お忘れなく、10月からは司法省のデータセキュリティプログラムに関する新たな義務が発生します

以前報告した通り、2025年10月6日は司法省（DOJ）のデータセキュリティプログラム（DSP）実施の最終期限となる。この日までに、米国の大量個人データまたは政府関連データを扱う企業は、デューデリジェンス、監査、記録保持、報告要件への準拠が求められる。対象となるデータ取引を行う企業には、以下のコンプライアンス対策が求められる：

デューデリジェンス及び監査要件

制限取引に関するデューデリジェンス[1]

2025年10月6日までに、企業は最低限、以下の内容を含むデータコンプライアンスプログラムを実施しなければならない：

• 制限付き取引におけるデータフローを検証するためのリスクベースの手続き。これには、政府関連または大量の米国個人データの種類と量、取引当事者の身元、データの最終用途および転送方法が含まれる。
• ベンダーの身元確認のためのリスクベースの手順；
• コンプライアンス担当者が毎年認証する、会社のデータコンプライアンスプログラムを説明する書面による方針；および
• コンプライアンス担当者が年次認証を行う、必要なセキュリティ要件の実施を記述した文書化された方針。

制限付き取引の監査[2]

制限取引に従事する米国人は、毎年独立監査人による監査を実施しなければならない。監査は、前年度の制限取引及び当該米国人のデータコンプライアンスプログラムの完全な検証で構成されなければならない。監査人は監査完了後60日以内に書面による報告書を作成し提出しなければならない。

報告および記録保持の要件

米国人が制限取引を行う場合、当該取引の完全な記録を保持し、取引日から少なくとも10年間、検査のために記録を保持しなければならない。また、司法省の要求に応じて、利用可能な形式で報告書を提出することが求められる。

年次報告書[3]

2025年10月6日より、クラウドコンピューティングサービスに関連する制限取引に従事する米国人（当該米国人の持分の25％以上が懸念国または対象者によって所有されている場合）は、司法省（DOJ）への年次報告書の提出が必要となる。年次報告書には以下の情報を含めること：

• 対象データ取引を行う米国人の氏名および住所、ならびに追加情報を入手できる連絡担当者の氏名、電話番号、メールアドレス；
• 対象となるデータ取引の説明；
• 当該取引に関連して作成された書類の写し；および
• 司法省が要求するその他の情報。

拒否された禁止取引に関する報告書[4]

データブローカー業務に関連する禁止取引の提案を受け、これを積極的に拒否した米国人は、当該取引を拒否した日から14日以内に報告書を提出しなければならない。報告書には、対象となる制限取引に関する年次報告書で要求されるのと同様の情報を含めるものとする。

[1]参照 § 202.1001を参照。

[2] § 202.1002を参照のこと 。

[3] § 202.1103を参照のこと 。

[4] § 202.1104を参照のこと 。