10月、司法省のデータ・セキュリティ・プログラムに関する新たな義務が発生することをお忘れなく。

既報の通り、2025年10月6日が司法省（DOJ）のデータ・セキュリティ・プログラム（DSP）実施の最終期限となる。この日をもって、米国の大量個人データまたは政府関連データを取り扱う企業は、デューデリジェンス、監査、記録管理、および報告要件に準拠する必要があります。対象となるデータ取引に従事する企業には、以下のコンプライアンス対策が求められる：

デューデリジェンスと監査要件

制限付き取引のデュー・ディリジェンス[1]

2025年10月6日までに、企業は少なくとも以下を含むデータ・コンプライアンス・プログラムを実施しなければならない：

• 政府関連または大量の米国個人データの種類と量、取引当事者の身元、データの最終用途と転送方法を含む、制限された取引のデータフローを検証するリスクベースの手順；
• ベンダーの身元を確認するためのリスクベースの手順；
• 会社のデータ・コンプライアンス・プログラムを記述した、コンプライアンス・オフィサーが毎年証明する方針書。
• コンプライアンス・オフィサーによって毎年証明される、必要なセキュリティ要件の実施を記述した書面による方針。

制限付き取引の監査[2]

また、制限付取引に従事する米国人は、毎年、独立監査人による監査を実施しなければなりません。監査は、過去 1 年間の制限付取引及び U.S. person のデータ・コンプライア ンス・プログラムの全面的な検査で構成されなければなりません。監査人は、監査終了後 60 日以内に報告書を作成し、提出しなければなりません。

報告および記録要件

制限された取引に従事する米国人は、そのような取引に関する完全な記録を保管し、そのような取引の日から少なくとも10年間は、検査が可能な記録を保管しなければならない。また、報告書は司法省の要求に応じて、使用可能な形式で作成することが要求されます。

アニュアルレポート[3]

2025年10月6日以降、クラウドコンピューティングサービスを含む制限付き取引に従事する米国人であって、当該米国人の持分の25%以上を懸念国または対象者が所有する者は、司法省に年次報告書を提出する必要がある。 年次報告書には以下の情報が含まれるものとする：

• 対象となるデータ取引に従事する米国人の氏名、住所、追加情報を入手できる連絡先の氏名、電話番号、Eメールアドレス；
• 対象となるデータトランザクションの説明；
• 取引に関連して作成された書類のコピー。
• 司法省が必要とするその他の情報。

拒否された禁止取引に関する報告[4]

データ・ブローカーを含む禁止取引に関与するオファーを受け、それを肯定的に拒否した米国人は、その取引を拒否してから14日以内に報告書を提出しなければならない。報告書には、対象となる制限取引に関する年次報告書で要求されるものと同様の情報が含まれるものとする。

[1]参照。 § 202.1001.

[2]§202.1002を参照のこと 。

[3]§202.1103を参照のこと 。

[4]§202.1104を参照の こと。