Compliance & Regulationシリーズの一部
完全ガイドを読む2023 年以降、70 か国以上でサイバーセキュリティ規制が制定または更新されています。 規制の状況は、ほとんどの企業が追跡できるよりも速く進化しています。 2年前には自主的な指導であったものが、現在では重大な罰則を伴う強制力のある法律となっている。このガイドは、主要地域にわたるサイバーセキュリティ規制要件をマッピングし、グローバル企業が自らの義務を理解し、コンプライアンスを優先するのに役立ちます。
重要なポイント
- NIS2 (EU) はサイバーセキュリティ義務を 160,000 以上の組織に拡大し、管理者の個人責任も伴う
- SEC のサイバーセキュリティ開示規則により、米国の上場企業は重大なインシデントを 4 営業日以内に報告する必要があります
- APAC の規制は多岐にわたります。シンガポールとオーストラリアがリードしていますが、その他の規制はまだ枠組みを開発中です。
- 統一されたセキュリティ フレームワーク (ISO 27001 または NIST CSF) は、世界中の地域要件の 60 ~ 80% を満たします。
地域の規制マップ
欧州連合
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| NIS2 指令 | 2024 年 10 月 | 必須および重要なエンティティ (18 部門) | リスク管理、インシデント報告 (24 時間/72 時間)、サプライ チェーンのセキュリティ、管理者の説明責任 | 1,000 万ユーロまたは 2% の収益 (必須)、700 万ユーロまたは 1.4% (重要) |
| ドラ | 2025 年 1 月 | 金融セクター(銀行、保険、投資、ICTプロバイダー) | ICT リスク管理、インシデント分類/レポート、回復力テスト、サードパーティ リスク | エンティティのサイズに比例 |
| サイバーレジリエンス法 | 2027 年 (段階的) | デジタル要素を取り入れた製品 | 安全な設計、脆弱性処理、SBOM、CE マーキング | 1,500 万ユーロまたは 2.5% の収益 |
| GDPR (セキュリティ面) | 2018年 | EU の個人データを処理するあらゆる組織 | 「適切な技術的および組織的措置」 | 2,000 万ユーロまたは 4% の収益 |
NIS2 キーは NIS1 から変更されました:
- 約 10,000 組織から約 160,000 組織に拡大
- 管理機関はコンプライアンスに関して個人的に責任を負います
- 重大なインシデントに対する24時間の「早期警告」の義務化
- サプライチェーンのセキュリティ要件
- 重要な事業体に対する最低1,000万ユーロの罰金
米国
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| SEC サイバーセキュリティ規則 | 2023 年 12 月 | 米国の上場企業 | 重大なインシデントの開示 (4 営業日)、年次リスク ガバナンス報告書 | SEC の執行措置 |
| CISA レポート (CIRCIA) | 2026年(案) | 重要インフラ(16分野) | 72 時間のインシデント レポート、24 時間のランサムウェア支払いレポート | 民事罰 |
| FTC 法 (第 5 条) | 継続中 | 商業に従事する企業 | 「合理的な」セキュリティ慣行、「不公平な」慣行の執行 | さまざま (同意命令、罰金) |
| 州のプライバシー法 (カリフォルニア州、コロラド州、コネチカット州、バージニア州など) | いろいろ | 州のしきい値を満たしている企業 | セキュリティ慣行、違反通知 (州によって異なります) | 州 AG の執行 |
| HIPAA セキュリティ ルール | 2005 (更新) | 医療機関およびビジネス関係者 | PHI の管理的、物理的、技術的保護手段 | 違反カテゴリごとに年間最大 190 万ドル |
| GLBA セーフガード規則 | 2023 年更新 | 金融機関 | リスク評価、アクセス制御、MFA、暗号化、インシデント対応 | 連邦政府機関の執行 |
イギリス
| 規制 | 効果的 | 範囲 | 主な要件 | 罰則 |
|---|---|---|---|---|
| 英国 NIS 規制 | 2018年 (更新) | 必須サービス、デジタル サービス | リスク管理、インシデント報告、サプライチェーン | 1700万ポンド |
| 英国の GDPR | 2021年 | 英国居住者データを処理する組織 | セキュリティ対策、侵害通知(72時間) | 1,750 万ポンドまたは収益 4% |
| FCA 要件 | 継続中 | 金融サービス会社 | 運用上の回復力、インシデント報告、サードパーティのリスク | FCA の施行 |
| 提案されているサイバーセキュリティおよびレジリエンス法案 | 2025 ~ 2026 年 | 現在の NIS スコープから拡張 | 強化されたインシデントレポート、サプライチェーン要件 | 未定 |
アジア太平洋
| 国 | 規制 | 主な要件 | 罰則 |
|---|---|---|---|
| シンガポール | 2018 年サイバーセキュリティ法 | CII オペレーター: インシデント報告、監査、リスク評価 | 100,000 シンガポールドル |
| オーストラリア | SOCI 法 2022 (修正) | 重要なインフラストラクチャ: リスク管理、インシデント報告 (12 ~ 72 時間) | 民事罰 |
| 日本 | 2022 年経済安全保障法 | 重要インフラ: サプライチェーンのスクリーニング | 行政命令 |
| 韓国 | ネットワーク法 + PIPA | データ侵害の通知、セキュリティ対策 | 5,000万ウォン + 収益3% |
| インド | CERT-In の方向性 2022 | 6 時間のインシデント レポート、ログ保存 (180 日間) | 懲役+罰金 |
| 中国 | CSL + DSL + PIPL | 重要なインフラストラクチャ: ローカリゼーション、セキュリティ レビュー、インシデント レポート | 最大 5% の収益 |
中東とアフリカ
| 国 | 規制 | 主な要件 | 罰則 |
|---|---|---|---|
| アラブ首長国連邦 | NESA 規格 + PDPL | 重要なインフラストラクチャ: セキュリティ管理、インシデント報告 | 罰金+免許取り消し |
| サウジアラビア | NCA ECC フレームワーク | 政府/重要: コンプライアンス評価、監視 | 規制の執行 |
| 南アフリカ | ポピア + エクタ | セキュリティ保護措置、違反通知 | 10M ランドまたは懲役 |
| ケニア | 2019 年データ保護法 | セキュリティ対策、侵害通知 | KSh 500 万または 1% の収益 |
普遍的なコンプライアンス フレームワークの構築
規制を規制にマッピングする
規制ごとに個別の管理を実装する代わりに、統一されたフレームワークを構築します。
| 制御ドメイン | NIS2 | 証券取引所 | ドラ | 英国NIS | シンガポール CSA |
|---|---|---|---|---|---|
| リスク評価 | 必須 | 必須 | 必須 | 必須 | 必須 |
| インシデント対応計画 | 必須 | 開示 | 必須 | 必須 | 必須 |
| インシデントレポート | 24時間/72時間 | 4バス。日 | 分類ベース | 72時間 | 必須 |
| サプライチェーンのセキュリティ | 必須 | 開示 | 必須 | 必須 | おすすめ |
| MFA / アクセス制御 | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 暗号化 | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 侵入テスト | 必須 | おすすめ | 毎年必要 | 必須 | 必須 |
| 取締役会の監督 | 必須 (個人責任) | 必須(開示) | 必須 | おすすめ | おすすめ |
| セキュリティ意識向上トレーニング | 必須 | おすすめ | 必須 | 必須 | 必須 |
| 事業継続 | 必須 | 開示 | 必須 (復元力テスト) | 必須 | 必須 |
推奨される基本フレームワーク
NIST サイバーセキュリティ フレームワーク 2.0 または ISO 27001:2022 を基盤として開始します。
- NIST CSF 2.0: 無料、柔軟性があり、米国および国際的に広く認知されています
- ISO 27001: 認証可能、EU および企業顧客に好まれています
どちらのフレームワークも、ほとんどの規制で必要とされる中核的な制御ドメインをカバーしています。規制固有の要件 (報告スケジュール、文書形式) をその上に追加します。
インシデントレポートの比較
| 管轄区域 | 報告期限 | 報告先 | 必須コンテンツ |
|---|---|---|---|
| EU (NIS2) | 24 時間早期警告、72 時間完全 | 国家 CSIRT/当局 | 影響、指標、国境を越えた影響 |
| EU (GDPR) | 72時間(当局に対して)、「不当な遅滞なく」(リスクが高い場合は個人に対して) | 監督当局 | 性質、カテゴリー、おおよその記録、結果、対策 |
| EU (DORA) | 分類に応じて (1 時間から 1 か月) | 金融監督当局 | 分類ベースの詳細 |
| 米国 (SEC) | 4 営業日 (重大なインシデント) | SEC への提出 (8-K) | 性質、範囲、タイミング、重大な影響 |
| 米国 (CISA) | 72 時間のインシデント、24 時間のランサムウェア | CISA | 事件の詳細、影響、指標 |
| 英国 (NIS) | 72時間 | NCSC/関連当局 | 影響評価と対策 |
| インド (CERT-In) | 6時間 | CERT-In | インシデントの種類、影響を受けるシステム、影響 |
| オーストラリア (SOCI) | 12 時間 (重大)、72 時間 (重大) | ACSC | 影響、対応アクション、指標 |
| シンガポール (CSA) | 所定の期間 | CSA | 事件の詳細、影響、対応 |
コンプライアンスの優先順位付け
複数の地域で事業を展開している企業向け
- ISO 27001 または NIST CSF を基盤として実装します (すべての要件の 60 ~ 80% を満たす)
- 事業を展開している管轄区域ごとに 規制上のギャップをマッピング
- ペナルティの重大さによる優先順位付け: EU (NIS2/GDPR) および SEC のルールが最も重いペナルティを課します
- 報告の調和: 最も厳しい期限 (インドの場合は 6 時間) を守る 1 つのインシデント報告プロセスを構築し、各当局に合わせて出力を調整します。
- すべてを文書化: ほとんどの規制では、セキュリティだけでなく、実証的なコンプライアンスが必要です
よくある質問
NIS2 は当社に適用されますか?
NIS2 は、EU 内で事業を展開し、18 のセクター (エネルギー、運輸、銀行、医療、デジタル インフラストラクチャ、行政、宇宙、郵便、廃棄物、食品、製造、化学、研究、ICT サービス) のいずれかに該当する場合に適用されます。重要な主体は、重要な分野の大企業です。重要な主体は、これらの分野の中規模企業です。拡大された範囲では、NIS1 よりもはるかに多くの企業が対象となります。たとえ貴社が直接の対象外であっても、貴社のクライアントはサプライ チェーンに NIS2 への準拠を要求する場合があります。
複数の国のサイバーセキュリティ規制を遵守するにはどうすればよいですか?
共通の要件をカバーする統合セキュリティ フレームワーク (ISO 27001 または NIST CSF) を構築します。どのフレームワーク コントロールがどの規制を満たすかを示す規制マッピング ドキュメントを作成します。特定の管轄区域に固有の要件 (報告スケジュール、文書形式) については、基本フレームワークに付録を作成します。これは、個別のコンプライアンス プログラムを構築するよりもはるかに効率的です。
ERP システムには特にサイバーセキュリティ要件がありますか?
ERP に特有のものではありませんが、ERP システムは財務データ (SOX、DORA)、個人データ (GDPR、NIS2) を処理し、重要なビジネス システムとみなされることが多いため、通常、複数の規制範囲に該当します。 ERP に、役割ベースのアクセス制御、監査ログ、暗号化、定期的なパッチ適用、およびインシデント対応手順が備わっていることを確認します。 ECOSIRE は、これらの要件に対処する Odoo セキュリティ強化 を提供します。
次に何が起こるか
サイバーセキュリティの規制遵守は、ガバナンス プログラムの 1 つの側面です。これを、データ固有の規制の場合は データ ガバナンス、従業員データの場合は 従業員データのプライバシー、Web プロパティの場合は Cookie 同意の実装 と組み合わせます。
複数の管轄区域にわたるサイバーセキュリティ コンプライアンスのコンサルティングについては、ECOSIRE にお問い合わせください。
ECOSIRE が発行 -- 企業が世界的な規制環境を乗り切るのを支援します。
執筆者
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
関連記事
BMF Programmablaufplan Lohnsteuer 2026: ドイツの公式賃金税計算の実装 (XML、API、Odoo)
BMF Programmablaufplan Lohnsteuer 2026 の開発者ガイド: PAP とは何か、XML 疑似コード形式、公式テスト サービス、Odoo 給与へのマッピング。
衣料品およびファッション ブランド向け ERP: サイズとカラーのマトリックス、季節計画、およびコンプライアンス (2026 年ガイド)
2026 年にファッションおよび衣料品ブランドが ERP を選択する方法: サイズと色のマトリクスのバリエーション、季節計画、GoBD と DATEV のコンプライアンス、ベンダーの比較、コスト。
2026 年の ERPNext 人事および給与: セットアップ、給与構造、および複数国のコンプライアンス
2026 年に向けた ERPNext の人事および給与の段階的なセットアップ: HRMS アプリのインストール、給与構造、給与入力の実行、所得税スラブ、複数国のコンプライアンス。
Compliance & Regulationのその他の記事
BMF Programmablaufplan Lohnsteuer 2026: ドイツの公式賃金税計算の実装 (XML、API、Odoo)
BMF Programmablaufplan Lohnsteuer 2026 の開発者ガイド: PAP とは何か、XML 疑似コード形式、公式テスト サービス、Odoo 給与へのマッピング。
衣料品およびファッション ブランド向け ERP: サイズとカラーのマトリックス、季節計画、およびコンプライアンス (2026 年ガイド)
2026 年にファッションおよび衣料品ブランドが ERP を選択する方法: サイズと色のマトリクスのバリエーション、季節計画、GoBD と DATEV のコンプライアンス、ベンダーの比較、コスト。
2026 年の ERPNext 人事および給与: セットアップ、給与構造、および複数国のコンプライアンス
2026 年に向けた ERPNext の人事および給与の段階的なセットアップ: HRMS アプリのインストール、給与構造、給与入力の実行、所得税スラブ、複数国のコンプライアンス。
2026 年の GoHighLevel A2P 10DLC コンプライアンス: 登録、料金、ブロックされた SMS の修正
2026 年の完全な GoHighLevel A2P 10DLC ガイド: ブランドとキャンペーンの登録手順、通信事業者の料金、一般的な拒否理由、フィルターされた SMS の修正方法。
ERP システムの GxP 検証: 2026 年の検証 RFP で必要なもの (CSV、IQ/OQ/PQ、監査証跡)
2026 年に GxP ERP 検証 RFP に要求するもの: CSV および CSA の範囲、21 CFR Part 11、EU Annex 11、IQ/OQ/PQ 成果物、監査証跡、GAMP 5 リスク。
OpenClaw セキュリティ モデル、データ保存場所、SOC 2、および ISO 27001
OpenClaw セキュリティ アーキテクチャ: テナント分離、暗号化、機密管理、監査ログ、データ常駐、SOC 2、ISO 27001、GDPR、HIPAA 適合性。