アメリカ司法省が2024年10月21日に、ロシア、イラン、中国などの国家安全保障上の懸念がある外国、いわゆる「懸念国」に生体認証やゲノム情報といった国民の機密データを転送することを規制する規則案を発表しました。

Office of Public Affairs | Justice Department Issues Comprehensive Proposed Rule Addressing National Security Risks Posed to U.S. Sensitive Data | United States Department of Justice

https://www.justice.gov/opa/pr/justice-department-issues-comprehensive-proposed-rule-addressing-national-security-risks

Biden administration proposes new rules governing data transfers to adversarial nations

https://therecord.media/biden-administration-rules-data-transfer-adversaries

US to crackdown on databrokers doing deals with 6 nations • The Register

https://www.theregister.com/2024/10/21/us_crackdown_data_brokers/

アメリカのジョー・バイデン大統領は2024年2月に、「アメリカ人の大規模で機密な個人データおよび政府関連のデータを懸念国から保護する大統領令(大統領令第14117号)」を発出し、外国の敵対勢力が国民の生体認証や健康情報、ゲノム、正確な位置情報、金融データなどを悪用してサイバー攻撃や諜報(ちょうほう)活動を行うのを阻止するよう当局に指示しました。

これを受けて、アメリカ司法省は3月に規則制定案事前通知(ANPRM)を発表し、パブリックコメントや広範な利害関係者からの意見を募りました。そして、その結果を踏まえて、今回大統領令を実施するための規則制定案通知(NPRM)を公開しました。



by Maryland GovPics

(PDFファイル)ファクトシートと政府関係者のコメントによると、規則案では中国、ロシア、イラン、北朝鮮、ベネズエラ、キューバの6カ国が名指しされているとのこと。

規則が有効になると、12カ月の間に「アメリカ人100人以上のゲノムデータ」「1000人以上の正確な位置情報データと生体認証識別子」「1万人以上の健康データと財務データ」「10万人以上の個人識別子」を対象国や対象国の企業などに転送する行為が規制の対象となります。なお、個人識別子とは、デバイスに紐付けられた氏名や社会保障番号、運転免許証番号などを指します。

規模や種類を問わず、アメリカから対象国へのデータの流れに関する事業に携わるすべての企業は、記録の保管と報告に関するコンプライアンス要件を満たすことが求められ、規則に違反した場合、その企業は民事罰と刑事訴追の対象となります。



例外も規定されており、規則案では国際電話などの基本的な通信サービスや、価値ある情報を含まない個人的な通信、医薬品や医療機器の臨床試験に関するデータ、給料計算や納税に関する日常的な業務でのやりとり、アメリカ政府の公式活動などは規制の対象外となります。

当局者はメディアに「この問題は、ビッグデータ分析やAI、そのほかの技術の継続的な進歩によって激化する差し迫ったリスクであり、懸念国はAIや先進技術を使って機密性の高い個人データを解析し、操作し、悪用する能力を向上させることができます」と述べました。

また、アメリカ司法省は「今回の包括的な規則案は、懸念国または対象者に政府関連データや、アメリカ人の大規模で機密な個人データを提供するという容認できないリスクをもたらす取引に関する規則をはっきりさせることで、大統領令の指示を実施するものです」と説明しました。