米国 CISA 大統領令第14117号「懸念国による大量の機微個人データ及び米国政府関連データへのアクセスの防止」による制限取引についてのセキュリティ要件案

こんにちは、丸山満彦です。

今年の2月末に公表された、大統領令第14117号「懸念国による大量の機微個人データ及び米国政府関連データへのアクセスの防止」の制限取引についてセキュリティ要件案が公表され、意見募集されていますね...

大統領令第14117号「懸念国による大量の機微個人データ及び米国政府関連データへのアクセスの防止」は、米国民の大量の機微な個人データや米国政府関連のデータについて、懸念国（中国、イラン、ロシア、北朝鮮）政府によるアクセスが、米国の国家安全保障に容認できないリスクをもたらす場合に制限を行うものです。。。大統領令に従って司法省が策定した規則案に従って指定された制限取引についてのセキュリティ案をCISAがつくったということになるのでしょうかね...

基本はデータの自由な流通、いわゆるDFFTの考え方が原則で、懸念国への大量の機微個人データ及び政府関連データへの流通の制限は、あくまでも例外という理解は重要なのだろうと思います...

 

● CISA

・2024.10.21 Proposed Security Requirements for Restricted Transactions

 

Proposed Security Requirements for Restricted Transactions	制限取引に関するセキュリティ要件案
Pursuant To Exec. Order 14117, Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern	大統領令第14117号「懸念国による大量の機微個人データ及び米国政府関連データへのアクセスの防止」に従う。
On February 28, 2024, President Biden signed Executive Order 14117, Preventing Access to Americans’ Bulk Sensitive Personal Data and U.S. Government-Related Data by Countries of Concern, to address national-security and foreign-policy threats that arise when countries of concern and covered persons can access bulk U.S. sensitive personal data or government-related data that may be implicated by the categories of restricted transactions. As directed by E.O. 14117, CISA has developed proposed security requirements to apply to classes of restricted transactions identified in regulations issued by the Department of Justice (DOJ).	2024年2月28日、バイデン大統領は大統領令14117号：懸念国による大量の機微個人データ及び米国政府関連データへのアクセスの防止に署名し、懸念国や対象者が、制限された取引のカテゴリーに関与する可能性のある米国の機微な個人データや政府関連データに大量にアクセスできる場合に生じる国家安全保障や外交政策の脅威に対処した。 E.O.14117の指示に従い、CISAは司法省（DOJ）が発行した規制で特定された制限取引のクラスに適用するセキュリティ要件案を作成した。

 

・[PDF]

 

PROPOSED SECURITY REQUIREMENTS FOR RESTRICTED TRANSACTIONS	制限取引のための提案されたセキュリティ要件
Pursuant to Exec. Order 14117, Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern	大統領令14117号「懸念国による大量の機微個人データ及び米国政府関連データへのアクセスの防止」に従う。
On February 28, 2024, President Biden signed Executive Order 14117, Preventing Access to Americans’ Bulk Sensitive Personal Data and U.S. Government-Related Data by Countries of Concern, to address national-security and foreign-policy threats that arise when countries of concern and covered persons can access bulk U.S. sensitive personal data or government-related data that may be implicated by the categories of restricted transactions.	2024年2月28日、バイデン大統領は大統領令14117「懸念国による大量の機微個人データ及び米国政府関連データへのアクセスの防止」に署名し、懸念国及び対象者が、制限された取引のカテゴリーに関 与する可能性のある米国の一括機微個人データ又は政府関連データにアクセスできる場合に生じる国家安全 保障及び外交政策上の脅威に対処した。
As directed by E.O. 14117, CISA has developed the following security requirements to apply to classes of restricted transactions identified in regulations issued by the Department of Justice (DOJ). See generally 28 C.F.R. part 202 (identifying classes of restricted transactions at 28 C.F.R. § 202.401).	E.O.14117の指示に従い、CISAは司法省（DOJ）が発行した規制で特定された制限取引のクラスに適用するため、以下のセキュリティ要件を策定した。一般連邦規則集第28編第202条（連邦規則集第28編第202.401条で制限取引のクラスを識別）を参照のこと。
BACKGROUND	背景
The security requirements are designed to mitigate the risk of sharing bulk U.S. sensitive personal data or U.S. government-related data with countries of concern or covered persons through restricted transactions.[1] They do this by imposing conditions specifically on the covered data, as defined below, that may be shared as part of a restricted transaction; on the covered systems, as defined below, more broadly; and on the organization as a whole. While the requirements on covered systems and on an organization’s governance of those systems apply more broadly than to the data at issue and the restricted transaction itself, CISA assesses that implementation of these requirements is necessary to validate that the organization has the technical capability and sufficient governance structure to appropriately select, successfully implement, and continue to apply the covered data-level security requirements in a way that addresses the risks identified by DOJ for the restricted transactions. For example, to ensure and validate that a covered system denies covered persons access to covered data, it is necessary to maintain audit logs of such accesses as well as organizational processes to utilize those logs. Similarly, it is necessary for an organization to develop identity management processes and systems to establish an understanding of what persons may have access to different data sets.	セキュリティ要件は、大量の米国の機微な個人データまたは米国政府関連データを、制限付きトランザクショ ンを通じて懸念国または対象者と共有するリスクを軽減するように設計されている[1]。セキュリティ要件 は、制限付きトランザクションの一部として共有される可能性のある以下に定義する対象データ、以下に定義す る対象システム、および組織全体に対して具体的な条件を課すことによって、これを実現している。対象システム及びそれらのシステムに関する組織のガバナンスに関する要件は、問題となっているデータ及び制限付きトランザクション自体よりも広範に適用されるが、CISAは、組織が、制限付きトランザクションについてDOJが特定したリスクに対処する方法で、対象データレベルのセキュリティ要件を適切に選択し、成功裏に実施し、継続して適用するための技術的能力及び十分なガバナンス構造を有していることを妥当性確認するために、これらの要件の実施が必要であるとアセスメントしている。例えば、対象システムが対象個人データへのアクセスを拒否していることを確実にし、妥当性を確認するためには、そのようなアクセスの監査ログを維持するとともに、それらのログを利用する組織的プロセスが必要である。同様に、組織が ID 管理プロセスおよびシステムを開発し、どのような個人がさまざまなデータ セットにアクセスできるかを理解することが必要である。
In addition to requirements on covered systems, applying security requirements on the covered data itself that may be accessed in a restricted transaction is also necessary to address the risks. The specific requirements that are most technologically and logistically appropriate for different types of restricted transactions may vary. For example, some transactions may be amenable to approaches that minimize data or process it in such a way that does not reveal covered data to covered persons. In other cases, techniques such as access control and encryption may be more appropriate to deny any access by covered persons to covered data. The security requirements contemplate multiple options to minimize the risk to covered data, though all of the options build upon the foundation of the requirements imposed on covered systems and the organization as a whole. While U.S. persons engaging in restricted transactions must implement all of the organizational- and covered-system level requirements, such persons will have some flexibility in determining which combination of data-level requirements are sufficient to address the risks posed, based on the nature of the transaction, so long as the combination of security mechanisms deployed fully and effectively prevents access to covered data by covered persons. If a combination of security mechanisms proves to be insufficient to prevent access to covered data by covered persons, those security mechanisms will be considered invalid in protecting future access to covered data by covered persons.	リスクに対処するためには、対象システムに対する要件に加えて、制限されたトランザクショ ンでアクセスされる可能性のある対象データ自体に対するセキュリティ要件を適用することも必 要である。制限取引の種類によって、技術的・論理的に最も適切な具体的要件は異なるかもしれない。例えば、取引によっては、データを最小化したり、対象データが対象者に知られないような方法で処理したりするアプローチが適用可能な場合がある。また、アクセス管理や暗号化のような技法が、個人データへのアクセスを拒否するのに適している場合もある。セキュリティ要件は、対象データに対するリスクを最小化するための複数の選択肢を想定しているが、すべての選択肢は、対象システムおよび組織全体に課された要件の基礎の上に構築されている。制限された取引を行う米国個人は、組織レベル及び対象システムレベルの要求事項のすべてを実施しなければならないが、そのような個人は、導入されたセキュリティの仕組みの組み合わせが対象者による対象データへのアクセスを完全かつ効果的に防止する限り、取引の性質に基づき、提起されたリスクに対処するためにどのデータレベルの要求事項の組み合わせが十分であるかをある程度柔軟に決定することができる。セキュリティの仕組みの組み合わせが、対象者による対象データへのアクセスを防止するのに不十分であることが判明した場合、それらのセキュリティの仕組みは、対象者による対象データへの将来的なアクセスを保護する上で無効であるとみなされる。
IN GENERAL	概要
The security requirements provide the organizational- and covered system-level requirements (Section I) and covered data-level requirements (Section II) which U.S. persons engaging in restricted transactions must meet. These security requirements are in addition to any compliance-related conditions imposed in applicable DOJ regulations. See 28 C.F.R. §202.1001—202.1201. References below to the National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF),[2] NIST Privacy Framework (PF),[3] and CISA’s Cross-Sector Cybersecurity Performance Goals (CPGs)[4] are intended to help the reader understand which aspects of existing frameworks, guidance, or other resources these security requirements are based upon, consistent with the requirements of the EO. Understanding and applying these security requirements does not require a reader to also understand and apply the referenced resources.	セキュリティ要件は、制限された取引に従事する米国人が満たさなければならない組織及び対象シス テムレベルの要件（セクションI）及び対象データレベルの要件（セクションII）を提供する。これらのセキュリ ティ要件は、適用される司法省規則において課されるコンプライアンス関連の条件に追加される。連邦規則集第 28 編第 202.1001 条～第 202.1201 条を参照のこと。以下の国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク（CSF）[2]、NIST のプライバシーフレームワーク（PF）[3]、および CISA のクロスセクター・サイバーセキュリティ・パフォーマンス・ゴール（CPGs）[4]への言及は、これらのセキュリティ要件が既存のフレームワーク、ガイダンス、またはその他のリソースのどの側面に基づいているのかを、EO の要件と一致するように読者が理解できるようにすることを意図している。これらのセキュリティ要件 を理解し適用することは、読者が参照されたリソースも理解し適用することを必要としない。
DEFINITIONS	定義
To the extent these proposed security requirements use a term already defined in DOJ’s regulation, see 28 C.F.R. § 202.201-202.259, CISA’s use of that term below carries the same meaning.	本セキュリティ要件案がDOJの規則（連邦規則集第28編第202.201条～第202.259条参照）で既に定義されている用語を使用する限り、CISAによる以下の用語の使用も同じ意味を持つ。
For the purpose of these security requirements:	本セキュリティ要件の目的上、以下のとおりとする：
• Asset means data, personnel, devices, systems, and facilities that enable the organization to achieve business purposes.	- 資産とは、組織が事業目的を達成することを可能にするデータ、人員、装置、システム、及び施設をいう。
• Covered data means bulk U.S. sensitive personal data or government-related data.	- 対象データとは、米国民の大量の機微な個人データまたは政府関連データをいう。
• Covered system means an information system used to obtain, read, copy, decrypt, edit, divert, release, affect, alter the state of, view, receive, collect, process, maintain, use, share, disseminate, or dispose of covered data as part of a restricted transaction, regardless of whether the data is encrypted, anonymized, pseudonymized, or de-identified.	- 対象システムとは、データが暗号化、匿名化、仮名化、非識別化されているか否かにかかわらず、 制限された取引の一部として、対象データを取得、読み取り、コピー、復号化、編集、転用、解放、 影響、状態の変更、閲覧、受信、収集、処理、維持、使用、共有、配布、または廃棄するために 使用される情報システムをいう。
• Information system means a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information.	- 情報システムとは、情報の収集、処理、保守、使用、共有、配布または処分のために組織された情報資源の個別 の集合をいう。
• Network means a system of interconnected components, which may include routers, hubs, cabling, telecommunications controllers, key distribution centers, and technical control devices.	- ネットワークとは、相互接続された構成要素のシステムをいい、ルータ、ハブ、ケーブル、電気通信コ ントローラ、鍵配布センター、技術制御装置などが含まれる。
SECURITY REQUIREMENTS	セキュリティ要件
I. Organizational- and System-Level Requirements. For any covered system:	I. 組織レベルおよびシステムレベルの要件。対象となるシステムについて
A. Ensure basic organizational cybersecurity policies, practices, and requirements, including all of the following, are in place:	A. 以下のすべてを含む、基本的な組織のサイバーセキュリティポリシー、プラクティス、および要件が実施されていることを確認する。
1. Identify, prioritize, document all assets of the covered system.	1. 対象システムのすべての資産を識別し、優先順位を付け、文書化する。
a. Maintain a regularly updated inventory of covered system assets with each system’s respective internet protocol (IP) address (including IPv6). For hardware, this should also include MAC address. (NIST CSF 2.0 ID.AM-01, CISA CPGs 1.A)	a. 対象システム資産のインベントリを定期的に更新し、各システムのインターネットプロトコル（IP）アドレス（IPv6 を含む）を維持する。ハードウェアについては、MAC アドレスも含める。(NIST CSF 2.0 ID.AM-01、CISA CPGs 1.A)
b. Ensure inventory is updated on a recurring basis, no less than monthly for Information Technology (IT) assets. (NIST CSF 2.0 ID.AM-08, CISA CPGs 1.A)	b. 情報技術（IT）資産については、インベントリが定期的に更新されるようにする。(NIST CSF 2.0 ID.AM-08、CISA CPG 1.A)
2. Designate, at an organizational level, an individual (e.g., a Chief Information Security Officer) responsible and accountable for (1) cybersecurity and (2) governance, risk, and compliance functions (GRC). This could be one individual responsible and accountable for both areas, or one individual for each of these two areas. (NIST CSF 2.0 GV.RR-02, CISA CPGs 1.B)	2. 組織レベルで、(1)サイバーセキュリティ機能及び(2)ガバナンス、リスク、コンプ ライアンス機能（GRC）に責任を有し、説明責任を負う個人（例えば、最高情報セ キュリティ責任者）を指名する。これは、両分野に責任と説明責任を持つ一人の個人であっても、これら 2 つの分野それぞれに責任を持つ一人の個人であってもよい。(NIST CSF 2.0 GV.RR-02, CISA CPGs 1.B)
3. Remediate known exploited vulnerabilities (KEVs) within 14 calendar days; other vulnerabilities (those not known to be exploited) must be remediated within 15 calendar days if deemed critical severity, or 30 calendar days if deemed high severity. (NIST CSF 2.0 ID.RA-01 and 08 CISA CPGs 1.E)	3. その他の脆弱性（悪用されることが判明していない脆弱性）は、重要度が高いと判断された場合は 15 日以内に、重要度が高いと判断された場合は 30 日以内に是正しなければならない。(NIST CSF 2.0 ID.RA-01 及び 08 CISA CPGs 1.E)
a. Should patching not be feasible, alternative compensating requirements must be implemented.	a. パッチを適用することが実行不可能な場合は、代替の代替要件を実施しなければならない。
b. U.S. persons engaging in restricted transactions must document all mitigation measures (patch or compensating requirement) that are implemented.	b. 制限付取引に従事する米国人は、実施したすべての低減措置（パッチまたは代替要件）を文書化しなけ ればならない。
4. Document and maintain all vendor/supplier agreements for covered systems (e.g., third-party network connection agreements), including contractual IT and cybersecurity requirements. (NIST CSF 2.0 GV.SC-05, 06, 07, 10, CISA CPGs 1.G, 1.H, 1.I)	4. 契約上の IT 要件及びサイバーセキュリティ要件を含む、対象システムのすべてのベンダ／サプラ イヤ契約（サードパーティ・ネットワーク接続契約など）を文書化し、維持する。(NIST CSF 2.0 GV.SC-05、06、07、10、CISA CPG 1.G、1.H、1.I)
5. Develop and maintain an accurate network topology of the covered system and, to the maximum extent practicable, any network interfacing with a covered system to facilitate visibility into connections between assets, and aid in timely identification of and response to incidents. (NIST CSF 2.0 ID.AM-03, CISA CPGs 2.P)	5. 資産間の接続を可視化し、インシデントのタイムリーな特定と対応を支援するために、対象シス テムの正確なネットワーク・トポロジーを作成し、維持する。(NIST CSF 2.0 ID.AM-03, CISA CPGs 2.P)
6. Adopt and implement an administrative policy that includes a manual or automated process that requires approval before new hardware, firmware, or software/software version is installed or deployed in a covered system. (NIST CSF 2.0 GV.PO-02, ID.RA-09, ID.AM-08, PR.PS-01, 02, 03, CISA CPGs 2.Q)	6. 新しいハードウェア、ファームウェア、またはソフトウェア／ソフトウェアのバージョンを対象シス テムにインストールまたは展開する前に、承認を必要とする手動または自動プロセスを含む管理ポ リシーを採用し、実施する。(NIST CSF 2.0 GV.PO-02、ID.RA-09、ID.AM-08、PR.PS-01、02、03、CISA CPGs 2.Q)
a. U.S. persons engaging in restricted transactions must maintain a risk-informed allowlist of approved hardware, firmware, and software for covered systems.	a. 制限付取引に従事する米国人は、対象システムに関して、承認されたハードウェア、ファームウェア、ソ フトウェアのリスク情報付き許可リストを維持しなければならない。
b. The risk-informed allowlist must include specification of approved versions, for covered systems.	b. リスク情報付き許可リストには、対象システムに関して、承認されたバージョンの仕様を含めな ければならない。
7. Develop and maintain incident response plan(s) applicable to covered systems, which should be reviewed annually and updated as appropriate. (NIST CSF 2.0 ID.IM-04, CISA CPGs 2.S, 5.A)	7. 対象システムに適用されるインシデント対応計画を策定し、維持する。(NIST CSF 2.0 ID.IM-04、CISA CPGs 2.S、5.A)
B. Implement logical and physical access controls to prevent covered persons or countries of concern from gaining access to covered data, in any form, including through information systems, cloud-computing platforms, networks, security systems, equipment, or software. (NIST CSF 2.0 PR.AA-01 through PR.AA06) Specifically, U.S. persons engaging in restricted transactions must:	B. 情報システム、クラウド・コンピューティング・プラットフォーム、ネットワーク、セキュリ ティシステム、機器、ソフトウェアを含め、いかなる形であれ、対象個人または懸念国 が対象データにアクセスできないように、論理的および物理的なアクセス管理を実施する。(NIST CSF 2.0 PR.AA-01～PR.AA-06）具体的には、制限された取引に従事する米国人は、以下 を実施しなければならない：
1. Enforce multifactor authentication (MFA) on all covered systems, or in instances where MFA is not feasible, require passwords have sufficient strength, including sufficient length of 16 or more characters. (NIST CSF 2.0 PR.AA-03, PR.AA-04, CISA CPGs 2.B, 2.H)	1. すべての対象システムで多要素認証（MFA）を強制するか、MFA が実行不可能な場合は、 16 文字以上の十分な長さを含む十分な強度のパスワードを要求する。(NIST CSF 2.0 PR.AA-03、PR.AA-04、CISA CPG 2.B、2.H)
2. Immediately revoke, upon termination or change in roles for any individual with authorized access to covered system(s), any credentials assigned to that individual. (NIST CSF 2.0 GV.RR-04, PR.AA-01, & PR.AA-04, CISA CPGs 2.D)	2. 対象システムへの認可されたアクセスを持つ個人の役割が終了または変更された場合、その個人に割 り当てられた資格情報を直ちに失効させる。(NIST CSF 2.0 GV.RR-04、PR.AA-01、及び PR.AA-04、CISA CPG 2.D)
3. Collect logs for covered systems pertaining to access- and security-focused events (e.g., intrusion detection systems/intrusion prevention systems, firewall, data loss prevention, virtual private network, and detection of unsuccessful login events), and store such logs for use in both detection and incident response activities (e.g., forensics to assist in detection, response, and recovery). Notify cybersecurity personnel when a critical log source, such as an operating system event logging tool, is disabled. (NIST CSF 2.0 PR.PS-04, & DE.CM-03, and 09, CISA CPGs 2.T, 2.U)	3. アクセス及びセキュリティに焦点を当てたイベント（侵入検知システム／侵入防止システム、ファイア ウォール、データ損失防止、仮想プライベートネットワーク、ログイン失敗イベントの検知な ど）に関連する対象システムのログを収集し、検知及びインシデント対応活動（検知、対応、及び回 復を支援するフォレンジックなど）の両方で使用するために当該ログを保管する。オペレーティング・システムのイベント・ロギング・ツールなどの重要なログ・ソースが無効化 された場合に、サイバーセキュリティ要員に通知する。(NIST CSF 2.0 PR.PS-04、及び DE.CM-03、及び 09、CISA CPGs 2.T、2.U)
a. Securely store collected logs in a central system, such as a security information and event management tool or central database, for at a minimum 12 months. In the event of a data breach or a violation of these security requirements, logs should be maintained until final resolution of the matter by the U.S. Government.	a.収集したログを、セキュリティ情報・イベント管理ツールまたは中央データベースな どの中央システムに、少なくとも 12 カ月間安全に保管する。データ侵害または本セキュリティ要件違反が発生した場合、ログは、米国政府による最終的な解決まで維持されるべきである。
b. Ensure that collected logs may only be accessed or modified by authorized and authenticated users.	b. 収集したログは、認可され認証されたユーザのみがアクセスまたは変更できるようにする。
4. Maintain organizational policies and processes to ensure that unauthorized media and hardware are not connected to covered assets, such as by limiting use of Universal Serial Bus (USB) devices and removable media or disabling AutoRun. (NIST CSF 2.0 PR.DS-01, PR.AA-06, & GV.PO-01, CISA CPGs 2.V)	4. ユニバーサル・シリアル・バス（USB）デバイスやリムーバブル・メディアの使用を制限したり、自動 実行を無効にするなど、未承認のメディアやハードウェアが対象資産に接続されないようにするため の組織のポリシーおよびプロセスを維持する。(NIST CSF 2.0 PR.DS-01、PR.AA-06、及び GV.PO-01、CISA CPGs 2.V)
5. Implement configurations to deny by default all connections to covered systems and any network on which covered systems reside, unless connections are explicitly allowed for specific system functionality. (NIST CSF 2.0 PR.PS-01)	5. 特定のシステム機能に対して明示的に接続が許可されている場合を除き、対象システムおよび対象シス テムが存在するネットワークへのすべての接続をデフォルトで拒否する機能を実装する。(NIST CSF 2.0 PR.PS-01)
6. Issue and manage, at an organizational level, identities and credentials for authorized users, services, and hardware, with sufficient attributes available to prevent access of covered data by covered persons or countries of concern. Limit system access to the types of transactions and functions that authorized users are permitted to execute. (NIST CSF 2.0 PR.AA-05, CISA CPGs 2.C)	6. 組織レベルで、認可されたユーザ、サービス、ハードウェアの ID および資格情報を発行し、管理 する。この ID および資格情報は、対象者または懸念国による対象データへのアクセスを防止するために十 分な属性が利用できるようにする。システム・アクセスを、認可ユーザが実行を許可された種類のトランザクションおよび機能に制限する。(NIST CSF 2.0 PR.AA-05、CISA CPGs 2.C)
C. Conduct and document a data risk assessment that evaluates whether and how the overall approach selected and implemented pursuant to section II sufficiently prevents access to covered data by covered persons and/or countries of concern, taking into consideration the likelihood of disclosure and the likelihood of harm based on the nature of the transaction and the data at issue, to include potential data misuse and associated consequences. The risk assessment shall include a mitigation strategy outlining how implementation will prevent access to covered data by covered persons and/or countries of concern. The risk assessment should be reviewed annually and updated as appropriate. (NIST Privacy Framework ID.RA-P1, NIST Privacy Framework ID.RA-P3, NIST Privacy Framework ID.RA-P4, NIST Privacy Framework ID.RA-P5)	C. セクション II に従って選択され、実施される全体的なアプローチが、対象者及び／又は懸念国 による対象データへのアクセスを十分に防止しているかどうか、及びどのように防止してい るかを評価するデータリスクアセスメントを実施し、文書化する。その際、潜在的なデ ータの誤用及び関連する結果を含め、取引の性質及び問題となっているデータに基づ く開示の可能性及び危害の可能性を考慮する。リスクアセスメントには、対象者及び／又は懸念国による対象データへのアクセス をどのように防止するかを概説する低減戦略を含むものとする。リスクアセスメントは毎年見直され、必要に応じて更新されなければならない。(NIST プライバシーフレームワーク ID.RA-P1、NIST プライバシーフレームワーク ID.RA-P3、 NIST プライバシーフレームワーク ID.RA-P4、NIST プライバシーフレームワーク ID.RA-P5）
II. Data-Level Requirements. For any restricted transaction, implement a combination of the following mitigations that, taken together, is sufficient to fully and effectively prevent access to covered data by covered persons and/or countries of concern, consistent with the data risk assessment described in section I.C:	II. データレベルの要件 制限された取引について、I.C.項に記載されたデータリスクアセスメントと整合する、対象者及 び／又は懸念国による対象データへのアクセスを完全かつ効果的に防止するのに十分な、以下 の軽減策の組み合わせを実施する。
A. Apply data minimization and data masking strategies to reduce the need to collect, or sufficiently obfuscate, respectively, covered data to prevent visibility into that data, without precluding the U.S. persons engaging in restricted transactions from conducting operations with the data. These strategies must include:	A. データ最小化及びデータマスキング戦略を適用し、制限された取引に従事する米国人による当該 データを用いた業務の実施を妨げることなく、対象データを収集する必要性を低減するか、又は 当該データへの可視性を防止するために、それぞれ対象データを十分に難読化する。これらの戦略には以下が含まれなければならない：
1. Maintaining and implementing a written data retention and deletion policy, to be reviewed annually and updated as appropriate. (NIST Privacy Framework GV.PO-P1, CT.PO-P2)	1. 文書化されたデータ保持及び削除方針を維持し、実施する。(NISTプライバシー・フレームワークGV.PO-P1、CT.PO-P2)
2. Processing data in such a way to either render it no longer covered data or minimize the linkability to U.S. person entities before it is subject to access by a covered person or country of concern. (NIST Privacy Framework CT.DP-P2)	2. 対象者又は懸念国からのアクセス対象となる前に、対象データでなくするか、又は米国個人事業 体との連結可能性を最小化するような方法でデータを処理すること。(NIST プライバシーフレームワーク CT.DP-P2)
a. This may be achieved through application of techniques such as aggregation, pseudonymization, de-identification, or anonymization.	a. これは、集約、仮名化、非識別化、匿名化などの技術の適用によって達成される。
b. When implemented, observability and linkability of data must be minimized to ensure U.S. person identities cannot be inferred or extrapolated from the individual data set at issue or in combination with other data sets the recipient or recipient-linked organizations are known to hold.	b.実施される場合、データの観測可能性および連結可能性は、問題となっている個々のデータセットから、あるいは取得者または取得者と連結する組織が保有することが知られている他のデータセットとの組み合わせから、米国人の身元が推論または推定されないことを確実にするために、最小限に抑えられなければならない。
c. Aggregations of covered data shall be based on at least the number of records required to render the data “bulk” under the regulations found at 28 C.F.R. § 202.205.	c. 対象データの集計は、連邦規則集第 28 編第 202.205 条に規定される規則に基づき、デー タを「大量」とするために必要なレコード数に基づいて行われるものとする。
3. Information systems that implement such processing are covered systems subject to the requirements of Section I. (NIST Privacy Framework CT.DP-P4, CM.AW-P3, GV.PO-P2)	3. このような処理を実施する情報システムは、セクションⅠの要件に従う対象システムである。（NISTプライバシー・フレームワークCT.DP-P4、CM.AW-P3、GV.PO-P2）
B. Apply encryption techniques to protect covered data during the course of restricted transactions. These techniques must include:	B. 制限されたトランザクションの間、対象データを保護するために暗号化技術を適用する。これらの技術には以下が含まれなければならない：
1. Comprehensive Encryption: Encrypt covered data in a restricted transaction, regardless of type, during transit and storage using industry-standard encryption. (NIST Privacy Framework CT.DP-P1, PR.DS-P1, PR.DS-P2, CISA CPGs 2.K)	1. 包括的な暗号化： 包括的な暗号化：制限付きトランザクションの対象データは、その種類にかかわらず、業界標準の 暗号化を使用して、輸送中および保管中に暗号化される。(NIST Privacy Framework CT.DP-P1、PR.DS-P1、PR.DS-P2、CISA CPGs 2.K)
2. Transport Layer Security (TLS): Transmit covered data in a restricted transaction over the Internet only using Transport Security Layer (TLS) 1.2 or higher protocols. (NIST Privacy Framework CT.DP-P1 & PR.DS-P2, CISA CPGs 2.K)	2. トランスポート・レイヤー・セキュリティ(TLS)： トランスポート・セキュリティ・レイヤー（TLS）1.2 またはそれ以上のプロトコルを使用する。(NIST Privacy Framework CT.DP-P1 & PR.DS-P2, CISA CPGs 2.K)
3. Key Management: Generate and securely manage cryptographic keys used to encrypt covered data, including the following practices: (NIST Privacy Framework CT.DP-P1 & PR.DS-P2, CISA CPGs 2.L)	3. 鍵管理： 鍵管理：対象データの暗号化に使用される暗号鍵を生成し、安全に管理する。（NIST Privacy Framework CT.DP-P1 & PR.DS-P2、CISA CPGs 2.L）
a. Do not co-locate encryption keys with covered data.	a. 暗号鍵を対象データと同居させない。
b. Do not store encryption keys, via any mechanism (physically or virtually), in a country of concern.	b. いかなるメカニズム（物理的または仮想的）を用いても、暗号鍵を懸念国に保管しない。
c. Covered persons shall not be authorized to have access to encryption keys.	c. 対象者は、暗号化鍵へのアクセスを認可されないものとする。
d. All information systems responsible for the storage of and access to encryption keys shall be considered covered systems subject to the requirements of Section I.	d. 暗号化鍵の保管および暗号化鍵へのアクセスに責任を負うすべての情報システムは、セクション I の要件に従う対象システムとみなされるものとする。
C. Apply privacy enhancing technologies, such as privacy preserving computation (e.g., homomorphic encryption), or differential privacy techniques (e.g., inject sufficient noise into processing of data to preclude the reconstruction of covered data from the processed data), to process covered data. Use of such techniques are subject to the following:	C. プライバシー保持計算（例えば、ホモモーフィック暗号化）などのプライバシー強化技術を適用する、 C.プライバシーを保護する計算（準同型暗号など）、または差分プライバシー技術（処理されたデータから対象データの再構築ができないよう、データ処理に十分なノイズを注入するなど）を、対象データの処理に適用する。このような技術の使用は、以下の条件に従う：
1. The application of privacy enhancing technologies shall not reveal to covered persons participating in the restricted transaction covered data or information that could reasonably likely be used to reconstruct covered data, including by linking processed data with other data sets. (e.g., allowing a covered person to participate in a privacy preserving computation that requires trusted parties would not be permissible).	1. プライバ シー向上技術の使用は、制限された取引に参加する対象個人に対して、処理されたデー タを他のデータセットとリンクさせることを含め、対象データを再構築するために合理的に 使用される可能性のある対象データ又は情報を明らかにしてはならない。(例えば、信頼された当事者を必要とするプライバシーを保護する計算に、対象者が参加することは許されない)。
2. For the avoidance of doubt, information systems that implement such processing are covered systems subject to the requirements of Section I. (NIST Privacy Framework CT.DP-P1)	2. 疑義を避けるために、そのような処理を実装する情報システムは、セクション I の要件に従う対象システムである。（NIST プライバシーフレームワーク CT.DP-P1）
D. Configure the previously outlined identity and access management techniques to deny authorized access to covered data by covered persons and countries of concern within all covered systems. (NIST Privacy Framework PR.AC-P4)	D. すべての対象システム内で、対象個人および懸念国による対象データへの認可されたアクセスを拒否するために、先に概説した ID およびアクセス管理技術を構成する。(NIST プライバシー・フレームワーク PR.AC-P4)

 

[1] CISA notes that these security requirements are, as required by the E.O., designed to “address the unacceptable risk posed by restricted transactions, as identified by the Attorney General.” E.O. 14117 Sec. 2(d). They are not intended to reflect a comprehensive cybersecurity program. For example, several areas addressed in CISA’s Cross-Sector Cybersecurity Performance Goals (CPGs), available at [web] , are not reflected in the data security requirements, even though the CPGs themselves are a common set of protections that CISA recommends all critical infrastructure entities voluntarily implement to meaningfully reduce the likelihood and impact of known risks and adversary techniques. As the operational lead for federal cybersecurity and national coordinator for critical infrastructure security and resilience, CISA recommends that all U.S. persons implement cybersecurity best practices in light of the risk and potential consequence of cyber events.	[1] CISA は、大統領令によって要求されているように、これらのセキュリティ要件が、「司法長官によ って特定された、制限取引によってもたらされる容認できないリスクに対処する」ために設計され ていることに留意する。E.O.14117第2項(d)である。これらは包括的なサイバーセキュリティ・プログラムを反映することを意図したものではない。例えば、[web] で入手可能な CISA の Cross-Sector Cybersecurity Performance Goals (CPGs) で取り上げられているいくつかの分野は、CPGs 自体が、既知のリスクや敵対的手法の可能性と影響を有意に低減するために、CISA がすべての重要インフラ事業体に自発的に実装することを推奨する共通の保護セットであるにもかかわらず、データセキュリティ要件には反映されていない。連邦政府のサイバーセキュリティの運用リーダーとして、また重要インフラのセキュリティとレジリエンスのための国家コーディネーターとして、CISAは、サイバー事象のリスクと潜在的な結果に照らして、すべての米国人がサイバーセキュリティのベストプラクティスを実施することを推奨している。
<[2] NIST, Cybersecurity Framework ver. 2.0, available at [web] .	[2] NIST、サイバーセキュリティ・フレームワーク ver. 2.0, [web] で入手できる。
[3] NIST, Privacy Framework ver. 1.0, available at https://www.nist.gov/privacy-framework.	[3] NIST, プライバシーフレームワーク ver. 1.0, https://www.nist.gov/privacy-framework で入手可能。
[4] CISA, Cross-Sector Cybersecurity Performance Goals, available at [web] .	<[4] CISA, Cross-Sector Cybersecurity Performance Goals, [web] で入手可能。

 

 

---

 

ところで、E.O. 14117を紹介するのを忘れていました...

時は、2024年2月28日...

プレス...

・2024.02.28 FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data

FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data	ファクトシート：バイデン大統領、米国人の機密個人データを保護する大統領令を発表
Today, President Biden will issue an Executive Order to protect Americans’ sensitive personal data from exploitation by countries of concern. The Executive Order, which marks the most significant executive action any President has ever taken to protect Americans’ data security, authorizes the Attorney General to prevent the large-scale transfer of Americans’ personal data to countries of concern and provides safeguards around other activities that can give those countries access to Americans’ sensitive data.	本日、バイデン大統領は、米国人の機密個人データを懸念国による搾取から保護する大統領令を発表する。この大統領令は、米国人のデータ・セキュリティを保護するために、これまでどの大統領も取ったことのない最も重要な行政措置であり、司法長官に米国人の個人データの懸念国への大規模な移転を防止する認可を与え、それらの国が米国人の機密データにアクセスできるようにするその他の活動に対する保護措置を提供する。
The President’s Executive Order focuses on Americans’ most personal and sensitive information, including genomic data, biometric data, personal health data, geolocation data, financial data, and certain kinds of personally identifiable information. Bad actors can use this data to track Americans (including military service members), pry into their personal lives, and pass that data on to other data brokers and foreign intelligence services. This data can enable intrusive surveillance, scams, blackmail, and other violations of privacy.	大統領令は、ゲノムデータ、生体データ、個人健康データ、位置情報データ、財務データ、個人を特定できる情報など、米国人の最も個人的でセンシティブな情報に焦点を当てている。悪質業者はこれらのデータを使って、アメリカ人（軍人を含む）を追跡し、個人生活を詮索し、そのデータを他のデータブローカーや外国の諜報機関に渡すことができる。このデータは、侵入的な監視、詐欺、恐喝、その他のプライバシー侵害を可能にする。
Companies are collecting more of Americans’ data than ever before, and it is often legally sold and resold through data brokers. Commercial data brokers and other companies can sell this data to countries of concern, or entities controlled by those countries, and it can land in the hands of foreign intelligence services, militaries, or companies controlled by foreign governments.	企業はかつてないほど多くのアメリカ人のデータを収集しており、それはしばしば合法的にデータブローカーを通じて販売・転売されている。政府系データブローカーやその他の企業は、このデータを懸念のある国やその国に支配された事業体に売ることができ、外国の諜報機関や軍隊、外国政府に支配された企業の手に渡ることもある。
The sale of Americans’ data raises significant privacy, counterintelligence, blackmail risks and other national security risks—especially for those in the military or national security community.  Countries of concern can also access Americans’ sensitive personal data to collect information on activists, academics, journalists, dissidents, political figures, and members of non-governmental organizations and marginalized communities to intimidate opponents of countries of concern, curb dissent, and limit Americans’ freedom of expression and other civil liberties.	アメリカ人のデータが売られることは、プライバシー、防諜、脅迫、その他の国家安全保障上のリスクを引き起こす。 特に軍事や国家安全保障に携わる人々にとってそうである。また、懸念国は米国人の機密個人データにアクセスし、活動家、学者、ジャーナリスト、反体制派、政治家、非政府組織や社会から疎外されたコミュニティのメンバーの情報を収集することで、懸念国の反対派を脅迫し、反対意見を抑制し、米国人の表現の自由やその他の市民的自由を制限することができる。
To protect Americans’ sensitive personal data, President Biden is directing:	米国人の機密個人データを保護するため、バイデン大統領は次のように指示する：
・The Department of Justice to issue regulations that establish clear protections for Americans’ sensitive personal data from access and exploitation by countries of concern. These protections will extend to genomic data, biometric data, personal health data, geolocation data, financial data, and certain kinds of personal identifiers. They will prevent the large-scale transfer of that data to countries of concern—which have a track record of collecting and misusing data on Americans.	・司法省は、懸念国によるアクセスや悪用から米国人の機密個人データを保護するための明確な防御を確立する規制を発行する。これらの防御は、ゲノムデータ、生体データ、個人健康データ、地理位置データ、金融データ、およびある種の個人識別データに及ぶ。これらのデータは、米国人のデータを収集し悪用してきた実績のある懸念国への大規模な移転を防止する。
・The Department of Justice to issue regulations that establish greater protection of sensitive government-related data, including geolocation information on sensitive government sites and information about military members.	・司法省は、機密性の高い政府サイトの位置情報や軍人の情報など、政府関連の機密データの保護を強化する規制を制定する。
・The Departments of Justice and Homeland Security to work together to set high security standards to prevent access by countries of concern to Americans’ data through other commercial means, such as data available via investment, vendor, and employment relationships.	・司法省と国土安全保障省は、投資、ベンダー、雇用関係を通じて入手できるデータなど、その他の商業的手段を通じて、懸念国による米国人のデータへのアクセスを防止するための高いセキュリティ標準を設定するために協力する。
・The Departments of Health and Human Services, Defense, and Veterans Affairs to help ensure that Federal grants, contracts, and awards are not used to facilitate access to Americans’ sensitive health data by countries of concern, including via companies located in the United States.	・保健福祉省、国防省、退役軍人省は、連邦補助金、契約、賞が、米国に所在する企業経由を含め、懸念国による米国人の機密健康データへのアクセスを促進するために使用されないようにする。
・The Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector (often called “Team Telecom”) to consider the threats to Americans’ sensitive personal data in its reviews of submarine cable licenses.	・米国電気通信サービス部門における外国企業の参入アセスメント委員会（しばしば「チーム・テレコム」と呼ばれる）は、海底ケーブル・ライセンスの審査において、米国人の機密個人データへの脅威を考慮する。
・That these activities do not stop the flow of information necessary for financial services activities or impose measures aimed at a broader decoupling of the substantial consumer, economic, scientific, and trade relationships that the United States has with other countries.	・これらの活動が、金融サービス活動に必要な情報の流れを止めたり、米国が他国と結んでいる実質的な消費者、経済、科学、貿易関係をより広範に切り離すことを目的とした措置を課すものではないこと。
These actions not only align with the U.S.’ longstanding support for the trusted free flow of data, but also are consistent with U.S.’ commitment to an open Internet with strong and effective protections for individuals’ privacy and measures to preserve governments’ abilities to enforce laws and advance policies in the public interest. The Administration will continue its engagements with stakeholders, including technology companies and advocates for privacy, safety, competition, labor, and human rights, to move forward in a way that appropriately balances all these objectives.	これらの措置は、信頼されたデータの自由な流れを支持する米国の長年の姿勢に沿うものであるだけでなく、個人のプライバシーを強力かつ効果的に保護し、政府が法律を執行し公共の利益のために政策を推進する能力を維持するための措置を備えた、開かれたインターネットに対する米国のコミットメントにも合致するものである。政権は、テクノロジー企業やプライバシー、安全性、競争、労働、人権を擁護する団体を含む利害関係者との関与を継続し、これらすべての目的を適切にバランスさせる方法で前進させる。
The President has encouraged the Consumer Financial Protection Bureau to consider taking steps, consistent with CFPB’s existing legal authorities, to protect Americans from data brokers that are illegally assembling and selling extremely sensitive data, including that of U.S. military personnel.	大統領は消費者金融保護局に対し、米軍関係者を含む極めて機密性の高いデータを違法に収集・販売しているデータブローカーから米国人を保護するため、CFPBの既存の法的権限に沿った措置を講じることを検討するよう促している。
Additionally, President Biden continues to urge Congress to do its part and pass comprehensive bipartisan privacy legislation, especially to protect the safety of our children.	さらにバイデン大統領は、特に子供たちの安全を守るため、超党派の包括的プライバシー保護法案を可決するよう、引き続き議会に働きかけている。

 

大統領令14117...

官報

● Federal Register

・2024.03.01 Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern

 

Executive Order 14117 of February 28, 2024	2024年2月28日付大統領令第14117号
Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern	懸念国による大量の機微個人データ及び米国政府関連データへのアクセスの防止
By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.) (IEEPA), the National Emergencies Act (50 U.S.C. 1601 et seq.) (NEA), and section 301 of title 3, United States Code ,	アメリカ合衆国憲法および国際緊急経済権限法（50 U. S. C. 1701 et se se）を含む米国法により、大統領として私に与えられた認可による。 国際緊急経済権限法（50 U.S.C. 1701 et seq.）（IEEPA）、国家緊急事態法（50 U.S.C. 1601 et seq.）（NEA）、および米国法典第3編第301条（
I, JOSEPH R. BIDEN JR., President of the United States of America, hereby expand the scope of the national emergency declared in Executive Order 13873 of May 15, 2019 (Securing the Information and Communications Technology and Services Supply Chain), and further addressed with additional measures in Executive Order 14034 of June 9, 2021 (Protecting Americans' Sensitive Data from Foreign Adversaries). The continuing effort of certain countries of concern to access Americans' sensitive personal data and United States Government-related data constitutes an unusual and extraordinary threat, which has its source in whole or substantial part outside the United States, to the national security and foreign policy of the United States. Access to Americans' bulk sensitive personal data or United States Government-related data increases the ability of countries of concern to engage in a wide range of malicious activities. Countries of concern can rely on advanced technologies, including artificial intelligence (AI), to analyze and manipulate bulk sensitive personal data to engage in espionage, influence, kinetic, or cyber operations or to identify other potential strategic advantages over the United States. Countries of concern can also use access to bulk data sets to fuel the creation and refinement of AI and other advanced technologies, thereby improving their ability to exploit the underlying data and exacerbating the national security and foreign policy threats. In addition, access to some categories of sensitive personal data linked to populations and locations associated with the Federal Government—including the military—regardless of volume, can be used to reveal insights about those populations and locations that threaten national security. The growing exploitation of Americans' sensitive personal data threatens the development of an international technology ecosystem that protects our security, privacy, and human rights.	私、JOSEPH R. BIDEN JR．米国大統領は、2019年5月15日の大統領令13873（情報通信技術およびサービスのサプライチェーンの保護）で宣言され、2021年6月9日の大統領令14034（外国敵対者からの米国人の機密データの防御）で追加措置が講じられた国家非常事態の範囲を拡大する。米国人の機密個人データおよび米国政府関連データにアクセスしようとする特定の懸念国の継続的な努力は、米国の国家安全保障および外交政策にとって、その出所の全部または大部分が米国外にある異常かつ並外れた脅威である。米国人の大量機密個人データまたは米国政府関連データへのアクセスは、懸念国が広範な悪意ある活動を行う能力を高める。懸念諸国は、人工知能（AI）を含む高度な技術に頼って、機密個人データを大量に分析・操作し、スパイ活動、影響力行使、運動作戦、サイバー作戦に従事したり、米国に対するその他の潜在的な戦略的優位性を特定したりすることができる。また、懸念される国々は、大量のデータセットへのアクセスを利用して、AIやその他の先端技術の創造と改良に拍車をかけ、それによって基礎となるデータを悪用する能力を改善し、国家安全保障と外交政策の脅威を悪化させる可能性がある。加えて、軍を含む連邦政府に関連する集団や場所に関連するいくつかのカテゴリーの機密個人データへのアクセスは、量に関係なく、国家安全保障を脅かすそれらの集団や場所に関する洞察を明らかにするために使用される可能性がある。米国人の機密個人データの悪用が拡大することは、我々の安全、プライバシー、人権を保護する国際的なテクノロジー・エコシステムの発展を脅かすものである。
Accordingly, to address this threat and to take further steps with respect to the national emergency declared in Executive Order 13873, it is hereby ordered that:	従って、この脅威に対処し、大統領令13873で宣言された国家非常事態に関してさらなる措置を講じるため、ここに命ずる：
Section 1 . Policy. It is the policy of the United States to restrict access by countries of concern to Americans' bulk sensitive personal data and United States Government-related data when such access would pose an unacceptable risk to the national security of the United States. At the same time, the United States continues to support open, global, interoperable, reliable, and secure flows of data across borders, as well as maintaining vital consumer, economic, scientific, and trade relationships that the United States has with other countries.	第1項．方針。そのようなアクセスが米国の国家安全保障に容認できないリスクをもたらす場合、懸念国による米国人の機密個人データおよび米国政府関連データへのアクセスを制限することは、米国の方針である。同時に米国は、国境を越えたオープン、グローバル、相互運用性、信頼性、安全なデータの流れを引き続き支持し、また米国が他国と築いている消費者、経済、科学、貿易の重要な関係を維持していく。
The continuing effort by countries of concern to access Americans' bulk sensitive personal data and United States Government-related data threatens the national security and foreign policy of the United States. Such countries' governments may seek to access and use sensitive personal data in a manner that is not in accordance with democratic values, safeguards for privacy, and other human rights and freedoms. Such countries' approach stands in sharp contrast to the practices of democracies with respect to sensitive personal data and principles reflected in the Organisation for Economic Co-operation and Development Declaration on Government Access to Personal Data Held by Private Sector Entities. Unrestricted transfers of Americans' bulk sensitive personal data and United States Government-related data to such countries of concern may therefore enable them to exploit such data for a variety of nefarious purposes, including to engage in malicious cyber-enabled activities. Countries of concern can use their access to Americans' bulk sensitive personal data and United States Government-related data to track and build profiles on United States individuals, including Federal employees and contractors, for illicit purposes, including blackmail and espionage. Access to Americans' bulk sensitive personal data and United States Government-related data by countries of concern through data brokerages, third-party vendor agreements, employment agreements, investment agreements, or other such arrangements poses particular and unacceptable risks to our national security given that these arrangements often can provide countries of concern with direct and unfettered access to Americans' bulk sensitive personal data. Countries of concern can use access to United States persons' bulk sensitive personal data and United States Government-related data to collect information on activists, academics, journalists, dissidents, political figures, or members of non-governmental organizations or marginalized communities in order to intimidate such persons; curb dissent or political opposition; otherwise limit freedoms of expression, peaceful assembly, or association; or enable other forms of suppression of civil liberties.	米国人の大量の機密個人データおよび米国政府関連データにアクセスしようとする懸念国による継続的な努力は、米国の国家安全保障および外交政策を脅かすものである。そのような国の政府は、民主主義的価値観、プライバシーの保護、その他の人権や自由に従わない方法で、機密個人データにアクセスし、利用しようとしている可能性がある。このような国のアプローチは、機密個人データに関する民主主義国の慣行や、「民間事業体が保有する個人データへの政府アクセスに関する経済協力開発機構（OECD）宣言」に反映されている原則とは対照的である。したがって、このような懸念国への米国人の機密個人データおよび米国政府関連データの無制限な移転は、悪意のあるサイバー活動を含むさまざまな悪意のある目的のために、そのようなデータを悪用することを可能にする可能性がある。懸念国は、米国人の一括機微個人データおよび米国政府関連データへのアクセスを利用して、脅迫やスパイ活動を含む不正な目的のために、連邦職員や請負業者を含む米国個人を追跡し、プロファイルを構築することができる。データ・ブローカー、サードパーティ・ベンダー契約、雇用契約、投資契約、またはその他のそのような取り決めを通じて、懸念国が米国人の一括機微個人データおよび米国政府関連データにアクセスすることは、これらの取り決めが多くの場合、懸念国に米国人の一括機微個人データへの直接かつ自由なアクセスを提供する可能性があることを考えると、わが国の国家安全保障に特別かつ容認できないリスクをもたらす。懸念国は、米国人の一括機微個人データおよび米国政府関連データへのアクセスを利用して、活動家、学者、ジャーナリスト、反体制派、政治家、非政府組織または社会から疎外されたコミュニティのメンバーに関する情報を収集し、そのような人物を脅迫したり、反対意見や政治的反対を抑制したり、表現、平和的集会、結社の自由を制限したり、その他の形で市民的自由の抑圧を可能にしたりすることができる。
This risk of access to Americans' bulk sensitive personal data and United States Government-related data is not limited to direct access by countries of concern. Entities owned by, and entities or individuals controlled by or subject to the jurisdiction or direction of, a country of concern may enable the government of a country of concern to indirectly access such data. For example, a country of concern may have cyber, national security, or intelligence laws that, without sufficient legal safeguards, obligate such entities and individuals to provide that country's intelligence services access to Americans' bulk sensitive personal data and United States Government-related data.	米国人の機密個人データおよび米国政府関連データへのアクセスのリスクは、懸念国による直接アクセスに限定されない。懸念国が所有する事業体、懸念国が管理する事業体または個人、あるいは懸念国の管轄権や指示に従う事業体または個人は、懸念国政府が間接的にかかるデータにアクセスすることを可能にする可能性がある。例えば、懸念国がサイバー法、国家安全保障法、または諜報関連法を有しており、十分な法的セーフガードなしに、そのような事業体や個人に、米国人の機密個人データおよび米国政府関連データへの大量アクセスをその国の諜報機関に提供する義務を負わせる可能性がある。
These risks may be exacerbated when countries of concern use bulk sensitive personal data to develop AI capabilities and algorithms that, in turn, enable the use of large datasets in increasingly sophisticated and effective ways to the detriment of United States national security. Countries of concern can use AI to target United States persons for espionage or blackmail by, for example, recognizing patterns across multiple unrelated datasets to identify potential individuals whose links to the Federal Government would be otherwise obscured in a single dataset.	こうしたリスクは、懸念国が大量の機密個人データを使用してAI機能やアルゴリズムを開発し、それが米国の国家安全保障を損なうような、ますます洗練された効果的な方法での大規模データセットの使用を可能にする場合、さらに悪化する可能性がある。懸念する国々は、AIを使って米国人をスパイや恐喝の標的にすることができる。例えば、無関係な複数のデータセットのパターンを認識し、単一のデータセットでは連邦政府とのつながりが不明瞭になるような潜在的な個人を特定することができる。
While aspects of this threat have been addressed in previous executive actions, such as Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended, additional steps need to be taken to address this threat.	この脅威の側面は、2015年4月1日の大統領令13694（重要な悪意あるサイバー脅威に関与する特定の人物の財産をブロックする）のようなこれまでの大統領令で対処されてきたが、この脅威に対処するためにはさらなる措置を講じる必要がある。
At the same time, the United States is committed to promoting an open, global, interoperable, reliable, and secure Internet; protecting human rights online and offline; supporting a vibrant, global economy by promoting cross-border data flows required to enable international commerce and trade; and facilitating open investment. To ensure that the United States continues to meet these important policy objectives, this order does not authorize the imposition of generalized data localization requirements to store Americans' bulk sensitive personal data or United States Government-related data within the United States or to locate computing facilities used to process Americans' bulk sensitive personal data or United States Government-related data within the United States. This order also does not broadly prohibit United States persons from conducting commercial transactions, including exchanging financial and other data as part of the sale of commercial goods and services, with entities and individuals located in or subject to the control, direction, or jurisdiction of countries of concern, or impose measures aimed at a broader decoupling of the substantial consumer, economic, scientific, and trade relationships that the United States has with other countries. In addition, my Administration has made commitments to increase public access to the results of taxpayer-funded scientific research, the sharing and interoperability of electronic health information, and patient access to their data. The national security restrictions established in this order are specific, carefully calibrated actions to minimize the risks associated with access to bulk sensitive personal data and United States Government-related data by countries of concern while minimizing disruption to commercial activity. This order shall be implemented consistent with these policy objectives, including by tailoring any regulations issued and actions taken pursuant to this order to address the national security threat posed by access to Americans' bulk sensitive personal data and United States Government-related data by countries of concern.	同時に米国は、オープンでグローバル、相互運用可能で信頼性が高く安全なインターネットの促進、オンラインとオフラインでの人権の保護、国際商取引と貿易を可能にするために必要な国境を越えたデータの流れの促進による活力あるグローバル経済の支援、オープンな投資の促進にコミットしている。米国がこれらの重要な政策目標を引き続き達成できるようにするため、本命令は、米国人の大量の機微な個人データまたは米国政府関連データを米国内に保管したり、米国人の大量の機微な個人データまたは米国政府関連データの処理に使用されるコンピューティング施設を米国内に設置したりするための、一般化されたデータローカリゼーション要件の認可を行わない。また、本命令は、米国人が、懸念国に所在する、あるいは懸念国の支配、指示、管轄下にある事業体や個人と、商業商品やサービスの販売の一環として金融その他のデータ交換を含む商取引を行うことを広く禁止するものではなく、米国が他国と結んでいる実質的な消費、経済、科学、貿易関係をより広範に切り離すことを目的とした措置を課すものでもない。さらに、私の政権は、税金が投入された科学研究の成果への一般公開、電子医療情報の共有と相互運用性、患者のデータへのアクセスを拡大することを公約してきた。本命令で定める国家セキュリティ制限は、商業活動への混乱を最小限に抑えつつ、懸念国による大量の機密個人データおよび米国政府関連データへのアクセスに関連するリスクを最小化するための、具体的かつ慎重に調整された措置である。本命令は、懸念国による米国人の大量機微個人データおよび米国政府関連データへのアクセスによってもたらされる国家セキュリティ上の脅威に対処するために、本命令に従って発行される規制および実施される措置を調整することを含め、これらの政策目的に沿って実施されるものとする。
Sec. 2 . Prohibited and Restricted Transactions. (a) To assist in addressing the national emergency described in this order, the Attorney General, in coordination with the Secretary of Homeland Security and in consultation with the heads of relevant agencies, shall issue, subject to public notice and comment, regulations that prohibit or otherwise restrict United States persons from engaging in any acquisition, holding, use, transfer, transportation, or exportation of, or dealing in, any property in which a foreign country or national thereof has any interest (transaction), where the transaction:	第2項. 禁止取引および制限取引 (a) 本命令に記載された国家的緊急事態への対処を支援するため、司法長官は、国土安全保障長官と連携し、関係省庁の長と協議の上、米国人が、外国またはその国民が何らかの利害関係を有する財産の取得、保有、使用、移転、輸送、輸出、または取引（取引）に従事することを禁止または制限する規制を、公告および意見公募に従って発出するものとする：
(i) involves bulk sensitive personal data or United States Government-related data, as further defined by regulations issued by the Attorney General pursuant to this section;	(i) 本項に従って司法長官が発行する規則によりさらに定義されるとおり、バルク機微個人データまたは米国政府関連データを含む。
(ii) is a member of a class of transactions that has been determined by the Attorney General, in regulations issued by the Attorney General pursuant to this section, to pose an unacceptable risk to the national security of the United States because the transactions may enable countries of concern or covered persons to access bulk sensitive personal data or United States Government-related data in a manner that contributes to the national emergency described in this order;	(ii) 司法長官が、本項に従って司法長官が発行する規則において、当該取引が、本命令に記載される国家緊急事態に寄与する形で、懸念国または対象人物がバルク機微個人データまたは米国政府関連データにアクセスすることを可能にする可能性があるため、米国の国家セキュリティに許容できないリスクをもたらすと判断した取引クラスの一員である；
(iii) was initiated, is pending, or will be completed after the effective date of the regulations issued by the Attorney General pursuant to this section;	(iii) 本節に従って司法長官が発行した規則の発効日以降に開始された、保留中である、または完了する予定である。
(iv) does not qualify for an exemption provided in, or is not authorized by a license issued pursuant to, the regulations issued by the Attorney General pursuant to this section; and	(iv) 本節に従って司法長官が発行した規則に規定された免除の資格を有していないか、またはこれに従って発行された認可によって認可されていない；
(v) is not, as defined by regulations issued by the Attorney General pursuant to this section, ordinarily incident to and part of the provision of financial services, including banking, capital markets, and financial insurance services, or required for compliance with any Federal statutory or regulatory requirements, including any regulations, guidance, or orders implementing those requirements.	(v) 銀行業務、資本市場業務、金融保険業務を含む金融サービスの提供に通常インシデントとして付随し、提供の一部である、または連邦法または規制要件（これらの要件を実施する規制、ガイダンス、命令を含む）を遵守するために必要でない。
(b) The Attorney General, in consultation with the heads of relevant agencies, is authorized to take such actions, including the promulgation of rules and regulations, and to employ all other powers granted to the President by IEEPA, as may be necessary or appropriate to carry out the purposes of this order. Executive departments and agencies (agencies) are directed to take all appropriate measures within their authority to implement the provisions of this order.	(b) 司法長官は、関係省庁の長と協議の上、本命令の目的を遂行するために必要または適切である場合には、規則や規制の公布を含む行動をとり、IEEPAによって大統領に付与された他のすべての権限を行使する認可を受ける。大統領令の規定を実施するため、各省庁は認可の範囲内であらゆる適切な措置をとるよう指示される。
(c) Within 180 days of the date of this order, the Attorney General, in coordination with the Secretary of Homeland Security, and in consultation with the heads of relevant agencies, shall publish the proposed rule described in subsection (a) of this section for notice and comment. This proposed rule shall:	(c) 本命令の日付から180日以内に、司法長官は、国土安全保障長官と連携し、関係省庁の長と協議の上、本節(a)項に記載された規則案を公表し、通知と意見を求めるものとする。この規則案は以下の通りである：
(i) identify classes of transactions that meet the criteria specified in subsection (a)(ii) of this section that are to be prohibited (prohibited transactions);	(i) 本項第(a)号(ii)記載の規準に合致する取引のうち、禁止される取引（禁止取引）を特定する；
(ii) identify classes of transactions that meet the criteria specified in subsection (a)(ii) of this section and for which the Attorney General determines that security requirements established by the Secretary of Homeland Security, through the Director of the Cybersecurity and Infrastructure Security Agency, in accordance with the process described in subsection (d) of this section, adequately mitigate the risk of access by countries of concern or covered persons to bulk sensitive personal data or United States Government-related data (restricted transactions);	(ii) 本項第(a)号(ii)に規定される規準を満たし、かつ、本項第(d)号に記載されるプロセスに従い、サイバーセキュリティ・インフラセキュリティ庁長官を通じて国土安全保障長官が定めるセキュリティ要件が、懸念国または対象者によるバルク機微個人データまたは米国政府関連データへのアクセスのリスクを適切に軽減すると司法長官が判断する取引のクラス（制限取引）を特定する；
(iii) identify, with the concurrence of the Secretary of State and the Secretary of Commerce, countries of concern and, as appropriate, classes of covered persons for the purposes of this order;	(iii) 国務長官および商務長官の同意を得て、本命令の目的のために、懸念国および必要に応じて対象者のクラスを特定する。
(iv) establish, as appropriate, mechanisms to provide additional clarity to persons affected by this order and any regulations implementing this order (including by designations of covered persons and licensing decisions);	(iv) 必要に応じて、本命令および本命令を実施する規制（対象者の指定および許可決定によるものを含む）の影響を受ける者にさらなる明確性を提供する仕組みを確立する；
(v) establish a process to issue (including to modify or rescind), in concurrence with the Secretary of State, the Secretary of Commerce, and the Secretary of Homeland Security, and in consultation with the heads of other relevant agencies, as appropriate, licenses authorizing transactions that would otherwise be prohibited transactions or restricted transactions;	(v) 国務長官、商務長官、および国土安全保障長官の同意の下、および必要に応じて他の関連省庁の長との協議の下、禁止取引または制限取引となる取引を認可するライセンスを発行（修正または取消を含む）するプロセスを確立する。
(vi) further define the terms identified in section 7 of this order and any other terms used in this order or any regulations implementing this order;	(vi) 本命令の第7項で特定される用語、および本命令または本命令を実施する規制で使用されるその他の用語をさらに定義する；
(vii) address, as appropriate, coordination with other United States Government entities, such as the Committee on Foreign Investment in the United States, the Office of Foreign Assets Control within the Department of the Treasury, the Bureau of Industry and Security within the Department of Commerce, and other entities implementing relevant programs, including those implementing Executive Order 13873; Executive Order 14034; and Executive Order 13913 of April 4, 2020 (Establishing the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector); and	(vii) 適切な場合には、対米外国投資委員会、財務省内の外国資産管理局、商務省内の産業安全保障局、および大統領令 13873 を実施する事業体を含む関連プログラムを実施する他の事業体など、他の米国政府事業体との調整に対処する； 大統領令 14034、および 2020 年 4 月 4 日付大統領令 13913（米国電気通信サービス部門における外国参入のアセスメント委員会の設置）、および
(viii) address the need for, as appropriate, recordkeeping and reporting of transactions to inform investigative, enforcement, and regulatory efforts.	(viii) 調査、執行、および規制の取り組みに情報を提供するため、必要に応じて取引の記録および報告の必要性に対処する。
(d) The Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency, shall, in coordination with the Attorney General and in consultation with the heads of relevant agencies, propose, seek public comment on, and publish security requirements that address the unacceptable risk posed by restricted transactions, as identified by the Attorney General pursuant to this section. These requirements shall be based on the Cybersecurity and Privacy Frameworks developed by the National Institute of Standards and Technology.	(d) 国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁長官を通じ、司法長官と連携し、関連省庁の長と協議の上、本条に基づき司法長官が特定した、制限付き取引がもたらす許容できないリスクに対処するセキュリティ要件を提案し、パブリックコメントを求め、公表する。これらの要件は、国立標準技術研究所が策定したサイバーセキュリティおよびプライバシーのフレームワークに基づいているものとする。
(i) The Secretary of Homeland Security, acting through the Director of the Cybersecurity and Infrastructure Security Agency, shall, in coordination with the Attorney General, issue any interpretive guidance regarding the security requirements.	(i) 国土安全保障長官は、サイバーセキュリティ・インフラセキュリティ庁長官を通じて、司法長官と連携して、セキュリティ要件に関する解釈ガイダンスを発行する。
(ii) The Attorney General shall, in coordination with the Secretary of Homeland Security acting through the Director of the Cybersecurity and Infrastructure Security Agency, issue enforcement guidance regarding the security requirements.	(ii) 司法長官は、サイバーセキュリティ・インフラセキュリティ庁長官を通じて行動する国土安全保障長官と連携して、セキュリティ要件に関する施行ガイダンスを発行する。
(e) The Secretary of Homeland Security, in coordination with the Attorney General, is hereby authorized to take such actions, including promulgating rules, regulations, standards, and requirements; issuing interpretive guidance; and employing all other powers granted to the President by IEEPA as may be necessary to carry out the purposes described in subsection (d) of this section.	(e) 国土安全保障長官は、司法長官と連携して、規則、規制、標準、要件の公布、解釈ガイダンスの発行、IEEPAにより大統領に付与された他のすべての権限の行使など、本項(d)に記載された目的を遂行するために必要と思われる行動をとる認可を受ける。
(f) In exercising the authority delegated in subsection (b) of this section, the Attorney General, in coordination with the Secretary of Homeland Security and in consultation with the heads of relevant agencies, may, in addition to the rulemaking directed in subsection (c) of this section, propose one or more regulations to further implement this section, including to identify additional classes of prohibited transactions; to identify additional classes of restricted transactions; with the concurrence of the Secretary of State and the Secretary of Commerce, to identify new or remove existing countries of concern and, as appropriate, classes of covered persons for the purposes of this order; and to establish a mechanism for the Attorney General to monitor whether restricted transactions comply with the security requirements established under subsection (d) of this section.	(f) 本項第(b)号で委任された認可を行使するにあたり、司法長官は、国土安全保障長官と連携し、関係省庁の長と協議の上、本項第(c)号で指示された規則制定に加え、禁止される取引の追加クラスを特定することを含め、本条をさらに実施するための1つ以上の規則を提案することができる； また、国務長官および商務長官の同意を得て、本命令の目的のために、新たな懸念国および必要に応じて対象者のクラスを特定または削除すること、ならびに、制限された取引が本条第(d)項に基づき設定されたセキュリティ要件を遵守しているかどうかを法務長官が監視するための仕組みを確立することを含む。
(g) Any proposed regulations implementing this section:	(g) 本節を実施する規制案はすべて、以下の通りである：
(i) shall reflect consideration of the nature of the class of transaction involving bulk sensitive personal data or United States Government-related data, the volume of bulk sensitive personal data involved in the transaction, and other factors, as appropriate;	(i) 大量機微個人データまたは米国政府関連データが関係する取引の種類の性質、取引に関係する大量機微個人データの量、および適切なその他の要因の考慮を反映しなければならない。
(ii) shall establish thresholds and due diligence requirements for entities to use in assessing whether a transaction is a prohibited transaction or a restricted transaction;	(ii) 取引が禁止取引または制限取引であるかどうかを事業体が評価する際に使用する基準値およびデューディリジェンス要件を定めなければならない。
(iii) shall not establish generalized data localization requirements to store bulk sensitive personal data or United States Government-related data within the United States or to locate computing facilities used to process bulk sensitive personal data or United States Government-related data within the United States;	(iii) 大量機微個人データまたは米国政府関連データを米国内に保管する、または大量機微個人データまたは米国政府関連データを処理するために使用されるコンピューティング施設を米国内に設置するための一般化されたデータローカリゼーション要件を定めてはならない；
(iv) shall account for any legal obligations applicable to the United States Government relating to public access to the results of taxpayer-funded scientific research, the sharing and interoperability of electronic health information, and patient access to their data; and	(iv) 米国政府に適用される、税金が投入された科学研究の成果への一般公開、電子医療情報の共有と相互運用性、および患者のデータへのアクセスに関する法的義務を考慮しなければならない。
(v) shall not address transactions to the extent that they involve types of human 'omic data other than human genomic data before the submission of the report described in section 6 of this order.	(v) 本命令の第6項に記載された報告書の提出前は、ヒト・ゲノム・データ以外のヒト「オーミック」データの種類に関わる範囲での取引に対処してはならない。
(h) The prohibitions promulgated pursuant to this section apply except to the extent provided by law, including by statute or in regulations, orders, directives, or licenses that may be issued pursuant to this order, and notwithstanding any contract entered into or any license or permit granted prior to the effective date of the applicable regulations directed by this order.	(h) 本項に従って公布された禁止事項は、法令または本命令に従って発行される規制、命令、指令もしくは許可を含む適用法に規定されている範囲を除き、また、本命令によって指示された適用規則の発効日前に締結された契約または付与された許可もしくは許可にかかわらず、適用される。
(i) Any transaction or other activity that has the purpose of evading or avoiding, causes a violation of, or attempts to violate any of the prohibitions promulgated pursuant to this section is prohibited.	(i) 本項に従って公布された禁止事項のいずれかを回避または回避する目的を持つ、違反を引き起こす、または違反を試みる取引またはその他の活動は禁止される。
(j) Any conspiracy formed to violate any of the prohibitions promulgated pursuant to this section is prohibited.	(j) 本項に従って公布された禁止事項のいずれかに違反するために形成された共謀は禁止される。
(k) In regulations issued by the Attorney General under this section, the Attorney General may prohibit United States persons from knowingly directing transactions if such transactions would be prohibited transactions under regulations issued pursuant to this order if engaged in by a United States person.	(k) 本条に基づき司法長官が発布する規則において、司法長官は、米国人が取引を行う場合、当該取引が本命令に基づき発布される規則により禁止される取引となる場合には、米国人が故意に取引を指示することを禁止することができる。
(l) The Attorney General may, consistent with applicable law, redelegate any of the authorities conferred on the Attorney General pursuant to this section within the Department of Justice. The Secretary of Homeland Security may, consistent with applicable law, redelegate any of the authorities conferred on the Secretary of Homeland Security pursuant to this section within the Department of Homeland Security.	(l)司法長官は、適用法に従い、司法省内で本条に基づき司法長官に与えられた権限を再委任することができる。国土安全保障省長官は、適用法に従い、本項に基づき国土安全保障省長官に与えられた権限のいずれかを、国土安全保障省内で再委任することができる。
(m) The Attorney General, in coordination with the Secretary of Homeland Security and in consultation with the heads of relevant agencies, is hereby authorized to submit recurring and final reports to the Congress related to this order, consistent with section 401(c) of the NEA (50 U.S.C. 1641(c)) and section 204(c) of IEEPA (50 U.S.C. 1703(c)).	(m) 司法長官は、国土安全保障長官と連携し、関係省庁の長と協議の上、NEA第401条(c)(50 U.S.C. 1641(c))およびIEEPA第204条(c)(50 U.S.C. 1703(c))に則り、本命令に関連する定期報告書および最終報告書を議会に提出する認可を受ける。
Sec. 3 . Protecting Sensitive Personal Data. (a) Access to bulk sensitive personal data and United States Government-related data by countries of concern can be enabled through the transmission of data via network infrastructure that is subject to the jurisdiction or control of countries of concern. The risk of access to this data by countries of concern can be, and sometime is, exacerbated where the data transits a submarine cable that is owned or operated by persons owned by, controlled by, or subject to the jurisdiction or direction of a country of concern, or that connects to the United States and terminates in the jurisdiction of a country of concern. Additionally, the same risk of access by a country of concern is further exacerbated in instances where a submarine cable is designed, built, and operated for the express purpose of transferring data, including bulk sensitive personal data or United States Government-related data, to a specific data center located in a foreign jurisdiction. To address this threat, the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector (Committee) shall, to the extent consistent with its existing authority and applicable law:	第3項. 機微な個人データの保護。(a) 懸念国による大量の機微な個人データおよび米国政府関連データへのアクセスは、懸念国の司法管轄権または管理下にあるネットワーク・インフラを介したデータ送信によって可能になる可能性がある。懸念国がこのデータにアクセスするリスクは、懸念国の所有者、管理者、または管轄権や指示の対象者が所有または運営する海底ケーブル、あるいは米国に接続し懸念国の管轄権で終端する海底ケーブルをデータが通過する場合に悪化する可能性があり、時には悪化することもある。さらに、大量機密個人データや米国政府関連データを含むデータを、外国の司法管轄区にある特定のデータセンターに転送するという明確な目的のために海底ケーブルが設計、建設、運用される場合、懸念国によるアクセスのリスクはさらに悪化する。この脅威に対処するため、米国電気通信サービス分野における外国参入アセスメント委員会（委員会）は、その既存の認可および適用法と矛盾しない範囲で、以下のことを行う：
(i) prioritize, for purposes of and in reliance on the process set forth in section 6 of Executive Order 13913, the initiation of reviews of existing licenses for submarine cable systems that are owned or operated by persons owned by, controlled by, or subject to the jurisdiction or direction of a country of concern, or that terminate in the jurisdiction of a country of concern;	(i)大統領令13913の第6項に規定されたプロセスの目的のため、およびそれに基づき、懸念国の所有、支配、または管轄もしくは指示に服する者が所有または運営する海底ケーブルシステム、または懸念国の管轄区域で終端する海底ケーブルシステムの既存免許の審査開始を優先する；
(ii) issue policy guidance, in consultation with the Committee's Advisors as defined in section 3(d) of Executive Order 13913, regarding the Committee's reviews of license applications and existing licenses, including the assessment of third-party risks regarding access to data by countries of concern; and	(ii) 大統領令13913条3項(d)に定義された委員会のアドバイザーと協議の上、懸念国によるデータへのアクセスに関するサードパーティ・リスクのアセスメントを含む、ライセンス申請および既存ライセンスの委員会のレビューに関する政策指針を発行する；
(iii) address, on an ongoing basis, the national security and law enforcement risks related to access by countries of concern to bulk sensitive personal data described in this order that may be presented by any new application or existing license reviewed by the Committee to land or operate a submarine cable system, including by updating the Memorandum of Understanding required under section 11 of Executive Order 13913 and by revising the Committee's standard mitigation measures, with the approval of the Committee's Advisors, which may include, as appropriate, any of the security requirements contemplated by section 2(d) of this order.	(iii) 海底ケーブルシステムを陸揚げまたは運用するために委員会が審査する新規申請または既存ライセンスによってもたらされる可能性のある、本命令に記載されたバルク機密個人データへの懸念国によるアクセスに関連する国家セキュリティおよび法執行リスクに、継続的に対処する、 これには、大統領令第13913条第11項に基づき要求される覚書を更新すること、および委員会のアドバイザーの承認を得て、委員会の標準軽減措置を改訂することが含まれる。
(b) Entities in the United States healthcare market can access bulk sensitive personal data, including personal health data and human genomic data, through partnerships and agreements with United States healthcare providers and research institutions. Even if such data is anonymized, pseudonymized, or de-identified, advances in technology, combined with access by countries of concern to large data sets, increasingly enable countries of concern that access this data to re-identify or de-anonymize data, which may reveal the exploitable health information of United States persons. While the United States supports open scientific data and sample sharing to accelerate research and development through international cooperation and collaboration, the following additional steps must be taken to protect United States persons' sensitive personal health data and human genomic data from the threat identified in this order:	(b) 米国ヘルスケア市場の事業体は、米国のヘルスケアプロバイダーや研究機構との提携や契約を通じて、個人健康データやヒトゲノムデータを含む大量の機微な個人データにアクセスすることができる。そのようなデータが匿名化、仮名化、または非特定化されていたとしても、技術の進歩は、懸念国による大規模データセットへのアクセスと相まって、このデータにアクセスする懸念国がデータを再特定化または非特定化することをますます可能にしており、これにより米国人の搾取可能な健康情報が明らかになる可能性がある。米国は、国際的な協力と連携を通じて研究開発を加速させるために、オープンな科学データとサンプルの共有を支持するが、本命令で特定された脅威から米国人の機微な個人健康データとヒトゲノムデータを保護するために、以下の追加措置を講じなければならない：
(i) The Secretary of Defense, the Secretary of Health and Human Services, the Secretary of Veterans Affairs, and the Director of the National Science Foundation shall consider taking steps, including issuing regulations, guidance, or orders, as appropriate and consistent with the legal authorities authorizing relevant Federal assistance programs, to prohibit the provision of assistance that enables access by countries of concern or covered persons to United States persons' bulk sensitive personal data, including personal health data and human genomic data, or to impose mitigation measures with respect to such assistance, which may be consistent with the security requirements adopted under section 2(d) of this order, on the recipients of Federal assistance to address this threat. The Secretary of Defense, the Secretary of Health and Human Services, the Secretary of Veterans Affairs, and the Director of the National Science Foundation shall, in consultation with each other, develop and publish guidance to assist United States research entities in ensuring protection of their bulk sensitive personal data.	(i) 国防長官、保健福祉長官、退役軍人長官、および全米科学財団長官は、適切かつ関連する連邦支援プログラムを認可する法的権限に合致するように、規制、ガイダンス、または命令を発行することを含む措置を講じることを検討しなければならない、 個人健康データおよびヒトゲノムデータを含む米国人のバルク機微個人データへの懸念国または対象者によるアクセスを可能にする援助の提供を禁止するか、または、この脅威に対処するために、連邦援助の取得者に対して、この命令の第2節(d)に基づき採択されたセキュリティ要件と一致する可能性のある、このような援助に関する軽減措置を課す。国防長官、保健福祉長官、退役軍人長官、および全米科学財団長官は、相互に協議の上、米国の研究事業体がバルク機密個人データの保護を確保するのを支援するためのガイダンスを作成し、公表するものとする。
(ii) Within 1 year of the date of this order, the Secretary of Defense, the Secretary of Health and Human Services, the Secretary of Veterans Affairs, and the Director of the National Science Foundation shall jointly submit a report to the President through the Assistant to the President for National Security Affairs (APNSA) detailing their progress in implementing this subsection.	(ii) 本命令の日付から1年以内に、国防長官、保健福祉長官、退役軍人長官、および全米科学財団長官は、共同で、国家安全保障問題担当大統領補佐官（APNSA）を通じて、本款の実施状況を詳述した報告書を大統領に提出するものとする。
(c) Entities in the data brokerage industry enable access to bulk sensitive personal data and United States Government-related data by countries of concern and covered persons. These entities pose a particular risk of contributing to the national emergency described in this order because they routinely engage in the collection, assembly, evaluation, and dissemination of bulk sensitive personal data and of the subset of United States Government-related data regarding United States consumers. The Director of the Consumer Financial Protection Bureau (CFPB) is encouraged to consider taking steps, consistent with CFPB's existing legal authorities, to address this aspect of the threat and to enhance compliance with Federal consumer protection law, including by continuing to pursue the rulemaking proposals that CFPB identified at the September 2023 Small Business Advisory Panel for Consumer Reporting Rulemaking.	(c) データ・ブローカー業界の事業体は、懸念国および対象者による大量の機密個人データおよび米国政府関連データへのアクセスを可能にしている。これらの事業体は、大量の機微な個人データおよび米国消費者に関する米国政府関連データのサブセットの収集、収集、評価、拡散に日常的に従事しているため、本命令に記載された国家非常事態を助長する特別なリスクをもたらす。消費者金融保護局（CFPB）局長は、この脅威の側面に対処し、連邦消費者保護法の遵守を強化するため、CFPBの既存の法的認可と整合性のある措置を講じることを検討するよう奨励される。これには、CFPBが2023年9月の消費者報告規則策定に関する中小企業諮問委員会で特定した規則策定案を引き続き追求することも含まれる。
Sec. 4 . Assessing the National Security Risks Arising from Prior Transfers of United States Persons' Bulk Sensitive Personal Data. Within 120 days of the effective date of the regulations issued pursuant to section 2(c) of this order, the Attorney General, the Secretary of Homeland Security, and the Director of National Intelligence, in consultation with the heads of relevant agencies, shall recommend to the APNSA appropriate actions to detect, assess, and mitigate national security risks arising from prior transfers of United States persons' bulk sensitive personal data to countries of concern. Within 150 days of the effective date of the regulations issued pursuant to section 2(c) of this order, the APNSA shall review these recommendations and, as appropriate, consult with the Attorney General, the Secretary of Homeland Security, and the heads of relevant agencies on implementing the recommendations consistent with applicable law.	第4項. 米国人の大量の機微な個人データの移転から生じる国家セキュリティリスクのアセスメント。本命令の第2条(c)に従って発行された規則の発効日から120日以内に、司法長官、国土安全保障長官、および国家情報長官は、関連省庁の長と協議の上、米国人のバルク機微個人データの懸念国への事前移転から生じる国家安全保障リスクを検知、評価、軽減するための適切な措置をAPNSAに勧告するものとする。APNSA は、本命令の第 2 項(c)に従って発行された規則の発効日から 150 日以内に、これらの勧告を見直し、必要に応じて、適用法に合致した勧告の実施について、司法長官、国土安全保障長官、および関連省庁の長と協議するものとする。
Sec. 5 . Report to the President. (a) Within 1 year of the effective date of the regulations issued pursuant to section 2(c) of this order, the Attorney General, in consultation with the Secretary of State, the Secretary of the Treasury, the Secretary of Commerce, and the Secretary of Homeland Security, shall submit a report to the President through the APNSA assessing, to the extent practicable:	第5項. 大統領への報告 (a) 本命令第2条(c)に基づき発行された規則の発効日から1年以内に、司法長官は、国務長官、財務長官、商務長官、および国土安全保障長官と協議の上、APNSAを通じて大統領に、実行可能な範囲で以下の事項をアセスメントした報告書を提出する：
(i) the effectiveness of the measures imposed under this order in addressing threats to the national security of the United States described in this order; and	(i) 本命令に記載された米国の国家安全保障に対する脅威に対処するため、本命令に基づき課された措置の有効性、
(ii) the economic impact of the implementation of this order, including on the international competitiveness of United States industry.	(ii) 米国産業の国際競争力を含め、本命令の実施による経済的影響。
(b) In preparing the report described in subsection (a) of this section, the Attorney General shall solicit and consider public comments concerning the economic impact of this order.	(b) 本項第(a)号に記載された報告書を作成する際、司法長官は、本命令の経済的影響に関するパブリックコメントを求め、検討するものとする。
Sec. 6 . Assessing Risks Associated with Human 'omic Data. Within 120 days of the date of this order, the APNSA, the Assistant to the President and Director of the Domestic Policy Council, the Director of the Office of Science and Technology Policy, and the Director of the Office of Pandemic Preparedness and Response Policy, in consultation with the Secretary of State, the Secretary of Defense, the Secretary of Health and Human Services, the Secretary of Veterans Affairs, the Director of the National Science Foundation, the Director of National Intelligence, and the Director of the Federal Bureau of Investigation, shall submit a report to the President, through the APNSA, assessing the risks and benefits of regulating transactions involving types of human 'omic data other than human genomic data, such as human proteomic data, human epigenomic data, and human metabolomic data, and recommending the extent to which such transactions should be regulated pursuant to section 2 of this order. This report and recommendation shall consider the risks to United States persons and national security, as well as the economic and scientific costs of regulating transactions that provide countries of concern or covered persons access to these data types.	第6項. ヒトオミックデータに関連するリスクのアセスメント。本命令の日付から120日以内に、APNSA、大統領補佐官兼国内政策審議会ディレクター、米国科学技術政策局ディレクター、およびパンデミック対策政策局ディレクターは、国務長官、国防長官、保健福祉長官、退役軍人長官、国家科学財団ディレクター、国家情報長官、および国家情報長官と協議の上、ヒト'omic'データに関連するリスクを評価する、 国家情報長官、連邦捜査局長官と協議の上、APNSAを通じて、ヒトプロテオームデータ、ヒトエピゲノムデータ、ヒトメタボロームデータなど、ヒトゲノムデータ以外のヒトオミックデータを含む取引を規制することのリスクと便益をアセスメントし、そのような取引を本命令の第2項に従ってどの程度規制すべきかを勧告する報告書を大統領に提出しなければならない。この報告書および勧告は、米国人および国家セキュリティに対するリスク、ならびに懸念国または対象者にこれらのデータタイプへのアクセスを提供する取引を規制することの経済的および科学的コストを考慮するものとする。
Sec. 7 . Definitions. For purposes of this order:	第7項. 定義。
(a) The term “access” means logical or physical access, including the ability to obtain, read, copy, decrypt, edit, divert, release, affect, alter the state of, or otherwise view or receive, in any form, including through information technology systems, cloud computing platforms, networks, security systems, equipment, or software.	(a) 「アクセス」とは、論理的または物理的アクセスを意味し、情報技術システム、クラウド・コンピューティング・プラットフォーム、ネットワーク、セキュリティ・システム、機器、またはソフトウェアを通じたものを含め、いかなる形態であれ、入手、読み取り、コピー、解読、編集、転用、公開、影響、状態の変更、またはその他の方法で閲覧または受領する能力を含む。
(b) The term “bulk” means an amount of sensitive personal data that meets or exceeds a threshold over a set period of time, as specified in regulations issued by the Attorney General pursuant to section 2 of this order.	(b) 「大量」とは、本命令の第2条に従って司法長官が発行する規則で指定される、一定期間にわたって閾値を満たすか超える量の機微な個人データを意味する。
(c) The term “country of concern” means any foreign government that, as determined by the Attorney General pursuant to section 2(c)(iii) or 2(f) of this order, has engaged in a long-term pattern or serious instances of conduct significantly adverse to the national security of the United States or the security and safety of United States persons, and poses a significant risk of exploiting bulk sensitive personal data or United States Government-related data to the detriment of the national security of the United States or the security and safety of United States persons, as specified in regulations issued by the Attorney General pursuant to section 2 of this order.	(c) 「懸念国」とは、この命令の第2条(c)(iii)または第2条(f)に従って司法長官が決定したとおり、米国の国家安全保障または米国人の安全保障および治安に著しく悪影響を及ぼす長期的なパターンまたは深刻な事例を行った外国政府を意味する、 この命令の第2項に従って司法長官が発行する規則で指定されているように、米国の国家安全保障または米国人の安全保障および治安を害するために、大量の機密個人データまたは米国政府関連データを悪用する重大なリスクをもたらす。
(d) The term “covered person” means an entity owned by, controlled by, or subject to the jurisdiction or direction of a country of concern; a foreign person who is an employee or contractor of such an entity; a foreign person who is an employee or contractor of a country of concern; a foreign person who is primarily resident in the territorial jurisdiction of a country of concern; or any person designated by the Attorney General as being owned or controlled by or subject to the jurisdiction or direction of a country of concern, as acting on behalf of or purporting to act on behalf of a country of concern or other covered person, or as knowingly causing or directing, directly or indirectly, a violation of this order or any regulations implementing this order.	(d) 「対象者」とは、懸念国によって所有され、管理され、または関係国の管轄権もしくは指示に服する事業体、そのような事業体の従業員または請負業者である外国人、関係国の従業員または請負業者である外国人、関係国の領域的管轄権に主として居住する外国人を意味する； または、関係国に所有もしくは統制されている、または関係国の管轄もしくは指示に従う、関係国もしくはその他の対象者を代表して行動する、または代表して行動すると称する、または本命令もしくは本命令を実施する規則の違反を、直接的または間接的に、故意に引き起こしまたは指示すると司法長官に指定された者。
(e) The term “covered personal identifiers” means, as determined by the Attorney General in regulations issued pursuant to section 2 of this order, specifically listed classes of personally identifiable data that are reasonably linked to an individual, and that—whether in combination with each other, with other sensitive personal data, or with other data that is disclosed by a transacting party pursuant to the transaction and that makes the personally identifiable data exploitable by a country of concern—could be used to identify an individual from a data set or link data across multiple data sets to an individual. The term “covered personal identifiers” does not include:	(e)「対象個人識別情報」とは、司法長官がこの命令の第2条に従って発行する規則で定めるところにより、個人と合理的に結び付けられる、具体的に列挙された個人識別可能なデータのクラスであって、相互の組み合わせであろうと、他の機微な個人データとの組み合わせであろうと、取引当事者が取引に従って開示する他のデータとの組み合わせであろうと、個人識別可能なデータを懸念国が悪用可能にするものであろうと、データセットから個人を識別するため、または複数のデータセットにまたがるデータを個人に結び付けるために使用され得るものをいう。対象となる個人識別情報」という用語には、以下は含まれない：
(i) demographic or contact data that is linked only to another piece of demographic or contact data (such as first and last name, birth date, birthplace, zip code, residential street or postal address, phone number, and email address and similar public account identifiers); or	(i) 別の人口統計学的データまたは連絡先データ（姓名、生年月日、出生地、郵便番号、住 所、電話番号、電子メールアドレス、および類似の公開アカウント識別子など）のみにリンクさ れている人口統計学的データまたは連絡先データ、または
(ii) a network-based identifier, account-authentication data, or call-detail data that is linked only to another network-based identifier, account- authentication data, or call-detail data for the provision of telecommunications, networking, or similar services.	(ii) 電気通信、ネットワーキング、または類似のサービスの提供のために、別のネッ トワークベースの識別子、アカウント認証データ、または通話明細データのみにリンクさ れているネットワークベースの識別子、アカウント認証データ、または通話明細データ。
(f) The term “entity” means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization.	(f) 「事業体」とは、パートナーシップ、社団、信託、ジョイントベンチャー、法人、グループ、サブグループ、またはその他の組織をいう。
(g) The term “foreign person” means any person that is not a United States person.	(g) 「外国人」とは、米国人以外の者をいう。
(h) The term “human genomic data” refers to data representing the nucleic acid sequences that constitute the entire set or a subset of the genetic instructions found in a cell.	(h)「ヒトゲノムデータ」とは、細胞内に存在する遺伝命令の全体またはサブセットを構成する核酸配列を代表するデータをいう。
(i) The term “human 'omic data” means data generated from humans that characterizes or quantifies human biological molecule(s), such as human genomic data, epigenomic data, proteomic data, transcriptomic data, microbiomic data, or metabolomic data, as further defined by regulations issued by the Attorney General pursuant to section 2 of this order, which may be informed by the report described in section 6 of this order.	(i) 「ヒト'オーミック'データ」とは、ヒトゲノムデータ、エピゲノムデータ、プロテオミクスデータ、トランスクリプトームデータ、マイクロバイオームデータ、メタボロームデータなど、ヒトの生物学的分子を特徴付け又は定量化するヒトから生成されたデータをいう。
(j) The term “person” means an individual or entity.	(j) 「個人」とは、個人または事業体を意味する。
(k) The term “relevant agencies” means the Department of State, the Department of the Treasury, the Department of Defense, the Department of Commerce, the Department of Health and Human Services, the Office of the United States Trade Representative, the Office of the Director of National Intelligence, the Office of the National Cyber Director, the Office of Management and Budget, the Federal Trade Commission, the Federal Communications Commission, and any other agency or office that the Attorney General determines appropriate.	(k) 「関係省庁」とは、国務省、財務省、国防総省、商務省、保健福祉省、米国通商代表部、国家情報長官室、国家サイバー長官室、行政管理予算局、連邦取引委員会、連邦通信委員会、および司法長官が適切と判断するその他の省庁を指す。
(l) The term “sensitive personal data” means, to the extent consistent with applicable law including sections 203(b)(1) and (b)(3) of IEEPA, covered personal identifiers, geolocation and related sensor data, biometric identifiers, human 'omic data, personal health data, personal financial data, or any combination thereof, as further defined in regulations issued by the Attorney General pursuant to section 2 of this order, and that could be exploited by a country of concern to harm United States national security if that data is linked or linkable to any identifiable United States individual or to a discrete and identifiable group of United States individuals. The term “sensitive personal data” does not include:	(l) 「機微な個人データ」という用語は、IEEPA第203条(b)(1)および(b)(3)を含む適用法に合致する限りにおいて、対象となる個人識別情報、地理位置情報および関連センサーデータ、生体識別情報、個人健康データ、個人財務データ、またはそれらの組み合わせを意味する、 この命令の第2節に従って司法長官が発行する規則でさらに定義されるもので、そのデータが識別可能な米国個人または識別可能な米国個人集団にリンクされているかリンク可能である場合、米国の国家安全保障に害を及ぼす懸念のある国が悪用する可能性がある。機微な個人データ」という用語には、以下は含まれない：
(i) data that is a matter of public record, such as court records or other government records, that is lawfully and generally available to the public;	(i) 裁判所の記録やその他の政府の記録など、合法的かつ一般に公開されている公文書の問題であるデータ、
(ii) personal communications that are within the scope of section 203(b)(1) of IEEPA; or	(ii) IEEPA第203条(b)(1)の範囲内にある個人コミュニケーション、
(iii) information or informational materials within the scope of section 203(b)(3) of IEEPA.	(iii) IEEPA第203条(b)(3)の範囲内にある情報または情報資料。
(m) The term “United States Government-related data” means sensitive personal data that, regardless of volume, the Attorney General determines poses a heightened risk of being exploited by a country of concern to harm United States national security and that:	(m) 「米国政府関連データ」とは、量に関係なく、米国の国家安全保障に危害を及ぼす懸念のある国によって悪用されるリスクが高まると司法長官が判断する、機密性の高い個人データを意味する：
(i) a transacting party identifies as being linked or linkable to categories of current or recent former employees or contractors, or former senior officials, of the Federal Government, including the military, as specified in regulations issued by the Attorney General pursuant to section 2 of this order;	(i)取引当事者が、本命令の第 2 項に従って司法長官が発行する規則で指定される、軍を含む連邦政府の現職員、元職員、元請負業者、元高官のカテゴリーにリンクしている、またはリンク可能であると識別するもの；
(ii) is linked to categories of data that could be used to identify current or recent former employees or contractors, or former senior officials, of the Federal Government, including the military, as specified in regulations issued by the Attorney General pursuant to section 2 of this order; or	(ii) 軍を含む連邦政府の現在または最近の元従業員、請負業者、または元高官を特定するために使用される可能性のあるデータのカテゴリーにリンクされている。
(iii) is linked or linkable to certain sensitive locations, the geographical areas of which will be specified publicly, that are controlled by the Federal Government, including the military.	(iii) 軍を含む連邦政府が管理する、地理的に特定された機密性の高い場所にリンクしているか、リンク可能である。
(n) The term “United States person” means any United States citizen, national, or lawful permanent resident; any individual admitted to the United States as a refugee under 8 U.S.C. 1157 or granted asylum under 8 U.S.C. 1158; any entity organized solely under the laws of the United States or any jurisdiction within the United States (including foreign branches); or any person in the United States.	(n) 「米国人」とは、米国市民、国民、合法的永住者、合衆国法典第 8 編第 1157 条に基づき難民として米国に入国した者、または合衆国法典第 8 編第 1158 条に基づき庇護を認められた者、米国法または米国内の司法管轄権（外国支部を含む）のみに基づき組織された事業体、または米国内の者を指す。
Sec. 8 . General Provisions. (a) Nothing in this order shall be construed to impair or otherwise affect:	第8項. 一般規定。(a) 本命令のいかなる規定も、
(i) the authority granted by law to an executive department or agency, or the head thereof; or	(i) 行政部、行政機関、またはその長に法律で認められた権限、または
(ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.	(ii) 予算案、行政案、立法案に関する行政管理予算局長の機能を損なったり、その他の形で影響を与えたりするようには解釈されない。
(b) Nothing in this order shall prohibit transactions for the conduct of the official business of the United States Government by employees, grantees, or contractors thereof, or transactions conducted pursuant to a grant, contract, or other agreement entered into with the United States Government.	(b) 本命令のいかなる規定も、米国政府の職員、助成対象者、請負業者による米国政府の公務遂行のための取引、または米国政府との間で締結された助成金、契約、その他の合意に基づいて行われる取引を禁止するものではない。
(c) Any disputes that may arise among agencies during the consultation processes described in this order may be resolved pursuant to the interagency process described in National Security Memorandum 2 of February 4, 2021 (Renewing the National Security Council System), or any successor document.	(c) 本命令に記載された協議プロセス中に国家安全保障局間で生じる可能性のある紛争は、2021年2月4日付国家安全保障覚書2（国家安全保障会議制度の更新）またはその後継文書に記載された省庁間プロセスに従って解決することができる。
(d) This order shall be implemented consistent with applicable law and subject to the availability of appropriations.	(d) 本命令は、適用法に合致し、充当可能な予算に応じて実施されるものとする。
(e) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.	(e) 本命令は、米国、その省庁、事業体、その役員、職員、代理人、またはその他の者に対し、いかなる当事者も法律上または衡平法上執行可能な、実質的または手続き上の権利または利益を創出することを意図しておらず、また創出しない。
THE WHITE HOUSE, February 28, 2024. Filed 2-29-24; 11:15 am]	ホワイトハウス、2024年2月28日。午前11時15分].
[FR Doc. 2024-04573	[FR Doc. 2024-04573
Billing code 3395-F4-P	請求コード 3395-F4-P

 

 

---

 

司法省が規則に定めた制限情報

● Department of Justice

・[PDF] 28 CFR Part 202

 

Subpart D—Restricted Transactions	Subpart D-制限取引
§ 202.401 Authorization to conduct restricted transactions.	§202.401 制限取引を行う認可
(a) Restricted transactions. Except as otherwise authorized pursuant to subparts E or H of this part or any other provision of this part, no U.S. person, on or after the effective date, may knowingly engage in a covered data transaction involving a vendor agreement, employment agreement, or investment agreement with a country of concern or covered person unless the U.S. person complies with the security requirements required by subpart D of this part and all other applicable requirements under this part.	(a) 制限取引。本編の第 E 部若しくは第 H 部又は本編の他の規定に従って認可された場合を除き、発効日以降、いかなる米国人も、当該米国人が本編の第 D 部により要求されるセキュリティ要件及び本編に基づく他のすべての適用要件に従わない限り、懸念国又は対象者とのベンダー契約、雇用契約又は投 資契約を含む対象データ取引に故意に関与することはできない。
(b) This subpart does not apply to covered data transactions involving access to bulk human genomic data or human biospecimens from which such data can be derived that is subject to the prohibition in § 202.303 of this part.	(b)本編は、本編第202.303節の禁止事項の対象である、ヒトゲノムの大量データまたはそのような データが得られるヒト生物試料へのアクセスを伴う対象データ取引には適用されない。
(c) Examples--(1) Example 1. A U.S. company engages in an employment agreement with a covered person to provide information technology support. As part of their employment, the covered person has access to personal financial data. The U.S. company implements and complies with the security requirements. The employment agreement is authorized as a restricted transaction because the company has complied with the security requirements.	(c) 例--(1) 例1。ある米国企業が、情報技術支援を提供するために対象者と雇用契約を締結している。雇用の一環として、対象者は個人財務データにアクセスできる。米国企業はセキュリティ要件を実施し、遵守する。会社はセキュリティ要件を遵守しているため、雇用契約は制限取引として認可される。
(2) Example 2. A U.S. company engages in a vendor agreement with a covered person to store bulk personal health data. Instead of implementing the security requirements as identified by reference in this subpart, the U.S. company implements different controls that it believes mitigate the covered person’s access to the bulk personal health data. Because the U.S. person has not complied with the security requirements, the vendor agreement is not authorized and thus is a prohibited transaction.	(2) 例 2. ある米国企業が、個人健康データを大量に保管するために、対象者との間でベンダー契約を締結する。米国企業は、本サブパートにおいて参照により特定されるセキュリティ要件を実施する代わりに、対象者による大量個人健康データへのアクセスを緩和すると考える別の管理者を実施する。米国人はセキュリティ要件に準拠していないため、このベンダー契約は認可されず、したがって禁止された取引である。
(3) Example 3. A U.S. person engages in a vendor agreement involving bulk U.S. sensitive personal data with a foreign person who is not a covered person. The foreign person then employs an individual who is a covered person and grants them access to bulk U.S. sensitive personal data without the U.S. person’s knowledge or direction. There is no covered data transaction between the U.S. person and the covered person, and there is no indication that the parties engaged in these transactions with the purpose of evading the regulations (such as the U.S. person having knowingly directed the foreign person’s employment agreement with the covered person or the parties knowingly structuring a prohibited transaction into these multiple transactions with the  purpose of evading the prohibition). As a result, neither the vendor agreement nor the employment agreement would be a restricted transaction.	(3) 例 3. ある米国人が、対象者でない外国人との間で、米国の機微な個人データ（大量）に関す るベンダー契約を締結した。その後、当該外国人は対象者である個人を雇用し、当該米国人の認識または指示なしに、大量の米国機微個人データへのアクセスを許可する。米国人と対象者との間には対象データ取引はなく、当事者が規制を回避する目的でこれらの取引に関与した形跡もない（例えば、米国人が故意に外国人と対象者との雇用契約を指示したとか、当事者が故意に禁止取引を禁止を回避する目的でこれらの複数の取引に仕組んだとか）。その結果、ベンダー契約も雇用契約も制限取引とはならない。