« 欧州 EDPB ガイドライン03/2022 ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザインパターン:その認識と回避方法について | Main | 中国 個人情報越境移転標準契約弁法 (2023.02.24) »

2023.03.01

米国 行政予算管理局 「政府端末TikTok使用禁止法」実施ガイダンス

こんにちは、丸山満彦です。

2022.12.29にH.R.2617 - Consolidated Appropriations Act, 20232023年連結歳出法)にバイデン大統領が署名しそのDivision RとしてNo TikTok on Government Devices Act(政府端末TikTok使用禁止法)が成立していますが、その法律に従い、行政予算管理局 「政府端末TikTok使用禁止法」実施ガイダンスを作成し、公表していますね。。。


OFFICE OF MANAGEMENT AND BUDGET: OMB

・2023.02.27 [PDF] M-23-13 MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES SUBJECT: “No TikTok on Government Devices” Implementation Guidance 

20230323-01205

EXECUTIVE OFFICE OF THE PRESIDENT  大統領府 
OFFICE OF MANAGEMENT AND BUDGET 行政管理予算局
WASHINGTON, D. C. 20503 WASHON, D. C. 20503
THE DIRECTOR ザ・ディレクター
27-Feb-23 2023年2月27日
M-23-13  M-23-13 
MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES  行政府の長に対する覚書 
FROM: Shalanda D. Young  FROM: シャランダ・D・ヤング 
SUBJECT: “No TikTok on Government Devices” Implementation Guidance  件名:「政府端末TikTok使用禁止法」実施ガイダンス 
I. Background  I. 背景 
TikTok is a software application owned and operated by ByteDance Limited (“Bytedance”), a privately held company headquartered in Beijing, China.  TikTokは、中国・北京に本社を置く非上場企業であるByteDance Limited(以下「Bytedance」)が所有・運営するソフトウェアアプリケーションである。 
The Consolidated Appropriations Act, 2023, enacted the No TikTok on Government Devices Act (“the Act”), which instructs the Director of the Office of Management and Budget, in consultation with the Administrator of General Services, the Director of the Cybersecurity and Infrastructure Security Agency, the Director of National Intelligence, and the Secretary of Defense, to develop standards and guidelines for agencies requiring the removal of TikTok from Federal information technology.[1] This memorandum fulfills that requirement by directing agencies to remove TikTok from Federal devices and providing instructions and deadlines for that removal.  2023年連結歳出法では、政府端末TikTok使用禁止法(「本法」)が制定され、管理予算局長が、総合サービス長官、サイバーセキュリティおよびインフラセキュリティ庁長官、国家情報長官、国防長官と協議し、連邦情報技術からのTikTokの削除を求める機関向けの基準およびガイドラインを作成するよう指示されました。 [1] この覚書は、連邦政府のデバイスからTikTokを削除するよう機関に指示し、その削除のための指示と期限を提供することによって、その要件を満たすものである。
II. Scope  II. 適用範囲 
Pursuant to the Act, this memorandum applies to “the social networking service TikTok or any successor application or service of TikTok developed or provided by ByteDance Limited or an entity owned by ByteDance Limited” (“covered application”) and applies to all “executive agencies” (“agencies”), as that term is defined in 41 U.S.C § 133.[2]  同法に従い、本覚書は「ByteDance LimitedまたはByteDance Limitedが所有する事業体が開発または提供するソーシャルネットワーキングサービスTikTokまたはTikTokの後継アプリケーションまたはサービス」(「対象アプリケーション」)に適用され、41 U.S.C 第133条で定義されているすべての「行政機関」(「機関」)に適用される[2]。 
This memorandum applies to all “information technology,” as that term is defined in 40 U.S.C. § 11101(6) (herein after referred to as “IT”). That definition reaches not only IT owned or operated by agencies, but also IT “used by a contractor under a contract with the executive agency that requires the use” of that IT, whether expressly or “to a significant extent in the performance of a service or the furnishing of a product.” That definition does not, however, “include any equipment acquired by a federal contractor incidental to a federal contract.”  この覚書は、40 U.S.C. §11101(6)で定義されているすべての「情報技術」(以下、「IT」という)に適用される。この定義は、行政機関が所有または運営するITだけでなく、「行政機関との契約に基づいて請負業者が使用するITであって、そのITの使用を要求するもの」にも及び、明示的にであれ「サービスの履行または製品の提供においてかなりの程度」であれ、そのITの使用を要求する。ただし、この定義には、「連邦契約に付随して連邦契約者が取得した設備は含まれない」。 
III. Actions  III. 行動 
A. No later than 30 days following the issuance of this memorandum, agencies shall—  A. 本覚書の発行後30日以内に、各機関は以下を行うものとする。 
i. Identify the use or presence of a covered application on information technology;  i. 情報技術上の対象アプリケーションの使用または存在を特定する。
ii. Establish an internal process to adjudicate limited exceptions, as defined by the Act and described in Section IV;  ii. 法律で定義され、セクションIVで説明される限定的な例外を裁くための内部プロセスを確立する。
iii. Remove and disallow installations of a covered application on IT owned or operated by agencies, except in cases of approved exceptions; and,  iii. 承認された例外の場合を除き、機関が所有または運営するIT上の対象アプリケーションのインストールを削除し、認めない。
iv. Prohibit internet traffic from IT owned by agencies to a covered application, except in cases of approved exceptions.  iv. 承認された例外の場合を除き、機関が所有するITから対象アプリケーションへのインターネットトラフィックを禁止する。
Agencies whose mission or operational posture prevents compliance with the timeline delineated in Section III.A. must notify the Federal Chief Information Officer prior to the deadline by sending a message to ofcio@omb.eop.gov.  ミッションまたは運用態勢がセクションIII.A.で定義されたタイムラインを遵守できない機関は、期限前に連邦最高情報責任者に通知し、ofcio@omb.eop.gov にメッセージを送信する必要がある。
B. No later than 90 days following the issuance of this memorandum, agencies shall—  B. 本覚書の発行から90日以内に、各機関は以下を行うものとする。 
i. Ensure that any new contracts issued do not contain requirements that may include the use of a covered application in the performance of the contract, except in cases of approved exceptions; and,  i. 承認された例外の場合を除き、新たに発行される契約には、契約の履行において対象アプリケーションの使用を含む可能性のある要件が含まれないようにすること。
ii. Cease use of contracts that contain requirements that may include use of a covered application in performance of the contract or modify those contracts to conform with the prohibition on covered applications, except in cases of approved exceptions.  ii. 承認された例外の場合を除き、契約の履行において対象アプリケーションの使用を含む可能性のある要件を含む契約の使用を中止するか、対象アプリケーションの禁止に適合するようにそれらの契約を変更する。 
C. No later than 120 days following the issuance of this memorandum, agencies shall—  C. 本覚書の発行から120日以内に、各省庁は以下を行うものとする。 
i. For contracts whose performance may involve use of IT by the contractor, ensure that any modification that extends the period of performance, including through exercise of an option, includes a requirement to conform with the prohibition on covered applications; and,  i. 契約者によるITの使用を伴う可能性のある契約については、オプションの行使を含め、履行期間を延長する修正が、対象アプリケーションの禁止に適合するための要件を含むことを確認する。
ii. Ensure that each agency solicitation requires conformance with the prohibition on covered applications if the solicitation meets both of the following criteria: (1) the solicitation is issued on or after the date that is 120 days after the date of this memorandum; and (2) a contract issued based on the solicitation may involve use of information technology by a contractor.  ii. 各機関の勧誘が以下の基準の両方を満たす場合、対象アプリケーションの禁止に適合することを要求するようにする。(1) この覚書の日付から 120 日後の日付以降に募集が行われること (2) 募集に基づいて発行される契約が、請負業者による情報技術の使用を伴う可能性があること。 
IV. Exceptions  IV. 例外事項 
A. Documentation  A. ドキュメンテーション 
The Act permits limited exceptions to the restrictions outlined in this memorandum for law enforcement activities, national security interests and activities, and security research.[3] Agencies should limit the use of exceptions outlined within this section to instances in which use of a covered application is critical to their mission and alternative approaches are not viable.  この法律は、法執行活動、国家安全保障上の利益と活動、および安全保障上の研究に対して、この覚書に概説された制限の限定的な例外を認めている[3]。機関は、このセクションに概説された例外の使用を、対象アプリケーションの使用がそのミッションにとって重要で、代替アプローチが実行不可能である場合に限定するべきである。 
Exceptions must be granted by an agency head or designee of the agency head.[4] Agency heads remain responsible for ensuring that all individuals with delegated authority under this policy maintain the documentation required and take all necessary actions to mitigate risk posed by covered applications.  例外は、機関長または機関長の被指名人によって許可されなければならない[4]。機関長は、本ポリシーに基づいて権限を委譲されたすべての個人が、必要な文書を保持し、対象アプリケーションによってもたらされるリスクを軽減するために必要なすべての行動を取ることを確実にする責任を負うものとする。 
Blanket exceptions applying to an entire agency are not permitted. Exceptions must be exclusive to specific agency programs or operational actions covered by the exception categories below. The agency must develop and document risk mitigation actions appropriate for any use of a covered application for which an exception is granted.  機関全体に適用される包括的な例外は許可されません。例外は、以下の例外のカテゴリーに含まれる特定の機関のプログラムまたは業務上の行為に限定されなければならない。機関は、例外が認められた対象アプリケーションのあらゆる使用に適したリスク軽減措置を策定し、文書化しなければならない。
Agencies must maintain documentation on each exception that includes, at a minimum, the following information:  機関は、各例外について、少なくとも以下の情報を含む文書を保持しなければならない。
i. Date of approval;  i. 承認日。
ii. Exception category (as outlined in part B below);  ii. 例外のカテゴリー(以下のパートBに概説されているとおり)。
iii. Description of the circumstances under which the exception applies;  iii. 例外が適用される状況の説明。
iv. Period of the exception; and,  iv. 例外の期間、および。
v. Risk mitigation actions that will be taken to prevent access by a covered application to sensitive data.  v. 対象アプリケーションによる機密データへのアクセスを防止するために実施されるリスク軽減措置。
Exceptions may last up to one year, after which agencies shall reevaluate them for renewal or termination. Agency heads must maintain a list of current exceptions, which must be provided to OMB upon request as described in Section V below. A copy of the documentation for any approved exception related to specific activities in a government contract must be shared with acquisition officials for inclusion, as appropriate, in relevant contract files.  例外は最長で 1 年間存続し、その後、各省庁は更新または終了のために再評価を行わなければならない。省庁の長は、現在の例外のリストを維持しなければならず、このリストは、以下のセクション V に記載されているように、要求に応じて OMB に提供されなければならない。政府契約における特定の活動に関連する承認された例外の文書のコピーは、適切な場合、関連する契約ファイルに含めるために、取得担当者と共有されなければならない。
B. Exception Categories  B. 例外のカテゴリー 
i. National Security Interests and Activities  i. 国家安全保障上の利益と活動 
An agency head may grant an exception allowing use of a covered application after first determining that such use would have a clear nexus with national security interests or activities. For example, activities performed pursuant to authorities granted under title 6, title 10, or title 50 of United States Code may have the requisite nexus, as may activities undertaken to mitigate severe damage or disruption arising in the course of a major disaster[5] or emergency [6] declared by the President.  省庁の長は、対象アプリケーションの使用が国家安全保障上の利益または活動と明確な関連性があると最初に判断した後、その使用を許可する例外を認めることができます。例えば、合衆国法典第6編、第10編、第50編に基づき付与された権限に従って行われる活動は、大統領によって宣言された大規模災害[5]または緊急事態[6]の過程で生じる深刻な損害または混乱を軽減するために行われる活動のように、必要な関連性がある場合がある。
ii. Law Enforcement Activities  ii. 法執行活動 
Such activities may include those that are performed by or in coordination with an agency that is part of the Federal law enforcement community,[7] in response to a law enforcement emergency, [8] or in the course of investigating potential violations of Federal statutes or regulations.  このような活動には、連邦法執行コミュニティの一員である機関によって、またはそれと連携して、法執行上の緊急事態に対応して、[7]または連邦法もしくは規制の潜在的違反を調査する過程で行われるものが含まれます。
iii. Security Research Activities  iii. セキュリティ研究活動 
Such activities may include investigations to limit harm to individual, public, private, or national physical or digital infrastructure through the identification of vulnerabilities, security weaknesses, or actionable threats, as well as agency investigation into suspected malign foreign influence.  このような活動には、脆弱性、セキュリティ上の弱点、または実行可能な脅威の特定を通じて、個人、公共、民間、または国の物理的またはデジタルインフラへの危害を抑えるための調査や、外国の悪意のある影響の疑いに関する機関の調査などが含まれます。
V. Reporting  V. 報告 
Agencies shall notify OMB that they have completed all actions delineated in Section III.A no later than 90 days after the date of this memorandum. These notification documents must be signed by the agency Chief Information Officer and emailed to [mail].  各省庁は、この覚書の日付から90日以内に、セクションIII.Aで規定されたすべての行動を完了したことをOMBに通知しなければならない。これらの通知文書は、省庁の最高情報責任者が署名し、[mail] に電子メールで送信しなければならない。
No more than 120 days after the date of this memorandum, agencies are required to submit the number of exceptions approved to that date under each of the categories described in Section IV.B of this memorandum. Agencies shall submit that information using the CyberScope application, [web], under the tab “M-23-13 ‘No TikTok on Government Devices’ Implementation Guidance.” For questions regarding CyberScope access, please contact [mail].
この覚書の日付から120日以内に、機関は、この覚書のセクションIV.Bに記載されている各カテゴリの下でその日までに承認された例外の数を提出する必要がある。各省庁は、CyberScopeアプリケーション([web)の「M-23-13 "No TikTok on Government Devices" Implementation Guidance」タブを使ってその情報を提出しなければなりません。 CyberScopeアクセスに関するご質問は、[mail] まで連絡すること。
A list of agency-approved exceptions and all relevant documentation under Section IV must be made available to OMB upon request.  政府機関が承認した例外のリストおよびセクションIVに基づくすべての関連文書は、要求に応じてOMBに提供される必要がある。
Activities conducted under U.S.C. title 50 are exempted from the reporting requirements within this section.  U.S.C. title 50の下で行われる活動は、このセクション内の報告要件から免除される。
VI. Other Supply Chain Concerns  VI. その他のサプライチェーンに関する懸念 
If an agency determines that there is a reasonable basis to conclude that a substantial supply chain risk exists in connection with an application not covered by the Act, the agency shall submit information regarding that risk to the Federal Acquisition Security Council (FASC) consistent with 41 C.F.R. § 201-1.201.  本法律が適用されない申請に関連して、実質的なサプライチェーンリスクが存在すると結論付ける合理的な根拠があると機関が判断した場合、当該機関は、41 CFR § 201-1.201 に従って、当該リスクに関する情報を連邦調達保安審議会(FASC)に提出するものとします。 
[1] Pub. L. No. 117-328, div. R, §§ 101-02, available at [web] .  [1] Pub. L. No.117-328, div. R, §101-02, [web] 参照
[2] Id. § 102(a).  [2]同上。§ 102(a). 
[3] Id. § 102(b)(2)(A).  [3]同法。§ 第 102 条(b)(2)(A)。
[4] This includes the authority to issue exceptions for agency operations or missions that require knowledge of such an operation or mission to remain restricted within the agency.  [4] これには、機関の運営または任務に関する知識を機関内に制限しておくことを必要とする例外を発行する権限も含まれる。
[5] 42 U.S.C. § 5170.  [5] 42 U.S.C. § 5170 を参照
[6] See, e.g., 42 U.S.C. § 5191. [6] 例えば、42 U.S.C. § 5191 を参照。
[7] 34 U.S.C. § 50102. [7] 34 U.S.C. § 50102 を参照。
[8] Id. [8] 同上。

 

法律...

Congress.Gov

H.R.2617 - Consolidated Appropriations Act, 2023

DIVISION R--NO TIKTOK ON GOVERNMENT DEVICES  Division R 政府端末TikTok使用禁止法
SEC. 101. SHORT TITLE.  SEC: 101 短い題名
This division may be cited as the ``No TikTok on Government Devices Act''.  この部門は、"政府端末TikTok使用禁止法''として引用されることがある。
SEC. 102. PROHIBITION ON THE USE OF TIKTOK.  SEC. 102. Tiktokの使用を禁止する。
(a) Definitions.--In this section--  (a) 定義--本節では--。
(1) the term ``covered application'' means the social networking service TikTok or any successor application or service developed or provided by ByteDance Limited or an entity owned by ByteDance Limited;  (1) 「対象アプリケーション」という用語は、ByteDance LimitedまたはByteDance Limitedが所有する事業体が開発または提供するソーシャルネットワーキングサービスTikTokまたはその後継のアプリケーションもしくはサービスを意味します。
(2) the term ``executive agency'' has the meaning given that term in section 133 of title 41, United States Code; and  (2) ``executive agency''という用語は、アメリカ合衆国法典第41編第133節においてその用語に与えられた意味を有する。
(3) the term ``information technology'' has the meaning given that term in section 11101 of title 40, United States Code.  (3) 情報技術という用語は、合衆国法典第40編第11101条においてその用語に与えられている意味を有する。
(b) Prohibition on the Use of TikTok.--  (b) TikTokの使用禁止--。
(1) In general.--Not later than 60 days after the date of the enactment of this Act, the Director of the Office of Management and Budget, in consultation with the Administrator of General Services, the Director of the Cybersecurity and Infrastructure Security Agency, the Director of National Intelligence, and the Secretary of Defense, and consistent with the information security requirements under subchapter II of chapter 35 of title 44, United States Code, shall develop standards and guidelines for executive agencies requiring the removal of any covered application from information technology.  (1) 一般的に--本法の制定日から60日以内に、行政管理予算局長は、一般サービス行政長官、サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁長官、国家情報長官、および国防長官と協議し、合衆国法典第44章35節第2章に基づく情報セキュリティ要件と整合させながら、行政機関向けに情報技術から対象アプリケーションを取り除くことを求める基準および指針を策定する。
(2) National security and research exceptions.--The standards and guidelines developed under paragraph (1) shall include--  (2) 国家安全保障および研究の例外--第(1)項に基づき作成される基準およびガイドラインは、以下を含むものとする。
(A) exceptions for law enforcement activities, national security interests and activities, and security researchers; and  (A) 法執行活動、国家安全保障上の利益および活動、ならびにセキュリティ研究者のための例外。
(B) for any authorized use of a covered application under an exception, requirements for executive agencies to develop and document risk mitigation actions for such use.  (B) 例外に基づく対象アプリケーションの許可された使用について、行政機関が当該使用に関するリスク軽減措置を策定し文書化するための要件。

 

【2023.04.09 追記】

国防総省が、TikTokの危険性について書いていますね。。。

⚫︎ U.S. Department of Defense: DOD

・2023.04.06 Leaders Say TikTok Is Potential Cybersecurity Risk to U.S.

TikTokの問題点について
・多くのアメリカ人が利用しており、中国が誤った情報を拡散することや情報を収集することができる
としていますね。。。

|

« 欧州 EDPB ガイドライン03/2022 ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザインパターン:その認識と回避方法について | Main | 中国 個人情報越境移転標準契約弁法 (2023.02.24) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州 EDPB ガイドライン03/2022 ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザインパターン:その認識と回避方法について | Main | 中国 個人情報越境移転標準契約弁法 (2023.02.24) »