データ取引：臨床研究プログラムを有する学術医療センターに対する司法省最終規則の影響

司法省（DOJ）は2025年1月8日、大統領令14117を実施するための最終規則を公布し、2025年4月18日に修正条項を発行した。 2024年2月28日に発令された大統領令14117号「懸念国による米国人の大量機微個人データ及び米国政府関連データへのアクセス防止」は、司法長官に対し、外国またはその国民が利害関係を有する財産を伴う取引への米国人の参加を禁止または制限する規制を策定するよう指示した。 取引が禁止または制限されるのは、米国政府関連データまたは大量の機微な個人データ（最終実施規則で定義されるもの）を伴う場合、司法長官が国家安全保障上のリスクをもたらすと判断するカテゴリーに該当する場合（当該リスクは特定された懸念国または関連個人によるデータへの潜在的アクセスから生じる）、および大統領令に概説された追加基準を満たす場合である。

最終規則は、禁止または制限される取引のカテゴリーを規定し、政府関連または大量の米国の機密個人データを含む取引が制限される特定の国および個人・団体の種類を指定し、制限対象となる活動に対するライセンスの付与・変更・取消しおよび勧告的見解の発行に関する制度を創設し、大統領令に関連する司法省の調査・執行・規制措置を支援するための取引記録保持および報告要件を設定する。 

学術医療センター（AMC）および臨床研究や国際共同研究に従事する類似機関は、最終規則が課す規制要件を認識し、その適用可能性を判断する必要がある。生体認証識別子、個人健康情報、またはゲノムデータを含む研究提携は、対象国に指定された国の機関が関与する場合、制限取引または禁止取引とみなされる可能性がある。

要約

最終規則は、中国、ロシア、イラン、北朝鮮、キューバ、ベネズエラを含む特定の米国の対外敵対国が、米国の機密個人データや政府関連情報にアクセスすることを防止することを目的としている。 

主要な定義。 最終規則は、司法省が指定された「懸念国」および「対象者」とのデータ取引に関する規制を制定し、その遵守を強制することを認めるものである。 

• 「懸念国」とは、以下の意味を有するものと定義される： 

司法長官が国務長官及び商務長官の同意を得て、次の各号に該当すると判断した外国政府 (1) 米国国家安全保障または米国人の安全・保安に著しく有害な行為を長期にわたり継続的に行っているか、または重大な事例において行っていること、および(2) 政府関連データまたは大量の米国の機微な個人データを悪用し、米国国家安全保障または米国人の安全・保安を損なう重大なリスクをもたらすこと。 

• 「対象者」には以下が含まれると定義される：(1) 外国法人であって、(a) 懸念対象国または他の対象者により直接または間接的に50％以上所有されているもの、または (b) 懸念対象国の法律に基づき設立されているか、またはその主たる事業所が懸念対象国にあるもの；(2) 対象者（個人または法人）により直接または間接的に50％以上所有されている外国法人； (3) 懸念対象国の従業員または契約者として勤務する非米国居住の外国人個人；(4) 主に懸念対象国に居住する外国人個人；および(5) 司法長官が特定の基準に基づき合理的に決定するその他の法人または個人。 

対象データのカテゴリー。 最終規則は、生体認証識別子、ゲノムデータ、健康・金融データ、精密位置情報、その他の機微データと関連付け可能な個人識別子を含む8種類の「対象データ」を対象とする。また、米国政府職員に関連するデータや重要施設の地理的位置情報など、特定の政府関連情報も含まれる。特に、政府関連情報が関与する場合、データ処理量にかかわらず本規制が適用される点が注目される。 

制限対象取引の主な種類。 米国司法省（DOJ）は、制限対象取引を主に3種類に分類している：雇用契約、投資契約、ベンダー契約である。米国企業は、外国籍の従業員、投資家、サービス提供者（特に懸念国と関連する者）が、厳格なセキュリティプロトコルを満たさない限り、対象データ（Covered Data）にアクセスできないよう確保しなければならない。これは、採用や企業間取引からクラウドサービスやソフトウェアサブスクリプションに至るまで、幅広い商業活動に影響を及ぼし、特定の従業員とデータを共有する場合、臨床研究に従事するAMC（分析管理会社）にも影響を与える可能性が高い。 研究スポンサー、投資家、サービス提供者。 ただし、最終規則の禁止事項および制限事項は、特定国または対象者が政府関連データもしくは米国の機微な個人データを大量にアクセスする、特定国または対象者との対象データ取引にのみ適用されます。特定国または対象者による政府関連データもしくは米国の機微な個人データの大量アクセスを伴わない取引については、最終規則は規制対象外です。

禁止取引。 特に、最終規則では、データ仲介契約における対象データの外国企業への販売またはライセンス供与、あるいは生体認証データや生体試料を扱う取引など、特定の取引が絶対的に禁止されている。 

違反に対する罰則最終規則の違反には多額の罰金および制裁が科せられます。民事罰金は368,136米ドルまたは取引額の2倍のいずれか大きい額に達する可能性があります。故意の違反は、最大100万米ドルの刑事罰および最長20年の禁錮刑を招く恐れがあります。

臨床研究における最終的な要点。 最終規則に準拠するため、AMCは提案中および既存の研究活動、共同研究、運営について、パートナー、クライアント、従業員／契約者、データ受領者を含む厳格かつ徹底的なデューデリジェンスを実施し、提案中または既存の取引が最終規則の適用範囲に該当するか否かを判断しなければならない。  最終規則違反および不遵守に対する適用範囲と罰則は、個人データまたは政府関連データに関わる活動・取引を行うAMCや業界横断的な企業にとって、最終規則への適合性を判断・確保するプロセスが極めて重要であることを明確に示している。

臨床研究プログラムを有する学術医療センターへの示唆

最終規則は、臨床研究および国際共同研究に従事するAMCおよび類似の事業体にとって、規制遵守の複雑性を新たな次元で加えるものである。 

• 生体認証識別子、個人健康情報またはゲノムデータを含む研究協力やパートナーシップを含む研究活動は、当該パートナーシップに特定懸念国および／または対象者が関与する場合、制限または禁止される取引とみなされる可能性がある。 
• 既存および提案中の多国籍研究およびデータ共有イニシアチブは、最終規則が当該研究または活動に適用されるかどうかを判断するため、また適用される場合にはコンプライアンスを確保するために、審査されなければならない。 
• さらに、AMCは、クラウドおよびAIサービスプロバイダーを含むベンダーが懸念国と関連していないこと、ならびにすべてのデータ処理活動が厳格な新たなセキュリティおよびコンプライアンス基準を満たしていることを確認しなければならない。前述の通り、最終規則への準拠を確保するには、AMCのベンダー契約の徹底的な見直しが必要となる。 
• さらに、最終規則はAMCに対し、データ共有方針および複数施設間プロトコルの再評価を必要とし、特定のデータ共有契約（データ利用契約など）への国家安全保障に焦点を当てたコンプライアンス条項の組み込み、ならびに機関のデータガバナンス枠組みの強化を要求する可能性が高い。これらの枠組みは、法的・規制上のリスクを回避・軽減し、機関が連邦資金受給資格を維持できることを確保するよう設計されるべきである。

次のステップ

本最終規則は、米国人が政府関連データまたは米国市民の大量かつ機微な個人データを、商業データ仲介取引を含む手段で懸念対象国または対象者に提供することを防止する重要な包括的規則を定める。 本最終規則への遵守には、特にAMC及び金融機関が、政府関連データまたは健康記録、生体認証識別子、金融情報などの機微な個人データの大量収集を伴う投資取引、雇用契約、ベンダー契約を締結する際、セキュリティ対策を実施することが必要となる。 

最終規則の要件は、外国の敵対勢力が商業関係を通じて間接的にこのデータにアクセスすることを防止することを目的としている。これらの特定の取引類型を特定することにより、最終規則は認識されている国家安全保障上の欠陥に対処し、外国の主体とのデータ関連の取引がいつ、どのように制限されるかを定義する明確で執行可能な基準を提供する。

これらの新たな要件への不遵守は、罰金や制裁、規制当局の監視、連邦資金の喪失、執行措置につながる可能性があり、取引や活動に適用される場合、最終規則への遵守は、大量の機微な個人データを扱うAMCおよび金融機関にとって極めて重要なコンプライアンス上の優先事項となる。

フォリーは、規制変更に伴う短期的・長期的な影響への対応を支援します。当社は、事業運営や業界固有の問題に関連するこれらの法的考慮事項やその他の重要な法的課題に対処するためのリソースを有しています。執筆者、担当のフォリー・リレーションシップ・パートナー、または当社の ヘルスケア・プラクティス・グループ および ヘルスケア・ライフサイエンス部門 までお問い合わせください。