----------------------------------------------------------------------
ユーロポール、金融機関向けにポスト量子暗号移行の優先順位付けフレームワークを発表（2/3配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・ユーロポール、金融機関向けにポスト量子暗号移行の優先順位付けフレームワークを発表
・シンガポール、エージェント型AI向けガバナンスフレームワークを公表
・中国、金融情報サービスのデータ分類・分級ガイドラインの草案を公表
・米調査団体、2025年の年間データ漏洩報告を発表
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2026年1月21日 ユーロポール、金融機関向けにポスト量子暗号移行の優先順位付けフレームワークを発表
欧州警察機構（Europol）は、FS-ISACらと共同で、ポスト量子暗号（PQC）への移行計画を策定するための実務的なフレームワークを発表した。将来の量子コンピュータによる暗号解読リスクへの対策として、金融サービス分野がポスト量子暗号（PQC）への移行を計画的に進めるための実用的な優先順位付け手法を提示している。
本フレームワークでは、データの機密性、公開範囲、潜在的な影響などに基づく「量子リスク」と、実装に必要な時間・コスト・外部依存性などを評価する「移行時間」の2軸で優先度を決定する枠組みを示している。早期に実施可能な「ノーリグレット（後悔のない）」対策として、ハイブリッド暗号の導入や旧式暗号の排除、公開Webサービス保護の強化などが例示されている。同報告は、複数企業・団体の協力で作成され、金融エコシステム全体で意思決定や統一的な対応を促すことを目的としている。
https://www.europol.europa.eu/media-press/newsroom/news/joint-report-outlines-practical-approach-to-prioritising-post-quantum-cryptography-migration-in-financial-services
https://www.europol.europa.eu/cms/sites/default/files/documents/Post-quantum-cryptography-report.pdf

2026年1月22日 シンガポール、エージェント型AI向けガバナンスフレームワークを公表
シンガポール情報通信メディア開発庁（IMDA）は22日、自律的に思考・行動するエージェント型AIの安全な導入と活用の支援を目的とする包括的なガバナンスフレームワークを発表した。本指針は、同国が2020年に策定した「AIガバナンスモデルフレームワーク」を高度化させたもので、イノベーションの促進とリスク管理の両立を目的としている。
エージェント型AIは、自律的な計画立案や外部システムとの連携により企業の生産性を飛躍的に高める一方、機微データへのアクセス権限を持つことによる誤操作や未承認行動、さらには「自動化バイアス（人間による過度の信頼）」といった新たなリスクを内包している。
IMDAが提示したフレームワークは、以下の「4つの柱」に基づき、企業が技術・運用の両面からリスクを制御することを推奨している。
（1）リスク評価と権限の境界設定： 利用ケースごとにリスクを評価し、AIエージェントの自律性やアクセス権限を設計段階で制限する。
（2）意味のある人間の関与： 重要なアクションに対する人間の最終承認プロセスを組み込み、責任の所在を明確化する。
（3）技術的コントロールとプロセス： ライフサイクル全体を通じた継続的なモニタリング、ベースラインテスト、アクセス管理を徹底する。
（4）エンドユーザーの責任と透明性： ユーザー教育を実施し、AIが実行可能な権限の範囲を明確に開示する。
https://www.imda.gov.sg/resources/press-releases-factsheets-and-speeches/press-releases/2026/new-model-ai-governance-framework-for-agentic-ai

2026年1月24日 中国、金融情報サービスのデータ分類・分級ガイドラインの草案を公表
中国国家インターネット情報弁公室は、金融情報サービス提供者を対象にデータの取り扱い基準を定めた「金融情報サービスのデータ分類・分級ガイドライン」の草案を公表し、意見公募を開始した。本ガイドラインは、国内で活動する事業者のデータ管理義務を明確化するもので、国家秘密や軍事関連データは対象外としている。金融情報サービスで扱うデータの分類と分級（等級付け）の基準が内容の中心となる。
データ分類は、「業務データ」「ユーザーデータ」「企業データ」に大別され、さらに計66種類の細分類に展開される。業務データには株式や債券、経済統計、業界指標、ニュースやレポートが、ユーザーデータには個人および機関ユーザーの基本情報や取引データが含まれる。企業データには財務、人事、システムログなどの運営データが該当する。
データ等級は、重要度や影響範囲に応じて「核心データ」「重要データ」「機微な一般データ」「一般データ」の4段階で評価。また、データのカバー範囲、精度、公開状況、時系列の長さ、地域性などを考慮し、国家安全や経済運営、公共利益などへの影響度も総合的に判断される。
分類・分級は、まずデータ資源の全面的な洗い出しを行い、分類と分級を実施したうえで重要データのリストを作成、その後に要求に応じた報告が必要となる。さらに定期的な更新が義務付けられており、データの内容や利用状況に重大な変化が生じた場合には、速やかに再報告を行うことが求められている。
https://www.cac.gov.cn/2026-01/24/c_1770812246428118.htm

2026年1月29日 米調査団体、2025年の年間データ漏洩報告を発表
米国の非営利団体Identity Theft Resource Center（ITRC）は、2025年の年間データ漏洩報告を発表した。報告によると、2025年の1年間に米国で確認されたデータ侵害は3,322件に達し、2024年からは4％増加、2020年と比較すると79％の増加となった。
多くの攻撃者の標的は社会保障番号であり、昨年の侵害報告の約3分の2で漏洩が確認されている。残りの侵害通知では、銀行口座情報や運転免許証番号、またはその両方が漏洩したと記載されている。業種別では、金融サービス企業が最も多く、次いで医療、専門サービス、製造、教育分野が続いた。侵害原因については、回答者の80％がサイバー攻撃を挙げており、これに僅差でシステムエラーや人為的ミス、物理的攻撃、サプライチェーン攻撃が続いている。
ITRCは、犯罪者達がクレジットカード番号のように容易に置き換え可能な情報よりも、長期的な個人情報詐欺を可能にする不変の識別子を重視している傾向が認められると分析している。
https://www.idtheftcenter.org/post/2025-annual-data-breach-report-record-number-compromises/

----------------------------------------------------------------------
【3】1月のM&A/IPO情報詳細
----------------------------------------------------------------------
2026年1月8日 CrowdStrike、次世代アイデンティティセキュリティのSGNLを買収
2026年1月13日 CrowdStrike、エンタープライズセキュアブラウザのSeraphicを買収