AIなりすまし詐欺が急増、EU AI法も本格化──今週のディープフェイク動向と企業のセキュリティ・法務対策

AI技術の急速な民主化に伴い、音声や映像を極めて精巧に偽造する「ディープフェイク」を用いた詐欺やなりすましが、企業や個人を標的に世界中で急増しています。2026年5月現在、これらはもはや単なる技術的な脅威ではなく、企業の財務、採用、そしてガバナンスを直接脅かす現実のセキュリティ・法務リスクへと進化しました。本記事では、直近で報告された具体的な被害事案から、国内外で急速に進む法規制の最新動向、そして企業の担当者が実務において今すぐ講じるべき具体的な対策までを網羅的に解説します。

今週の主要なディープフェイク・AI詐欺ニュース

AI生成コンテンツの精度向上により、人間の目や耳では真偽を判断することが事実上不可能な「なりすまし詐欺」が多発しています。今週、企業のセキュリティ担当者が教訓とすべき5つの代表的な被害事案・最新手口を紹介します。

1. 多国籍エンジニアリング企業「Arup（アラップ）」香港支社における約40億円詐欺

被害額：2,560万米ドル（約40億円 / 2億香港ドル）
発生時期：2024年1月〜2月（2026年5月の最新セキュリティレポート等において、依然として最も精巧かつ代表的な脅威として再検証されています）
手口：香港支社の財務担当社員が、同社の最高財務責任者（CFO）から「極秘の取引がある」というメールを受け取り、ビデオ通話に招待されました。ビデオ会議の画面には、CFOだけでなく、複数の同僚の姿もあり、リアルタイムで会話が交わされました。しかし、このビデオ会議の参加者は、社員自身を除く全員がディープフェイクで生成された「偽物」でした。攻撃者は、ネット上に公開されている過去の会議映像やインタビュー動画からCFOらの顔と音声を精巧に再現し、あらかじめ作成したスクリプトに沿ってリアルタイムで対話を行っていたのです。本物と信じ込んだ社員は、指示されるがままに計15回にわたって指定口座へ送金を実行し、約40億円という巨額の資金が流出しました。

2. 暗号資産プラットフォーム「Plasma（プラズマ）」創設者なりすまし

被害額：200万米ドル（約3億1,000万円）
発生時期：2025年8月
手口：暗号資産（仮想通貨）プラットフォーム「Plasma」の創設者になりすました攻撃者が、音声や映像を偽造するディープフェイク技術を用いて、同社の関係者や大口の取引先を欺きました。暗号資産業界では、スマートコントラクトや秘密鍵の管理といった技術的セキュリティは強固である一方、意思決定者間のコミュニケーションを狙った「ソーシャルエンジニアリング（社会的障壁の突破）」が深刻な弱点となっています。創設者の声で「緊急の流動性確保が必要」と電話やビデオ通話で直接指示された関係者が、疑うことなく指定のウォレットに資金を送金してしまった事例であり、AIによるなりすましが業界全体の深刻なセキュリティリスクであることを示しています。

3. 米国企業136社以上を標的にした北朝鮮工作員によるなりすまし雇用詐欺

被害額：工作員1人あたり年間30万ドル（約4,700万円）以上の報酬詐取、およびデータ恐喝被害
発生時期：2024年〜2026年（FBIや米司法省などが継続的な国家規模の脅威として立証）
手口：北朝鮮のIT工作員が、第三者の実在する米国市民の個人情報を盗用し、さらにディープフェイク技術（リアルタイムの顔・音声変更ツール）を用いてリモート採用のビデオ面接を通過。米国の主要なIT企業や人材派遣会社など136社以上に不正に雇用され、給与を詐取していました。さらに深刻なのは、単に給与を騙し取るだけでなく、雇用された工作員が社内ネットワークに侵入して企業の専有情報や機密データを盗み出し、入社後に企業を恐喝（ランサムウェアやデータ公開の脅迫）する事態にまで発展している点です。リモートワークやオンライン採用のプロセスが、国家背景を持つサイバー犯罪組織の侵入経路となっている実態が浮き彫りになりました。

4. シカゴの個人を狙った米連邦保安局（USMS）を騙る詐欺

被害額：6万9,000米ドル（約1,080万円）
発生時期：2026年5月初旬
手口：シカゴ在住の個人が、米連邦保安官を騙る詐欺師からビデオ通話を受けました。詐欺師はビデオ通話の画面越しに、極めて精巧な「米連邦保安官バッジ」や公的な身分証明書を提示し、被害者に法的トラブルの解決名目で送金を要求しました。この事件の背景には、「ChatGPT Images 2.0」をはじめとする消費者向けの超高精度AI画像生成ツールが普及したことがあります。これにより、犯罪者は専門的なデザインスキルがなくとも、偽造身分証、公的機関の領収書、偽の銀行アラートなどを数秒で作成できるようになりました。被害者は「ビデオ画面で直接バッジを見た」という視覚的信頼を逆手に取られ、多額の現金を騙し取られました。

5. 英国エネルギー企業（ドイツ親会社傘下）における音声ディープフェイク詐欺

被害額：22万ユーロ（約3,500万円）
発生時期：2019年3月（音声ディープフェイク詐欺の元祖として、現在もセキュリティ対策の教訓とされています）
手口：英国のエネルギー企業のCEO宛てに、ドイツの親会社のCEOを名乗る人物から電話がありました。電話の主は「2日以内にハンガリーのサプライヤーに緊急送金してほしい」と指示。CEOは、その声のトーン、独特のアクセント、話し方の癖、さらには呼吸のタイミングまでが親会社CEOそのものであったため、全く疑わずに送金を実行しました。これは商業的なAI音声合成技術が初期の段階で悪用された事例であり、「声の信頼性」がいかに容易に崩壊するかを世界に知らしめました。現在はこの技術がさらに進化し、わずか数秒の音声サンプルから本人そっくりの音声をリアルタイムで生成できるようになっています。

法規制・政府対応の最新動向

ディープフェイクの悪用や著作権侵害の深刻化、そして選挙への干渉懸念を受け、国内外の政府は法規制の強化へ舵を切っています。直近1ヶ月で合意・発表された重要な動きを3つ解説します。

1. EU：EU・AI法（EU AI Act）の修正案暫定合意

発表時期：2026年5月7日暫定合意（性的ディープフェイク禁止や透かし表示義務は2026年12月2日から適用予定）
概要と企業への影響： EUは、世界で最も包括的とされる「EU・AI法」の修正案において、ディープフェイクに対する具体的な規制をさらに強化することで暫定合意しました。本人の同意なく性的に露骨な画像を生成する「性的ディープフェイク」の利用が明確に禁止されるほか、AIで生成・加工されたすべてのコンテンツ（画像、音声、動画、テキスト）に対して、**強制的な「透かし（ウォーターマーク）表示義務」**が課されます。 AI開発企業だけでなく、それを利用してコンテンツを配信するプラットフォーム企業やグローバル企業は、悪用防止フィルターの強化や、生成コンテンツへの透かし埋め込み技術の実装が義務付けられます。これに違反した場合、全世界売上高の最大6%または巨額の制裁金が科されるリスクがあり、EU内で事業を展開する日本企業にとっても極めて重要なコンプライアンス課題となっています。

2. 日本：自民党によるAI法への「罰則導入」提言案

発表時期：2026年4月23日発表（政府へ提出・検討中）
概要と企業への影響：日本国内では2025年9月に「人工知能技術研究・活用推進法（AI法）」が全面施行されましたが、これまではイノベーション促進の観点から罰則規定が設けられていませんでした。しかし、著作権侵害コンテンツの氾濫や、著名人になりすましたディープフェイク投資詐欺の急増を受け、自民党のデジタル社会推進本部（AI・web3小委員会）は、政府の報告要請に従わない悪質なAI事業者に対して**「罰則を含めた実効性ある適切な方策」**を検討するよう政府に求める提言案を取りまとめました。今後、日本国内で活動するAI事業者やAIシステムを利用する企業に対し、学習データの実態やディープフェイク生成防止措置に関する説明・報告義務が法的に強化される見通しです。

3. アメリカ・メリーランド州：選挙ディープフェイク法（SB 141）

発表時期：2026年5月17日署名、2026年6月1日施行
概要と企業への影響： 2026年秋に控える米国中間選挙を前に、AI生成の政治的ディープフェイクによる有権者の欺瞞行為を規制する法律（SB 141）にウェス・ムーア州知事が署名しました。これにより、メリーランド州は全米で30番目に選挙関連のディープフェイクを法的に規制する州となりました。この法律により、ソーシャルメディアプラットフォームや広告配信企業は、選挙に関連するAI生成コンテンツを検知・ラベリングし、虚偽情報の拡散を防ぐための監視体制を強化することが法的に義務付けられます。違反コンテンツを放置した場合、プラットフォーム側も法的責任を問われる可能性があります。

国内外の主要なAI・ディープフェイク規制比較

国・地域	法律・規制名	発表・施行時期	主な規制内容・義務	違反時のペナルティ・企業への影響
EU（欧州連合）	EU・AI法（EU AI Act）修正案	2026年5月7日暫定合意（2026年12月2日一部適用予定）	・性的ディープフェイクの全面禁止・AI生成コンテンツへの「透かし（ウォーターマーク）」義務化	全世界売上高の最大6%の制裁金。グローバル企業はAIガバナンスの構築が必須。
日本	AI法（人工知能技術研究・活用推進法）改正検討	2026年4月23日自民党提言案発表	・悪質なAI事業者への調査・指導の強化・政府の報告要請への回答義務化	罰則規定（制裁金や業務改善命令等）の導入を検討。AIの透明性・説明責任が強化。
米国（メリーランド州）	選挙ディープフェイク法（SB 141）	2026年5月17日署名2026年6月1日施行	・選挙や政治に関連するAI生成フェイクの規制・プラットフォームでの検知とラベリング義務	違反コンテンツの放置に対する法的責任。SNSや広告・メディア企業への監視義務。

企業が取るべきセキュリティ・IT・法務対策

「目で見ても、耳で聞いても信じられない」時代において、企業は組織全体で多層的な防衛ラインを構築する必要があります。セキュリティ、IT、法務/コンプライアンスの各担当者が実務として今すぐ着手すべきアクションを提案します。

1. 技術的対策の強化（ゼロトラストと真正性証明）

従来の「境界型セキュリティ（社内は安全、社外は危険）」は、ディープフェイクによるなりすまし侵入の前には無力です。

多要素認証（MFA）の高度化とパスキーの導入： ID・パスワードや、単純な2D顔認証（eKYC）はディープフェイクで突破されるリスクがあります。生体認証には3D深度センシングやライブネス検知（生体生存確認）を導入し、さらにデバイス制限（デバイスバインディング）を組み合わせた多層認証を徹底してください。
電子透かし（C2PA）の採用：自社が発信する公式なプレスリリース画像やIR資料、役員の顔写真などには、コンテンツの出自や編集履歴を暗号技術で記録する国際規格「C2PA（Content Credentials）」を埋め込み、「本物であること」を技術的に証明できるようにします。
高度な検出ツールの導入：ディープフェイクを検知・防御する最新ツールとして、リアルタイムで映像や音声の整合性を解析する**「Spellbreaker」や、コンテンツの改ざん履歴をピクセル単位で検証する「ProbeTruth」**のような高度なAI検出ソリューションの導入も検討すべきです。これらをeKYCやビデオ会議システム、コンテンツ管理に組み込むことで、なりすましを技術的に遮断することが可能になります。

2. 業務プロセスと承認フローの見直し

技術がどれだけ進化しても、最終的な意思決定プロセスに「人間による検証ゲート」を設けることで、被害を未然に防ぐことができます。

「ワンチャネル（単一経路）」による指示の禁止：「CFOからのビデオ通話での指示だから」と、その場だけで送金を決定してはいけません。高額な送金や機密情報の開示、重要システムの権限付与を行う際は、必ず「事前に登録された電話番号に直接かけ直す」「社内の秘匿チャットツールで二重確認する」など、複数の独立した連絡経路（アウトオブバンド確認）をルール化してください。
リモート採用プロセスの厳格化：北朝鮮工作員の事例に見られるように、オンライン面接だけで採用を完結させるのは危険です。身元確認（eKYC）の徹底、面接時のリアルタイム質問（不自然な遅延や顔のゆがみの監視）、さらには重要ポジションにおいては最終面接を対面で行う、あるいはバックグラウンドチェック（経歴調査）を外部専門機関に依頼するなどの対策が必要です。

3. 従業員向けリテラシー研修と「ディープフェイク訓練」

セキュリティの最大の弱点は「人間の心理」です。

「見分けられない」前提のトレーニング：「不自然なまばたきがないか注意しよう」といった古い見分け方は、現在の高精度AIの前には通用しません。「音声や映像は100%偽造され得る」という現実を前提とした教育を行います。
模擬ディープフェイク訓練の実施：「偽の役員から緊急の送金指示が届く」「取引先から偽のビデオ通話がかかる」といった、実際の被害シナリオに基づいたフィッシング・ソーシャルエンジニアリング訓練を定期的に実施し、従業員が「ルール通りに別ルートで確認できるか」をテストします。

4. インシデント対応計画（プレイブック）の策定

万が一、自社のディープフェイク（役員の偽謝罪動画や、偽の不祥事ニュースなど）が拡散された場合、初動の遅れは致命的なブランド毀損につながります。

早期検知体制の構築： SNSやウェブ上の不審な言及を常時監視するモニタリング体制を整えます。
エスカレーションルートの確立：フェイク動画が発見された際、広報、法務、ITセキュリティ、経営層が即座（30分以内）に集まり、事実確認と意思決定を行える体制を作っておきます。
対外発信のテンプレート化：「これは偽のコンテンツです」という公式声明の雛形を事前に用意し、発見から2時間以内の初動発信を目指します。

5. グローバル規制・コンプライアンス対応

AIガバナンス体制の構築：自社が開発・利用するAIツールが、EU AI法などの「透明性義務」や「ラベリング義務」に抵触していないかを法務部門が精査する必要があります。
最新情報の継続的キャッチアップ：グローバル規制への対応や、最新のAIセキュリティ対策、先進企業の取り組み事例については、AIセキュリティ専門のポータルサイト**「g1tec.jp」**などの信頼できるリソースを定期的にチェックし、社内のナレッジをアップデートし続けることが重要です。

まとめ

ディープフェイクを用いたAI詐欺やなりすましは、かつての「技術的な実験」の域を完全に超え、企業の資産や社会的信用を直接脅かす「現実の脅威」となりました。香港のArup社が被った約40億円の被害や、北朝鮮工作員による巧妙な雇用詐欺は、明日は我が身に起こり得るシナリオです。

同時に、EU・AI法の修正案合意や、日本のAI法への罰則導入提言など、法規制の包囲網も急速に狭まっています。企業のセキュリティ・IT・法務担当者は、単一のセキュリティ製品に依存するのではなく、**「多層的な技術防御（SpellbreakerやProbeTruth等の活用）」「業務プロセスの二重化」「従業員教育」「迅速なインシデント対応」**を組み合わせた総合的なAIガバナンスを今すぐ構築することが求められています。

よくある質問（FAQ）

Q1：ビデオ通話で相手が「本物」かどうかをその場で即座に見極める実務的な方法はありますか？

A1：現在のディープフェイクはリアルタイムで表情や声を模倣できるため、肉眼や直感だけで100%見抜くことは不可能です。しかし、実務的な防衛策として、会話中に「横を向いて顔の輪郭をカメラに見せてほしいと頼む（リアルタイム合成のズレが発生しやすい）」、「今日の日付や、社内しか知らない特定の質問を投げかける」といった方法があります。最も確実なのは、**「ビデオ通話の指示だけで業務を実行せず、事前に登録された別ルート（電話や社内チャット）で本人に直接確認する」**という運用ルールの徹底です。

Q2：EU AI法の「透かし（ウォーターマーク）表示義務」は、EU域外の日本企業にも影響しますか？

A2：はい、影響します。EU AI法は「効果の及ぶ場所（効果主義）」を採用しているため、日本国内に本社がある企業であっても、提供するAIシステムやAI生成コンテンツがEU市場で利用される、あるいはEUの市民に提供される場合は、規制の対象となります。違反した場合には巨額の制裁金が科される可能性があるため、EUに顧客や拠点を持つ企業は、2026年12月の適用開始に向けて、自社のAI利用実態の棚卸しとラベリング体制の整備を急ぐ必要があります。

Q3：リモート採用における「なりすまし雇用詐欺」を防ぐために、人事・IT部門が連携してできる対策は何ですか？

A3：以下の3つの対策を推奨します。

公的個人認証（JPKI）や厳格なeKYCの導入：採用応募時の本人確認において、マイナンバーカード等のICチップ読み取りを伴う公的個人認証を必須とします。
面接時の技術的チェック：ビデオ面接中に、カメラの前で特定の動作（手を開いて顔の前を横切らせる、特定の角度に首を傾けるなど）を求め、AI合成のレンダリング遅延やノイズを検知します。
バックグラウンドチェックの実施：前職の在籍確認や、リファレンスチェック（推薦人への確認）を、登録された連絡先を通じて厳格に行います。

Q4：自社の役員になりすましたディープフェイク動画（偽の謝罪や不祥事）がSNSで拡散された場合、法務・広報が取るべき最初のステップは何ですか？

A4：まずは事前に策定した「インシデント対応プレイブック」に基づき、以下の初動を2時間以内に実行します。

事実確認と証拠保全：対象の動画がAI生成であることを技術的・事実関係から確認し、URLや動画ファイルを証拠として保存します（この際、真正性検証ツールを用いてAIの痕跡を解析します）。
公式声明の迅速な発表：自社の公式サイトや公式SNSアカウント（認証バッジ付き）にて、「現在拡散されている動画はAIによって生成された偽物である」旨を、一貫したメッセージで公表します。
プラットフォームへの削除要請：YouTubeやX（旧Twitter）などのプラットフォームに対し、利用規約違反（なりすまし・ディープフェイク）として即座に削除申請を行います。

参考情報

Sumsub Upgrades Deepfake Detection to Combat AI-Generated Fraud (Fintech News Singapore) https://fintechnews.sg/130900/security/sumsub-deepfake-detection/
YouTube Expands Deepfake Detection to Entertainment Industry (PC Watch) https://pc.watch.impress.co.jp/docs/news/2103675.html
性的ディープフェイク対応について議論、「法整備が必要」…東京でシンポジウム (読売新聞オンライン) https://www.yomiuri.co.jp/national/20260515-GYT1T00290/
ＡＩ法で事業者に罰則検討を…著作権侵害やディープフェイク被害相次ぎ、自民が提言案 (読売新聞オンライン) https://www.yomiuri.co.jp/economy/20260423-GYT1T00011/
Election deepfake laws spread across US ahead of 2026 midterms (Biometric Update) https://www.biometricupdate.com/202605/election-deepfake-laws-spread-across-us-ahead-of-2026-midterms

今週の主要なディープフェイク・AI詐欺ニュース

1. 多国籍エンジニアリング企業「Arup（アラップ）」香港支社における約40億円詐欺

被害額：2,560万米ドル（約40億円 / 2億香港ドル）
発生時期：2024年1月〜2月（2026年5月の最新セキュリティレポート等において、依然として最も精巧かつ代表的な脅威として再検証されています）
手口：香港支社の財務担当社員が、同社の最高財務責任者（CFO）から「極秘の取引がある」というメールを受け取り、ビデオ通話に招待されました。ビデオ会議の画面には、CFOだけでなく、複数の同僚の姿もあり、リアルタイムで会話が交わされました。しかし、このビデオ会議の参加者は、社員自身を除く全員がディープフェイクで生成された「偽物」でした。攻撃者は、ネット上に公開されている過去の会議映像やインタビュー動画からCFOらの顔と音声を精巧に再現し、あらかじめ作成したスクリプトに沿ってリアルタイムで対話を行っていたのです。本物と信じ込んだ社員は、指示されるがままに計15回にわたって指定口座へ送金を実行し、約40億円という巨額の資金が流出しました。

2. 暗号資産プラットフォーム「Plasma（プラズマ）」創設者なりすまし

被害額：200万米ドル（約3億1,000万円）
発生時期：2025年8月
手口：暗号資産（仮想通貨）プラットフォーム「Plasma」の創設者になりすました攻撃者が、音声や映像を偽造するディープフェイク技術を用いて、同社の関係者や大口の取引先を欺きました。暗号資産業界では、スマートコントラクトや秘密鍵の管理といった技術的セキュリティは強固である一方、意思決定者間のコミュニケーションを狙った「ソーシャルエンジニアリング（社会的障壁の突破）」が深刻な弱点となっています。創設者の声で「緊急の流動性確保が必要」と電話やビデオ通話で直接指示された関係者が、疑うことなく指定のウォレットに資金を送金してしまった事例であり、AIによるなりすましが業界全体の深刻なセキュリティリスクであることを示しています。

3. 米国企業136社以上を標的にした北朝鮮工作員によるなりすまし雇用詐欺

被害額：工作員1人あたり年間30万ドル（約4,700万円）以上の報酬詐取、およびデータ恐喝被害
発生時期：2024年〜2026年（FBIや米司法省などが継続的な国家規模の脅威として立証）
手口：北朝鮮のIT工作員が、第三者の実在する米国市民の個人情報を盗用し、さらにディープフェイク技術（リアルタイムの顔・音声変更ツール）を用いてリモート採用のビデオ面接を通過。米国の主要なIT企業や人材派遣会社など136社以上に不正に雇用され、給与を詐取していました。さらに深刻なのは、単に給与を騙し取るだけでなく、雇用された工作員が社内ネットワークに侵入して企業の専有情報や機密データを盗み出し、入社後に企業を恐喝（ランサムウェアやデータ公開の脅迫）する事態にまで発展している点です。リモートワークやオンライン採用のプロセスが、国家背景を持つサイバー犯罪組織の侵入経路となっている実態が浮き彫りになりました。

4. シカゴの個人を狙った米連邦保安局（USMS）を騙る詐欺

被害額：6万9,000米ドル（約1,080万円）
発生時期：2026年5月初旬
手口：シカゴ在住の個人が、米連邦保安官を騙る詐欺師からビデオ通話を受けました。詐欺師はビデオ通話の画面越しに、極めて精巧な「米連邦保安官バッジ」や公的な身分証明書を提示し、被害者に法的トラブルの解決名目で送金を要求しました。この事件の背景には、「ChatGPT Images 2.0」をはじめとする消費者向けの超高精度AI画像生成ツールが普及したことがあります。これにより、犯罪者は専門的なデザインスキルがなくとも、偽造身分証、公的機関の領収書、偽の銀行アラートなどを数秒で作成できるようになりました。被害者は「ビデオ画面で直接バッジを見た」という視覚的信頼を逆手に取られ、多額の現金を騙し取られました。

5. 英国エネルギー企業（ドイツ親会社傘下）における音声ディープフェイク詐欺

被害額：22万ユーロ（約3,500万円）
発生時期：2019年3月（音声ディープフェイク詐欺の元祖として、現在もセキュリティ対策の教訓とされています）
手口：英国のエネルギー企業のCEO宛てに、ドイツの親会社のCEOを名乗る人物から電話がありました。電話の主は「2日以内にハンガリーのサプライヤーに緊急送金してほしい」と指示。CEOは、その声のトーン、独特のアクセント、話し方の癖、さらには呼吸のタイミングまでが親会社CEOそのものであったため、全く疑わずに送金を実行しました。これは商業的なAI音声合成技術が初期の段階で悪用された事例であり、「声の信頼性」がいかに容易に崩壊するかを世界に知らしめました。現在はこの技術がさらに進化し、わずか数秒の音声サンプルから本人そっくりの音声をリアルタイムで生成できるようになっています。

法規制・政府対応の最新動向

1. EU：EU・AI法（EU AI Act）の修正案暫定合意

発表時期：2026年5月7日暫定合意（性的ディープフェイク禁止や透かし表示義務は2026年12月2日から適用予定）
概要と企業への影響： EUは、世界で最も包括的とされる「EU・AI法」の修正案において、ディープフェイクに対する具体的な規制をさらに強化することで暫定合意しました。本人の同意なく性的に露骨な画像を生成する「性的ディープフェイク」の利用が明確に禁止されるほか、AIで生成・加工されたすべてのコンテンツ（画像、音声、動画、テキスト）に対して、**強制的な「透かし（ウォーターマーク）表示義務」**が課されます。 AI開発企業だけでなく、それを利用してコンテンツを配信するプラットフォーム企業やグローバル企業は、悪用防止フィルターの強化や、生成コンテンツへの透かし埋め込み技術の実装が義務付けられます。これに違反した場合、全世界売上高の最大6%または巨額の制裁金が科されるリスクがあり、EU内で事業を展開する日本企業にとっても極めて重要なコンプライアンス課題となっています。

2. 日本：自民党によるAI法への「罰則導入」提言案

発表時期：2026年4月23日発表（政府へ提出・検討中）
概要と企業への影響：日本国内では2025年9月に「人工知能技術研究・活用推進法（AI法）」が全面施行されましたが、これまではイノベーション促進の観点から罰則規定が設けられていませんでした。しかし、著作権侵害コンテンツの氾濫や、著名人になりすましたディープフェイク投資詐欺の急増を受け、自民党のデジタル社会推進本部（AI・web3小委員会）は、政府の報告要請に従わない悪質なAI事業者に対して**「罰則を含めた実効性ある適切な方策」**を検討するよう政府に求める提言案を取りまとめました。今後、日本国内で活動するAI事業者やAIシステムを利用する企業に対し、学習データの実態やディープフェイク生成防止措置に関する説明・報告義務が法的に強化される見通しです。

3. アメリカ・メリーランド州：選挙ディープフェイク法（SB 141）

発表時期：2026年5月17日署名、2026年6月1日施行
概要と企業への影響： 2026年秋に控える米国中間選挙を前に、AI生成の政治的ディープフェイクによる有権者の欺瞞行為を規制する法律（SB 141）にウェス・ムーア州知事が署名しました。これにより、メリーランド州は全米で30番目に選挙関連のディープフェイクを法的に規制する州となりました。この法律により、ソーシャルメディアプラットフォームや広告配信企業は、選挙に関連するAI生成コンテンツを検知・ラベリングし、虚偽情報の拡散を防ぐための監視体制を強化することが法的に義務付けられます。違反コンテンツを放置した場合、プラットフォーム側も法的責任を問われる可能性があります。

国内外の主要なAI・ディープフェイク規制比較

国・地域	法律・規制名	発表・施行時期	主な規制内容・義務	違反時のペナルティ・企業への影響
EU（欧州連合）	EU・AI法（EU AI Act）修正案	2026年5月7日暫定合意（2026年12月2日一部適用予定）	・性的ディープフェイクの全面禁止・AI生成コンテンツへの「透かし（ウォーターマーク）」義務化	全世界売上高の最大6%の制裁金。グローバル企業はAIガバナンスの構築が必須。
日本	AI法（人工知能技術研究・活用推進法）改正検討	2026年4月23日自民党提言案発表	・悪質なAI事業者への調査・指導の強化・政府の報告要請への回答義務化	罰則規定（制裁金や業務改善命令等）の導入を検討。AIの透明性・説明責任が強化。
米国（メリーランド州）	選挙ディープフェイク法（SB 141）	2026年5月17日署名2026年6月1日施行	・選挙や政治に関連するAI生成フェイクの規制・プラットフォームでの検知とラベリング義務	違反コンテンツの放置に対する法的責任。SNSや広告・メディア企業への監視義務。

企業が取るべきセキュリティ・IT・法務対策

1. 技術的対策の強化（ゼロトラストと真正性証明）

従来の「境界型セキュリティ（社内は安全、社外は危険）」は、ディープフェイクによるなりすまし侵入の前には無力です。

多要素認証（MFA）の高度化とパスキーの導入： ID・パスワードや、単純な2D顔認証（eKYC）はディープフェイクで突破されるリスクがあります。生体認証には3D深度センシングやライブネス検知（生体生存確認）を導入し、さらにデバイス制限（デバイスバインディング）を組み合わせた多層認証を徹底してください。
電子透かし（C2PA）の採用：自社が発信する公式なプレスリリース画像やIR資料、役員の顔写真などには、コンテンツの出自や編集履歴を暗号技術で記録する国際規格「C2PA（Content Credentials）」を埋め込み、「本物であること」を技術的に証明できるようにします。
高度な検出ツールの導入：ディープフェイクを検知・防御する最新ツールとして、リアルタイムで映像や音声の整合性を解析する**「Spellbreaker」や、コンテンツの改ざん履歴をピクセル単位で検証する「ProbeTruth」**のような高度なAI検出ソリューションの導入も検討すべきです。これらをeKYCやビデオ会議システム、コンテンツ管理に組み込むことで、なりすましを技術的に遮断することが可能になります。

2. 業務プロセスと承認フローの見直し

技術がどれだけ進化しても、最終的な意思決定プロセスに「人間による検証ゲート」を設けることで、被害を未然に防ぐことができます。

「ワンチャネル（単一経路）」による指示の禁止：「CFOからのビデオ通話での指示だから」と、その場だけで送金を決定してはいけません。高額な送金や機密情報の開示、重要システムの権限付与を行う際は、必ず「事前に登録された電話番号に直接かけ直す」「社内の秘匿チャットツールで二重確認する」など、複数の独立した連絡経路（アウトオブバンド確認）をルール化してください。
リモート採用プロセスの厳格化：北朝鮮工作員の事例に見られるように、オンライン面接だけで採用を完結させるのは危険です。身元確認（eKYC）の徹底、面接時のリアルタイム質問（不自然な遅延や顔のゆがみの監視）、さらには重要ポジションにおいては最終面接を対面で行う、あるいはバックグラウンドチェック（経歴調査）を外部専門機関に依頼するなどの対策が必要です。

3. 従業員向けリテラシー研修と「ディープフェイク訓練」

セキュリティの最大の弱点は「人間の心理」です。

「見分けられない」前提のトレーニング：「不自然なまばたきがないか注意しよう」といった古い見分け方は、現在の高精度AIの前には通用しません。「音声や映像は100%偽造され得る」という現実を前提とした教育を行います。
模擬ディープフェイク訓練の実施：「偽の役員から緊急の送金指示が届く」「取引先から偽のビデオ通話がかかる」といった、実際の被害シナリオに基づいたフィッシング・ソーシャルエンジニアリング訓練を定期的に実施し、従業員が「ルール通りに別ルートで確認できるか」をテストします。

4. インシデント対応計画（プレイブック）の策定

早期検知体制の構築： SNSやウェブ上の不審な言及を常時監視するモニタリング体制を整えます。
エスカレーションルートの確立：フェイク動画が発見された際、広報、法務、ITセキュリティ、経営層が即座（30分以内）に集まり、事実確認と意思決定を行える体制を作っておきます。
対外発信のテンプレート化：「これは偽のコンテンツです」という公式声明の雛形を事前に用意し、発見から2時間以内の初動発信を目指します。

5. グローバル規制・コンプライアンス対応

AIガバナンス体制の構築：自社が開発・利用するAIツールが、EU AI法などの「透明性義務」や「ラベリング義務」に抵触していないかを法務部門が精査する必要があります。
最新情報の継続的キャッチアップ：グローバル規制への対応や、最新のAIセキュリティ対策、先進企業の取り組み事例については、AIセキュリティ専門のポータルサイト**「g1tec.jp」**などの信頼できるリソースを定期的にチェックし、社内のナレッジをアップデートし続けることが重要です。

まとめ

よくある質問（FAQ）

Q1：ビデオ通話で相手が「本物」かどうかをその場で即座に見極める実務的な方法はありますか？

Q2：EU AI法の「透かし（ウォーターマーク）表示義務」は、EU域外の日本企業にも影響しますか？

Q3：リモート採用における「なりすまし雇用詐欺」を防ぐために、人事・IT部門が連携してできる対策は何ですか？

A3：以下の3つの対策を推奨します。

公的個人認証（JPKI）や厳格なeKYCの導入：採用応募時の本人確認において、マイナンバーカード等のICチップ読み取りを伴う公的個人認証を必須とします。
面接時の技術的チェック：ビデオ面接中に、カメラの前で特定の動作（手を開いて顔の前を横切らせる、特定の角度に首を傾けるなど）を求め、AI合成のレンダリング遅延やノイズを検知します。
バックグラウンドチェックの実施：前職の在籍確認や、リファレンスチェック（推薦人への確認）を、登録された連絡先を通じて厳格に行います。

Q4：自社の役員になりすましたディープフェイク動画（偽の謝罪や不祥事）がSNSで拡散された場合、法務・広報が取るべき最初のステップは何ですか？

A4：まずは事前に策定した「インシデント対応プレイブック」に基づき、以下の初動を2時間以内に実行します。

事実確認と証拠保全：対象の動画がAI生成であることを技術的・事実関係から確認し、URLや動画ファイルを証拠として保存します（この際、真正性検証ツールを用いてAIの痕跡を解析します）。
公式声明の迅速な発表：自社の公式サイトや公式SNSアカウント（認証バッジ付き）にて、「現在拡散されている動画はAIによって生成された偽物である」旨を、一貫したメッセージで公表します。
プラットフォームへの削除要請：YouTubeやX（旧Twitter）などのプラットフォームに対し、利用規約違反（なりすまし・ディープフェイク）として即座に削除申請を行います。

参考情報

Sumsub Upgrades Deepfake Detection to Combat AI-Generated Fraud (Fintech News Singapore) https://fintechnews.sg/130900/security/sumsub-deepfake-detection/
YouTube Expands Deepfake Detection to Entertainment Industry (PC Watch) https://pc.watch.impress.co.jp/docs/news/2103675.html
性的ディープフェイク対応について議論、「法整備が必要」…東京でシンポジウム (読売新聞オンライン) https://www.yomiuri.co.jp/national/20260515-GYT1T00290/
ＡＩ法で事業者に罰則検討を…著作権侵害やディープフェイク被害相次ぎ、自民が提言案 (読売新聞オンライン) https://www.yomiuri.co.jp/economy/20260423-GYT1T00011/
Election deepfake laws spread across US ahead of 2026 midterms (Biometric Update) https://www.biometricupdate.com/202605/election-deepfake-laws-spread-across-us-ahead-of-2026-midterms

今週の主要なディープフェイク・AI詐欺ニュース

1. 多国籍エンジニアリング企業「Arup（アラップ）」香港支社における約40億円詐欺

2. 暗号資産プラットフォーム「Plasma（プラズマ）」創設者なりすまし

3. 米国企業136社以上を標的にした北朝鮮工作員によるなりすまし雇用詐欺

4. シカゴの個人を狙った米連邦保安局（USMS）を騙る詐欺

5. 英国エネルギー企業（ドイツ親会社傘下）における音声ディープフェイク詐欺

法規制・政府対応の最新動向

1. EU：EU・AI法（EU AI Act）の修正案暫定合意

2. 日本：自民党によるAI法への「罰則導入」提言案

3. アメリカ・メリーランド州：選挙ディープフェイク法（SB 141）

国内外の主要なAI・ディープフェイク規制比較

企業が取るべきセキュリティ・IT・法務対策

1. 技術的対策の強化（ゼロトラストと真正性証明）

2. 業務プロセスと承認フローの見直し

3. 従業員向けリテラシー研修と「ディープフェイク訓練」

4. インシデント対応計画（プレイブック）の策定

5. グローバル規制・コンプライアンス対応

まとめ

よくある質問（FAQ）

Q1：ビデオ通話で相手が「本物」かどうかをその場で即座に見極める実務的な方法はありますか？

Q2：EU AI法の「透かし（ウォーターマーク）表示義務」は、EU域外の日本企業にも影響しますか？

Q3：リモート採用における「なりすまし雇用詐欺」を防ぐために、人事・IT部門が連携してできる対策は何ですか？

Q4：自社の役員になりすましたディープフェイク動画（偽の謝罪や不祥事）がSNSで拡散された場合、法務・広報が取るべき最初のステップは何ですか？

参考情報

Request a Demo

Get the Product Brochure

Protect Your Organization with spellbreaker

Related Articles

今週の主要なディープフェイク・AI詐欺ニュース

1. 多国籍エンジニアリング企業「Arup（アラップ）」香港支社における約40億円詐欺

2. 暗号資産プラットフォーム「Plasma（プラズマ）」創設者なりすまし

3. 米国企業136社以上を標的にした北朝鮮工作員によるなりすまし雇用詐欺

4. シカゴの個人を狙った米連邦保安局（USMS）を騙る詐欺

5. 英国エネルギー企業（ドイツ親会社傘下）における音声ディープフェイク詐欺

法規制・政府対応の最新動向

1. EU：EU・AI法（EU AI Act）の修正案暫定合意

2. 日本：自民党によるAI法への「罰則導入」提言案

3. アメリカ・メリーランド州：選挙ディープフェイク法（SB 141）

国内外の主要なAI・ディープフェイク規制比較

企業が取るべきセキュリティ・IT・法務対策

1. 技術的対策の強化（ゼロトラストと真正性証明）

2. 業務プロセスと承認フローの見直し

3. 従業員向けリテラシー研修と「ディープフェイク訓練」

4. インシデント対応計画（プレイブック）の策定

5. グローバル規制・コンプライアンス対応

まとめ

よくある質問（FAQ）

Q1：ビデオ通話で相手が「本物」かどうかをその場で即座に見極める実務的な方法はありますか？

Q2：EU AI法の「透かし（ウォーターマーク）表示義務」は、EU域外の日本企業にも影響しますか？

Q3：リモート採用における「なりすまし雇用詐欺」を防ぐために、人事・IT部門が連携してできる対策は何ですか？

Q4：自社の役員になりすましたディープフェイク動画（偽の謝罪や不祥事）がSNSで拡散された場合、法務・広報が取るべき最初のステップは何ですか？

参考情報

Request a Demo

Get the Product Brochure

Protect Your Organization with spellbreaker

Related Articles