----------------------------------------------------------------------
英国政府、重要インフラ防衛を強化する新サイバーセキュリティ法案（11/18配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・英国ICO、公共部門のデータ保護更新で罰則より改善ををめざす規制方針を継続
・欧州データ保護監督機関、AIシステム導入時のデータ保護リスク管理ガイダンスを発表
・英国政府、重要インフラ防衛を強化する新サイバーセキュリティ法案

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年11月11日 英国ICO、公共部門のデータ保護更新で罰則より改善ををめざす規制方針を継続
情報コミッショナー事務局（ICO）は、公共部門向けのデータ保護規制を更新した。あわせて罰金の対象範囲に含まれる公共部門組織の定義を見直されている。
規制の更新内容は、懲罰的措置に先立つ改善策が重視され、公共サービスや市民への意図せざる影響の軽減、期待事項の明確化などが盛り込まれた。
データ保護強化で罰則よりも改善を重視するこのアプローチは、過去3年間にわたり試行されている。ICOは、警告や叱責、監査、ガイダンス提供などを通じて、公共機関が初期段階からデータ保護を組み込むよう支援。スコットランドでは、地方自治体との協働により情報開示請求の遵守率が大幅に向上したという。今後も透明性と説明責任を重視した運用が続けられる見通し。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/11/regulating-for-impact-with-our-public-sector-approach

2025年11月11日 欧州データ保護監督機関、AIシステム導入時のデータ保護リスク管理ガイダンスを発表
欧州データ保護監督機関（EDPS）は、欧州データ保護規則2018/1725に基づき、AIシステムを開発・調達・導入する際に管理者が実施するデータ保護リスク評価を支援するガイダンス文書を公表した。
欧州データ保護規則では、AIの開発・調達・導入には、プライバシーや基本的権利への重大なリスクが伴うとされ、GDPRに基づく説明責任が求められる。本ガイダンスでは、データ管理者として「公正性、正確性、データ最小化」の原則に関するリスクを技術的に軽減する方法を示している。また、すべてのデータ保護原則の遵守に関わる横断的な要素として、ISO 31000:2018に基づくリスク管理手法、AIシステムのライフサイクル、調達プロセス、そして「解釈可能性」と「説明可能性」の重要性が解説されている。
EDPSはこのガイダンスを、AI法に基づく市場監視の立場ではなく、データ保護監督機関として発行しており、AI法の規定からは独立したものであるとしている。
https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management-artificial-intelligence-systems_en

2025年11月12日 英国政府、重要インフラ防衛を強化する新サイバーセキュリティ法案
英国政府は、重要インフラ防護を強化する新たなサイバーセキュリティ法案「Cyber Security and Resilience Bill」を公表した。医療・交通・エネルギー・水道といった重要公共サービスをサイバー攻撃から強化保護する仕組みを整備する目的がある。
法案のポイントとして、まず中規模・大規模のIT管理事業者、ヘルプデスク、サイバーセキュリティ事業者などを含む「サービス提供業者」を規制対象に追加し、重大なサイバーインシデントの発生時に政府および顧客への迅速報告を義務付ける点が挙げられる。加えて、データセンターやスマート電力設備も規制対象に含められる。さらに、医療診断サービスを提供する企業や水道向け化学物質供給者など、サプライチェーンの弱点を突いた攻撃に備えるための「重要サプライヤー」を指定できる新たな制度を導入する。
また、現行の報告制度の改善点として、報告対象インシデントの範囲拡大に加え、規制当局とNCSCへの初期通知を24時間以内、その後72時間以内に完全な報告を行うことを義務付ける方針が示されている。
同法に違反した企業には売上高に応じた厳しい罰則を科し、国家サイバーセキュリティセンター（NCSC）への報告義務が盛り込まれる。英国政府は、同法が採択された場合、年間GDPの0.5%程度にあたる147億ポンド（約3兆円）相当のサイバー攻撃による経済的損失が抑制され、重要インフラの稼働維持と国家安全保障の強化が図られるとしている。
https://www.gov.uk/government/news/tough-new-laws-to-strengthen-the-uks-defences-against-cyber-attacks-on-nhs-transport-and-energy
https://www.gov.uk/government/collections/cyber-security-and-resilience-bill
https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/42577/

----------------------------------------------------------------------
【3】11月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年11月7日 インドHexaware Technologies、Cyber​​Solve買収でAIを活用したIDセキュリティを強化