Compliance & Regulationシリーズの一部
完全ガイドを読む地域別のサイバーセキュリティ規制要件: グローバル ビジネス向けのコンプライアンス マップ
2023 年以降、70 か国以上でサイバーセキュリティ規制が制定または更新されています。 規制の状況は、ほとんどの企業が追跡できるよりも速く進化しています。 2年前には自主的な指導であったものが、現在では重大な罰則を伴う強制力のある法律となっている。このガイドは、主要地域にわたるサイバーセキュリティ規制要件をマッピングし、グローバル企業が自らの義務を理解し、コンプライアンスを優先するのに役立ちます。
重要なポイント
- NIS2 (EU) はサイバーセキュリティ義務を 160,000 以上の組織に拡大し、管理者の個人責任も伴う
- SEC のサイバーセキュリティ開示規則により、米国の上場企業は重大なインシデントを 4 営業日以内に報告する必要があります
- APAC の規制は多岐にわたります。シンガポールとオーストラリアがリードしていますが、その他の規制はまだ枠組みを開発中です。
- 統一されたセキュリティ フレームワーク (ISO 27001 または NIST CSF) は、世界中の地域要件の 60 ~ 80% を満たします。
地域の規制マップ
欧州連合
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| NIS2 指令 | 2024 年 10 月 | 必須および重要なエンティティ (18 部門) | リスク管理、インシデント報告 (24 時間/72 時間)、サプライ チェーンのセキュリティ、管理者の説明責任 | 1,000 万ユーロまたは 2% の収益 (必須)、700 万ユーロまたは 1.4% (重要) |
| ドラ | 2025 年 1 月 | 金融セクター(銀行、保険、投資、ICTプロバイダー) | ICT リスク管理、インシデント分類/レポート、回復力テスト、サードパーティ リスク | エンティティのサイズに比例 |
| サイバーレジリエンス法 | 2027 年 (段階的) | デジタル要素を取り入れた製品 | 安全な設計、脆弱性処理、SBOM、CE マーキング | 1,500 万ユーロまたは 2.5% の収益 |
| GDPR (セキュリティ面) | 2018年 | EU の個人データを処理するあらゆる組織 | 「適切な技術的および組織的措置」 | 2,000 万ユーロまたは 4% の収益 |
NIS2 キーは NIS1 から変更されました:
- 約 10,000 組織から約 160,000 組織に拡大
- 管理機関はコンプライアンスに関して個人的に責任を負います
- 重大なインシデントに対する24時間の「早期警告」の義務化
- サプライチェーンのセキュリティ要件
- 重要な事業体に対する最低1,000万ユーロの罰金
米国
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| SEC サイバーセキュリティ規則 | 2023 年 12 月 | 米国の上場企業 | 重大なインシデントの開示 (4 営業日)、年次リスク ガバナンス報告書 | SEC の執行措置 |
| CISA レポート (CIRCIA) | 2026年(案) | 重要インフラ(16分野) | 72 時間のインシデント レポート、24 時間のランサムウェア支払いレポート | 民事罰 |
| FTC 法 (第 5 条) | 継続中 | 商業に従事する企業 | 「合理的な」セキュリティ慣行、「不公平な」慣行の執行 | さまざま (同意命令、罰金) |
| 州のプライバシー法 (カリフォルニア州、コロラド州、コネチカット州、バージニア州など) | いろいろ | 州のしきい値を満たしている企業 | セキュリティ慣行、違反通知 (州によって異なります) | 州 AG の執行 |
| HIPAA セキュリティ ルール | 2005 (更新) | 医療機関およびビジネス関係者 | PHI の管理的、物理的、技術的保護手段 | 違反カテゴリごとに年間最大 190 万ドル |
| GLBA セーフガード規則 | 2023 年更新 | 金融機関 | リスク評価、アクセス制御、MFA、暗号化、インシデント対応 | 連邦政府機関の執行 |
イギリス
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| 英国 NIS 規制 | 2018年 (更新) | 必須サービス、デジタル サービス | リスク管理、インシデント報告、サプライチェーン | 1700万ポンド |
| 英国の GDPR | 2021年 | 英国居住者データを処理する組織 | セキュリティ対策、侵害通知(72時間) | 1,750 万ポンドまたは収益 4% |
| FCA 要件 | 継続中 | 金融サービス会社 | 運用上の回復力、インシデント報告、サードパーティのリスク | FCA の施行 |
| 提案されているサイバーセキュリティおよびレジリエンス法案 | 2025 ~ 2026 年 | 現在の NIS スコープから拡張 | 強化されたインシデントレポート、サプライチェーン要件 | 未定 |
アジア太平洋
| 国 | 規制 | 主な要件 | 罰則 |
|---|---|---|---|
| シンガポール | 2018 年サイバーセキュリティ法 | CII オペレーター: インシデント報告、監査、リスク評価 | 100,000 シンガポールドル |
| オーストラリア | SOCI 法 2022 (修正) | 重要なインフラストラクチャ: リスク管理、インシデント報告 (12 ~ 72 時間) | 民事罰 |
| 日本 | 2022 年経済安全保障法 | 重要インフラ: サプライチェーンのスクリーニング | 行政命令 |
| 韓国 | ネットワーク法 + PIPA | データ侵害の通知、セキュリティ対策 | 5,000万ウォン + 収益3% |
| インド | CERT-In の方向性 2022 | 6 時間のインシデント レポート、ログ保存 (180 日間) | 懲役+罰金 |
| 中国 | CSL + DSL + PIPL | 重要なインフラストラクチャ: ローカリゼーション、セキュリティ レビュー、インシデント レポート | 最大 5% の収益 |
中東とアフリカ
| 国 | 規制 | 主な要件 | 罰則 |
|---|---|---|---|
| アラブ首長国連邦 | NESA 規格 + PDPL | 重要なインフラストラクチャ: セキュリティ管理、インシデント報告 | 罰金+免許取り消し |
| サウジアラビア | NCA ECC フレームワーク | 政府/重要: コンプライアンス評価、監視 | 規制の執行 |
| 南アフリカ | ポピア + エクタ | セキュリティ保護措置、違反通知 | 10M ランドまたは懲役 |
| ケニア | 2019 年データ保護法 | セキュリティ対策、侵害通知 | KSh 500 万または 1% の収益 |
普遍的なコンプライアンス フレームワークの構築
規制を規制にマッピングする
規制ごとに個別の管理を実装する代わりに、統一されたフレームワークを構築します。
| 制御ドメイン | NIS2 | 証券取引所 | ドラ | 英国NIS | シンガポール CSA |
|---|---|---|---|---|---|
| リスク評価 | 必須 | 必須 | 必須 | 必須 | 必須 |
| インシデント対応計画 | 必須 | 開示 | 必須 | 必須 | 必須 |
| インシデントレポート | 24時間/72時間 | 4バス。日 | 分類ベース | 72時間 | 必須 |
| サプライチェーンのセキュリティ | 必須 | 開示 | 必須 | 必須 | おすすめ |
| MFA / アクセス制御 | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 暗号化 | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 侵入テスト | 必須 | おすすめ | 毎年必要 | 必須 | 必須 |
| 取締役会の監督 | 必須 (個人責任) | 必須(開示) | 必須 | おすすめ | おすすめ |
| セキュリティ意識向上トレーニング | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 事業継続 | 必須 | 開示 | 必須 (復元力テスト) | 必須 | 必須 |
推奨される基本フレームワーク
NIST サイバーセキュリティ フレームワーク 2.0 または ISO 27001:2022 を基盤として開始します。
- NIST CSF 2.0: 無料、柔軟性があり、米国および国際的に広く認知されています
- ISO 27001: 認証可能、EU および企業顧客に好まれています
どちらのフレームワークも、ほとんどの規制で必要とされる中核的な制御ドメインをカバーしています。規制固有の要件 (報告スケジュール、文書形式) をその上に追加します。
インシデントレポートの比較
| 管轄区域 | 報告期限 | 報告先 | 必須コンテンツ |
|---|---|---|---|
| EU (NIS2) | 24 時間早期警告、72 時間完全 | 国家 CSIRT/当局 | 影響、指標、国境を越えた影響 |
| EU (GDPR) | 72時間(当局に対して)、「不当な遅滞なく」(リスクが高い場合は個人に対して) | 監督当局 | 性質、カテゴリー、おおよその記録、結果、対策 |
| EU (DORA) | 分類に応じて (1 時間から 1 か月) | 金融監督当局 | 分類ベースの詳細 |
| 米国 (SEC) | 4 営業日 (重大なインシデント) | SEC への提出 (8-K) | 性質、範囲、タイミング、重大な影響 |
| 米国 (CISA) | 72 時間のインシデント、24 時間のランサムウェア | CISA | 事件の詳細、影響、指標 |
| 英国 (NIS) | 72時間 | NCSC/関連当局 | 影響評価と対策 |
| インド (CERT-In) | 6時間 | CERT-In | インシデントの種類、影響を受けるシステム、影響 |
| オーストラリア (SOCI) | 12 時間 (重大)、72 時間 (重大) | ACSC | 影響、対応アクション、指標 |
| シンガポール (CSA) | 所定の期間 | CSA | 事件の詳細、影響、対応 |
コンプライアンスの優先順位付け
複数の地域で事業を展開している企業向け
- ISO 27001 または NIST CSF を基盤として実装します (すべての要件の 60 ~ 80% を満たす)
- 事業を展開している管轄区域ごとに 規制上のギャップをマッピング
- ペナルティの重大さによる優先順位付け: EU (NIS2/GDPR) および SEC のルールが最も重いペナルティを課します
- 報告の調和: 最も厳しい期限 (インドの場合は 6 時間) を守る 1 つのインシデント報告プロセスを構築し、各当局に合わせて出力を調整します。
- すべてを文書化: ほとんどの規制では、セキュリティだけでなく、実証的なコンプライアンスが必要です
よくある質問
NIS2 は当社に適用されますか?
NIS2 は、EU 内で事業を展開し、18 のセクター (エネルギー、運輸、銀行、医療、デジタル インフラストラクチャ、行政、宇宙、郵便、廃棄物、食品、製造、化学、研究、ICT サービス) のいずれかに該当する場合に適用されます。重要な主体は、重要な分野の大企業です。重要な主体は、これらの分野の中規模企業です。拡大された範囲では、NIS1 よりもはるかに多くの企業が対象となります。たとえ貴社が直接の対象外であっても、貴社のクライアントはサプライ チェーンに NIS2 への準拠を要求する場合があります。
複数の国のサイバーセキュリティ規制を遵守するにはどうすればよいですか?
共通の要件をカバーする統合セキュリティ フレームワーク (ISO 27001 または NIST CSF) を構築します。どのフレームワーク コントロールがどの規制を満たすかを示す規制マッピング ドキュメントを作成します。特定の管轄区域に固有の要件 (報告スケジュール、文書形式) については、基本フレームワークに付録を作成します。これは、個別のコンプライアンス プログラムを構築するよりもはるかに効率的です。
ERP システムには特にサイバーセキュリティ要件がありますか?
ERP に特有のものではありませんが、ERP システムは財務データ (SOX、DORA)、個人データ (GDPR、NIS2) を処理し、重要なビジネス システムとみなされることが多いため、通常、複数の規制範囲に該当します。 ERP に、役割ベースのアクセス制御、監査ログ、暗号化、定期的なパッチ適用、およびインシデント対応手順が備わっていることを確認します。 ECOSIRE は、これらの要件に対処する Odoo セキュリティ強化 を提供します。
次に何が起こるか
サイバーセキュリティの規制遵守は、ガバナンス プログラムの 1 つの側面です。これを、データ固有の規制の場合は データ ガバナンス、従業員データの場合は 従業員データのプライバシー、Web プロパティの場合は Cookie 同意の実装 と組み合わせます。
複数の管轄区域にわたるサイバーセキュリティ コンプライアンスのコンサルティングについては、ECOSIRE にお問い合わせください。
ECOSIRE が発行 -- 企業が世界的な規制環境を乗り切るのを支援します。
執筆者
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
関連記事
電子商取引のサイバーセキュリティ: 2026 年のビジネスを守る
2026 年の完全な e コマース サイバーセキュリティ ガイド。PCI DSS 4.0、WAF セットアップ、ボット保護、支払い詐欺防止、セキュリティ ヘッダー、およびインシデント対応。
化学産業向け ERP: 安全性、コンプライアンス、バッチ処理
ERP システムが化学会社の SDS 文書、REACH および GHS 準拠、バッチ処理、品質管理、危険物輸送、配合管理をどのように管理するか。
輸出入取引用ERP: 多通貨、物流、コンプライアンス
ERP システムが商社の信用状、税関書類、インコタームズ、多通貨損益計算書、コンテナ追跡、関税計算をどのように処理するか。
Compliance & Regulationのその他の記事
電子商取引のサイバーセキュリティ: 2026 年のビジネスを守る
2026 年の完全な e コマース サイバーセキュリティ ガイド。PCI DSS 4.0、WAF セットアップ、ボット保護、支払い詐欺防止、セキュリティ ヘッダー、およびインシデント対応。
化学産業向け ERP: 安全性、コンプライアンス、バッチ処理
ERP システムが化学会社の SDS 文書、REACH および GHS 準拠、バッチ処理、品質管理、危険物輸送、配合管理をどのように管理するか。
輸出入取引用ERP: 多通貨、物流、コンプライアンス
ERP システムが商社の信用状、税関書類、インコタームズ、多通貨損益計算書、コンテナ追跡、関税計算をどのように処理するか。
ERP を使用した持続可能性と ESG レポート: コンプライアンス ガイド 2026
ERP システムを使用して、2026 年の ESG 報告コンプライアンスをナビゲートします。 CSRD、GRI、SASB、スコープ 1/2/3 排出量、炭素追跡、Odoo の持続可能性をカバーします。
監査準備チェックリスト: 書籍の準備をする
財務諸表の準備状況、裏付け文書、内部統制文書、監査人の PBC リスト、一般的な監査結果を網羅した完全な監査準備チェックリスト。
電子商取引ビジネスのためのオーストラリア GST ガイド
ATO 登録、75,000 ドルの基準値、少額輸入、BAS 申請、デジタル サービスの GST を網羅した、e コマース ビジネス向けのオーストラリア GST 完全ガイド。