各国サイバーセキュリティ法令・政策動向シリーズ(6)アメリカ
各国サイバーセキュリティ法令・政策動向シリーズの第6回目として、アメリカのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
はじめに
各国サイバーセキュリティ法令・政策動向シリーズでは中国・台湾、インド、シンガポール、メキシコ、ブラジル、米国の近年(主に2023年から2024年にかけて)におけるデジタル・サイバーセキュリティの動向および将来の見通しについて解説します。本シリーズは、グローバル展開している国内企業のIT、サイバーセキュリティ、法務部門の責任者、デジタル政策・規制動向に関心を持つ責任者を対象としています。主要国・地域で進むデジタル政府化の取り組み、セキュリティ法規制、あるいはAI規制のような最新動向を早期に把握し、対応に優先順位を付けたい、向こう数年で発生しうるリスクを理解したいという方への一助になることを目指しています。
第6回目として取り上げる米国は、2024年は選挙イヤーであったこともあり、サイバーセキュリティ・インフラストラクチャセキュリティ庁(Cybersecurity and Infrastructure Security Agency:CISA)等から選挙に関するディープフェイク、偽情報、セキュリティに関するニュースリリースが数多く発行されていることは注目に値します。
なお、第一期トランプ政権のもと設立されたCISAを含めた連邦政府全体にわたって、米国の戦略等がどのようになるのかは2025年以降も注視を要するところです。
1 デジタル戦略
米国ではここ数年、政府ウェブサイトのユーザエクスペリエンスの向上(21世紀統合デジタルエクスペリエンス法)、FOIA(Freedom of Information Act、情報公開法)請求等の行政サービスのデジタル化、行政文書の電子化等が図られています。2024年の動きとしては、5月に国務省から公表された「国際サイバースペース・デジタルポリシー戦略~革新的で安全、そして権利を尊重するデジタルの未来に向けて(International Cyberspace and Digital Policy Strategy)」があります(下記「2.1.2国務省によるInternational Cyberspace and Digital Policy Strategy」参照)。
2 サイバーセキュリティ戦略および組織体制
(1)サイバーセキュリティ戦略
米国のサイバーセキュリティは、法令・政策面においては、現在、2021年5月に発出された大統領令第14028号 “Executive Order on Improving the Nation’s Cybersecurity”(「国家のサイバーセキュリティを改善する」)※1、2023年3月の国家サイバーセキュリティ戦略(National Cybersecurity Strategy:NCS)※2を中心に推進されているといえます。同大統領令では、サイバーインシデントの防止・検知、ゼロトラスト・クラウド活用の推進(エンドポイント検知・対応、SBOM、イベントログの保全など)、消費者向けIoT製品のラベリング制度の構築が謳われています。その他、近年の動きで、注目すべき戦略等について、以下で紹介します。
2.1.1 ホワイトハウスによるNational Cybersecurity Strategy Implementation Planと米国のサイバーセキュリティ態勢に関する報告書
大統領府は、2023年7月、2023年国家サイバーセキュリティ戦略(NCS)を受けて、同戦略実施計画(National Cybersecurity Strategy Implementation Plan)※3を公表しました。これは、NCSにおけるpillarおよび戦略的目標を前提に、65以上の高インパクトのイニシアチブを掲げ、国家サイバー長官室(Office of the National Cyber Director:ONCD)を筆頭に、各イニシアチブについて所管官庁、およびそれを実施すべき期限を明示したものであり、1年ごとに更新されます※4。本実施計画に列挙されたイニシアチブでは、2023年から2024年にかけて実施されたサイバーセキュリティ対策を一覧として見てとることができます。国務省によるInternational Cyberspace and Digital Policy Strategy、重要インフラ向けサイバーインシデント報告法(Cyber Incident Reporting for Critical Infrastructure Act:CIRCIA)最終規則案の公表、IoTサイバーセキュリティ・ラベリング制度の開始などは、本計画に基づいて実施されているものです。図表1はその取り組みの例です。
図表1:2023年公表の国家サイバーセキュリティ戦略実施計画の5つの柱
| Pillar1:重要インフラを防護する |
|
| Pillar2:脅威アクターを阻止・解体する |
|
| Pillar3:市場がセキュリティおよびレジリエンスを推進するように働きかける |
|
| Pillar4:レジリエントな将来に投資する |
|
| Pillar5:共通のゴールを目指すために国際パートナーシップを構築する |
|
そして、2024年5月、「米国サイバーセキュリティ態勢報告書(Report on the Cybersecurity Posture of the United States)」※5および2期目の実施計画として国家サイバーセキュリティ戦略実施計画バージョン2が公表されました。
同報告書は、国家サイバー長官の任務の一環として大統領および議会に対して毎年提出することが義務付けられているものであり(6 U.S.C. §1500 (c)(1)(C)(vi))、前述の実施計画などの連邦政府機関による国家サイバー政策と戦略の実施状況、米国のサイバーセキュリティ態勢、国家サイバー政策と戦略の有効性などを評価するものです。
同報告書では、2023年の環境として、従前からのサイバーセキュリティの課題に加えて、①重要インフラに対するリスクの増大、②ランサムウェアの脅威、③サプライチェーンの悪用、④商用スパイウェアの拡散、⑤AIによるサイバーセキュリティ・リスクの増大が5大トレンドとして列挙されました。また、2023年実施計画の進捗状況として36の取り組みのうち33が完了したとして、成果として、重要インフラを保護するためのサイバーセキュリティ要件の確立、連邦政府のサイバー防衛能力の連携強化、脅威情報の共有、連邦政府機関全体にわたるゼロトラストの実装、SBOMの推進、AI大統領令、国際的なランサムウェア対策、商用スパイウェアに対する対策、などを挙げています。
2023年の同計画書が65以上の取り組みについて説明していたのに対し、2024年の実施計画書バージョン2は100の取り組みを掲げています。新しく加わった取り組みの例は図表2のとおりです※6。
図表2:2024年公表の国家サイバーセキュリティ戦略実施計画バージョン2の5つの柱
| Pillar1:重要インフラを防護する |
|
| Pillar2:脅威アクターを阻止・解体する |
|
| Pillar3:市場がセキュリティおよびレジリエンスを推進するように働きかける |
|
| Pillar4:レジリエントな将来に投資する |
|
| Pillar5:共通のゴールを目指すために国際パートナーシップを構築する |
|
2.1.2 国務省によるInternational Cyberspace and Digital Policy Strategy
2024年5月、国務省は、「国際サイバースペース・デジタルポリシー戦略~革新的で安全、そして権利を尊重するデジタルの未来に向けて」※7を公表しました。これは、2022年10月の国家安全保障戦略および2023年国家サイバーセキュリティ戦略を受けたものであり、「デジタル連帯(digital solidarity)」をキーワードに新興国への支援、パートナーとの連携を図ろうとするものであり、4つの行動分野(action area)と23個の取り組み方針(line of efforts:LOE)で構成されます。図表3は取り組み方針の一部を抜き出したものです。
図表3:国際サイバースペース・デジタルポリシー戦略の行動分野
|
|
|
|
2.1.3 NSCによる重要インフラのセキュリティ・レジリエンスに関する国家安全保障覚書
2024年4月、国家安全保障会議(National Security Council:NSC)は、「重要インフラのセキュリティ・レジリエンスに関する国家安全保障覚書(National Security Memorandum on Critical Infrastructure Security and Resilience)※8」を公表しました。これは、2013年に公表された「重要インフラのセキュリティとレジリエンスに関する大統領政策指令21 (PPD-21)」※9に代わるものです。
同文書では、重要インフラのセキュリティ強化のための原則として、①行政・インフラの所有者・運営者間の責任の共有、官民連携、②リスクベースのアプローチ、③リスク管理の最低要件の策定と実施、④説明責任と執行メカニズム、⑤堅牢な環境による情報共有、⑦専門知識と技術リソースの活用、⑧国際的な関与、⑨政策の整合、を掲げ、その上で、「重要インフラのセキュリティ、レジリエンス、およびリスク管理に関する連邦政府の役割と責任を明確にする」、「重要インフラのセキュリティとレジリエンスに関する最低限の要件と説明責任のメカニズムを確立する」など8つの目標を掲げてます。
同文書では、上の原則および目標を達成するために、各省庁(特に国土安全保障省<DHS>およびセクターリスク管理省庁<SRMA。定義は後述>)の役割・責任を明記し、アセットレベルのリスク、国家にとって重大なリスク(nationally significant risk)、セクター固有のリスク、システミックかつセクター横断のリスクに分けて、セキュリティ・レジリエンスの最低要件を定めてリスク管理を行うこと、DHS長官が2年ごとに国家インフラリスク管理計画(National Infrastructure Risk Management Plan)を大統領に提出すること、重要インフラセキュリティ・レジリエンス国家コーディネータ(National Coordinator for the Security and Resilience of Critical Infrastructure)を担うこととなるCISA長官がセクター横断のリスク評価を実施すること、国家コーディネータが国家安全保障等への重要度に照らして「システム上重要なエンティティ(Systemically Important Entities:SIE)」のリストを作成すること(非公開)、重要インフラセクターにおけるインテリジェンス・情報共有のためのメカニズムを構築すること、それらの実施期限等を定めています。
なお、「セクターリスク管理省庁(Sector Risk Management Agency:SRMA)」とは、法律または大統領指令によって指定され、あらゆる危険環境において DHS と連携して指定された重要インフラセクターのプログラムおよび関連活動を主導、促進、サポートするとともに、各セクターの組織的知識と専門知識を提供する責任を負う連邦省庁または機関を指しています(公法 117–263 (6 U.S.C. 650))。
同文書で定められた重要インフラセクターとSRMAは図表4のとおりです。
図表4:重要インフラセクターとSRMAのマッピング
| 重要インフラセクター | SRMA |
| 化学 | DHS |
| 商業施設 | DHS |
| 通信 | DHS |
| 重要な製造業 | DHS |
| ダム | DHS |
| 防衛産業基盤(DIB) | 国防総省 |
| 緊急サービス | DHS |
| エネルギー | エネルギー省 |
| 金融サービス | 財務省 |
| 食糧および農業 | 農務省および保健福祉省(HHS) |
| 政府サービスおよび政府施設 | DHSおよび政府調達局 |
| 医療および公衆衛生 | HHS |
| 情報技術 | DHS |
| 原子炉、核物質、核廃棄物 | DHS |
| 交通システム | DHSおよび運輸省 |
| 上下水道 | 環境保護庁 |
2.1.4 サプライチェーンに関する大統領令第14123号
2024年6月、大統領令第14123号「サプライチェーン・レジリエンスに関するホワイトハウス評議会(White House Council on Supply Chain Resilience)」※10が発表されました。これは、2021年2月に公表された大統領令第14017号「アメリカのサプライチェーン(America’s Supply Chains)」※11を踏襲するもので、2023年11月に設立された同評議会について以下のとおり定めるものです。
- 同評議会の共同議長は、国家安全保障問題担当大統領補佐官(APNSA)および経済政策担当大統領補佐官(APEP)が務める。
- 同評議会は、長期的なサプライチェーンのレジリエンスと米国の産業競争力を強化するための連邦政府の取り組みを調整および促進し、過度の地理的集中やサプライヤー集中を含むサプライチェーンの不安定性、脅威、脆弱性に対処するための協調的な対応を特定して提供し、同盟国やパートナーと機関の連携を促進して、世界的なサプライチェーンのレジリエンスを高めることを目指し、そのために、データ収集と分析に関する各機関の協力と調整のための手順とベストプラクティスを勧告する、サプライチェーンのレジリエンスをサポートするために必要な予算およびその他のリソースを特定する、省庁間組織と調整する、などを実行する。
- 同評議会は、4年ごとに国家または経済の安全保障に重要な産業のサプライチェーンをレビューし、その報告書を大統領に提出する。初回の期限は2024年12月31日である。
2.1.5 サイバーセキュリティにかかる2026年度予算配分に関するOMB覚書
行政管理予算局(OMB)は、2024年7月、覚書M24-14「2026年度予算におけるサイバーセキュリティの優先事項(Administration Cybersecurity Priorities for the FY 2026 Budget)」※12を発行しました。本文書は、国家サイバーセキュリティ戦略の項目に基づいて、各省庁においてサイバーセキュリティに関して重点的に予算配分をすべき点を示したものです。例えば、関係省庁は、大統領令第14028号に基づき完全に成熟したゼロトラスト・アーキテクチャへの移行を実行する必要があること、移行が遅れている場合は政府管理のサイバーセキュリティ共有サービスを活用すべきこと、更新されたゼロトラスト実装計画を提出すべきこと、前述の国家安全保障覚書に基づきSRMAが責任と要件を満たすのに十分なリソースを確保し、セキュリティとレジリエンスに関する最低要件を策定すべきこと、政府が指定した最低限の安全なソフトウェア開発慣行に準拠していることを証明できるソフトウェア製造者によって提供されるソフトウェアのみを使用すべきこと、などとされています。
2.1.6 CISAによる各種戦略
CISAは、2024年において、例として、以下のような戦略・計画を公表しています。
- 連邦文民行政機関(FCEB)運用サイバーセキュリティ調整(Federal Civilian Executive Branch Operational Cybersecurity Alignment; FOCAL)計画※13(2024年9月)
- 2025-2026年度CISA国際戦略計画※14(2024年10月)
- 2024-2026年度CISAサイバーセキュリティ戦略計画※15(2024年11月)
このうち「2024-2026年度CISAサイバーセキュリティ戦略計画」の内容を紹介します。同計画は、2023年国家サイバーセキュリティ戦略(NCS)および2022年に公表された2023- 2025年度CISA戦略計画に沿って、図表5のように、ビジョンとミッションのもと、3つのゴールと各目標を推進していくものです。
図表5:CISA戦略計画のゴールと目標
2.2 サイバーセキュリティ関係の組織体制
サイバーセキュリティの政策決定、運用に重要な役割を担っている機関は図表6のとおりです。このうち、OMBとONCDは政策を、CISAは連邦文民行政機関(FCEB)におけるサイバーセキュリティの運用を担うというのが基本的な構図です。
ONCDは、大統領府内に設置され、サイバーセキュリティ政策と戦略に関する大統領の主任顧問として、国家サイバーセキュリティ戦略を含む国家サイバー政策・戦略の実施の調整を主導し、その進捗および国家サイバーセキュリティ態勢の現状について年に1回大統領および議会に対して報告をする役割を担います(6 U.S.C. §1500)。
図表6:サイバーセキュリティ政策に関わる主な機関
3 その他(AI)
3.1 米国におけるAI政策動向
米国では、2023年10月、「AIの安全、セキュアで信頼できる開発・使用(Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)」というタイトルの大統領令第14110号※16が発出されました。この大統領令は政府機関に対して、AIの使用について一定の義務を課すだけでなく、民間部門に対しても一定の義務を課すという内容のものでしたが2025年1月発足のトランプ政権により破棄されました※17。このように議会で包括的なAI規制法を定める動きは今のところないため、個別法対応であることには変わりありません。その後のAIに関する戦略等は以下のとおりです。
3.1.1 大統領令第14117号
2024年2月、大統領令第14117号「懸念国による米国人の大量の機密個人データおよび米国政府関連データへのアクセスの防止(Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)」※18が発表されました。
これは、生成AIの学習のために、米国人の機微な個人データおよび米国政府関連データが懸念国によってアクセス・収集されることを防ぐことを目的とし、国際緊急経済権限法(IEEPA)、国家緊急事態法(NEA)等を根拠法として、同データにかかる一定の取引を禁止または制限する、懸念国が所有管理する海底ケーブルの免許の適否について審査する、特に個人健康データやヒトゲノムデータなどに関連するヘルスケア市場の事業体について懸念国によるアクセスを可能にする援助の提供を禁止するための規制等を講じることを検討する、などを定めるものです。
3.1.2 OMB覚書M-24-10 ※19
OMB覚書M-24-10「政府によるAI使用のガバナンス・イノベーション・リスク管理を促進する(Advancing Governance, Innovation, and Risk Management for Agency Use of Artificial Intelligence)」※20が、2024年3月、正式に公表されました。同案における省庁に対する主要な要請、その期限等は図表7のとおりです。
図表7:OMBの覚書における各省庁に対する要請・期限
| テーマ | 内容 | 期限など |
| AIのガバナンスの強化 |
|
60日以内 |
|
60日以内 | |
|
180日以内 2036年まで2年ごと |
|
|
施行中 | |
| 責任あるAIイノベーションの推進 |
|
365日以内 |
| AIの使用によるリスクを管理 |
|
2024年12月1日まで |
|
少なくとも1年ごと 大きな変更後は必ず |
3.1.3 OMB覚書M-24-18 ※21
OMBは、AI大統領令に基づき、2024年9月、OMB覚書M-24-18「政府における責任あるAIの導入を推進する(Advancing the Responsible Acquisition of Artificial Intelligence in Government)」※22を公表しました。概要としては、前述のOMB覚書M-24-10に準拠する形で政府使用のAIを調達しなければならない、というものです。
3.1.4 その他のAIにかかる動き
前述のOMB覚書だけでなく、前述のAI大統領令に基づき、国立標準技術研究所(NIST)によるNIST SP800-218A「生成 AI とデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス(Secure Software Development Practices for Generative AI and Dual-Use Foundation Models)」※23の作成(2024年7月)、商務省によるIaaSに関するNPRM(規則案公告)「重大な悪意あるサイバー活動に関する国家緊急事態に対処するための追加措置の実施(Taking Additional Steps To Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities)」※24の公表(2024年1月)などの取組みが進められています。
また、DoDでは、2020年にはAI倫理原則(「責任」、「公平性」、「追跡可能」、「信頼できる」、「管理可能」という5つの原則を掲げる)※25、2022年にはDoD責任あるAI戦略および実装パスウェイ(DoD Responsible AI Strategy and Implementation (S&I) Pathway)※26を公表し、軍事分野でのAI戦略の実装を着々と進めています。
4 日本企業への示唆
米国では前述のようにIoTに関連するセキュリティ法規制も近年増えています。これは最終製品だけでなく、部品も含めたサプライチェーンに範囲が及ぶ法規制が増えていくことも示唆しています。日本企業にとってもある日突然、自社製品が規制対象になってしまうリスクがあるため、SBOM(ソフトウェア部品表)、HBOM(ハードウェア部品表)を使用して常時管理するなどの対策が必要になります。
※1 原文は、https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity
(2025年1月31日閲覧)
※2 NCSについては2023年報告書参照
※3 原文は、https://inl.gov/content/uploads/2023/08/National-Cybersecurity-Strategy-Implementation-Plan-WH.gov_.pdf
(2025年1月31日閲覧)
※4 2025年1月から政権が変わったため、本計画が今後1年ごとにアップデートされるか、計画の内容が予定どおりに遂行されるかについては今後の状況を見ていく必要があります。
※5 https://www.hsdl.org/c/view?docid=887913
(2025年1月31日閲覧)
※6 原文はhttps://bidenwhitehouse.archives.gov/wp-content/uploads/2024/05/National-Cybersecurity-Strategy-Implementation-Plan-Version-2.pdf
(2025年4月4日閲覧)
※8 原文は、https://www.govinfo.gov/app/details/DCPD-202400358
(2025年1月31日閲覧)
※9 原文は、https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil
(2025年1月31日閲覧)
※10 原文は、https://www.federalregister.gov/documents/2024/06/21/2024-13810/white-house-council-on-supply-chain-resilience
(2025年1月31日閲覧)
※11 原文は、https://www.federalregister.gov/documents/2021/03/01/2021-04280/americas-supply-chains
(2025年1月31日閲覧)
※12 原文は、https://bidenwhitehouse.archives.gov/wp-content/uploads/2024/07/FY26-Cybersecurity-Priorities-Memo_Signed.pdf(2025年1月31日閲覧)
※13 原文は、https://www.cisa.gov/sites/default/files/2024-09/FY2024%20FOCALPlanPublicVersion%20TLP%20Clear%20508.pdf
(2025年1月31日閲覧)
※14 https://www.cisa.gov/2025-2026-cisa-international-strategic-plan
(2025年1月31日閲覧)
※15 https://www.cisa.gov/sites/default/files/2025-01/FY2024-2026_Cybersecurity_Strategic_Plan508.pdf
(2025年1月31日閲覧)
※16 原文は、https://www.federalregister.gov/documents/2023/11/01/2023-24283/safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence
(2025年1月31日閲覧)
※17 https://www.whitehouse.gov/presidential-actions/2025/01/initial-rescissions-of-harmful-executive-orders-and-actions/
(2025年1月25日閲覧)
※18 原文は、https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related
(2025年1月31日閲覧)
※19 このOMB覚書は、トランプ大統領による大統領令第14179号「人工知能における米国のリーダーシップへの障壁を取り除く(原文:Removing Barriers to American Leadership in Artificial Intelligence)」により策定されたOMB覚書M-25-21「イノベーション、ガバナンス、公共の信頼を通じて連邦政府によるAIの活用を加速する(原文:Accelerating Federal Use of AI through Innovation, Governance, and Public Trust(2025年4月3日公表))」 によって破棄されました。新覚書M-25-21と旧覚書M-24-10の大きな違いは、①最低限のリスク管理プラクティスについて、旧覚書では「権利に影響するAI」と「安全性に影響するAI」に分けて規律されていたのに対して、新覚書では「影響度の高いAI(High-Impact AI)」にまとめられた点、②新覚書では最低限のリスク管理プラクティスがシンプル化されアルゴリズムによる差別の緩和等が削除された点、③旧覚書では「安全性に影響するAI」に気候や環境に影響するAIも含まれていたのが新覚書では削除されている点です。
※20 https://bidenwhitehouse.archives.gov/wp-content/uploads/2024/03/M-24-10-Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf
(2025年1月31日閲覧)
※21 この覚書も、2025年4月3日に公表されたOMB覚書M-25-22「政府における人工知能の効率的な導入を推進する(原文: Driving Efficient Acquisition of Artificial Intelligence in Government)」 によって破棄されています。概要としては、前述のOMB覚書M-25-21に準拠する形で政府使用のAIを調達しなければならないというものです。
※22 https://bidenwhitehouse.archives.gov/wp-content/uploads/2024/10/M-24-18-AI-Acquisition-Memorandum.pdf
(2025年1月31日閲覧)
※23 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-218A.pdf
(2025年1月31日閲覧)
※24 https://www.federalregister.gov/documents/2024/01/29/2024-01580/taking-additional-steps-to-address-the-national-emergency-with-respect-to-significant-malicious
(2025年1月31日閲覧)
※25 https://www.defense.gov/News/Releases/release/article/2091996/dod-adopts-ethical-principles-for-artificial-intelligence/
(2025年1月31日閲覧)
※26 https://media.defense.gov/2022/Jun/22/2003022604/-1/-1/0/Department-of-Defense-Responsible-Artificial-Intelligence-Strategy-and-Implementation-Pathway.PDF
(2025年1月31日閲覧)
※本稿は、アレシア国際法律事務所の有本真由弁護士に調査協力いただきました。
各国サイバーセキュリティ法令・政策動向
6 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
各国サイバーセキュリティ法令・政策動向シリーズ (3)シンガポール
各国サイバーセキュリティ法令・政策動向シリーズの第3回目として、シンガポールのデジタル戦略やサイバーセキュリティへの取り組みについて、最新情報を解説します。
Loading...
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
55 results
Loading...
中国「個人情報保護コンプライアンス監査管理弁法」の概説 個人情報保護コンプライアンス監査で注意すべき点
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
Loading...
インサイト/ニュース
40 results
Loading...
欧州NIS2指令に向けた日本企業の備え
欧州NIS2指令の概要から適用条件、求められる対応、違反時のリスクまでを体系的に解説し、日本企業が段階的に取り組むべき具体的な対応戦略をわかりやすく整理します。
欧州サイバーレジリエンス法概説――法規発効の経緯・目的と全要件適用までの動き
2024年12月に発効した「欧州サイバーレジリエンス法(CRA)」について、制定の背景や要件、スケジュール、罰則などを整理し、経営層も巻き込んだ実効的な対応のポイントを解説します。
中国「個人情報保護コンプライアンス監査管理弁法」の概説 個人情報保護コンプライアンス監査で注意すべき点
2025年5月1日に施行された中国の「個人情報保護コンプライアンス監査管理弁法」およびその別紙「個人情報保護コンプライアンス監査ガイドライン」について解説します。
欧州・日本の個人情報保護法規制の動向から紐解く、日本企業に求められるプライバシーガバナンスとは
西村あさひ法律事務所・外国法共同事業の石川智也氏と個人情報保護委員会の小川久仁子氏をお招きし、グローバルでの規制動向を踏まえ、日本企業が個人情報を適切に取り扱うためのリスク管理のあり方、求められるプライバシーガバナンスについて伺いました。
Loading...
