Compliance & Regulationシリーズの一部
完全ガイドを読む地域別のサイバーセキュリティ規制要件: グローバル ビジネス向けのコンプライアンス マップ
2023 年以降、70 か国以上でサイバーセキュリティ規制が制定または更新されています。 規制の状況は、ほとんどの企業が追跡できるよりも速く進化しています。 2年前には自主的な指導であったものが、現在では重大な罰則を伴う強制力のある法律となっている。このガイドは、主要地域にわたるサイバーセキュリティ規制要件をマッピングし、グローバル企業が自らの義務を理解し、コンプライアンスを優先するのに役立ちます。
重要なポイント
- NIS2 (EU) はサイバーセキュリティ義務を 160,000 以上の組織に拡大し、管理者の個人責任も伴う
- SEC のサイバーセキュリティ開示規則により、米国の上場企業は重大なインシデントを 4 営業日以内に報告する必要があります
- APAC の規制は多岐にわたります。シンガポールとオーストラリアがリードしていますが、その他の規制はまだ枠組みを開発中です。
- 統一されたセキュリティ フレームワーク (ISO 27001 または NIST CSF) は、世界中の地域要件の 60 ~ 80% を満たします。
地域の規制マップ
欧州連合
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| NIS2 指令 | 2024 年 10 月 | 必須および重要なエンティティ (18 部門) | リスク管理、インシデント報告 (24 時間/72 時間)、サプライ チェーンのセキュリティ、管理者の説明責任 | 1,000 万ユーロまたは 2% の収益 (必須)、700 万ユーロまたは 1.4% (重要) |
| ドラ | 2025 年 1 月 | 金融セクター(銀行、保険、投資、ICTプロバイダー) | ICT リスク管理、インシデント分類/レポート、回復力テスト、サードパーティ リスク | エンティティのサイズに比例 |
| サイバーレジリエンス法 | 2027 年 (段階的) | デジタル要素を取り入れた製品 | 安全な設計、脆弱性処理、SBOM、CE マーキング | 1,500 万ユーロまたは 2.5% の収益 |
| GDPR (セキュリティ面) | 2018年 | EU の個人データを処理するあらゆる組織 | 「適切な技術的および組織的措置」 | 2,000 万ユーロまたは 4% の収益 |
NIS2 キーは NIS1 から変更されました:
- 約 10,000 組織から約 160,000 組織に拡大
- 管理機関はコンプライアンスに関して個人的に責任を負います
- 重大なインシデントに対する24時間の「早期警告」の義務化
- サプライチェーンのセキュリティ要件
- 重要な事業体に対する最低1,000万ユーロの罰金
米国
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| SEC サイバーセキュリティ規則 | 2023 年 12 月 | 米国の上場企業 | 重大なインシデントの開示 (4 営業日)、年次リスク ガバナンス報告書 | SEC の執行措置 |
| CISA レポート (CIRCIA) | 2026年(案) | 重要インフラ(16分野) | 72 時間のインシデント レポート、24 時間のランサムウェア支払いレポート | 民事罰 |
| FTC 法 (第 5 条) | 継続中 | 商業に従事する企業 | 「合理的な」セキュリティ慣行、「不公平な」慣行の執行 | さまざま (同意命令、罰金) |
| 州のプライバシー法 (カリフォルニア州、コロラド州、コネチカット州、バージニア州など) | いろいろ | 州のしきい値を満たしている企業 | セキュリティ慣行、違反通知 (州によって異なります) | 州 AG の執行 |
| HIPAA セキュリティ ルール | 2005 (更新) | 医療機関およびビジネス関係者 | PHI の管理的、物理的、技術的保護手段 | 違反カテゴリごとに年間最大 190 万ドル |
| GLBA セーフガード規則 | 2023 年更新 | 金融機関 | リスク評価、アクセス制御、MFA、暗号化、インシデント対応 | 連邦政府機関の執行 |
イギリス
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| 英国 NIS 規制 | 2018年 (更新) | 必須サービス、デジタル サービス | リスク管理、インシデント報告、サプライチェーン | 1700万ポンド |
| 英国の GDPR | 2021年 | 英国居住者データを処理する組織 | セキュリティ対策、侵害通知(72時間) | 1,750 万ポンドまたは収益 4% |
| FCA 要件 | 継続中 | 金融サービス会社 | 運用上の回復力、インシデント報告、サードパーティのリスク | FCA の施行 |
| 提案されているサイバーセキュリティおよびレジリエンス法案 | 2025 ~ 2026 年 | 現在の NIS スコープから拡張 | 強化されたインシデントレポート、サプライチェーン要件 | 未定 |
アジア太平洋
| 国 | 規制 | 主な要件 | 罰則 |
|---|---|---|---|
| シンガポール | 2018 年サイバーセキュリティ法 | CII オペレーター: インシデント報告、監査、リスク評価 | 100,000 シンガポールドル |
| オーストラリア | SOCI 法 2022 (修正) | 重要なインフラストラクチャ: リスク管理、インシデント報告 (12 ~ 72 時間) | 民事罰 |
| 日本 | 2022 年経済安全保障法 | 重要インフラ: サプライチェーンのスクリーニング | 行政命令 |
| 韓国 | ネットワーク法 + PIPA | データ侵害の通知、セキュリティ対策 | 5,000万ウォン + 収益3% |
| インド | CERT-In の方向性 2022 | 6 時間のインシデント レポート、ログ保存 (180 日間) | 懲役+罰金 |
| 中国 | CSL + DSL + PIPL | 重要なインフラストラクチャ: ローカリゼーション、セキュリティ レビュー、インシデント レポート | 最大 5% の収益 |
中東とアフリカ
| 国 | 規制 | 主な要件 | 罰則 |
|---|---|---|---|
| アラブ首長国連邦 | NESA 規格 + PDPL | 重要なインフラストラクチャ: セキュリティ管理、インシデント報告 | 罰金+免許取り消し |
| サウジアラビア | NCA ECC フレームワーク | 政府/重要: コンプライアンス評価、監視 | 規制の執行 |
| 南アフリカ | ポピア + エクタ | セキュリティ保護措置、違反通知 | 10M ランドまたは懲役 |
| ケニア | 2019 年データ保護法 | セキュリティ対策、侵害通知 | KSh 500 万または 1% の収益 |
普遍的なコンプライアンス フレームワークの構築
規制を規制にマッピングする
規制ごとに個別の管理を実装する代わりに、統一されたフレームワークを構築します。
| 制御ドメイン | NIS2 | 証券取引所 | ドラ | 英国NIS | シンガポール CSA |
|---|---|---|---|---|---|
| リスク評価 | 必須 | 必須 | 必須 | 必須 | 必須 |
| インシデント対応計画 | 必須 | 開示 | 必須 | 必須 | 必須 |
| インシデントレポート | 24時間/72時間 | 4バス。日 | 分類ベース | 72時間 | 必須 |
| サプライチェーンのセキュリティ | 必須 | 開示 | 必須 | 必須 | おすすめ |
| MFA / アクセス制御 | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 暗号化 | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 侵入テスト | 必須 | おすすめ | 毎年必要 | 必須 | 必須 |
| 取締役会の監督 | 必須 (個人責任) | 必須(開示) | 必須 | おすすめ | おすすめ |
| セキュリティ意識向上トレーニング | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 事業継続 | 必須 | 開示 | 必須 (復元力テスト) | 必須 | 必須 |
推奨される基本フレームワーク
NIST サイバーセキュリティ フレームワーク 2.0 または ISO 27001:2022 を基盤として開始します。
- NIST CSF 2.0: 無料、柔軟性があり、米国および国際的に広く認知されています
- ISO 27001: 認証可能、EU および企業顧客に好まれています
どちらのフレームワークも、ほとんどの規制で必要とされる中核的な制御ドメインをカバーしています。規制固有の要件 (報告スケジュール、文書形式) をその上に追加します。
インシデントレポートの比較
| 管轄区域 | 報告期限 | 報告先 | 必須コンテンツ |
|---|---|---|---|
| EU (NIS2) | 24 時間早期警告、72 時間完全 | 国家 CSIRT/当局 | 影響、指標、国境を越えた影響 |
| EU (GDPR) | 72時間(当局に対して)、「不当な遅滞なく」(リスクが高い場合は個人に対して) | 監督当局 | 性質、カテゴリー、おおよその記録、結果、対策 |
| EU (DORA) | 分類に応じて (1 時間から 1 か月) | 金融監督当局 | 分類ベースの詳細 |
| 米国 (SEC) | 4 営業日 (重大なインシデント) | SEC への提出 (8-K) | 性質、範囲、タイミング、重大な影響 |
| 米国 (CISA) | 72 時間のインシデント、24 時間のランサムウェア | CISA | 事件の詳細、影響、指標 |
| 英国 (NIS) | 72時間 | NCSC/関連当局 | 影響評価と対策 |
| インド (CERT-In) | 6時間 | CERT-In | インシデントの種類、影響を受けるシステム、影響 |
| オーストラリア (SOCI) | 12 時間 (重大)、72 時間 (重大) | ACSC | 影響、対応アクション、指標 |
| シンガポール (CSA) | 所定の期間 | CSA | 事件の詳細、影響、対応 |
コンプライアンスの優先順位付け
複数の地域で事業を展開している企業向け
- ISO 27001 または NIST CSF を基盤として実装します (すべての要件の 60 ~ 80% を満たす)
- 事業を展開している管轄区域ごとに 規制上のギャップをマッピング
- ペナルティの重大さによる優先順位付け: EU (NIS2/GDPR) および SEC のルールが最も重いペナルティを課します
- 報告の調和: 最も厳しい期限 (インドの場合は 6 時間) を守る 1 つのインシデント報告プロセスを構築し、各当局に合わせて出力を調整します。
- すべてを文書化: ほとんどの規制では、セキュリティだけでなく、実証的なコンプライアンスが必要です
よくある質問
NIS2 は当社に適用されますか?
NIS2 は、EU 内で事業を展開し、18 のセクター (エネルギー、運輸、銀行、医療、デジタル インフラストラクチャ、行政、宇宙、郵便、廃棄物、食品、製造、化学、研究、ICT サービス) のいずれかに該当する場合に適用されます。重要な主体は、重要な分野の大企業です。重要な主体は、これらの分野の中規模企業です。拡大された範囲では、NIS1 よりもはるかに多くの企業が対象となります。たとえ貴社が直接の対象外であっても、貴社のクライアントはサプライ チェーンに NIS2 への準拠を要求する場合があります。
複数の国のサイバーセキュリティ規制を遵守するにはどうすればよいですか?
共通の要件をカバーする統合セキュリティ フレームワーク (ISO 27001 または NIST CSF) を構築します。どのフレームワーク コントロールがどの規制を満たすかを示す規制マッピング ドキュメントを作成します。特定の管轄区域に固有の要件 (報告スケジュール、文書形式) については、基本フレームワークに付録を作成します。これは、個別のコンプライアンス プログラムを構築するよりもはるかに効率的です。
ERP システムには特にサイバーセキュリティ要件がありますか?
ERP に特有のものではありませんが、ERP システムは財務データ (SOX、DORA)、個人データ (GDPR、NIS2) を処理し、重要なビジネス システムとみなされることが多いため、通常、複数の規制範囲に該当します。 ERP に、役割ベースのアクセス制御、監査ログ、暗号化、定期的なパッチ適用、およびインシデント対応手順が備わっていることを確認します。 ECOSIRE は、これらの要件に対処する Odoo セキュリティ強化 を提供します。
次に何が起こるか
サイバーセキュリティの規制遵守は、ガバナンス プログラムの 1 つの側面です。これを、データ固有の規制の場合は データ ガバナンス、従業員データの場合は 従業員データのプライバシー、Web プロパティの場合は Cookie 同意の実装 と組み合わせます。
複数の管轄区域にわたるサイバーセキュリティ コンプライアンスのコンサルティングについては、ECOSIRE にお問い合わせください。
ECOSIRE が発行 -- 企業が世界的な規制環境を乗り切るのを支援します。
執筆者
ECOSIRE Research and Development Team
ECOSIREでエンタープライズグレードのデジタル製品を開発。Odoo統合、eコマース自動化、AI搭載ビジネスソリューションに関するインサイトを共有しています。
関連記事
AI エージェントのセキュリティのベスト プラクティス: 自律システムの保護
AI エージェントを保護するための包括的なガイド。プロンプト インジェクション防御、権限境界、データ保護、監査ログ、運用セキュリティをカバーします。
監査準備チェックリスト: ERP によって監査が 60% 高速化される方法
ERP システムを使用して監査準備チェックリストを完了します。適切な文書化、管理、自動化された証拠収集により、監査時間を 60% 削減します。
SMB 向けのクラウド セキュリティのベスト プラクティス: セキュリティ チームなしでクラウドを保護する
中小企業が専任のセキュリティ チームなしで実装できる、IAM、データ保護、モニタリング、コンプライアンスの実践的なベスト プラクティスにより、クラウド インフラストラクチャを保護します。
Compliance & Regulationのその他の記事
監査準備チェックリスト: ERP によって監査が 60% 高速化される方法
ERP システムを使用して監査準備チェックリストを完了します。適切な文書化、管理、自動化された証拠収集により、監査時間を 60% 削減します。
Cookie 同意実装ガイド: 法的に準拠した同意管理
GDPR、eプライバシー、CCPA、および世界的な規制に準拠した Cookie 同意を実装します。同意バナー、Cookie の分類、CMP の統合について説明します。
国境を越えたデータ転送規制: 国際的なデータ フローをナビゲートする
SCC、十分性決定、BCR を使用して国境を越えたデータ転送規制をナビゲートし、GDPR、英国、および APAC 準拠のための転送影響評価を行います。
データ ガバナンスとコンプライアンス: テクノロジー企業のための完全ガイド
コンプライアンス フレームワーク、データ分類、保持ポリシー、プライバシー規制、テクノロジー企業向けの実装ロードマップを網羅した完全なデータ ガバナンス ガイド。
データ保持ポリシーと自動化: 必要なものを保持し、必要なものを削除
法的要件、保持スケジュール、自動適用、GDPR、SOX、HIPAA のコンプライアンス検証を備えたデータ保持ポリシーを構築します。
従業員データのプライバシー管理: 人事ニーズとプライバシー権のバランスをとる
GDPR 要件、人事データ処理根拠、監視ポリシー、国境を越えた転送、保持のベスト プラクティスを使用して従業員データのプライバシーを管理します。