----------------------------------------------------------------------
EU理事会と欧州議会、EU AI法の一部簡素化と適用延期に暫定合意（5/27配信）
----------------------------------------------------------------------

----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・EU理事会と欧州議会、EU AI法の一部簡素化と適用延期に暫定合意
・G7サイバーセキュリティ作業部会、AI向けSBOM最小要素を共同公表
・中国当局、短動画コンテンツに対する6種ラベルの表示義務化
・中国CNCERT、AIセキュリティの包括評価テストを公告
・英国ICO、オンライン広告規制の改定を政府に提言
・米国NSA AIセキュリティセンター、MCPのセキュリティ設計考慮事項集を公表
・米国NIST、製造業向けサイバーレジリエンスガイド「SP 1800-41」初期草案を発表

----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2026年5月7日 EU理事会と欧州議会、EU AI法の一部簡素化と適用延期に暫定合意
欧州連合（EU）理事会議長国と欧州議会は、EUのAI規則「AI Act」の一部簡素化と適用延期について暫定合意に達した。理事会・議会の最終承認を経て、数週間内に正式採択される見込み。
簡素化の柱は中小企業向け優遇措置の拡大である。具体的には 1.AI Act附属書IVに基づく技術文書をテンプレート様式で簡略提出可能とし、指定機関に受理を義務付ける 2.品質マネジメント要件を企業規模に応じて比例させる 3.規制サンドボックスへの優先アクセス 4.罰則上限の柔軟化 が含まれる。これらの優遇は従来のSME（従業員250人未満）に加え、新設された「小規模ミッドキャップ（SMC）」（従業員750人未満かつ年間売上1.5億ユーロ以下）へも範囲が拡大される。
適用延期については、独立型の高リスクAIシステム（附属書Ⅲ規定）は2026年8月2日から2027年12月2日へ16カ月延期、製品組込型高リスクシステム（附属書I規定）は2027年8月2日から2028年8月2日へ1年延期となる。一方で、Article 50の透明性既定の一般適用は2026年12月2日に前倒しされる。
また、新たな禁止事項として、児童ポルノを含む非同意の性的コンテンツを生成するAIシステムが追加され、2026年12月2日から適用される。ヌード化ツール（nudifier）やディープフェイク悪用への対応を意図した措置となる。
https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
https://ec.europa.eu/commission/presscorner/detail/en/ip_26_1024

2026年5月12日 G7サイバーセキュリティ作業部会、AI向けSBOM最小要素を共同公表
G7サイバーセキュリティ作業部会は、AI向けにソフトウェア部品表（SBOM）の最小要素を整理したガイダンス「Software Bill of Materials for AI – Minimum Elements」を共同公表した。独連邦情報セキュリティ庁（BSI）、仏国家情報システムセキュリティ庁（ANSSI）、伊国家サイバーセキュリティ庁（ACN）、加通信安全保障局（CSE）、米サイバーセキュリティ・社会基盤安全保障庁（CISA）、英国家サイバーセキュリティセンター（NCSC）、日本の国家サイバー統括室（NCO）の7機関が参加し、欧州委員会も協力した。
ガイダンスはAI向けのSBOMを7つのクラスタからなる構成で整理している。各クラスタはそれぞれ 1.メタデータ（SBOM自体の作成者・版・形式・署名等）2.モデル（モデルの識別情報、重みの生成方法、特性・制約）3.データセット属性（モデルライフサイクル全体で利用されたデータの識別・由来）4.システムレベル属性（複数のAI要素から構成されるシステム全体の情報）5.主要業績指標（KPI）6.セキュリティ属性（AIモデル・システムに適用される対策）7.インフラ（物理・仮想インフラ、必要に応じてハードウェア部品表HBOMへのリンク）である。
本ガイダンスは自主的な対策のための推奨事項の位置づけであるが、G7の専門家コンセンサスを反映し、従来のSBOMでは捕捉できないAIサプライチェーンの透明性とサイバーレジリエンスを高める狙いがある。AI技術の進展に応じて要素は今後も拡張される予定であるという。
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/KI/SBOM-for-AI_minimum-elements.html
https://www.cisa.gov/resources-tools/resources/software-bill-materials-ai-minimum-elements

2026年5月12日 中国当局、短動画コンテンツに対する6種ラベルの表示義務化
中国国家インターネット情報弁公室（CAC）は、短動画プラットフォームにおけるコンテンツラベリングを規範化する取り組みを発表した。ショート動画に関連する問題を解消し、コンテンツの生態系と利用者権益の維持することを目的としている。
新規制では、6種のラベル（「フィクション演出を含む」「AI生成コンテンツを含む」「マーケティング情報を含む」「転載コンテンツ」「個人の見解」「ラベル不要」）から1つを選択することが投稿の必須要件とされる。新規動画への審査強化に加え、既存動画の段階的見直しも実施し、不適切な表示には補正・教育・警告を行う。CACは要件違反のアカウント・プラットフォームに対しては法に基づく刑罰を科し、企業名を公開する意向を示している。規制の初期対象として予定されているのはTencent、Bilibili、Weibo、Baiduなどを含む12のプラットフォームで、2026年3月からのパイロット運用を経て本格運用に移行する予定。
https://www.cac.gov.cn/2026-05/12/c_1780328273038196.htm
https://news.cctv.com/2026/05/12/ARTILwWrbjnWICzUIj8VTHqS260512.shtml

2026年5月16日 中国CNCERT、AIセキュリティの包括評価テストを公告
中国のCNCERT/CCは、AI技術がサイバーセキュリティに与える影響を包括的に評価するテストプログラム「2026年人工知能技術賦能網絡安全応用測試公告」を発表した。
テストは8つのシナリオに基づいて実施される予定で、AI駆動の攻撃と防御、AIによる脆弱性の発見、大規模モデルのガードレール能力検証、AI生成画像検知、AIエージェントの悪意ある動作の検知等が含まれる。各組織から3チームまでの参加が可能で、優秀チームには中国内主要AIマーケットプレイスへの掲載支援等が得られるという。
https://www.cert.org.cn/publish/main/12/2026/20260516110942401839057/20260516110942401839057_.html

2026年5月18日 英国ICO、オンライン広告規制の改定を政府に提言
英国情報コミッショナー事務局（ICO）は、プライバシー・電子通信規則（PECR）の第6条改定について政府に正式提言した。2025年1月に開始した調査と同年7月から9月の意見公募の結果を踏まえたもの。
ICOはPECRの「すべての広告目的のデバイス情報の保存・アクセスに同意を要する」という現行枠組みが、プライバシー保護型広告モデルへの投資意欲を削いでいると指摘する。提言ではコンテキスト広告、市レベル位置情報ターゲティング、ファーストパーティの頻度キャップ、集約測定、広告詐欺対策、ブランドセーフティ等を「リスクの低い活動」として同意要件から除外することを推奨する。一方、行動広告およびクロスサイト追跡については引き続き同意を求める。
ICOは「現時点で法的変更は行われておらず、現行PECR規則は引き続き有効である」と強調しており、組織は法改正までは現行の同意要件を遵守する必要がある。
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/our-advice-to-government-on-potential-changes-to-online-advertising-rules/

2026年5月20日 米国NSA AIセキュリティセンター、MCPのセキュリティ設計考慮事項集を公表
米国家安全保障局（NSA）の人工知能セキュリティセンターは、新たなセキュリティ設計考慮事項集として「Model Context Protocol (MCP): Security Design Considerations for AI-Driven Automation」を公表した。MCPはAI対応システムでサービス間相互作用の管理に用いられるアプリケーション層プロトコルで、ビジネス、金融、法務、ソフトウェア開発等の各業界での採用が急速に進んでいる。
NSAはMCPの普及速度がセキュリティモデルの整備を上回っていると警告する。AISCは認証、認可、入力検証等の従来型サイバーセキュリティ原則は引き続き必要であるとしつつ、エージェント型AIシステムが持つ動的ツール呼び出しや暗黙的信頼関係、コンテキスト共有といった新たな特徴を踏まえた防御戦略が必要だと呼び掛けている。
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4496698/
https://intelligencecommunitynews.com/nsa-releases-security-design-considerations-for-ai-driven-automation/

2026年5月21日 米国NIST、製造業向けサイバーレジリエンスガイド「SP 1800-41」初期草案を発表
米国国立標準技術研究所（NIST）傘下のNCCoEは、製造業向けのサイバー攻撃対応及び復旧ガイド「NIST SP 1800-41（Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector）」の初期草案を公表した。2026年7月8日まで草案に対する意見公募が実施される。
NIST SP 1800-41は産業用制御システム（ICS）環境における対応・復旧活動を対象とし、製造業のオペレーショナルレジリエンスの強化を目的とする。サイバーインシデントのリスクと業務影響の理解、包括的な対応・復旧計画の策定、ダウンタイム最小化と業務復旧のベストプラクティス導入を組織に推奨する。すべてのサイバーリスクを排除することは不可能であることから、侵害前提視点で復旧計画を策定する重要性を強調している。ガイドの開発にあたっては、民間パートナーとして、Amazon Web Services、Google Cloud、Cisco、Siemens AG、Rockwell Automation、Dragos、Tenableなど、11の企業が協力しているという。
https://csrc.nist.gov/pubs/sp/1800/41/ipd
https://www.nccoe.nist.gov/manufacturing/responding-and-recovering-cyber-attack

----------------------------------------------------------------------
【3】M&A/IPO情報詳細
----------------------------------------------------------------------
2026年5月6日 独Allianz、商業サイバー保険ポートフォリオを米Coalitionへ全面移管
2026年5月7日 米Cycurion、Halo PrivacyおよびHavenXの買収契約を締結
2026年5月11日 イスラエルのサイバースタートアップFrame、シリーズAで5,000万ドル（約77億円）調達
2026年5月14日 英Howden、米国のサイバーアナリティクススタートアップCybetaを買収
2026年5月20日 米Cyera、イスラエルGenie Securityを約5,000万ドル（約77億円）で買収