米商務省、外国企業へのクラウドサービス提供に関する規則案発表、顧客の身元確認や報告を義務化

米国商務省産業安全保障局（BIS）は1月29日、米国企業が外国の顧客にクラウドサービスを提供する際に、米国政府への報告などを義務付ける規則案を官報で公示した。規則案は、ジョー・バイデン大統領が2023年10月に発令した人工知能（AI）の安全な開発・使用に関する大統領令（2023年11月1日記事参照）などに基づくもの（注1）。BISは規則案について、パブリックコメントを4月29日まで受け付ける（注2）。

今回の規則案は、米国のIaaS（注3）サービスが、外国の悪意あるサイバー活動者に利用されるリスクに対処することを目的としている。IaaSサービスを通じて大規模な計算インフラが提供されるようになり、それが悪意あるサイバー活動を支援したり自動化したりするAIモデルの訓練に利用されることに関して、BISは重大な懸念を示した。

規則案では第1に、顧客の身元確認義務を定めた。具体的には、米国のIaaS提供者とそのサービスの外国再販業者に対し、顧客特定プログラム（CIP）を維持し、外国顧客の身元情報を保持するよう義務付ける（注4）。また、米国のIaaS提供者に対して、CIPを実施するとともに、サービスの外国再販業者にCIPの実施を要求し、CIPについて商務省に報告するよう求める。

第2に、サイバー活動に悪用するために米国のIaaSサービスを取得している外国人などに対し、米国のIaaS提供者によるサービス提供を禁止したり制限したりする特別措置とその要件などを定めた。

第3に、米国のIaaS提供者が外国人と取引する際、IaaSサービスの利用目的が「悪意あるサイバー活動に利用される可能性のある能力を持つ大規模AIモデルの訓練」の場合、その顧客の身元情報などを商務省に報告する義務などを定めた。報告対象となるAIモデルの技術的条件は、パブリックコメントを踏まえて別途定めるとしている。

さらに、これらの義務に違反した場合の罰則規定も盛り込まれた。例えば、IaaS提供者がCIPを設けなかったり、対象取引を商務省に報告しなかったりした場合には、民事または刑事罰の対象となり得る。

前述のAIに関する大統領令では、セキュリティーが主要原則の1つに据えられており、商務省はその政策の実施で中心的な役割を担っている。2023年12月には同省の国立標準技術研究所（NIST）が、AI開発などに関するガイドラインの策定に向けて、意見公募を始めた（2023年12月22日記事参照）。ホワイトハウスは2024年1月29日に発表したファクトシートで、各政府機関が大統領令で90日以内に実行するよう指示された取り組みを全て完了したと明らかにした。

（注1）規則案のうち、顧客の身元確認義務とIaaSサービス提供の制限措置については、トランプ前政権時の2021年1月に発表された大統領令に基づいている。商務省は同大統領令に基づく規則案を作るために同年9～10月にパブリックコメントを募集しており、そこで寄せられた意見も今回の規則案の内容に反映されている。

（注2）連邦政府ポータルサイト（ドケット番号：DOC-2021-0007）またはEメール（IaaScomments@bis.doc.gov宛）で提出が可能。

（注3）Infrastructure as a Serviceの略で、データストレージやシステム構築のためのITインフラを提供するクラウドサービスの形態。

（注4）「外国再販業者」はIaaSアカウントを開設し、そのサービスの全部または一部を第三者に提供する外国人、「外国顧客」は米国人でない顧客とそれぞれ定義されている。

（甲斐野裕之）