　ここからは、イタリア国内のデジタル関連法規制と、ミラノ・コルティナ2026の関わりについて紹介する。本連載第113回で取り上げた2021年9月8日の「イタリアのクラウド戦略」（関連情報）を踏まえて、2022年5月17日には、イタリアの首相のマリオ・ドラギ氏（当時）が、「2022-2026年国家サイバーセキュリティ戦略」を採択した（関連情報）。国家サイバーセキュリティ庁（ACN）が所管する同戦略は、国家経済システムのデジタル移行におけるレジリエンス強化から、サイバー領域における戦略的自律性の確立、サイバー脅威の進化予測、サイバー危機管理、さらにはオンライン上の偽情報対策に至るまで、多様な課題に取り組むことを目的としている。

　図1は、この戦略の目標を整理したものである。

図1　国家サイバーセキュリティ戦略の目標［クリックで拡大］出所：Agenzia per la Cybersicurezza Nazionale (ACN)「ANNUAL REPORT 2022」（2023年6月19日）

　サイバーセキュリティ戦略では、イタリアの国家経済システムが直面する課題に最善の形で対処するため、「防御」「対応」「発展」という3つの基本目標が定められ、それに関連する施策が、組織面や政策面、そして純粋に運用面から戦略を具体的に実行するために示されており、リスク管理とリスク軽減を志向した体系的アプローチを通じて、国家の戦略的資産を保護することを目指している。このアプローチは、規制枠組みに加え、国全体のデジタル移行を強靭（きょうじん）なものにするための施策、ツール、管理策によって構成されている。

　この戦略の中で、特にミラノ・コルティナ2026との関係が深いのが、「防御」のオンライン偽情報対策である。詳細については後述する。

　サイバーセキュリティ戦略の観点から特に重要となるのが、ICTインフラのセキュリティを監査／評価するための戦略や取り組みの策定である。これには、国家的影響を持つ調達およびサプライチェーンの側面に加え、ICTシステムおよびサービスのライフサイクル全体にわたる商用暗号の推進も含まれる。このような戦略を補完するものとして、実施計画が策定されている。この計画は、目的と実現要因を、公共部門全体に加えて企業や市民も関与する82の施策へと具体化しており、各施策を実行するために、個々の施策の責任主体として特定された公的機関は、さまざまな種類のリソースを活用できる仕組みになっている。

イタリア独自のAI法施行で注目されるイノベーションとガバナンスの両立

　本連載第113回で紹介したイタリア独自のAI法案は、2025年9月17日、イタリア議会で修正／可決され、2025年10月10日に施行された。イタリアAI法最終版の主な変更点は、以下の通りである。

国家戦略の明記：AIを国家的優先分野と位置付け、研究／産業育成を推進する
権利保護の強化：個人データ保護、未成年者保護、労働者の尊厳確保
- 14歳未満の未成年者を、AIシステムの利用に関する保護対象とする
  ※一般データ保護規則（GDPR）が定める「デジタル同意年齢」（13～16歳の範囲で加盟国が設定可能）に準拠
- プラットフォーム事業者による未成年者向けセーフガードの導入を義務化
投資促進条項：公的／民間の投資を誘導する仕組みを追加する
国際協力：EUだけでなくOECD、UNESCOなどとの連携を明記する
セクター別応用：医療（診断／治療支援）、労働（AIと人間の協働）、教育／研究分野での活用
安全保障／防衛：軍事利用に関する透明性とバランスを確保

　イタリアAI法を所管するのは、AIイノベーションおよび開発を所管するイタリアデジタル庁（AgID）と、国家安全保障を守るためのサイバーセキュリティの監視を所管するACNである。GDPRを所管するイタリア共和国データ保護機関（Garante）は、イタリアAI法を直接所管しない。

　しかしながら、Garanteは、AIサービス企業の個人データ侵害に対しては、厳格な措置を講じている。例えば、2024年12月20日、米国OpenAIに対し、個人データ侵害インシデントに関連して1500万ユーロの制裁金を科している。また、Garanteは、2025年1月28日、中国DeepSeekに対し、同社チャットbotサービスにおける個人データ取り扱いに関する情報提供を要請し、2025年1月30日には、緊急措置としてイタリア国内のユーザーのデータ処理に対する制限を命令している。

　ミラノ・コルティナ2026の開催地の一つであるロンバルディア州のミラノには、イタリアの中央政府および地方自治体向けに一部ソブリンクラウドを採用した政府クラウドデータセンターが設置されている。その一方、マイクロソフト、AWS（Amazon Web Services）といった海外ビッグテック企業のAIデータセンター関連投資も集中している。他のEU加盟国に先駆けて独自のAI法を施行したイタリアが、今後、イノベーションとガバナンスのバランスをどうとっていくのかが注目される。

イタリアサイバーセキュリティ庁と国家オリンピック委員会が協力協定を締結

　2026年1月9日、ACNは、イタリア国家オリンピック委員会（CONI）およびミラノ・コルティナ2026財団の会長であるジョヴァンニ・マラゴ氏と、ACN長官のブルーノ・フラッタージ氏が、サイバー攻撃を防止し、2026年2月6～22日および3月6～15日に北イタリアで開催されるミラノ・コルティナ2026を支える技術システムの安全を確保することを目的とした協力協定に署名したことを発表した（関連情報）。

　イタリアが冬季五輪を開催するのは今回で3回目となるが、複数の開催地にまたがる初の大会であり、開会式（ミラノ）と閉会式（ヴェローナ）が異なる都市で行われるため、運営面や物流面が複雑になっている。

　この協定は、前述の国家サイバーセキュリティ戦略に基づく政策の一環であり、大会期間中の情報の完全性を確保することを目的としている。協力は、情報共有、脅威分析、危機発生時の対応を調整するための常設技術パネルの設置などを含む、参加型のセキュリティアプローチに基づいている。

　なおACNは、本連載第78回で触れたEUの「ネットワーク・情報システムのセキュリティに関する指令2（NIS2指令）」のイタリア国内における主管当局として、同指令に関わる監督／罰則／審査の他、インシデント対応／脅威情報を管理する国家CSIRT（CSIRT Italia）や、研究／産業支援を担う国家調整センター（NCC）などの役割を果たしている。保健医療は「不可欠な主体」、医療機器を含む製造業は「重要な主体」としてNIS2指令の適用対象になっているので、イタリアで事業を展開する企業はACNの動向を継続的に把握しておく必要がある。NIS2指令とは別個に、医療機器／対外診断用医療機器については保健省（Ministero della Salute）傘下の医療機器／医薬品サービス総局（DGDMF）、医薬品についてはイタリア医薬品庁（AIFA）が主管当局となる。医療機器に該当しないNon-SaMD（Software as a Medical Device）や健康ウェアラブル機器については、産業省（MIMIT）が一般消費者向け電子機器として所管する他、サイバーセキュリティ面に関しては、新たな欧州サイバーレジリエンス法（CRA）の適用対象となり、ACNが所管することになる。

AIが増幅するアスリートへの誹謗中傷を防止するためのAI活用

前のページへ 1|2|3 次のページへ