COSO 取締役会監督指針 (2026.03.31)

こんにちは、丸山満彦です。

COSO（Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会支援組織委員会）がコーポレートガバナンス：取締役会監督指針を公表していますね...

COSOといえば、内部統制の統合的枠組みやERMが有名ですが、その歴史を踏まえて作成した取締役会監督指針（Corporate Governance - Guiding Principles for Board Oversight）となります。

過去に習って？PwCが作成を支援していますね...

 

● COSO

・2026.03.31 Corporate Governance - Guiding Principles for Board Oversight

 

Press Release

・2026.03.31 COSO Releases New Board Oversight Guidance Developed with PwC

 

COSO Releases New Board Oversight Guidance Developed with PwC	COSO、PwCと共同で策定した新たな取締役会監督指針を発表
Twelve guiding principles offer boards a practical tool for oversight, accountability, and long‑term value creation	12の指針は、取締役会に対し、監督、説明責任、および長期的な価値創造のための実用的なツールを提供する
NEW YORK, March 31, 2026 – The Committee of Sponsoring Organizations of the Treadway Commission (COSO), today announced the release of its Corporate Governance: Guiding Principles for Board Oversight, developed in collaboration with PwC. The new publication provides boards with a clear, board-level set of guiding principles and practical illustrations to help them assess whether their governance model remains fit for purpose as organizations confront accelerating change, heightened stakeholder scrutiny, and increasingly complex risk environments.	ニューヨーク、2026年3月31日 – トレッドウェイ委員会支援組織委員会（COSO）は本日、PwCと共同で策定した『コーポレート・ガバナンス：取締役会監督のための指針』の発表を発表した。この新たな出版物は、組織が加速する変化、ステークホルダーによる監視の強化、そしてますます複雑化するリスク環境に直面する中、取締役会に対し、自社のガバナンスモデルが依然として目的に適合しているかどうかを評価するための、明確な取締役会レベルの指針と実践的な事例を提供するものである。
The guiding principles are intended to be broadly applicable across entity types and globally applicable across geographies and jurisdictions. Grounded in COSO’s longstanding work in internal control, risk management, and oversight, the guidance offers boards a common reference point where governance expectations can be fragmented.	これらの指針は、あらゆる種類の事業体において広く適用可能であり、地域や法域を問わず世界的に適用されることを意図している。内部統制、リスクマネジメント、および監督に関するCOSOの長年にわたる取り組みに基づいた本ガイダンスは、ガバナンスへの期待が分断されがちな状況において、取締役会に共通の参照基準を提供する。
“Boards are being asked to make decisions with greater speed, transparency, and accountability than ever before,” said Lucia Wind, Executive Director & Chair of COSO. “This guidance gives directors a common reference point to further enhance oversight, clarify roles, and support disciplined, long-term decision making.”	「取締役会には、かつてないほど迅速かつ透明性が高く、説明責任のある意思決定が求められている」と、COSOのエグゼクティブ・ディレクター兼会長であるルシア・ウィンド氏は述べた。「本ガイダンスは、監督機能をさらに強化し、役割を明確にし、規律ある長期的な意思決定を支援するための共通の参照基準を役員に提供する。」
Developed by COSO in collaboration with PwC, the publication draws on extensive research, a review of widely recognized governance practices, and insights from directors, executives, governance professionals, and COSO’s sponsoring organizations. The guidance is directional and illustrative, not prescriptive, and is intended to complement applicable law, regulation, and governance standards rather than prescribe a single governance model.	COSOがPwCと共同で作成した本出版物は、広範な調査、広く認知されているガバナンス慣行の検証、ならびに取締役、経営幹部、ガバナンス専門家、およびCOSOのスポンサー組織からの知見に基づいている。本ガイダンスは指示的・例示的なものであり、規範的なものではない。また、単一のガバナンスモデルを規定するのではなく、適用法、規制、およびガバナンス標準を補完することを意図している。
Boards and governance professionals can use the publication to sharpen governance discussions, support board and committee assessments, inform director onboarding and continuing education, and clarify information flows, decision processes, and accountability.	取締役会およびガバナンス専門家は、本出版物を利用して、ガバナンスに関する議論を深め、取締役会および委員会のアセスメントを支援し、取締役の就任時研修や継続教育に役立て、情報の流れ、意思決定プロセス、および説明責任を明確化することができる。
“In today’s environment, governance is a strategic capability,” said Ray Garcia, Leader of PwC’s Governance Insights Center. “As boards navigate accelerating change and expanding risk, strong oversight is essential to sustaining performance and long-term value. This publication provides a timely contribution to the governance dialogue, offering boards a practical lens to evaluate whether their oversight approach is keeping pace with complexity.”	「今日の環境において、ガバナンスは戦略的能力である」と、PwCのガバナンス・インサイト・センターのリーダーであるレイ・ガルシアは述べた。「取締役会が加速する変化と拡大するリスクに対処する中、業績と長期的な価値を維持するためには、強力な監督が不可欠である。本報告書はガバナンスに関する議論にタイムリーな貢献をもたらし、取締役会に対し、自らの監督アプローチが複雑化のペースに追いついているかどうかを評価するための実践的な視点を提供するものである。」
Wind added, “Effective governance depends on how oversight responsibilities connect and reinforce one another. COSO offers this publication to support boards and those charged with governance as they assess and refine oversight over time in pursuit of long-term value.”	ウィンド氏は次のように付け加えた。「効果的なガバナンスは、監督責任がいかに相互に関連し、補強し合うかにかかっている。COSOは、長期的な価値を追求するために、取締役会およびガバナンスを担う人々が監督体制を継続的に評価・改善していくことを支援するため、本報告書を提供する。」

 

・[PDF]

 

Corporate Governance: Guiding Principles for Board Oversight	コーポレート・ガバナンス：取締役会の監督に関する指針
Message from COSO’s Board of Directors	COSO理事会からのメッセージ
This publication articulates a clear, board-level set of governance guiding principles, grounded in COSO’s longstanding work on risk, internal control, and oversight, and is intended to serve as a common reference point where governance expectations can be fragmented. This focus reflects COSO’s view that effective risk management and internal control operate within, and are strengthened by, a broader governance environment shaped by board oversight, accountability, information flow, and culture.	本刊行物は、COSOの長年にわたるリスク、内部統制、および監督に関する取り組みに基づき、明確かつ 取締役会レベルでのガバナンス指針のセットを明確に提示するものであり、リスク、内部統制、および監督に関するCOSOの長年にわたる取り組みに基づいている。また、ガバナンスへの期待が断片化されがちな状況において、共通の参照点となることを意図している。この焦点は、効果的なリスクマネジメントと内部統制が、取締役会の監督、説明責任、情報流通、および文化によって形作られるより広範なガバナンス環境の中で機能し、それによって強化されるというCOSOの見解を反映している。
The guiding principles are designed to be read together. They are not intended to function as a checklist, and boards can determine how and to what extent to draw on them in light of the entity’s circumstances. Taken together, they offer boards a structured way to reflect on whether governance practices remain coherent, balanced, and aligned with the entity’s purpose, mission, values, and long-term direction. Rather than prescribing actions, the principles provide a practical lens for board dialogue on how oversight responsibilities fit together and are carried out in the entity’s circumstances.	これらの指針は、相互に関連して読まれることを想定している。チェックリストとして機能することを意図したものではなく、事業体の状況に照らして、取締役会がこれらをどのように、どの程度活用するかを決定できる。これらを総合的に捉えることで、ガバナンスの実践が依然として首尾一貫し、バランスが取れており、事業体の目的、使命、価値観、長期的な方向性と整合しているかどうかを、取締役会が体系的に検討するための枠組みを提供する。具体的な行動を指示するのではなく、 これらの指針は、監督責任がいかに相互に連携し、事業体の状況下でどのように遂行されるかについて、取締役会が対話を行うための実践的な視点を提供するものである。
COSO offers this publication to support boards and those charged with governance in strengthening effective oversight over time, recognizing that durable governance is shaped by how responsibility and accountability are exercised in pursuit of long-term value.	COSOは、持続可能なガバナンスが長期的な価値の追求において責任と説明責任がいかに行使されるかによって形作られることを認識し、取締役会およびガバナンスを担う者たちが長期にわたり効果的な監督を強化できるよう、本出版物を提供する。
COSO’s perspective on corporate governance	コーポレート・ガバナンスに関するCOSOの見解
Corporate governance is the oversight structures and processes by which an informed board steers an entity toward executing its strategy and objectives while maximizing long-term value in an ethical manner and within the relevant legal and regulatory environment	コーポレート・ガバナンスとは、十分な情報に基づいた取締役会が、倫理的な方法で、かつ関連する法的・規制環境の枠内で、長期的な価値を最大化しつつ、事業体が戦略と目標を実行するよう導くための監督体制およびプロセスを指す
About this publication	本出版物について
COSO, in collaboration with PwC US Consulting LLP, developed this corporate governance publication to provide guiding principles and practical illustrations that support effective board oversight in a changing governance environment. The guiding principles are intended to be broadly applicable across entity types, including public, private, and not-for-profit entities, and globally applicable across geographies and jurisdictions.	COSOは、PwC US Consulting LLPと共同で、変化するガバナンス環境において効果的な取締役会の監督を支援するための指針と実践的な事例を提供するため、本コーポレート・ガバナンス刊行物を策定した。これらの指針は、上場事業体、非上場事業体、非営利団体を含むあらゆる種類の事業体に広く適用可能であり、また、地域や法域を問わず世界的に適用されることを意図している。
The publication helps boards determine whether their governance model remains fit for purpose by clarifying roles, sharpening governance discussions, and highlighting practices that support disciplined decision-making, accountability, and constructive challenge. It draws on extensive research, a review of widely recognized governance guidance, and input from directors, executives, governance professionals, and COSO’s sponsoring organizations.	本出版物は、役割を明確化し、ガバナンスに関する議論を深化させ、規律ある意思決定、説明責任、建設的な異議申し立てを支える実践例を提示することで、取締役会が自社のガバナンスモデルが依然として目的に適合しているかどうかを判断する一助となる。本出版物は、広範な調査、広く認知されているガバナンス指針の検討、ならびに取締役、経営幹部、ガバナンス専門家、およびCOSOのスポンサー組織からの意見に基づいている。
The guidance is directional and illustrative. It does not set requirements, prescribe a single governance model, or provide a comprehensive inventory of governance expectations. Nor does it address every board responsibility or area of oversight through a separate guiding principle. Instead, it brings together interrelated principles that commonly inform effective board oversight. It is intended to complement, not replace, applicable law, regulation, governance standards, and other widely recognized governance guidance. Boards can apply the guiding principles in light of the entity’s purpose, mission, and values; strategy and objectives; risk profile; ownership structure; and applicable law, regulation, and governance standards.	本ガイダンスは、方向性を示し、具体例を提示するものである。要件を定めておらず、単一のガバナンスモデルを規定するものでもなく、ガバナンスへの期待事項を網羅的に列挙するものでもない。また、個別の指針を通じて、取締役会のあらゆる責任や監督領域を網羅するものでもない。その代わりに、効果的な取締役会の監督に共通して寄与する相互に関連する指針をまとめたものである。本指針は、適用法、規制、ガバナンス標準、およびその他の広く認知されたガバナンス指針に取って代わるものではなく、それらを補完することを意図している。取締役会は、当該事業体の目的、使命、価値観、戦略および目標、リスクプロファイル、所有構造、ならびに適用法、規制、ガバナンス標準に照らして、これらの指針を適用することができる。
The guiding principles focus on the board’s oversight role. Management enablement considerations are included to illustrate how executive management and other key functions can support board oversight through information, analysis, and implementation, while day-to-day operations remain with management.	本指針は、取締役会の監督機能に焦点を当てている。経営陣の支援に関する考察も盛り込まれており、日常業務は経営陣が担いながらも、経営陣やその他の主要機能が情報提供、分析、実行を通じて取締役会の監督をいかに支援できるかを示している。
How to use this publication	本出版物の活用方法
Boards are the primary audience for this publication. It reflects both widely established board expectations and context-dependent practices. Qualifying language signals when application depends on circumstances and the applicable legal and regulatory environment. Boards can determine the practices and examples that are most relevant and apply them proportionately.	本出版物の主な対象読者は取締役会である。本出版物は、広く確立された取締役会への期待と、状況に応じた実務の両方を反映している。限定的な表現は、適用が状況や適用される法的・規制環境に依存する場合を示している。取締役会は、最も関連性の高い慣行や事例を判断し、それらを適切に適用することができる。
This publication can also support broader governance professionals, including corporate secretaries, chief audit executives, risk and compliance professionals, institutional investors, and others who interact with the governance process. It provides a shared language for board oversight discussions and for the information and analysis executive management can provide to support those discussions.	本出版物は、会社秘書役、最高監査責任者、リスクおよびコンプライアンスの専門家、機関投資家、その他ガバナンスプロセスに関与する者を含む、より広範なガバナンス専門家にとっても有用である。本出版物は、取締役会の監督に関する議論、および経営陣がそれらの議論を支援するために提供できる情報や分析のための共通言語を提供する。
Throughout this publication, terms are used contextually, including references to shareholders, beneficiaries, and other stakeholders. Boards are accountable to shareholders or other beneficiaries under their governance model and legal structure. Other key stakeholders, such as employees, customers, suppliers, regulators, and communities, frequently impact an entity’s ability to deliver long[1]term value. How these interests relate varies by jurisdiction and ownership model, and readers should interpret these terms accordingly.	本書全体を通じて、用語は文脈に応じて使用されており、株主、受益者、その他のステークホルダーへの言及も含まれる。取締役会は、そのガバナンスモデルおよび法的構造の下で、株主またはその他の受益者に対して説明責任を負う。従業員、顧客、サプライヤー、規制当局、地域社会などのその他の主要なステークホルダーは、事業体の長期的な価値を提供する能力に頻繁に影響を及ぼす。これらの利害関係がどのように関連するかは、管轄区域や所有形態によって異なり、読者はそれに応じてこれらの用語を解釈すべきである。
Corporate governance supports constructive challenge and clear accountability, but outcomes remain subject to inherent limitations, including human judgment, unintended error, external events, and the potential for misconduct or override of established processes. Sound governance can strengthen resilience and confidence, but it cannot guarantee outcomes.	コーポレート・ガバナンスは建設的な異議申し立てと明確な説明責任を支えるが、その結果には、人間の判断、意図しない誤り、外部事象、不正行為や確立されたプロセスの無視といった固有の限界が伴う。健全なガバナンスはレジリエンスと信頼を強化できるが、結果を保証することはできない。
Boards and those that support them can use this publication to:	取締役会およびそれを支援する関係者は、本書を以下の目的に活用できる：
• Frame board and committee discussions around priority oversight topics	• 優先的な監督課題をめぐる取締役会および委員会の議論の枠組みを構築する
• Support board and committee assessments, governance reviews, and refreshment efforts	• 取締役会および委員会のアセスメント、 ガバナンスの見直し、および体制の刷新に向けた取り組みを支援する
• Inform director onboarding and continuing education through a shared governance vocabulary	• 共通のガバナンス用語を通じて、取締役の就任時研修および継続教育に情報を提供する
• Identify where information flows, decision processes, or accountability benefit from clarification	• 情報の流れ、意思決定プロセス、または説明責任において、明確化が有益な箇所を識別する
• Align oversight practices with the entity’s strategy, risk appetite, culture, and operating context	• 監督実務を、当該事業体の戦略、リスク許容度、文化、および事業環境と整合させる
This publication presents 12 interrelated guiding principles that reflect common areas of board responsibility. Boards and governance professionals can emphasize the principles most relevant to their circumstances and governance model.	本書は、取締役会の責任における共通領域を反映した、相互に関連する12の指針を提示する。取締役会およびガバナンスの専門家は、自らの状況やガバナンスモデルに最も関連性の高い指針を重視することができる。
How the guiding principles are organized	指針の構成
Each guiding principle follows a consistent structure:	各指針は、一貫した構造に従っている：
Guiding principle	指針
A concise title and one sentence description defining the core governance concept	中核となるガバナンス概念を定義する簡潔なタイトルと一文の説明
Why this principle matters	この指針が重要な理由
Context on how the principle contributes to oversight, alignment with strategy, and long[1]term value	当該指針が、監督機能、戦略との整合性、および長期的価値にどのように寄与するかに関する背景説明
This principle in the boardroom	取締役会におけるこの指針
Illustrative examples of how the principle may be reflected in board oversight behaviors, processes, and considerations	当該指針が、取締役会の監督行動、プロセス、および検討事項にどのように反映されるかについての具体例
Management enablement considerations	経営陣の支援に関する考慮事項
Examples of how management, including executive management or other key functions, may support the board with enabling structures and information flows, without prescribing specific actions or operating models	経営陣（経営幹部やその他の主要機能を含む）が、具体的な行動や運営モデルを規定することなく、支援体制や情報フローを通じて取締役会をどのように支援できるかについての事例
This structure is intended to support meaningful governance conversations, while allowing entities to draw on the concepts in ways that fit their needs and context. Not every illustrative example or management enablement consideration will be relevant in every entity, and boards can draw on them in ways that fit their circumstances and governance model	この構成は、有意義なガバナンスに関する対話を支援すると同時に、事業体が自らのニーズや状況に合わせて概念を活用できるようにすることを意図している。すべての具体例や経営陣の支援に関する考慮事項が、すべての事業体に当てはまるわけではない。取締役会は、自社の状況やガバナンスモデルに合わせてこれらを活用することができる
Guiding principles at a glance	指針の概要
Board foundations	取締役会の基盤
1 Board Governance Structure	1 取締役会のガバナンス体制
The board establishes and oversees a governance structure that supports the board’s fiduciary duties, clarifies roles and delegations of authority, and aligns oversight responsibilities with the entity’s purpose and mission, strategy and objectives, risk appetite, and applicable law, regulation, and governance standards.	取締役会は、取締役会の受託者責任を支え、役割と権限委譲を明確にし、監督責任を当該事業体の目的・使命、戦略・目標、リスク許容度、および適用法・規制・ガバナンス標準と整合させるガバナンス体制を確立し、監督する。
2 Board Accountability	2 取締役会の説明責任
The board fulfills its fiduciary duties in accordance with applicable law, regulation, and governance standards, honors shareholder or other beneficiary rights, and oversees governance and controls to promote accountability and maintain stakeholder confidence through complete, accurate, and timely disclosures.	取締役会は、適用法、規制、およびガバナンス標準に従って受託者責任を果たし、株主またはその他の受益者の権利を尊重し、完全かつ正確で適時な開示を通じて説明責任を促進し、ステークホルダーの信頼を維持するために、ガバナンスと統制を監督する。
3 Board Composition and Leadership	3 取締役会の構成とリーダーシップ
The board comprises a mix of skills, experience, and perspectives to operate with integrity and objectivity, demonstrates appropriate independence, and periodically reviews its composition, leadership roles, and succession plans to sustain effectiveness over time.	取締役会は、誠実さと客観性をもって運営するために、多様なスキル、経験、視点を兼ね備え、適切な独立性を示し、長期にわたる有効性を維持するために、その構成、リーダーシップの役割、および後継者計画を定期的に見直す。
4 Board Effectiveness	4 取締役会の有効性
The board regularly evaluates and improves its effectiveness, monitors internal and external changes, and refines its governance practices to strengthen oversight, support informed decision-making, and sustain long-term value creation.	取締役会は、その有効性を定期的に評価・改善し、内部および外部の変化を監視し、ガバナンスの実践を洗練させることで、監督機能を強化し、情報に基づいた意思決定を支援し、長期的な価値創造を持続させる。
Purpose and culture	目的と文化
5 Purpose, Mission, and Values	5 目的、使命、および価値観
The board periodically reviews the entity’s purpose, mission, and values, and oversees their alignment with strategy, culture, incentive structures, and workforce practices to confirm they are reflected throughout the entity and guide decision-making and strategic consistency.	取締役会は、事業体の目的、使命、および価値観を定期的に見直し、それらが戦略、文化、インセンティブ構造、および人事慣行と整合しているかを監督し、それらが事業体全体に反映され、意思決定と戦略の一貫性を導くものであることを確認する。
6 Culture, Conduct, and Tone at the Top	6 文化、行動規範、およびトップの姿勢
The board sets clear expectations for integrity and ethical conduct, models them in its actions and decisions, expects executive management to uphold those standards, and oversees whether these expectations reflect the entity’s purpose, mission, and values.	取締役会は、誠実さと倫理的な行動に対する明確な期待を定め、自らの行動や意思決定においてそれらを体現し、経営陣がそれらの標準を遵守することを求め、これらの期待が事業体の目的、使命、および価値観を反映しているかどうかを監督する。
Strategy and enablement	戦略と実行支援
7 Strategy, Objectives, and Performance	7 戦略、目標、および業績
The board provides independent perspective on strategy and objectives, approves material plans and actions, and oversees execution by monitoring performance against agreed objectives and measures and confirming incentives align with the entity’s purpose, mission, values, risk appetite, and long-term value creation.	取締役会は、戦略と目標について独立した視点を提供し、重要な計画や措置を承認するとともに、合意された目標や指標に対する業績をモニタリングし、インセンティブが事業体の目的、使命、価値観、リスク許容度、および長期的な価値創造と整合していることを確認することで、その実行を監督する。
8 Technology and Data	8 テクノロジーとデータ
The board oversees technology and data practices and opportunities to confirm they are managed in line with the entity’s strategy and risk appetite and used to enhance performance and resilience.	取締役会は、テクノロジーおよびデータに関する実務と機会を監督し、それらが事業体の戦略およびリスク選好に沿って管理され、業績とレジリエンスの向上に活用されていることを確認する。
9 Stakeholder Engagement	9 ステークホルダー・エンゲージメント
The board oversees management’s approach to stakeholder identification and engagement, promotes credible, balanced communication, engages directly when appropriate, and incorporates relevant stakeholder interests and feedback into strategic discussions to strengthen trust and long-term value creation.	取締役会は、ステークホルダーの特定および関与に対する経営陣のアプローチを監督し、信頼性が高くバランスの取れたコミュニケーションを促進し、適切な場合には直接関与し、関連するステークホルダーの利益やフィードバックを戦略的議論に組み込み、信頼と長期的な価値創造を強化する。
Leadership and resilience	リーダーシップとレジリエンス
10 Executive Leadership and Succession	10 経営陣のリーダーシップと後継者計画
The board appoints the CEO and, as appropriate, other key members of executive management, oversees leadership development and succession plans, and periodically reviews management’s talent strategy, leadership pipeline, and capability needs for executing strategy to support leadership continuity and organizational resilience.	取締役会はCEOを任命し、必要に応じてその他の経営陣の主要メンバーを任命する。また、リーダーシップ開発および後継者計画を監督し、経営陣の人材戦略、リーダーシップのパイプライン、および戦略実行に必要な能力要件を定期的に見直し、リーダーシップの継続性と組織のレジリエンスを支援する。
11 Executive Performance and Compensation	11 経営陣の業績と報酬
The board evaluates the performance of the CEO and, as appropriate, other key members of executive management, approves executive compensation plans, and oversees compensation and incentive structures to drive long-term performance and reinforce accountability for long-term value creation.	取締役会は、CEOおよび必要に応じてその他の経営陣の主要メンバーの業績を評価し、役員報酬計画を承認し、長期的な業績を促進し、長期的な価値創造に対する説明責任を強化するために、報酬およびインセンティブ構造を監督する。
12 Risk Management and Internal Control	12 リスクマネジメントおよび内部統制
The board oversees the entity’s approach to managing risk and internal control, including management’s monitoring and assurance activities, to support strategy and objectives and strengthen resilience.	取締役会は、戦略と目標を支援し、レジリエンスを強化するために、経営陣によるモニタリングおよび保証活動を含む、当該事業体のリスクマネジメントおよび内部統制への取り組みを監督する。

 

 

Continue reading "COSO 取締役会監督指針 (2026.03.31)"

内閣官房 国家情報会議設置法案他 (2028.03.13-04.07)

こんにちは、丸山満彦です。

今回（第221回）の国会に内閣官房から提出される法案...

 

法律案	国会提出日	担当部局	資料
国家情報会議設置法案	R8.3.13	内閣情報調査室	概要 要綱 法律案・理由 新旧対照表 参照条文
防災庁設置法案	R8.3.6	防災庁設置準備室	概要 要綱 法律案・理由 参照条文
防災庁設置法の施行に伴う関係法律の整備等に関する法律案	R8.3.6	防災庁設置準備室	概要 要綱 法律案・理由 新旧対照表 参照条文1/3 参照条文2/3 参照条文3/3 ※現在掲載している資料は、令和８年３月１８日に更新しております。それ以前に掲載していた資料は、新旧対照表に一部誤りがありましたので、正誤表のとおり修正しております。 正誤表
情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案	R8.4.7	デジタル行財政改革会議事務局	概要 要綱 法律案・理由 新旧対照表 参照条文

 

法律案	概要
国家情報会議設置法案
防災庁設置法案
防災庁設置法の施行に伴う関係法律の整備等に関する法律案
情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案

 

 

一般社団法人 流通ISAC (2026.04.06)

こんにちは、丸山満彦です。

一般社団法人流通ISACが4月中に設立されるようですね... アサヒグループホールディングス株式会社、NTT株式会社、株式会社トライアルホールディングス、三菱食品株式会社からプレス発表されていますね...

●アサヒグループホールディングス株式会社

・2026.04.06 流通業界初、サイバーセキュリティ強化に向けて製造・卸・小売業界横断で情報共有・分析を行う「流通ISAC」を設立

● NTT株式会社

・2026.04.06 流通業界初、サイバーセキュリティ強化に向けて製造・卸・小売業界横断で情報共有・分析を行う「流通ISAC」を設立

● 株式会社トライアルホールディングス

・2026.04.06 流通業界初、サイバーセキュリティ強化に向けて 製造・卸・小売業界横断で情報共有・分析を行う「流通ISAC」を設立

● 三菱食品株式会社

・2026.04.06 [PDF] 流通業界初、サイバーセキュリティ強化に向けて製造・卸・小売業界横断で情報共有・分析を行う「流通 ISAC」を設立

業界で共通の脅威を追いかけることが効率的であったり、業界で共通の対策や演習を行うことが有益であれば、業界ごとにISACやISAOを設立することに一定の意義はありますね。。。

広報部門から、「「業界初」でないとニュースリリースにできない」と言われたのかもしれませんが...業界にいくつも作られるものではないので、業界初で業界最期となるのでしょうね(^^)...

 

 

最近日本で設立されたISACとしては、

・暗号資産関係：JP Crypto-ISAC

・宇宙関係：Japan Space ISAC

があります...

 

 

米国では、

● RETAIL AND HOSPITALITY ISAC

があります...

コアメンバーだけでも130社弱ありますね...

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.08 米国のISACとISAO （根拠指令、取りまとめ団体、ISAO標準文書など）

 

デジタル庁 DS-222 政府情報システムにおける脅威の検知・対応のためのログ取得・分析導入ガイドブック (2026.03.31)

こんにちは、丸山満彦です。

 

● デジタル庁

・2026.03.31 DS-222 政府情報システムにおける脅威の検知・対応のためのログ取得・分析導入ガイドブック

・・[PDF] 本文

目次...

１ はじめに
１.１ 背景と目的
１.２ 適用対象
１.３ 位置付け
１.４ 本書の構成
１.５ 用語

２ セキュリティ対策におけるログ分析の概要
２.１ ログ分析の概要
２.２ ログ分析の重要性
２.３ ログ分析の進め方の全体像

３ ログ取得・分析の目的設定に関する基本指針
３.１ ログの取得・分析目的の明確化
３.２ 目的及び対象システムの特性に応じた分析事象・観点の決定

４ 目的設定における分析事象・観点の具体例
４.１ 脅威分析
４.２ 想定される脅威
４.３ 検知に必要なログ及び分析観点
 1) 代表的な脅威詳細と分析観点
 2) 必要なログ分析まとめ
４.４ 分析観点の選定時のポイント

５ ログ取得～分析に向けた留意事項
５.１ 技術面での留意事項
 1) ログ取得における留意事項
 2) ログ保存・保全における留意事項
 3) ログ点検・分析における留意事項
５.２ 体制・プロセス面での留意事項
 1) 人員確保
 2) 情報共有とエスカレーション

６ まとめ

別紙 1 参考文献
別紙 2 関係者

 

経済産業省 「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」「中小企業の情報セキュリティ対策ガイドライン第4.0版」(2026.03.27)

こんにちは、丸山満彦です。

経済産業省が、中小企業のセキュリティ対策強化を目指して、「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表していますね...

中小企業に対する政策を検討する場合に、中小企業の定義が不明確なまま議論が行われるのが問題なんですよね...EUと英国では中小企業の定義は明確になっていますよね（英国はBrexit後もEUの基準と同じような基準を利用しているので、実質同じ...）...例えば、欧州だと欧州委員会勧告2003/361/ECですよね...（従業員、売上高、総資産額で閾値を設定。従業員だと250名以上だと大企業）。で、現在Small  mid-capの区分（従業員だと250名以上1000名未満）が検討されていますよね...

日本の場合と中小企業基本法に基づくものになるのだろうと思いますが、政策議論をする場合に明確にそのことを示して議論をしていないし、文書等にもそれが明示されていないんですよね...漠然と中小企業...今回のガイドラインも過去からそうで「中小企業基本法」と言う用語すら登場しないんですよね...中小企業基本法でいう中小企業ではないのであれば、たとえば「いわゆる一般的に中小企業といわれる企業」として一般用語であることを明示し、そして、この文書で想定している中小企業をある程度明確にしたほうがよいと思うんですよね...

ちなみに、中小企業基本法の定義...

---

(中小企業者の範囲及び用語の定義）

第二条　この法律に基づいて講ずる国の施策の対象とする中小企業者は、おおむね次の各号に掲げるものとし、その範囲は、これらの施策が次条の基本理念の実現を図るため効率的に実施されるように施策ごとに定めるものとする。

一　資本金の額又は出資の総額が三億円以下の会社並びに常時使用する従業員の数が三百人以下の会社及び個人であつて、製造業、建設業、運輸業その他の業種（次号から第四号までに掲げる業種を除く。）に属する事業を主たる事業として営むもの

二　資本金の額又は出資の総額が一億円以下の会社並びに常時使用する従業員の数が百人以下の会社及び個人であつて、卸売業に属する事業を主たる事業として営むもの

三　資本金の額又は出資の総額が五千万円以下の会社並びに常時使用する従業員の数が百人以下の会社及び個人であつて、サービス業に属する事業を主たる事業として営むもの

四　資本金の額又は出資の総額が五千万円以下の会社並びに常時使用する従業員の数が五十人以下の会社及び個人であつて、小売業に属する事業を主たる事業として営むもの

---

 

さて、今回の中小企業の情報セキュリティ対策ガイドラインは、中小企業基本法の「中小企業者」？...もし、そうではないなら、この文書の想定する中小企業とはどう言う事業者か最初に定義したほうがよいかもしれませんね...

 

● 経済産業省

・2026.03.27 サイバー攻撃を“自分事”に。そしてその先、“どう動く？”――中小企業のセキュリティ対策強化に向けて「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」と「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表しました

 

実例集はともかく、ガイドラインについてですが...

 

---

4．中小企業の情報セキュリティ対策ガイドラインの改訂

改訂の概要は以下のとおりです。

（1） SCS評価制度の考え方の取り込み

SCS評価制度が、SA宣言の上位基準として位置付けられていることを踏まえ、本ガイドラインをSA宣言の取組に限らず、SCS評価制度にもつながる内容に見直しを行いました。

具体的には、ガイドラインの「第2部 実践編」STEP3において、SCS評価制度で求められる要求事項（セキュリティポリシーの策定、アクセス制御やログ管理等）を踏まえ、対策を実施するにあたっての考え方を整理しました。付録として掲載されている規程類のサンプルやひな型についても、SCS評価制度に対応する形で拡充しました。

（2）SECURITY ACTION自己宣言制度の基準見直しの反映

SA宣言の基準を見直し、ガイドラインにも反映しています。主な見直しのポイントは以下のとおりです。

• SA宣言一つ星の取組について、OSのアップデートやウイルス対策ソフトの導入など基本5項目であったのを、ランサムウェア被害の拡大を踏まえバックアップの取得を追加し6項目とした。
• SA宣言二つ星の取組である情報セキュリティ基本方針の策定及び、自社のセキュリティ対策状況を自社診断する25項目（SA宣言一つ星の項目を含む）について、中小企業実態調査の結果を踏まえ以下のとおり見直し。
  • ファイアウォールの導入が進んでいる実態があることを受けて、定着を図る観点から項目として追加。
  • コンテンツ管理システム（CMS）などWebシステムの導入実態がある中で、Webサイトの管理に関するセキュリティ対策を追加。
  • 類似する項目について重複感を避ける観点から、「事務所の立ち入り制限」といった物理的対策や、「情報セキュリティ教育」といった従業員のセキュリティ意識に関する項目について関連する項目を統合。
  • 実施率が低い項目について、取組を実施する際に参考となる参照先を対策例に追加するなど、対策実施に向けた導線を強化。

---

 

情報セキュリティ５か条は（1）情報セキュリティ６か条に増えていますね。。。★１も6か条にかわるんですかね...

１．OSやソフトウェアは常に最新の状態にしよう！
２．ウイルス対策ソフトを導入しよう！
３．パスワードを強化しよう！
４．共有設定を見直そう！
５．バックアップを取ろう！
６．脅威や攻撃の手口を知ろう！

5.  が新たに加わっていますね...

★２はトータル25項目で変わりありません...

 

---

● IPA

・中小企業の情報セキュリティ対策ガイドライン

・[PDF] 中小企業の情報セキュリティ対策ガイドライン第4.0版

 

この発表に合わせて、付録資料も更新されているので、ぜひ活用を...

・[PDF] 付録1：中小企業のためのセキュリティ人材の確保・育成方策（全14ページ）

・[DOCX] 付録2：情報セキュリティ基本方針（サンプル）（全1ページ）

・[PDF] 付録3：5分でできる！情報セキュリティ自社診断（全8ページ）

・[PPTX] 付録4：情報セキュリティハンドブック（ひな形）（全17ページ）

・[DOCX] 付録5：情報セキュリティ関連規程（サンプル）（全59ページ）

・[ELSX] 付録6：資産管理台帳（サンプル）(全9シート)

・[PDF] 付録7：中小企業のためのクラウドサービス安全利用の手引き（全8ページ）

・[PDF] 付録8：中小企業のためのセキュリティインシデント対応の手引き（全8ページ）

 

 

 

・SECURITY ACTION自己宣言制度

 

---

 

 

 

 

総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン（令和8l年3月版）

こんにちは、丸山満彦です。

総務省の地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会が、・「地方公共団体における情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」を改訂していますね...

ガイドライン改定（令和8年3月）のポイントは、

---

1.地方自治法改正に伴う対応

令和６年の地方自治法の改正に伴い、大臣指針案が令和７年４月１日付で発出されており、ガイドライン第1編総則において記載内容が重複する箇所等について削除等を実施。

2. 機器の廃棄・データ消去について

「政府機関等の対策基準策定のためのガイドライン」を参考にマイナンバー利用事務系の領域において住民情報を保存する記録媒体における機器の物理的破壊について、機器のリユース（再利用）が困難になることやコスト等の課題があることから、物理破壊以外の方法を追加。また、データ消去作業の職員の立ち合いを行う範囲を明確化。

3. USBメモリ等の利用におけるリスクへの対処

「政府機関等の対策基準策定のためのガイドライン」と総務省のガイドラインを整合した上で不足している対策について追記。

４.その他

「政府機関等の対策基準策定のためのガイドラインの一部改定（令和７年９月）」を踏まえ、DNS設定情報を悪用する攻撃等について追記。

※ 上記2・3については第3編 対策基準（解説）を改定。
※ 地方公共団体における情報セキュリティ監査に関するガイドラインについては時点更新と形式修正のみ

---

 

・[PDF] 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（令和8年3月27日改定）

 

・[PDF] 「地方公共団体における情報セキュリティ監査に関するガイドライン」（令和8年3月27日改定）

 

 

 

暗号消去についても導入されていますよね...第20回の検討会の資料をみると変更点がよりわかりやすいかもしれません。

・2026.01.14 地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会（第20回）

・・[PDF] 資料1　電磁的記録媒体を使用しないデータ連携について

 

・・[PDF] 資料2　機器の廃棄・データ消去について

・・[PDF] 資料3　今年度のセキュリティポリシーガイドラインの改定内容について

 

改訂履歴はつぎのような感じですかね...

地方公共団体における情報セキュリティポリシーに関するガイドライン、

• 2001年；平成13年03月；策定
• 2006年；平成18年09月；全部改定；政府の情報セキュリティ政策会議は「第 1 次情報セキュリティ基本計画」を踏まえて改定
  
• 2010年；平成22年11月；一部改定；「第 2 次情報セキュリティ基本計画」等を踏まえて改定
  
• 2015年；平成27年03月；一部改定；マイナンバー法、サイバーセキュリティ基本法を踏まえて改定
• 2018年；平成30年03月；全部改定；平成27年の年金機構情報漏えい事案、三層対策
• 2020年；令和02年12月；一部改定；三層対策のパターンを増やすなど利便性とセキュリティのバランスの調整
• 2022年；令和04年03月；一部改定；政府統一基準の改訂、DX等を踏まえた改定
• 2023年；令和05年03月；一部改定；ガバメントクラウドの導入等を見据えて改定
  
• 2024年；令和06年10月；一部改定；Web会議利用、政府統一基準の改定を踏まえた改定
• 2025年；令和07年03月；一部改定；テレワーク、マイナンバー利用事務系への無線LAN接続等を踏まえた改定
• 2026年：令和08年03月：一部改訂：地方自治法法の改訂により、必要な措置を講じることを義務付け、暗号消去の導入等による改定
  
  

地方公共団体における情報セキュリティ監査に関するガイドライン

• 2003年；平成15年12月；策定
• 2007年；平成19年07月；全部改定；政府の情報セキュリティ政策会議は「第 1 次情報セキュリティ基本計画」を踏まえて改定
• 2010年；平成22年11月；一部改定；「第 2 次情報セキュリティ基本計画」等を踏まえて改定
• 2015年；平成27年03月；一部改定；マイナンバー法、サイバーセキュリティ基本法を踏まえて改定
• 2018年；平成30年09月；一部改定；政府統一基準、自治体情報セキュリティ対策検討チーム報告等を踏まえて改訂
• 2020年；令和02年12月；一部改訂；三層対策のパターンを増やすなどの対策の変化に応じて改訂
• 2022年；令和04年03月；一部改訂；政府統一基準の改訂、DX等を踏まえた改定

 初版からの積み重ねということもあり、どんどんページ数が増えていっている感じですよね...

 

地方自治体のサプライチェーンセキュリティも重要となってくるので、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度（SCS評価制度）の（参考）★3・★4要求事項及び評価基準参照文献の参照文献に総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」も加える必要がありそうですね...

幸い、こちらのガイドラインは、JISQ27002（おそらく2024）との参照関係はしめしているので、それを伝えば、つながりそうですね...（包含関係問題はありますが...）

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.04.01 総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン（令和7年3月版）

・2021.09.14 地⽅⾃治体によるガバメントクラウドの活⽤について（案）2021.08現在

・2021.05.31 文部科学省 「教育情報セキュリティポリシーに関するガイドライン」公表について

・2021.05.13 参議院　デジタル社会形成基本法案等を議決 デジタル庁設置、個人情報保護法改正、地方自治体システム標準化等。。。

・2020.12.31 自民党デジタル社会推進本部 デジタル庁創設に向けた中間提言 at 2020.12.22 （小林史明議員公式サイト）

・2020.12.29 総務省　「地方公共団体における情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」の公表及び意見募集の結果

・2020.12.25 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

・2020.12.13 総務省 意見募集「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）、「地方公共団体における情報セキュリティ監査に関するガイドライン」（改定案）

・2020.11.19 自民党デジタル社会推進本部がデジタル庁についての第一次提言を平井卓也デジタル改革担当相に手交

・2020.09.05 J-LIS （予告）「自治体テレワーク推進実証実験」の公募について

・2020.05.23 総務省 「自治体情報セキュリティ対策の見直しについて」の公表

 

ちょっと遡って...

・2012.07.22 総務省 ASP・SaaS・クラウドの普及拡大に向けたガイドの公表

・2010.11.16 総務省 確定 地方公共団体における情報セキュリティポリシーに関するガイドラインと地方公共団体における情報セキュリティ監査に関するガイドライン

・2010.12.12 総務省 自治体クラウド推進本部　有識者懇談会（第3回）

・2010.09.17 総務省 パブコメ　地方公共団体における情報セキュリティポリシーに関するガイドライン（案）と地方公共団体における情報セキュリティ監査に関するガイドライン（案）

・2010.08.06 総務省　電子自治体　情報セキュリティ対策の推進

・2010.08.05 総務省　自治体クラウド推進本部

・2010.05.01 内閣府 地方公共団体の業務継続ガイドライン

・2010.04.02 総務省 確定 地方公共団体におけるASP･SaaS導入活用ガイドライン

・2010.03.12 「サイバー攻撃に無防備、１９３自治体」だそうです。。。

・2010.03.09 総務省 自治体クラウドポータルサイトの開設

・2010.02.20 総務省 パブコメ 「地方公共団体におけるASP・SaaS導入活用ガイドライン（案）」

・2010.01.25 長崎県がクラウド事業者として市町村にサービスを提供するの件

・2010.01.18 日本経団連 「電子行政推進シンポジウム」（2009.12.08）開催の様子

・2009.03.28 総務省　電子自治体の推進に関する懇談会（セキュリティワーキング　グループ）検討結果

・2008.08.23 総務省 確定 「地方公共団体におけるＩＣＴ部門の業務継続計画（ＢＣＰ）策定に関するガイドライン」

・2008.06.28 総務省 パブコメ 「地方公共団体におけるＩＣＴ部門の業務継続計画（ＢＣＰ）策定に関するガイドライン」（案）

・2008.04.26 総務省 地方自治情報管理概要

・2007.07.14 総務省 「地方公共団体におけるITガバナンスの強化ガイド」を公表

・2007.07.09 総務省 確定 「地方公共団体における情報セキュリティ監査に関するガイドライン」

・2007.06.09 総務省 パブコメ 「地方公共団体における情報セキュリティ監査に関するガイドライン」

・2007.04.02 総務省 自治体ＩＳＡＣ（仮称）実証実験の実施結果

・2006.09.30 総務省 地方公共団体における情報セキュリティポリシーに関するガイドラインを公表

・2006.08.21 総務省 パブコメ 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（案）

・2006.06.01 地方公共団体セキュリティ対策支援フォーラム 「情報セキュリティ監査実施状況および推進課題に関する検討」報告書

・2006.04.06 総務省 「地方公共団体の情報セキュリティレベルの評価に係る制度の在り方に関する調査研究報告書」の公表

・2006.01.24 総務省 住民基本台帳ネットワークシステム及びそれに接続している既設ネットワークに関する調査票による点検状況

・2005.07.19 総務省　平成１７年度電子自治体関連施策　セキュリティ認定制度

・2005.07.17 「地方公共団体における情報セキュリティ内部アセスメント（監査）の進め方」

・2005.02.15 住民基本台帳ネットワークシステム　政府と国民の信頼がポイントではないのだろうか？

 

 

経済産業省 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針） (2026.03.27)

こんにちは、丸山満彦です。

ついに経済産業省とNCOから「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表されましたね...

今回はFAQがついたので、より理解が深まると思います。PDFですけど、いくいくはウェブベースにして、必要に応じて追加していくのがよいと思います...

参照文献として、ISO/IEC 27001:2022（これ、JIS Q 27001:2023のほうがよかったね...)、政府統一基準(令和7年度版)
、自工会/部工会・サイバーセキュリティガイドライン 2.3 版に加えて、英国のCyber Essentials question booklet Version 16、米国の32 CFR Part 170 (Cybersecurity Maturity Model Certification (CMMC) Program)も追加されましたね...海外の基準の追加もよいのですが、総務省、厚労省、金融庁等の国内の基準やPCI/DSSといった広く使われているガイドとの関連もあると良いのだろうと思います。（まぁ、これからぼちぼちと...）

今回は方針ですから、詳細はこれから詰めていく必要がありますね。多くの人の意見をうまく統合してより良い制度にできればよいですよね...

 

中小企業対策として、お助け隊サービス（新類型）というのがあります。まもなく、実証事業も始まります。（IPAで公表されると思います...）

 

 

 

● 経済産業省

・2026.03.27「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」（SCS評価制度の構築方針）を公表しました

 

関連資料

・[PDF] サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針概要

・[PDF] サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針

・[XLSX] 別添★3・★4要求事項及び評価基準

・[XLSX] （参考）★3・★4要求事項及び評価基準参照文献

・[PDF] 資料1 「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（案）」及び「★3・★4要求事項・評価基準（案）」に対するパブリックコメントへの対応について

・[PDF] 資料2 サプライチェーン強化に向けたセキュリティ対策評価制度に関するパブリックコメントに対する考え方

・[PDF] 資料3 SCS評価制度に関するよくあるお問合せ

 

関連リンク

・ワーキンググループ1（サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ）

・サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて

・サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）を活用する中小企業向け支援策について

・サイバーセキュリティお助け隊サービス（新類型）

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2026.03.17 経済産業省 サプライチェーン・サイバーセキュリティ評価（SCS）制度のパブコメへの回答の一覧...

・2025.12.28 経済産業省 パブコメ サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）に関する制度構築方針（案）とその評価基準案 (2025.12.26)

・2025.04.15 経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ (2024.04.14)

 

 

 

オーストラリア 2018年重要インフラセキュリティ法 サイバーセキュリティインシデントの届出のガイダンス (2026.03.18)

こんにちは、丸山満彦です。

ちょうど日本でも基幹インフラ事業者の資産の新規・変更の届出、侵害の届出についてのパブコメがだされていますが、この届出がA4の紙の様式が指定されていて、「まじか...」と言う話になっていますが、同様の法律があるオーストラリアでは、ウェブ入力となっていますね...ちょうど2026.03.18にガイダンスも公開されたところなので、紹介しておきますね...

 

● Australia Critical Infrastructure Security Centre

・2026.03.18 Notification of Cyber Security Incident reporting guidance

(Listの中から探してください...)

Notification of Cyber Security Incident reporting guidance	サイバーセキュリティインシデントの通知の報告ガイダンス
Description	概要
This guidance has been prepared to assist specified critical infrastructure entities to comply with their ‘Notification of cyber security obligations’ as per Part 2B of the Security of Critical Infrastructure Act 2018 (SOCI Act). This obligation is commonly referred to as Mandatory Cyber Incident Reporting (MCIR).	本ガイダンスは、指定重要インフラ事業体が『2018年重要インフラセキュリティ法（SOCI法）』第2B部の定める「サイバーセキュリティに関する届出義務」を遵守できるよう作成されたものである。この義務は、一般に「サイバーインシデント報告義務（MCIR）」と呼ばれる。

 

・[PDF] Notification of Cyber Security Incidents - Security of Critical Infrastructure Act 2018

・[DOCX][PDF] 仮訳

 

目次...

Preface	はじめに
What is the notification of cyber security incidents obligation?	サイバーセキュリティインシデントの届出義務とは何か
How do I make a report?	どのように報告すればよいか？
What is a cyber security incident under the SOCI Act?	SOCI法におけるサイバーセキュリティインシデントとは何か？
What is ‘unauthorised’?	「不正」とは何か
What is unauthorised ‘access to computer data or a computer program’?	「コンピュータデータまたはコンピュータプログラムへの不正アクセス」とは何か
What is unauthorised ‘impairment of electronic communication to or from a computer’	無許可の「コンピュータとの電子通信の妨害」とは何か
What is unauthorised ‘modification’?	「無断の『改変』」とは何か
Incidents that generally do not need to be reported	一般的に報告の必要がない事象
Asset classes with notification of cyber security incidents obligation	サイバーセキュリティインシデントの届出義務がある資産クラス
Identifying a reportable cyber security incident	報告対象となるサイバーセキュリティインシデントの特定
Significant impact	重大な影響
Relevant impact	関連する影響
When do you need to report?	いつ報告する必要があるか？
Critical cyber security incidents	重大なサイバーセキュリティインシデント
Other cyber security incidents	その他のサイバーセキュリティインシデント
When do you ‘become aware’ an incident is occurring?	インシデントの発生を「認識」するのはいつなのか。
What kind of information must be provided in the report?	報告にはどのような情報を記載しなければならないか？
What happens after you report?	報告後はどうなるか？
What happens if you report late or do not report at all?	報告が遅れたり、報告しなかったりした場合はどうなるか？
How is the information in a report used?	報告書の情報はどのように利用されるのか。
Will the report be forwarded to other Commonwealth, state and/or territory regulators?	報告は他の連邦、州、および／または準州の規制当局に転送されるか？
National Office of Cyber Security	国家サイバーセキュリティ局
Protected information and limited use	保護情報および限定利用
Protected information	保護情報
Limited use	限定的な利用
A step-by-step guide: Reporting a Cyber Security Incident	ステップバイステップガイド：サイバーセキュリティインシデントの報告
Attachment A: Examples of critical and other cyber security incidents	別紙A：重大なサイバーセキュリティインシデントおよびその他の事例
Critical Incident Examples	重大なインシデントの例
Other Incident Examples	その他のインシデント事例

 

インシデント届出のウェブページ...

・Report

サイバーセキュリティインシデントの報告

・Report a cyber security incident

入力するのは面倒かもしれませんが、後の処理のことを考えたら、ウェブ入力とかがよいのではないかなぁ...なんて...

 

 

 

 

 

 

インターポール グローバル金融詐欺アセスメント 第2版 (2026.03.16)

こんにちは、丸山満彦です。

インターポールが、世界の金融詐欺の脅威に関する報告書（第2版）を公表していますね...

 

INTERPOL report warns of increasingly sophisticated global financial fraud threat	インターポールの報告書、ますます巧妙化する世界的な金融詐欺の脅威を警告
Threat assessment highlights hybrid tactics, global growth in scam centres and rise in sextortion	アセスメントでは、ハイブリッドな手口、詐欺拠点の世界的な拡大、およびセクストーションの増加が指摘されている
Financial fraud is now one of the world’s most severe and rapidly evolving transnational crimes, with significant economic and human consequences.	金融詐欺は現在、世界でも最も深刻かつ急速に進化する越境犯罪の一つであり、経済的・人的な面で重大な影響を及ぼしている。
The 2026 INTERPOL Global Financial Fraud Threat Assessment warns that with increased global criminal collaboration, fraud is no longer a peripheral threat, it is at the centre of polycriminality, intersecting with organized crime, human trafficking and cybercrime.	「2026年インターポール世界金融詐欺アセスメント」は、世界的な犯罪組織間の連携強化に伴い、詐欺はもはや周辺的な脅威ではなく、組織犯罪、人身取引、サイバー犯罪と交錯する多重犯罪の中心にあると警告している。
Key findings include:	主な調査結果は以下の通り：
・AI-enhanced fraud is 4.5 times more profitable than traditional methods. “Agentic AI” systems can autonomously plan and execute complete fraud campaigns - from reconnaissance to ransom demands.	・AIを活用した詐欺は、従来の方法に比べて4.5倍の利益を生む。「エージェンティックAI」システムは、偵察から身代金要求に至るまで、詐欺キャンペーン全体を自律的に計画・実行できる。
・Sextortion is now being systematically integrated into scams such as romance and investment fraud often using scripts and AI-generated content.	・セクストーションは現在、恋愛詐欺や投資詐欺などの手口に体系的に組み込まれており、多くの場合、台本やAI生成コンテンツが使用されている。
・Criminal networks are increasingly collaborating with specialized money laundering groups and sharing expertise and technology to scale up their operations globally.	・犯罪ネットワークは、専門的な資金洗浄グループとの連携を強化し、ノウハウや技術を共有することで、世界規模での活動を拡大させている。
・In parts of Africa, terrorist groups have been found to use fraud schemes, especially crypto-based scams, as a source of funding.	・アフリカの一部地域では、テロ組織が資金源として詐欺スキーム、特に暗号資産を利用した詐欺を利用していることが判明している。
・Once a regional phenomenon, scam centres have now been identified worldwide, involving hundreds of thousands of individuals, many of whom are trafficked and forced to carry out online fraud.	・かつては地域的な現象であった詐欺拠点が、現在では世界中で確認されており、数十万人の個人が関与している。その多くは人身取引の被害者であり、オンライン詐欺の実行を強要されている。
However, the report also found that law enforcement authorities are collaborating more effectively.	しかし、同報告書は、法執行当局間の連携がより効果的になっていることも明らかにした。
Since 2024, the number of fraud-related INTERPOL Notices and Diffusions has increased by 54 per cent. Over the same period, INTERPOL supported member countries in more than 1,500 transnational fraud cases in lost assets valued at USD 1.1 billion.	2024年以降、詐欺関連のインターポール通知および情報拡散の件数は54％増加した。同期間中、インターポールは加盟国を支援し、11億米ドル相当の資産が回収された1,500件以上の国際的な詐欺事件に対処した。
INTERPOL Secretary General Valdecy Urquiza said:	インターポールのヴァルデシー・ウルキサ事務局長は次のように述べた。
“Enabled by artificial intelligence, low-cost digital tools and increased global criminal collaboration, we are witnessing the industrialization of fraud.	「人工知能、低コストのデジタルツール、そして世界的な犯罪組織間の連携強化によって、詐欺の産業化が進んでいる。
“It is vital to remember that the cost of financial crime is not just money – it is people’s life savings, their dignity, and in the worst case, their life.	「金融犯罪の代償は単なる金銭ではないことを忘れてはならない。それは人々の生涯の貯蓄であり、尊厳であり、最悪の場合、命そのものである。
“Strengthening cooperation between law enforcement, the private sector and raising public awareness is key in tackling this global security threat.”	「法執行機関と民間セクター間の協力を強化し、国民の意識を高めることが、この世界的な安全保障上の脅威に対処する鍵となる。」
Untangling the financial webs around scam centres	詐欺拠点を取り巻く金融ネットワークの解明
As highlighted in the threat assessment, scam centres are growing in number and scale, targeting ever greater numbers of victims.	アセスメントで指摘されているように、詐欺拠点は数と規模を拡大しており、ますます多くの被害者を標的にしている。
Although these operations are regularly shut down, the criminal leaders behind them remain hard to identify, using intermediaries and shell companies to hide their tracks and avoid detection.	こうした拠点は定期的に摘発されているものの、その背後にいる犯罪組織の首謀者は、仲介業者やペーパーカンパニーを利用して足跡を隠し、検知を逃れているため、識別が困難なままである。
To close this critical gap, INTERPOL is launching Operation Shadow Storm, a new international task force funded by the United Kingdom’s Home Office as part of a unified, data-driven response.	この重大な課題を解決するため、インターポールは「オペレーション・シャドウ・ストーム」を立ち上げる。これは、統一されたデータ主導型の対応の一環として、英国内務省の資金提供を受けた新たな国際タスクフォースである。
Using INTERPOL’s network and tools such as I-GRIP, a stop-payment mechanism, the task force will target not only the financial frauds generated by scam centres, but also the links to cybercrime and human trafficking for forced criminality.	インターポールのネットワークや、支払停止メカニズムであるI-GRIPなどのツールを活用し、このタスクフォースは詐欺拠点によって引き起こされる金融詐欺だけでなく、サイバー犯罪や強制的な犯罪行為を伴う人身取引との関連性にも対処する。
In parallel, INTERPOL is issuing new Guidelines on the Establishment and Operation of a National Anti-Scam Centre to encourage effective models in support of national efforts to detect, disrupt and dismantle scams networks and their activities.	並行して、インターポールは「国家詐欺対策センターの設立および運営に関するガイドライン」を新たに発行し、詐欺ネットワークとその活動を検知、阻止、解体するための各国の取り組みを支援する効果的なモデルを促進する。
Summarizing successful approaches adopted by law enforcement agencies worldwide, the guidelines highlight key considerations and best practices to strengthen and better coordinate the global response.	世界各国の法執行機関が採用した成功事例をまとめた本ガイドラインは、世界的な対応を強化し、より良く調整するための重要な考慮事項とベストプラクティスを強調している。
Global Fraud Summit	グローバル・フラウド・サミット
Launched on the first day of the Global Fraud Summit (16 and 17 March) – jointly organized by INTERPOL and the United Nations Office on Drugs and Crime (UNODC) – together these three initiatives aim to underpin the collective public and private sector response.	インターポールと国連薬物犯罪事務所（UNODC）が共同で開催する「グローバル・フラウド・サミット」（3月16日・17日）の初日に発足したこれら3つの取り組みは、官民セクターによる共同対応を後押しすることを目的としている。
The event brings together more than 1,300 participants including government officials, law enforcement agencies, private sector leaders, tech companies and civil society organizations to explore how to work together and disrupt the systems that allow fraud to flourish.	本イベントには、政府関係者、法執行機関、民間セクターのリーダー、テクノロジー企業、市民社会組織など1,300名以上の参加者が集まり、どのように協力し、詐欺が蔓延する仕組みを阻止するかについて検討する。

 

 

・[PDF]

 

Key Findings	主な調査結果
The second edition of the INTERPOL Global Financial Fraud Threat Assessment highlights that since 2024 financial fraud targeting individuals and businesses has continued to increase in volume, innovate in modus operandi, and expand globally.	『INTERPOL世界金融詐欺リスクアセスメント』第2版は、2024年以降、個人や企業を標的とした金融詐欺が、件数において増加し続け、手口が革新され、世界的に拡大していることを強調している。
The key findings include:	主な調査結果は以下の通りである：
• Law enforcement authorities collaborating more effectively against financial fraud. Since 2024, the number of fraud-related Notices and Diffusions has increased by 54 per cent, the majority issued by European member countries. Over the same period, INTERPOL has supported member countries in more than 1,500 transnational fraud cases in lost assets valued at USD 1.1 billion.	• 金融詐欺対策における法執行機関間の連携がより効果的になっている。2024年以降、詐欺関連の通知および情報拡散の件数は54％増加しており、その大半は欧州加盟国によって発行されたものである。同期間中、インターポールは加盟国に対し、15億米ドル相当の資産損失を伴う1,500件以上の国境を越えた詐欺事件の対応を支援した。
• Significant global and human costs due to financial fraud. Global losses related to financial fraud in 2025 alone have been estimated at USD 442 billion.1 Beyond financial damage, individual victims commonly experience shame and psychological trauma. INTERPOL assesses the overall global risk related to financial fraud as HIGH and expects the scale of offending to escalate significantly over the next three to five years, mainly due to increased availability of AI technology and low barriers to entry.	• 金融詐欺による甚大な世界的・人的被害。2025年単年における金融詐欺関連の世界的な損失は、4,420億米ドルと推計されている¹。金銭的損害に加え、個々の被害者はしばしば羞恥心や心理的トラウマを経験する。インターポールは、金融詐欺に関連する世界的な総合リスクを「高（HIGH）」と評価しており、主にAI技術の普及と参入障壁の低さにより、今後3～5年間で犯罪規模が大幅に拡大すると予測している。
• Global spread of scam centres. Initially, scam centres emerged as a regional phenomenon. However, the trend has now evolved into a global threat, with centres discovered across multiple regions. These centres engage hundreds of thousands of people, many of whom are forced to perpetrate online frauds. To date victims from nearly 80 countries have been trafficked into online scam centres, with no continent left untouched.	• 詐欺拠点の世界的な拡散。当初、詐欺拠点は地域的な現象として現れた。しかし、この傾向は今や世界的な脅威へと発展し、複数の地域で拠点が発見されている。これらの拠点では数十万人が従事しており、その多くはオンライン詐欺を行うことを強要されている。これまでに、80カ国近くから被害者がオンライン詐欺拠点へ人身売買されており、影響を受けていない大陸はない。
• Fraud increasingly enabled by artificial intelligence tools. Dark Web marketplaces offer applications which can clone voices and faces from mere seconds of genuine audio or video samples, enabling criminals to impersonate celebrities or associates of intended victims. “Agentic AI” can autonomously plan and execute fraud campaigns from start to finish. INTERPOL reports a global surge in these AI-enhanced fraud schemes, notably sextortion, intertwined with investment scams, as well as impersonation frauds, including fake kidnappings for ransom.	• 人工知能ツールによる詐欺の増加。ダークウェブのマーケットプレイスでは、わずか数秒の本物の音声や動画サンプルから声や顔を複製できるアプリケーションが提供されており、犯罪者が有名人や標的となる被害者の知人を装うことを可能にしている。「エージェンティックAI」は、詐欺キャンペーンを最初から最後まで自律的に計画・実行できる。インターポールは、投資詐欺と絡み合ったセクストーションや、身代金目的の偽装誘拐を含むなりすまし詐欺など、こうしたAIを活用した詐欺手口が世界的に急増していると報告している。
• Criminal networks cooperating globally, sharing expertise and technology. Criminal networks perpetrating fraud adapt their illicit business models to optimize efficiency, including through collaboration with specialized money laundering networks. INTERPOL assesses these offenders as highly organized, skilled and agile.	• 犯罪ネットワークは世界的に連携し、専門知識や技術を共有している。詐欺を働く犯罪ネットワークは、専門的な資金洗浄ネットワークとの連携などを通じて、効率を最適化するために違法なビジネスモデルを適応させている。インターポールは、これらの犯罪者を高度に組織化され、熟練し、機敏であるとアセスメントしている。
• An increasing nexus between financial fraud and terrorist financing across the African region. Terrorist groups operating in the African region have been found to rely on fraud schemes for resource generation, especially via cryptobased scams	• アフリカ地域全体で、金融詐欺とテロ資金供与との結びつきが強まっている。アフリカ地域で活動するテロ組織は、特に暗号資産を利用した詐欺を通じて、資金調達のために詐欺スキームに依存していることが判明している

 

目次...

Secretary General’s foreword	事務総長によるまえがき
Acknowledgement	謝辞
Key Findings	主な調査結果
Global Trends in Financial Fraud	金融詐欺の世界的動向
Introduction	序論
Financial Fraud Types and Trend Updates	金融詐欺の種類と最新の動向
Extremely High Levels of Pervasiveness, Financial Loss and Harm	極めて高い蔓延度、金銭的損失、および被害
The Continued Expansion of Scam Centres	詐欺拠点の継続的な拡大
Technology and Artificial Intelligence – A Force Multiplier	テクノロジーと人工知能――戦力の増幅要因
Increasingly Hybrid Fraud Tactics and the Rise in Sextortion	ハイブリッド型詐欺手口の増加とセクストーションの台頭
Financial Fraud Offender Profile	金融詐欺加害者のプロフィール
Global Risk Projections	世界的なリスク予測
Regional Financial Fraud Threats and Trends	地域別の金融詐欺の脅威と動向
Africa	アフリカ
Americas and the Caribbean	南北アメリカおよびカリブ海地域
Asia and the Pacific	アジア・太平洋地域
Europe	ヨーロッパ
Middle East and North Africa	中東および北アフリカ
Recommendations	提言

 

提言...

Recommendations	提言
Intelligence-Led Coordination and International Cooperation	情報主導型の連携と国際協力
• Strengthen interagency police cooperation, including with financial intelligence units, regulatory bodies and customs authorities, and address fraud as a networked, transnational threat rather than a series of isolated incidents.	• 金融情報機関、規制団体、税関当局を含む省庁間の警察協力を強化し、詐欺を一連の孤立したインシデントではなく、ネットワーク化された越境的な脅威として対処する。
• Direct analytical resources to map the criminal networks that enable and sustain fraudulent activity, including their cross-border operations, illicit financial flows, and the technological infrastructure on which they depend.	• 分析リソースを投入し、詐欺活動を可能にし維持する犯罪ネットワークの解明にあたる。これには、その越境活動、不正な資金の流れ、および犯罪ネットワークが依存する技術的インフラが含まれる。
Operational Support and Rapid Response	運用支援と迅速な対応
• Increase routine cooperation among member countries leveraging INTERPOL’s secure communications system, global databases, and Notices and Diffusions framework, to facilitate coordinated intelligence exchange and the tracing of illicit assets across jurisdictions.	• インターポールの安全なコミュニケーションシステム、グローバルデータベース、および通知・拡散（Notices and Diffusions）の枠組みを活用し、加盟国間の日常的な協力を強化する。これにより、調整された情報交換と、管轄区域を越えた不正資産の追跡を促進する。
• Promote the implementation of coordinated rapid stop-payment and asset-freezing measures to intercept stolen funds before they can be moved or laundered, in particular INTERPOL’s I-GRIP stop payment mechanism, which enables authorities to trace, intercept and block criminal proceeds across borders.	• 盗まれた資金が移動または洗浄される前に差し押さえるため、調整された迅速な支払停止および資産凍結措置の実施を促進する。特に、当局が国境を越えて犯罪収益を追跡、差し押さえ、凍結することを可能にするインターポールのI-GRIP支払停止メカニズムを活用する。
Build Capacity amongst Investigators	捜査官の能力強化
• Enhance investigators’ capabilities to address the evolving nature of fraud and financial crime by utilizing appropriate training resources. Priority areas should include financial investigation techniques, cryptocurrency tracing, AI-generated content detection (e.g. recognizing AI-enabled fraud schemes, deepfakes, and understanding indicators that support the identification or attribution of AI-produced materials), and intelligence analysis.	• 適切な研修リソースを活用し、詐欺や金融犯罪の進化する性質に対処するための捜査官の能力を強化する。優先分野には、金融捜査手法、暗号資産の追跡、AI生成コンテンツの検知（例：AIを利用した詐欺スキームやディープフェイクの認識、AI生成素材の特定や帰属を裏付ける指標の理解）、および情報分析を含めるべきである。
• Leverage INTERPOL capabilities for the deployment of specialized tools for processing large datasets and tracing digital payment flows, in order to improve data collection and the timely exchange of actionable intelligence among competent authorities.	• データ収集の改善および関係当局間での実用的な情報の適時な交換を図るため、大規模なデータセットの処理やデジタル決済フローの追跡に特化したツールの展開において、インターポールの能力を活用する。
Strengthen Legal and Regulatory Frameworks	法的・規制枠組みの強化
• Improve legal frameworks as a response to the growing threats of AI-driven and cryptocurrency[1]based fraud, criminalizing the malicious use of generative AI for impersonation, voice cloning, and associated social engineering large-scale operations.	• AIを活用した詐欺や仮想通貨[1]に基づく詐欺という増大する脅威への対応として、なりすまし、音声クローン、および関連するソーシャルエンジニアリングによる大規模な作戦のための生成的AIの悪用を犯罪化することで、法的枠組みを改善する。
• Improve the regulatory oversight of virtual asset service providers, update KYC/AML procedures, real-time transaction monitoring mechanisms, and standardized reporting requirements.	• 仮想資産プロバイダに対する規制監督を強化し、KYC/AML手続き、リアルタイム取引監視メカニズム、および標準化された報告要件を改善する。
Partnerships and Information Sharing	パートナーシップと情報共有
• Encourage structured and routine collaboration among banks, technology companies, telecommunications operators, and law enforcement agencies, recognizing that each sector holds complementary insights into the fraud threat landscape.	• 各セクターが詐欺の脅威情勢について相互に補完的な知見を有していることを認識し、銀行、テクノロジー企業、通信事業者、法執行機関間の体系的かつ日常的な連携を促進する。
• Develop formal mechanisms for timely information sharing on suspicious transactions and fraudulent platforms, supported by appropriate legal and data-protection safeguards.	• 適切な法的およびデータ保護上の安全措置を講じた上で、不審な取引や詐欺プラットフォームに関する情報を適時に共有するための正式な仕組みを構築する。
Fraud Reporting	詐欺の通報
• Develop crime reporting mechanisms as a strategic priority. A significant proportion of fraud and related crimes remain unreported. Reporting mechanisms should therefore be simple and accessible while also being highly visible to the public.	• 犯罪通報メカニズムの整備を戦略的優先事項とする。詐欺および関連犯罪の相当部分が未通報のままである。したがって、通報メカニズムは簡素で利用しやすく、かつ一般市民にとって目立つものであるべきだ。
• Centralize collected data to enable the rapid identification of patterns, particularly recurring tactics such as impersonation schemes, investment fraud, and AI-enabled attacks.	• 収集したデータを一元化し、特になりすまし詐欺、投資詐欺、AIを活用した攻撃といった繰り返される手口を含むパターンの迅速な特定を可能にする。
Prevention and Public Awareness	予防と啓発
• Deliver clear and timely public warnings that include practical examples of current fraud schemes, such as scams involving AI-generated voices, fraudulent investment applications, romance manipulation, and malicious QR codes.	• 生成的AIによる音声を利用した詐欺、不正な投資アプリ、恋愛詐欺、悪意のあるQRコードなど、現在の詐欺手口の実例を含めた、明確かつタイムリーな公的警告を発する。
• Prioritize outreach to the most exposed groups, through targeted and accessible communication channels.	• 標的を絞った利用しやすいコミュニケーションチャネルを通じて、最も被害を受けやすいグループへの啓発活動を優先する。
Victim Care	被害者支援
• Ensure appropriate support for the victims of fraud, noting in particular the prevalence of repeat victimisation of individuals. The provision of expert support to help victims, and those close to them, to understand what has happened and why, will promote recovery and resilience to future fraud attempts.	• 特に個人が繰り返し被害に遭うケースが多いことに留意し、詐欺被害者への適切な支援を確保する。被害者やその身近な人々が、何が起こったのか、なぜそうなったのかを理解できるよう専門的な支援を提供することは、回復を促し、将来の詐欺被害に対するレジリエンスを高めることになる。
• Raise awareness and cultivate compassion among relevant authorities for the harm inflicted on victims of fraud, positively impacting their willingness to report crime and support future investigations. This includes avoiding the use of language which minimizes the crime or inadvertently assigns blame to victims.	• 詐欺被害者に与えられた被害について、関係当局の認識を高め、共感を育むことで、被害者の通報意欲や今後の捜査への協力姿勢に好影響を与える。これには、犯罪を軽視したり、意図せず被害者に責任を転嫁するような言葉遣いを避けることも含まれる。

 

 

---

 

AIによるまとめ...

 

全体の要点（最重要まとめ）

• 金融詐欺は世界で最も深刻な犯罪脅威の一つに成長し、近年（特に2024〜2025年）で顕著に増加。
• AI（特に生成AI）が詐欺の“力倍増装置”となり、犯行の効率化・高度化が進行。
• スカムセンター（詐欺拠点）が東南アジアから他地域へ拡大し、人身取引被害者が詐欺に従事させられる構造が広がる。
• 投資詐欺・BEC（ビジネスメール詐欺）・なりすまし詐欺・セクストーションが世界的に増加。
• 被害額は年間数千億ドル規模と推計され、心理的被害も深刻。
• 今後3〜5年でリスクはさらに増加すると各国が認識。

---

 

1. 世界的な詐欺の潮流

• 犯罪としての位置づけ
  • 金融詐欺は主要な国際組織犯罪の一つ。
  • 犯罪組織は多犯罪化（poly-criminality）し、詐欺収益を他犯罪（人身取引等）に転用。
• 被害規模
  • 世界の被害額は年間数千億ドル規模と推計。
  • INTERPOL支援案件でも多数の損失が確認。
  • 被害者には深刻な心理的影響が生じる。

2. 犯罪手口の進化（AIが中心）

• AIが詐欺の高度化を加速
  • 生成AIにより詐欺の自動化・効率化が進展。
  • 音声・画像の偽装（ディープフェイク）が利用される。
  • AIチャットの活用により詐欺の継続的接触が容易化。
• ハイブリッド型詐欺の増加
  • 複数の詐欺手法を組み合わせる手口が増加。

3. スカムセンターの拡大

• 二重の被害者構造
  • 人身取引被害者が詐欺に従事させられる構造。
  • 世界中の一般市民が被害対象。
• 地理的拡大
  • 東南アジア中心から他地域へ拡大。

4. 主要な詐欺タイプ

• 投資詐欺
  • 最も大きな被害額。
  • 「リカバリー詐欺」も発生。
• BEC
  • 送金先偽装など。AI音声の利用も確認。
• なりすまし詐欺
  • 公的機関・企業等を偽装。
• セクストーション
  • 性的脅迫、AI生成コンテンツの利用増加。
• ロマンス詐欺
  • 関係構築後に金銭搾取。

5. 地域別の特徴

• 各地域で詐欺類型に差はあるが、投資詐欺・BEC・ロマンス詐欺が共通して拡大。

6. リスク予測

• 今後3〜5年で世界的にリスクは増加。
• AI・デジタル金融・犯罪組織の高度化が主因。

7. INTERPOLの推奨

• 国際協力の強化
• 法制度・技術対応の強化
• 官民連携
• 被害者支援
• 予防教育

---

 

 

ICT-ISAC ICT分野事業者に向けたセキュリティ・クリアランス法制に関するレポート (2026.03.03)

こんにちは、丸山満彦です。

ICT-ISACがICT分野事業者に向けたセキュリティ・クリアランス法制に関するレポート、「我が国におけるセキュリティ・クリアランス法制の動向
「重要経済安保情報保護活用法」」という報告書を公表していますね...KDDI総合研究所が作成したものです...

「電気通信事業者に求められる実務的な対応と、企業活動への影響を明確化することを目的とする。特に、通信業界が今後直面し得る制度対応を、条文および運用基準に基づき整理する。」としていますね...

電気通信事業者への影響と求められる対応のイメージとして次のように考えているようですね...

組織に求められる対応もその通りだと思います。。。（私は次の5つで考えていましたが（①組織体制、②設備、③システム、④人事対応、⑤調達・委託管理（日本人らしい...(^^)）。KDDIの報告書は、わたしの①から③をまとめて「適合事業者認定への備え」としているイメージですね...）

---

◼ 影響

⚫ 電気通信は「重要インフラ15分野」として明確に位置づけられており、本法の運用において対象となりやすい業
態となる可能性がある。留意点として以下が考えられる：

• 「特定秘密」とは異なる制度であるため、事業で生ずる情報が指定対象になり得る可能性。
• 適合事業者認定や適性評価は任意制度だが、事実上の政府調達参加条件となる可能性が高い。
• 下請・委託先（ベンダー・工事会社等）との関係性。

◼ 求められる対応

⚫ 組織対応・社内体制構築：適合事業者認定への備え

• 保護責任者（役員）／業務管理者（CSIRT等）指名
• 重要情報取扱区画（専用室）設置計画 等

⚫ 労務・人事対応：適性評価への備え

• 従業者選定
• 退職者の情報管理強化 等

⚫ 調達・委託管理対応：サプライチェーン対策

• NDA の強化（退職後規定含む）
• 再委託禁止（または報告義務）
• 委託先監査の実施

---

 

また、サイバーセキュリティに関するサプライチェーンリスクを3つの類型にわけていますが、私もその通りと思います。ときどき、どのリスクの話をしているのかわかりにくくなるので、この３類型に名前をつけたらよいのではないかと思います。（渉外 -> 障害）

---

◼ サプライチェーン・リスクの種類（サイバーセキュリティに関し）

⚫ 具体的には：

• 委託先（委託先のシステムを経由したサイバー攻撃）
• クラウドサービス（クラウドサービスの渉外によるサービス停止）
• ソフトウェア（バックドア型マルウェアが仕込まれる）

---

 

1. 委託先（委託先のシステムを経由したサイバー攻撃）
2. クラウドサービス（クラウドサービスの渉外によるサービス停止）
3. ソフトウェア（バックドア型マルウェアが仕込まれる）

とすると、、、たとえば...

1. 「大阪急性期総合医療センター型」

2. 「小島プレスのクラウド版型」

3. 「SolarWinds型」

みたいな...社名出すとあかんか...

 

● ICT-ISAC

・2026.03.03 国内初、ICT分野事業者に向けたセキュリティ・クリアランス法制に関するレポートを公表