----------------------------------------------------------------------
JCICレポート 「サイバー攻撃での過失割合に指針を」（5/20配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・JCIC提言レポート 「サイバー攻撃での過失割合に指針を」
・シンガポール、AI安全研究の国際的指針「シンガポールコンセンサス」を発表
・英国NCSC、国家のサイバーレジリエンスを高めるための2つの取り組みを発表
・米国CISA、サイバー関連アラートの発信方法に関する声明
・欧州ENISA、NIS2指令に基づく欧州脆弱性データベースEUVDを発表
・韓国個人情報保護委員会、中国Temuに対して1億円超の課徴金

----------------------------------------------------------------------
【2】JCICレポート 「サイバー攻撃での過失割合に指針を」
----------------------------------------------------------------------
サイバー攻撃による損害は、自社だけでなく取引先にも広がり、賠償責任も過失割合の目安も不明確なことから、企業間に不必要な不安や恐怖を生じさせている。本稿では、この状況を打開するために、明確な指針に基づき、合理的な対策を相互に講じていれば損害を相互に負担するなどの「お互いさま精神」による協調的なアプローチを示した。対策への企業努力が正当に評価される安心感が提供され、強い志を持った企業が一丸となってサイバー攻撃という犯罪に立ち向かう機運の醸成が望まれる。そのような誠実な企業同士の信頼に基づいた強靭なビジネス関係の構築に有用と考えられるサイバー攻撃の過失割合の指針について論じる。

全文はJCICのウェブサイトから閲覧できます。
https://www.j-cic.com/reports.html#org_ovrvw1a

----------------------------------------------------------------------
【3】海外政策動向一覧
----------------------------------------------------------------------
2025年5月8日 シンガポール、AI安全研究の国際的指針「シンガポールコンセンサス」を発表
シンガポール情報通信メディア開発庁（IMDA）は、AIの安全性に関する国際的な技術的優先課題を定義する文書「シンガポールコンセンサス」を発表した。これは、同日に開催されたシンガポール人工知能会議（SCAI）において取りまとめられたものであり、11カ国から100名のAI研究者が参加した。参加国には、中国、米国、欧州諸国、日本などが含まれる。
本コンセンサスは、政策的議論は除外し「より信頼できる汎用AI」の実現を目的とした技術的課題に焦点を当てている。内容は国際AI安全報告書（IAISR）を参照し、多層防御モデルを基本構造として採用している。AI安全性の研究テーマは以下の3領域に分類された。
第1の領域「リスク評価課題」AIが引き起こし得る潜在的危害の深刻度と発生確率を評価し、対策の優先順位と対応閾値の判断を行うための基盤とされる。
第2の領域「開発課題」古典的な安全工学の枠組みに従い、望ましいAI行動の仕様定義、設計、検証プロセスが対象となる。
第3の領域「展開後の制御課題」AIシステムに対する監視・介入メカニズムの開発、AIエコシステム全体への監視の拡張、社会的・経済的インフラのレジリエンス強化に関する研究が含まれる。
https://www.imda.gov.sg/resources/press-releases-factsheets-and-speeches/press-releases/2025/top-scientific-minds-gathered-in-sg-to-advance-ai
https://www.scai.gov.sg/2025/scai2025-report

2025年5月8日 英国NCSC、国家のサイバーレジリエンスを高めるための2つの取り組みを発表
英国国家サイバーセキュリティセンター（NCSC）は、国家全体のサイバーレジリエンスを高める2つの新たな取り組み「CTRF」と「CyAS」を発表した。
「CTRF（Cyber Resilience Test Facilities）」は、製品のサイバーレジリエンスを一貫性のある構造化された方式で実証するための試験施設ネットワークの構築を目的とする。この施設群は、ベンダー製品に対する独立した評価・監査を可能とし、英国の官民組織における製品評価の信頼性向上を支援する。現在、全英規模で試験環境の整備が進行中だという。
第二の施策は「CyAS（Cyber Adversary Simulation）」は、対象企業に対して模擬サイバー攻撃を通じた防御・検知・対応能力の評価サービスを提供するもので、組織の実践的なレジリエンス能力を可視化することを目的とする。2025年夏の正式導入が予定されている。
https://www.ncsc.gov.uk/news/new-assurance-initiatives-boost-cyber-resilience
https://www.ncsc.gov.uk/schemes/cyber-resilience-test-facilities/introduction
https://www.ncsc.gov.uk/schemes/cyber-adversary-simulation-cyas

2025年5月13日 米国CISA、サイバー関連アラートの発信方法に関する声明
米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、サイバー関連の警告と通知に関する声明を発表した。セキュリティ担当者へより迅速かつ実用的な情報を提供するため、サイバー関連のアラートを通知・共有する方法を変更する方針を発表した。しかし、この変更がサイバーコミュニティ内で混乱を招いたことを認識し、利害関係者との最適な共有方法を再評価するため、即時の変更は一時停止されることとなった。
https://www.cisa.gov/news-events/news/cisa-statement-cyber-related-alerts-and-notifications

2025年5月13日 欧州ENISA、NIS2指令に基づく欧州脆弱性データベースEUVDを発表
欧州連合サイバーセキュリティ機関（ENISA）は、NIS2指令の要件に準拠した欧州脆弱性データベース（EUVD：European Vulnerability Database）の開発と運用を正式に発表した。
EUVDは、情報通信技術（ICT）製品およびサービスに関連するサイバーセキュリティ脆弱性について、緩和策・悪用状況・関連リスクなどの信頼性の高い実用的情報を集約・提供するものである。欧州域内のサイバーセキュリティ強化を目的とし、特に脆弱性の迅速な共有と管理の効率化を図る設計となっている。
ENISAは、米国のMITREが運営するCVE（共通脆弱性識別子）プログラムを含む、EU内外の関連機関との協力体制をすでに構築済しており、これにより国際的整合性を保つとしている。MITREに対するCVEプログラム資金提供の継続に関する最近の発表についても、ENISAはその影響評価と対応方針の策定に向けてMITREとの連絡を継続しているという。
https://www.enisa.europa.eu/news/consult-the-european-vulnerability-database-to-enhance-your-digital-security
https://euvd.enisa.europa.eu/

2025年5月15日 韓国個人情報保護委員会、中国Temuに対して1億円超の課徴金
韓国個人情報保護委員会（PIPC）は、中国のオンライン小売業者Temuが、同国の個人情報保護法に違反したとして処分を発表した。まず、個人情報の海外移転制限と住民登録番号の処理に関する規定違反に対し、課徴金13億6,900万円ウォン（約1.4億円）が課された。また、個人情報処理業務の委託と国内代理人の指定に関する規定違反により、罰金1,760万ウォン（約183万円）とTemu韓国法人を韓国内の代理人に指定することなどを求める是正命令及び改善勧告を告げた。
Temuは、商品販売額の一部を受け取るeコマースプラットフォーマーで、韓国では1日あたり平均2900万人のユーザが同サービスを利用しているという（2023年末調査）。通常、Temuは倉庫に保管されている販売商品を直接出荷するため、ユーザーの個人情報を販売者に提供する必要がないとされている。一方、韓国国外への商品配送にあたり中国・シンガポール・日本の事業者に個人情報処理を委託し、現地で保管していることをユーザーに開示・伝達していなかったほか、受託者は安全管理措置の管理・点検を行っていなかったことが問題とされた。また、委託先による安全管理措置の履行状況についても、管理および点検が不十分であったと認定された。
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11200

----------------------------------------------------------------------
【4】5月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年5月15日 Orca Security、クラウドセキュリティにエージェントAIを活用するOpusを買収
2025年5月15日 仏Ekinops、企業向けサイバーセキュリティソフトウェアプロバイダーOlfeoを買収