懸念国による米国人の機微個人データのアクセス防止に関する最終規則の公表

II. 規制対象

　最終規則は、①「米国人」が、②「懸念国」又は「対象者」との間で、③「大量の米国人の機微個人データ」又は「政府関連データ」へのアクセスを伴う④「対象データ取引」に従事することを禁止又は制限しています。

1. ①米国人

　米国人（U.S. person）とは、米国市民・国民・合法的永住者、米国移民法（8 U.S.C.）第1157条に基づき難民として米国への入国を認められた個人、同法第1158条に基づき亡命を認められた個人、米国法若しくは米国内の管轄権のみに基づいて設立された法人（外国支社を含む。）、又は米国内の個人を意味します※4。

2. ②データ取引の相手方

　最終規則では、「懸念国」又は「対象者」との取引が規制対象とされています。

　現在、懸念国（country of concern）として指定されている国は、中国（香港及びマカオを含む。）、キューバ、イラン、北朝鮮、ロシア及びベネズエラの6か国です。なお、司法長官は財務長官と商務長官の同意を得て、懸念国を追加することができます。

　また、最終規則では、「対象者」（covered person）を以下の5つの種類に分類しています。

1. (i)懸念国及び/又は(b)に該当するエンティティによって直接又は間接に、単独又は合計で50%以上所有されている、(ii)懸念国の法律に基づいて設立された、又は(iii)懸念国に主たる事業所を有する外国のエンティティ
2. (a)、(c)、(d)又は(e)に該当する対象者が、直接又は間接に、単独又は合計で50%以上所有する外国のエンティティ
3. 懸念国又は(a)、(b)若しくは(e)に該当するエンティティの従業員又は請負人である外国の個人
4. 懸念国に主に居住している外国の個人
5. 司法長官が、(i)懸念国又は対象者により所有又は支配されている/されていた/される可能性が高い、(ii)懸念国又は対象者のために行動している/していた/する可能性が高い、又は(iii)最終規則の違反を故意に引き起こした/引き起こす可能性が高い又は違反を指示した/指示する可能性が高いと判断した者

　上記の定義によれば、事業体が懸念国内に物理的に所在していなくても、「対象者」に該当する可能性があることに留意が必要です。なお、上記①の「米国人」の定義に該当する場合には、対象者の定義から除外されます。

3. ③規制対象のデータ

　規制対象のデータは、「大量の米国人の機微個人データ」（bulk of U.S. sensitive personal data）及び「政府関連データ」（government-related data）です。

（1）大量の米国人の機微個人データ

　「機微個人データ」（U.S. sensitive personal data）とは、対象個人識別子（covered personal identifier）※5、正確な位置情報データ、生体認証識別子、人間のオミックスデータ、個人健康データ、個人財務データ及びこれらを組み合わせたものを指しますが、個人と関係のないデータや、政府記録等から合法的に入手可能なデータはこれに含まれません。最終規則は「大量」（bulk）の機微個人データの取引を規制対象としており、「大量」か否かは、過去12か月以内に、単一又は複数の、同一の米国人と、同一の外国人又は対象者の間の取引により以下の閾値を超える場合を指します。

（2） 政府関連データ

　「政府関連データ」（government-related data）とは、政府関連拠点リスト※8に列挙された地域内の正確な地理情報データ、又は軍及び情報機関を含む米国政府の現職員、元職員、請負業者若しくは元高官にリンクしている、若しくはリンク可能な機微個人データを指すとされています。

4. ④対象データ取引

　最終規則では、以下の「対象データ取引」（covered data transaction）を禁止又は制限しています。

（1） 禁止対象のデータ取引

　最終規則は、米国人が対象者との間で、対象者による大量の米国人の機微個人データ又は政府関連データへのアクセスを伴うデータブローカー取引※9を行うことを禁止しています。

（2） 制限対象のデータ取引

　取引当事者である米国人は、懸念国又は対象者との(i)ベンダー契約※10、(ii)雇用契約、又は(iii)投資契約により、懸念国又は対象者による大量の米国人の機微個人データ又は政府関連データへのアクセスを伴う取引を行う場合、下記III.2.の各要件を満たす必要があります。

　なお、(iii)投資契約については、米国の不動産又は米国法人に対して直接又は間接に投資を行う契約が規制対象ですが、以下の(a)から(c)の条件をいずれも満たす場合には規制の対象外とされています。

1. 上場有価証券に対する投資、投資会社又は事業開発会社として規制されている会社が提供する有価証券に対する投資、又はベンチャー・キャピタル・ファンド、プライベート・エクイティ・ファンド、ファンド・オブ・ファンズ、その他のプール型投資ファンドのリミテッド・パートナーとして行われる投資であって、
2. 対象者が取得する議決権・持分の合計が10%未満であり、
3. 対象者に対して、標準的な少数株主保護のための権利と合理的に考えられる以上の権利を与えない取引。

　なお、(i)最終規則に定められた禁止事項を回避又は回避する目的を持つ取引、及び(ii)米国人が行った場合には禁止対象のデータ取引又は制限対象のデータ取引の要件を満たさないこととなる取引を、当該米国人が指示することも禁止されています。

（3） 適用除外

　最終規則は、以下の取引を適用除外としています。

1. 個人的なコミュニケーション
2. 輸出入に関する情報又は資料
3. 外国への旅行、又は外国からの旅行に付随する取引
4. 米国政府の公式活動
5. 金融サービス（投資運用サービスを含む。）。但し、データ取引がそのサービスに付随するものである場合に限る
6. 米国エンティティと外国の子会社又は関連会社との間の、通常の業務運営の一部としてのグループ間取引（給与計算、顧客サポート、人事等）
7. 国際協定又は連邦法において要求又は許可されている取引
8. CFIUSが適用除外又は規制の緩和の対象として指定した投資契約
9. 電気通信サービスを提供するために必要な取引（データローミングや音声通話等）
10. 医薬品、生物学的製剤及び医療機器の承認（取引に「規制当局の承認データ※11」が含まれる場合）
11. FDA臨床試験

III. 対象データ取引に従事する場合の要件

1. データブローカー取引

　米国人が、対象者以外の外国人との間で、大量の米国人の機微個人データ又は政府関連データへのアクセスを与えるデータブローカー取引を行う場合、当該外国人が、懸念国又は対象者に対して当該データへのアクセス提供を含む、当該データの取引を行わないことを義務づける規定を契約に規定しなければなりません。また、当該契約規定の違反を認識した場合、当該米国人は14日以内に司法省に報告を行う必要があります。

2. 制限対象のデータ取引

　上記II.4.(2)の制限対象のデータ取引に従事する場合、米国人は、①サイバーセキュリティ・社会基盤安全保障庁（Cybersecurity and Infrastructure Security Agency、以下「CISA」といいます。）の定めるセキュリティ要件に準拠するとともに、②データコンプライアンスプログラムの実施、③年次監査の実施及び④記録の保持が必要となります。

（1） ①CISAのセキュリティ要件

　CISAは、最終規則の公表にあわせて、制限対象のデータ取引に従事するために必要なセキュリティ要件を公表しました。セキュリティ要件の詳細はCISAのリリース※12をご確認ください。

（2） ②データコンプライアンスプログラムの実施

　制限対象のデータ取引に従事する場合、以下の要件を満たすデータコンプライアンスプログラムを策定し、実施しなければなりません。

1. 制限対象の取引におけるデータの流れ（データの種類及び量、取引当事者の身元、データの最終用途及びデータ移転の方法を含む。）を検証するための、リスクに応じた手順
2. ベンダーが制限対象の取引に関与する場合には、ベンダーの身元を確認するための、リスクに応じた手順
3. データコンプライアンスプログラムに関するポリシー
4. CISAのセキュリティ要件の実施に関するポリシー

（3） ③年次監査の実施

　制限対象のデータ取引に従事する米国人は、年1回監査を実施する必要があります。監査人は、懸念国又は対象者以外の独立した者である必要がありますが、外部の第三者である必要はありません。

（4） ④記録の保持

　最終規則は、対象データ取引に従事する米国人に対し、取引日から10年間取引記録を保存すること、並びにコンプライアンスプログラム及び年次監査の結果等を保存することを義務づけています。

IV. 報告義務及び罰則

1. 司法省への報告義務

　最終規則における対象データ取引に従事する米国人は、司法省の要求があった場合には、対象データ取引に関する情報を提出する必要があります。また、上記II.4.(1)の禁止対象のデータ取引の申し出を受け、それを拒否した米国人は、14日以内に報告書を提出する必要があります。

　このほか、クラウド・コンピューティングに関連して制限対象のデータ取引に従事する米国人であって、当該米国人の持分の25%以上を懸念国又は対象者が有している場合には、年次報告書を提出する必要があります。

2. 罰則

　最終規則に違反をした者には、民事罰として368,136ドル又は取引額の2倍のいずれか高い額以下の罰金の可能性があります。また、故意の違反の場合は、さらに刑事罰として100万ドル以下の罰金、（個人の場合は）及び/又は20年の懲役が科される可能性があります。

V. 日本企業への影響及び留意点

　上記II.1.のとおり、最終規則の規制対象となっている「米国人」には米国法に基づいて設立された法人が含まれるため、日本企業の米国子会社や関連会社も最終規則の規制対象となります。また、米国エンティティが取引主体でない場合でも、当該米国エンティティの指示により対象データ取引が行われる場合も規制対象となる点にも留意が必要です。

　特に、上記III.1.のとおり、対象者以外の外国人（日本企業も含まれます。）に大量の米国人の機微個人データ又は政府関連データへのアクセスを与える取引に関しては、一定の規定を契約に定める必要があるため、このような取引を米国企業との間で行う場合は、日本企業も懸念国又は対象者に対して当該データのアクセスを与えないよう注意する必要があります。最終規則の発効日（2025年4月8日）より前に行われた対象データ取引については規制対象外である一方で、発効日以後に行われる対象データ取引については、当該取引が発効日以前に締結された契約に基づくものであったとしても規制対象となるとされているため、既存の契約についても契約条項の修正が必要となる可能性があります。

　また、上記III.2.のとおり、制限対象のデータ取引に従事する場合、CISAのセキュリティ要件の遵守やデータコンプライアンスプログラムの実施が必要になる等の対応が必要となります。これらの対応は2025年10月6日までに行う必要がありますので、最終規則の規制対象となるか否かを確認の上、規制遵守に向けた取り組みを速やかに開始する必要があります。