the above subsection 6.3.1.4. of this PD [Redacted]. | 6.3.1.5.2. 本PD [Redacted]の上記6.3.1.4項に基づき作成されたFD-1219の草案。 |
| 6.3.1.5.3. A summary of the incoming request from the cyber incident victim, including where the incident occurred. | 6.3.1.5.3. サイバーインシデント被害者からの要請の概要(インシデントの発生場所を含む)。 |
| 6.3.1.5.4. The following statement: "The FO in receipt of this email must complete the roles and responsibilities assigned in subsection 6.4. of the Cyber Victim Requests to Delay Securities and Exchange Commission Public Disclosure Policy Directive (1355D) within 24 hours of receipt.” | 6.3.1.5.4. 以下の文言:「本メールを受領した現地事務所(FO)は、受領後24時間以内に、『サイバー被害者による証券取引委員会(SEC)への公開開示遅延要請に関する方針指令(1355D)』の第6.4項で割り当てられた役割と責任を履行しなければならない。」 |
| 6.3.1.5.5. A copy to the appropriate CyD operational desk program managers (PMs) and Cyber Threat Team (CTT), if applicable; the section chief (SC) of the Cyber Operations Support Section (COSS). | 6.3.1.5.5. 該当する場合、適切なCyD運用デスクのプログラムマネージャー(PM)およびサイバー脅威チーム(CTT)への写し;サイバー運用支援課(COSS)の課長(SC)。 |
| 6.3.1.6. Following the FO’s return of the draft FD-1219 to CyWatch, CyWatch must share this returned copy of the FD-1219 with the appropriate CyD operational desk PMs. This notification must task these PMs to commence completing the roles and responsibilities assigned in subsection 6.8. of this PD within 28 hours of the receipt of the draft FD-1219. | 6.3.1.6. FOがFD-1219草案をCyWatchに返送した後、CyWatchは、この返送されたFD-1219の写しを、適切なCyD運用デスクのPMと共有しなければならない。この通知において、当該PMに対し、FD-1219草案の受領から28時間以内に、本PDの第6.8項で割り当てられた役割と責任の履行を開始するよう指示しなければならない。 |
| 6.3.1.7. Concurrent with the notifications made per subsection 6.3.1.5. and the above 6.3.1.6. of this PD, notify the appropriate OGAs (as determined by CyWatch’s list) with national security and public safety equities of the incoming request from a cyber incident victim. | 6.3.1.7. 本PDの6.3.1.5.項および上記の6.3.1.6.項に基づく通知と並行して、国家安全保障および公共の安全に関わる利害関係を有する適切なOGA(CyWatchのリストに基づき決定される)に対し、サイバーインシデント被害者からの要請が寄せられたことを通知しなければならない。 |
| 6.3.1.7.1. This notification must include the incident information provided through the victim’s request and information documented per subsection 6.3.1.4. of this PD. The notification must task these OGAs to conduct equity checks to help determine if public filing of the incident would pose a substantial risk to national security or public safety; return results of these equity checks to CyWatch within 24 hours; and handle enclosed victim information in accordance with the Framework for Improved Cyber Information Sharing and Interagency Coordination for Critical Infrastructure Engagements Regarding Cyber Threats and Incidents, also known as the Federal Senior Leadership Council (FSLC) Framework, approved by the National Security Council Cyber Policy Coordination Committee on April 22, 2020. | 6.3.1.7.1. 本通知には、被害者の要請を通じて提供されたインシデント情報および本PDの6.3.1.4項に基づき記録された情報を含めなければならない。また、本通知においては、当該インシデントの公開が国家安全保障または公共の安全に重大なリスクをもたらすかどうかを判断するため、これらのOGAに対し、公平性チェックの実施を指示しなければならない; これらの公平性チェックの結果を24時間以内にCyWatchに報告すること;および、2020年4月22日に国家安全保障会議サイバー政策調整委員会により承認された、「サイバー脅威およびインシデントに関する重要インフラへの関与のためのサイバー情報共有および省庁間調整の改善に関する枠組み」(通称:連邦上級指導者評議会(FSLC)枠組み)に従って、添付された被害者情報を扱うこと。 |
| 6.3.1.8. Notify DOJ of the request with a confirmation that CyD intends to process the request. | 6.3.1.8. CyDが当該要請を処理する意向であることを確認した上で、その要請を司法省(DOJ)に通知する。 |
| 6.3.2. Maintain a list of OGAs eligible to submit online delay request forms on behalf of cyber incident victims. | 6.3.2. サイバーインシデントの被害者に代わってオンライン遅延要請フォームを提出する資格を有するOGAのリストを維持する。 |
| 6.3.3. Within two hours of receipt of responses from the relevant FO, CyD operational desk PMs, and OGAs, per the concurrent tasks assigned in subsection 6.3.1.5. through the above subsection 6.3.1.7. of this PD, must: | 6.3.3. 本PDの6.3.1.5.項から上記の6.3.1.7.項までに割り当てられた並行タスクに従い、関連するFO、CyD運用デスクPM、およびOGAからの回答を受領してから2時間以内に、以下を行わなければならない: |
| 6.3.3.1. Complete the remainder of FD-1219, Section Two. This action must include ensuring that documentation of record checks was performed by CyD operational desk PMs for question six of the FD-1219, per the above subsection 6.3.1.6. and subsection 6.8. of this PD; completing question seven of the FD-1219, based on responses provided by appropriate OGAs, per the above subsection 6.3.1.7. of this PD; and providing a summary of the findings of risk for public disclosure to national security or public safety in response to questions eight and nine of the FD-1219. | 6.3.3.1. FD-1219の第2セクションの残りの部分を記入する。この措置には、本PDの上記6.3.1.6項および6.8項に基づき、FD-1219の質問6についてCyD運用デスクPMによる記録照会が実施されたことを確認することが含まれなければならない; 本PDの上記6.3.1.7項に基づき、適切なOGAsから提供された回答に基づいて、FD-1219の質問7を記入すること;およびFD-1219の質問8および9に対する回答として、国家安全保障または公共の安全に対するリスクの調査結果の概要を提示すること。 |
| 6.3.3.2. Request and gain, if applicable, verbal or written approval of the final FD-1219 from the COSS SC (delegable to the DAD or AD) per subsection 6.5. to subsection 6.7.2. of this PD. An acting official may not approve the FD-1219. | 6.3.3.2. 本PDの第6.5項から第6.7.2項に基づき、COSS SC(DADまたはADに委任可能)に対し、最終的なFD-1219について、該当する場合、口頭または書面による承認を要請し、取得すること。代理の役職者はFD-1219を承認してはならない。 |
| 6.3.3.3. Send a copy of the approved form to the designated DOJ email inboxes. This email must include confirmation that CyD is making the referral following internal records checks and OGA equity checks; a copy of the FD-1219, approved per subsection 6.5. through subsection 6.7. of this PD; and a request for confirmation from DOJ of its delay determination. | 6.3.3.3. 承認された書式の写しを、指定された司法省(DOJ)の電子メール受信箱に送付する。この電子メールには、CyDが内部記録確認およびOGA公平性確認を経て照会を行っていることの確認、本PDの第6.5項から第6.7項に従って承認されたFD-1219の写し、および司法省(DOJ)による遅延決定の確認を求める要請を含めなければならない。 |
| 6.3.4. Within 10 business days of receipt of approval of the final FD-1219, per subsection 6.3.3.2. of this PD, upload the email chain containing SC approval of the completed FD1219 to the appropriate [Redacted] file maintained by CyWatch. | 6.3.4. 本PDの6.3.3.2項に従い、最終的なFD-1219の承認を受領してから10営業日以内に、完成したFD-1219に対するSCの承認を含むメールのやり取りを、CyWatchが管理する適切な[削除済み]ファイルにアップロードする。 |
| 6.3.5. Upon receipt of DOJ’s delay determination (which DOJ will make concurrently to the victim and the SEC): | 6.3.5. DOJの遅延決定(DOJは被害者およびSECに対して同時に通知する)を受領した時点で: |
| 6.3.5.1. Contact the victim via formal written communication, as appropriate, to confirm that the FBI is aware of DOJ’s determination. If DOJ approves the delay request, CyWatch’s contact with the victim should include an invitation for the victim to submit any requests for delay extensions no later than five business days before the expiration of the granted delay. CyWatch should advise the victim to submit this renewal request through the online form referred to in subsection 6.1. of this PD. CyWatch must make the relevant FO(s), relevant CyD operational desk PMs, and the COSS SC aware of this contact, as appropriate. This will enable additional relevant FO engagement with the victim. | 6.3.5.1. 必要に応じて、正式な書面による連絡を通じて被害者に連絡し、FBIが司法省の決定を把握していることを確認する。司法省が遅延要請を承認した場合、CyWatchによる被害者への連絡には、承認された遅延期間の満了の5営業日前までに、遅延延長の要請を提出するよう被害者に促す内容を含めるべきである。CyWatchは、本PDの第6.1項で言及されているオンラインフォームを通じて、この更新要請を提出するよう被害者に助言すべきである。CyWatchは、必要に応じて、関連するFO、関連するCyD運用デスクのPM、およびCOSS SCに対し、この連絡を行ったことを通知しなければならない。これにより、被害者に対する関連FOによる追加的な関与が可能となる。 |
| 6.3.5.2. Document DOJ’s delay determination [Redacted]. | 6.3.5.2. DOJの延期決定を文書化する [削除済み]。 |
| 6.3.6. Manage related communications with DOJ following the referral of an FD-1219 to DOJ. These communications may include, but not be limited to, follow-up questions related to the contents of the FD-1219 and the process by which FBI arrived at the facts and findings documented therein. | 6.3.6. FD-1219がDOJに照会された後の、DOJとの関連する連絡を管理する。これらの連絡には、FD-1219の内容、およびFBIがそこに記載された事実と結論に到達したプロセスに関する追跡質問が含まれるが、これらに限定されない。 |
| 6.3.7. Manage communication mechanisms (e.g., email inboxes or telephone lines) for the victim request intake and referral process and monitor them on a 24/7 basis. | 6.3.7. 被害者からの要請受付および照会手続きのための連絡手段(例:電子メール受信箱や電話回線)を管理し、24時間365日体制で監視する。 |
| 6.3.8. Develop, update, and provide appropriate training materials and communications to stakeholders of the processes outlined in this PD, in coordination with CyD’s Cyber Education and Training Unit (CETU), Executive Staff Unit (ESU), the Cyber Policy Team, and the Office of the General Counsel (OGC), as appropriate. | 6.3.8. 本PDに概説されたプロセスの関係者に対し、必要に応じてCyDのサイバー教育・訓練ユニット(CETU)、執行スタッフユニット(ESU)、サイバー政策チーム、および法務総局(OGC)と連携し、適切な研修資料および連絡事項を作成、更新、提供すること。 |
| 6.4. FO heads (delegable to assistant special agents in charge [ASAC]): | 6.4. 現地事務所(FO)長(副特別捜査官(ASAC)に委任可能): |
| 6.4.1. Must establish and execute a process by which their subordinate personnel respond to CyWatch emails sent to FOs, per subsection 6.3.1.5. of this PD. The established process must, at minimum, execute the following actions within 24 hours: | 6.4.1. 本PDの6.3.1.5項に従い、FO宛てに送信されるCyWatchメールに対し、配下の職員が対応するプロセスを確立し、実行しなければならない。確立されたプロセスでは、少なくとも24時間以内に以下の措置を講じなければならない: |
| 6.4.1.1. Intake the request and engage with the victim, as appropriate. | 6.4.1.1. 要請を受け付け、必要に応じて被害者と接触する。 |
| 6.4.1.2. Review and edit the drafted FD-1219, Section One based on information learned during victim engagement, when applicable. | 6.4.1.2. 該当する場合、被害者との接触中に得た情報に基づき、作成済みのFD-1219第1セクションを精査・修正する。 |
| 6.4.1.3. Respond to CyWatch’s email per subsection 6.3.1.5. of this PD with an attached, completed FD-1219, Section One; [Redacted]; and as appropriate, a recommendation of other FOs with whom CyD should consult as it determines potential related national security or public safety equities. | 6.4.1.3. 本PDの6.3.1.5項に従い、記入済みのFD-1219第1セクションを添付してCyWatchの電子メールに返信する; [削除済み];および必要に応じて、CyDが潜在的な関連する国家安全保障または公共の安全上の利害関係を判断する際に協議すべき他のFOに関する推奨事項を添付する。 |
| 6.4.2. Should ensure that their FOs provide timely input, as appropriate, if CyD operational desk PMs notify the FO of a pending request and related equities in the FO’s investigative records, per subsection 6.8.2. of this PD. | 6.4.2. 本PDの6.8.2項に基づき、CyDの運用デスクPMがFOに対し、未処理の要請および当該FOの捜査記録に関連する利害関係について通知した場合、当該FOが適切かつ適時に意見を提供するよう確保しなければならない。 |
| 6.5. The COSS SC must approve or deny FD-1219s, per subsection 6.3.3.2. of this PD, within CyWatch’s two-hour deadline. The COSS SC must not delegate this task or reassign it to another SC. | 6.5. COSS SCは、本PDの6.3.3.2項に従い、CyWatchの2時間という期限内にFD-1219を承認または却下しなければならない。COSS SCは、この任務を委任したり、他のSCに再割り当てしたりしてはならない。 |
| 6.6. The deputy assistant director (DAD) of CyD’s Cyber Operations Branch (COB), in the absence of the COSS SC, must approve or deny FD-1219s within CyWatch’s two-hour deadline, per subsection 6.3.3.2. of this PD. | 6.6. COSS SCが不在の場合、CyDサイバー運用部(COB)の副次長(DAD)は、本PDの6.3.3.2項に従い、CyWatchの2時間という期限内にFD-1219を承認または却下しなければならない。 |
| 6.7. The assistant director (AD) of CyD must: | 6.7. CyDの次長(AD)は、以下を行わなければならない: |
| 6.7.1. In the absence of both the COSS SC and the COB DAD, approve or deny FD-1219s within CyWatch’s 2-hour deadline, per subsection 6.3.3.2. of this PD. | 6.7.1. COSS SCおよびCOB DADの両方が不在の場合、本PDの6.3.3.2項に従い、CyWatchの2時間という期限内にFD-1219を承認または却下しなければならない。 |
| 6.7.2. Designate an approver of FD-1219s in the joint absence of the COSS SC; DAD, COB; and AD, CyD. | 6.7.2. COSS SC、COB DAD、およびCyD ADが同時に不在の場合、FD-1219の承認者を指定しなければならない。 |
| 6.8. CyD operational desk PM(s) must, within 28 hours of receipt of the draft FD-1219 from CyWatch, per subsection 6.3.1.6. of this PD: | 6.8. CyD運用デスクのPMは、本PDの6.3.1.6項に従い、CyWatchからFD-1219草案を受領してから28時間以内に、以下の措置を講じなければならない: |
| 6.8.1. Review the incident information provided. | 6.8.1. 提供されたインシデント情報を確認する。 |
| 6.8.2. Conduct additional record checks in FBI systems and information holdings of their operational desk, as appropriate, and amend question six of the draft FD-1219 to reflect additional findings of specific and credible national security or public safety concerns with the victim’s public filing of the cyber incident in the SEC’s Electronic Data Gathering, Analysis, and Retrieval (EDGAR) database. | 6.8.2. 必要に応じて、FBIのシステムおよび当該運用デスクが保有する情報について追加の記録照会を行い、被害者がSECの電子データ収集・分析・検索(EDGAR)データベースにサイバーインシデントを公開したことに伴う、具体的かつ信憑性のある国家安全保障または公共の安全上の懸念に関する追加の所見を反映させるため、FD-1219草案の質問6を修正すること。 |
| 6.8.2.1. If a related national security or public safety equity in the investigative records of an FO is identified, the operational desk PM(s) must notify the appropriate FO points of contact (POC). The operational desk PM(s) must incorporate related FO feedback into the amendments of question six, as appropriate. | 6.8.2.1. 担当事務所(FO)の捜査記録において、関連する国家安全保障または公共の安全上の懸念事項が特定された場合、運用デスクのPMは、適切なFOの連絡担当者(POC)に通知しなければならない。運用デスクのPMは、必要に応じて、関連するFOからのフィードバックを質問6の修正に反映させなければならない。 |
| 6.8.2.2. If the incident has been attributed to a specific threat actor, the operational desk PM(s) also must notify the appropriate Cyber Threat Team FO POCs. The operational desk PM(s) must incorporate related FO feedback resulting from this notification into the amendments of question six, as appropriate. | 6.8.2.2. 当該インシデントが特定の脅威アクターによるものと特定された場合、オペレーショナルデスクのPMは、適切なサイバー脅威チームFOのPOCにも通知しなければならない。オペレーショナルデスクのPMは、この通知に基づくFOからのフィードバックを、必要に応じて質問6の修正に反映させなければならない。 |
| 7. References | 7. 参考文献 |
| • Cyber Division Policy Guide (1181PG) [Redacted] | • サイバー部門ポリシーガイド (1181PG) [一部非公開] |
| • DOJ Material Cybersecurity Incident Delay Determinations (2023) | • 司法省(DOJ)重大サイバーセキュリティインシデント遅延決定(2023年) |
| • FD-1219, “Federal Bureau of Investigation 8-K Cyber Delay Referral Form” | • FD-1219、「連邦捜査局(FBI)8-Kサイバー遅延照会フォーム」 |
| • National Security Council Cyber Policy Coordination Committee, Framework for Improved Cyber Information Sharing and Interagency Coordination for Critical Infrastructure Engagements Regarding Cyber Threats and Incidents (2020) | • 国家安全保障会議サイバー政策調整委員会、『サイバー脅威およびインシデントに関する重要インフラへの関与における、サイバー情報共有および省庁間調整の改善のための枠組み』(2020年) |
| • SEC’s Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure (88 Fed. Reg. 51896) | • SECのサイバーセキュリティ・リスク管理、戦略、ガバナンス、およびインシデント開示(88 Fed. Reg. 51896) |
| 8. Definitions and Acronyms | 8. 定義および略語 |
| 8.1. Definitions | 8.1. 定義 |
| 8.1.1. Federal Bureau of Investigation personnel: FBI employees, task force officers (TFO), task force members (TFM), task force participants (TFP), detailees, and contractors | 8.1.1. 連邦捜査局(FBI)職員:FBI職員、タスクフォース担当官(TFO)、タスクフォースメンバー(TFM)、タスクフォース参加者(TFP)、出向者、および契約業者 |
| 8.2. Acronyms | 8.2. 略語 |
以下、略...
● まるちゃんの情報セキュリティ気まぐれ日記
適用後...
・2025.07.30 SEC Cybersecurity の開示昨年からの比較...
・2024.10.25 米国 SEC Unisys、Checkpointほか、年次報告書における誤解を与えるセキュリティ開示で罰金を支払う...
・2024.07.15 SECのルールの改正によるサイバーセキュリティ開示 (20-F) 三井住友ファイナンシャル、ORIX、みずほファイナンシャル、野村、タケダ、ソニー、トヨタ、ホンダの場合 (MUFGも追加)
・2024.07.14 SECのルールの改正によるサイバーセキュリティ開示 (10-K) IBM, Intel, Boeing, AMEX, Jonson & Johnson, Pfizer, Coca-Cola. McDonaldsの場合
採択後...
・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)
・2023.09.24 米国 AICPA SECの新しいサイバーセキュリティ開示規則について経営者が知っておくべきこと
・2023.09.16 米国 カジノホテルグループのシーザーズがサイバー攻撃を受けて8-Kを公表していますね。。。
これが採択された段階...
・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択
案をだしている段階...
・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案
その他...
・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね
・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者
米国 一般調達局 FPKI統合テスト環境(CITE)参加ガイド (2026.04.21)
こんにちは、丸山満彦です。
米国連邦政府の一般調達局が運営する連邦政府の「アイデンティティ、認証情報、およびアクセス管理(FICAM)」プログラムに関するウェブサイトであるIDManagement.govにFPKI統合テスト環境(CITE)参加ガイドが公表されています...
CITEは、FPKI のテスト環境(CITE / BRAWL)を利用するための実務的な手引きで、本番環境に影響を与えずにPKI の変更(相互運用性の担保等の目的のため)を検証できるようになっており、PQC など新技術の実験ができるようになっています。
ということで、日本でもこういう環境をデジタル庁が準備すると素敵なんですよね(^^)
● GSA - IDManagement
・2026.04.21 CITE Participation Guide
| Overview | 概要 |
| Testing Use Cases | テストユースケース |
| Technical Specifications | 技術仕様 |
| Scheduled and Unscheduled Testing | 定期および不定期のテスト |
| Repository Availability | リポジトリの利用可能性 |
| Technical Support Availability | テクニカルサポートの利用可能性 |
| Test Certificate Profiles | テスト証明書プロファイル |
| Test Websites | テスト用ウェブサイト |
| Test Policy Object Identifiers | テストポリシーオブジェクト識別子 |
IDManagementにはいろいろな情報があるので、参考になりますね... 松本泰さん、ありがとうございます!!!
2026.05.28
G7 AIのためのソフトウェア部品表(SBOM for AI) 必須要素 (2026.05.12)
こんにちは、丸山満彦です。
G7が、AIのためのソフトウェア部品表(SBOM for AI) 最少要素を公表しています...
2025年6月にG7サイバーセキュリティ作業部会が公表したAI向けSBOMに関する共通ビジョンに基づき、AI向けSBOMに含めるべき最低限の要素について、有用かつ実践的な提言を行うために、イタリア(ACN)とドイツ(BSI)が共同で主導する「人工知能:AI向けSBOM」という作業部会のもと、G7議長国であるカナダ(2025年)およびフランス(2026年)からの支援を受けてこの文書はできているということです。
この文書は、
- AIのためのソフトウェア部品表(SBOM)に何が合理的に期待されるかについて、
- AIサプライチェーンにおける透明性とサイバーセキュリティを向上させるために、
官民のステークホルダーに向けた実践的な指針を提供するものということのようです...
クラスターとして7つを挙げていますね...
| 1 Metadata | 1 メタデータ |
| 2 System Level Properties (SLP) | 2 システムレベルプロパティ(SLP |
| 3 Models | 3 モデル |
| 4 Datasets Properties (DP) | 4 データセットプロパティ(DP) |
| 5 Infrastructure | 5 インフラストラクチャ |
| 6 Security Properties (SP) | 6 セキュリティプロパティ(SP) |
| 7 Key Performance Indicators (KPI) | 7 主要業績評価指標(KPI) |
● BSI
・2026.05.12 BSI veröffentlicht G7-Richtlinie zu Software Bill of Materials for AI
| BSI veröffentlicht G7-Richtlinie zu Software Bill of Materials for AI | BSI、AI向けソフトウェア部品表(SBOM for AI)に関するG7ガイドラインを公表 |
| Nachdem im Juni 2025 bereits eine gemeinsame Vision zum Nutzen und der Notwendigkeit einer Stückliste für KI (SBOM for AI) veröffentlicht wurde, erreichen die Cybersicherheitsbehörden der G7-Staaten und die EU-Kommission einen Meilenstein. Unter der Federführung des BSI und der italienischen Cybersicherheitsbehörde ACN fand ein regelmäßiger Austausch zwischen allen Behörden statt. | 2025年6月にAI向けソフトウェア部品表(SBOM for AI)の有用性と必要性に関する共同ビジョンがすでに公表されていたが、G7諸国のサイバーセキュリティ当局とEU委員会は新たな節目を迎えた。BSIとイタリアのサイバーセキュリティ機関ACNの主導の下、すべての当局間で定期的な意見交換が行われた。 |
| Das Ergebnis: Eine G7-Richtlinie zu Software Bill of Materials (SBOM) for AI. Diese bietet Empfehlungen für Minimalanforderungen an eine SBOM for AI und wurde gemeinsam von den KI-Expertinnen und Experten der G7 Cybersicherheitsbehörden und der EU-Kommission erarbeitet. Die sieben übergeordneten Informationskategorien (Cluster) enthalten jeweils mehrere Elemente, die durch anschauliche Beispiele für einen praxistauglichen Einsatz hinterlegt werden. | その結果、AI向けソフトウェア部品表(SBOM)に関するG7ガイドラインが策定された。これはAI向けSBOMの最低要件に関する推奨事項を提示するものであり、G7サイバーセキュリティ当局およびEU委員会のAI専門家によって共同で作成された。7つの上位情報カテゴリ(クラスター)にはそれぞれ複数の要素が含まれており、実用的な活用例が具体的に示されている。 |
| BSI-Präsidentin Claudia Plattner: "Transparenz über die KI-Lieferkette, die eingesetzten Komponenten und Abhängigkeiten bildet die Grundlage für robuste KI-Cybersicherheit. Sie ermöglicht Nachvollziehbarkeit der Systeme, unterstützt das effiziente Management identifizierter Schwachstellen und stärkt das Cyberrisikomanagement der Organisation." | BSIのクラウディア・プラットナー会長は次のように述べている。「AIのサプライチェーン、使用されるコンポーネント、および依存関係に関する透明性は、強固なAIサイバーセキュリティの基盤となる。これによりシステムの追跡可能性が確保され、特定された脆弱性の効率的な管理が支援され、組織のサイバーリスク管理が強化される。」 |
| Das kann eine SBOM for AI leisten: Sie schafft Transparenz, um mit den richtigen Tools die Cybersicherheit eines KI Systems effektiv umzusetzen. Eine SBOM soll, erweitert auf KI-Systeme, künftig z.B. Informationen über das verwendete KI-Modell sowie Art, Quelle und mögliche Biases in den Trainingsdaten enthalten. Ziel ist, den gesamten Lebenszyklus der KI-Anwendung zu betrachten und transparent zu machen. | SBOM for AIが果たす役割は、適切なツールを用いてAIシステムのサイバーセキュリティを効果的に実現するための透明性を生み出すことだ。AIシステムに拡張されたSBOMは、将来的には、使用されているAIモデルに関する情報や、トレーニングデータの種類、ソース、および潜在的なバイアスなどを含むことになる。その目的は、AIアプリケーションのライフサイクル全体を俯瞰し、透明性を確保することにある。 |
| Künstliche Intelligenz, wie etwa agentische oder generative KI, entwickelt sich schnell, umfangreich und permanent, weshalb das Dokument Anpassungen und Änderungen in der Zukunft offen lässt. | エージェント型や生成型AIなどの人工知能は、急速かつ広範に、そして絶えず進化しているため、この文書は将来的な調整や変更の可能性を残している。 |
・[PDF] Software Bill of Materials (SBOM) for Artificial Intelligence - Minimum Elements
目次...
| Exective Summary | エグゼクティブサマリー |
| 1. Introduction | 1. 序論 |
| 2. Clusters and Cluster Elements | 2. クラスターとクラスター要素 |
| 2.1 Metadata Cluster Elements | 2.1 メタデータ・クラスター要素 |
| 2.2 System Level Properties (SLP) Cluster Elements | 2.2 システムレベルプロパティ(SLP)クラスター要素 |
| 2.3 Models Cluster Elements | 2.3 モデル・クラスター要素 |
| 2.4 Datasets Properties (DP) Cluster Elements | 2.4 データセットプロパティ(DP)クラスター要素 |
| 2.5 Infrastructure Cluster Elements | 2.5 インフラストラクチャ・クラスタ要素 |
| 2.6 Security Properties (SP) Cluster Elements | 2.6 セキュリティプロパティ(SP)クラスター要素 |
| 2.7 Key Performance Indicators (KPI) Cluster Elements | 2.7 主要業績評価指標(KPI)クラスター要素 |
| 3. Discussion | 3. 考察 |
| 4. Conclusion | 4. 結論 |
| References | 参考文献 |
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| Accessing information on the supply chain of an artificial intelligence (AI) system, as well as its individual components and dependencies, is critical to strengthen cybersecurity of AI. Transparency and knowledge about AI system composition fosters vulnerability management and supports cybersecurity risk management. | 人工知能(AI)システムのサプライチェーン、およびその個々の構成要素や依存関係に関する情報にアクセスすることは、AIのサイバーセキュリティを強化するために極めて重要である。AIシステムの構成に関する透明性と知識は、脆弱性管理を促進し、サイバーセキュリティリスクマネジメントを支援する。 |
| This document provides actionable guidelines for public and private sector stakeholders on what is reasonable to expect in a Software Bill of Materials (SBOM) for AI, and to improve transparency and cybersecurity along the AI supply chain. It builds on the shared vision of SBOM for AI published by the G7 Cybersecurity Working Group in June 2025 and provides useful practical recommendations on which minimum elements SBOMs for AI should include. As such, this document is meant to cover a minimum set of elements identified and agreed on by experts within the G7 Cybersecurity Working Group. These minimum elements are not mandatory; do not create requirements, standards, or legislation; and are open to further refinements to keep pace with technological development and evolution of legal or policy frameworks within G7 members. Additionally, in some jurisdictions, certain elements proposed in this document may already be, or may be expected to be, addressed through legal requirements and obligations, or through existing or forthcoming standards. | 本文書は、AI向けソフトウェア部品表(SBOM)に何が合理的に期待されるかについて、またAIサプライチェーンにおける透明性とサイバーセキュリティを向上させるために、官民のステークホルダーに向けた実践的な指針を提供するものである。これは、2025年6月にG7サイバーセキュリティ作業部会が公表したAI向けSBOMに関する共通ビジョンに基づき、AI向けSBOMに含めるべき最低限の要素について、有用かつ実践的な提言を行うものである。 したがって、本ドキュメントは、G7サイバーセキュリティ作業部会内の専門家によって識別され合意された、最低限の要素セットを網羅することを意図している。これらの最低限の要素は義務的なものではなく、要件、標準、または法規制を創設するものではない。また、技術の発展やG7加盟国における法的・政策的フレームワークの進化に対応するため、さらなる改良の余地を残している。 さらに、一部の法域においては、本文書で提案されている特定の要素が、法的要件や義務、あるいは既存または今後策定される標準を通じて、すでに扱われているか、あるいは扱われることが予想される場合がある。 |
| This document is jointly published by Germany’s Federal Office for Information Security (BSI), Italy’s National Cybersecurity Agency (ACN), France’s National Cybersecurity Agency (ANSSI), Canada’s Communications Security Establishment (CSE), the US Cybersecurity and Infrastructure Security Agency (CISA), UK’s National Cyber Security Centre (NCSC) and Japan’s National Cybersecurity Office (NCO), in collaboration with the EU Commission. | 本文書は、ドイツ連邦情報セキュリティ局(BSI)、イタリア国家サイバーセキュリティ庁(ACN)、フランス国家サイバーセキュリティ庁(ANSSI)、カナダ通信セキュリティ局(CSE)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、 英国の国家サイバーセキュリティセンター(NCSC)、および日本の国家サイバーセキュリティ事務局(NCO)が、EU委員会と協力して共同で発行するものである。 |
| This document has been written thanks to the support provided by the G7 Presidencies of Canada (2025) and France (2026), under the work stream “Artificial Intelligence: SBOM for AI” co-led by Italy (ACN) and Germany (BSI). | 本文書は、イタリア(ACN)とドイツ(BSI)が共同で主導する「人工知能:AI向けSBOM」という作業部会のもと、G7議長国であるカナダ(2025年)およびフランス(2026年)からの支援を受けて作成された。 |
● US. CISA
・2026.05.12 Software Bill of Materials for AI - Minimum Elements
| Software Bill of Materials for AI - Minimum Elements | AI向けソフトウェア部品表(SBOM)-必須要素 |
| CISA and the Group of Seven (G7) international partners—Germany, Canada, France, Italy, Japan, the United Kingdom, and the European Union—have released joint guidance, Software Bill of Materials for AI – Minimum Elements, to help public and private sector stakeholders improve transparency in their artificial intelligence (AI) systems and supply chains. | CISAおよびG7(ドイツ、カナダ、フランス、イタリア、日本、英国、欧州連合)の国際パートナーは、官民のステークホルダーが人工知能(AI)システムおよびサプライチェーンの透明性を向上させることを支援するため、共同ガイダンス『AI向けソフトウェア部品表(SBOM)-必須要素』を発表した。 |
| A software bill of materials (SBOM) acts as an “ingredients list” for software that better positions organizations to understand their supply chains and make risk-informed decisions about how to protect their critical systems. The guidance builds on CISA’s previous work with federal and international partners to establish a shared vision for a software bill of materials and provides recommendations on minimum elements that should be included in an SBOM for AI. Because AI systems are software systems, these recommendations should be considered in addition to the general minimum elements for an SBOM. | ソフトウェア部品表(SBOM)は、ソフトウェアの「成分表」としての役割を果たし、組織が自社のサプライチェーンを理解し、重要なシステムを保護する方法についてリスクに基づいた意思決定を行うための基盤となる。本ガイダンスは、ソフトウェア部品表に関する共通のビジョンを確立するためにCISAが連邦政府および国際的なパートナーとこれまで行ってきた取り組みを基に作成されたものであり、AI向けSBOMに含めるべき最低限の要素に関する推奨事項を提示している。AIシステムはソフトウェアシステムであるため、これらの推奨事項は、SBOMの一般的な必須要素に加えて考慮されるべきである。 |
| While not exhaustive or mandatory, the supplemental minimal elements outlined in this guidance reflect the consensus of G7 experts and will expand over time to keep pace with the rapid advancement of AI technology. | 本ガイダンスで概説された補足的な必須要素は、網羅的でも強制的でもないが、G7の専門家による合意を反映したものであり、AI技術の急速な進歩に対応するため、今後順次拡充されていく予定である。 |
・[PDF] A shared G7 Vision on Software Bill of Materials for Artificial Intelligence
| Jointly drafted by BSI and CAN | BSIとCANによる共同作成 |
| A Shared G7 Vision on Software Bill of Materials for AI | AI向けソフトウェア部品表(SBOM)に関するG7の共通ビジョン |
| Transparency and Cybersecurity along the AI Supply Chain | AIサプライチェーンにおける透明性とサイバーセキュリティ |
| This paper has been written under the work stream “Smarter Together: Artificial Intelligence” of the G7 Cybersecurity Working Group. It serves as food for thought and does not intend to contradict work conducted in existing G7 groups such as the Hiroshima AI Process. In some jurisdictions a number of elements of SBOMs for AI proposed in this paper may be expected to be covered, for example, through legal requirements and obligations or existing or forthcoming standards. Due to the ongoing evolution of legal and policy frameworks within the G7 members, this paper is open for further evolution. | 本報告書は、G7サイバーセキュリティ作業部会の「Smarter Together: Artificial Intelligence」という作業ストリームの下で作成されたものである。本報告書は考察の材料となるものであり、広島AIプロセスなどの既存のG7グループで行われている取り組みと矛盾する意図はない。一部の法域においては、本報告書で提案されているAI向けSBOMの要素の一部が、例えば法的要件や義務、あるいは既存または今後策定される規格などを通じて、すでに網羅されていると予想される。G7加盟国における法的・政策的枠組みは現在も進化し続けているため、本報告書の内容は今後も変更される可能性がある。 |
| 1. Introduction | 1. はじめに |
| Organizations, institutions and the general public all around the world are using AI systems for multiple purposes. Developing such systems is highly complex: it requires a vast amount of resources (e.g., energy, data), infrastructure (esp. GPUs), and human expertise. Many AI systems often rely on existing base models - either commercial or open source - and are adapted according to their application purpose. | 世界中の組織、機関、そして一般市民が、様々な目的でAIシステムを利用しています。こうしたシステムの開発は極めて複雑であり、膨大なリソース(エネルギー、データなど)、インフラ(特にGPU)、そして人的専門知識を必要とします。多くのAIシステムは、商用またはオープンソースの既存のベースモデルに依存し、その用途に応じて適応されています。 |
| Like most modern software systems, AI systems are complex. Complexity often leads to a lack of insights into how exactly an AI system works and which components and elements an AI system is based on. | 現代のほとんどのソフトウェアシステムと同様に、AIシステムは複雑です。この複雑さゆえに、AIシステムが具体的にどのように機能しているのか、またどのようなコンポーネントや要素に基づいているのかについての理解が不足しがちです。 |
| As a result, key cybersecurity issues, such as potential weak points, vulnerabilities, manipulations or compromises, are difficult to detect. Indeed, aspects such as how an AI system has been trained, including the data used and the underlying base model, are key to ensure trustworthiness, security and safety of AI systems, whereas we note that safety and security of AI systems are related as described for example in G7 Leaders’ Statement on the Hiroshima AI Process. | その結果、潜在的な弱点、脆弱性、改ざん、または侵害といった重要なサイバーセキュリティ上の問題を検出することが困難になる。実際、使用されたデータや基盤となるベースモデルを含め、AIシステムがどのように学習されたかといった側面は、AIシステムの信頼性、セキュリティ、および安全性を確保する上で鍵となる。一方で、例えば「広島AIプロセスに関するG7首脳声明」で述べられているように、AIシステムの安全性とセキュリティは相互に関連していることに留意する必要がある。 |
| The G7 Cybersecurity Working Group suggests introducing a common concept for Software Bill of Materials for AI (SBOM for AI).[1] An SBOM for AI consists of a structured record of details and supply chain relationships for the various components used in building an AI system. The goal of an SBOM for AI is to contribute to fostering security of AI systems through AI supply chain transparency and traceability of its components and dependencies. | G7サイバーセキュリティ作業部会は、AI向けソフトウェア部品表(SBOM for AI)に関する共通概念の導入を提案している[1]。AI向けSBOMは、AIシステムの構築に使用される様々なコンポーネントの詳細およびサプライチェーン上の関係性を構造化して記録したものである。AI向けSBOMの目的は、AIサプライチェーンの透明性およびコンポーネントと依存関係のトレーサビリティを通じて、AIシステムのセキュリティ向上に寄与することにある。 |
| This paper presents a shared vision and a first high-level summary of the SBOM for AI concept, including its benefits for cybersecurity, its properties, and an initial proposal for its example minimum elements. While SBOMs for AI are not explicitly a cybersecurity tool, if designed and used correctly in conjunction with appropriate tools (e.g., vulnerability management software), they could foster the transparent inventory needed to help secure the supply chain. The paper concludes with an outlook on necessary next steps to further proceed with the technical implementation of an SBOM for AI framework. | 本稿では、AI用SBOMの概念に関する共通のビジョンと、その概要を初めて高レベルで提示する。これには、サイバーセキュリティへの利点、その特性、および最小構成要素の初期提案が含まれる。AI用SBOMは、厳密にはサイバーセキュリティツールではないが、適切なツール(例:脆弱性管理ソフトウェア)と組み合わせて正しく設計・使用されれば、サプライチェーンのセキュリティ確保に役立つ透明性のあるインベントリの構築を促進し得る。本論文は、AI向けSBOMフレームワークの技術的実装をさらに進めるために必要な今後のステップに関する展望をもって締めくくられる。 |
| 2. Improving cybersecurity through transparency along the AI supply chain | 2. AIサプライチェーンにおける透明性を通じたサイバーセキュリティの向上 |
| One of the key challenges of securing an AI system is the vulnerability of its supply chain to both traditional and novel attack vectors. The depth and complexity of AI supply chains, coupled with the evolving and dynamic AI lifecycle, represents a considerable attack surface. Successful cyber attacks often aim at compromising a product before it reaches the consumer/end-user, including also AI components. The goal of so-called supply chain attacks is often to gather/steal sensitive information, pre-positioning and more generally to cause damage, either in the relationships between the stakeholders and/or financially, e.g., by tampering or poisoning data, causing unproductivity, misinformation or pursuing own interests. | AIシステムのセキュリティ確保における主要な課題の一つは、そのサプライチェーンが従来型および新規の攻撃ベクトルに対して脆弱である点である。AIサプライチェーンの深さと複雑さは、進化し続ける動的なAIライフサイクルと相まって、相当な攻撃対象領域を形成している。成功するサイバー攻撃は、AIコンポーネントを含め、製品が消費者やエンドユーザーに届く前に侵害することを狙うことが多い。いわゆるサプライチェーン攻撃の目的は、機密情報の収集・窃取、事前配置、そしてより一般的には、データの改ざんや汚染、生産性の低下、誤情報の拡散、あるいは自己利益の追求などを通じて、ステークホルダー間の関係や財務面に損害を与えることにある。 |
| Against this backdrop, improved cybersecurity along the AI supply chain can be achieved by increasing transparency, specifically with regard to accessing information on the creation process of the final AI system, as well as its individual components and dependencies. While for traditional software products the Software Bill of Materials (SBOM) concept may support mitigation to the above mentioned cybersecurity attacks, there is no internationally established and practically applicable common practice for systems using AI yet. In conjunction with other security tools, an SBOM for AI can increase transparency along the supply chain and thus contribute to cybersecurity. | こうした背景において、AIサプライチェーン全体でのサイバーセキュリティの向上は、透明性を高めることで実現可能です。具体的には、最終的なAIシステム、およびその個々のコンポーネントや依存関係に関する作成プロセスへの情報アクセスに関して透明性を高めることが重要です。従来のソフトウェア製品においては、ソフトウェア部品表(SBOM)の概念が前述のサイバーセキュリティ攻撃への対策として有効ですが、AIを利用するシステムについては、国際的に確立され、実用的な共通の慣行はまだ存在しません。他のセキュリティツールと組み合わせて活用することで、AI向けSBOMはサプライチェーン全体の透明性を高め、サイバーセキュリティの向上に寄与する。 |
| An SBOM for AI may bring transparency and knowledge about AI system composition. It fosters vulnerability management and patching by minimizing the response time required to check if known vulnerabilities are deployed within the AI system components, supporting risk management. | AI向けSBOMは、AIシステムの構成に関する透明性と知見をもたらす可能性があります。これにより、既知の脆弱性がAIシステムのコンポーネント内に実装されているかどうかを確認するために必要な対応時間を最小限に抑え、脆弱性管理とパッチ適用を促進し、リスク管理を支援します。 |
| Moreover, an SBOM for AI allows both AI model tracking, addressing issues related to performance while speeding up the entire security compliance verification process, simplifying auditing and keeping track of already existing compliance attestations. Furthermore, the usage of already proven components can reduce costs during the development phase of an AI system. As part of existing Secure by Design paradigms, a persistent use of an SBOM for AI can have positive effects on expensive and time consuming reworkings, such as model retraining, or damage repair. An SBOM for AI also facilitates license management. Most importantly, an SBOM for AI strengthens the autonomy and awareness of AI systems stakeholders by enabling them to make a carefully considered decision whether an AI system, an individual component or indeed a supplier is suitable for a particular purpose or not. | さらに、AI向けSBOMはAIモデルの追跡を可能にし、パフォーマンスに関連する問題に対処すると同時に、セキュリティコンプライアンス検証プロセス全体を迅速化し、監査を簡素化し、既存のコンプライアンス証明を追跡します。さらに、実績のあるコンポーネントを使用することで、AIシステムの開発段階におけるコストを削減できます。既存の「Secure by Design(設計段階からのセキュリティ確保)」パラダイムの一環として、AI向けSBOMを継続的に活用することは、モデルの再学習や障害修復といった、費用と時間を要する手直し作業に対してプラスの効果をもたらします。また、AI向けSBOMはライセンス管理も容易にします。最も重要な点として、AI向けSBOMは、AIシステム、個々のコンポーネント、あるいはサプライヤーが特定の目的に適しているかどうかを、ステークホルダーが慎重に検討した上で判断できるようにすることで、ステークホルダーの自律性と認識を強化します。 |
| 3. Software Bill of Materials for AI | 3. AI向けソフトウェア部品表(SBOM) |
| Properties | 特性 |
| To allow an SBOM for AI to be effective, it needs to ensure that the three following properties are satisfied: | AI向けSBOMが効果を発揮するためには、以下の3つの特性が満たされている必要があります: |
| • being able to capture the static and dynamic aspects of AI systems (e.g., datasets used for training, testing and validation during the lifecycle of the system or learning outcomes) that distinguish them from traditional software systems; | • 従来のソフトウェアシステムとは異なる、AIシステムの静的および動的な側面(例:システムのライフサイクルにおけるトレーニング、テスト、検証に使用されるデータセット、あるいは学習成果)を捕捉できること; |
| • being able to be easily processed automatically and tool generated in a machine-readable format; | • 機械可読形式で、容易に自動処理およびツール生成が可能であること; |
| • being able to leverage structured data formats as much as possible, to ensure that the relevant information is available transparently upon demand to all the stakeholders. | • 構造化データ形式を可能な限り活用し、関連情報がすべてのステークホルダーの要求に応じて透明性を持って利用可能であることを確保できること。 |
| Furthermore, it is equally important to clearly define the information set that an SBOM for AI should include, defined as its “minimum elements”. | さらに、AI用SBOMが含めるべき情報セットを「最小構成要素」として明確に定義することも同様に重要です。 |
| Example minimum elements | 最小要素の例 |
| An SBOM for AI should be composed of a set of minimum elements to capture the distinctive features of an AI system, ensuring compatibility and providing an adequate level of transparency for all the stakeholders. It should automatically build upon information captured by each of the AI components, providing an understanding of the flow between the AI elements of the system. While some transparency mechanisms exist, this effort aims to highlight a core set of data fields that are machine-generatable and machineprocessable. It is important to highlight that these minimum elements represent recommendations to a reasonable extent and should be decided accordingly to the specific context of use. Here below is an exemplary set of high-level minimum elements for a G7 SBOM for AI framework, which may extend the information used for traditional software bill of materials (e.g., supplier name, component version)[2], listed as clusters that can embed more detailed information on: | AI用SBOMは、AIシステムの特徴を捉え、互換性を確保し、すべてのステークホルダーに対して適切なレベルの透明性を提供するために、一連の最小要素で構成されるべきである。それは、各AIコンポーネントによって捕捉された情報を自動的に統合し、システム内のAI要素間の流れを理解できるようにするものである。いくつかの透明性確保の仕組みは存在するものの、本取り組みは、機械生成および機械処理が可能なデータフィールドの中核となるセットを明確にすることを目的としている。これらの最小構成要素は、あくまで合理的な範囲での推奨事項であり、具体的な使用状況に応じて決定されるべきである点を強調しておくことが重要である。以下に、G7 AI用SBOMフレームワークにおける高レベルの最小構成要素の例を示す。これらは、従来のソフトウェア部品表(SBOM)で使用される情報(例:サプライヤー名、コンポーネントのバージョン)[2]を拡張するものであり、より詳細な情報を埋め込むことができるクラスターとして列挙されている: |
| • Models used by the AI system, including basic information to identify the model, describe how the model was created, and spell out how the model is intended to be used. | • AIシステムで使用されるモデル。これには、モデルを特定するための基本情報、モデルの作成方法の説明、およびモデルの使用目的の明示が含まれます。 |
| • Learning, including the description of the training techniques and pipelines and information about training datasets in, e.g., datasheets for datasets. | • 学習。これには、トレーニング手法やパイプラインの説明、およびデータセットのデータシートなどに記載されたトレーニングデータセットに関する情報が含まれます。 |
| • Datasets used during the whole lifecycle of the model, including basic information that documents the identity, creation, use, and provenance of data. | • モデルのライフサイクル全体で使用されるデータセット。これには、データの識別情報、作成、使用、および来歴を記録した基本情報が含まれます。 |
| • Safety and security characteristics, such as a link or reference to the safeguards or guardrail implementations, safety alignment, compliance attestations and cybersecurity best practices adopted during the AI lifecycle. | • 安全性およびセキュリティ特性。これには、AIライフサイクル中に採用されたセーフガードやガードレールの実装、安全性の整合性、コンプライアンスの証明、およびサイバーセキュリティのベストプラクティスへのリンクや参照が含まれます。 |
| • System level characteristics, such as a link or reference to a description of the flow between the AI elements and how the model consumes input data. | • システムレベルの特性。これには、AI要素間のフローや、モデルが入力データをどのように処理するかについての説明へのリンクや参照が含まれる。 |
| • Key Performance Indicators of an AI system, including model benchmark evaluation results. | • AIシステムの主要業績評価指標(KPI)。これには、モデルのベンチマーク評価結果が含まれる。 |
| • Licensing information about the components of an AI system. | • AIシステムの構成要素に関するライセンス情報。 |
| • Infrastructure used by the AI system, including the software components specifically required to deliver an AI system. | • Iシステムが使用するインフラ。これには、AIシステムを提供するために特に必要なソフトウェアコンポーネントが含まれる。 |
| The list is open for further expansion of the clusters in the future to keep pace with the rapid development of technology. | このリストは、技術の急速な発展に対応するため、将来的にクラスターをさらに拡張できるよう設計されている。 |
| To increase trustworthiness and to avoid giving a false sense of security, an SBOM for AI should be verifiable as a whole. This implies not only the verification of its individual components - e.g., via cryptographic hashes or digital signatures from the corresponding manufacturers - but also of the entire SBOM for AI. In order to achieve this goal, a viable SBOM for AI should at least be digitally signed by its manufacturer. While individual components are signed within the SBOM for AI, the signature of the entire SBOM for AI has to be verifiable from the outside. | 信頼性を高め、誤った安心感を与えないようにするため、AI向けのSBOMは全体として検証可能でなければならない。これは、個々のコンポーネント(例:対応するメーカーによる暗号ハッシュやデジタル署名を通じて)の検証だけでなく、AI用SBOM全体の検証も意味する。この目標を達成するためには、実用的なAI用SBOMは少なくともそのメーカーによってデジタル署名されている必要がある。AI用SBOM内の個々のコンポーネントには署名があるものの、AI用SBOM全体の署名は外部から検証可能でなければならない。 |
| 4. The way forward | 4. 今後の展望 |
| Challenges | 課題 |
| An SBOM for AI should include the unique features that distinguish an AI system, in addition to traditional software components. Before introducing an SBOM for AI, tools like system cards and model cards have been proposed both by private companies and by AI regulation as tools to offer increased transparency into AI models. Despite their effectiveness in some contexts, today these tools suffer from lack of harmonized and machine-readable formats, automation and interoperability with other tools. Data management is also an important consideration. SBOMs are not assumed to be publicly available today by regulation or market expectation, and intellectual property protection assumptions should hold for an SBOM for AI. Capturing the dynamic features of the AI model through adequate file formats and fields represents a challenge for building an SBOM for AI. At the same time, an SBOM for AI needs to be able to provide traceability of training pipelines and datasets, especially in the case of proprietary closed models, synthetic data and pre-training information, where a very large number of diverse data corpuses and sophisticated data processing pipelines are used for creating base models. Furthermore, it is critical to keep an SBOM for AI current with the speed at which AI technology develops, adding new information and relevant fields when needed, such as the case of model distillation, an emerging and meaningful technique that should be captured within an SBOM for AI. Indeed, this could easily lead to longer bills and redundant information, hence automation and harmonization of the format is essential for creating a meaningful and effective SBOM for AI. Moreover, it is essential to develop a framework to effectively track AI vulnerabilities and weaknesses, given the still largely experimental results in the field of AI model red teaming. | AI用SBOMには、従来のソフトウェアコンポーネントに加え、AIシステムを特徴づける独自の要素を含めるべきである。AI用SBOMが導入される以前、AIモデルに対する透明性を高めるツールとして、民間企業やAI規制の双方から、システムカードやモデルカードのようなツールが提案されてきた。一部の状況では有効であるものの、現在のこれらのツールは、統一された機械可読形式の欠如、自動化の不足、および他のツールとの相互運用性の問題を抱えている。データ管理も重要な考慮事項である。現在の規制や市場の期待において、SBOMが一般に公開されることは想定されておらず、AI向けSBOMにおいても知的財産保護の前提が維持されるべきである。適切なファイル形式やフィールドを通じてAIモデルの動的な特徴を捕捉することは、AI向けSBOMを構築する上での課題となっている。同時に、AI用SBOMは、トレーニングパイプラインやデータセットのトレーサビリティを提供できる必要があります。特に、独自のクローズドモデル、合成データ、および事前学習情報の場合、ベースモデルの作成には非常に多くの多様なデータコーパスと高度なデータ処理パイプラインが使用されるため、その重要性は高まります。さらに、AI技術の発展速度に合わせてAI用SBOMを最新の状態に保ち、必要に応じて新しい情報や関連フィールドを追加することが極めて重要である。例えば、AI用SBOM内に捕捉すべき新興かつ有意義な技術であるモデル蒸留(モデルディスティレーション)の場合がこれに該当する。実際、これによりSBOMが冗長化したり不要な情報が含まれたりする恐れがあるため、有意義かつ効果的なAI用SBOMを作成するには、フォーマットの自動化と標準化が不可欠である。さらに、AIモデルに対するレッドチーム攻撃の分野では依然として実験的な結果が大半を占めていることを踏まえ、AIの脆弱性や弱点を効果的に追跡するためのフレームワークを構築することが不可欠である。 |
| Future G7 work | 今後のG7の取り組み |
| This paper presented a shared G7 vision on SBOM for AI to increase transparency and cybersecurity along the full supply chain of AI systems and models. A trustworthy SBOM for AI: | 本稿では、AIシステムおよびモデルのサプライチェーン全体における透明性とサイバーセキュリティを向上させるための、AI向けSBOMに関するG7の共通ビジョンを提示した。信頼性の高いAI向けSBOMは: |
| • allows all the stakeholders involved in the AI supply chain to benefit from the improved transparency and knowledge of the system components; | • AIサプライチェーンに関わるすべてのステークホルダーが、システムコンポーネントに関する透明性と知識の向上から恩恵を受けられるようにする; |
| • reduces risks, improves insight and traceability of the core components of an AI system, including security guardrails, vulnerability management and compliance attestations; | • リスクを低減し、セキュリティガードレール、脆弱性管理、コンプライアンス証明を含むAIシステムのコアコンポーネントに関する洞察とトレーサビリティを向上させる; |
| • can foster interoperability with or be integrated in already established safety, transparency and cybersecurity frameworks for traditional software, such as SBOM or security advisories and bulletins. | • 従来のソフトウェア向けの既存の安全性、透明性、サイバーセキュリティフレームワーク(SBOMやセキュリティアドバイザリ、セキュリティ情報など)との相互運用性を促進したり、それらに統合されたりすることが可能である。 |
| To fully harness the benefits and address the challenges of SBOM for AI, the next steps for the G7 Cybersecurity Working Group – Smarter Together: Artificial Intelligence will be to focus on providing a shared technical vision tackling these challenges, starting with a status quo analysis of existing frameworks to be carried out in the second half of 2025. This will be followed by further work on technical recommendations and guidelines, paving the way for the definition of a common G7 framework fostering adoption of SBOM for AI by public and private sector operators. | AI向けSBOMのメリットを最大限に活用し、その課題に対処するため、「G7サイバーセキュリティ作業部会 – Smarter Together: Artificial Intelligence」の次のステップは、これらの課題に取り組む共通の技術的ビジョンの提供に焦点を当てることとなります。その第一歩として、2025年後半に既存のフレームワークに関する現状分析を実施する予定です。これに続き、技術的な提言やガイドラインに関するさらなる作業が行われ、官民の事業者がAI向けSBOMを採用することを促進する共通のG7フレームワークの定義に向けた道筋が整えられることになる。 |
| References | 参考文献 |
| Allen D. Householder, Vijay S. Sarvepalli, Jeff Havrilla, Matt Churilla, Lena Pons, Shing-hon Lau, Nathan M. VanHoudnos, Andrew Kompanek, and Lauren McIlvenny: Lessons Learned in Coordinated Disclosure for Artificial Intelligence and Machine Learning Systems. 2024. | Allen D. Householder、Vijay S. Sarvepalli、Jeff Havrilla、Matt Churilla、Lena Pons、Shing-hon Lau、Nathan M. VanHoudnos、Andrew Kompanek、Lauren McIlvenny:人工知能および機械学習システムにおける協調的開示から得られた教訓。2024年。 |
| Federal Office for Information Security (BSI): Transparency of AI Systems, White Paper. 2024. | 連邦情報セキュリティ局(BSI):AIシステムの透明性、ホワイトペーパー。2024年。 |
| Federal Office for Information Security (BSI): Technical Guideline TR-03183: Cyber Resilience Requirements for Manufacturers and Products - Part 2: Software Bill of Materials (SBOM). 2024. | 連邦情報セキュリティ局(BSI):技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 - 第2部:ソフトウェア部品表(SBOM)。2024年。 |
| French National Cybersecurity Authority (ANSSI): Building trust in AI through a cyber risk-based approach. Joint high-level risk analysis on AI. Version 1.0, 2025. | フランス国家サイバーセキュリティ庁(ANSSI):サイバーリスクベースのアプローチを通じたAIへの信頼構築。AIに関する共同ハイレベルリスク分析。バージョン 1.0、2025年。 |
| Ministry of Economy, Trade and Industries (METI) of Japan: Revised Guide Formulated on Specific Methods for Managing Software Vulnerability Utilizing “Software Bill of Materials (SBOM),” a List of Software Components, as a Preparatory Guide for Cyberattacks. | 日本経済産業省(METI):サイバー攻撃への備えとして、ソフトウェア構成要素の一覧である「ソフトウェア部品表(SBOM)」を活用したソフトウェア脆弱性管理の具体的な方法に関する改訂ガイド。 |
| National Cyber Security Center (NCSC): Guidelines for secure AI system development. 2023. | 国立サイバーセキュリティセンター(NCSC):安全なAIシステム開発のためのガイドライン。2023年。 |
| The United States Department of Commerce: The Minimum Elements For a Software Bill of Materials (SBOM), 2021. | 米国商務省:ソフトウェア部品表(SBOM)の必須要素、2021年。 |
| [1] The term SBOM for AI follows the already established concept of Software Bill of Material (SBOM) in the field of traditional software management. | [1] AIにおけるSBOMという用語は、従来のソフトウェア管理分野で既に確立されているソフトウェア部品表(SBOM)の概念に従っている。 |
| [2] As an example we can consider the information included in the US Department of Commerce NTIA document found in reference. | [2] 例として、参考文献にある米国商務省NTIAの文書に含まれる情報を挙げることができる。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.05.08 Five Eyes エージェンティックAIの慎重な導入 (2026.05.01)
・2025.08.13 G7 人工知能のためのソフトウェア部品表に関する G7 の共通ビジョン (2025.06.12)
SBOM...
・2026.04.29 米国 NIST DevSecOps Practice (2026.03.24)
・2026.02.02 IPA AIインシデントレスポンス・アプローチ (2025.01.09)
・2026.01.08 欧州 ENISA パブコメ SBOMの現状分析 - 実装ガイドに向けて案 (2025.12.17)
・2025.11.27 欧州委員会 SBOMの最新状況に関する調査 (2025.12.19まで)
・2025.09.18 ドイツ 情報セキュリティ庁 BSI TR-03183: 製造事業者および製品に対するサイバーレジリエンス要件 第2部:ソフトウェア部品表 (SBOM), 第3部:脆弱性報告および通知 (2025.09)
・2025.09.08 米国他主要国 サイバーセキュリティのためのソフトウェア部品表(SBOM)に関する共通ビジョン
・2025.08.25 米国 CISA パブコメ 2025 年ソフトウェア部品表(SBOM)の最小要素
・2025.08.13 G7 人工知能のためのソフトウェア部品表に関する G7 の共通ビジョン (2025.06.12)
・2025.03.14 シンガポール オープンソースソフトウェアとサードパーティ依存のSBOMとリアルタイム脆弱性監視に関するアドバイザリー (2025.02.20)
・2024.11.25 欧州 サイバーレジリエンス法、官報に掲載 (2024.11.20)
・2024.11.12 インド政府 CERT-In SBOM技術ガイド 第1版 (2024.10.03)
・2024.11.09 ドイツ 連邦セキュリティ室 (BSI) 意見募集 TR-03183: 製造者及び製品に対するサイバーレジリエンス要件(一般要求事項、SBOM、脆弱性報告)
・2024.09.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0 (2024.08.29)
・2024.01.08 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1)
・2023.11.12 米国 NSA CISA ソフトウェアサプライチェーンの確保: ソフトウェア部品表の開示に関する推奨事項
・2023.10.13 米国 CISA FBI NSA DOT 運用技術 (OT) および産業制御システム (ICS) におけるオープンソースソフトウェアのセキュリティ向上
・2023.09.18 米国 CISA オープンソース・ソフトウェア・セキュリティ・ロードマップ
・2023.09.01 NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
・2023.08.30 日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」
・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)
・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引
・2023.07.09 米国 NSA CISA 継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関する共同ガイダンス (2023.06.28)
・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)
・2023.04.25 米国 CISA SBOM関連の二文書
・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド
・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令
金融庁 「コーポレートガバナンス・コードの改訂に関する有識者会議」(令和7年度第3回)議事録 (2026.05.22)
こんにちは、丸山満彦です。
コーポレートガバナンス・コードの改訂に関する有識者会議の議事録が公表されていますね...
形式から実質へ、成長志向への転換、人的ガバナンスの深化というのがポイントかと思いますが、「成長志向への転換」というのはどうなんですかね。。。成長志向というか、利益を出すというのは株式会社の本質ですからね...わざわざ言わないといけないのか???という話のような気もしますね...肉食動物が獲物を捕まえるようなものですよね...
●金融庁
・2026.05.22「コーポレートガバナンス・コードの改訂に関する有識者会議」(令和7年度第3回)議事録
● 金融庁 - コーポレートガバナンス・コードの改訂に関する有識者会議
| 2026.04.03 | 第3回 | |
| 開催通知 | ||
| 資料 | 資料1 | コーポレートガバナンス・コード改訂案(改訂前及び第2回会合資料3-1からの変更点) |
| 資料2 | コーポレートガバナンス・コード改訂案(クリーン版) | |
| 参考資料1 | 成長投資の促進に向けたコーポレートガバナンス・コードの改訂について(案) | |
| 参考資料2 | コーポレートガバナンス・コード | |
| 議事録 | ||
| 2026.02.26 | 第2回 | |
| 開催通知 | ||
| 資料 | 資料1 | 事務局説明資料 |
| 資料2 | 事務局参考資料 | |
| 資料3-1 | コーポレートガバナンス・コード改訂案(改訂前からの変更点) | |
| 資料3-2 | コーポレートガバナンス・コード改訂案(クリーン版) | |
| 資料4 | 意見書(円谷メンバー) | |
| 参考資料 | コーポレートガバナンス・コード | |
| (参考)開催実績 | ||
| 議事録 | ||
| 2025.10.21 | 第1回 | |
| 開催通知 | ||
| 資料 | 資料1 | 「コーポレートガバナンス・コードの改訂に関する有識者会議」(令和7年度)の開催について |
| 資料2 | 「コーポレートガバナンス・コードの改訂に関する有識者会議」(令和7年度)メンバー名簿 | |
| 資料3 | 「コーポレートガバナンス・コードの改訂に関する有識者会議」(令和7年度)運営要領(案) | |
| 資料4 | 事務局説明資料(金融庁) | |
| 資料5 | 事務局説明資料(東京証券取引所) | |
| 資料6 | 意見書(小林 メンバー)(和文) | |
| 資料7 | 意見書(シッソン メンバー)(英文) | |
| 参考資料 | コーポレートガバナンス・コード | |
| 議事録 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2026.04.20 金融庁 パブコメ コーポレートガバナンス・コード改訂案 (2026.04.10)
・2026.04.14 COSO 取締役会監督指針 (2026.03.31)
・2026.02.27 金融庁 コーポレートガバナンスコードの改定案(事務局案) (2026.02.26)
2026.05.27
金融庁 「金融分野における個人情報保護に関するガイドライン」の一部改正(案)に対する意見募集について (2026.05.13)
こんにちは、丸山満彦です。
金融庁が「金融分野における個人情報保護に関するガイドライン」の一部改正(案)に対する意見募集をしていました...
変更点は以下の項目(太字の部分)を追加するということです。
利用目的による制限の例外の金融分野版の追加...
「詐欺その他の処罪若しくは処罪による収益の移転に利用され、又はそのおそれがあると認めた預金又は貯金口座に関する情報であって取引時確認等の措置を行うに際して必要なものを他の預貯金取扱事業者に提供する場合」というのが追加されるということです...
第4条 利用目的による制限(法第18条関係)
以下の事項の他は通則ガイドラインの例による。法第18条第3項の場合の例としては、通則ガイドライン3ー1ー5(利用目的による制限の例外)に掲げている場合以外に、次に掲げる場合が考えられる。
① 法令(条例を含む。以下この条及び次条第1項において同じ。 )に基づく場合
(例)
・ 罪による収益の移転防止に関する法律(平成19年法律第22号)第8条第1項に基づき疑わしい取引を届け出る場合
・犯罪による収益の移転防止に関する法律第11条第4号及び犯罪による収益の移転防止に関する法律施行規則(平成20年内閣府・総務省・法務省・財務省・厚生労働省・農林水産省・経済産業省・国土交通省令第1号)第32条第2項第1号に基づき、詐欺その他の処罪若しくは処罪による収益の移転に利用され、又はそのおそれがあると認めた預金又は貯金口座に関する情報であって取引時確認等の措置を行うに際して必要なものを他の預貯金取扱事業者に提供する場合
- 金融商品取引法(昭和23年法律第25号)第210条、第211条等に基づく証券取引等監視委員会の職員による則事件の調査に応じる場合
なお、法令に、第三者が個人情報の提供を求めることができる旨の規定はあるが、正当な事由に基づきそれに応じないことができる場合には、金融分野における個人情報取扱事業者は、該法令の趣旨に照らして目的外利用の必要性と合理性が認められる範囲内で対応するよう留意する。
②〔略]
● 金融庁
・22026.05.13 「金融分野における個人情報保護に関するガイドライン」の一部改正(案)に対する意見募集について
・・[PDF]
現在のガイドライン...
・・2024.06.13 [PDF] 金融分野における個人情報保護に関するガイドライン
Recent Comments