機密データの保護はこれまで以上に重要である。高度なサイバー脅威、洗練された諜報技術、外部データの商品化が蔓延するグローバル化した世界において、機密情報を盗難や悪用から守るためにはセキュリティ強化が不可欠だ。米国司法省(DOJ)が最近導入したデータセキュリティプログラム(DSP)は、外国の敵対勢力がこうしたデータにアクセスする脅威を政府がいかに深刻に受け止めているかを示している。 米国人の個人データを集約する、あるいは米国政府職員に関連する情報を収集する米国人および企業は、特定された懸念対象国・個人へのデータ移転において、現在では義務的な制限と禁止事項に直面しています。本プログラムの執行猶予期間が2025年7月8日をもって正式に終了した[1]ため、直ちに準拠しない場合、厳しい民事・刑事罰則の対象となるリスクが生じます。
背景
DSPは本質的に、外国の敵対勢力およびそれらの敵対勢力の支配・指示下にある者による、米国政府関連データおよび 大量の米国の機微な個人データへのアクセスを阻止する輸出管理制限を確立するものである。
DSPは、国際緊急経済権限法(IEEPA)に基づき、かつ大統領令14117号(懸念国による米国人の大量の機微な個人データ及び米国政府関連データへのアクセス防止に関するもの)に従って発出された。[2] 本プログラムの施行日は2025年4月8日であったが、司法省国家安全保障局(NSD)は、米国個人・企業が遵守に必要な変更を実施し、DSP関連問題についてNSDと協議するための追加時間を確保するため、執行努力を90日間延期すると発表した。
猶予期間が終了した今、個人および団体は完全な順守が求められており、NSDは潜在的な違反行為の執行を開始する可能性がある。DSPは、外国の敵対勢力が商業活動を利用して、対象となるカテゴリーの米国政府および機密性の高い個人データにアクセスし、悪用し、兵器化しようとする継続的な取り組みに対処することを目的としている。本プログラムはトランプ政権の様々な優先事項に沿ったものであるため、米国企業は積極的な執行を予想し、自社の順守を確保すべきである。[3]
対象国および対象者
DSPは、米国政府データおよび米国人の個人データに関連する特定の取引について、米国人および米国法人による「懸念対象国」または 「対象者」との取引を制限し禁止する。
2025年4月11日、NSDはDSPに関連するコンプライアンスガイドを発行し、以下の各国を「懸念国」として特定した:
- 中国(香港・マカオを含む)
- キューバ
- イラン
- 北朝鮮
- ロシア
- ベネズエラ
これらの国々は、政府関連データ及び米国国民の機微な個人データを様々な特定の手段を通じて米国の国家安全保障を脅かす意図と能力を有していると特定された。[4]
「対象者」とは、最終規則において以下の通り定義される:(1) 懸念対象国に本社を置く、または懸念対象国の法律に基づき設立された外国法人、もしくは懸念対象国または他の対象者によって過半数の所有権を有する外国法人、(2) 懸念対象国または他の対象者によって過半数の所有権を有する外国法人、 (3) 懸念対象国または対象者の従業員もしくは契約者である外国人個人、(4) 主に懸念対象国に居住する外国人個人、(5) NSDが指定し公表する個人。[5]サブカテゴリー(5)に関しては、NSDは、当該人物が懸念対象国の所有・支配下に置かれているなど特定の基準を満たすと判断した場合、公表された対象者リストに人物を指定・追加する。[6]
対象データ取引および免除データ取引
DSPの要件が特定の米国人または米国法人に適用されるか否かを判断するには、問題となるデータの種類とプログラムの対象となる取引を理解することが不可欠である。企業がプログラムの対象となるデータを扱う場合、特定の状況下では当該情報の移転が制限されるか、あるいは禁止されることとなる。
対象取引: 懸念国または対象者が政府関連データもしくは米国の大量機微個人データにアクセスする取引は、 DSP規制の対象となる。「対象取引」となるには、当該取引が(1)データ仲介、(2)ベンダー契約、(3)雇用契約、または(4)投資契約のいずれかを伴う必要がある。[7]
「政府関連データ」: 政府活動に関連する特定の位置情報データ [8] および、取引当事者が米国政府の現職または直近の元職員もしくは契約業者に関連付けられている、もしくは関連付け可能なものとして販売する機微な個人データ(量にかかわらず)。例:米国企業が「政府職員」に属するとして機微な個人データ一式の販売を広告する場合。[9]
「米国の機微な個人データの大量データ」:米国人に関連する機微な個人データの集合またはセット (形式を問わない)。[10] 「機微な個人データ」には、(1) 対象となる個人識別子、(2) 正確な地理的位置データ、(3) 生体認証識別子、(4) ヒトゲノムデータ、(5) 個人健康データ、(6) 個人金融データ、またはそれらの組み合わせが含まれる。[11]
DSPの下では、対象となる取引は大きく2つのカテゴリーに分類されます:1)禁止取引および2)制限取引。
禁止取引:一般的に 、懸念対象国または対象人物とのデータ仲介取引を伴い、特定の免除対象を除き、米国人が対象取引に従事することを禁止する。また、懸念対象国または対象人物による特定の大量の米国機密データへのアクセスを伴う取引も禁止される。[12]
制限取引:一般的に、ベンダー契約、雇用契約、または投資契約に基づくデータ取引をカバーし、特定の免除を除き、米国人が特定のセキュリティ要件を遵守しない限り制限される。[13]
免除取引:いくつかの 取引は、本来適用される禁止事項および制限事項から免除されます。そのような免除には、以下が含まれますが、これらに限定されません:
- 情報または情報資料;
- 金融サービス;
- 企業グループ取引(通常、管理業務または付随的業務の一環として行われるもの)
- 連邦法または国際協定により要求される、または認可される取引;
- CFIUSの審査対象となる投資契約;
- 電気通信サービス;
- 医薬品、生物学的製剤及び医療機器の認可;並びに
- その他の臨床試験および市販後調査データ(通常、米国食品医薬品局(FDA)が規制する臨床試験に付随し、その一部を構成するもの、または特定の臨床ケアデータもしくは市販後調査データの収集・処理)。[14]
ライセンス
司法省(DOJ)は、国家安全保障局(NSD)を通じて、DSPに違反する可能性のある対象データ取引を行うための一般ライセンスまたは特定ライセンスを発行することができる。一般ライセンスは、特定の種類の取引を認可するものであり、禁止事項や制限事項に従うことを条件として、特定ライセンスの申請を必要としない。[15] 特定ライセンスとは、NSDが特定の個人または団体に対して発行する文書であり、特定の取引を許可するものである。[16]
司法省の実施と執行
DSPは、NSD(国家安全保障局)の外国投資審査課(FIRS)によって管理・執行される。同課は、外国の敵対勢力などの脅威によって引き起こされる国境を越えた取引、事業、技術に対する国家安全保障上のリスクに対処し管理するための、司法省の非起訴的取り組みを担当する。 FIRSはまた、DSPの適用に関する助言意見の要請を、規制対象となる可能性のある当事者から受け付ける場合がある。これはDSPに関する最終規則に組み込まれた仕組みである。[17]
DSP違反に関連する民事または刑事訴訟は、NSDが処理するか、適切な米国司法省検察局に付託される見込みである。米国企業は、DSPに基づく執行措置が従来の輸出管理違反や制裁違反措置とほぼ同様の対応となることを想定すべきである。DSPと米国経済制裁制度はいずれも、IEEPA(国際緊急経済権限法)に基づく権限を有する。 IEEPAに基づく民事・刑事上の責任は重大であり、民事罰は386,136ドルまたは各違反取引額の2倍のいずれか大きい額まで、刑事罰は20年の禁固刑、100万ドルの罰金、またはその両方が科される可能性がある。[18]したがって、DSPの適用範囲に該当する可能性のある活動を行う米国人または企業は、適切なコンプライアンスおよび報告要件を満たすため、早期かつ頻繁に弁護士と協議すべきである。
主なポイントと提言
DSPの完全実施に向けた計画をまだ開始していない米国人および米国企業は、直ちにコンプライアンスを確保すべきである。影響を受ける企業には以下が含まれる可能性がある:
- クラウドサービスプロバイダー
- 仮想サービスプロバイダー
- データ処理センター
- 医療機器メーカー
- 学術機関
- データ分析企業およびコンサルタント
- 防衛または医療分野の政府請負業者
輸出管理コンプライアンス対策と同様に、これらの米国人および米国企業は、この分野に精通した弁護士を起用し、以下の事項を実施すべきである:
- 内部レビューおよび監査を実施し、対象データへの潜在的なアクセス、または当該データの対象国または対象者への流れを伴う取引を特定する。
- データセキュリティ、および米国政府関連データまたは大量の米国の機微な個人データへのアクセスもしくは移転に対処する方針、手順、および研修を実施する。
- 禁止または制限された取引について、一般ライセンスの適用可能性、または特定ライセンスの申請の必要性を判断する。
- コンプライアンスプログラムを実施し、取引を追跡し、定期的なデューデリジェンスを実施し、正確な記録を維持する。
- 必要に応じて弁護士を起用し、ベンダー契約書の作成または改訂、デューデリジェンスの実施、および必要に応じて司法省(DOJ)などの政府機関との連携を行う。
- 従業員の勤務地、役割、または責任を、懸念国または対象者への近接性や接触状況に応じて調整する。
- サイバーセキュリティ・インフラストラクチャ庁(CISA)のセキュリティ要件を実施する。
これらの措置を講じることで、米国企業および個人は、今後予想される執行措置に適切に備えることができる。
影響を受ける企業および個人は、2025年10月6日にも留意すべきである。当該日付より、法人および個人は制限取引に関するデューデリジェンスおよび監査要件、ならびに制限取引および拒否された禁止取引に関する報告要件を遵守しなければならない。
本トピックに関するご質問がございましたら、執筆者または担当のFoley & Lardner弁護士までお気軽にお問い合わせください。現代の複雑な国際貿易環境における事業運営について「多国籍企業が知っておくべきこと」の今後の更新情報をご希望の方は、弊社の関税・国際貿易ブログにご登録ください。 登録はこちらをクリックしてください。
***
[1] 「データセキュリティプログラム:2025年7月8日までの実施および執行方針」、司法省(2025年4月11日)、https://www.justice.gov/opa/media/1396346/dl?inline
[2]50 U.S.C. § 1705参照。 また大統領令14117 「懸念国による米国市民の大量機微個人データ及び米国政府関連データへのアクセス防止」(2024年2月28日)も参照 。https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related
[3] ホワイトハウス「アメリカ第一投資政策」(2025年2月21日)、https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/; ホワイトハウス「ファクトシート:ドナルド・J・トランプ大統領、イランへの最大限の圧力回復」(2025年2月4日)、https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/
[4] 「データセキュリティプログラム:コンプライアンスガイド」、司法省(2025年4月11日)、https://www.justice.gov/opa/media/1396356/dl
[5]§202 .211(a)(1)~(5)を参照
[6]§ 202.701参照
[7]§ 202.214、§202.258、§202.217、および§202.228を参照のこと。
[8]§ 202.222(a)(1)参照
[9]§ 202.222(b)参照
[10]§ 202.206参照
[11]§ 202.249参照
[12] 202.301-303項を参照
[13]§ 202.401参照
[14]§ 202.501-511を参照
[15]§ 202.801参照
[16]§ 202.802参照
[17]§ 202.901参照
[18]§ 202.1301参照 。また、50 U.S.C. § 1705も参照。
