----------------------------------------------------------------------
米国ホワイトハウス、国家サイバーセキュリティ戦略を一部修正する大統領令を公表（6/17配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・英国ICO、データ保護規則違反でロンドン市議会およびマンチェスター警察に注意処分
・中国国家インターネット弁公室、顔認証技術の申請要件を公開
・中国国家インターネット弁公室、インターネット情報部門の行政処罰裁量基準に意見募集
・米国ホワイトハウス、国家サイバーセキュリティ戦略を一部修正する大統領令を公表
・香港個人情報保護局、従業員による生成AI利用に関するチェックリストの活用を推奨
・インターポール、情報窃盗に関連する2万以上の悪質なIPアドレスとドメインを停止
・ユーロポール、2025年版インターネット組織犯罪脅威評価（IOCTA）を公表

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年5月21日 英国ICO、データ保護規則違反でロンドン市議会およびマンチェスター警察に注意処分
英国の情報コミッショナー（ICO）は、英国一般データ保護規則（UK GDPR）違反に関する2件の事案について、ハマースミス＆フルハム・ロンドン評議会およびグレート・マンチェスター警察に対してそれぞれ注意処分を下した。
第一の事案は、2021年10月に情報公開サイト「WhatDoTheyKnow」からの要請にロンドン評議会が回答した際、添付したスプレッドシート内に保護対象である子どもや難民申請中の未成年者を含む機密情報が誤って含まれていたというものである。このデータ漏洩は2023年11月に発覚し、対象となった個人は計6,528人に及び、そのうち2,342人が子どもであった。漏洩は約2年間にわたり放置されていた。ICOは、資料公開時の承認チェックリストの導入、公開資料のレビュー体制の整備、職員研修の継続実施といった改善の必要性を指摘した。
第二の事案は、2021年2月に48時間拘留された人物に関するCCTV映像の提供遅延とその管理体制の不備に関するもの。映像は通常の保存期間である90日を超えて保持されており、さらに一部映像は消失し復元不能となっていた。この件は2023年9月にグレート・マンチェスター警察よりICOに自己申告された。ICOは、データ保存および管理ポリシーの欠如、監視システムの強化不足、ならびにアクセス制御の改善の必要性を指摘した。
両事案を通じて、ICOは公的機関による個人情報の取扱いに対する法的責任の重さを改めて強調し、再発防止策の実行を厳しく求めている。
https://ico.org.uk/action-weve-taken/enforcement/2025/05/london-borough-of-hammersmith-and-fulham/
https://ico.org.uk/action-weve-taken/enforcement/2025/05/greater-manchester-police/

2025年5月30日 中国国家インターネット弁公室、顔認証技術の申請要件を公開
中国国家インターネット情報弁公室（CAC）は、「顔認証技術申請セキュリティ管理弁法」に基づく顔認証技術の使用に関する申請と管理の要件を正式に発表した。
新たな規定により、顔認識技術を利用して処理・保存される顔情報が10万人分に達した個人情報処理者は、所在地の省級インターネット情報管理機関に対して届出を行う義務が生じる。
対象となる処理者は、2025年6月1日以降に顔情報の保存数が10万人分に到達した場合、到達した日から30営業日以内に届出を完了しなければならない。また、登録済み情報に実質的な変更が生じた場合も、変更日から30営業日以内に変更手続きを行うことが求められる。2025年6月1日以前にすでに10万人分の顔情報を保存している処理者については、2025年7月14日までに遡及的な届出を行う必要があるとされている。
届出手続きは、CACが指定する「個人情報保護業務システム（PIPIS）」ウェブサイトを通じて行う形式となっており、オンラインによる手続きを案内している。
https://www.cac.gov.cn/2025-05/30/c_1750315544241157.htm

2025年5月30日 中国国家インターネット弁公室、インターネット情報部門の行政処罰裁量基準に意見募集
中国国家インターネット情報弁公室（CAC）は、インターネット情報部門による行政処罰に関する裁量基準の規定案を公表し、一般からの意見募集（パブリックコメント）を開始した。
本規定案は、行政処罰の裁量基準を5段階に分類しており、①処罰なし（違反が軽微で即時に是正された場合）、②軽減処罰（違反の影響が軽微で、当事者が積極的に協力した場合）、③軽度処罰（通常の処罰範囲内で軽度の措置）、④通常処罰（標準的措置。特段の事情がない場合）、⑤重度処罰（悪質・反復的な違反や重大な危害を引き起こす行為）とされている。
処分の判断には、違反の事実、性質、情状、社会的危害の程度、及び主観的過失の有無が総合的に考慮される。また、法人に加え、その責任者も処罰の対象とされることが明示されている。
罰金額については、②および③に該当する場合は法定上限額の30%未満、④は30%以上70%未満、⑤は70%以上と定められ、違反の実態および経済的状況に応じて10%の範囲で調整が可能とされている。サイバーセキュリティ義務や個人情報保護義務に対する重大な侵害、大規模な社会的混乱を招いた行為、違法行為の教唆・強要、証拠の隠蔽・改ざんなど、社会的影響の大きい悪質な違反は⑤の重度処罰に分類される。
https://www.cac.gov.cn/2025-05/30/c_1750315544142395.htm

2025年6月6日 米国ホワイトハウス、国家サイバーセキュリティ戦略を一部修正する大統領令を公表
米国ホワイトハウスは、トランプ大統領が新たな大統領令に署名し、国家サイバーセキュリティの強化を目的とする厳選された施策の維持と過去の大統領令の一部修正を行うと発表した。外国からのサイバー脅威からの保護を国家サイバー安全保障政策の主眼とし、安全な技術慣行の徹底と制度改革を通じた防衛力の向上を目指す。加えて、過去の大統領令13694号（オバマ政権）および14144号（バイデン政権）に含まれるサイバー政策の見直しと修正を行い、イノベーション促進のメッセージを強化している。
具体的には、不法移民が政府発行の身分証明書を用いることで公的サービスの不正受給が可能となる懸念から、当該IDの対象から不法移民を除外する規定を導入している。また、AI利用に関する定義を「検閲」から「脆弱性管理」へと再定義し、コンテンツ統制による言論の自由の侵害や技術革新の阻害を回避する観点が強調された。さらに、次世代型のコンピュートアーキテクチャに基づく高度なサイバー脅威への備えとして、ポスト量子暗号（Post-Quantum Cryptography：PQC）の導入を各省庁に対して指示した。これにより、量子計算時代における暗号脆弱性の克服を目指すとしている。
この他にも、サイバーセキュリティ政策の普及を目的とした技術的措置の推進も盛り込んでおり、国内のセキュリティ基準の見直しおよび法制度との整合性の強化を図る内容となっている。
https://www.whitehouse.gov/presidential-actions/2025/06/sustaining-select-efforts-to-strengthen-the-nations-cybersecurity-and-amending-executive-order-13694-and-executive-order-14144/
https://www.whitehouse.gov/fact-sheets/2025/06/fact-sheet-president-donald-j-trump-reprioritizes-cybersecurity-efforts-to-protect-america/

2025年6月9日 香港個人情報保護局、従業員による生成AI利用に関するチェックリストの活用を推奨
香港の個人情報保護局（PCPD）は、企業における生成AIの利用に関する注意喚起を発出し、従業員が適切な指導を受けずに生成AIを使用することで組織に重大な損害を与える可能性があると警告した。
本注意喚起は、2025年2月から5月にかけて実施された60組織を対象とするAI使用状況調査の結果に基づいており、全体の80%が日常業務でAIを使用している実態が明らかになった。
PCPDは、生成AI利用に関する組織的な方針と内部指針の策定を強調するとともに、「従業員による生成AI利用のためのチェックリスト」の活用を推奨した。同チェックリストは次の5分野を中心に構成されている：①生成AIの利用許可範囲、②個人情報の保護、③合法かつ倫理的な利用および偏見の防止、④データセキュリティ、⑤ポリシー違反に対する対応
特に、顧客情報や業務上の内部情報など、生成AIに入力可能な情報の種類とその量を明確にする必要性が強調されている。また、情報主体の同意なしに生成AIへ個人情報を入力することによる利用目的の逸脱や、匿名化・仮名化処理の適切な実施についても留意を求めている。実践にあたっては、組織としてAI戦略の明文化し、全社的なAIガバナンス体制を構築したうえで管理職レベルでの監督責任を強化することを提案している。
https://www.pcpd.org.hk/english/whatsnew/files/RTHKHongKongLetter_20250607_FINAL.pdf
https://www.pcpd.org.hk/english/resources_centre/publications/files/guidelines_ai_employees.pdf

2025年6月11日 インターポール、情報窃盗に関連する2万以上の悪質なIPアドレスとドメインを停止
国際刑事警察機構（インターポール）は、情報窃盗に関連する悪質なサイバーインフラを対象とした国際共同作戦「Operation Secure」を主導し、2万件を超える悪質なIPアドレスおよびドメインの停止に成功したと発表した。
本作戦では、26か国の法執行機関との連携に加え、ロシアのGroup-IBおよびカスペルスキー、日本のトレンドマイクロといった民間のサイバーセキュリティ企業とも連携し、情報窃取型マルウェア（インフォスティーラー）に関連する活動の実態を分析。作成されたサイバー活動報告書はアジア各国のサイバー対策チームと共有され、広域対応が実施された。
作戦の成果として特定された悪質なIPアドレスのうち79%が削除され、41台のサーバーと100GB超のデータが押収された。さらに、違法なサイバー活動に関与したとされる32人の容疑者が各国で逮捕されたと報告されている。日本からも警察庁が正式に参加しており、サイバー特別捜査部および18の都府県警察が連携して対応したことが公表されている。
https://www.interpol.int/News-and-Events/News/2025/20-000-malicious-IPs-and-domains-taken-down-in-INTERPOL-infostealer-crackdown
https://www.npa.go.jp/news/release/2025/20250610002.html

2025年6月11日 ユーロポール、2025年版インターネット組織犯罪脅威評価（IOCTA）を公表
欧州刑事警察機構（ユーロポール）は、2025年版「インターネット組織犯罪脅威評価（IOCTA）」を公表し、デジタル犯罪の現状と将来的な脅威動向について警鐘を鳴らした。
同報告書によれば、盗まれたデータは現在、オンライン詐欺、ランサムウェア、児童搾取、恐喝など、多岐にわたるサイバー犯罪エコシステムの中核的資源となっており、犯罪の継続的な拡大を支える経済的原動力として機能している。特に注目されるのは、生成AIの普及によってソーシャルエンジニアリング攻撃が高度化し、偽装の精度やもっともらしさが向上している点である。これにより、個人や企業に対する詐欺的手法の成功率が増加しているとされる。
また、データは単なる「標的」ではなく「商品」として取引されており、「犯罪のサービス化（Crime-as-a-Service）」モデルが拡大。アクセス認証情報、企業ネットワーク、個人ログイン情報などが大規模に流通しており、犯罪者による即時の利用が可能な状況となっている。
このような背景を踏まえ、ユーロポールはEU加盟国に対し、暗号化通信（E2EE）に対する合法的アクセスの枠組みの導入、ログ保存・データ保持に関するルールの統一化、さらに若年層を対象としたデジタルリテラシー教育の強化といった包括的な政策対応を提言している。
https://www.europol.europa.eu/media-press/newsroom/news/steal-deal-repeat-cybercriminals-cash-in-your-data

----------------------------------------------------------------------
【3】5月から6月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年5月15日 Orca Security、クラウドセキュリティにエージェントAIを活用するOpusを買収
2025年5月15日 仏Ekinops、企業向けサイバーセキュリティソフトウェアプロバイダーOlfeoを買収
2025年5月21日 ProofPoint、コンプライアンス対応を支援するAI企業Nucleiを買収
2025年5月22日 Fortinet、イスラエルのSaaS保護スタートアップ企業Suridataを買収
2025年5月27日 Check Point、自動脅威緩和プラットフォームを提供するVeritiを買収
2025年5月27日 ZScaler、MDRサービスのRed Canary買収でAI駆動型セキュリティ強化
2025年5月28日 Netskope、5億ドル（約720億円）以上の資金調達を目指す米国内のIPOを準備
2025年5月29日 Tenable、Apex Security買収でAIセキュリティ対策を強化
2025年6月2日 F5、AIエージェントスタートアップのFletch買収
2025年6月5日 Netgear、Exiumの買収で中小企業向けSASEソリューションを拡充