バイデン大統領、米国民の機密個人データを保護する大統領令を発令

2024/02/28に米国のバイデン大統領が、米国民の機密個人データを保護する大統領令を発令しました。司法省のプレスリリースでは「中国、ロシア、イラン、北朝鮮、キューバ、ベネズエラ」を懸念国として表明しています。今後データセキュリティを扱っていく中でも絡んできそうなため、ここでは、この大統領令に関係した情報を纏めてみます。

大統領令の発令
米国司法省の対応
懸念国とは
参考文献
- 関連記事:

大統領令の発令

　2024/02/28に、米国のバイデン大統領が米国民の機密個人データを保護する大統領令を発令しました。

　この大統領令では、「特定の懸念国による、米国人の機密個人データおよび米国政府関連データへの継続的なアクセスが異常な脅威を構成している」とし、米国人の大量の機密個人データおよび米国政府関連データが懸念国に送られることにより、悪意のあるサイバー利用活動に用いられたり、恐喝やスパイ行為に悪用されるなど様々な目的でデータを悪用される可能性があるとしています。

　そのため、司法長官にアメリカ国民の機密個人データの大規模な懸念国への移転を防止する権限を与え、また、その他の活動に対する安全措置を提供するものになります。

　なお、「機密個人データ」としてゲノムデータ・生体認証データ・個人の健康データ・位置情報データ・財務データ・個人を特定できる情報を含む、アメリカ人の最も個人的かつ機密情報に焦点を当てています。

また、データ取引業（Entities in the data brokerage industry）に関しては、「これらの団体は、大量の機密個人データおよび消費者に関する米国政府関連データの収集・評価・配布に従事しているためリスクを抱えている」とし、「消費者金融保護局（CFPB）局長はこの脅威に対処し、規制案を検討することが奨励される」としています。

　なお、上記大統領令では

大量の機密個人データや米国政府関連データを含むデータを転送するという明示的な目的で海底ケーブルが設計・建設・運用されている場合には、懸念国によるアクセスのリスクが悪化します。
大統領令 13913 の第 6 条に定められたプロセスを目的として、所有者・管理者・対象者が所有／運営する海底ケーブルシステムのライセンス審査の開始を優先します。

などがあり、米国政府が海底ケーブルシステムに関するセキュリティ上のリスクにかなりの関心があることが見て取れます。JETROの記事でも指摘されていますが、1月にはチリ政府とオーストラリアがつながる「Humboldt」での米グーグルとの提携に関して国務省が歓迎する声明を出しています。

米国司法省の対応

　米国司法省（DOJ）は大統領令を受けて、データセキュリティに関する規則の枠組みを提案する規則制定案の事前通知（Advance Notice of Proposed Rulemaking (ANPRM)）を出し、プレスリリースで経緯を説明してパブリックコメントを募集しています。

　また司法省のプレスリリースにも載っていますが、メリック・B・ガーランド司法長官は「敵は米国人の機密個人データを悪用して国家安全保障を脅かしています」「彼らは、個人を脅迫したり監視したり、ここ米国で反体制派とみなした人々を標的にしたり、その他の悪意のある活動に従事したりするためにこのデータを購入しています。この大統領令は、我が国の国家安全保障に脅威を与える国々が、ヒトゲノムデータ、生体認証および個人識別子、個人の健康および財務データを含む米国人の最も機密性の高い個人データを収集することを阻止する権限を司法省に与えます。」と説明しています。

懸念国とは

　「懸念国」の定義ですが、「この大統領令のセクション 2(c)(iii) または 2(f) に従って司法長官が決定した深刻な事例に関与しており、大量の個人データや米国政府関連データを悪用して、米国の国家安全保障や米国民の安全に著しく有害な行為を行うリスクを持っている外国政府を意味します。」としています。なお、セクション2c(iii)では「国務長官および商務長官の同意を得て、関係国や対象となる人々のクラスを特定」としており、2(f)では「新たな懸念国または既存の懸念国を特定し、必要に応じて対象となる人々のクラスを特定する。」としています。

　尚、先述の米国司法省のプレスリリースでは「司法省国家安全保障局は司法長官に代わってその規定を施行し、中国、ロシア、イラン、北朝鮮、キューバ、ベネズエラをこのプログラムの懸念国として特定することを検討している」としています。上記の６カ国が懸念国として対象になる様です。