第884号コラム：名和　利男 理事（日本サイバーディフェンス株式会社　シニアエグゼクティブアドバイザー）
題：日本企業に必要なインシデントレスポンス指標（MTTD、MTTRなど）

　能動的サイバー防御法が成立したことで、日本企業のインシデントレスポンスは「いかに早く検知し、どれだけ速やかに報告できるか」が法的義務へと格上げされた。本コラムは、経営層が果たすべきガバナンス強化と、現場実務者が担う測定・自動化の具体策を結び付け、MTTD（平均検知時間）や MTTR（平均復旧時間）といった時間系指標を再定義する。読後には、自社の指標が法律・ガイドライン・業界平均のどこに位置し、どの順序で改善投資を進めるべきかが見通せると思う。

第883号コラム：須川　賢洋 理事（新潟大学大学院　現代社会文化研究科・法学部　助教）
題：AI推進法からみる令和7年通常国会成立のICT関連法

　先の令和7年（2025年）通常国会でも様々な法律が制定している。その中にはICTに関連するものも多くある。中でも我々に関係あるものとしては、日本版AI法やAI推進法と呼ばれる「人工知能関連技術の研究開発及び活用の推進に関する法律」や、能動的サイバー防御のための法律である「重要電子計算機に対する不正な行為による被害の防止に関する法律（サイバー対処能力強化法）」があげられるであろう。今回は、このうちのAI新法について簡単に思うところを述べてみたい。

第882号コラム：佐藤　慶浩 理事（オフィス四々十六　代表）
題：「ISO/IEC 27701の2025年改訂とその影響」

ISO/IEC 27701の改訂

本コラムの第661号と第761号で、2019年に発行された「国際規格ISO/IEC 27701～PIMS:プライバシー情報マネジメントシステム」の紹介をしました。この規格は、2024年にJIS化され「JIS Q 27701 セキュリティ技術―プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張―要求事項及び指針」として発行されました。
ISO/IEC 27701は、ISO/IEC 27001（情報セキュリティ・マネジメントシステム。以下、「ISMS」と書きます。）とISO/IEC 27002を拡張したものでしたが、今年2025年に以下のように改訂されます。
(1) ISMSを拡張するものではなく独立したマネジメントシステムになる。
(2) セキュリティ対策としてISMSを前提としないものになる。
(3) これらにより規格名称は、プライバシー情報マネジメントシステムになる。
規格としては、大幅な変更となりますが、これまでのコラムで説明したプライバシー対策の内容についての大きな変更はなく、基本的な考え方はまったく変わりませんので、これまで読んでいただいたことは無駄にはならないので安心してください。

第881号コラム：松本　隆 理事（株式会社ディー・エヌ・エー　IT本部 セキュリティ部　サイバーアナリスト）
題：不正被害額と不正取引額

近年発生した証券口座乗っ取り事案は、その手口の巧妙さと被害の広がりにおいて、従来の金融犯罪とは一線を画すものであった。今回の報道では各社が「不正取引額」や「不正売買額」が「5000億円超」という見出しで伝えており、ネットでは「なぜ異なる被害額を足し合わせるのか」「被害を水増しして報道しているのではないか」といった意見も散見される。私はこの不正取引額や売買額という指標での報道は、一般向けの報道として的外れではないと考えている。ともあれ、「不正被害額」と「不正取引額」について検討するには、今回の証券口座乗っ取り事案における犯罪者の新たな収益化スキームを理解することが重要である。