----------------------------------------------------------------------
国際プライバシー専門家協会、EU法インシデント報告義務概説書を公開（4/15配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・韓国国家情報院、医療機関向け情報システムセキュリティガイドラインを公開
・米国CISA、サイバー犯罪者が利用する技術「Fast Flux」に関するアドバイザリを発行
・英国NCSCら、スパイウェアによるデジタル監視脅威への対応ガイダンスを公開
・国際プライバシー専門家協会、EU法インシデント報告義務概説書を公開

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年4月3日 韓国国家情報院、医療機関向け情報システムセキュリティガイドラインを公開
韓国国家情報院（NIS）は、医療機関向けの情報システムを保護するための「情報システムセキュリティガイドライン」を公開した。
同院によれば、近年、北朝鮮のサイバー攻撃グループが韓国国内の医療情報システムに対し執拗な侵入行為を続けており、医療分野における情報および技術の窃取が顕著に増加しているという。北朝鮮は、2025年を「保健革命の元年」と位置づけ、韓国のバイオ医療機関に対する攻撃を戦略的に強化し、医療関係者を標的としたフィッシングメールの大量送信や、研究・診療システムへの攻撃が確認されているという。
このような脅威を受け、NISが策定した本ガイドラインでは、外部連携システム、患者ポータル、臨床情報システムなど6つの主要領域にわたり、セキュリティモデル標準が提示されている。
https://www.nis.go.kr/CM/1_4/view.do?seq=344
https://www.nis.go.kr/resources/synap/skin/doc.html?fn=NIS_FILE_1743669361569

2025年4月3日 米国CISA、サイバー犯罪者が利用する技術「Fast Flux」に関するアドバイザリを発行
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、国家安全保障局（NSA）および複数の国際機関と連携し、サイバー犯罪者が用いる「Fast Flux」技術に関するサイバーセキュリティアドバイザリを発表した。悪意あるサイバー攻撃者による「Fast Flux」を利用した活動が、継続的に検知技術を回避している現状に対する注意喚起をしている。
「Fast Flux」は、DNSレコードを短時間で頻繁に切り替えることで悪意のあるサーバーの実体を隠蔽する技術であり、ボットネットの運用やマルウェア配信に広く用いられている。特にこの手法は、国家関与が疑われる攻撃者や犯罪組織により利用されていると報告されている。
本アドバイザリでは、インターネットサービスプロバイダー（ISP）およびサイバーセキュリティサービス提供者に対し、Fast Flux技術の検出と遮断を強化する多層的アプローチの実装を推奨している。具体的には、DNSトラフィックの可視化、異常通信のパターン分析、IPレピュテーションデータの活用などが対策として挙げられている。特にPDNS（プロテクティブDNS）プロバイダーに対し、顧客と連携してFsat Flux活動の検出を支援する多層アプローチを実装することを推奨している。
https://www.cisa.gov/news-events/news/cisa-and-partners-issue-fast-flux-cybersecurity-advisory
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-093a

2025年4月9日 英国NCSCら、スパイウェアによるデジタル監視脅威への対応ガイダンスを公開
英国国家サイバーセキュリティセンター（NCSC）は、英国サイバーリーグの支援を受け、複数の国際パートナーと共同でスパイウェアアプリによるデジタル監視の脅威から個人を保護するための包括的なガイダンスを発表した。
本ガイダンスの目的は、台湾やチベット、民主化運動などのセンシティブな問題に関与する個人を対象とする監視活動のリスクについて、関係するコミュニティの認識を高めることにある。特に、国家主体と見られる攻撃者が用いたスパイウェアの詳細が新たに共有されており、個人のプライバシーと安全に重大な影響を及ぼす懸念が強調されている。
本アドバイザリには、「BADBAZAAR」および「MOONSHINE」と呼ばれる2種のスパイウェアに関するケーススタディが含まれており、中国政府と関係のあるとされる攻撃者が、スマートフォン等のモバイルデバイスに保存された個人情報や行動履歴を不正に収集する手口の解説とセキュリティ対策のためのガイダンスが提供されている。
https://www.ncsc.gov.uk/news/ncsc-partners-share-guidance-for-communities-at-high-risk-of-digital-surveillance
https://www.ncsc.gov.uk/news/advisory-badbazaar-moonshine

2025年4月10日 国際プライバシー専門家協会、EU法インシデント報告義務概説書を公開
国際プライバシー専門家協会（IAPP）は、EU法に基づくインシデント報告義務要件を体系的に概説した文書を公開した。本資料は、GDPR、法執行指令、eプライバシー指令、データガバナンス法、データ法、NIS2指令、サイバーレジリエンス法、AI法といった主要な法令を対象としている。
同文書はチャート形式を採用しており、インシデントの主体、種類、影響範囲等の変数に応じて、該当法令が適用されるか否か、また適用される場合の報告義務（通知対象者、ユーザー、監督当局、その他関連機関、報告期限等）を迅速に判別することが可能である。
IAPPは、本概説書は組織がインシデント対応体制を整備するうえでの実務的な指針として活用できる設計であり、特に複数の規制対象となる事業者にとって報告義務の重複回避およびタイムライン管理に資するものであるとしている。
https://iapp.org/resources/article/incident-notification-requirements-eu-laws/
https://iapp.org/media/pdf/resource_center/incident_notification_sharing_requirements_eu_laws.pdf

----------------------------------------------------------------------
【3】4月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年4月3日 Hornetsecurity、仏大手メールセキュリティプロバイダーAltospamを買収