米国商務省 情報通信技術・サービスのためのセキュアなサプライチェーン 日本語抄訳

重要インフラを取り巻く国際情勢、サイバー情勢、技術動向は時々刻々変化してきており、重要インフラの機能保証を確保していくためには、重要インフラを取り巻く情勢を把握し、関係者間で共有し、論点、価値観の共有は重要(重要インフラの情報セキュリティ対策に係る第4次行動計画)だと思います。ご参考までに、米国商務省が取りまとめている「情報通信技術・サービスのためのセキュアなサプライチェーン」の日本語抄訳を致しました。

ICT Supply Chain
Securing the Information and Communications Technology and Services Supply Chain

U.S. Department of Commerce

目次

大統領令:「情報通信技術・サービスのためのセキュアなサプライチェーン」

国外の敵対者による情報通信技術・サービスのサプライチェーンへの脅威が国家的緊急事態であることを宣言しています。この大統領令は、商務長官が他の連邦政府当局と協議の上、以下のような取引または取引の類型を含む場合、国外の敵対者が所有、支配、またはその管轄もしくは指揮下にある者が設計、開発、製造、または供給する情報通信技術またはサービスにかかわる特定の取引を禁止します。

  • 米国内の情報通信技術またはサービスの設計、完全性、製造、生産、流通、設置、運用または保守に対する妨害行為または破壊行為の危険性が極めて高い場合。
  • 米国の重要インフラのセキュリティまたはレジリエンス、あるいは米国のデジタル経済に壊滅的な影響を与える危険性がある場合
  • その他にも米国の国家安全保障または米国人のセキュリティと安全に対して容認できない危険性がある場合。

米国人の機密データを国外の敵から保護することに関する大統領令

2021年6月9日、大統領は、2019年5月15日の大統領令13873(情報通信技術・サービスのためのセキュアなサプライチェーン)で宣言された情報通信技術およびサービスのサプライチェーンに関する国家緊急事態に対処するための措置を詳細に規定するため「米国人の機密データを国外の敵から保護することに関する大統領令」に署名しました。 この大統領令は、大統領令13873の枠組みでコネクテッド・ソフトウエアアプリケーションのリスクを評価する際に考慮すべき要素を特定するものです。 また、商務省に対し、他の米国省庁との協議の上で、2つの報告書を発行するよう指示しています。(1) 個人を特定できる情報や遺伝情報を含む米国人の機密個人データ(大規模なデータリポジトリを含む)を、国外の敵対者が所有、支配、またはその管轄もしくは指揮下にある者に無制限に販売、移転、アクセスすることによる被害から守るための提言、および (2) 国外の敵対者が所有、支配、またはその管轄もしくは指揮下にある者が設計、開発、製造、供給する、関連ソフトウェアアプリケーションに関するリスク対策として行政および立法措置に関する追加の提言を行っています。

大統領令は、2020年8月6日のE.O. 13942(TikTokがもたらす脅威に対処し、情報通信技術およびサービスのサプライチェーンに関する国家的緊急事態に対処するための追加的措置を講じる)を撤回するものでもあります。2020年8月6日の大統領令13943号(WeChatがもたらす脅威に対処し、情報通信技術およびサービスのサプライチェーンに関する国家的緊急事態に対処するための追加措置を講じる)ならびに2021年1月5日の大統領令13971号(中国企業によって開発または管理されるアプリケーションおよびその他のソフトウェアがもたらす脅威に対処する)を採択しました。 この命令は、行政機関のトップに、現在破棄された命令を実施または執行する命令、規則、規制、指針、政策、またはその一部を速やかに取り下げる措置を講じるよう指示しています。この指令に基づき、商務長官はこれらの大統領令の下で実施されていた禁止事項を取り消しました。連邦官報公告はこちらからご覧いただけます。

Securing the Information and Communications Technology and Services Supply Chain
A Rule by the Commerce Department on 01/19/2021

Federal register

情報通信技術およびサービスのサプライチェーンの安全確保に関する最終規則

大統領令 E.O. 14034「国外の敵対者からアメリカ人の機密データを保護する」の規定を実施するため、商務省は11月23日、2021年1月19日に公表された「情報通信技術およびサービスのサプライチェーンの安全確保に関する最終規則(サプライチェーンルール)」の改正を提案しました(86 FR 4909)。本規則案では、コネクテッド・ソフトウェア・アプリケーションを含む情報通信技術・サービス(ICTS)取引が、米国の国家安全保障、重要インフラ、デジタル経済、または米国人の安全に対して(サプライチェーン規則の定義通り)過度または許容できないリスクをもたらすかどうかを判断する際に、商務長官が考慮すべき追加の基準を提供することになる。 本提案はまた、ICTSの定義を修正して「コネクテッド・ソフトウェア・アプリケーション」を明示的に含み、E.O. 14034と一致する「コネクテッド・ソフトウェア・アプリケーション」の定義を追加することにより、適合する変更を加えています。

I. 背景

情報通信技術・サービス(ICTS)のサプライチェーンは、米国の国家安全保障のほぼ全ての側面において重要です。米国のビジネスと政府は、あらゆるレベルにおいて、ICTS に大きく依存している。また、個人、商業、政府、国家安全保障の目的で使用される機密情報を含む膨大な量のデータを保存、処理、送信する国家の能力を促進します。ICTS のサプライチェーンは、国家安全保障の本質的要素である経済力を含め、国家安全保障を守るために安全でなければならない。ICTS のサプライ・チェーンの弾力性と信頼を確保することは、経済安全保障を含む国家安全保障と公衆衛生と安全保障に関わる問題です。

国外の敵対者が所有、支配、またはその管轄もしくは指揮下にある者が製造したネットワーク管理またはデータ・ストレージなどのICTSを米国人が購入、組み込み、使用することは、それらの国外の敵対者にICTSの潜在的脆弱性を利用する複数の機会を創出する可能性があります。その結果、敵対行為の直接的な標的となる人物と米国全体に直接的・間接的な損害がもたらされる可能性がある。攻撃は外国の遠隔地から発生する可能性がありますが、特定のソフトウェア、機器及び製品を米国内ICTSネットワークに組み込むことや、特定のクラウド、ネットワーク管理又はその他のサービスを利用することは、潜在的脆弱性がもたらされるリスクや、発見されずに脆弱性が存在するリスクを大幅に増大させることになります。これらの潜在的脆弱性が悪用された場合、個人を特定できる情報やその他の機密性の高い個人データを含む米国人のデータの機密性、完全性、可用性が損なわれる可能性があります。

国外の敵対者の中には、ソフトウェアやハードウェアの販売を悪用して、ソフトウェアやハードウェアのユーザーから重要な知的財産、研究成果(健康データなど)、政府または財務情報を盗むことができる脆弱性を持ち込む者がいることが知られています。このような脆弱性は、ネットワーク、クラウドサービス、または個々の製品データに導入され、トラフィックの監視または偵察が可能となり、民間の購入者や通信事業者による検出が困難な場合があります。このような脆弱性は、いったん検出されると、修復に多大なコストがかかるか、修復が不可能となる可能性があります。

データの完全性に対する脆弱性は、国外の敵対者のハードウェアやソフトウェアを米国のネットワークやシステムに組み込むことによって生じる可能性があります。このように組み込まれたハードウェアやソフトウェアは、重要な情報の追加や削除、ファイルやデータストリームの変更、速度低下など、米国のネットワークにおけるデータの正常な送信や可用性を変更する機会をもたらします。このような能力は、金融市場の通信、衛星通信や制御、消費者の機密情報など、さまざまな分野で発揮される可能性があります。

また、国外の敵対者は、重要なネットワークや機能を重要なタイミングで全面的または部分的に閉鎖することにより、ハードウェアやソフトウェアを米国の環境に組み込むことで生じる脆弱性を利用する可能性もあります。このような攻撃は、サービス拒否攻撃として知られています。このような攻撃は、危機的な状況下で発生した場合など、広範囲に問題を引き起こすこともあれば、個々の企業や重要なインフラ要素・機能をターゲットにして選択的に使用することも可能です。また、攻撃は、攻撃元を特定できないように偽装されることもあり、追跡や阻止が困難になります。

このようなリスクは、必ずしもインフラ環境に限定されるものではない。例えば、クラウドサービスの利用や、一部の消費者向けデバイスの普及、ネットワーク化された監視カメラ、ドローン、あるいは日用品に組み込まれたコンピュータデバイスがインターネットを介して相互接続し、データの送受信を可能にすることなどに存在する可能性がある。例えば、ユーザーがアプリストアやウェブブラウザからモバイル機器にダウンロードするアプリケーションは、位置情報、閲覧・検索履歴などのインターネットやその他のネットワーク活動情報を含む膨大な量の機密個人データをユーザーから自動的に取得する可能性があります。このデータ流出は、米国のウェブデータホスティングおよびストレージサーバーによってサポートされており、国外の敵対者が米国人の位置を追跡し、脅迫のために機密個人データの記録簿を作成し、米国の国境内から企業スパイを行うことを可能にすることによって、米国人の個人情報および機密情報を悪用するおそれがあります。

2020年に米国および主要同盟国で報告された複数のサイバーセキュリティ事件は、米国ICTSのサプライチェーンへの無制限なアクセスを許可することの潜在的リスクを次のように示しています。

  • 2020年7月、中国国家安全保障省に所属する2人の中国人ハッカーが、COVID-19ワクチン研究を含む米国の知的財産と企業の機密情報を標的としたグローバルなコンピュータ侵入活動を行ったとして、米国司法省に起訴された
  • ドイツ当局は、連邦保安局に関連するロシアのハッキンググループが、ICTSのサプライチェーンを悪用し、ドイツ国内のエネルギー、水、電力会社のネットワークを不正侵入したことを発表した
  • 日本の防衛省は、三菱電機に対する大規模なサイバー攻撃について調査中であると発表した。この攻撃により、最新のミサイル設計の詳細が漏洩した可能性がある

参考文献:米国戦略国際問題研究所「Significant Cyber Incidents 2020」(https://www.csis.org/programs/technology-policy-program/significant-cyber-incidents

その結果、大統領は、国外の敵対者が所有、支配、またはその管轄もしくは指揮下にある者が設計、開発、製造、または供給するICTSの無制限の取得または使用は、米国の国家安全保障、外交政策、経済に対する特別かつ重大な脅威を構成すると決定しました。

2019年5月15日の大統領令13873「情報通信技術・サービスのためのセキュアなサプライチェーン」(84 FR 22689)(大統領令)は、憲法および国際緊急経済力法(50 U.S.C. 1701 et seq)(IEEPA)、国家緊急法(50 U.S.C. 1601 et seq)、合衆国法典タイトル3 301項などの米国法に基づく大統領の権限に従って発行されたものです。IEEPA と大統領令は、商務長官(Secretary of Commerce)に、ICTS 取引が外国または国民が何らかの利害関係を有する財産を含む場合、米国の管轄下にある個人または財産に関する ICTS の取得、輸入、譲渡、設置、取引または使用(ICTS 取引)を禁止する権限を与えており、長官は、他の省庁の長(Secretary and Director)と協議して、ICTS 取引の禁止を要請することができるものとします。他の省庁の長(財務長官、国務長官、国防長官、司法長官、国土安全保障長官、米国通商代表、国家情報長官、総務長官、連邦通信委員長、及び長官が適切と判断する他の行政省庁の長)と協議して、当該 ICTS 取引が以下の通りであると決定します。(1) 国外の敵対者が所有、支配、またはその管轄もしくは指揮下にある者が設計、開発、製造、または供給する ICTS に関与しており、かつ (2) 過度または許容できないリスクをもたらす。大統領令第1条(a)。大統領令はさらに、ICTS 取引を禁止する権限、あるいは ICTS 取引の国家安全保障への影響に関する「懸念を軽減するための措置を設計または交渉する」権限を長官に与えています。大統領令第1条(b)。

2019年11月27日、商務省(Department of Commerce)は、大統領令の条項を実施するための規則案を公表しました。(84 FR 65316)。規則案では、(1)長官がICTSを含む取引を評価・査定し、ICTSのサプライチェーンへの妨害行為や破壊行為、米国の国家安全保障や米国人の安全・安心に対する許容できないリスクをもたらすかどうかを判断する方法について、プロセスを定めている。(2) ICTS 取引に関する長官の決定(長官が取引を禁止または緩和するかどうかを含む)を、長官が審査中の取引の当事者に通知する方法 (3) 長官が審査する取引の当事者が長官の予備決定に対してコメントできる方法。また、同規則案では、国家安全保障上必要な場合、長官は提案された手続きに従わずに行動することができると規定されている。最後に、長官は、緩和協定、規則、大統領令の違反に対する罰則を定めることを予定しています。

§7.2 定義

§7.2 「適切な省庁の長官」の定義

多数のコメントが、ICTS取引の審査プロセスを通じて、省庁が他の省庁や部局の長官とどの程度関わりを持っているかに言及している。一部のコメントでは、調査および最終決定のすべての部分について省庁間レビューを義務付けることを主張したが、他のコメントでは、レビュープロセスの特定の部分においてのみ省庁間レビューが行われるべきであると主張する意見もあった。また、審査が開始される際には、長官が関係省庁の長に通知することを求める意見もありました。

§ 7.2-“適切な省庁の長官 “の定義

省庁間レビューに関する要件は、すでに大統領令に含まれているため、変更の対象にはなりません。

しかしながら、言及された人物の一部が内閣官房長官ではなく、省庁の長であるという事実に対処するため、明確化のために、「特定の長官」という用語を「適切な省庁の長官」に置き換えている。明確にするため、「適切な省庁の長官」とは、財務長官、国務長官、国防長官、司法長官、国土安全保障長官、米国通商代表、国家情報長官、総合サービス長官、連邦通信委員会委員長、その他商務長官が適切と判断した行政省庁の長を指している。この大統領令は、商務長官が必要に応じて他の省庁とも協議することを明確にしています。

§7.2 「省庁 」の定義

規則案では定義されていなかったが、「省庁」という用語が他の内閣レベルの機関ではなく、米国商務省を指すことを明確にするため、定義を追加しました。

§7.2 「国外の敵対者 」の定義

本規則は、長官に対し、国外の敵対者が関与する特定のICTS取引を阻止または軽減する権限を付与している。コメント提出者は、「国外の敵対者」の定義を法律で既に特定されている団体に限定することを提案しました。一部のコメント提出者は、「国外の敵対者」の概念を変更し、国家ではなく、団体や個人に焦点を当てることを提案しました。また、敵対国のリストと除外国のリストを作成し、政府機関と非政府機関を区別するよう提案する意見もありました。また、「国外の敵対者」という用語の範囲を、国外の敵対者が対象取引を実行する会社の支配的な権益を持っている場合に限定するよう意見も出されました。

この規則では、「国外の敵対者」の定義に変更はなく、大統領令の定義と一致しています。しかし、後述するように、本規則は§ 7.4に「国外の敵対者の判定」と題する規定を設けています。この規定は、大統領令、本規則、およびその後の規則の目的のためだけに、長官が 「国外の敵対者」と判断した外国政府および外国の非政府組織のリストを定めています。また、ある国が「国外の敵対者」であるかどうかを今後判断する際に、長官が考慮しました、また今後考慮することになる要因の一部についても説明されています。長官の裁量に基づき、敵対国リストは必要と判断された場合に改訂される。国外の敵対国の決定は長官の裁量にのみ従うため、このような改訂は事前の通知やパブリックコメントの機会なく連邦官報にて発表された時点で直ちに有効となります。

「国外の敵対者」のリストは、以下の外国政府および非政府組織から構成されています。中華人民共和国(香港特別行政区を含む)、キューバ共和国、イラン・イスラム共和国、朝鮮民主主義人民共和国、ロシア連邦、ベネズエラの政治家ニコラス・マドゥロ(マドゥロ政権)、です。この規定は、長官の判断が、米国の国家安全保障戦略、国家情報長官室の2016-2019年米国情報コミュニティの世界的脅威評価、2018年米国国家サイバー戦略、および米国情報コミュニティ、米国司法省、国務省、国土安全保障省、その他の関連情報源からの報告および評価などの複数の情報に基づいていることを明確化しています。さらに、同条項は、長官が適切な省庁の長官と協議してこのリストを定期的に見直し、リストに追加、減算、補足、その他の修正を加えることができることを指摘しています。

§7.4のリストは、大統領令、本規則、およびその後の規則の目的のためにのみ「国外の敵対者」を特定していることに注意することが重要です。これは、他のいかなる目的のためにも、そのような外国政府または外国非政府組織の性質に関する米国による決定を反映するものではありません。

§7.2 「ICTS取引 」の定義

提案された規則は、大統領令の用語を用いて、「取引」という用語を「あらゆる情報通信技術又はサービスの取得、輸入、移転、設置、取引又は使用」を意味すると定義している。また、「取引」という用語は 「取引の類型を含む」とも述べています。

一部の意見では、様々な方法で「取引」の定義を見直すよう求めています。例えば、「取扱」のような定義中のいくつかの用語を定義するために、1934年証券取引法(Securities Exchange Act of 1934)の文言を採用することを提案した意見もありました。また、「取引」の定義にある「取得」や「使用」の用語を定義するために、さらに明確化するよう求める意見もありました。

同省は、「取引」、「取得」、「使用」の用語が広範であることを認め、この規則において一般に受け入れられている意味を維持しています。意見提出者が提起した懸念は、(1)「マネージドサービス、データ送信、ソフトウェア更新、修理、又は消費者ダウンロード用アプリケーションのプラットフォーム化あるいはデータホスティングなどの継続的活動」及び(2)「大統領令の適用を回避又は回避するよう設計又は意図されているその他の取引」を含むように、用語「ICTS取引」の定義を行うことで解決されるものとします。これらの追加の目的は、2021年1月19日以降に、国外の敵対者が所有、支配、またはその管轄もしくは指揮下にある者によって発生する、サービスの提供を含むICTS取引を、長官が審査できることを明確にすることです。米国人に対するソフトウェア更新等のサービスの提供は、国外の敵対者に、上記のような米国の国家安全保障を脅かす可能性のあるような活動に従事する機会を提供するおそれがあります。さらに、ICTS 取引の定義は、秘書課の審査を回避するために取引を構築しようとすることは、それにもかかわら ず、本規則の対象となる ICTS 取引であることを明確にしています。

§7.2 「取引の当事者」の定義

複数のコメント提出者は、どのような主体がこの規則の対象となるのか、同省がさらに明確化することに関心を示しました。さらに、最終化に向けて規則案を修正する際、当省は「取引当事者」という用語を数回使用しており、この 用語を定義することが有益であると確信している。したがって、本規則では、ICTSを取得する者及びICTSを取得される者を含むICTS取引に従事する者を意味する「取引の当事者」の定義を追加している。なお、(「者」:”person “)という用語も本規則で定義されており、規則案から変更はありません。

「取引の当事者」には、大統領令の適用を回避又は迂回するために設計された又は意図された事業体が含まれます。本規則の目的上、この定義には、一般市民のために有償で物品を輸送する普通運送事業者は含まれません。ただし、普通運送事業者が、省が行った最終書面決定で禁止されているか、緩和措置の対象として許可されている取引の当事者のうち1人以上に対してICTSの輸送サービスを提供していることを知っているか、知っていたはず(15 CFR 772.1 に定義されている「知る」という言葉に従って)であれば、その限りではありません。

この追加により、審査対象取引に責任を負う者が誰であるかが明確になり、規則の適用範囲が狭められます。また、これは、取引の見直しの可能性について、省から通知を受ける関係者にも影響します。

§7.2 「国外の敵対者に所有、支配、またはその管轄もしくは指揮下にある者」の定義

「取引当事者」の定義に加えて、多くのコメント提出者が、このような用語を未定義のままにしておくと、規則の適用範囲の広さについて混乱を生じかねないとの懸念を示したため、同省は、「国外の敵対者が所有、支配、またはその管轄もしくは指揮下にある者」という言葉を定義して、規則を明確にするよう努めた。同省は、「外国の敵対者によって所有され、支配され、またはその管轄もしくは指示に従う者」を、「外国の敵対者またはその活動の全部または一部を直接または間接的に監督、指示、管理、出資または支援する者の命令、要請、指示または支配の下に、エージェント、代表者、従業員として行動する者、またはその他の立場で行動する者」と定義し、「外国の敵対者によって、その場所のいずれにおいても、いかなる者も」、「外国の敵対者によって、その活動の一部または全体を指示、管理、出資、支援される者」と定義付けています。国外の敵対者によって支配されている国家の国民または居住するあらゆる人、国外の敵対者によって支配されている国家の法律に基づいて組織されたあらゆる法人、パートナーシップ、協会、その他の組織、および国外の敵対者によって所有または支配されているあらゆる法人、パートナーシップ、協会、その他の組織(組織または事業がいかなるものも含まれます)。

§7.2 機微な個人データ

多くのコメント提出者は、本規則の対象となる特定の ICTS について、さらに明確にすることを要求しました。過度または許容できないリスクをもたらす可能性のある全ての ICTS を特定することは不可能であるが、当省は、本規則の§7.3で特定された情報と共に、本規則の下で検討される ICTS 取引に関与する可能性のある情報又は通信のうち、取引の当事者又は関係者が機微な個人データを使用、保有、又は保持する、あるいは使用、保有、保持 すると予想される種類のものを特定するために、「機微な個人データ」という用語を定義しています。

なお、「機微な個人データ」とは、以下のものをいう。(1) 特定の地域で事業を行う米国企業によって維持又は収集され、12ヶ月間に100万人以上について維持又は収集される個人識別情報(すなわち、個人を特定できるデータ)、及び(2) 個人の遺伝子検査結果。

同省が懸念している識別可能なデータのカテゴリーは以下の通りです。個人の経済的苦境や困難さを示すために使用できる財務データ、消費者レポートに含まれる一連のデータ、健康保険や特定の金融保険の申請に使用される一連のデータ、個人の身体的、精神的、または心理的健康状態に関するデータ、個人メールなどの非公開電子通信情報、特定の技術で使用される測位データ、生体データ、連邦、州、部族、領土、その他の政府のIDカードを作成するために保存・処理されるデータ、米国政府職員の機密保持許可ステータスに関するデータ、機密保持許可または雇用申請からのデータなどです。

§7.3「範囲」に示すとおり、同省は、機微な個人データを含むICTS取引が米国の国家安全保障にリスクをもたらす可能性があると考えており、規制対象コミュニティに規則の適用範囲に関するさらなる具体性と確実性を提供するために、これらのデータ分類を明確に特定することが重要であると考えています。

§7.2 「過度または許容できないリスク 」の定義

コメント提出者は、この用語の様々な代替的な使い方や制限を提案しました。例えば、国家安全保障にリスクを与えない特定の業界や取引の種類を特定することや、特定の業種の取引を規則から除外することを提案した者もいました。

提案のほとんどは、米国が国家安全保障上の利益を決定する能力を不必要に制限し、その結果、国家を保護する能力を制限する可能性がある。しかし、同省はこの用語が定義を必要とすることに同意し、この規則では、大統領令の第1条(a)(ii)で特定されるリスクとして「過度または許容できないリスク」の定義を採用しています。大統領令の第1条(a)(ii)には、以下のリスクが含まれます。 … 米国内の情報通信技術またはサービスの設計、完全性、製造、生産、流通、導入、運用または保守に対する妨害行為または破壊行為の重大なリスク、 … 米国の重要インフラのセキュリティまたはレジリエンスまたは米国のデジタル経済に対する致命的被害の重大なリスク、 … 米国の安全または米国人のセキュリティと安全に対する許容できないリスクです。

§7.3 対象となるICTS取引の範囲

多くのコメント提出者は、規制当局が審査できる取引形態についてより多くのガイダンスを提供するために、規制当局が規則の範囲を狭めることができる方法を提案しました。例えば、ICTSの輸送サービスなど特定の分野の取引に本規則案が影響を与える可能性を指摘し、本規則がコメント提出者の業界に不利益をもたらすとする意見があった。また、この規則案は過度に広範であり、その範囲を狭めることにより、ICTS取引や技術産業全体により大きな経済的確実性をもたらすと主張しました。

また、医療機器や航空管制に関わるICTS取引など、特定の産業に対する除外措置を求める意見や、日本など同盟国に本社を置く企業の取引は除外するよう求める意見もありました。また、適切なサイバーセキュリティ対策が存在するのであれば、禁止されている機器を含む取引は本ルールから除外されるべきであるとする意見もありました。

同省は、特定の産業や地理的な場所に対する除外措置については、将来的に検討する可能性はあるものの、現時点では正当化されないと結論付けています。業種や地理的位置の適用除外は、ICTS取引の評価方法に反するため、ICTSサプライチェーンの安全確保という本規則の意図する目的に適わないと考えられるからです。そのような除外は、国外の敵対者に、本規則の評価範囲外のICTS取引の全種目を示すことになります。これにより、国外の敵対者は、同省の監視をより容易に逃れ、その結果、米国の国家安全保障を脅かす特定の分野の取引をピンポイントで特定することができます。業界を超えた幅広い権限を保持することで、同省は特定されたリスクをよりよく軽減することができます。

同規則は特定の業界や地理的な場所に対する除外措置を含んでいないが、特定の技術、ハードウェア、またはソフトウェアに関わるICTS取引は、対象となるICTS取引と見なされることが明記されました。さらに、後述するように、本ルールは、米国政府-産業安全保障プログラムの下で認可された取引の当事者としての米国人によるICTS製品の購入は、ICTS取引ではないことを明示するものです。さらに、同省は、携帯端末のような個人用ICTSハードウェア機器のみを対象とするICTS取引は、特に精査を必要としないことを認めます。

§7.3 技術の範囲

多くのコメント提出者は、米国の国家安全保障に深刻なリスクをもたらすと考えられる技術または製品を特定するよう求めました。同省は、さらなる特定に対する要望を受け、本規則の適用範囲に含まれる技術の範囲を、以下の6つの主要なICTS取引形態に分類した。(1) 大統領政策指令21-重要インフラのセキュリティとレジリエンスにより重要インフラとして指定されたセクター(サブセクターまたはその後に指定されたセクターを含む)において取引の当事者が使用するICTS。(2) 無線 LAN、モバイルネットワーク、衛星通信機器、衛星放送の運用と管理、CATV アクセスポイント、有線アクセスポイント、基幹ネットワークシステム、長距離・短距離通信システムに不可欠なソフトウェア、ハードウェア、その他の製品またはサービス (3) データホスティングまたはコンピュータサービスに不可欠なソフトウェア、ハードウェア、その他の製品またはサービスで、100 万人を超える米国人の機密個人データを利用、加工、または保持するか、利用または加工、保持すると予想される製品またはサービス。 (4) ICTS取引に先だって12か月間のある時点において100万個を超える製品が米国人に販売されたことがある、当該ICTS製品 (5) インターネットによる接続及び通信を主たる目的とするソフトウェアであって100万人を超える米国人によって使用されているもの。 (6) 人工知能及び機械学習、 量子鍵配送、量子コンピューティング、ドローン、オートメーションシステム、又は高度なロボット工学に不可欠なICTS (7)インターネットを経由した接続及び通信のために設計され、ICTS取引に先だって12か月間のある時点で米国人100万人以上が使用しているソフトウェア。

§7.3 ライセンス供与のためのプロセス

多くのコメント提出者は、企業が対米外国投資委員会(CFIUS)に米国企業への投資について報告し、 それらの取引について「セーフハーバー」を獲得するプロセスと同様に、企業が ICTS 取引の事前承認を求めるためのプロセスを確立することを要請しました。コメントでは、このようなプロセスは、個々のケースにおけるビジネスの不確実性を軽減するのに役立つとし ています。

より確実性を高めるため、本規則の公布日から60日以内に、同省は、提案中、係争中、または進行中のICTS取引の当事者に対し、大統領令第2条(b)に基づき、米国の国家安全保障と整合的な方法でライセンスを求めるための手続きを公表する意向です。本規則の公表日から120日以内に、同省はこのライセンス手続きを実施する予定です。公表された手続きは、提案されたまたは保留中のICTS取引の締結または進行中のICTS取引に従事するためのライセンスを求めることができる者の基準を定めるものです。ライセンスを求めることができる者は、本規則において定義される提案中、係争中又は進行中の ICTS 取引の当事者を含みます。ライセンス申請の審査は、資格のある当事者が不当な遅延なく許容される取引を締結できるように、ライセンス申請の受理から120日を超えない一定のスケジュールで実施されます。ライセンス申請の受理から120日以内にライセンス決定がなされない場合、その申請は許可されたものとみなされます。ただし、国外の敵対者または米国の国家安全保障を損なおうとする者に機密情報を明かすようなICTS取引について、同省がライセンス決定を下すことはありません。資格のある当事者は自発的にライセンスを申請することができ、当事者がライセンスを申請しないことを決定しても、取引に関して否定的な 推測あるいは不利な評価を与えることはありません。

§7.3 大統領政策指令 21-重要インフラのセキュリティとレジリエンス

同省による過度および許容できないリスクの評価に関して、コメント提出者は、同省が取引に関するリスクの重要度を、低、中、高などのカテゴリーと、異なる評価アプローチを作成することを提案しました。また、モニタリングの頻度や厳格さを決定するために、リスクスコアやカテゴリーを使用することを推奨するコメントもありました。

同省は、審査対象となる ICTS 取引形態をより具体的に示すために、本ルールの範囲を狭め ることが可能であることに同意している。したがって、同省は、ICTS 取引には、大統領政策指令 21-重要インフラのセキュリティと回復力-により重要インフラとして指定された分野(小分類またはその後に指定された分野を含む)が、とりわけ関与するものを含むことを明確にしています。また、以下に説明するとおり、重要インフラ分野に関係なく、特定の機微な個人データを含む取引は、本規則の目的上、ICTS取引と考えられることを明確にしています。

§7.3 除外事項

多くのコメントにより、本規則と CFIUS の取引審査に関する規則との関係の明確化が求められました。これを受けて、同省は、CFIUS が 1950 年国防生産法改正 721 条及びその施行規則に基づき、対象取引、対象不動産取引又はその一部と して積極的に審査している、又は審査を行った ICTS 取引には本規則が適用されないことを明確にしています。ただし、CFIUS が第 721 条に基づき措置を終了した取引とは別個の、かつ、その後に行われる ICTS を含む取引は、当該取引が CFIUS の審査対象となる取引とは別個である場合及びその範囲において、本規則による審査の対象となり得る ことに留意する必要があります。従って、当事者は、特定の ICTS に関連する CFIUS の審査は、それ自体、同省が判断する過度または許容できないリスクを提示する可能性のある同じ ICTS を含む将来の取引に対するセーフハーバーを示すものではないことを認識する必要があります。

§7.3 ICTS取引に関する除外事項

コメント:多くのセクター、産業、機能、国にまたがるカテゴリー別の除外を要請している。長官は、どのような種類のICTS取引が過度または許容できないリスクをもたらすかを判断する上で、慎重かつ熟慮する必要があることを認識しています。そのため、本規則では、米国政府-産業安全保障プログラムの下で認可された取引の当事者として米国人がICTS製品の購入を伴う取引は、他の連邦機関による継続的なセキュリティ監視及び契約上の義務の対象となるため、規則の範囲から除外しています。

§7.3 規則適用の遡及性

一部のコメント提出者は、大統領令が発行された2019年5月15日以前に行われた取引には、この規則を適用すべきではないと主張しました。他のコメント者は、提案された規則の遡及規定を完全に撤廃することを主張し、同省が潜在的な取引を将来的にのみ評価することを提案しました。また、一部のICTS機器について、最長10年間、所定の期間、猶予することを提案したコメントもありました。これらのコメントと規則案を検討した結果、同省は、規則の適用期限を明確にすることが可能であると判断しました。

これらのコメントを受け、同局は、7.3(a)(3)において、本規則が、2021年1月19日以降に開始、保留又は完了するICTS取引に適用されることを明確にしています。また、マネージドサービス契約の締結やソフトウェア更新のインストール等、ICTS取引に関する行為やサービスは、当該サービスや更新が提供された日にICTS取引となります。したがって、国外の敵対者に 所有、支配、またはその管轄もしくは指揮下にある者が、2021年1月19日以降に米国の管轄下にある者とICTS取引を行う場合、当該 サービスが2021年1月19日より前に締結された契約に従って提供されたとしても、当該取引は本規則の下で審査される可能性のある ICTS取引となります。当該サービスは、基礎となる契約とは別の新たな取引であり、長官による見直しの対象となります。

§7.4 国外の敵対者の決定

上述の通り、多くのコメント提出者は、国務省が「国外の敵対者」と考える国を特定するよう要請しました。これらの国を特定することは、米国企業が特定の国からの特定の種類の ICTS 取引のリスクを評価することを可能にすることにより、国際貿易を促進するとコメントした者らは主張しました。また、ICTS取引が審査され、場合によっては禁止・修正されるリスクも含め、そのような取引のリスクを回避するためにサプライチェーンを調整することが可能になる。また、複数のコメントから、「国外の敵対者」を定義することで、より良い事業計画を通じて、本規則が企業に与え得る経済的悪影響を判断し、場合によっては軽減することができると指摘されました。

これらのコメントを受け、同省は、特定の「国外の敵対者」を特定しないという事前の決定を再考しました。同省は、大統領令、本規則およびその後の規則の目的に限って「国外の敵対者」とみなされる特定の外国政府および外国非政府組織を特定することは、規則の明確性のためにも、規則の対象となり得るICTS取引関係者のためにも有益であると判断しました。本規則が「国外の敵対者」として特定する外国政府および外国非政府人のリストは以下の通りです。香港特別行政区を含む中華人民共和国(中国)、キューバ共和国(キューバ)、イラン・イスラム共和国(イラン)、朝鮮民主主義人民共和国(北朝鮮)、ロシア連邦(ロシア)、ベネズエラの政治家ニコラス・マドゥロ(マドゥロ政権)です。長官は、これらの国外の敵対者が、米国の利益に反する行動や政策の制定など、米国の国家安全保障や米国人の安全・安心に著しく有害な行為を長期にわたって行っている、または深刻な事例があるとして、これらの敵対者を特定しました。

これらの「国外の敵対者」を特定する判断は、米国情報機関、米国司法省、国土安全保障省、およびその他の関連情報源からの脅威評価や報告書を含む複数の情報源に基づいて行われます。さらに、長官は適切な省庁の長と協議の上、このリストを定期的に見直し、リストに追加、減点、補足、その他の修正を加えることができます。従って、このリストは将来いつでも改訂される可能性があります。そのような変更は、連邦官報で発表されます。

このリストは、大統領令、本規則及びその後の規則の目的のためだけのものであり、特定された国外の敵対者が所有、支配、または管轄もしくは指示に従う人物(本規則で定義)とのICTS取引が過度または許容できないリスクをもたらす可能性があるという目的以外に、当該外国政府及び外国の非政府組織の性質に関する米国による決定を反映しないことは重要な点である。さらに、本規則は、本リストの修正は、本リストが修正された日以降に開始、保留、完了するあらゆるICTS取引に適用されるとしています。

§7.5 他の法律への影響

多くのコメントで、既存の国家安全保障規制体制と重複する米国法規がある場合は、本規則を適用すべきでないとの指摘がありました。具体的には、CFIUS、各種国防権限法に基づく権限、輸出管理規則、米国電気通信サービス部門における外国企業の参加に関する評価委員会(すなわち、チーム・テレコム)、および連邦通信委員会、国土安全保障省、国家情報長官室の権限によるその他のプログラムについて指摘した意見がありました。他のコメントでは、連邦政府との緩和協定に関与する企業が提供する機器を除外することを推奨しています。

この規則は、これらの既存の権限を変更したり影響を与えたりするものではなく、これらの既存の体制に取って代わるものではなく、補完することを意図しています。しかしながら、同省は規制及びビジネスの確実性の必要性を理解しており、米国連邦政府の他の部分による取り組みと重複しないように、本ルールは、CFIUSが積極的に審査している、または審査したICTS取引に適用されないと述べています。これは、1950年国防生産法改正第721条及びその施行規則に基づく対象取引または対象不動産取引、またはその一部として、審査しているものです。しかしながら、この除外は、以前にCFIUSの審査を受けた取引と異なる場合、又は新しい情報が発見された場合、その後のICTS取引の審査を決して排除するものではありません。

本規則の他の規定は、長官がとる行動が他の既存の法律、規制又はプロセスの目的に抵触したり、妨げたりしないことを確保するための追加的な手段を提供するものです。すなわち、当該取引が過度または許容できないリスクをもたらすICTS取引であると最初に判断する前(§7.104)、および最終判断を下す前(§7.108)であります。長官が他の省庁の長と協議することを求めるにあたり、本規則では、潜在的に重複する管轄権を有する他の省庁との調整メカニズムが規定されています。例えば、CFIUS の審査と重複する可能性のある取引について最初の決定を下す前に、長官は CFIUS の議長を務める財務長官などと協議することが求められており、これによって調整の確保と重複の回避が図られています。

さらに、本ルール§ 7.100 (a)では、長官は、ICTS 取引によってもたらされる脅威を改善するためにどのような行動が必要であるかを決定するにあたり、米国政府の国家安全保障機関、その他の連邦政府機関、省庁、規制機関によって提供されるすべての関連情報を考慮できることを定めています。


パート 7 情報通信技術及びサービスのサプライチェーンの安全確保

商務省のこの文書は、1月13日にウィルバー・ロス商務長官によって署名されました。オリジナルの署名と日付のあるその文書は、商務省によって管理されています。管理上の目的のみで、連邦官報の要件に従い、以下に署名した商務省の連邦官報担当者は、商務省の公式文書として、電子形式の文書に署名し、出版用に提出する権限を与えられている。この行政手続きは、連邦官報に掲載された時点でこの文書の法的効力を変更するものではありません。

Signed in Washington, DC, on January 13, 2021.

Asha Mathew,

Federal Register Liaison Officer, U.S. Department of Commerce.

前文に定める理由により、15 CFR part 7 を以下のように追加する

サブパート A 一般
7.1目的
7.2定義
7.3対象となる ICTS 取引の範囲
7.4国外の敵対者の判定
7.5他の法律への影響
7.6修正、変更、または取り消し
7.7記録の公開

サブパートB ICTS取引の審査
7.100一般
7.101要求に応じて提供されるべき情報
7.102情報の機密性
7.103ICTS 取引の初期審査
7.104最初の省庁間協議
7.105最初の決定
7.106記録保存の要件
7.107対応と緩和を管理する手順
7.108第2回政府機関間協議
7.109最終決定
7.110機密扱いの国家安全保障情報

サブパートC-施行
7.200罰則
権限

権限:合衆国法典第50編第1701条以降、合衆国法典第50編第1601条以降E.O. 13873, 84 FR 22689.

サブパート A 一般

§7.1 目的

本規則は、長官が以下のことを行うことができる手順を定めるものである。(a) 国外の敵対者が所有し、支配し、又はその管轄若しくは指示に従う者によって設計、開発、製造又は供給された情報通信技術又はサービス(ICTS取引)の取得、輸入、移転、設置、取引又は使用が大統領令で特定された特定の不当又は受け入れ難いリスクをもたらすかどうかを判断する。(b) ICTS取引を禁止する決定を下す。 (c) ICTS取引の中止の時期及び方法を指示する。 (d) ICTS取引によってもたらされるリスクを軽減する可能性のある要素を考慮する。長官は、本規則に基づくICTS取引(取引の種類を含む)について、ケースバイケースで評価する。長官は、適宜、大統領令13873に規定される適切な機関の長及びその他の関連政府機関と協議の上、所定のICTS取引を禁止するか否か、又はICTS取引を許可するための緩和措置を提案するか否かについて、最初の決定を行うものとする。当事者は、初期決定に対する回答、補足資料及び/又は問題となるICTS取引がもたらすと初期決定において特定されたリスクを是正又は軽減するための措置の提案等の情報を提出することができる。当事者の提出物を考慮した上で、長官は、取引を禁止する、取引を禁止しない、または長官が ICTS 取引に関連するリスクを十分に緩和すると判断した措置を採用することを条件に取引を許可する最終決定を行う。また、長官は、本規則の適用に関して、適宜、国際的なパートナーとの調整及び情報共有に従事するものとする

§7.2 定義

適切な省庁の長とは、財務長官、国務長官、国防長官、司法長官、国土安全保障長官、米 国通商代表部代表、国家情報長官、一般調達局長、連邦通信委員会委員長、及び長官が適切と判断 するその他の行政省庁の長をいう

商業品目とは、連邦調達規則(48 CFR part 2.101)において与えられているのと同じ意味を有する

部門とは、米国商務省をいう

団体」とは、パートナーシップ、協会、信託、ジョイントベンチャー、企業、グループ、サブグループ、またはその他の非米国政府組織を意味する

大統領令とは、2019年5月15日付大統領令13873号「情報通信技術及びサービスのサプライチェーンの確保」を意味する

国外の敵対者とは、米国の国家安全保障又は米国人の安全保障に著しく有害な行為の長期的パターン又は重大な事例に関与していると長官が判断した外国政府又は外国非政府者をいう

ICTS取引とは、情報通信技術又はサービスの取得、輸入、移転、設置、取引又は使用をいい、マネージド・サービス、データ転送、ソフトウェアの更新、修理又は消費者ダウンロード用アプリケーションのプラットフォーム化若しくはデータホスティング等の継続的な活動を含むものとする。ICTS取引には、大統領令の適用を回避又は迂回するように設計又は意図された構造を有するその他の取引が含まれる。ICTS取引という用語は、ICTS取引の一種を含む

IEEPAとは、国際緊急経済力法(50 U.S.C. 1701, et seq.)をいう

情報通信技術又はサービス(ICTS)とは、電子的手段(電磁的、磁気的及び光電的手段を含む)による情報又はデータの処理、保存、検索又は通信(送信、保存又は表示を含む)の機能を満たす又は可能にすることを主たる目的とする、ハードウェア、ソフトウェア、その他の製品又はサービス(クラウドコンピューティングサービスを含む)である

取引当事者とは、ICTS 取引に従事する者をいい、ICTS を取得する者及び ICTS を取得される者 を含む。取引の当事者には、大統領令の適用を回避又は迂回するために設計され、又はその意図をもって使用される主体が含まれる。ただし、コモンキャリアが、長官による最終の書面による決定で禁止された取引の当事者の一人又はそれ以上に対してICTSの輸送サービスを提供していることを知っていたか知るべきだった場合(15 CFR 772.1に定義される「知識」の範囲)又は緩和措置の適用を受けることが認められている場合には当該緩和措置に違反する場合はこの限りでない

個人とは、個人または事業体を意味する

国外の敵対者に所有され、支配され、またはその管轄もしくは指示に従う者とは、国外の敵対者の命令、要請、または指示もしくは支配下で、代理人、代表者、または従業員として行動する者、またはその他の能力で行動する者、またはその活動の全体もしくは大部分を直接もしくは間接的に国外の敵対者によって監督、指示、支配、融資または補助されている者を意味します。国外の敵対者に支配された国家の国民または居住者、国外の敵対者に支配された国家の法律に基づいて組織された法人、パートナーシップ、協会、その他の組織、および国外の敵対者が所有または支配する法人、パートナーシップ、協会、その他の組織(組織または事業がどこであろうと)を意味する

長官とは、商務長官または商務長官が指名する者を指す

機微な個人データとは、以下を意味する。

(1)個人を特定できる情報であって、以下を含む

(i) 個人の経済的苦境または困難の分析または判断に使用される可能性のある財務データ

(ii) 15 U.S.C. 1681aで定義される消費者レポートのデータ一式。ただし、かかるデータが15 U.S.C. 1681b(a)で特定される一つまたは複数の目的のために消費者レポート機関から取得される場合はこの限りではない

(iii) 健康保険、長期介護保険、専門職賠償責任保険、住宅ローン保険、または生命保険の申請書に記載された一連のデータ

(iv) 個人の身体的、精神的、または心理的な健康状態に関するデータ

(v) 米国企業の製品またはサービスのユーザー間またはユーザーとユーザーの間の電子メール、メッセージング、チャットなどの非公開電子通信(当該製品またはサービスの主目的が第三者ユーザーとの通信を容易にすることである場合)

(vi) モバイル・アプリケーション、車両GPS、その他の車載マッピング・ツール、または装着型電子デバイスなどを通じて、測位システム、携帯電話タワー、またはWiFiアクセス・ポイントを使用して収集された地理位置データ

(vii) 顔、音声、網膜/虹彩、掌/指紋テンプレートを含むバイオメトリクス登録データ

(viii) 連邦、州、部族、準州、またはその他の政府の身分証明書を生成するために保存および処理されるデータ

(ix) 米国政府職員のセキュリティクリアランスの状態に関するデータ

(x) 米国政府職員のセキュリティ・クリアランスの申請書又は公的な信頼に値する地位の雇用の申請書に記載されたデータ一式

(2) 遺伝子情報。個人の遺伝子検査の結果を含み、関連する遺伝子配列データを含み、当該結果が単独で又は以前に公開されたデータ若しくは公に利用可能なデータと組み合わせて、識別可能なデータを構成する場合はいつでも、当該結果。このような結果には、米国政府によって維持され、研究目的のために民間団体に定常的に提供されるデータベースから得られるデータは含まれないものとする。本項において、「遺伝子検査」は、42 U.S.C. 300gg-91(d)(17) に規定される意味を有するものとする

不当な又は許容できないリスクとは、大統領令の第1条(a)(ii)に特定されるリスクをいう

米国人とは、米国市民、永住権を有する外国人、または米国法もしくは米国内の司法権の下に組織された事業体(当該事業体の海外支店を含む)をいう

§7.3 対象となる ICTS 取引の範囲

(a) この部分は、以下のICTS取引にのみ適用される

(1) 米国の司法権の下にある者によって行われ、又は米国の司法権の下にある財産を含む

(2) 外国又はその国民が利害関係を有する財産(技術又はサービスの提供のための契約における利害関係を含む。)

(3) 2021年1月19日以降に開始、保留または完了するもので、当該取引に適用される契約の締結、日付、署名の時期または当該取引に適用されるライセンス、許可、認可の付与の時期に関係なく。2021年1月19日以降に発生するICTS取引に関する行為又はサービス(マネージドサービス契約の条項の実行、ソフトウェア更新のインストール又は修理の実施等)は、契約が当初締結され又は活動が2021年1月19日より前に開始されたとしても、本編の範囲内でICTS取引とみなされる場合があり、かつ、以下のとおりとする

(4) 以下のICTSのいずれかに関与していること

(i) 大統領政策指令21-重要インフラのセキュリティと回復力(下位部門またはその後に指定された部門を含む)により重要インフラとして指定された部門で取引の当事者により使用されるICTS

(ii) 以下のものに不可欠なソフトウェア、ハードウェア、またはその他の製品もしくはサービス

(A) 無線LAN(以下を含む)に不可欠なソフトウェア、ハードウェア、その他の製品またはサービス

(1) 分散型アンテナシステム

(2) スモールセルまたはマイクロセル基地局

(B) 移動体通信網(以下を含む)

(1)eNodeBベース局

(2) gNodeB または 5G 新無線基地局

(3) NodeB 基地局

(4) ホームロケーションレジスタデータベース

(5)宅内加入者サーバ

(6) 移動体交換機、(7) セッションボーダーコントローラ

(7) セッションボーダーコントローラ

(8) 運用支援システム

(C)衛星通信機器

(1) 衛星通信システム

(2)衛星リモートセンシングシステム

(3)衛星の位置・航法・タイミングシステム

(D)衛星の運用及び制御

(1) 遠隔測定、追跡及び制御システム。

(2) 衛星コントロールセンター

(3) 衛星ネットワーク運用

(4) 多端末地上局

(5) 衛星アップリンク・センター

(E) ケーブルアクセスポイント(以下を含む)

(1)コアルータ

(2) コアネットワーク

(3) コアスイッチ

(F)有線アクセスポイント

(1) アクセスインフラストラクチャデータリンク、および

(2) アクセスインフラストラクチャデジタルループ

(G) 基幹ネットワークシステム

(1) 基幹ネットワークシステム:基幹同期光ネットワーク及び同期デジタル階層システム

(2) 基幹ネットワークシステム(高密度波長多重伝送または光伝送ネットワークシステム

(3) コア・インフラストラクチャー・インターネット・プロトコル及びインターネット・ルーティング・システム

(4)基幹コンテンツ配信ネットワークシステム

(5) コア・インフラストラクチャー・インターネット・プロトコル及びマルチプロトコル・ラベル・スイッチング・システム

(6)データセンター用マルチプロトコルラベルスイッチングルータ

(7) 大規模ネットワーク用マルチプロトコルラベルスイッチングルータ

(H) 長距離および短距離ネットワーク(以下を含む)

(1) 光ファイバーケーブル、および

(2) リピーター

(iii) データホスティング又はコンピューティングサービスに不可欠なソフトウェア、ハードウェア又はその他の製品若しくはサービス(仮想プライベートサーバ等のソフトウェア定義サービスを含む)で、ICTS取引に先立つ12か月間のいずれかの時点において100万人を超える米国人の機密個人データを使用、処理若しくは保持し、又は使用、処理若しくは保持すると予想されるもの(以下「本件取引」という

(A) インターネット・ホスティング・サービス

(B) クラウドベース又は分散コンピューティング及びデータ保存

(C) マネージドサービス

(D) コンテンツ配信サービス

(iv) 以下のICTS製品のうち、ICTS取引前12か月間のいずれかの時点において、米国人に対し100万個以上販売されていたもの

(A) インターネット対応センサー、ウェブカム、その他のエンドポイント監視又はモニタリング装置

(B) ルーター、モデム及びその他のホームネットワーク機器、又は

(C) ドローンまたはその他の無人航空機システム

(v) ICTS取引に先立つ12ヶ月間のいずれかの時点において100万人を超える米国人によって使用されている、インターネットを通じた接続及び通信を主目的とするソフトウェア(以下「ソフトウェア」という

(A) デスクトップ・アプリケーション

(B) モバイル・アプリケーション

(C) ゲーミング・アプリケーション

(D) ウェブベースのアプリケーション、又は

(vi) ICTSと一体化したもの

(A) 人工知能と機械学習

(B) 量子鍵配送

(C) 量子コンピューティング

(D)ドローン

(E) 自律システム、または

(F) 先進的なロボット工学

(b) 本編は、以下のICTS取引には適用されない

(1) 米国政府-産業安全保障プログラムの下で承認された取引の当事者としての米国人によるICTS製品の購入を含む

(2) 対米外国投資委員会(CFIUS)が、改正後の1950年国防生産法第721条及びその施行規則に基づき、対象取引若しくは対象不動産取引として又はその一部として積極的に審査している、又は審査したものであること

(c) (c)本節(b)(2)の免除にかかわらず、CFIUSが審査した対象取引又は対象不動産取引の一部でない取引の当事者が行うICTS取引は、引き続き本編に完全に従うものとする

§7.4 国外の敵対者の判定

(a) 長官は、以下の外国政府または外国非政府組織が、米国の国家安全保障または米国人の安全保障に著しく有害な行為の長期的パターンまたは重大な事例を行ったため、大統領令、本規則およびその後のあらゆる規則の目的のためにのみ国外の敵対者に該当すると決定している

(1) 香港特別行政区を含む中華人民共和国(中国)

(2) キューバ共和国(Cuba)

(3) イラン・イスラム共和国(Iran)

(4) 朝鮮民主主義人民共和国(北朝鮮)

(5) ロシア連邦(ロシア)、および

(6) ベネズエラの政治家ニコラス・マドゥロ(マドゥロ政権)

(b) 長官が国外の敵対者を決定するのは、大統領令、本規則、および大統領令に従って公布された後続規則の目的だけのためである。長官の裁量に基づき、国外の敵対者のリストは必要と判断された場合に改訂される。このような改訂は、事前の通知やパブリックコメントの機会なしに、連邦官報に掲載された時点で即座に発効する

(c) 長官の決定は、以下のような複数の情報源に基づくものである

(1) 合衆国の国家安全保障戦略

(2) 国家情報長官による米国情報コミュニティの2016-2019年世界脅威評価

(3) 2018年アメリカ合衆国国家サイバー戦略、および

(4) 米国情報コミュニティ、米国司法省、国務省、国土安全保障省、及びその他の関連情報源からの報告書及び評価

(d) (d) 長官は、適切な省庁の長と協議の上、このリストを定期的に見直し、このリストに追加、減算、補足、その他の修正を加えることができる。このリストに対するいかなる改正も、リストが改正された日以降に開始、保留又は完了するあらゆるICTS取引に適用される

§7.5 他の法律への影響

本編のいかなる内容も、2019年国防権限法、連邦調達規則、またはIEEPAに基づく禁止事項、あるいは合衆国憲法に基づく大統領または議会のその他の権限を含む、連邦法のその他の条項によって提供または確立されたその他の権限、プロセス、規制、調査、執行措置、または審査を変更または影響すると解釈されてはならないものとする

§7.6 修正、変更、または取り消し

法令に別段の定めがある場合を除き、本編に基づき発行された決定、禁止または決定は、いつでも、その全部または一部を修正、変更または撤回することができる

§7.7 記録の公開

この部分に関連する機関の記録に対する公的要請は、商務省の情報公開法規則、15 CFR part 4、または他の適用される法律と規則に従って処理される

サブパートB ICTS取引の見直し

§7.100 一般条項

本編の実施において、商務長官は以下を行うことができる

(a) この目的のために使用することが法律で制限されていない、連邦政府が保有する、または連邦政府 が利用できるあらゆる関連情報(以下を含む)を考慮する。

(1) 一般に公開されている情報

(2) 19 CFR 201.6に定義される業務上の機密情報、または個人情報

(3) 大統領令13526(2009年12月29日)およびその前身である大統領令に定義される国家安全保障機密情報、および大統領令13556(2010年11月4日)に定義される非分類統制された情報

(4) 州、地方、部族、または外国の政府または当局から取得された情報

(5) 取引の当事者から取得した情報(当事者が当該取引のために通常の業務過程で使用、処理、保持する、または使用、処理、保持することが予想される当該取引に関する記録を含む

(6) U.S.C. 7.101に規定される大統領令およびIEEPAの第2条(a)および(c)に基づいて付与された権限により取得された情報

(7) 他の米国政府の国家安全保障機関から提供された情報。いずれの場合も、国家安全保障の目的のために必要な範囲に限られ、適用される機密性及び分類要件に従うものとし、米国電気通信サービス部門における外国の参加の評価のための委員会と連邦買収セキュリティ協議会とその指定情報共有団体を含む

(8) 連邦通信委員会、国土安全保障省、司法省を含むその他の米国政府機関、省、またはその他の規制機関により提供される情報

(b) ICTS取引と同一又は類似の問題を提起していると長官が判断した場合、又はその他適切に統合されている場合には、既に審査中の他の取引とICTS取引の審査を統合すること

(c) 適切な省庁の長と協議の上、ICTS取引が、国外の敵対者が所有し、支配し、又はその管轄若しくは指 示に従う者が設計、開発、製造又は供給するICTSを含むかどうかを判断するにあたり、以下の点を考慮する

(1) 当該個人又はその供給者が、国外の敵対者に支配され又はその管轄下にある国を含む外国に、 本社、研究、開発、製造、試験、流通又はサービス施設、又はその他の事業を有するかどうか

(2) その者(その役員、取締役または同様の役職者、従業員、コンサルタントまたは請負業者を含む)と国外の敵対者との間の結びつき

(3) 研究開発、製造、包装、流通を含め、その者が本社を置く、または事業を行う国外の敵対者の法律および規制

(4) 長官が適切と見なすその他の基準

(d) 適切な省庁の長と協議の上、ICTS取引が不当又は許容できないリスクをもたらすか否かを判断するに当たり、以下の事項を考慮する

(1) 大統領令の第 5 条(a)に従い国家情報長官が作成した脅威の評価及び報告書

(2) 41 U.S.C. 1323 に基づく連邦調達セキュリティ評議会の勧告に従って国土安全保障長官、国防長官、または国家情報長官(またはその指名する者)が出した排除命令または除名命令

(3) 国防連邦調達規則(48 CFR ch.2)及び連邦調達規則(48 CFR ch.1)の関連条項、並びにそれぞれの補足文書

(4) 大統領令の第5条(b)に従って作成された書面による評価、および同条項に従って国土安全保障省長官が決定した、米国内に脆弱性を呈する主体、ハードウェア、ソフトウェア、およびサービス

(5) 国土安全保障省サイバーセキュリティ及びインフラセキュリティ局によって特定された「国家重要機能」の実行に対する実際の脅威及び潜在的脅威

(6) ICTS の脆弱性が悪用された場合に米国の公共及び民間部門に生じうる結果の性質、程度及び可能性

(7) その他、長官が適切と考える情報源または情報

(e) 本書に規定された手続きに全て従った場合、米国の国家安全保障に異常な損害を与える可能性があると長官が判断した場合、長官はその損害から保護するために調整された方法でこれらの手続きから逸脱することができる

§7.101 要求に応じて提供される情報

(a) 大統領令及び IEEPA の第 2 条(a)、(b)及び(c)項に基づき長官に与えられた権限に従い、ICTS 取引に関与する者 は、長官が要求する場合にはいつでも、この部の規定に従って、行為又は取引に関する完全な情報を、 報告書の形式又はその他で宣誓して提供するよう要求されることがある。長官は、当該報告書に、当該報告書を作成するよう要求された者が保管または管理している、当該行為、取引、または財産に関する帳簿、契約書、手紙、書類、またはその他のハードコピーまたは電子文書の提出を含めるよう要求することができる。取引に関する報告は、当該取引の前、最中、または後のいずれでも要求される。長官は、個人または機関を通じて、調査を行い、公聴会を開き、宣誓を行い、証人を尋問し、証拠を受け取り、宣誓証言を行い、召喚状によって証人の出席と証言および調査中の事項に関する帳簿、契約、手紙、書類およびその他のハードコピーや文書の提出を要求することができる

(b) 本項(a)において、「文書」という用語は、書面、記録、図面、または思考もしくは表現を保存する他の手段(電子形式を含む)、および情報を処理、転写、または直接的もしくは間接的に取得できるあらゆる媒体に保存されたすべての有形物を含み、通信、メモ、ノート、メッセージ、テキストやインスタントメッセージなどの同時通信、文字、電子メール、表計算シート、書簡などが含まれるものとする。書簡、電子メール、スプレッドシート、メタデータ、契約書、公報、日記、時系列データ、議事録、書籍、報告書、試験、チャート、帳簿、請求書、航空運送状、船荷証券、ワークシート、レシート、プリントアウト、書類、スケジュール、宣誓証言、プレゼンテーション、記録、調査、あらゆる種類のグラフィック表現、図面、写真、グラフ、ビデオまたは録音、映画またはその他のフィルム

(c) 本項に従って長官に文書を提供する者は、商務省が使用可能な形式で文書を作成しなければならない。この形式は、文書の要請で詳述されるか、または当事者によって合意される場合がある

§7.102 情報の機密性

(a) 本編に基づき長官に提出または提出された、他に公的または商業的に入手できない情報または文書資料は、法律で要求される範囲を除き、公的に公表されない

(b) 長官は、以下の状況において、(a)で言及された、他に公的にまたは商業的に入手できない情報または文書資料を開示することができる

(1) 行政または司法手続きに基づくもの

(2) 議会法に基づくもの

(3) 正当に権限を与えられた議会の委員会または小委員会からの要請

(4) 国内政府機関、または米国の同盟国もしくはパートナーの外国政府機関に対し、他に公的にまたは商業的に入手できない情報または文書資料で、長官の国家安全保障上の分析または行動にとって重要なものを、国家安全保障上の目的のために必要な範囲でのみ、適切な機密性および分類要件にしたがって提供する場合

(5) 当事者または取引関係者が同意した場合、他の方法では公にまたは商業的に入手できない情報または文書資料を第三者に開示することができる

(6) その他法律で認められた目的

(c) 本節は、長官が本編§ 7.109に従って最終決定を下した後も、他に公開または商業的に入手できない情報および資料で、長官に提出または入手されたものに関して引き続き適用されるものとする

(d) 罰金および禁固刑、その他の罰則に関する合衆国法律集第18編第1905条の規定は、本規則に基づき長官に提供された情報または文書資料の開示に関して適用されるものとする

§7.103 ICTS 取引の初期審査

(a) 7.100(a)で特定された情報を受領した場合、適切な機関の長の書面による要請があった場合、または長官の裁量で、長官は取引の審査のための照会(referral)を検討することができる

(b) (a)に従い付託を考慮する場合、長官は、付託が本編 7.3(a)の範囲に含まれ、国外の敵対者が所有、支配、又は管轄若しくは指 示に従う者が設計、開発、製造、又は供給する ICTS に関わるかどうかを評価し、以下を決定しなければならない

(1) 照会を受理し、当該取引の初期レビューを開始する

(2) 照会に関して、§7.100(a)で特定される追加情報を照会先に要請する、又は、(3) 照会を拒否する

(3) 紹介を拒否する

(c) 本節(b)に従って紹介を受け入れた場合、長官は、ICTS 取引の初期審査を行い、ICTS 取引が不当又は容認できないリスクをもたらすかどうかを評価するものとし、その判断は以下の基準を評価することにより行うことができるものとする

(1) ICTS取引において問題となる情報通信技術又はサービスの性質及び特性(技術的能力、用途、 市場シェアに関する考慮事項を含む)

(2) ICTS取引において問題となる設計、開発、製造又は供給に対して国外の敵対者が行使する所有、支配、指示又は管轄権の性質及び程度

(3) ICTS取引において問題となる国外の敵対者の発言及び行動

(4) ICTS取引で問題となった設計、開発、製造又は供給に関与した者の供述及び行動

(5) ICTS取引の当事者の供述及び行動

(6) ICTS取引が個別的又は持続的な脅威をもたらすか否か

(7) ICTS取引が内包する脆弱性の性質

(8) ICTS取引がもたらすリスクを他の方法で軽減する能力があるかどうか

(9) ICTS取引がもたらす以下の少なくとも一つの不利益の重大性

(i) 健康、安全及びセキュリティ

(ii) 重要なインフラストラクチャー

(iii) 機密情報

(iv) 経済

(v) 外交政策

(vi) 自然環境

(vii) 国家基幹機能(連邦継続指令-2(FCD-2)により定義される)、及び

(10) ICTS取引により実際に脅威をもたらす可能性

(d) ICTS取引が本条(b)の基準を満たさないことを長官が発見した場合

(1) 当該取引はもはや審査中であってはならない

(2) 追加情報が長官によって入手可能となった場合、当該取引の将来の見直しは妨げら れない

§7.104 最初の省庁間協議

§ 7.103 に基づく初期審査において、ICTS 取引が § 7.103(c)に定める基準を満たす可能性が高いと判断 した場合、長官は適切な省庁の長に通知し、彼らとの協議により、ICTS 取引が § 7.103(c) に定める基準を満たすかどうかを判断しなければならない

§7.105 初期決定

(a) 7.104で要求される協議の後、長官がICTS取引が§ 7.103(c)に規定される基準を満たさないと判断した場合、以下のとおりとする

(1) 当該取引はもはや審査中であってはならない

(2) 追加情報が長官により入手可能となった場合、当該取引の将来の見直しは妨げられない

(b) 7.104により要求される協議の後、ICTS取引が§ 7.103(c)に規定される基準を満たすと長官が判断した場 合、長官は以下を行うものとする

(1) 長官による日付及び署名が付された、以下のような最初の書面による決定を行う

(i) ICTS取引が§7.103(c)に定める基準を満たす理由を説明する

(ii) 長官が当初ICTS取引を禁止すると決定したか、又はICTS取引が許可されるような緩和措置を提案したかについて記載すること

(2) ICTS取引の当事者に、連邦官報への掲載、又は書留郵便、ファクシミリ、電子送信、若しくは第三者の商業運送業者による受取人の直近の住所への送達若しくは直接配達により、最初の決定の写しを送達することにより通知すること

(c) ICTS取引を禁止又は緩和措置を提案する最初の決定の全部又は一部が、機密扱いの国家安全保障情報又は機密扱いの非分類情報に依拠しているにもかかわらず、最初の決定には機密扱いの国家安全保障情報及びそれに対する言及が含まれず、長官の裁量で機密扱いの非分類情報が含まれない場合がある

§7.106 記録保持要件

ICTS取引が審査中である旨又はICTS取引に関する初期決定がなされた旨の通知を受けた場合、通知を受けた者は、直ちに当該取引に関するあらゆる記録を保持するための措置を講じなければならない

§7.107 対応および緩和に関する手続

7.105 に従った長官の通知の送達から 30 日以内に、ICTS 取引の当事者は、長官の初期決 定に反論するか、初期決定の原因となった状況がもはや適用されないと主張し、以下の行政 手続に従って初期決定の取消し又は軽減を求めることができる

(a) 当事者は、ICTS 取引の禁止を含む当初の決定の根拠が不十分であることを立証すると考える主張又は証拠を提出することができる。

(b) 当事者は、会社更生、国外の敵対者の支配権の放棄、コンプライアンス・モニターの関与、または同様の措置など、当事者に よる救済措置を提案することができ、これにより当初の決定の根拠が否定されると考える

(c) いずれの提出物も書面で作成しなければならない

(d) 長官の最初の決定に対応する当事者は、省との会合を要請することができ、省は、§7.109に基づく最終決定を行う前に、その裁量で、かかる会合の実施に同意または拒否することができる

(e) 本規則は、ICTS取引を禁止する最初の決定の際に考慮された米国政府が保有する情報(国家安全保障上の機密情報又は機密であるが未分類の情報を含む)へのアクセスを取得する権利を何人に対しても生じない;及び

(f) (f)当事者に最初の決定が送達されてから30日以内に当事者から何の回答もない場合、長官は本規則§ 7.108に定める協議手続きに関与する必要なく最終決定を行うことを決定することができる

§7.108 第2回政府機関間協議

(a) § 7.107に基づくICTS取引の当事者による提出を受けた場合、長官は、提供された情報 (緩和措置案を含む)が、ICTS取引が§ 7.103(c)に規定する基準に合致するかどうかの最初の判断に影響 するか及び影響する方法を検討するものとする

(b) (a)と整合的な § 7.107 に基づく ICTS 取引の当事者による提出の影響を考えた後、長官は、 交渉による緩和措置の採用に従って ICTS 取引を禁止、禁止しない、又は許可するかどうか の最終決定を出す前に、全ての関係省庁の長と協議し合意を求めなければならない

(c) 合意に至ることができない場合、長官は、長官の最終決定案とそれに対する関係省庁の長の反対意見を大統領に通知するものとする

(d) 長官の最終決定案とそれに対する関係省庁の長の反対について大統領から指示を受けた後、長官は§7.109に 従って最終決定を発行しなければならない

§7.109 最終決定

(a) ICTS取引が禁止されているとの最初の決定を長官が行った各取引について、長官は、当該ICTS 取引が以下の通りかどうかの最終決定を行うものとする

(1) 禁止されている

(2) 禁止されていない、又は

(3) 交渉による緩和措置の採択に基づき、長官の裁量により、許可される

(b) 長官がさらなる時間を要すると書面で判断した場合を除き、長官は、付託を受け、§7.103 に従って ICTS 取引の初期審査を開始してから 180 日以内に最終決定を行うものとする

(c) ICTS 取引が禁止されていると長官が判断した場合、長官は、ICTS 取引がもたらす不当又は受入れ難いリスクに対処するために、禁止を調整するために必要な最も制限の少ない手段を指示する裁量を有するものとする

(d) 最終的な判断は以下のとおりとする

(1) 書面、署名及び日付があること

(2) 長官の決定を記述すること

(3) 非分類であり、国家安全保障上の機密情報への言及を含まないこと

(4) ICTS取引の当事者から受領したあらゆる情報を考慮し、対処する

(5) 該当する場合、ICTS 取引の中止の時期及び方法を指示する

(6) ICTS取引が禁止されていないとの最終決定が、ICTS取引に何らかの関連がある取引の将来の審査を排除するものではないことを、該当する場合には、説明すること

(7) 該当する場合には、ICTS取引の当事者と長官との間で合意された緩和措置の説明を含む

(8) 緩和措置に関する合意または指示に完全に従わない場合、当事者が直面する罰則(IEEPA違反またはその他の法律違反を含む)を記載すること

(e) 書面、署名、日付入りの最終決定は、以下に送付されるものとする。

(1) ICTS 取引の当事者は、書留の米国郵便及び電子メールにより送付される

(2) 該当する省庁の長

(f) ICTS取引を禁止する最終決定書の結果は、連邦官報に掲載されるものとする。その公表は、事業上の秘密情報を省略するものとする

§7.110 国家安全保障上の機密情報

本編に基づく決定の見直しにおいて、その決定が国家安全保障上の機密情報に基づいていた場 合、当該情報は、一方的かつインカメラで見直し裁判所に提出することができる。本条は、司法またはその他のいかなる法廷における審査権を付与または示唆するものではない。

サブパートC 施行

§7.200 罰則

(a) 最高額の罰則

(1) 民事罰。このパートに従って出された最終決定または指示(このパートの下で出された緩和合意またはその他の条件の違反を含む)に違反した者、違反を試みた者、違反を共謀した者、または故意に違反を起こした者には、IEEPA第206条(50 U.S.C. 1705)に定められた金額を超えない民事罰が課せられる場合がある。IEEPA は、インフレ調整の対象となる 250,000 ドル、または違反の根拠となった取引額の 2 倍を超えない最高民事罰を規定する

(2) 刑事罰 最終決定、指示、または緩和合意の違反を故意に犯し、故意に犯そうとし、故意に共謀し、または幇助した者は、IEEPA違反の判決により、100万ドル以下の罰金、または自然人の場合は20年以下の禁固、またはその両方が課される場合がある

(3) 長官は、IEEPAに基づきこの部に従って出された最終決定、指示、または緩和合意に違反した者に対し、違反ごとに、インフレ調整後307,922ドル、または違反の根拠となった取引額の2倍の法定最大処罰額を超えない民事罰を課することができる

(i) 違反したとされる法律および規制を明記した罰則対象行為の書面による説明と、提案された罰則額を含み、罰則を課さない理由について30日以内に書面で請願する権利を通知する罰則の通知は、通知を受けた当事者または関係者に送達されるものとする

(ii) 長官はいかなる提示も検討し、申立書の受領から30日以内に最終行政決定を下すものとする

(4) 本項で認められた民事罰は、米国が米国連邦地裁に提起する民事訴訟で回収することができる

(b) 過料額の調整

(1) IEEPAに規定されている民事罰は、1990年連邦民事罰インフレ調整法(Pub. L. 101-410, as amended, 28 U.S.C. 2461 note)に従って調整されることがある

(2) IEEPAに規定されている刑事罰は、18 U.S.C. 3571に従って調整されることがある

(c) 本条に基づく罰則は、民事上または刑事上のその他の法律上の罰則を損なうものではない。18 U.S.C. 1001に注目します。1001条は、米国の省庁の管轄内のいかなる問題であっても、故意に、重要な事実を偽造し、隠蔽し、または何らかの策略、計画、もしくは装置によって隠蔽し、または虚偽、架空、もしくは不正な陳述もしくは表現を行い、または虚偽、架空、もしくは不正な陳述もしくは記載が含まれていると知りながら、いかなる偽書もしくは書類を作成または使用した者は、米国コード18編による罰金、5年以下の懲役、もしくはその両方が課せられると規定していることに言及している

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder OWASP Member ITは人々の生活をあらゆる面でより良い方向に変化させること 競争原理から共創原理へ