----------------------------------------------------------------------
欧州ENISA、商業衛星運用のセキュリティ強化に向けた包括的レポートを発行（4/1配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・中国CAC、「顔認証技術アプリの安全管理弁法」を交付 6月1日より施行
・インターポール、アフリカ諸国のサイバー犯罪組織を大規模摘発
・欧州ENISA、商業衛星運用のセキュリティ強化に向けた包括的レポートを発行
・英国ICO、2022年のランサムウェア攻撃によるソフトウェアプロバイダへの罰金を確定

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年3月21日 中国CAC、「顔認証技術アプリの安全管理弁法」を交付 6月1日より施行
中国国家インターネット情報弁公室（CAC）は公安省と共同で、「顔認証技術アプリの安全管理弁法」を交付した。顔認証技術の運用に関する法的枠組みを定め、特に顔情報の取扱要件および違反時の罰則を明文化したもの。2025年6月1日からの施行となる予定。
本弁法では、業務目的の達成が顔認証以外の手段で可能な場合、顔認証技術を唯一の認証手段として使用することが禁止される。また、身元確認・個人識別に際しては、中国の人口情報データベースや公的な身元認証サービスの活用が推奨されており、公共空間における顔認識機器の設置は公共安全維持の目的に限定される。顔情報の処理には、本人の自発的かつ明示的な同意が必要とされ、同意がない場合においては、収集済み顔情報のインターネットを通じた外部送信は明確に禁止される。また、顔認証システムには、データ暗号化、アクセス制御、権限管理、セキュリティ監査、侵入検知および防御といった多層的なセキュリティ対策が義務付けられる。
また、顔認証技術アプリにより保存される顔情報が10万人分に達した場合、情報処理者はその日から30営業日以内に省レベル以上のインターネット情報弁公室への届出が求められる。
https://www.cac.gov.cn/2025-03/21/c_1744174262342111.htm

2025年3月24日 インターポール、アフリカ諸国のサイバー犯罪組織を大規模摘発
インターポールはアフリカ7カ国（ベナン、コートジボワール、ナイジェリア、ルワンダ、南アフリカ、トーゴ、ザンビア）の当局と共同で実施したサイバー犯罪撲滅作戦「Red Card」の成果を発表した。本作戦は2024年11月から2025年2月にかけて実施され、合計306人の容疑者が逮捕され、1,842台の電子機器が押収された。
Red Card作戦の主たる目的は、国境を越えて活動するサイバー犯罪ネットワークの遮断および解体であり、特にモバイルバンキング詐欺・投資詐欺・メッセージングアプリを介した詐欺行為を標的としていた。押収・分析された証拠からは、5,000人以上の個人が被害を受けていたことが分かった。
作戦に先立ち、参加国間で犯罪に関する情報交換が行われ、これにより標的特定と捜査の効率化が図られた。また、インターポールは民間のセキュリティ企業であるGroup-IB、カスペルスキー、トレンドマイクロと協力し、これらの企業が提供する脅威インテリジェンスを基に犯罪手口の解析を進めた。
https://www.interpol.int/News-and-Events/News/2025/More-than-300-arrests-as-African-countries-clamp-down-on-cyber-threats

2025年3月26日 欧州ENISA、商業衛星運用のセキュリティ強化に向けた包括的レポートを発行
欧州連合サイバーセキュリティ機関（ENISA）は、商業衛星運用におけるサイバーセキュリティ確保を目的としたレポート「From Cyber to Outer Space: A Guide to Securing Commercial Satellite Operations」を公開した。商業衛星を取り巻く既存および新興の脅威を体系的に特定・評価し、それに対応するための包括的なアプローチが提示されている。
特に、衛星のライフサイクル全体（開発、展開、運用、廃止）にわたるセキュリティ上の課題が取り上げられ、それぞれの段階に関与する利害関係者の役割にも焦点が当てられている。加えて、衛星関連資産の分類、宇宙に固有の脅威の概要、およびそれに対応する脅威分類の提示がなされている。レポート内では、特定された脅威に対応するための4つのリスクシナリオが構築され、それに基づいたリスク評価分析結果が示されている。
https://www.enisa.europa.eu/news/from-cyber-to-outer-space-a-guide-to-securing-commercial-satellite-operations

2025年3月27日 英国ICO、2022年のランサムウェア攻撃によるソフトウェアプロバイダへの罰金を確定
英国情報コミッショナーオフィス（ICO）は、2022年に発生したランサムウェア攻撃事案に関連し、重大なセキュリティ違反があったと認定されたソフトウェアプロバイダに307万ポンド（約6億円）の罰金を科したことを公表した。当該企業は、イングランドの国民健康保険サービス（NHS）および他の医療機関向けにソフトウェアサービスを提供しており、本件では約8万人の個人情報が流出した。
このセキュリティ侵害は、NHS職員による患者記録へのアクセスを一時的に不可能とするなど、医療サービス提供に深刻な影響を及ぼした。加えて、介護サービス利用者890名分の機密情報が流出し、不正侵入などの物理的脅威をも引き起こし得る状況が発覚した。
当初ICOは609万ポンド（約12億円）の制裁金を科す方針であったが、企業側の異議申し立てを受けて最終的に金額が減額された。問題の発端は2022年8月に発生したランサムウェア攻撃であり、多要素認証が未導入であった顧客アカウントを通じて攻撃者がシステムに侵入した。一方、当該企業においても脆弱性スキャンの実施が不十分であり、パッチ管理も適切に行われていなかったと判断された。
ICOは、特に機密性の高い情報を取り扱う組織に対し、強固で多層的なサイバーセキュリティ対策の実装が不可欠であると改めて注意喚起した。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/03/software-provider-fined-3m-following-2022-ransomware-attack/

----------------------------------------------------------------------
【3】3月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年3月6日 米Armis、OT/ICSセキュリティソリューションのOTORIOを買収
2025年3月11日 米国ZehnTek、BossNine Technologies買収でサービスポートフォリオを強化
2025年3月19日 Google、クラウドセキュリティのWizと320億ドル（約4.8兆円）での買収合意を発表