編集部
個人情報保護やデータプライバシーは、もはや法務部門だけのテーマではありません。生成AIの急速な普及、相次ぐ大規模サイバーインシデント、そして個人情報保護法の規制強化により、データの扱い方そのものが企業価値を左右する時代に入っています。
一方で、「どこまで対応すれば十分なのか分からない」「海外規制やAIガイドラインまで追い切れていない」と感じているビジネスパーソンも多いのではないでしょうか。断片的なニュースを追うだけでは、全体像や実務への影響を正しく捉えることは困難です。
本記事では、国内外の最新動向や実際に起きた事例、統計データを交えながら、データプライバシーとガバナンスを巡る構造的な変化を整理します。読み進めることで、自社のリスクがどこに潜んでいるのか、そして今後どの領域に優先的に取り組むべきかが明確になります。
データプライバシーが経営課題へと変わった背景
かつてデータプライバシーは、法務部門や情報システム部門が担うコンプライアンス対応として位置づけられてきました。しかし2024年以降、その前提は大きく崩れています。**個人情報の取り扱いが企業価値、財務リスク、さらには経営者の説明責任に直結するテーマへと変質したこと**が、最大の背景です。
転換点の一つが、日本の個人情報保護法における「3年ごと見直し」を軸とした規制思想の変化です。個人情報保護委員会が示している方向性は、形式的なルール遵守ではなく、個人の権利利益が実質的に守られているかを問うものです。PwC Japanなどの専門家分析によれば、課徴金制度や差止請求権の拡大が検討されている点は、**プライバシー侵害がそのまま経営上の損失として可視化される時代の到来**を意味します。
さらに重要なのが、生成AIの急速な社会実装です。AIは競争優位を生む一方で、学習データやプロンプト入力を通じて個人情報が意図せず外部に流通するリスクを孕みます。個人情報保護委員会がOpenAIを名指しで注意喚起を行った事実は、**データ活用の巧拙がイノベーションだけでなく、法的・倫理的評価の対象になる**ことを象徴しています。これにより、データプライバシーは研究開発や事業戦略とも不可分な経営課題になりました。
経営課題化を決定づけたのは、実際の重大インシデントです。2024年のKADOKAWAグループへのランサムウェア攻撃や、LINEヤフーに対する総務省の行政指導は、単なるセキュリティ事故ではありませんでした。資本関係や委託先管理を含むガバナンスの欠陥が、社会的信頼の失墜と事業継続リスクに直結することを白日の下に晒したのです。
この変化は、統計にも裏付けられています。個人情報保護委員会の年次報告では、漏えい等事案の大半は誤送信などの業務プロセス起因ですが、一度の大規模侵害が企業評価を一変させる事例が増えています。市場や投資家は、事故の有無だけでなく、平時からどのようなガバナンスを敷いていたかを厳しく見ています。
| 従来の位置づけ | 2026年時点の位置づけ |
|---|---|
| 法令遵守・罰則回避 | 企業価値と財務リスク管理 |
| IT・法務部門中心 | 経営陣・取締役会の責任 |
| コスト要因 | 信頼獲得への投資 |
経済産業省が提唱するDFFTの議論が示す通り、**データは自由に流通してこそ価値を生みますが、その前提として「信頼」が不可欠**です。この信頼を制度・技術・組織でどう担保するかが、経営判断そのものになりました。データプライバシーが経営課題へと昇華した背景には、規制強化、技術革新、そして社会の期待水準の同時進行的な変化があります。
個人情報保護法の見直しが企業に与えるインパクト
個人情報保護法の見直しは、企業活動に対して従来とは次元の異なるインパクトを与え始めています。特に2025年以降の議論で明確になったのは、個人情報保護が法務やIT部門の課題から、経営リスクそのものへと格上げされた点です。個人情報保護委員会が公表した中間整理では、違反時の実効性を高める方向性が強く打ち出され、企業は「守れば足りる」段階をすでに過ぎています。
最大の変化は、課徴金制度の導入検討です。従来、日本では行政指導や勧告が中心でしたが、欧州GDPRに近い懲罰的要素を含む金銭制裁が現実味を帯びました。専門家の分析によれば、課徴金は単なる不当利得の没収にとどまらず、抑止力を重視した算定が想定されており、情報漏えいが即座に財務リスクへ直結する構造が生まれつつあります。
| 観点 | 従来 | 見直し後の方向性 |
|---|---|---|
| 違反対応 | 行政指導中心 | 課徴金・制裁重視 |
| 影響範囲 | 限定的 | 財務・ブランドに波及 |
| 経営関与 | 間接的 | 経営責任が明確化 |
さらに、差止請求権の拡大が検討されている点も見逃せません。適格消費者団体が個人情報保護法違反を理由に差止を求められるようになれば、企業は当局だけでなく市民社会からも常時監視される立場になります。透明性を欠いた同意取得や不明瞭な利用目的は、訴訟リスクそのものとして顕在化します。
実務面では、ビジネスモデルへの影響も深刻です。第三者提供やオプトアウトに依存してきたデータ活用は、制度厳格化によって再設計を迫られます。PwCなどの調査でも、今後はデータ活用の可否を「収益性」だけでなく「法的持続性」で判断する企業が増えると指摘されています。個人情報保護法の見直しは、企業にとって単なる規制対応ではなく、事業の前提条件を書き換える力を持つ変化なのです。
課徴金制度と差止請求権がもたらす新たなリスク
課徴金制度と差止請求権の導入・拡大は、日本企業にとってデータプライバシー違反のリスク構造を根本から変える転換点になります。これまでの個人情報保護法は、行政指導を中心とした是正型の運用が主流でしたが、2025年から2026年にかけての議論では、**違反行為そのものに経済的・事業的な痛みを与える仕組み**へと明確に舵が切られています。
まず課徴金制度は、単なる不当利得の没収にとどまらない点が最大の特徴です。個人情報保護委員会の検討資料や有識者の解説によれば、違反によって得た利益の算定が困難な場合でも、推計規定を用いて金額を算出し、場合によっては**抑止力を重視した懲罰的水準**まで引き上げる設計が想定されています。これは、欧州GDPRの制裁金モデルを強く意識した動きであり、「払って終わり」ではなく、経営判断そのものを問う性格を帯びています。
特に注意すべきは、セキュリティ投資を怠った結果としてのコスト削減や、曖昧な同意取得のもとで進めたデータ活用が、事後的に違反と評価される可能性です。PwCなどの専門家が指摘するように、**リスクは漏えい時点ではなく、日常的な運用設計の段階で既に内在**しています。
| 観点 | 従来 | 新制度下の想定 |
|---|---|---|
| 制裁の中心 | 行政指導・勧告 | 金銭的不利益を伴う課徴金 |
| 算定方法 | 不当利得ベース | 推計規定・懲罰的要素 |
| 経営影響 | 限定的 | 財務・投資判断に直結 |
もう一つの大きな変化が、差止請求権の拡大です。これにより、適格消費者団体が個人情報保護法違反を理由に、企業のデータ取り扱いそのものを止める訴訟を提起できる可能性が高まります。対象として議論されているのは、第三者提供制限違反、不正確なデータ放置、欺瞞的な取得行為など、マーケティングやデータビジネスの現場と直結する領域です。
ここで問題となるのは、違反の判断基準が必ずしも「明白な悪意」に限定されない点です。利用規約の分かりにくさや、同意画面におけるダークパターン的な設計は、消費者庁や学識経験者の間でも長年問題視されてきました。**形式的に同意を取っていても、実質的な理解が伴っていなければ差止の対象になり得る**という認識が、今後の前提になります。
この二つの制度が組み合わさることで、企業は監督官庁だけでなく、常時外部から監視される立場に置かれます。行政制裁による金銭リスクと、差止による事業停止リスクが同時に存在する環境では、プライバシー対応はコストではなく、事業継続の前提条件です。個人情報保護委員会や主要法律事務所が共通して指摘するように、**2026年以降は「違反しないこと」以上に、「説明できること」自体が競争力**となっていきます。
生成AI利用に潜む個人情報・ガバナンス上の落とし穴
生成AIは業務効率を飛躍的に高める一方で、個人情報とガバナンスの観点では極めて繊細な地雷原でもあります。特に問題となるのが、現場主導で進む生成AI活用が、既存の個人情報保護体制や意思決定プロセスを容易にすり抜けてしまう点です。便利さゆえに入力されたプロンプトが、企業にとって想定外のリスクを内包するケースが2025年以降、急増しています。
個人情報保護委員会によれば、生成AIへの入力行為自体が個人データの「第三者提供」や「目的外利用」に該当する可能性があるとされています。例えば、顧客対応の効率化を目的に氏名や問い合わせ履歴をそのまま生成AIに入力した場合、そのデータがAIベンダー側で学習に利用されれば、本人同意のない利用となり法令違反に直結します。**入力した瞬間にリスクが発生する**という点が、従来のITツールとは決定的に異なります。
加えて、ガバナンス上の落とし穴は「誰が責任を持つのか」が曖昧になりやすい点です。クラウド型生成AIは、API利用、ブラウザ利用、個人アカウント利用が混在しやすく、IT部門や法務部門が把握できないシャドーAI利用を生みます。経済産業省と総務省が公表したAI事業者ガイドラインでも、利用状況の可視化と責任分界の明確化が強調されています。
| 利用形態 | 主なリスク | ガバナンス上の論点 |
|---|---|---|
| 無料版Web UI | 入力データの学習利用 | 第三者提供・目的外利用 |
| API利用 | 設定不備による保存 | 契約条件の確認責任 |
| 個人アカウント | 統制外のデータ流出 | 内部統制の形骸化 |
さらに見落とされがちなのが、生成AIの出力結果そのものが新たな個人情報リスクを生む点です。複数の断片情報を組み合わせることで特定の個人が推知される再識別リスクは、学術研究でも繰り返し指摘されています。OECDや欧州データ保護当局の議論でも、AIは「入力」だけでなく「出力」まで含めて管理すべき対象とされています。
**生成AI時代の本質的なガバナンス課題は、技術の問題ではなく組織の問題です。** 利用ルールを定めるだけでなく、どの業務で、誰が、どのAIを使い、どのデータを扱うのかを継続的に点検する仕組みがなければ、企業は知らぬ間に法的・倫理的リスクを蓄積します。生成AIを競争力の源泉に変えられるかどうかは、この見えにくい落とし穴にどれだけ早く気づけるかにかかっています。
AI事業者ガイドラインとソフトローの実務的意味
AI事業者ガイドラインは、法的拘束力を持たないにもかかわらず、2026年に向けた企業実務において無視できない影響力を持っています。経済産業省と総務省が2024年に公表したAI事業者ガイドライン第1.0版は、AI開発者・提供者・利用者という三つの立場ごとに、リスク管理と責任の所在を整理しました。**ここで重要なのは、ガイドラインが単なる理念集ではなく、実務上の判断基準として機能し始めている点**です。
とりわけソフトローとしての意味は、トラブル発生時に顕在化します。個人情報保護委員会や裁判所が、過失や善管注意義務違反の有無を検討する際、「当該企業がガイドラインに沿った体制を整備していたか」が参照される可能性が高いと、複数の法学者や実務家が指摘しています。これは、遵守しなくても直ちに違法とはならない一方で、無視した場合には説明責任を果たせなくなるという、事実上の規範力を意味します。
実務で特に影響が大きいのは、AIのライフサイクル全体を通じたリスクマネジメントです。企画・学習・提供・運用・廃棄という各段階で、どのようなリスクを想定し、誰が判断し、どのように記録するかが求められています。**記録を残すこと自体が、将来の紛争に備えた防御策になる**という発想は、従来のITガイドラインには見られなかった特徴です。
| 観点 | ガイドラインが示す要請 | 実務的な意味 |
|---|---|---|
| 説明責任 | 利用者・社会への情報提供 | 不透明なAI利用は訴訟・炎上リスクを高める |
| リスク管理 | ライフサイクル全体での対応 | 事後対応では過失を否定しにくい |
| 体制整備 | 責任者と判断プロセスの明確化 | 属人的運用はガバナンス不全と評価される |
また、このガイドラインは国際的な文脈とも強く結びついています。OECDのAI原則やG7広島AIプロセスとの整合性が意識されており、日本独自のローカルルールではありません。**国内ガイドラインへの対応が、そのままグローバル市場での信頼確保につながる**という点は、海外展開を行う企業にとって大きな意味を持ちます。
結果として、AI事業者ガイドラインは「守らなくてもよい指針」ではなく、「守っていなければ説明できない基準」へと変質しています。法改正を待つ姿勢ではなく、ソフトローを先取りして社内規程や運用に落とし込めるかどうかが、2026年以降のAI活用の明暗を分ける要素になりつつあります。
KADOKAWAとLINEヤフーの事例に学ぶガバナンス不全
2024年に相次いで表面化したKADOKAWAとLINEヤフーのインシデントは、日本企業に共通するガバナンス不全の本質を浮き彫りにしました。両社の事例は、単なるサイバー攻撃対策の失敗ではなく、経営レベルでの意思決定や統制構造の欠陥が、被害を決定的に拡大させた点に特徴があります。
KADOKAWAグループのランサムウェア被害では、ニコニコ動画をはじめとする主要サービスが長期間停止し、出版・物流にまで影響が及びました。攻撃自体は高度でしたが、より深刻だったのは、グループ全体でのシステム依存関係の複雑化と、復旧を前提とした統制設計が不十分だったことです。
同社は迅速に対策本部を設置し、物理的な遮断措置を講じましたが、復旧に数か月を要しました。一方で、クレジットカード情報を自社で保持しない非保持化を徹底していたため、金銭被害を防げた点は評価されています。どのデータを持ち、どのデータを持たないかという経営判断そのものが、被害の明暗を分けた事例です。
対照的にLINEヤフーの事案は、外部攻撃以上に内部ガバナンスが問題視されました。総務省の行政指導が示したのは、技術的対策の甘さではなく、親会社であるNAVER社との資本関係と委託関係が、適切な監督を妨げていたという構造的欠陥です。
認証基盤や従業員情報の一部を親会社側と共有し、ネットワーク分離が不十分だった結果、委託先経由での侵入を許しました。総務省が資本関係の見直しにまで踏み込んだのは、セキュリティ事故の原因が「親会社には強く言えない」というガバナンスの歪みにあったと判断したためです。
| 項目 | KADOKAWA | LINEヤフー |
|---|---|---|
| 主因 | ランサムウェア攻撃への統制不足 | 資本関係を含む委託先管理の欠陥 |
| 被害拡大要因 | システム依存関係の複雑化 | 認証基盤・ネットワークの共有 |
| 象徴的教訓 | 持たないデータ戦略の重要性 | 親会社も例外としない監督責任 |
両事例に共通するのは、サイバーセキュリティがIT部門の課題にとどまらず、経営ガバナンスそのものの問題として顕在化した点です。個人情報保護委員会や総務省の見解が示す通り、データ管理は今や経営責任の中核に位置付けられています。
IPAが公表した情報セキュリティ10大脅威2025で、サプライチェーンや委託先を狙った攻撃が上位に挙げられた背景にも、こうした構造的リスクへの危機感があります。自社だけを守る発想ではなく、資本関係や業務委託を含めた全体設計が求められています。
これらの事例が示す最大の示唆は明確です。ガバナンスの弱点は、平時には見えにくいが、有事には致命傷になるという現実です。経営陣がどこまで関与し、どこに責任線を引くのか。その判断こそが、企業の信頼と存続を左右する時代に入っています。
統計データが示す本当の情報漏えいリスク
情報漏えいリスクというと、ランサムウェアや高度なサイバー攻撃を真っ先に想起する方が多いですが、統計データが示す現実はそれとは大きく異なります。実際に最も頻繁に発生している漏えい原因は、極めて日常的な人的ミスです。この事実を直視しない限り、どれほど高度なセキュリティ投資を行っても、リスクの本質は解消されません。
個人情報保護委員会が公表した令和5年度の年次報告によれば、民間事業者から報告された個人情報の漏えい等事案は12,120件に上ります。その内訳を見ると、「誤交付・誤送信」が全体の6割超を占めていることが明らかになっています。メールの宛先ミス、書類の封入違い、FAXの誤送信といった、誰の職場でも起こり得る行為が、最大のリスク源となっているのです。
| 原因区分 | 件数 | 構成比 |
|---|---|---|
| 誤交付・誤送信 | 4,375件 | 61.8% |
| 不正アクセス | 196件 | 2.8% |
| 内部不正 | 30件 | 0.4% |
一方で注意すべきなのは、件数が少ない不正アクセスのインパクトです。不正アクセスによる事案は、一度発生すると数万人から数百万人規模の情報が流出する傾向があります。同じ年次報告では、5万人を超える個人情報が漏えいした事案が61件確認されています。頻度は低いものの、発生時の経営・ブランドへの打撃は、誤送信とは比較になりません。
この二つの統計を並べて読むことで、情報漏えいリスクの「二層構造」が浮かび上がります。すなわち、発生確率が極めて高い日常的リスクと、発生確率は低いが致命傷になり得る集中リスクが同時に存在しているという構造です。セキュリティ対策を技術論だけで語ることが危険である理由が、ここにあります。
実務の観点では、EDRやSOCといった高度な対策は後者の集中リスクを抑制するために不可欠です。しかし前者のリスクに対しては、ツール導入よりも業務プロセス設計と組織行動が決定的な意味を持ちます。例えば、メール送信時の自動アラート、添付ファイルの暗号化ルール、個人情報を含む業務の分業禁止などは、統計的に最も効果が高い対策として評価されています。
情報セキュリティ分野の研究者や監査法人の分析でも、人的ミス対策に投じた1円あたりのリスク低減効果は、最先端技術への投資より高いケースが多いと指摘されています。統計が示しているのは、脅威の高度化よりも「組織の日常」が最大の敵であるという、直感に反する現実です。
情報漏えい対策を経営課題として捉えるなら、派手な対策だけで安心するのではなく、数字が示す真のリスク分布に基づいて優先順位を再設計する必要があります。統計データは、恐怖を煽るための材料ではなく、最も合理的な意思決定を行うための羅針盤なのです。
越境データ移転とCBPRが描くグローバル対応
国境を越えたデータ移転は、2026年時点で日本企業の成長戦略そのものと直結するテーマになっています。クラウド活用やグローバルなデータ分析が前提となる一方、各国でデータ主権を重視する規制が強化され、単純にデータを海外へ送ることが難しくなっています。この緊張関係を調整する実務的な解として注目されているのがCBPRです。
CBPRは、企業単位でプライバシー保護体制を認証し、加盟国間でのデータ移転を円滑にする仕組みです。OECDやAPECで議論されてきた「信頼に基づくデータ流通」という考え方を、具体的な運用に落とし込んでいる点が特徴です。経済産業省によれば、契約条項ごとの法務チェックに依存する従来型モデルに比べ、ガバナンスの成熟度そのものを評価する点に本質的な価値があります。
| 観点 | CBPR | 従来の契約対応 |
|---|---|---|
| 評価対象 | 組織全体のプライバシー体制 | 個別の契約内容 |
| 運用負荷 | 初期審査は重いが継続は安定 | 国・案件ごとに都度対応 |
| グローバル展開 | 加盟地域で横断的に有効 | 地域ごとに再設計が必要 |
実際、日本でCBPR認証を取得している企業は2025年時点でまだ数社にとどまります。しかし、英国やドバイ国際金融センターが参加したことで、欧州十分性認定ともGDPRとも異なる第三の選択肢として存在感が増しています。特にEU域外市場を主戦場とする企業にとって、CBPRは地政学リスクを分散する保険のような役割を果たします。
一方で、米国では州法が乱立し、単一の法令遵守では足りない状況が続いています。ここでCBPRを取得している企業は、州法対応の説明においても「国際的に検証されたガバナンスを有している」という説得力を持てます。複数の法律を横断する共通言語として機能する点は、法務・セキュリティ部門だけでなく、海外パートナーとの交渉でも実利があります。
今後は、生成AIや分析基盤で大量データを国際的に回す企業ほど、移転の正当性と説明責任を同時に問われます。CBPRを軸に、内部規程、委託先管理、苦情処理までを一体化させることが、グローバル市場で信頼を獲得する現実的な道筋になりつつあります。
CMP・秘密計算などプライバシーテックの進化
2025年から2026年にかけて、CMPと秘密計算を中心とするプライバシーテックは、実験的な技術から経営インフラへと位置づけが明確に変化しています。背景にあるのは、法規制対応の高度化だけでなく、データ活用そのものが企業価値や競争力を左右する段階に入ったという現実です。特に日本企業にとっては、プライバシーへの誠実な姿勢を技術で示せるかどうかが、取引先や消費者からの信頼を左右します。
CMPはその象徴的な存在です。Googleが欧州向け広告配信でConsent Mode v2への対応を必須化したことにより、同意取得はマーケティング施策の前提条件となりました。国内でもDataSignのwebtruなどが対応を進め、同意の有無を正確に管理し、その結果を計測や広告配信に反映させる仕組みが標準装備になりつつあります。個人情報保護委員会が強調する透明性や説明責任の要請とも整合的であり、CMPは単なるCookie対応ツールではなく、ガバナンスを可視化する装置として機能し始めています。
| 観点 | CMP | 秘密計算 |
|---|---|---|
| 主な役割 | 同意取得・管理の可視化 | データ非開示での分析・連携 |
| 対応リスク | 同意不備・目的外利用 | 漏えい・越境移転制約 |
| 導入効果 | 広告・計測の継続性 | 高度分析とプライバシー両立 |
一方、秘密計算は「そもそも見せない」という発想でプライバシーを守ります。データを暗号化したまま計算できるこの技術は、長年研究段階にありましたが、SBテクノロジーと日本ゼオンによる材料開発分野での実証実験などを契機に、実務利用が現実味を帯びました。医療や金融分野でも、患者情報や取引データを開示せずに分析できる点が評価され、共有と秘匿を同時に満たす解として注目されています。
経済産業省や有識者の分析によれば、秘密計算は越境データ移転や委託先管理のリスクを根本から低減できる点で、従来の契約やルールベースの対策を補完します。特にサプライチェーン全体でデータを活用する場面では、「誰が見たか」を管理するCMPと、「誰にも見せない」秘密計算を組み合わせる設計が有効です。
2026年に向けて重要なのは、これらをコストとしてではなく、信頼を証明するための投資として位置づける視点です。プライバシーを守りながらデータ価値を最大化できる企業こそが、規制強化時代においても持続的な成長を実現できるといえます。
企業が今から整えるべきデータガバナンスの視点
企業が今から整えるべきデータガバナンスの本質は、単なるルール整備ではなく、経営判断と日常業務を貫く意思決定基盤として再設計することにあります。2025年から2026年にかけての法制度と技術環境の変化により、データは「使える資産」であると同時に、「誤れば経営リスクに直結する負債」になりました。個人情報保護委員会が示す一連の中間整理や注意喚起は、現場任せの運用ではもはや限界であることを明確に示しています。
特に重要なのは、データの所在・流れ・責任主体を可視化することです。KADOKAWAやLINEヤフーの事例が示したのは、攻撃の巧妙さ以上に、グループ企業や委託先を含めた統合的ガバナンスの欠如でした。経済産業省や総務省の議論でも、資本関係や業務委託関係に依存したデータ管理が、企業の説明責任を曖昧にしている点が繰り返し指摘されています。
そのためには、誰がどのデータに対して最終責任を負うのかを明文化し、例外なく適用する仕組みが不可欠です。生成AIの業務利用では、プロンプト入力という一見些細な行為が第三者提供や目的外利用に該当し得ることを、PPC自身が示しています。これは、ガイドライン遵守が現場教育だけで担保できないことを意味します。
| 観点 | 従来型運用 | これから求められる姿 |
|---|---|---|
| 責任所在 | 部門単位で曖昧 | 経営層が最終責任を負う |
| データ把握 | システムごとに分断 | 全社横断で可視化 |
| 外部連携 | 契約任せ | 監査前提で設計 |
また、統計的にも示されている通り、漏えい原因の約6割は誤交付という日常業務の延長線上にあります。高度なセキュリティ投資だけでは防げず、業務プロセス自体をガバナンスの対象に含める視点が欠かせません。IDCなどの市場分析でも、2026年に向けてデータ管理と統制を支える基盤投資が継続的に成長するとされています。
データを「誰でも使えるもの」から「許可された形でのみ使えるもの」へ転換する。この意識改革こそが、これからの企業に求められるデータガバナンスの出発点です。信頼を前提としたデータ活用ができる企業だけが、規制強化と技術革新が同時に進む時代を乗り越えていけます。
参考文献
- 個人情報保護委員会:生成AIサービスの利用に関する注意喚起等について
- PwC Japanグループ:個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理から見る規制強化のポイント
- KADOKAWA:ランサムウェア攻撃による情報漏洩に関するお知らせ
- 総務省:LINEヤフーへの行政指導について
- 経済産業省:グローバル越境プライバシールール(CBPR)
- IPA:情報セキュリティ10大脅威 2025