New U.S. DoJ Rule Halts Bulk Data Transfers to Adversarial Nations to Protect Privacy
2024/12/31 TheHackerNews — 米国司法省 (DoJ:Department of Justice) は、米国民の個人データの大量転送に関して、大統領令 (EO) 14117 を履行する最終規則を発行し、中国 /北朝鮮/ロシア/イラン/キューバ/ベネズエラなどの懸念国へ向けた転送を禁止した。DoJ National Security Division の General Matthew G 次官は、「この最終規則は、最も機密性の高い個人データを介した、敵対勢力による米国人への攻撃を阻止するものであり、また、国家安全保障上の大きな脅威に対処するための重要な一歩である」と述べている。
彼は、「このパワフルで最新の国家安全保障プログラムは、米国人の個人データが、購入などの商業的アクセス手段を通じて、敵対的な外国勢力に販売されることが、もはや許可されないことを保証するためにデザインされている」と付け加えている。
2024年2月にジョー・バイデン米大統領は、米国人の機密性の高い個人情報や政府関連データへの不正アクセスがもたらす、国家リスクに対処するための大統領令に署名している。その対象となる不正アクセスは、スパイ活動/影響力行使/サイバー作戦などの、悪意のあるアクティビティである。
さらに、この大統領で指摘されているのは、大量データへのアクセスを活用する懸念国が、人工知能などの先進技術を開発/改良することへの懸念と、商業データ・ブローカーなどから、そのような情報を購入することへの懸念である。
DoJ は、「この種のデータを悪用する懸念国や対象者は、活動家/学者/ジャーナリスト/反体制派/政敵/非政府組織/疎外されたコミュニティ・メンバーなど関する情報を収集できる。その結果として、彼らに対する脅迫/抑制などを介して、表現の自由/平和的な集会や結社の自由を制限し、また、市民としての自由を抑圧する可能性を手にする」と述べている。
司法省が発行した規則は、今後の 90日以内に発効する予定である。この規則では、禁止/制限/免除の対象となる、取引におけるレベルが特定されている。それにより、大量の機密性の高い個人データなどの取引に対して、禁止/制限の事項を発動するためのしきい値を設定し、民事罰や刑事罰などの執行メカニズムを確立していくという。
ここで言う、高機密性の情報とは6 つのカテゴリで構成されものであり、具体的には、社会保障番号/運転免許証などの個人識別、および、地理的位置、生体識別、遺伝子、健康、財務などのデータとなる。
ただし、この規則ではデータのローカリゼーションについて要件を課していない。したがって、懸念国における医療/科学などの研究について、米国市民の参加を制限/禁止するものではないことに留意する必要がある。
DoJ は、「この最終規則は、懸念国や対象者とのビジネスの一環として生じる、金融データなどの交換などを考慮しており、米国人による関与を広範に禁止するものでない。つまり、米国が他国と共有する、消費者/経済/科学/貿易などの関係を、より広範に切り離すことを目的とした措置を課すものでもない」と述べている。
バイデン政権における、駆け込み措置のひとつなのでしょう。この何年かにおいて、EU に置かれる個人情報などを、米国の企業が自国に転送するときに、GDPR 違反に問われるといったケースがあったように記憶していますが、今度は、米国から “懸念国” への転送を制限していくようです。関連情報として、2024/12/24 の「トランプ 2.0 と CISA の確執を紐解く:何が継続され 何が変化するのだろう?」があります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.