国立国会図書館（NDL）サイバーインシデント：サプライチェーン・リスク、国家の脅威、そして「知る自由」の侵害—詳細分析

1. エグゼグティブ・サマリー：単なるデータ漏洩ではない「症候群」

2025年11月11日に公表された国立国会図書館（NDL）へのサイバー攻撃は、単なる「データ漏洩事件」として片付けることはできません ¹。これは、日本の公的機関のデジタルトランスフォーメーション（DX）の過程に潜む、構造的な脆弱性を露呈させた「症候群的インシデント」です。

本レポートの核心的分析は、このインシデントが以下の3つの重大な脅威の交差点で発生したことを明らかにします。

1. 技術的脅威（サプライチェーン攻撃）: 攻撃者はNDL本体の強固な防御を迂回し、最も脆弱な環である「再委託先」のネットワークを侵害しました ³。これは、現代のサイバー攻撃における最も典型的かつ防御困難な手法です ³。
   

2. 倫理的脅威（知的プライバシーの侵害）: 漏洩が懸念される約4万件の「コピーサービス利用情報」 ⁵ は、単なる個人情報（氏名）にとどまらず、利用者が「何を調査し、複写しようとしたか」という思想・良心の核心に触れる情報です。これは日本の「図書館の自由」の原則 ⁷ に対する深刻な侵害であり、その社会的影響は計り知れません。
   

3. 地政学的脅威（二重の脅威）: ユーザーのクエリが示唆する中国系ハッカー「MirrorFace」 ⁹ は、日本の安全保障や先端技術を狙う国家支援型の脅威です ¹⁰。NDLへの攻撃（ランサムウェア）とMirrorFaceによるスパイ活動は、現時点では別個の事象ですが、日本が「金銭目的の犯罪」と「国家によるスパイ活動」という二正面作戦を同時に強いられている現実を浮き彫りにしています。
   

本レポートは、このNDLインシデントを徹底的に解剖し、その技術的詳細、法的責任の所在、そして将来の公的機関が学ぶべき戦略的教訓を、インテリジェンス・アナリストの視点から詳述します。

2. インシデント・デコンストラクション：NDL不正アクセスの時系列と公式対応

本セクションでは、インシデントの発生から公表までのタイムラインと、関係各社の初期対応を整理します。

• 2025年11月5日（水）：侵入の検知と起点

  ・システム開発の委託先である株式会社インターネットイニシアティブ（IIJ）が、その「再委託先」である株式会社ソリューション・ワンのネットワークからの異常な活動を検知しました ³。

  ・何者かがソリューション・ワンのネットワークに侵入し、そこを踏み台（Pivot）として、IIJが管理するNDLの「開発環境」に不正アクセスしたことが確認されました ³。

• 2025年11月11日（火）：公式発表と初期対応

  ・国立国会図書館がプレスリリースを発表 ¹。開発中のシステムへの不正アクセスを認め、謝罪しました ¹³。

  ・NDLの対応: 直ちに当該開発環境へのアクセスを遮断し、セキュリティ監視体制を強化。IIJおよび関係機関と連携し、原因と影響範囲の特定を開始しました ¹³。

  ・IIJの対応: 同日に事案を公表し謝罪 ⁴。侵入経路がソリューション・ワン社の業務設備を経由したものであることを確認し、自社の他サービス（法人・個人向けネットワーク）への影響はないと説明しました ⁴。
  

インシデント検知（11月5日）から公表（11月11日）まで、土日を挟む期間にもかかわらず、約6日間という迅速な対応が取られました。この背景には、後述する個人情報保護法（APPI）の「速報」義務（発覚から概ね3～5日以内） ¹⁴ を遵守しようとする強いコンプライアンス意識があったと推察されます。本件は「不正アクセス（ランサムウェア）」かつ「1,000人超」という報告義務のトリガーを明確に満たしているため ¹⁶、この迅速な公表は、道義的責任感だけでなく、法改正によって強化された戦略的行動であったと分析できます。

表1：国立国会図書館（NDL）不正アクセス事件 概要

3. 攻撃ベクトルの解剖：「最も脆弱な環」としての開発環境

本インシデントは、NDL本体を直接攻撃したものではありません。これは、2025年において急増している「サプライチェーン攻撃」の典型例です ³。

3.1. 多層的委託構造（サプライチェーン）の脆弱性

攻撃の連鎖は「NDL（発注元） → IIJ（元請・委託先） → ソリューション・ワン（再委託先）」という多層構造を突いたものです ³。攻撃者は、セキュリティが最も強固であるはずのNDL本体ではなく、サプライチェーン（供給網）上で最も脆弱な環（Weakest Link）である再委託先、ソリューション・ワンを侵入の足掛かりとしました ³。

IIJの発表は、「ソリューション・ワン社の業務設備が何者かに侵害を受け」「国立国会図書館様の当該開発環境に直接アクセスする作業用ネットワークを経由して侵害があったことが判明しています」と説明しています ⁴。これは、委託先間の信頼関係を悪用し、セキュリティ対策が相対的に脆弱な組織を経由して本来の標的に侵入する、典型的な攻撃経路です ³。

3.2. 標的としての「開発環境」

攻撃者が狙ったのは、NDLが本番で運用しているサービス基盤ではなく、「開発中の館内サービスシステム」でした ³。

なぜ開発環境が狙われたのでしょうか。専門家の分析によれば、開発環境は「本番環境ほど厳重に監視されないケースが多い」一方で、「機密情報を含む領域」であるため、攻撃者にとって「費用対効果」が非常に高い標的となります ³。

第一に、開発環境には将来の本番システムへの攻撃準備に利用できる貴重な情報資産が含まれます。NDLの事例では、「サーバ構成情報等、システム開発に用いる情報」が漏洩した可能性が指摘されています ³。これらには、ソースコードや未公開の脆弱性情報が含まれる可能性があり、攻撃者はこれを利用して、より深刻な第二、第三の攻撃を計画できます ³。

第二に、そしてこれが最も重大な問題ですが、この開発環境に「一部の利用者情報及び利用情報」が漏洩可能な状態で存在していたことです ³。セキュリティのベストプラクティスでは、開発・テスト環境で本物の個人情報を使用することは厳禁であり、使用する場合は匿名化・仮名化（マスキング）が必須です。

NDLのインシデントは、開発環境のセキュリティ管理の甘さと、そこに本物の利用者情報を配置していたという「プロセスの失敗」が重なった結果、発生したと分析されます。攻撃者はこの隙を見逃しませんでした。

3.3. 2025年の脅威トレンドとの一致

本件は孤立した事例ではありません。専門家の解説 ³ やNISC（内閣サイバーセキュリティセンター）の「サイバーセキュリティ2025」レポート ¹⁹ は、この種の攻撃が日本の公的機関や重要インフラにおいて深刻化していることを示しています。

NISCのレポートは、2024年に「金融機関や地方公共団体等からの委託を受けて情報処理、印刷・発送の受託業務等を行う企業」がランサムウェア攻撃を受けた事例を挙げています ¹⁹。これは、NDLのケース（公的機関→ITベンダー→再委託先）と構造的に同一であり、委託先（サプライヤー）を介した攻撃が現実の脅威となっていることを裏付けています。

また、NISCが把握する政府機関への不審な通信等の検知件数は、2021年度の41件から2024年度には238件へと急増しており ¹⁹、公的機関およびその関連組織が主要な標的となっていることが明確に示されています。

4. 漏洩データの価値と倫理的影響：「4万件の利用情報」が意味するもの

本インシデントの影響を理解する鍵は、漏洩した情報の「量」よりも「質」にあります。

4.1. 漏洩した情報の詳細

漏洩した可能性のある情報は以下の通りです。

• 漏洩した情報:

  ・利用者ID（約1,000件） ⁵

  ・コピーサービス利用情報（約4万件） ⁵

  ・上記に含まれる氏名（約4,000人分） ²

• 漏洩しなかったとされる情報:

  ・住所、電話番号 ⁶
  

住所・電話番号が含まれていないという事実は ⁶、漏洩情報が直接的な物理的ストーカー行為や振り込め詐欺等に即座に悪用されるリスクを低減させます。しかし、本インシデントの核心的な脅威はそこにはありません。

4.2. 核心的脅威：「コピーサービス利用情報」と「図書館の自由」

最も深刻なのは、「コピーサービス利用情報」約4万件の漏洩可能性です。なぜこの情報が、単なる氏名やIDの漏洩（例：ECサイトの会員名簿流出）よりも深刻なのでしょうか。

NDLの複写サービス（Photoduplication Service）の規定 ²¹ を見ると、利用者は「氏名(name)」や「連絡先(address)」を提供し ²¹、複写したい資料（文献名、ページ、巻号など）を具体的に指定する必要があります ²⁴。

つまり、「コピーサービス利用情報」とは、**「特定の個人（氏名）」と「その個人が関心を持った特定の知的情報（資料名、論文名）」**を結びつけるログデータです。

これは、個人の思想、研究、信念、あるいは健康状態（例：特定の病気に関する文献を調査）を推測可能にする、極めて機微な「知的活動の記録」にほかなりません。

日本図書館協会の倫理綱領 ⁸ や図書館におけるプライバシー研究 ⁷ が示すように、「利用者の秘密を守る」こと、すなわち「誰が、いつ、何を読んだか（あるいは読もうとしたか）」を外部に漏らさないことは、「図書館の自由」の根幹です。これは、憲法で保障された「知る自由」やプライバシー権を守るための重要な砦です。

この情報が流出した（あるいはランサムウェア攻撃者によって窃取された）という事実は、NDLという国家の知的基盤に対する信頼を根本から揺るがすものです。利用者は「いつか自分の調査記録が漏洩するのではないか」という「Chilling Effect（萎縮効果）」を受け、自由な研究活動が妨げられる可能性があります。これが、本インシデントが持つ最大の倫理的・社会的脅威です。

5. 脅威アクターとアトリビューション（攻撃者の特定）：二重の脅威

本インシデントの分析において最も重要なのは、ユーザーのクエリが提示した「ランサムウェア」と「MirrorFace」という2つの脅威を、正確に分離・分析することです。

5.1. NDL攻撃の実行犯：特定不明のランサムウェア・グループ

NDLのインシデントは「ランサムウェア（身代金ウイルス）」による攻撃と報じられています ²。これは、データを暗号化したり窃取したりした上で、その復旧や非公開と引き換えに身代金を要求するサイバー「犯罪」です。

しかし、提供されたリサーチ資料の中には、今回のNDL攻撃を実行したランサムウェア・グループ（例：LockBit, BlackByte, Playなど） ²⁵ を具体的に特定する情報や、犯行声明 ²⁸ に関する情報は一切含まれていません。

これは、調査がまだ初期段階であるか、あるいは犯行グループがまだ表立って声明を出していないことを示唆しています。攻撃の動機は、窃取した（と主張する）情報を人質に取り、NDLまたはその委託先（IIJ, ソリューション・ワン）に対して身代金を要求することにあると推定されます。

5.2. 文脈としての脅威：中国系ハッカー集団「MirrorFace」

ユーザーのクエリは、NDLのニュースと並列して「中国系ハッカー『ミラーフェース』」 を提示しました。このグループに関するリサーチ資料 ⁹ は、以下の事実を明らかにしています。

• 正体: MirrorFace（別名: Earth Kasha）は、中国の国家が支援するとされるハッカー集団であり、著名な「APT10」のサブグループと見られています ¹⁰。

• 標的: 日本の政府機関（外務・防衛省）、防衛関連組織、先端技術企業（半導体、航空宇宙）、宇宙航空研究開発機構（JAXA）、政治家、シンクタンクなど、日本の国家安全保障と経済的優位性の中核です ¹⁰。

• 手法と動機: 彼らの手法は、LODEINFOやANELといったマルウェアを用いたスピアフィッシング ¹⁰ やネットワーク機器の脆弱性を悪用するものであり ¹¹、その動機は明確に「ランサム（身代金）」ではなく、**「国家のためのスパイ活動（情報窃取）」**です。

5.3. 分析：二正面作戦に直面する日本

NDL事件とMirrorFaceの活動を比較分析することで、日本が直面するサイバーセキュリティの全体像が明らかになります。

1. 決定的な違い（分離分析）

現時点において、MirrorFaceがNDLのランサムウェア攻撃に直接関与したことを示す公的な証拠はありません。 これらは目的も主体も異なる、別個のサイバー攻撃事象であると分析するのが妥当です。NDL攻撃は「金銭」が目的のサイバー犯罪であり、MirrorFaceの活動は「国家戦略的情報」が目的のサイバー諜報です。

2. 危険な共通点（統合分析）

しかし、両者とも「日本」という国を標的にしています。そして、NDL攻撃は「公的機関のIT委託先」の脆弱性を突きました 3。MirrorFaceもまた「ネットワーク機器の脆弱性」 11 や信頼関係を悪用します。

ここで「深堀り」すべき最大のポイントは、日本が現在、「金銭目的の高度なサイバー犯罪（NDL事件）」と「国家目的の高度なサイバー諜報活動（MirrorFace）」という、2種類の深刻な脅威に同時に、かつ大規模に晒されているという事実です。

NDLのインシデントは、日本の公的機関のサプライチェーンに深刻な脆弱性が存在することを、サイバー犯罪者だけでなく、MirrorFaceのような国家支援型アクターに対しても示してしまいました。NDLのインシデント（犯罪）が明らかにした脆弱性を、国家アクター（スパイ）が見逃すはずはありません。

表2：脅威アクターの比較分析（NDL攻撃とMirrorFace）

6. 法的・コンプライアンス上の課題：改正個人情報保護法（APPI）への対応

本インシデントは、2022年4月1日に施行された改正個人情報保護法（APPI）の試金石となる重大事案です ³²。

6.1. 個人情報保護委員会（PPC）への報告義務の発生

改正APPIは、特定の重大な個人データ漏洩等が発生した場合、事業者に対して個人情報保護委員会（PPC）への報告および本人への通知を義務化しました ¹⁴。

NDLのインシデントは、この「義務」が発生するケースに明確に該当します。法令 ¹⁶ によれば、報告義務は主に以下の4つのケースで発生します。

1. 要配慮個人情報の漏洩

2. 財産的被害が生じるおそれがある場合（例：クレカ情報）

3. 不正の目的をもって行われた漏えい等が発生した場合

4. 1000人を超える漏えい等が発生した場合

NDLのインシデントは、「ランサムウェア」という明確な「不正の目的」 ¹⁶ であり、かつ漏洩した氏名の対象が「約4,000人」 ² と「1,000人超」の基準を大幅に超えています。

したがって、NDL（および/またはIIJ）は、APPI第26条に基づき、PPCへの報告（速報：発覚後3～5日以内、確報：60日以内） ¹⁴ および、影響を受ける利用者（約4,000人）への通知 ³⁵ が法的に義務付けられています。 NDLが「該当する利用者への連絡や対応を検討している」 ⁶ のは、この法的義務に基づく対応です。

6.2. 複雑な委託先・再委託先の監督責任

本件を法的に複雑にしているのは、漏洩が「再委託先」 (ソリューション・ワン) で発生した点です ³。

APPIは、個人データの取り扱いを委託する事業者（委託元＝NDL）に対し、委託先（IIJ）に対する「必要かつ適切な監督」を義務付けています。さらに、APPIのガイドラインは、委託先が再委託を行う場合、委託元（NDL）の事前の承諾を原則として要求し、委託元は再委託先（ソリューション・ワン）を含めた監督責任を負うと解釈されます ¹⁶。

IIJは「委託先の選定におけるセキュリティ基準を厳格化し、管理・監督体制の強化を図る」とコメントしています ⁶。これは、今回のインシデントにおいて、再委託先であるソリューション・ワンに対する管理・監督体制に不備があったことを事実上認めたものと解釈できます。NDLは、その「監督の監督」責任を問われることになります。今後の調査では、NDLおよびIIJが、ソリューション・ワンに対してどの程度のセキュリティ監査や契約上の義務付けを行っていたかが焦点となると予測されます。

表3：本インシデントにおける個人情報保護法（APPI）上の義務

7. 国内外の類似インシデントと戦略的教訓

NDLのインシデントから得られる教訓を最大化するため、国内外の類似事例と比較分析します。

7.1. 類似インシデント：狙われる図書館

公的機関、特に図書館や学術機関は「ソフト・ターゲット」（セキュリティ対策が手薄だが、社会的重要性が高い標的）として、ランサムウェア攻撃の格好の標的となっています。

米・シアトル公共図書館（SPL）の事例 (2024年):

2024年5月25日にランサムウェア攻撃を受け、オンラインサービス（目録、電子書籍、PC、Wi-Fi）が全面的に停止しました 37。

NDLは「開発環境」のみの被害で、本番サービスに影響はない ¹³ と発表していますが、もし本番がやられていたらどうなっていたでしょうか。SPLの事例 ³⁸ は、その答えを示しています。SPLが全てのオンラインサービス（利用者用PC、予約ロッカー等）の完全復旧を発表したのは2024年9月4日です。

攻撃の発生（5月下旬）から完全復旧（9月上旬）まで、3ヶ月以上を要しています ³⁸。これは、公共インフラが一度ランサムウェアによって破壊された場合、その復旧がいかに困難で時間を要するかを物語っています。NDLは本番環境への延焼を食い止めた（あるいは攻撃者が意図的に開発環境のみを狙った）ことで、最悪の事態（数ヶ月にわたる全サービス停止）を回避しました。

7.2. 戦略的提言と教訓

本インシデント ³、類似事例 ³⁷、および専門家の分析 ³ から、日本の公的機関および監督するCISO（最高情報セキュリティ責任者）が直ちに実行すべき3つの戦略的教訓を抽出します。

教訓1：ベンダー・リスク・マネジメント（VRM）の抜本的見直し

• 問題: NDLのインシデントは、「委託先（IIJ）は信頼できる」という性善説に基づいたセキュリティ・モデルの破綻です。信頼は、再委託先（ソリューション・ワン）という「最も脆弱な環」で破られました ³。

• 提言: 契約書にセキュリティ条項を盛り込むだけでは不十分です。「組織のセキュリティは、最も弱いベンダーと同じ強度しか持たない」 ³ ことを認識し、再委託先、再々委託先（Nth Party）まで含めた実効的なセキュリティ監査（侵入テスト、体制評価）と、契約による厳格な管理（NIST等の標準に準拠した管理） ⁴⁰ を義務付ける必要があります。
  

教訓2：開発ライフサイクル（Secure SDLC）における「データ最小化」の徹底

• 問題: 今回の被害（4,000人分の氏名と4万件の利用情報） ⁵ は、**「開発環境で本物の個人情報を使用してはならない」**というセキュリティの基本原則が守られていれば、防げた可能性が極めて高いです ³。

• 提言: すべてのシステム開発において、開発・テスト環境で使用するデータは、マスキング（匿名化、仮名化）されたデータ、あるいは完全に合成されたダミーデータを使用することを「プロセス」として強制しなければなりません。機微情報を本番環境から持ち出すこと自体を技術的・規程的に禁止することが、漏洩時の被害を最小化する唯一の道です。
  

教訓3：「ゼロトラスト」アーキテクチャへの移行

• 問題: 攻撃者は、ソリューション・ワンのネットワーク（委託先）から、IIJが管理する開発環境（元請）へ、作業用ネットワークを経由して「横移動（Lateral Movement）」しました ⁴。これは、一度内部（あるいはパートナーのネットワーク）に入れば、他のリソースへアクセス可能であった「境界型防御」の限界を示しています。

• 提言: CISA等の機関が推奨する ⁴¹、「ゼロトラスト」（何も信頼しない）原則に基づき、たとえ信頼できるパートナー（委託先）からのアクセスであっても、すべてのアクセス要求を都度認証・認可するアーキテクチャへの移行が急務です。これにより、万が一委託先が侵害されても、被害が即座に自組織の重要資産（開発環境や本番環境）へ波及することを防ぎます。

8. 総括：2025年、日本が直面するサイバー・リアリティ

国立国会図書館（NDL）へのサイバー攻撃は、単なる一機関のセキュリティ・インシデントではありません。これは、2025年の日本が直面する、厳しく複雑なサイバー空間の現実（Cyber Reality）を凝縮した象徴的な出来事です。

本レポートが明らかにしたように、このインシデントは、巧妙化するサプライチェーン攻撃 ³ の脅威、改正個人情報保護法（APPI） ¹⁶ という新たな法的責任、そして「コピーサービス利用情報」 ⁵ という形で露呈した**「知的プライバシー」** ⁷ の脆弱性という、複数の課題を同時に突きつけています。

さらに、この金銭目的のランサムウェア攻撃と時を同じくして、日本の安全保障の中枢を狙う国家支援型アクター「MirrorFace」 ¹⁰ が暗躍している事実は、日本が「犯罪」と「スパイ活動」の二重の脅威に晒されていることを示しています。

NDLは、その名が示す通り「国家の知的基盤」です。その基盤の（開発中とはいえ）一部が、サプライチェーンの脆弱性を突かれて侵害されたという事実は、日本のすべての公的機関、重要インフラ事業者、そして彼らと取引するすべてのITベンダーにとって、最も重い警告（Wake-up Call）とならなければなりません。

セキュリティは「最も脆弱な環」によって決まる ³。その「環」は、自組織のファイアウォールの内側ではなく、今やサプライチェーンの末端に存在する再委託先の、監視されていない開発環境にあるのです。

引用文献

1. 開発中のシステムに対する不正アクセスの発生について（付 ..., 11月 12, 2025にアクセス、 https://www.ndl.go.jp/jp/news/fy2025/251111_01.html

2. 国会図書館、氏名4千人分流出か 開発中のシステムにランサムウェア ..., 11月 12, 2025にアクセス、 https://smart.asahi.com/v/article/ASTCC2PH8TCCULFA01NM.php

3. 国立国会図書館で不正アクセス発生、再委託先から侵入——サプライチェーン攻撃の実態, 11月 12, 2025にアクセス、 https://innovatopia.jp/cyber-security/cyber-security-news/71462/

4. 国立国会図書館、不正アクセスを公表・謝罪 外部委託の開発中システム 一部利用者情報など漏えい可能性 (2025年11月11日) - エキサイトニュース, 11月 12, 2025にアクセス、 https://www.excite.co.jp/news/article/Oricon_2417977/

5. Engineer's Digest - 忙しいエンジニアのための技術情報ダイジェスト, 11月 12, 2025にアクセス、 https://www.ponkotsu.dev/

6. 国立図書館で不正アクセス 約4万件の利用者情報が影響 - 株式会社アクト, 11月 12, 2025にアクセス、 https://act1.co.jp/2025_11_12-1/

7. 読書記録はプライバシーか? - 「図書館の自由」に関する意識調査(2000 年度 - 沖縄国際大学, 11月 12, 2025にアクセス、 https://www2.okiu.ac.jp/yamaguchi/kiyou/7-1yamaguchi.pdf

8. Privacy Guidelines for Library Usage - 日本図書館協会オフィシャルサイト, 11月 12, 2025にアクセス、 https://www.jla.or.jp/library_resources-_and_guidelines/privacy-guidelines-for-library-usage/

9. JAXAがゼロデイ攻撃の標的に！中国ハッカー集団MirrorFaceの脅威と対策｜nolan合同会社, 11月 12, 2025にアクセス、 https://note.com/nolan_system/n/ndd764810ac1d

10. Japan Faces Prolonged Cyber-Attacks Linked to China's MirrorFace - Infosecurity Magazine, 11月 12, 2025にアクセス、 https://www.infosecurity-magazine.com/news/japan-faces-cyberattacks-china/

11. Japan links Chinese hacker MirrorFace to dozens of cyberattacks targeting security and tech data - CityNews Halifax, 11月 12, 2025にアクセス、 https://halifax.citynews.ca/2025/01/08/japan-links-chinese-hacker-mirrorface-to-dozens-of-cyberattacks-targeting-security-and-tech-data-2/

12. 国会図書館で開発中のシステムに不正アクセス、情報漏えいの可能性, 11月 12, 2025にアクセス、 https://internet.watch.impress.co.jp/docs/news/2062425.html

13. 国立国会図書館、開発中システムが不正アクセス被害 - JAPANSecuritySummit Update, 11月 12, 2025にアクセス、 https://japansecuritysummit.org/2025/11/12902/

14. 漏えい等報告・本人への通知の義務化について - 個人情報保護委員会, 11月 12, 2025にアクセス、 https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka

15. Practical notes for Japan's important updates of the APPI guidelines and Q&As - IAPP, 11月 12, 2025にアクセス、 https://iapp.org/news/a/practical-notes-for-japans-important-updates-of-the-appi-guidelines-and-qas

16. 個人データ漏えい時の報告義務とは？具体例・罰則・報告方法・対応のポイントなどを分かりやすく解説！ - 契約ウォッチ, 11月 12, 2025にアクセス、 https://keiyaku-watch.jp/media/hourei/johoroei-hokokugimu/

17. Security Requirements and Breach Notification | Japan | Global Data and Cyber Handbook, 11月 12, 2025にアクセス、 https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/asia-pacific/japan/topics/security-requirements-and-breach-notification

18. 国会図書館、氏名4千人分流出か 開発中のシステムにランサムウェア：朝日新聞, 11月 12, 2025にアクセス、 https://kumin.news/adachi/articles/1198039

19. サイバーセキュリティ 2025 （2024 年度年次報告・2025 年度年次 ..., 11月 12, 2025にアクセス、 https://www.nisc.go.jp/pdf/policy/kihon-s/250627cs2025.pdf

20. 国立国会図書館にサイバー攻撃 4万件の情報が流出か 各種サービス影響は確認されず, 11月 12, 2025にアクセス、 https://www.kab.co.jp/news/article/16151587

21. Using the NDL Photoduplication Services | National Diet Library, 11月 12, 2025にアクセス、 https://www.ndl.go.jp/en/copy/rule/index.html

22. Photoduplication Service｜National Diet Library - 国立国会図書館, 11月 12, 2025にアクセス、 https://www.ndl.go.jp/en/copy/index.html

23. Photoduplication Service (Tokyo Main Library) | National Diet Library, 11月 12, 2025にアクセス、 https://www.ndl.go.jp/en/tokyo/copy/index.html

24. Photoduplication services | National Diet Library, 11月 12, 2025にアクセス、 https://www.ndl.go.jp/en/tokyo/flow/flow4.html

25. Ransomware Group Releases NFL Team's Files | Cyber Florida at USF, 11月 12, 2025にアクセス、 https://cyberflorida.org/ransomware-group-releases-nfl-teams-files/

26. Official Alerts & Statements - CISA, 11月 12, 2025にアクセス、 https://www.cisa.gov/stopransomware/official-alerts-statements-cisa

27. Dallas County cyberattack did not encrypt files but hackers claim to have stolen sensitive data - CBS News, 11月 12, 2025にアクセス、 https://www.cbsnews.com/texas/news/dallas-county-cyberattack-did-not-encrypt-files-but-hackers-claim-to-have-stolen-sensitive-data/

28. 【アサヒグループHDへのサイバー攻撃】国際的ハッカー集団が犯行声明 - YouTube, 11月 12, 2025にアクセス、 https://www.youtube.com/watch?v=HKt9iBpVoDI

29. Chinese Hacker Group 'Mirrorface' Targets Japan's Cyber Security | World News | WION, 11月 12, 2025にアクセス、 https://www.youtube.com/watch?v=b3SnEX7Jdvs

30. China-Linked MirrorFace Deploys ANEL and AsyncRAT in New Cyber Espionage Operation, 11月 12, 2025にアクセス、 https://thehackernews.com/2025/03/china-linked-mirrorface-deploys-anel.html

31. China-linked hackers tasked with Japanese targets pursue them through Europe, 11月 12, 2025にアクセス、 https://therecord.media/china-linked-hackers-tasked-with-japanese-targets-pursue-through-europe

32. Cyber Incident Response and Data Breach Notification (Japan) - Mori Hamada & Matsumoto, 11月 12, 2025にアクセス、 https://www.morihamada.com/sites/default/files/publications/2024/11/54366.pdf

33. 「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは？ | 政府広報オンライン, 11月 12, 2025にアクセス、 https://www.gov-online.go.jp/article/201703/entry-7660.html

34. 漏えい等の対応とお役立ち資料 - 個人情報保護委員会, 11月 12, 2025にアクセス、 https://www.ppc.go.jp/personalinfo/legal/leakAction/

35. Data protection laws in Japan, 11月 12, 2025にアクセス、 https://www.dlapiperdataprotection.com/index.html?t=law&c=JP

36. Japan's Act on the Protection of Personal Information (APPI) - Cookie Script, 11月 12, 2025にアクセス、 https://cookie-script.com/privacy-laws/japan-act-on-the-protection-of-personal-information-appi

37. 米・シアトル公共図書館、ランサムウェア攻撃を受けてオンラインサービスを停止, 11月 12, 2025にアクセス、 https://current.ndl.go.jp/car/220714

38. 2024年5月にランサムウェア攻撃を受けた米・シアトル公共図書館、全てのオンラインサービスが復旧したと発表, 11月 12, 2025にアクセス、 https://current.ndl.go.jp/car/225904

39. Analyzing the Most Significant Cybersecurity Breaches of 2025: Lessons Learned and Preventative Measures - Secure Network Solutions, 11月 12, 2025にアクセス、 https://www.snsin.com/analyzing-the-most-significant-cybersecurity-breaches-of-2025-lessons-learned-and-preventative-measures/

40. 2025 Cyber Incident Trends What Your Business Needs to Know | Insights - Mayer Brown, 11月 12, 2025にアクセス、 https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know

41. CISA Shares Lessons Learned from an Incident Response Engagement, 11月 12, 2025にアクセス、 https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-266a