[ { "region": "eu", "jurisdiction": "EU", "cat": "privacy", "sub": "包括的個人データ保護", "code": "GDPR", "name": "EU一般データ保護規則", "name_en": "General Data Protection Regulation (GDPR) — Reg. 2016/679", "status": "current", "year": 2018, "date": "2018-05-25", "featured": true, "priority": 17, "note": "EU域内の個人データ処理に関する包括的規制。域外適用あり。日本企業の欧州子会社・EU居住者データ取扱に直結。制裁:全世界売上高4%または2000万€の高い方。【2026年5月最新】累計制裁総額€71億超(2025年単年€12億超)。主要執行:TikTok €5.3億(2025年5月、EU→中国移転)・Google €3.25億(CNIL)・Shein €1.5億(CNIL)。AI文脈でのGDPR適用が執行重点に。GDPRとAI法の「二重制裁リスク」が顕在化。", "extUrl": "https://eur-lex.europa.eu/legal-content/JA/TXT/?uri=CELEX%3A32016R0679", "url": "https://www.google.com/search?q=GDPR+EU+一般データ保護規則+全文+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cross_border", "sub": "標準契約条項・移転ツール", "code": "GDPR-SCC-2021", "name": "標準契約条項 2021年版(EU→第三国越境移転)", "name_en": "Standard Contractual Clauses for International Transfers (SCC 2021) — Dec. C(2021)3972", "status": "current", "year": 2021, "date": "2021-06-04", "featured": true, "priority": 15, "note": "GDPR第46条に基づく個人データ越境移転の主要適法化手段。旧版SCCを全面置き換え。モジュール方式(C2C・C2P・P2C・P2P)。日本企業の欧州子会社→本社移転に広く活用。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914", "url": "https://www.google.com/search?q=EU+SCC+Standard+Contractual+Clauses+2021+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cross_border", "sub": "十分性認定・相互認定", "code": "GDPR-Japan-Adequacy", "name": "EU・日本間 相互十分性認定", "name_en": "EU-Japan Mutual Adequacy Decision (GDPR Art. 45) — 2019/419/EU", "status": "current", "year": 2019, "date": "2019-01-23", "featured": true, "priority": 16, "note": "欧州委員会が日本の個人情報保護制度をGDPRと同等と認定。日本企業はSCC等の追加措置なしにEUから個人データを受領可能。PPC・欧州委員会の相互認定(補完的ルール付き)。定期レビューあり。", "extUrl": "https://commission.europa.eu/document/download/1b665d25-8898-4b5b-a23e-4d08e13b2d0d_en", "url": "https://www.google.com/search?q=EU+日本+相互十分性認定+2019+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cross_border", "sub": "十分性認定・相互認定", "code": "EU-US-DPF", "name": "EU・米国間 データプライバシーフレームワーク(DPF)", "name_en": "EU-US Data Privacy Framework (DPF) — Adequacy Decision 2023/1795", "status": "current", "year": 2023, "date": "2023-07-10", "featured": true, "priority": 14, "note": "プライバシーシールド無効化(Schrems II判決)後継。EU→米国へのデータ移転を適法化。DPF認証取得企業向け。大統領令14086・データ保護審査裁判所(DPRC)設置が基盤。【2025年9月3日】EU一般裁判所がLatombe議員の無効確認請求を棄却(DPF合法性を確認)。ただし控訴が提起されており「Schrems III」可能性は残存。日本企業の対米データ移転ではDPF認証確認+SCCのバックアップ体制が推奨。", "extUrl": "https://commission.europa.eu/document/download/bdc467b4-b8c9-4c53-95e1-d29c700f78ea_en", "url": "https://www.google.com/search?q=EU+US+Data+Privacy+Framework+DPF+2023+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "privacy", "sub": "電子通信・Cookie", "code": "ePD", "name": "eプライバシー指令(Cookie指令)", "name_en": "ePrivacy Directive — Directive 2002/58/EC (as amended 2009)", "status": "current", "year": 2009, "date": "2009-11-25", "featured": false, "priority": 9, "note": "電子通信における個人データ・プライバシー保護。Cookie同意義務の根拠法。GDPRと並行適用。eプライバシー規則(改正案)への移行が長期にわたり遅延中(2026年現在未採択)。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32009L0136", "url": "https://www.google.com/search?q=EU+ePrivacy+Directive+Cookie+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "重要インフラ・サイバー指令", "code": "NIS2", "name": "NIS2指令", "name_en": "NIS2 Directive — Directive (EU) 2022/2555", "status": "current", "year": 2022, "date": "2022-12-27", "featured": true, "priority": 16, "note": "重要インフラ・デジタルサービスの包括的サイバーセキュリティ義務強化。18業種対象(エネルギー・交通・金融・医療・デジタルインフラ等)。インシデント24時間以内早期警告・72時間以内報告義務。サプライチェーンセキュリティ・経営者責任・制裁最大1000万€または売上高2%。【2026年5月最新】推定16万以上の事業者が対象(NIS1の10倍)。2024年10月国内法化期限以降、独・墺・葡が先行して執行開始。EU全体で2026年Q1に初の行政制裁案件発生。欧州委員会の2025年NIS2実施レビュー:越境インシデントが全重大インシデントの18%を占める。NIS2協力グループが2026年5月26日に共通報告テンプレートを採択。Digital Omnibus単一入力ポイント(ENISA主導)と連動予定。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555", "url": "https://www.google.com/search?q=NIS2指令+EU+2022+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "製品・IoTセキュリティ", "code": "CRA", "name": "サイバーレジリエンス法(CRA)", "name_en": "Cyber Resilience Act (CRA) — Reg. (EU) 2024/2847", "status": "current", "year": 2024, "date": "2024-10-23", "featured": true, "priority": 15, "note": "デジタル要素を含む製品(IoT・ソフトウェア・ハードウェア)のサイバーセキュリティ要件を義務化。発効2024年11月・製品要件適用2027年12月・インシデント報告適用2026年9月。脆弱性・インシデントのENISA報告義務。EU市場向け製品製造業・輸出企業に直接影響。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847", "url": "https://www.google.com/search?q=EU+Cyber+Resilience+Act+CRA+2024+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "認証・標準・ENISA", "code": "EU-CSA", "name": "EUサイバーセキュリティ法(CSA)", "name_en": "EU Cybersecurity Act (CSA) — Reg. (EU) 2019/881, amended 2024", "status": "current", "year": 2019, "date": "2019-06-27", "featured": false, "priority": 9, "note": "ENISAの常設機関化と権限強化。EUサイバーセキュリティ認証枠組み(EUCS等)の創設。2024年改正でマネージドセキュリティサービス(MSSP)をスコープ追加。NIS2とあわせた欧州サイバーガバナンスの柱。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32019R0881", "url": "https://www.google.com/search?q=EU+Cybersecurity+Act+2019+ENISA+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "重要インフラ保護", "code": "CER", "name": "重要主体レジリエンス指令(CER)", "name_en": "Critical Entities Resilience Directive (CER) — Directive (EU) 2022/2557", "status": "current", "year": 2022, "date": "2022-12-27", "featured": false, "priority": 10, "note": "重要インフラの物理的レジリエンス強化(NIS2のサイバー面と対)。11分野の重要主体を対象。リスクアセスメント・インシデント報告・スクリーニング義務。加盟国国内法化期限2024年10月。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2557", "url": "https://www.google.com/search?q=EU+Critical+Entities+Resilience+Directive+CER+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "製品責任・ソフトウェア", "code": "rPLD", "name": "EU製品責任指令(改正版・デジタル対応)", "name_en": "Revised Product Liability Directive (rPLD) — Directive (EU) 2024/2853", "status": "current", "year": 2024, "date": "2024-12-08", "featured": false, "priority": 10, "note": "ソフトウェア・AI・IoTを含むデジタル製品の欠陥による損害に対する製造者責任を規定。発効2024年12月・適用2026年12月以降の市場投入製品。AI出力に起因する損害にも適用。CRAと連動。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024L2853", "url": "https://www.google.com/search?q=EU+Product+Liability+Directive+Revised+rPLD+2024+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "ai", "sub": "包括的AI規制", "code": "EU-AI-Act", "name": "EU AI法", "name_en": "EU Artificial Intelligence Act — Reg. (EU) 2024/1689 + Digital Omnibus AI (May 7, 2026 provisional agreement)", "status": "current", "year": 2024, "date": "2024-08-01", "featured": true, "priority": 17, "note": "世界初のAI包括規制。【2026年5月7日 Digital Omnibus AI暫定合意(確定版)】段階施行:①禁止AI・AIリテラシー義務:2025年2月2日施行済、②GPAI義務:2025年8月2日施行済、③透明性(Art.50)+ ヌーディファイアー禁止:2026年8月2日施行(ただし2026年8月2日以前から市場投入済みの生成AIシステムは2026年12月2日まで猶予)、④高リスクAI Annex III(用途基準):2026年8月2日→2027年12月2日に16か月延期、⑤高リスクAI Annex I(製品規制):2027年8月2日→2028年8月2日に1年延期。AI弁公室がGPAI・同一事業者内AIシステムの監督に排他管轄。高リスクAI分類ガイドライン:2026年5月19日初稿公表。制裁:最大€3500万または売上高7%(禁止AI違反)。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689", "url": "https://www.google.com/search?q=EU+AI+Act+2024+全文+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "ai", "sub": "生成AI・GPAI", "code": "EU-GPAI-CoP", "name": "GPAI行動規範(生成AIモデル向け・最終版)", "name_en": "Code of Practice for General-Purpose AI (GPAI CoP, Final Version July 10, 2025)", "status": "current", "year": 2025, "date": "2025-07-10", "featured": false, "priority": 13, "note": "EU AI法第53・55条に基づくGPAI提供者向け自主行動規範。AI弁公室主導で策定。草案:2024年11月→2024年12月→2025年3月→最終版2025年7月10日公表。3章構成:透明性・著作権・安全性(システミックリスク評価)。署名は任意だが「準拠推定(safe harbor)」として機能。GPAIオブリゲーションは2025年8月2日から執行開始。", "extUrl": "https://digital-strategy.ec.europa.eu/en/policies/ai-office", "url": "https://www.google.com/search?q=EU+GPAI+Code+of+Practice+Final+2025" }, { "region": "eu", "jurisdiction": "EU", "cat": "finance", "sub": "金融デジタルレジリエンス", "code": "DORA", "name": "デジタル運用レジリエンス法(DORA)", "name_en": "Digital Operational Resilience Act (DORA) — Reg. (EU) 2022/2554", "status": "current", "year": 2025, "date": "2025-01-17", "featured": true, "priority": 14, "note": "金融機関のICTリスク管理・インシデント報告・第三者ICT依存管理を義務化。銀行・保険・投資会社・暗号資産業者等20種以上が対象。2025年1月適用開始。RTS(技術的規制標準)6本も発効。制裁最大1000万€または売上高2%。ICTプロバイダーへの直接監督権限あり。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554", "url": "https://www.google.com/search?q=DORA+Digital+Operational+Resilience+Act+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "finance", "sub": "暗号資産・DeFi", "code": "MiCA", "name": "暗号資産市場規則(MiCA)", "name_en": "Markets in Crypto-Assets Regulation (MiCA) — Reg. (EU) 2023/1114", "status": "current", "year": 2024, "date": "2024-12-30", "featured": false, "priority": 11, "note": "EU初の包括的暗号資産規制。暗号資産サービス提供者(CASP)の認可・開示・準備金要件。ステーブルコインへの特別規制(EMT・ART)。完全適用2024年12月。サイバーセキュリティ・運用リスク要件も含む。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32023R1114", "url": "https://www.google.com/search?q=EU+MiCA+Markets+Crypto+Assets+Regulation+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "data_sec", "sub": "データガバナンス・流通", "code": "DGA", "name": "データガバナンス法(DGA)", "name_en": "Data Governance Act (DGA) — Reg. (EU) 2022/868", "status": "current", "year": 2023, "date": "2023-09-24", "featured": false, "priority": 11, "note": "公共データの再利用促進・データ仲介サービスの認定制度・欧州データスペース(ヘルス・産業・農業等)構築の枠組み。利他的データ共有の仕組みも導入。個人・非個人データ双方が対象。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R0868", "url": "https://www.google.com/search?q=EU+Data+Governance+Act+DGA+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "data_sec", "sub": "データアクセス・共有権", "code": "EU-Data-Act", "name": "EUデータ法", "name_en": "EU Data Act — Reg. (EU) 2023/2854", "status": "current", "year": 2025, "date": "2025-09-12", "featured": false, "priority": 12, "note": "IoT機器データへのアクセス権・移転権(ユーザー・第三者・公共機関)を規定。企業間データ共有義務・クラウドスイッチング容易化・クラウド事業者の切り替え義務。スマート製品・製造業・農業・医療・自動車分野に大きな影響。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32023R2854", "url": "https://www.google.com/search?q=EU+Data+Act+2023+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "data_sec", "sub": "データガバナンス・流通", "code": "FFNPD", "name": "非個人データ自由流通規則", "name_en": "Free Flow of Non-Personal Data Regulation — Reg. (EU) 2018/1807", "status": "current", "year": 2019, "date": "2019-05-28", "featured": false, "priority": 7, "note": "EU域内での非個人データの自由流通を保証。データローカライゼーション要件の禁止(安全保障例外を除く)。公共機関のデータアクセス権。クラウド切り替えコード・オブ・コンダクト。DGAと連動。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32018R1807", "url": "https://www.google.com/search?q=EU+Free+Flow+Non+Personal+Data+Regulation+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "bigtech", "sub": "デジタル市場・ゲートキーパー", "code": "DMA", "name": "デジタル市場法(DMA)", "name_en": "Digital Markets Act (DMA) — Reg. (EU) 2022/1925", "status": "current", "year": 2022, "date": "2022-11-01", "featured": false, "priority": 10, "note": "大規模プラットフォーム(ゲートキーパー)への義務付け。相互運用性・データアクセス・自社優遇禁止・デフォルト設定変更禁止等。Apple・Google・Meta・Amazon・Microsoft・ByteDanceが対象指定。制裁最大全世界売上高10%(繰り返しは20%)。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R1925", "url": "https://www.google.com/search?q=EU+Digital+Markets+Act+DMA+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "bigtech", "sub": "デジタルサービス・コンテンツ", "code": "DSA", "name": "デジタルサービス法(DSA)", "name_en": "Digital Services Act (DSA) — Reg. (EU) 2022/2065", "status": "current", "year": 2022, "date": "2022-10-27", "featured": false, "priority": 10, "note": "オンラインプラットフォームの違法コンテンツ対応・透明性・アルゴリズム規制・ターゲット広告制限。超大型プラットフォーム(VLOP/VLOSE)への追加義務(年次リスク評価・外部監査・研究者アクセス)。制裁最大全世界売上高6%。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2065", "url": "https://www.google.com/search?q=EU+Digital+Services+Act+DSA+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "data_sec", "sub": "規制簡素化・横断", "code": "Digital-Omnibus", "name": "デジタルオムニバス(規制簡素化パッケージ)", "name_en": "Digital Omnibus — COM(2025) 837 (Data rules) + COM(2025) 836 (AI) + COM(2025) 838 (Business Wallet)", "status": "draft", "year": 2025, "date": "2025-11-19", "featured": true, "priority": 11, "note": "欧州委員会が2025年11月19日発表の規制簡素化パッケージ。【2026年5月7日最新】AI部分はデジタルオムニバスAIとして三者間で暫定合意。データルール部分(EP審議中)の主要変更:①GDPR通知期限72h→96hに延長・通知閾値を高リスクのみに絞る、②NIS2・GDPR・DORA・eIDAS・CERの報告を一本化する単一入力ポイント(ENISA主導)を18か月以内に設置、③Cookie規制をGDPRに統合・低リスク用途の同意免除リスト、④AI学習への個人データ利用の合法的利益根拠を明確化、⑤FFNPD(非個人データ規則)を廃止しData Actに統合。最終採択2026年6月・OJ掲載7月見込み。", "extUrl": "https://digital-strategy.ec.europa.eu/en/policies/digital-omnibus", "url": "https://www.google.com/search?q=EU+Digital+Omnibus+2025+COM+837" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "連邦政策・大統領令", "code": "EO-14028", "name": "国家サイバーセキュリティ強化に関する大統領令(EO 14028)", "name_en": "Executive Order 14028: Improving the Nation's Cybersecurity (Biden, May 2021)", "status": "current", "year": 2021, "date": "2021-05-12", "featured": true, "priority": 15, "note": "連邦政府のサイバーセキュリティ近代化を命令。ゼロトラスト移行・SBOM義務化・インシデント報告加速・ソフトウェアセキュリティ基準(SSDF)策定を指示。政府調達ベンダーへの間接的義務。民間への波及効果大。", "extUrl": "https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity", "url": "https://www.google.com/search?q=Executive+Order+14028+Cybersecurity+2021+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "連邦政策・大統領令", "code": "NSC-2026", "name": "国家サイバーセキュリティ戦略 2026(トランプ政権)", "name_en": "National Cybersecurity Strategy 2026 (Trump Administration, March 2026)", "status": "current", "year": 2026, "date": "2026-03-01", "featured": true, "priority": 12, "note": "【2026年3月発表】トランプ政権版の国家サイバーセキュリティ戦略・大統領令。「規制緩和」「民間主導」「アメリカ覇権確保」を軸に。CIRCIAの簡素化・SEC開示規則の見直しも示唆。NISTのAIセキュリティフレームワーク策定指示。バイデン版NSC(2023年3月)から基本方針を転換。", "extUrl": "https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf", "url": "https://www.google.com/search?q=Trump+National+Cybersecurity+Strategy+2026+Executive+Order" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "連邦情報セキュリティ", "code": "FISMA", "name": "連邦情報セキュリティ現代化法(FISMA)", "name_en": "Federal Information Security Modernization Act 2014 (FISMA)", "status": "current", "year": 2014, "date": "2014-12-18", "featured": false, "priority": 10, "note": "連邦政府機関の情報セキュリティプログラム要件。NISTフレームワーク準拠義務。CISAへのインシデント報告体制規定。FedRAMP・政府調達ベンダーに間接的影響。", "extUrl": "https://www.congress.gov/bill/113th-congress/senate-bill/2521/text", "url": "https://www.google.com/search?q=FISMA+2014+Federal+Information+Security+Modernization+Act+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "インシデント報告・重要インフラ", "code": "CIRCIA", "name": "重要インフラサイバーインシデント報告法(CIRCIA)", "name_en": "Cyber Incident Reporting for Critical Infrastructure Act 2022 (CIRCIA)", "status": "draft", "year": 2022, "date": "2022-03-15", "featured": true, "priority": 14, "note": "重要インフラ16分野へのサイバーインシデント72時間以内報告・ランサムウェア支払24時間以内報告を義務化。NPRM:2024年4月公表(推計30万事業者が対象)。【2026年5月最新】最終規則は未発効。当初期限2025年10月→2026年5月に延期→DHS予算凍結によるCISAタウンホール中断(2026年3月〜4月)でさらに遅延。最終規則の構成は変更なしとされるが発効時期は未確定。SEC開示規則・HIPAA・州報告義務との「一括報告(report once / share many)」メカニズムを最終化中。日本企業の米国重要インフラ子会社は対象に含まれる可能性。", "extUrl": "https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia", "url": "https://www.google.com/search?q=CIRCIA+2022+Cyber+Incident+Reporting+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "情報共有", "code": "CISA-2015", "name": "サイバーセキュリティ情報共有法(CISA 2015)", "name_en": "Cybersecurity Information Sharing Act 2015", "status": "current", "year": 2015, "date": "2015-12-18", "featured": false, "priority": 8, "note": "民間企業・政府間のサイバー脅威情報共有の法的枠組み。共有企業への免責付与。CISA(サイバーインフラ安全保障庁)を情報共有の中心に。2025年末まで延長済み。", "extUrl": "https://www.congress.gov/bill/114th-congress/senate-bill/754/text", "url": "https://www.google.com/search?q=Cybersecurity+Information+Sharing+Act+CISA+2015+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "国防・サプライチェーン", "code": "CMMC-2", "name": "サイバーセキュリティ成熟度モデル認証 2.0(CMMC)", "name_en": "Cybersecurity Maturity Model Certification 2.0 (CMMC) — Final Rule Dec. 2024", "status": "current", "year": 2024, "date": "2024-12-16", "featured": true, "priority": 12, "note": "国防総省(DoD)防衛産業サプライチェーン向けサイバーセキュリティ認証制度。2024年12月最終規則確定。3段階(自己評価・第三者評価・政府主導)。CUIを扱う企業は日本の防衛関連企業にも間接影響。", "extUrl": "https://www.federalregister.gov/documents/2024/10/15/2024-21718/cybersecurity-maturity-model-certification-cmmc-program", "url": "https://www.google.com/search?q=CMMC+2.0+Cybersecurity+Maturity+Model+Certification+2024+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "NISTフレームワーク", "code": "NIST-CSF-2", "name": "NISTサイバーセキュリティフレームワーク 2.0(CSF 2.0)", "name_en": "NIST Cybersecurity Framework 2.0 (CSF 2.0)", "status": "current", "year": 2024, "date": "2024-02-26", "featured": true, "priority": 16, "note": "民間・政府共通の自主的サイバーセキュリティ管理フレームワーク。6機能:GOVERN・IDENTIFY・PROTECT・DETECT・RESPOND・RECOVER。スコープ拡大・サプライチェーン・ガバナンス強化。グローバル標準として日本企業にも影響大。", "extUrl": "https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf", "url": "https://www.google.com/search?q=NIST+Cybersecurity+Framework+2.0+CSF+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "NISTフレームワーク", "code": "NIST-SP800-53r5", "name": "NIST SP 800-53 Rev.5 セキュリティ・プライバシー管理策カタログ", "name_en": "NIST SP 800-53 Rev.5: Security and Privacy Controls for Information Systems", "status": "current", "year": 2020, "date": "2020-09-23", "featured": false, "priority": 12, "note": "連邦情報システム向けセキュリティ管理策の標準カタログ。20ファミリー・1000超の管理策。Rev.5でプライバシー管理策を統合。FedRAMP・DoD・民間ISMSでも参照標準として利用。", "extUrl": "https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf", "url": "https://www.google.com/search?q=NIST+SP+800-53+Rev5+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "NISTフレームワーク", "code": "NIST-SP800-82r3", "name": "NIST SP 800-82 Rev.3 OT/ICSセキュリティガイド", "name_en": "NIST SP 800-82 Rev.3: Guide to Operational Technology (OT) Security", "status": "current", "year": 2023, "date": "2023-09-28", "featured": false, "priority": 10, "note": "OT(運用技術)・ICS・SCADA・DCSのセキュリティ管理策。Rev.3でゼロトラスト・クラウドセキュリティを追加。製造業・エネルギー・重要インフラのOTセキュリティの主要参照。", "extUrl": "https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf", "url": "https://www.google.com/search?q=NIST+SP+800-82+Rev3+OT+Security+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "ai", "sub": "AI標準・フレームワーク", "code": "NIST-AI-RMF", "name": "NIST AIリスク管理フレームワーク 1.0(AI RMF)", "name_en": "NIST Artificial Intelligence Risk Management Framework 1.0", "status": "current", "year": 2023, "date": "2023-01-26", "featured": true, "priority": 14, "note": "AIシステムのリスク管理の自主的枠組み。4機能:GOVERN・MAP・MEASURE・MANAGE。EU AI法・ISO/IEC 42001等と整合。AI RMF Playbook(実践ガイド)・GenAI Profileも公表。グローバルでの参照標準として普及。", "extUrl": "https://airc.nist.gov/RMF", "url": "https://www.google.com/search?q=NIST+AI+Risk+Management+Framework+1.0+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "ai", "sub": "連邦AI政策・大統領令", "code": "EO-14110", "name": "安全・安心・信頼できるAIに関する大統領令(EO 14110・撤回済)", "name_en": "Executive Order 14110: Safe, Secure, and Trustworthy AI (Biden, Oct. 2023 — Revoked Jan. 2025)", "status": "superseded", "year": 2023, "date": "2023-10-30", "featured": false, "priority": 10, "note": "バイデン政権のAI包括大統領令。フロンティアAI安全評価・NIST AI RMF活用・AIバイアス対策等を命令。2025年1月20日トランプ政権が撤回(EO 14148)。後継はEO 14179(AI覇権確保)。", "extUrl": "https://www.federalregister.gov/documents/2023/11/01/2023-24283/safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence", "url": "https://www.google.com/search?q=Executive+Order+14110+AI+2023+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "ai", "sub": "連邦AI政策・大統領令", "code": "EO-14179", "name": "米国AI覇権確保に関する大統領令(EO 14179)", "name_en": "Executive Order 14179: Removing Barriers to American Leadership in AI (Trump, Jan. 2025)", "status": "current", "year": 2025, "date": "2025-01-23", "featured": false, "priority": 12, "note": "トランプ政権のAI大統領令。EO 14110撤回後の後継。AI覇権確保・規制緩和・AI行動計画策定を指示。NISTへのAI安全標準見直し指示。「アメリカファースト」AI政策の基盤。", "extUrl": "https://www.federalregister.gov/documents/2025/01/31/2025-02172/removing-barriers-to-american-leadership-in-artificial-intelligence", "url": "https://www.google.com/search?q=Executive+Order+14179+AI+2025+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "privacy", "sub": "州包括的プライバシー法", "code": "CCPA-CPRA", "name": "カリフォルニア州消費者プライバシー法(CCPA / CPRA)", "name_en": "California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA)", "status": "current", "year": 2023, "date": "2020-01-01", "featured": true, "priority": 14, "note": "カリフォルニア州民の個人情報権利保護。CPRA(2023年施行)でGDPR並みに強化。【2026年1月最新】新規制施行:ADMT(自動意思決定技術)への人間の関与義務・異議申立権・プロファイリング開示義務。一定規模企業へのサイバーセキュリティ監査義務(2028〜2030年に段階的提出)。プライバシーリスク評価義務(2026年1月1日施行)。CPPAによる専門執行。州外企業(年間売上2500万ドル超等)にも適用。", "extUrl": "https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.100", "url": "https://www.google.com/search?q=CCPA+CPRA+California+Consumer+Privacy+Act+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "privacy", "sub": "州包括的プライバシー法", "code": "US-State-Privacy-Laws", "name": "米国包括的州プライバシー法群(2023〜2026年施行)", "name_en": "US State Comprehensive Privacy Laws: 20+ States (2023-2026)", "status": "current", "year": 2026, "date": "2023-01-01", "featured": true, "priority": 13, "note": "【2026年3月現在20州】IN・RI・KY(2026年1月施行)でついに20州に到達。CA・CT・CO・MDは2026年にADMT(自動意思決定)・プロファイリング・バイオメトリクス・未成年者保護で規制強化。CAは2026年1月からプライバシーリスク評価義務施行、サイバー監査義務は2028年以降段階的。OKが2026年3月に21州目として成立。ALも動向注視。州AG執行:医療追跡データ・バイオメトリクス・子どもSNSが重点分野。", "extUrl": "", "url": "https://www.google.com/search?q=US+State+Privacy+Laws+comprehensive+list+2025+2026" }, { "region": "na", "jurisdiction": "US", "cat": "privacy", "sub": "連邦プライバシー法案", "code": "ADPPA", "name": "アメリカンデータプライバシー・プロテクション法案(ADPPA)", "name_en": "American Data Privacy and Protection Act (ADPPA)", "status": "draft", "year": 2022, "date": "2022-06-21", "featured": false, "priority": 10, "note": "米国初の連邦統一プライバシー法案。データ最小化・ユーザー権利・同意・センシティブデータ制限。議会での成立は未達(2026年現在)。州法との優先関係が最大の障壁。", "extUrl": "", "url": "https://www.google.com/search?q=ADPPA+American+Data+Privacy+Protection+Act+2022" }, { "region": "na", "jurisdiction": "US", "cat": "privacy", "sub": "子ども・未成年者保護", "code": "COPPA-2025", "name": "子どものオンラインプライバシー保護法規則改正(COPPA Rule 2025)", "name_en": "COPPA Rule 2025 Amendment (FTC) — Children's Online Privacy Protection Act", "status": "current", "year": 2025, "date": "2025-01-14", "featured": false, "priority": 11, "note": "13歳未満の子どものオンライン個人情報保護。FTC規則として運用。2025年1月改正:16歳未満へのターゲット広告禁止・保護者同意方法の厳格化・プッシュ通知・アルゴリズム推薦の制限。", "extUrl": "https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa", "url": "https://www.google.com/search?q=COPPA+2025+Rule+Amendment+FTC+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cross_border", "sub": "米国データ越境・安全保障", "code": "PADFAA", "name": "外国敵対国からの米国人データ保護法(PADFAA)", "name_en": "Protecting Americans' Data from Foreign Adversaries Act (PADFAA, 2024)", "status": "current", "year": 2024, "date": "2024-06-23", "featured": false, "priority": 10, "note": "データブローカーが中国・ロシア・北朝鮮・イランへ米国人の機密個人データを移転することを禁止。FTCが執行。国家安全保障観点からのデータ越境規制の先駆け。", "extUrl": "https://www.congress.gov/bill/118th-congress/house-bill/7520", "url": "https://www.google.com/search?q=PADFAA+Protecting+Americans+Data+Foreign+Adversaries+Act+2024" }, { "region": "na", "jurisdiction": "US", "cat": "finance", "sub": "証券・上場企業開示", "code": "SEC-Cyber-Rule", "name": "SECサイバーセキュリティ開示規則(2023年)", "name_en": "SEC Cybersecurity Disclosure Rules — 17 CFR Parts 229 and 249 (Adopted 2023)", "status": "current", "year": 2023, "date": "2023-09-05", "featured": true, "priority": 14, "note": "上場企業にインシデント(重大性判断後4営業日以内)のForm 8-K開示義務。年次Form 10-KでのCSO・ガバナンス体制・リスク管理プロセス開示義務。米国上場の日本企業(Form 20-F)にも直接適用。【2026年5月最新】2025年から本格的な執行開始。重大性(materiality)判断の一貫性が課題に。2026年初頭:SEC執行部門が重大性基準の明確化に関するガイダンスを公表。CIRCIA最終規則との整合(4営業日 vs 72時間)が企業のダブル報告リスクとして浮上。", "extUrl": "https://www.sec.gov/rules/final/2023/33-11216.pdf", "url": "https://www.google.com/search?q=SEC+Cybersecurity+Disclosure+Rules+2023+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "finance", "sub": "金融機関データ保護", "code": "GLBA-Safeguards-2023", "name": "グラム・リーチ・ブライリー法 / FTC Safeguards Rule 改正(2023施行)", "name_en": "Gramm-Leach-Bliley Act / FTC Safeguards Rule (2023 Amendment)", "status": "current", "year": 2023, "date": "2023-06-09", "featured": false, "priority": 11, "note": "金融機関の顧客情報保護義務。2023年6月改正Safeguards Rule施行:インシデント通知(30日以内・FTC報告・500件超)・情報セキュリティプログラム要件強化。非銀行金融機関にも広く適用。", "extUrl": "https://www.ftc.gov/business-guidance/privacy-security/gramm-leach-bliley-act", "url": "https://www.google.com/search?q=GLBA+FTC+Safeguards+Rule+2023+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "finance", "sub": "州金融サイバーセキュリティ", "code": "NYDFS-Part500", "name": "NYDFS サイバーセキュリティ規則 Part 500(2023年改正)", "name_en": "NYDFS Cybersecurity Regulation 23 NYCRR Part 500 (2023 Amendment)", "status": "current", "year": 2023, "date": "2023-11-01", "featured": false, "priority": 12, "note": "ニューヨーク州金融サービス局(NYDFS)が監督する金融機関向けサイバーセキュリティ規則。2023年改正強化:CISOの取締役会報告・ペネトレーションテスト義務・MFA必須・ランサムウェア支払72時間以内報告。NY営業の外国金融機関にも適用。", "extUrl": "https://www.dfs.ny.gov/industry_guidance/cybersecurity", "url": "https://www.google.com/search?q=NYDFS+Part+500+Cybersecurity+Regulation+2023+Amendment+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "health", "sub": "医療情報プライバシー・セキュリティ", "code": "HIPAA", "name": "医療保険の携行性と責任に関する法律(HIPAA)", "name_en": "Health Insurance Portability and Accountability Act (HIPAA) — Security Rule, Privacy Rule", "status": "current", "year": 1996, "date": "1996-08-21", "featured": false, "priority": 11, "note": "医療情報のプライバシー・セキュリティ保護。Security Rule・Privacy Rule・Breach Notification Rule。医療IoT・デジタルヘルス分野で依然主要規制。【2026年5月最新】HHS OCRが2025年1月NPRM公表:①MFA義務化(全HIPAA対象主体)、②暗号化の必須化(現行:要件化のみ)、③72時間以内のHHS報告義務(現行は60日)、④インシデント対応計画の文書化強化、⑤IT資産台帳・ネットワーク地図の維持義務。最終規則は2026年内施行見込み(コスト試算:初年度$9B超)。OCRの執行重点:生殖医療データ(Dobbs判決後)・AI医療診断の違法共有・メンタルヘルスデータ。", "extUrl": "https://www.hhs.gov/hipaa/for-professionals/security/index.html", "url": "https://www.google.com/search?q=HIPAA+Security+Rule+Privacy+Rule+PDF" }, { "region": "na", "jurisdiction": "CA", "cat": "privacy", "sub": "カナダ連邦プライバシー法", "code": "PIPEDA", "name": "個人情報保護と電子文書法(PIPEDA)", "name_en": "Personal Information Protection and Electronic Documents Act (PIPEDA, Canada)", "status": "current", "year": 2001, "date": "2001-01-01", "featured": false, "priority": 12, "note": "カナダ民間部門の個人情報取扱規制。商業活動に従事する企業に適用。CSA ModelCode(10原則)に基づく。EU十分性認定取得済み(2024年1月更新)。【2026年現在】Bill C-27廃案により引き続きPIPEDAが適用。OPC(プライバシーコミッショナー)の執行権限は限定的(勧告のみ、裁判所執行が必要)。新プライバシー法案を2026年提出予定だが時期未確定。実務上はGDPR・ケベック州法25がデファクト標準として機能。", "extUrl": "https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/", "url": "https://www.google.com/search?q=PIPEDA+Canada+Personal+Information+Protection+Electronic+Documents+Act+PDF" }, { "region": "na", "jurisdiction": "CA", "cat": "privacy", "sub": "カナダ連邦プライバシー法", "code": "CPPA-C27", "name": "消費者プライバシー保護法案(Bill C-27 / CPPA+AIDA)※廃案→再提出予定", "name_en": "Consumer Privacy Protection Act (CPPA) / AIDA — Bill C-27 (Canada, died Jan. 2025; new bill expected 2026)", "status": "withdrawn", "year": 2022, "date": "2022-06-16", "featured": true, "priority": 13, "note": "【廃案】Bill C-27は2025年1月の議会解散(プロローグ)により廃案。PIPEDAの全面改正案(CPPA)・AI規制(AIDA)・執行トリビューナル法(PIDPTA)の3本立て構成だった。2025年4月総選挙後の新政権下で再提出を予定。新法案はCPPA相当部分を中心に、子どものプライバシー保護強化・データ主権規定を含む見込み。制裁はCAD$2500万または全世界売上高5%の高い方。AI規制は別法案として分離予定。2026年中の提出・成立見通しは不透明。", "extUrl": "", "url": "https://www.google.com/search?q=Bill+C-27+CPPA+AIDA+Canada+Consumer+Privacy+Protection+Act" }, { "region": "na", "jurisdiction": "CA", "cat": "cyber", "sub": "カナダ重要インフラ", "code": "Bill-C-8", "name": "カナダ重要サイバーシステム保護法案(Bill C-8 / 旧C-26)", "name_en": "Act Respecting Cyber Security / Critical Cyber Systems Protection Act (Bill C-8, Canada 2025)", "status": "draft", "year": 2025, "date": "2025-06-18", "featured": true, "priority": 13, "note": "旧Bill C-26の後継法案(C-26は2025年1月議会解散で廃案)。2025年6月18日国会提出。電気通信法改正と重要サイバーシステム保護法(CCSPA)の2本立て。金融・電気通信・エネルギー・交通の重要インフラへのサイバーセキュリティプログラム義務・インシデント報告・コンプライアンス監査を規定。2026年中の成立・施行見込み(SECU委員会で審議中)。", "extUrl": "https://openparliament.ca/bills/45-1/C-8/", "url": "https://www.google.com/search?q=Canada+Bill+C-8+Act+Respecting+Cyber+Security+2025" }, { "region": "jp", "jurisdiction": "JP", "cat": "cyber", "sub": "サイバーセキュリティ基本法制", "code": "サイバーセキュリティ基本法", "name": "サイバーセキュリティ基本法", "name_en": "Cybersecurity Basic Act (Japan, 2015, amended 2024)", "status": "current", "year": 2015, "date": "2015-01-07", "featured": true, "priority": 15, "note": "日本のサイバーセキュリティ政策の基本法。国・地方公共団体・重要インフラ事業者・サイバー関連事業者の責務を規定。NISC(2025年7月から国家サイバーセキュリティ局NCOに改組)の設置根拠。2024年改正でACDA制定に伴い体制整備。", "extUrl": "https://laws.e-gov.go.jp/law/426AC0000000104", "url": "https://www.google.com/search?q=サイバーセキュリティ基本法+改正+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "cyber", "sub": "能動的サイバー防御", "code": "ACDA", "name": "サイバー対応能力強化法(能動的サイバー防御法)", "name_en": "Cyber Response Capability Enhancement Act / Active Cyber Defense Act (ACDA, May 2025)", "status": "current", "year": 2025, "date": "2025-05-16", "featured": true, "priority": 17, "note": "2025年5月16日成立。2026〜2027年段階施行。4本柱:①官民連携強化、②通信メタデータ分析による脅威検知(通信の秘密制限)、③政府機関・重要インフラへの攻撃元への対抗アクセス・無害化権限、④重要インフラ事業者への新義務(システム届出・インシデント報告・データ共有)。15分野の重要インフラ事業者が対象。日本のサイバー安全保障の歴史的転換点。", "extUrl": "https://www.nisc.go.jp/", "url": "https://www.google.com/search?q=能動的サイバー防御法+サイバー対応能力強化法+2025+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "cyber", "sub": "重要インフラ保護", "code": "重要インフラ行動計画-5", "name": "重要インフラのサイバーセキュリティに係る行動計画(第5次)", "name_en": "Action Plan on Cybersecurity for Critical Infrastructure (5th Edition, 2022)", "status": "current", "year": 2022, "date": "2022-06-17", "featured": false, "priority": 11, "note": "14分野の重要インフラ事業者のサイバーセキュリティ対策指針。リスクマネジメント・障害対応・情報共有・演習の義務付け。NISC(現NCO)主導。ACDA成立に伴い第6次策定が予定。", "extUrl": "https://www.nisc.go.jp/policy/group/infra/", "url": "https://www.google.com/search?q=重要インフラ行動計画+第5次+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "cyber", "sub": "政府・公共セクター基準", "code": "政府機関統一基準群R5", "name": "政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)", "name_en": "Unified Standards for Cybersecurity Measures for Government Agencies FY2023", "status": "current", "year": 2023, "date": "2023-07-04", "featured": false, "priority": 10, "note": "府省庁・独立行政法人が遵守すべきサイバーセキュリティ対策の統一基準。リスク対応・情報管理・システム管理・クラウド利用・外部委託のルールを規定。政府調達ベンダーに間接的影響。", "extUrl": "https://www.nisc.go.jp/policy/group/general/kijungun.html", "url": "https://www.google.com/search?q=政府機関等統一基準群+令和5年度版+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "cyber", "sub": "サイバー犯罪・不正アクセス", "code": "不正アクセス禁止法", "name": "不正アクセス行為の禁止等に関する法律", "name_en": "Act on Prohibition of Unauthorized Computer Access (Japan)", "status": "current", "year": 2012, "date": "2012-05-01", "featured": false, "priority": 9, "note": "不正アクセス行為・その助長行為・フィッシング行為の禁止。2012年改正で罰則強化・フィッシング規制追加。サイバー犯罪対策の基本法。警察庁が執行。", "extUrl": "https://laws.e-gov.go.jp/law/411AC0000000128", "url": "https://www.google.com/search?q=不正アクセス禁止法+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "finance", "sub": "金融セクター・FSA", "code": "FSA-サイバーGL-2024", "name": "金融分野におけるサイバーセキュリティに関するガイドライン(金融庁・2024年)", "name_en": "FSA Cybersecurity Guidelines for the Financial Sector (October 2024)", "status": "current", "year": 2024, "date": "2024-10-01", "featured": true, "priority": 14, "note": "2024年10月金融庁初公表。6分野:①サイバーセキュリティ管理体制の確立、②リスク特定、③防御・保護、④検知、⑤対応・復旧、⑥第三者リスク管理。NIST CSF・DORAと整合。銀行・保険・証券・金融インフラ機関に適用。", "extUrl": "https://www.fsa.go.jp/news/r6/cyber/20241001.html", "url": "https://www.google.com/search?q=金融庁+サイバーセキュリティガイドライン+2024+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "privacy", "sub": "個人情報保護基本法(APPI)", "code": "個人情報保護法", "name": "個人情報の保護に関する法律(APPI)", "name_en": "Act on the Protection of Personal Information (APPI) — 2022 Full Revision", "status": "current", "year": 2022, "date": "2022-04-01", "featured": true, "priority": 17, "note": "日本の個人情報保護基本法。2022年全面改正施行。個人情報・要配慮個人情報・仮名加工情報・匿名加工情報の区分。越境移転の本人同意・基準適合体制確保義務。重大漏えいのPPC報告・本人通知義務。外国の第三者提供の制限強化。3年ごと見直し規定。", "extUrl": "https://laws.e-gov.go.jp/law/415AC0000000057", "url": "https://www.google.com/search?q=個人情報保護法+2022年改正+全文+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "privacy", "sub": "個人情報保護基本法(APPI)", "code": "個情法-2026改正案", "name": "個人情報保護法 2026年改正法案(3年ごと見直し第4弾)", "name_en": "APPI Amendment Bill 2026 — 4th Periodic Review (Cabinet Approved Apr. 2026)", "status": "draft", "year": 2026, "date": "2026-04-07", "featured": true, "priority": 16, "note": "2026年4月7日閣議決定・国会提出(審議中)。Baker McKenzie・Mori Hamada & Matsumoto・One Asia Lawyers等複数事務所が確認。主要改正(利活用促進+規制強化の二本柱):【利活用促進】①AI開発・統計処理目的での公開済みセンシティブ個人情報の収集・第三者提供の同意免除(情報処理活動の事前公表義務・目的・範囲・参加主体の開示が条件)、②「個人の権利利益を明らかに侵害しない」場合の同意免除根拠新設、③データ受託事業者(処理者)のAPPI一般義務大幅緩和(委託契約の安全管理措置を条件に)。【規制強化】④特定生体個人情報(顔認証・指紋・声紋・静脈等)を最高保護カテゴリに新設:オプトアウト提供禁止・本人削除権拡充・高度透明性義務、⑤16歳未満の子どものデータ保護強化:保護者同意必須化・削除権拡充・同意撤回権保障、⑥PPC行政制裁金(課徴金)制度の新設:一定の重大違反に初の行政罰(刑事罰から行政罰へのシフト)、⑦PPC執行権限強化:立入調査・是正命令・勧告の弾力的活用。公布後2年以内施行(2028年最遅)。法令成立は2026年中見込みだが審議状況は継続モニタリングが必要。", "extUrl": "https://www.ppc.go.jp/", "url": "https://www.google.com/search?q=個人情報保護法+2026年改正+閣議決定+国会" }, { "region": "jp", "jurisdiction": "JP", "cat": "privacy", "sub": "個人情報保護基本法(APPI)", "code": "個情法-越境GL", "name": "外国にある第三者への提供に関するガイドライン(PPC)", "name_en": "PPC Guidelines on Cross-Border Transfer of Personal Information to Foreign Third Parties", "status": "current", "year": 2022, "date": "2022-04-01", "featured": false, "priority": 13, "note": "APPI第24条の越境移転規制の実務ガイドライン。本人同意・基準適合体制確保・情報提供義務の具体的要件。日本企業のグローバルデータフロー管理の必携資料。", "extUrl": "https://www.ppc.go.jp/personalinfo/legal/", "url": "https://www.google.com/search?q=個人情報保護委員会+外国第三者提供+ガイドライン+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "ai", "sub": "AI基本法制", "code": "AI推進法", "name": "人工知能関連技術の研究開発及び活用の推進に関する法律(AI推進法)", "name_en": "Act on the Promotion of Research, Development and Utilization of AI-Related Technologies (AI Promotion Act, May 2025)", "status": "current", "year": 2025, "date": "2025-05-28", "featured": true, "priority": 15, "note": "2025年5月28日成立・公布。日本初のAI基本法。「イノベーションファースト」原則。民間事業者への義務は政府イニシアティブへの「協力努力義務」のみ(罰則なし)。政府にはAIガイドライン策定・国際標準整合・研究開発支援を義務付け。EU AI法より大幅に軽規制。【2026年4月最新】詳細実施ガイドラインを公表。AI推進法とAPPI改正の「デュアルコンプライアンス」体制が焦点に。", "extUrl": "https://www.digital.go.jp/", "url": "https://www.google.com/search?q=AI推進法+2025年+内容+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "ai", "sub": "AIガイドライン・ソフトロー", "code": "AI事業者GL-1.01", "name": "AI事業者ガイドライン 第1.01版(経産省・総務省 2025年3月改訂)", "name_en": "AI Business Operator Guidelines v1.01 (METI/MIC, March 2025)", "status": "current", "year": 2025, "date": "2025-03-28", "featured": true, "priority": 14, "note": "経産省・総務省共同策定。開発者・提供者・利用者の三階層に対応した10原則(人間中心・安全性・公平性・プライバシー・透明性等)。AI事業者ガイドラインv1.0(2024年4月)を改訂。G7広島AIプロセス・OECD AI原則と整合。法的拘束力なしだが事実上の業界標準。", "extUrl": "https://www.meti.go.jp/press/2024/04/20240419004/20240419004.html", "url": "https://www.google.com/search?q=AI事業者ガイドライン+第1.01版+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "ai", "sub": "生成AI・著作権", "code": "生成AI著作権GL", "name": "AIと著作権に関する考え方(文化庁・2024年3月)", "name_en": "Agency for Cultural Affairs: Guidelines on AI and Copyright (March 2024)", "status": "current", "year": 2024, "date": "2024-03-15", "featured": false, "priority": 12, "note": "2024年3月文化庁公表。AIの学習・生成物の著作権の基本的考え方。AI学習に著作物を利用する場合の著作権法第30条の4の適用範囲・生成物の著作物性・侵害リスクを整理。生成AI事業者・利用企業の法務実務に不可欠。", "extUrl": "https://www.bunka.go.jp/seisaku/chosakuken/pdf/93903601_01.pdf", "url": "https://www.google.com/search?q=AIと著作権に関する考え方+文化庁+2024+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "econ_sec", "sub": "経済安全保障・サプライチェーン", "code": "経済安保推進法", "name": "経済安全保障推進に関する法律", "name_en": "Economic Security Promotion Act (Japan, 2022)", "status": "current", "year": 2022, "date": "2022-08-01", "featured": true, "priority": 14, "note": "2022年施行。4本柱:①重要物資の安定供給確保、②基幹インフラのサプライチェーン審査(14分野・外部委託の事前届出・審査制)、③先端技術の官民協力(指定基金・秘密特許)、④特許出願の非公開化。基幹インフラ審査が企業(特に外資・IT事業者)に大きな影響。", "extUrl": "https://laws.e-gov.go.jp/law/504AC0000000043", "url": "https://www.google.com/search?q=経済安全保障推進法+2022+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "econ_sec", "sub": "機密情報・クリアランス", "code": "セキュリティクリアランス法", "name": "重要経済安保情報の保護及び活用に関する法律(セキュリティクリアランス法)", "name_en": "Act on Protection and Utilization of Critical Economic Security Information (Security Clearance Act, 2024/2025)", "status": "current", "year": 2025, "date": "2025-05-16", "featured": true, "priority": 13, "note": "2024年5月成立・2025年5月16日施行。日本初の民間向けセキュリティクリアランス(適性評価)制度。政府が指定する重要経済安全保障情報(防衛・宇宙・半導体・AI等)へのアクセスを評価済み者に限定。民間企業の先端技術分野の採用・人事管理に影響。", "extUrl": "https://www.cao.go.jp/keizai_anzen_hosho/jyohohogo/index.html", "url": "https://www.google.com/search?q=重要経済安保情報保護活用法+セキュリティクリアランス+2025+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "bigtech", "sub": "プラットフォーム規制・通信", "code": "情報流通プラットフォーム対処法", "name": "情報流通プラットフォーム対処法(旧プロバイダ責任制限法改正)", "name_en": "Information Distribution Providers Act (2024 Amendment to Provider Liability Limitation Act)", "status": "current", "year": 2025, "date": "2025-05-01", "featured": false, "priority": 11, "note": "2024年5月成立・2025年施行。大規模SNS等の特定電気通信役務提供者に偽情報・誹謗中傷コンテンツの削除対応の義務化・手続き整備。フェイク情報・AIフェイク対策の基盤。", "extUrl": "https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/provider.html", "url": "https://www.google.com/search?q=情報流通プラットフォーム対処法+2024+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "bigtech", "sub": "プラットフォーム規制・通信", "code": "特定DPF透明化法", "name": "特定デジタルプラットフォームの透明性及び公正性の向上に関する法律", "name_en": "Act on Improving Transparency and Fairness of Specified Digital Platforms (TDPF Act, 2021)", "status": "current", "year": 2021, "date": "2021-02-01", "featured": false, "priority": 10, "note": "2021年施行。大規模オンラインモール・アプリストア(Amazon・楽天・App Store・Google Play等)に対し、取引条件の開示・苦情処理・年次報告を義務付け。経産省が指定・監督。DMAの日本版。", "extUrl": "https://www.meti.go.jp/policy/mono_info_service/digitalplatform/", "url": "https://www.google.com/search?q=特定デジタルプラットフォーム透明化法+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "data_sec", "sub": "データ戦略・デジタル政策", "code": "デジタル社会形成基本法", "name": "デジタル社会の形成に関する基本法", "name_en": "Basic Act on the Formation of a Digital Society (2021)", "status": "current", "year": 2021, "date": "2021-09-01", "featured": false, "priority": 9, "note": "デジタル庁設置の根拠となる基本法。官民データ活用・相互運用性確保・デジタル行政の推進原則を規定。マイナンバー活用拡大・公共デジタルインフラの整備方針の法的基盤。", "extUrl": "https://laws.e-gov.go.jp/law/502AC1000000035", "url": "https://www.google.com/search?q=デジタル社会形成基本法+2021+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "data_sec", "sub": "データ保護・営業秘密", "code": "不正競争防止法-データ", "name": "不正競争防止法(限定提供データ保護条項)", "name_en": "Unfair Competition Prevention Act — Protection of Commercially Sensitive Data (2018/2019 Amendment)", "status": "current", "year": 2019, "date": "2019-07-01", "featured": false, "priority": 9, "note": "2018年改正で「限定提供データ」保護規定を追加。特定の者に提供するデータの不正取得・使用・開示を禁止。IoTデータ・AI学習データの保護に実務上重要。営業秘密保護とは別の枠組み。", "extUrl": "https://laws.e-gov.go.jp/law/405AC0000000047", "url": "https://www.google.com/search?q=不正競争防止法+限定提供データ+2019+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "health", "sub": "医療情報管理・セキュリティ", "code": "医療情報セキュリティGL-6", "name": "医療情報システムの安全管理に関するガイドライン 第6.0版(3省統合版)", "name_en": "Guidelines for Security Management of Medical Information Systems v6.0 (MHLW/METI/MIC, 2023)", "status": "current", "year": 2023, "date": "2023-05-31", "featured": false, "priority": 11, "note": "厚生労働省・経産省・総務省の3省ガイドラインを統合。病院・クリニック・介護施設・医療情報ベンダー向けのサイバーセキュリティ・個人情報保護要件。ランサムウェア対策・クラウド利用・外部委託の具体的対策を規定。", "extUrl": "https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html", "url": "https://www.google.com/search?q=医療情報システム安全管理ガイドライン+第6.0版+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "finance", "sub": "金融セクター・FSA", "code": "FISCガイドライン15版", "name": "金融機関等コンピュータシステムの安全対策基準(FISC第15版)", "name_en": "FISC Security Standards for Computer Systems in Financial Institutions (15th Edition, 2023)", "status": "current", "year": 2023, "date": "2023-03-01", "featured": false, "priority": 11, "note": "金融情報システムセンター(FISC)が策定する金融機関向けセキュリティ基準。第15版(2023年)でクラウド・API・サードパーティ管理・テレワーク規定を拡充。金融庁検査のデファクト標準。銀行・保険・証券のシステム管理責任者必携。", "extUrl": "https://www.fisc.or.jp/publication/", "url": "https://www.google.com/search?q=FISC安全対策基準+第15版+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "インシデント対応・連帯", "code": "CSoldA", "name": "EUサイバー連帯法(Cyber Solidarity Act)", "name_en": "EU Cyber Solidarity Act — Reg. (EU) 2025/38", "status": "current", "year": 2025, "date": "2025-02-04", "featured": true, "priority": 12, "note": "2025年2月4日施行。欧州サイバーシールド(国境を越えたSOCネットワーク)の設立・資金提供。大規模サイバーインシデント時の加盟国間の相互支援メカニズム。被害を受けた組織のインシデント対応費用の50%をEUが補助。重要インフラ保護の新たな柱。", "extUrl": "https://eur-lex.europa.eu/eli/reg/2025/38/oj", "url": "https://www.google.com/search?q=EU+Cyber+Solidarity+Act+2025+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "health", "sub": "医療データスペース・EHR", "code": "EHDS", "name": "欧州ヘルスデータスペース規則(EHDS)", "name_en": "European Health Data Space Regulation (EHDS) — Reg. (EU) 2025/327", "status": "current", "year": 2025, "date": "2025-03-26", "featured": true, "priority": 12, "note": "2025年3月26日発効・2027年3月26日適用。患者の電子医療記録(EHR)への一次利用権利保護・医療データの研究・政策立案目的の二次利用枠組み。越境医療データアクセス・相互運用性義務。ヘルスデータアクセス機関(HDAB)の設置。GDPR・GDPRとの整合。医療DX・AI創薬に大きな影響。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32025R0327", "url": "https://www.google.com/search?q=EU+European+Health+Data+Space+EHDS+2025+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "privacy", "sub": "執行・手続き", "code": "GDPREPR", "name": "GDPR執行手続規則", "name_en": "GDPR Enforcement Procedural Rules Regulation — Reg. (EU) 2025/2518", "status": "current", "year": 2025, "date": "2025-12-19", "featured": false, "priority": 9, "note": "GDPRの越境事件における監督機関間の手続き調整・EDPB(欧州データ保護会議)の役割強化を規定。ワンストップショップメカニズムの実効性強化。2025年12月発効。", "extUrl": "https://eur-lex.europa.eu/eli/reg/2025/2518/oj/eng", "url": "https://www.google.com/search?q=GDPR+Enforcement+Procedural+Rules+Regulation+2025+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "認証・標準・ENISA", "code": "CSA2", "name": "EUサイバーセキュリティ法 第2版(CSA2)", "name_en": "Cybersecurity Act 2 (CSA2) — COM(2026)11", "status": "draft", "year": 2026, "date": "2026-01-20", "featured": false, "priority": 10, "note": "欧州委員会が2026年1月20日提案。CSAを強化し、マネージドセキュリティサービス(MSSP)向け認証スキームを拡充。ENISAの調整権限強化。NIS2簡素化指令と同時提案。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52026PC0011", "url": "https://www.google.com/search?q=EU+Cybersecurity+Act+2+CSA2+2026" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "重要インフラ・サイバー指令", "code": "NIS2-Simplification", "name": "NIS2簡素化指令(改正案)", "name_en": "NIS2 Simplification Directive — COM(2026)13", "status": "draft", "year": 2026, "date": "2026-01-20", "featured": false, "priority": 9, "note": "欧州委員会が2026年1月20日提案。NIS2とCSAの整合・管轄規則の簡素化・ランサムウェアデータ収集の効率化・ENISAの越境監督強化。28,700社(うち中小6,200社)のコンプライアンス負担軽減を目標。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52026PC0013", "url": "https://www.google.com/search?q=EU+NIS2+Simplification+Directive+2026" }, { "region": "eu", "jurisdiction": "EU", "cat": "finance", "sub": "オープンファイナンス・データアクセス", "code": "FiDA", "name": "金融データアクセス規則(FiDA)", "name_en": "Financial Data Access Regulation (FiDA) — COM/2023/360", "status": "draft", "year": 2023, "date": "2023-06-28", "featured": false, "priority": 10, "note": "オープンバンキングをオープンファイナンスに拡張。保険・年金・投資データへのサードパーティアクセス権を規定。金融機関の顧客データ共有API義務化。DORAとの連動。2026年現在トリローグ審議中。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52023PC0360", "url": "https://www.google.com/search?q=EU+Financial+Data+Access+FiDA+Regulation+2023" }, { "region": "eu", "jurisdiction": "EU", "cat": "bigtech", "sub": "プラットフォーム労働・アルゴリズム", "code": "PWD", "name": "プラットフォーム労働指令", "name_en": "Platform Work Directive (PWD) — Directive (EU) 2024/2831", "status": "current", "year": 2024, "date": "2024-12-01", "featured": false, "priority": 7, "note": "プラットフォームワーカー(配達・ライド等)の雇用形態推定ルールと、アルゴリズム管理システムによるデータ処理規制。自動化意思決定への不服申立権。2026年12月加盟国国内法化期限。", "extUrl": "https://eur-lex.europa.eu/eli/dir/2024/2831/oj", "url": "https://www.google.com/search?q=EU+Platform+Work+Directive+2024+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "privacy", "sub": "データ侵害通知", "code": "State-Breach-Notification", "name": "米国全50州 データ侵害通知法(全州制定済み)", "name_en": "US Data Breach Notification Laws — All 50 States + DC + Territories", "status": "current", "year": 2024, "date": "2007-01-01", "featured": false, "priority": 10, "note": "全米50州+DC・グアム・プエルトリコが個人情報漏えい時の通知義務法を制定済み。通知期限は州により30〜90日(SEC開示との整合が課題)。NCSL 2025年調査:少なくとも45州が2025年会期にサイバーセキュリティ関連法案を検討。", "extUrl": "", "url": "https://www.ncsl.org/technology-and-communication/cybersecurity-2025-legislation" }, { "region": "na", "jurisdiction": "US", "cat": "ai", "sub": "連邦AI政策・大統領令", "code": "CO-AI-Act", "name": "コロラド州AI法(SB 205)", "name_en": "Colorado AI Act (SB 25-205) — High-Risk AI System Developer Obligations", "status": "current", "year": 2025, "date": "2025-05-17", "featured": true, "priority": 11, "note": "2025年5月成立・2027年2月施行予定。米国初の包括的州AI規制法。高リスクAIシステムの開発者・展開者に差別禁止義務・影響評価・開示義務を課す。EU AI法の米国版。他州への波及動向要注視。連邦裁判所で執行停止の動きあり(2026年現在)。", "extUrl": "https://leg.colorado.gov/bills/sb25-205", "url": "https://www.google.com/search?q=Colorado+AI+Act+SB+205+2025+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "cyber", "sub": "NISTフレームワーク", "code": "NIST-SSDF", "name": "NISTセキュアソフトウェア開発フレームワーク(SSDF)", "name_en": "NIST Secure Software Development Framework (SSDF) — NIST SP 800-218", "status": "current", "year": 2022, "date": "2022-02-03", "featured": false, "priority": 11, "note": "EO14028を受けて策定。ソフトウェア開発ライフサイクル全体のセキュリティ実践を規定。連邦政府ベンダーへのSBOM(ソフトウェア部品表)提供義務の実装基盤。民間でも標準的参照として利用。", "extUrl": "https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-218.pdf", "url": "https://www.google.com/search?q=NIST+SSDF+SP+800-218+Secure+Software+Development+Framework+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "bigtech", "sub": "プラットフォーム規制・通信", "code": "電気通信事業法-改正", "name": "電気通信事業法(外部送信規律・改正)", "name_en": "Telecommunications Business Act — Amendment on External Transmission Regulation (2023)", "status": "current", "year": 2023, "date": "2023-06-16", "featured": false, "priority": 11, "note": "2023年6月改正施行。ウェブサービスの利用者情報(Cookie・IPアドレス等)の外部送信に関する規律を追加。特定利用者情報の目的外利用禁止・安全管理措置・プライバシーポリシー記載義務。Webマーケティング・アナリティクスツール利用に広く影響。", "extUrl": "https://laws.e-gov.go.jp/law/359AC0000000086", "url": "https://www.google.com/search?q=電気通信事業法+外部送信規律+改正+2023+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "cyber", "sub": "電子署名・認証", "code": "電子署名法", "name": "電子署名及び認証業務に関する法律", "name_en": "Act on Electronic Signatures and Certification Business (e-Signature Act)", "status": "current", "year": 2001, "date": "2001-04-01", "featured": false, "priority": 7, "note": "電子署名の法的効力を手書き署名・押印と同等と認める。電子認証業務(特定認証業務)の許可制度。クラウド型電子署名・リモート署名の普及に伴い実務上の重要性が増大。", "extUrl": "https://laws.e-gov.go.jp/law/412AC0000000102", "url": "https://www.google.com/search?q=電子署名及び認証業務に関する法律+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "cyber", "sub": "セキュリティ人材・認定", "code": "情報処理促進法", "name": "情報処理の促進に関する法律(改正・情報セキュリティ関連)", "name_en": "Act for the Promotion of Information Processing — IT Security Skills/ISMS", "status": "current", "year": 2019, "date": "2019-04-01", "featured": false, "priority": 7, "note": "情報処理技術者試験・情報処理安全確保支援士(登録セキスペ)制度の根拠法。ISMS認証・プライバシーマーク等の民間認証制度の法的位置付け。ITセキュリティ人材育成・資格制度の基盤。", "extUrl": "https://laws.e-gov.go.jp/law/345AC0000000090", "url": "https://www.google.com/search?q=情報処理の促進に関する法律+改正+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "privacy", "sub": "個人番号・デジタルID", "code": "マイナンバー法-改正2023-2025", "name": "行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)改正", "name_en": "Act on the Use of Numbers to Identify a Specific Individual in Administrative Procedures (My Number Act) — 2023/2025 Amendments", "status": "current", "year": 2025, "date": "2025-03-07", "featured": true, "priority": 11, "note": "【2023年改正】マイナンバーカードと健康保険証の一体化(マイナ保険証)・国外転出者のカード継続利用・かざし利用規定明確化・医師等約80国家資格へのマイナンバー利用拡大。2024年12月2日から新たな健康保険証の発行原則停止。【2025年3月改正案】司法書士・公認会計士・獣医師・電気工事士等44資格の追加・12事務への利用拡大。個人情報と紐づく基盤として個人情報保護法・APPI改正と連動。", "extUrl": "https://www.digital.go.jp/laws/7b1e0007-1051-42fc-b079-b80621e67eac", "url": "https://www.google.com/search?q=マイナンバー法+改正+2025+利用拡大+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "privacy", "sub": "個人情報保護基本法(APPI)", "code": "PPC-越境移転-補完ルール", "name": "個人情報保護委員会 補完的ルール(EU・英国との相互認定対応)", "name_en": "PPC Supplementary Rules for Personal Data Transferred from EU/UK (APPI Art. 24 Adequacy Arrangement)", "status": "current", "year": 2022, "date": "2022-04-01", "featured": false, "priority": 13, "note": "EU・日本間の相互十分性認定(2019年1月)に基づく補完的ルール。EUまたは英国からの十分性認定ルートで個人データを受領した事業者が遵守すべき追加義務:①センシティブデータの取扱い制限、②個人の権利行使への対応、③再移転時の追加保護措置。日本企業が欧州事業でGDPR準拠のためEU→日本にデータを移転する際の実務上の必携ルール。", "extUrl": "https://www.ppc.go.jp/personalinfo/legal/", "url": "https://www.google.com/search?q=個人情報保護委員会+補完的ルール+EU+日本+PDF" }, { "region": "na", "jurisdiction": "CA", "cat": "privacy", "sub": "カナダ州プライバシー法", "code": "Quebec-Law25", "name": "ケベック州プライバシー法(法律25号)", "name_en": "Quebec Law 25 — Act Respecting the Protection of Personal Information in the Private Sector (Loi 25)", "status": "current", "year": 2024, "date": "2024-09-22", "featured": true, "priority": 14, "note": "2021年成立・3段階施行完了(2022年9月・2023年9月・2024年9月)。カナダで最もGDPRに近いプライバシー法。主要要件:①プライバシー影響評価(PIA)義務・②プライバシーバイデザイン要件、③自動意思決定の通知義務、④データポータビリティ権・削除権、⑤プライバシーオフィサー指定義務、⑥CAI(情報アクセスおよびプライバシー保護委員会)による執行・制裁最大2500万CADまたは売上高4%。Bill C-27廃案後、カナダ国内のデファクト標準として機能。", "extUrl": "https://www.cai.gouv.qc.ca/", "url": "https://www.google.com/search?q=Quebec+Law+25+Loi+25+Privacy+Law+Canada+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "bigtech", "sub": "未成年保護・年齢確認", "code": "DSA-Minors-GL", "name": "DSA 未成年保護ガイドライン(欧州委員会 2025年7月)", "name_en": "European Commission Guidelines on Protection of Minors Online — DSA Art. 28 (July 2025)", "status": "current", "year": 2025, "date": "2025-07-14", "featured": true, "priority": 12, "note": "2025年7月14日公表(5月パブコメ経由)。DSA第28条に基づくオンラインプラットフォームの未成年保護義務の具体化。年齢保証(age assurance)・デフォルトプライバシー設定・グルーミング・有害コンテンツ・サイバーいじめ・搾取的商業行為への対策を規定。法的拘束力はないがDSA違反審査のベンチマーク。EU年齢確認ウォレット(EUDI Wallet)と連動予定(2026年末までに加盟国が展開義務)。", "extUrl": "https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-protection-minors", "url": "https://www.google.com/search?q=EU+DSA+Guidelines+Protection+Minors+2025+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "bigtech", "sub": "未成年保護・年齢確認", "code": "CSAM", "name": "オンライン性的児童虐待コンテンツ規制(CSAM規則・交渉中)", "name_en": "Regulation on Child Sexual Abuse Material Prevention (CSAM Regulation) — COM/2022/209", "status": "draft", "year": 2022, "date": "2022-05-11", "featured": false, "priority": 9, "note": "オンラインプラットフォームにCSAMの検出・報告・削除義務を課す規則案。エンドツーエンド暗号化との整合(プライバシーへの影響)が最大の論点。2026年現在トリローグ交渉中。欧州議会が大幅修正提案(E2E暗号の免除等)。2026年内の採択見通しは不透明。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52022PC0209", "url": "https://www.google.com/search?q=EU+CSAM+Regulation+2022+child+sexual+abuse+material+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "cyber", "sub": "デジタルID・電子認証", "code": "eIDAS2", "name": "eIDAS 2.0(EUデジタルアイデンティティ規則)", "name_en": "Revised eIDAS Regulation — Reg. (EU) 2024/1183 (eIDAS 2.0)", "status": "current", "year": 2024, "date": "2024-05-20", "featured": true, "priority": 12, "note": "2024年5月20日発効。EU市民・事業者向けEUデジタルアイデンティティウォレット(EUDI Wallet)の法的根拠。加盟国は2026年末までに少なくとも1つのウォレットを市民に提供義務。ウォレットは年齢確認・本人確認・資格証明・電子署名に使用可能。GDPRと連動し選択的開示・プライバシーバイデザイン設計義務。銀行・通信・公共サービスはウォレット受入義務。", "extUrl": "https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1183", "url": "https://www.google.com/search?q=eIDAS+2.0+EU+Digital+Identity+Wallet+Regulation+2024+PDF" }, { "region": "eu", "jurisdiction": "EU", "cat": "auto", "sub": "EU自動運転規制枠組み", "code": "EU-ADS-Framework", "name": "EUデジタル自動車戦略・ADS規制枠組み(2025〜2026年展開)", "name_en": "EU Strategy for Automated and Connected Mobility — ADS Regulatory Framework (COM(2025)95)", "status": "current", "year": 2025, "date": "2025-03-05", "featured": false, "priority": 10, "note": "2025年3月欧州委員会が発表。2025年に自動駐車システムの無制限量産を許可。2026年に:①ADS搭載車両のEU型式認証ルール策定(ハブtoハブ物流等)、②公道でのADAS/ADSテストの加盟国横断調和手続き策定、③大規模国境越えテストベッドの設置。UNECE GRVA草案のADS安全グローバル規則(WP.29で2026年6月採択予定)と連動。UN-R79・UN-R157等の既存ADAS規制も適用。", "extUrl": "https://transport.ec.europa.eu/document/download/89b3143e-09b6-4ae6-a826-932b90ed0816_en", "url": "https://www.google.com/search?q=EU+Autonomous+Vehicles+Strategy+ADS+Regulation+2025+2026" }, { "region": "eu", "jurisdiction": "EU", "cat": "auto", "sub": "国際・UNECE自動運転基準", "code": "UNECE-ADS-GTR", "name": "UNECE ADS安全グローバル技術規則(草案・WP.29で2026年6月採択予定)", "name_en": "UNECE Global Technical Regulation on ADS Safety (Draft — WP.29 June 2026 Session)", "status": "draft", "year": 2026, "date": "2026-01-23", "featured": true, "priority": 11, "note": "2026年1月23日GRVA(UNECE自動走行作業部会)が草案採択。2026年6月23〜26日のWP.29世界自動車規則調和フォーラムで正式採択予定。中核原則:①ADS稼働時は有能で注意深い人間ドライバーと同等以上の安全性、②安全マネジメントシステム(SMS)の義務付け、③データ収集要件(採択前に最終化)。EU・米国・日本・中国が参加する初のADS安全グローバル基準。", "extUrl": "https://unece.org/sustainable-development/press/un-announces-global-regulation-facilitate-safe-introduction-self", "url": "https://www.google.com/search?q=UNECE+GRVA+ADS+Global+Technical+Regulation+2026" }, { "region": "na", "jurisdiction": "US", "cat": "cross_border", "sub": "米国データ越境・安全保障", "code": "DOJ-DSP", "name": "DOJ データセキュリティプログラム(EO 14117実施規則)", "name_en": "DOJ Data Security Program — Final Rule implementing Executive Order 14117 (Effective Apr. 8, 2025)", "status": "current", "year": 2025, "date": "2025-04-08", "featured": true, "priority": 16, "note": "2025年4月8日施行(バイデン政権EO 14117実施・トランプ政権も継続執行)。中国・ロシア・北朝鮮・イラン・キューバ・ベネズエラの6か国を「懸念国」に指定。米国人の大量センシティブ個人データ(健康・生体・位置・財務・政府関連データ等)の当該国向け移転を禁止・制限。禁止取引:データブローカー取引・バルクゲノムデータ提供等。制限取引:ベンダー契約・雇用契約・投資契約(CISA準拠・年次監査・記録保持義務付き)。日本企業の米国子会社・米国人データ取扱組織に直接適用。", "extUrl": "https://www.justice.gov/opa/pr/justice-department-implements-critical-national-security-program-protect-americans-sensitive", "url": "https://www.google.com/search?q=DOJ+Data+Security+Program+EO+14117+Final+Rule+2025+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "ai", "sub": "州AI法", "code": "Utah-UAIPA", "name": "ユタ州人工知能政策法(UAIPA)", "name_en": "Utah Artificial Intelligence Policy Act (UAIPA) — SB 149 (2024) amended by SB 226 & SB 332 (2025)", "status": "current", "year": 2024, "date": "2024-05-01", "featured": false, "priority": 10, "note": "2024年3月成立・5月1日施行。米国初のAI消費者保護州法。当初:生成AIを使った消費者インタラクションに開示義務。2025年SB 226改正:開示義務を消費者から要求された場合のみに限定・健康/金融/生体データ収集の高リスク場面では積極的開示義務を維持。2025年SB 332:有効期限を2027年7月1日まで延長(もともと2025年5月期限だった)。", "extUrl": "https://le.utah.gov/~2024/bills/static/SB0149.html", "url": "https://www.google.com/search?q=Utah+UAIPA+Artificial+Intelligence+Policy+Act+SB+149+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "ai", "sub": "州AI法", "code": "Colorado-AI-Act", "name": "コロラド州AI法(SB 24-205 → SB 189で実質改正・2027年施行)", "name_en": "Colorado Artificial Intelligence Act (SB 24-205, signed May 2024; replaced by SB 189, effective Jan. 2027)", "status": "current", "year": 2026, "date": "2026-05-01", "featured": true, "priority": 13, "note": "【最新・2026年5月】米国初の包括的高リスクAI州規制。SB 24-205(2024年5月成立)は当初2026年2月1日施行予定→特別議会で2026年6月30日に延期→連邦裁判所が4月2026年に執行停止(xAI+DOJ提訴)→2026年5月1日にSB 189(ADMT通知・透明性中心の簡素化版)が上院提出。SB 189:旧SB 205のアルゴリズム差別規制を大幅縮小・通知・透明性フレームに変更・2027年1月1日施行。対象:雇用・教育・金融・医療・住宅・保険・法務分野の自動意思決定システム。", "extUrl": "https://leg.colorado.gov/bills/sb25-189", "url": "https://www.google.com/search?q=Colorado+AI+Act+SB+189+2026+replacement+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "ai", "sub": "州AI法", "code": "Texas-TRAIGA", "name": "テキサス州責任あるAIガバナンス法(TRAIGA)", "name_en": "Texas Responsible Artificial Intelligence Governance Act (TRAIGA) — HB 149 (Effective Jan. 1, 2026)", "status": "current", "year": 2025, "date": "2026-01-01", "featured": true, "priority": 12, "note": "2025年テキサス州議会で成立・2026年1月1日施行。禁止行為:①AI systemを意図的に使って本人・他者への危害・犯罪行為を誘発・奨励、②憲法上の権利侵害、③保護階層への違法差別、④ディープフェイク・児童ポルノ生成。当初提案(Colorado型の包括規制)から絞り込まれた禁止型規制。HB 581(未成年AI性的コンテンツサイト規制)・HB 3133(ディープフェイク削除義務)・SB 1188(医療AIの診断利用・開示義務)も2025年9月1日施行。", "extUrl": "https://capitol.texas.gov/BillLookup/history.aspx?LegSess=89R&Bill=HB149", "url": "https://www.google.com/search?q=Texas+TRAIGA+Responsible+AI+Governance+Act+HB149+2026+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "ai", "sub": "州AI法", "code": "California-AI-Laws", "name": "カリフォルニア州AI法群(SB 942・AB 2013・AB 1008等)", "name_en": "California AI Legislation Package: SB 942 (AI Transparency Act), AB 2013, AB 1008 (2024-2026)", "status": "current", "year": 2024, "date": "2024-09-01", "featured": true, "priority": 13, "note": "カリフォルニア州の主要AI法群(包括規制SB 1047は知事拒否):①SB 942(AI透明性法):月1000万人超の生成AI提供者に合成コンテンツを検出可能にする義務・無償検出ツール提供義務。本来2026年1月施行→AB 853で2026年8月2日に延期。②AB 2013:AIトレーニングデータの情報開示義務(学習データのソース・種類を公開)2026年1月1日施行。③AB 1008:AI生成コンテンツにCCPAを適用(識別可能個人に関するAI出力もプライバシー法対象)。④CPPA(カリフォルニアプライバシー保護庁)は2025年7月にADMT・サイバー監査の最終規則を確定。", "extUrl": "https://leginfo.legislature.ca.gov/", "url": "https://www.google.com/search?q=California+SB+942+AI+Transparency+Act+AB+2013+PDF" }, { "region": "na", "jurisdiction": "US", "cat": "auto", "sub": "米国自動運転・NHTSA", "code": "US-AV-Policy", "name": "米国自動運転車連邦政策(NHTSA・DOT・AV Policy Framework)", "name_en": "US Federal AV Policy: NHTSA AV Guidance 4.0, DOT AV 3.0, UNECE ADS Comment (2024-2026)", "status": "current", "year": 2026, "date": "2026-01-23", "featured": false, "priority": 9, "note": "米国では統一的な自動運転連邦法は未成立(州法が主)。NHTSA(米国道路交通安全局)がAV安全基準・リコール権限・クラッシュデータ報告義務を所管。2026年1月:DOTがUNECE ADS草案へのパブコメ公表。加速試験プログラム(AVTP)でOEM自主試験を奨励。FMVSS(連邦自動車安全基準)は手動運転前提の条項を順次改訂中。加州・テキサス・アリゾナ・ペンシルベニア等が州法でAV公道走行を規制。", "extUrl": "", "url": "https://www.google.com/search?q=NHTSA+Autonomous+Vehicle+Policy+2025+2026+federal+framework" }, { "region": "jp", "jurisdiction": "JP", "cat": "auto", "sub": "日本自動運転法制", "code": "道路交通法改正-L4", "name": "改正道路交通法(自動運転レベル4解禁・2023年施行)", "name_en": "Amended Road Traffic Act — Level 4 Autonomous Driving Authorization (April 2023)", "status": "current", "year": 2023, "date": "2023-04-01", "featured": true, "priority": 13, "note": "2022年4月27日公布・2023年4月1日施行。主要内容:①「特定自動運行」(レベル4)の許可制度を創設:運行計画書提出・安全措置確保を条件に無人自動運転を許可、②自動配送ロボット等の遠隔操作型小型車の公道走行を歩行者扱いで許可(6km/h以下)、③2025年改正で配送ロボットの歩道走行をさらに拡充(6km/h以下)。2023年5月に福井県永平寺町が全国初のL4許可取得。2026年現在10か所以上でL4実証・商用運行中。政府目標:2027年度までに100か所以上のL4無人自動運転移動サービス実現。", "extUrl": "https://laws.e-gov.go.jp/law/335AC0000000105", "url": "https://www.google.com/search?q=道路交通法+改正+自動運転レベル4+特定自動運行+2023+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "auto", "sub": "型式認証・安全基準", "code": "道路運送車両法-ADK", "name": "道路運送車両法(自動運転機能・型式認証)", "name_en": "Road Vehicles Act — Type Certification for Automated Driving Systems (Japan)", "status": "current", "year": 2022, "date": "2022-01-01", "featured": false, "priority": 10, "note": "世界初のL3型式認証取得(ホンダLEGEND・2021年)の法的根拠。UN-R157(ALKS)・UN-R79(操舵制御)等のUNECE規制を国内法に組み込み。サイバーセキュリティ管理システム(CSMS)認証・ソフトウェアアップデート管理(SUMS)認証義務。OTAアップデート規制(UNECE R156)も対応。自動運転中の事故責任(事業者・製造者分担)はデジタル庁SWGで継続検討中。", "extUrl": "https://laws.e-gov.go.jp/law/326AC0000000185", "url": "https://www.google.com/search?q=道路運送車両法+自動運転+型式認証+UNECE+R157+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "cross_border", "sub": "日本越境移転規制", "code": "APPI-越境移転2022", "name": "APPI 越境移転規制(2022年施行・第28条)", "name_en": "APPI Cross-Border Transfer Restrictions — Article 24/28 (Revised 2022)", "status": "current", "year": 2022, "date": "2022-04-01", "featured": true, "priority": 14, "note": "APPI第28条(旧第24条)の越境移転規制。規制ルート:①本人同意(相手国の個人情報保護レベルの情報提供義務付き)、②基準適合体制確保(契約等・本人への情報提供義務・PPCへの報告義務付き)、③PPCが指定する国・地域(現時点で欧州委員会十分性認定国に相当する国を指定)。義務化事項:本人への提供先国・制度・措置の情報提供。APPI 2026改正で一部緩和予定(AI開発データの第三者提供同意免除)。", "extUrl": "https://www.ppc.go.jp/personalinfo/legal/", "url": "https://www.google.com/search?q=個人情報保護法+第28条+越境移転規制+2022+ガイドライン+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "cross_border", "sub": "国際枠組み・CBPR", "code": "APPI-CBPR", "name": "APEC 越境プライバシールール(CBPR)・日本認定", "name_en": "APEC Cross-Border Privacy Rules (CBPR) / Privacy Recognition for Processors (PRP) — Japan", "status": "current", "year": 2017, "date": "2017-07-01", "featured": false, "priority": 9, "note": "APEC CBPRへの日本の参加(2017年)。APPIの基準適合体制の一ルートとして認定。米国・カナダ・メキシコ・シンガポール・韓国・台湾・フィリピン・タイ等と相互認定。CBPRの後継としてGlobal CBPRフォーラムが2022年に設立(EUは不参加)。APPIの越境移転の法的根拠として活用可能だが、GDPR十分性認定との同時適用には注意が必要。", "extUrl": "https://cbprs.org/", "url": "https://www.google.com/search?q=APEC+CBPR+Cross+Border+Privacy+Rules+Japan+PDF" }, { "region": "jp", "jurisdiction": "JP", "cat": "privacy", "sub": "個人情報保護基本法(APPI)", "code": "PPC-システム改革方針", "name": "個人情報保護委員会 制度見直し方針(2026年1月9日)", "name_en": "PPC System Reform Policy for APPI Amendment — January 9, 2026", "status": "current", "year": 2026, "date": "2026-01-09", "featured": false, "priority": 11, "note": "2026年1月9日PPC公表。3年ごと見直しの結論文書。APPI 2026年改正法案の政策基盤。主要方針:①AI開発・統計処理の同意免除、②特定生体個人情報の新カテゴリ、③16歳未満の子ども保護強化、④課徴金制度導入、⑤PPCの執行権限強化、⑥データ受託事業者の義務緩和。2026年4月7日閣議決定の直接の根拠文書。", "extUrl": "https://www.ppc.go.jp/", "url": "https://www.google.com/search?q=個人情報保護委員会+制度見直し+方針+2026年1月+PDF" } ]