----------------------------------------------------------------------
欧州議会、中規模企業向けの規制簡略化パッケージを承認（3/3配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・欧州ENISA、包括的なサイバー演習方法論を発表
・米国テキサス州司法長官、TP-Link社を提訴
・米Amazon、商用生成AIを悪用した大規模侵害について注意喚起
・欧州議会、中規模企業向けの規制簡略化パッケージを承認

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2026年2月16日 欧州ENISA、包括的なサイバー演習方法論を発表
欧州連合サイバーセキュリティ機関（ENISA）は、加盟国の危機管理能力とレジリエンス向上を目的とした「サイバーセキュリティ演習方法論」を公表した。10年以上にわたる大規模越境演習「Cyber Europe」などの運営知見を統合した、エンドツーエンドの包括的枠組みとしてまとめられたもの。
本方法論は、演習の企画・準備・実施・事後評価に至るライフサイクルを6段階で定義している。各段階には「Go／No-Goチェックリスト」が設けられており、プロセスの見落としを防止し、演習の有効性を最大限に高める設計が特徴である。実際の脅威に着想を得た現実的なシナリオ作成を推奨し、組織の俊敏性と連携体制を実戦的に検証することを狙う。
本枠組みは、EUレベルの広域演習のみならず、各国政府や重要インフラ部門の個別演習にも柔軟に適用可能である。ENISAは今後も「BlueOLEx」や「EU-ELEx」などの演習支援を通じて本方法論の普及を図り、欧州全域におけるサイバー攻撃への即応態勢の底上げを推進する方針である。
https://www.enisa.europa.eu/news/cybersecurity-preparedness-diy-build-your-own-cybersecurity-exercise
https://www.enisa.europa.eu/publications/the-enisa-cybersecurity-exercise-methodology

2026年2月17日 米国テキサス州司法長官、TP-Link社を提訴
米テキサス州のKen Paxton司法長官は、ネットワーク機器大手のTP-Link Systems社を提訴した。同社が自社製品を「安全かつプライバシー保護に配慮している」と宣伝しながら、実際には中国共産党（CCP）による米国民の機器へのアクセスを可能にしていたと主張している。これは、中国と関係を有する企業に対して今週中に提起される複数の訴訟の第一弾とされる。
訴状によれば、TP-Link製品は中国の国家支援型ハッカー集団により、米国を標的とする複数のサイバー攻撃に悪用されてきた。また、同社の所有構造やサプライチェーンは中国と密接に結びついており、中国の国家データ関連法の適用対象となる可能性があると指摘。これらの法制度は、中国企業や市民に対し情報機関への協力を義務付けるものであり、米国人データの開示につながりかねないとしている。
パクストン司法長官は、本件を国家安全保障上の重大な脅威と位置付け、テキサス州民のデータ保護を目的とした広範な取り組みの一環であると強調。州当局は既にTP-Linkを州職員向け禁止技術リストに追加しており、今後も中国関連企業への法的措置を継続する方針を示している。
https://www.texasattorneygeneral.gov/news/releases/attorney-general-ken-paxton-investigates-whether-major-tech-company-allowing-chinese-government

2026年2月20日 米Amazon、商用生成AIを悪用した大規模侵害について注意喚起
米Amazonの脅威インテリジェンス・チームは、2026年1月から2月にかけて、ロシア語話者の金銭目的アクターが55カ国以上で600件を超えるFortiGateインスタンスを標的とした大規模な侵害キャンペーンを展開したとする調査結果を明らかにした。
攻撃者は複数の商用生成AIを活用し、攻撃計画の立案、スクリプトの自動生成、作戦管理の自動化を推進していた。報告書は、生成AIの活用によってサイバー攻撃の参入障壁が劇的に低下し、技術的に未熟な攻撃者でも高度な隠蔽工作や大規模な作戦展開が可能になっている現状を警告している。
一方で、今回の侵害が成功した主な要因は、インターネットに露出した管理ポート、脆弱なパスワード、および多要素認証（MFA）の未実装といった基本的な設定不備に起因していた。AWSは、適切なセキュリティ運用が行われていれば被害は回避可能であったとし、改めて基本的な防御策の徹底が重要であると強調している。
https://aws.amazon.com/jp/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/

2026年2月25日 欧州議会、中規模企業向けの規制簡略化パッケージを承認
欧州議会は25日、中小企業（SME）と大企業の中間に位置する新たな企業カテゴリー「中規模企業（SMC）」を創設し、行政負担を軽減するための包括的な規制簡略化案を承認した。本提案の核心は、SMCを対象としたGDPR（一般データ保護規則）の記録保持義務の一部免除であり、成長段階にある企業のコンプライアンスコスト削減を目的としている。
GDPRの免除措置は、個人の権利に対するリスクが低いデータ処理活動に限定して適用される。健康状態、宗教、政治的意見、生体認証データ、犯罪歴などの機密情報を扱う処理については、引き続き厳格な記録保持が義務付けられる。また、本パッケージはGDPRのみならず、資本市場へのアクセス改善（MiFID）、電池規制、フッ素系温室効果ガス（Fガス）規制、重要エンティティのレジリエンス（CER指令）など、多岐にわたる分野でSMCの手続きを簡素化する内容となっている。
欧州議会が支持するSMCの定義は、従業員数1,000人未満かつ、年間売上高2億ユーロ以下または総資産1億7,200万ユーロ以下の企業である。本提案は3月の本会議での採択を経て、EU理事会との最終交渉に移行する予定である。
https://www.europarl.europa.eu/news/en/press-room/20260220IPR35906/simplified-rules-for-small-mid-cap-companies

----------------------------------------------------------------------
【3】2月のM&A/IPO情報詳細
----------------------------------------------------------------------
2026年2月3日 データセキュリティプラットフォームのVaronis、AIリスク管理のAllTrue.aiを買収
2026年2月10日 Sophos、CISOレベルのエージェント型AIを提供するArco Cyberを買収
2026年2月11日 Palo Alt Networks、CyberArkの買収完了を発表