----------------------------------------------------------------------
欧州理事会、GDPR違反等の越境苦情処理を迅速化する新規則を採択（12/2配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・ユーロポール、国際共同作戦により大量のサイバー犯罪インフラを停止
・欧州理事会、GDPR違反等の越境苦情処理を迅速化する新規則を採択
・米国財務省ら、ロシアのサイバー犯罪支援インフラ事業者に対する共同制裁を発表
・中国当局、IoT製品向けのサイバーセキュリティラベル制度案を公開

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2025年11月13日 ユーロポール、国際共同作戦により大量のサイバー犯罪インフラを停止
ユーロポールは、11月10日から13日にかけて実施した国際共同捜査「エンドゲーム作戦（Operation Endgame）」の最新フェーズにおける成果を発表した。今回の作戦では、情報窃取マルウェア「Rhadamanthys」、リモートアクセス型トロイの木馬（RAT）「VenomRAT」、ボットネット「Elysium」などの主要なサイバー犯罪インフラを標的とし、世界中で1,025台以上のサーバーを停止、20のドメインを押収した。
捜査はユーロポール本部で調整され、ドイツ・ギリシャ・オランダの計11か所で家宅捜索が行われたほか、ギリシャではVenomRATの主要な運営者とみられる容疑者1名が逮捕された。停止されたインフラは、数十万台のコンピュータを感染させ、数百万件の認証情報を窃取するために利用されていたとされる。また、犯行グループは被害者の暗号資産ウォレットにもアクセスし、数百万ユーロ（約数億円）相当の資産を窃取していた可能性があるという。
今回の作戦には、EU加盟国のほか、米国、カナダ、オーストラリアなどの法執行機関が参加し、多数の民間セキュリティ企業も協力した。ユーロポールは、引き続きサイバー犯罪のエコシステム全体に対する圧力を維持する方針を示している。
https://www.europol.europa.eu/media-press/newsroom/news/end-of-game-for-cybercrime-infrastructure-1025-servers-taken-down

2025年11月17日 欧州理事会、GDPR違反等の越境苦情処理を迅速化する新規則を採択
欧州理事会は、一般データ保護規則（GDPR）の執行における各国のデータ保護機関（DPA）間の協力を強化し、国境を越えた苦情処理を迅速化するための新規則を採択した。この規則は、GDPRの運用において加盟国間で生じていた手続き上の差異を埋め、複雑な越境事案であっても効率的に調査・解決を行うことを目的としている。本規則は、EU官報への掲載から20日後に発効し、実務への適用は15カ月後から開始される予定である。
新規則により導入される主な措置は以下の4点。
・苦情受理基準の調和：国境を越えた苦情として受理されるために必要な情報の様式を統一し、各国の判断基準のばらつきを排除する。
・手続き上の権利の強化：苦情申立人が手続きに関与する権利や、調査対象者が予備的な調査結果に対して意見を述べる権利などを共通ルールで保障する。
・協力手続きの合理化：軽微な事案や友好的な解決が可能な事案については、手続きを簡素化し迅速な解決を図る。
・厳格な調査期限の設定：調査完了までの期限を原則として15カ月以内、複雑な事案の場合は最大27カ月以内と定める。また、簡易手続きの場合は12カ月以内とする。
https://www.consilium.europa.eu/en/press/press-releases/2025/11/17/council-adopts-new-eu-law-to-speed-up-handling-cross-border-data-protection-complaints/

2025年11月19日 米国財務省ら、ロシアのサイバー犯罪支援インフラ事業者に対する共同制裁を発表
米国財務省外国資産管理局（OFAC）は、オーストラリア外務貿易省および英国外務・英連邦・開発省と連携し、ロシアを拠点とする防弾ホスティング事業者「Media Land」およびその関連組織に対し、サイバー犯罪を支援したとして制裁を科すことを発表した。これらの事業者は、ランサムウェアグループ「LockBit」などに活動基盤を提供し、DDoS攻撃などの悪意ある活動を容易にしていたとされる。
今回の措置では、Media Landの経営陣に加え、姉妹会社の「ML Cloud」、関連企業の「MLT」および「DC Kirishi」が指定された。またOFACは、既に制裁対象となっている「Aeza Group」による制裁回避活動も摘発した。同グループはブランドの偽装やフロント企業「Hypercore」を利用して活動を継続していたとして、これに関与した関係者や関連企業「Smart Digital」「Datavice」も新たに制裁リストに追加された。これにより、指定された個人および団体の米国内にある資産は凍結され、米国人によるこれらとの取引は原則として禁止される。
https://home.treasury.gov/news/press-releases/sb0319

2025年11月21日 中国当局、IoT製品向けのサイバーセキュリティラベル制度案を公開
中国国家インターネット情報弁公室（CAC）と工業情報化部（MIIT）は、インターネット接続製品を対象とした「サイバーセキュリティラベル管理弁法（案）」および「実施製品目録（案）」を公開した。本制度は、製品のセキュリティ能力を可視化することで信頼性を高め、消費者がより安全な製品を選択できるよう誘導することを目的としている。
制度への参加はメーカーの任意とされる。公開された案の主なポイントは以下の通り。
・ラベルの分類：セキュリティ能力に応じて「基本」「強化」「先進」の3段階のラベルが設定される。このうち「先進」レベルの取得には、第三者機関によるセキュリティ認証が必須となる。
・管理体制：CACとMIITが制度全体を統括し、中国電子技術標準化研究院（CESI）がラベルの登録管理や違反処理の実務を担当する。
・罰則規定：ラベルの偽造や、ラベル取得製品と偽る虚偽宣伝に対しては、関連法規に基づく厳格な処罰が行われる。
https://www.cac.gov.cn/2025-11/21/c_1765450099503494.htm

----------------------------------------------------------------------
【3】11月のM&A/IPO情報詳細
----------------------------------------------------------------------
2025年11月7日 インドHexaware Technologies、Cyber​​Solve買収でAIを活用したIDセキュリティを強化