米国市場におけるデジタル製品の法規制について

• 米国事業で遵守すべき最新のサイバーセキュリティ法規制
• NIST、SBOM、CMMCなど、サプライチェーンに求められる要件
• 重要インフラ向けサプライヤーが今すぐ取り組むべき具体的対策
• OT/ICSセキュリティにおける国際標準の活用法

以下に主な法規制と、その中で日本企業が特に注意すべき点をまとめます。

• サイバーセキュリティ・インフラセキュリティ庁（CISA）の規則
  • 重要インフラ向けサイバーインシデント報告法 (CIRCIA):
    重要インフラ事業者を対象に、サイバーインシデント発生をCISAに報告することを義務付けています。インシデントの認識後72時間以内、ランサムウェアの身代金支払い後24時間以内の報告が義務付けられます。違反した場合は罰金や連邦政府との取引停止などのペナルティが科される可能性があります。
  • 大統領令（E.O. 14117）に基づくセキュリティ要件:
    米国人の機密性の高い個人データや政府関連データへの、懸念国（中国、ロシア、イランなど）によるアクセスを防ぐことを目的としています。特定のデータを取り扱う企業は、CISAが策定したセキュリティ要件（資産管理、脆弱性の是正、インシデント対応計画など）を遵守する必要があります。
• 米国国立標準技術研究所（NIST）のフレームワーク
  • NIST Cybersecurity Framework (CSF):
    連邦政府機関や重要インフラ企業で広く採用されているサイバーセキュリティのベストプラクティスをまとめたものです。法的な義務ではありませんが、多くの業界で事実上の標準となっており、サプライチェーン全体にわたって遵守が求められることが増えています。
  • NIST SP 800シリーズ:
    より詳細な技術的ガイドラインで、連邦政府に製品やサービスを提供する企業に適用されることがあります。

• 金融分野:
  • グラム・リーチ・ブライリー法 (GLBA):
    金融機関に対し、顧客の個人情報の保護を義務付けています。これにはサイバーセキュリティ対策も含まれます。
• ヘルスケア分野:
  • 医療保険の携行と責任に関する法律 (HIPAA):
    医療機関や関連する事業者（保険会社、医療機器メーカーなど）に対し、患者の健康情報（PHI）の保護を義務付けています。厳格な物理的、技術的、管理的なセキュリティ対策が求められます。
• 決済分野:
  • PCI DSS (Payment Card Industry Data Security Standard):
    クレジットカード情報を処理、保存、送信するすべての企業に適用されるセキュリティ基準です。クレジットカード決済を取り扱う日本企業は、この基準を遵守する必要があります。

• カリフォルニア州消費者プライバシー法 (CCPA) および カリフォルニア州プライバシー権法 (CPRA):
  • カリフォルニア州の住民の個人情報を取り扱う企業に適用されるデータプライバシー法です。日本企業がカリフォルニア州に事業所を置いている場合、または州内の消費者データを収集している場合は、これらの法律の適用対象となる可能性があります。
• ニューヨーク州金融サービス局（NYDFS）のサイバーセキュリティ規制:
  • ニューヨーク州で事業を行う金融機関に対して、厳格なサイバーセキュリティプログラムの策定・維持、インシデント報告、年次報告書提出などを義務付けています。

• SOC 2 (Service Organization Control 2):
  サービス提供事業者が、顧客データのセキュリティ、可用性、処理の完全性、機密性、プライバシーをいかに保護しているかを監査・報告するためのフレームワークです。直接的な法律ではありませんが、多くの米国企業がサプライヤーにSOC 2準拠を要求します。

• 事業内容と関係法令の特定:
  自社の事業がどのような業種に該当し、どの州で事業を展開しているかを確認し、適用される法律や規制を特定することが最初のステップです。
• サプライチェーン全体の確認:
  自社だけでなく、製品やサービスを提供するサプライヤーやベンダーが米国における規制を遵守しているかを確認することが重要です。
• NIST CSFの活用:
  法的義務がなくても、NISTのフレームワークを導入することで、米国のサイバーセキュリティ文化に沿った体系的な対策を講じることができ、米国の取引先からの信頼を得やすくなります。
• インシデント対応計画の策定:
  米国の規制では、インシデント発生時の迅速な報告が義務付けられることが多いため、事前の対応計画（報告先、報告内容、報告期限）を明確にしておくことが不可欠です。

これらの法案や基準は常に更新されているため、最新の動向を継続的に把握し、適切な対策を講じることが重要です。専門の法律事務所やコンサルタントに相談することも有効な手段です。

上記以外に、米国証券市場で上場している企業に対してもサイバーセキュリティに関する開示義務があります。

米国証券取引委員会（SEC）は、米国市場に上場している企業に対し、サイバーセキュリティに関する開示義務を強化する新しい規則を制定しました。これは、米国国内企業だけでなく、米国預託証券（ADR）を発行するなどしてSECに登録している日本企業（Foreign Private Issuer、 FPI）にも適用されます。

主な開示義務は以下の2つです。

• 報告のタイミング:
  企業は、サイバーインシデントが「重要（material）」であると判断してから4営業日以内に報告する必要があります。
• 報告内容:
  インシデントの性質、範囲、タイミング、および企業に与える、または与える可能性のある「重要な影響」について説明することが求められます。ただし、捜査を妨げるなど、合理的な理由がある場合は、報告を遅延させることが許可される場合があります。
• 日本企業（FPI）への適用:
  米国内企業はForm 8-Kで報告しますが、日本企業などのFPIはForm 6-Kでの報告が求められます。

• 報告のタイミング:
  年次報告書（Form 10-K、日本企業の場合はForm 20-F）で開示します。
• 報告内容:
  • リスク管理プロセス:
    サイバーセキュリティの脅威による重要なリスクを評価、特定、管理するプロセスについて説明します。
  • 経営陣の役割と専門知識:
    経営陣がこれらのリスクをどのように評価・管理しているか、また、その役割と専門知識について説明します。
  • 取締役会の監視:
    取締役会がサイバーセキュリティリスクをどのように監視しているかについて説明します。

この新しい規則は、投資家が企業のサイバーリスクへの対応状況をより良く理解し、投資判断を下せるようにすることを目的としています。米国市場に上場している日本企業は、これらの新しい開示要件に沿った体制を構築し、迅速な情報開示ができるよう準備を進める必要があります。

さらに、米国政府が定める「16の重要インフラ分野」について、それぞれの分野に含まれる具体的な施設や資産の例を用いて、以下、説明します。

米国政府は、国家の安全保障、経済、公衆衛生、安全を維持するために不可欠な、物理的および仮想的な資産、システム、ネットワークを「重要インフラ」と定義しています。

国土安全保障省（DHS）とサイバーセキュリティ・インフラセキュリティ庁（CISA）は、大統領政策指令（PPD-21）に基づき、以下の16の重要インフラ分野を定めています。これらの分野は、相互に依存し、国家の機能に欠かせないものです。

分野名（原語）分野名（和訳）具体的な施設・資産の例Energyエネルギー発電所（火力、原子力、再生可能エネルギー）、石油・ガス精製所、パイプライン（送油・送ガス）、送電線網、変電所、電力・燃料貯蔵施設。Financial Services金融サービス銀行、証券取引所、決済システム（クレジットカードネットワークなど）、保険会社、連邦準備制度（Fed）の施設。Transportation Systems輸送システム空港管理施設、港湾管理施設、鉄道システム、物流管理施設、橋やトンネルなどの主要な交通インフラ。Communications通信携帯電話ネットワーク、衛星通信システム、放送局、光ファイバーケーブル網、データセンター。Information Technology情報技術（IT）インターネットの主要インフラ（ルーティング、ドメインネームシステム）、クラウドコンピューティングサービス、オペレーティングシステムやセキュリティソフトウェアの提供。Healthcare and Public Health医療・公衆衛生病院、診療所、医薬品・医療機器製造施設、血液バンク、公衆衛生研究所。Food and Agriculture食料・農業大規模な農場、畜産施設、食肉処理施設、主要な食料加工・貯蔵施設、食品流通チェーン。Water and Wastewater Systems水・廃水システム上水処理施設、下水処理場、送水管ネットワーク、主要なポンプ場。Critical Manufacturing重要製造業半導体製造施設、航空機・車両・重機製造工場、電子部品や重要金属を生産する工場。Defense Industrial Base防衛産業基盤軍事システム・装備品の研究開発・製造施設、造船製造施設、防衛関連技術企業。Chemical化学化学製品製造プラント、石油化学工場、危険化学物質の貯蔵・輸送施設。Emergency Services救急サービス警察署、消防署、救急指令センター（911など）、災害復旧センター。Government Facilities政府施設連邦、州、地方政府の主要庁舎、軍事基地、裁判所。Commercial Facilities商業施設主要なショッピングモール、スポーツスタジアム、テーマパーク、大規模な集会施設。Damsダム発電や治水・利水に使用される主要なダム構造物。Nuclear Reactors, Materials, and Waste原子力発電所・放射性物質・廃棄物原子力発電所、放射性物質を扱う研究施設、放射性廃棄物貯蔵施設。

上記16分野における施設（半導体製造施設や空港・港湾管理施設など）で使用されるデジタル製品（産業制御システム、監視カメラ、業務システム、セキュリティソフトウェア、船舶搭載システムなど）は、その機能の性質上、複数の重要インフラ分野の「情報技術（IT）」や「通信」インフラと密接に関連しており、サイバーセキュリティの対象となります。

重要インフラ施設でのデジタル製品サプライヤーに課せられる義務

米国の重要インフラ施設で使用されるデジタル製品のサプライヤー（供給業者）に課せられるサイバーセキュリティ対策は、直接的な法律だけでなく、顧客である重要インフラ事業者が政府との契約や規制を遵守するために、サプライヤーに要求する契約上の義務として課されるケースが多いです。

特に連邦政府との取引がある場合や、重要インフラ事業者が関わる場合は、以下の規制や枠組みが「実質的な法規制」としてサプライヤーにも適用されます。

連邦政府機関や国防総省（DOD）と直接的・間接的に取引がある日本企業（サプライヤー）は、以下の基準の遵守が強く求められます。

• NIST SP 800-171（管理対象非機密情報（CUI）の保護）
  • 対象:
    米国政府との契約に基づき、管理対象非機密情報 (CUI) を取り扱う請負業者やそのサブコントラクター（サプライヤー）。
  • 義務:
    CUIを保護するために、アクセス制御、トレーニング、インシデント対応、メディアの保護など、110項目のセキュリティ要件（NIST SP 800-171）を実装し、遵守することが契約上の義務となります。
• DFARS 252.204-7012（国防総省調達規則）
  • 対象:
    国防総省（DOD）と契約する企業およびそのサプライヤー。
  • 義務:
    NIST SP 800-171の遵守を義務付けるとともに、サイバーインシデントが発生した場合のDODへの報告義務を課しています。
• CMMC (Cybersecurity Maturity Model Certification)
  • 対象:
    DODのサプライチェーン全体。
  • 義務:
    DFARSの要件を満たしていることを第三者認証（または自己評価）によって証明する制度です。将来的に重要インフラ分野にも影響を及ぼす可能性があります。

2021年に発令された「国家のサイバーセキュリティ向上に関する大統領令（E.O. 14028）」は、連邦政府機関が調達するデジタル製品（特にソフトウェア）のサプライヤーに対し、セキュリティ強化を義務付けています。

• セキュア・バイ・デザイン (Secure by Design)
  • 義務:
    ソフトウェアは最初から安全性が考慮された設計・開発プロセス（Secure Software Development Framework: SSDF）を経て提供されることが求められます。
• SBOM (Software Bill of Materials) の提供
  • 義務:
    ソフトウェアの構成要素（サードパーティ製コンポーネントやオープンソースライブラリなど）を一覧化したSBOMを顧客（連邦政府機関や重要インフラ企業）に提供することが求められます。これは、サプライヤーが使用するデジタル製品に既知の脆弱性がないかを顧客側が評価するために不可欠です。
• 脆弱性の迅速な開示と対応
  • 義務:
    サプライヤーは、自社の製品に脆弱性が発見された場合、それを迅速に開示し、修正パッチを提供することが求められます。

重要インフラを運用する企業（例：電力会社、金融機関、医療機関）自身が、以下の理由からサプライヤーに規制遵守を要求します。

• CIRCIA（サイバーインシデント報告法）への対応:
  重要インフラ事業者は、重大なインシデントをCISAに報告する義務があります。このインシデントがサプライヤーのデジタル製品の欠陥や侵害によって引き起こされた場合、その事業者はサプライヤーに対しても情報提供やセキュリティ体制の強化を要求します。
• NIST CSF（サイバーセキュリティ・フレームワーク）準拠:
  多くの重要インフラ事業者が、事実上の業界標準であるNIST CSFを採用しています。これには「サプライチェーン・リスク管理」が含まれており、サプライヤーに対してもNIST CSFに沿ったセキュリティ対策の実施を契約で義務付けるのが一般的です。

米国重要インフラ向けのデジタル製品サプライヤーである日本企業は、以下の対策を講じることが重要です。

1. デジタル製品のリスクアセスメント実施:
   自社デジタル製品のリスクアセスメントを実施すること。
2. NIST SP 800-171/CMMCへの対応:
   適用される可能性がある場合は、これらの要件を組織的に実装し、文書化すること。
3. SBOMの生成と管理:
   自社製品のSBOMを正確に作成・更新し、顧客の要求に応じて提供できる体制を整えること。
4. セキュア開発プロセスの導入:
   ソフトウェア開発ライフサイクル（SDLC）全体にセキュリティを組み込むこと。
5. インシデント対応能力の整備:
   自社製品に起因するインシデントが発生した場合に、顧客と協力し、迅速に調査・対応できる体制を整えること。

日本企業の具体的な取り組み

注: ここで挙げている国際認証は、米国の規制が求める要件（NIST SP 800-171/CSFなど）への準拠を体系的に示し、サプライヤーとして技術文書を整える上で信頼性を高めるための効果的な手段となります。

これは、連邦政府や国防総省（DOD）との契約における情報保護の「事実上の最低基準」です。

対策項目 最初に取り組むべき具体的なステップ 認証制度による補完・強化 適用範囲の特定と準拠 CUI (Controlled Unclassified Information) の取り扱い範囲を特定し、NIST SP 800-171の110の要件（アクセス制御、監査、構成管理など）に対するギャップ分析を実施する。 ISO/IEC 27001 (ISMS) 認証を取得することで、NIST SP 800-171の管理面・組織面の多くを包括的にカバーし、情報セキュリティ管理体制の確立を客観的に証明できる。 文書化と証明 満たしていない要件への対応計画（POA&M）を作成し、進捗を明確に文書化する。 CMMC認証レベルの取得準備を進めることで、DODとの取引に必須となる第三者によるセキュリティ体制の証明を可能にする。

ソフトウェアの「成分表」であるSBOMは、サイバーサプライチェーンの透明性確保とリスク管理に不可欠です。

対策項目最初に取り組むべき具体的なステップ認証制度による補完・強化自動化ツールの選定SCA（ソフトウェア構成分析）ツールを導入し、開発プロセス（CI/CD）に組み込み、SBOMを自動的に生成・更新する体制を確立する。IEC 62443-4-2（コンポーネントの技術要件） 認証を活用することで、デジタル製品の構成要素の安全性と、SBOMによって開示される情報自体の信頼性を示すことができる。提供フォーマットの決定顧客が要求するSBOMの標準フォーマット（SPDXやCycloneDX）を確認し、正確なSBOMを迅速に提供できる仕組みを整える。 

デジタル製品のセキュリティを設計段階から確保し、「Secure by Design」を実現するための対策です。

対策項目最初に取り組むべき具体的なステップ認証制度による補完・強化SSDF (Secure Software Development Framework) の導入開発ライフサイクル（SDLC）にセキュリティ要件定義、SAST/DASTによる解析、脆弱性テストを統合し、安全なコーディング習慣を組織に根付かせる。IEC 62443-4-1(組織・プロセス)認証を取得することで、OT/ICS(産業制御システム)分野の国際標準に準拠したセキュア開発プロセスが確立されていることを客観的に証明できる。
さらに、IEC 62443-4-2（製品/コンポーネント） 認証、または IEC 62443-3-3（システムセキュリティ要件） 認証を取得することで、開発した製品やシステムがICSの国際的なセキュリティ基準を満たしていることを客観的に証明できる。システムインテグレーションシステムインテグレーターとして重要インフラ施設にシステムを導入する場合、セキュリティを考慮した設計・実装を行う。IEC 62443-2-4（システムインテグレーター/サービスプロバイダーの要求事項） 認証を取得することで、安全性の高いシステム導入サービスを提供できる能力を証明し、顧客の信頼を得る。

CIRCIAなどの報告義務に対応するため、インシデント発生時の迅速な初動と報告体制を確立します。

対策項目最初に取り組むべき具体的なステップ認証制度による補完・強化連絡体制の明確化重大なインシデント発生時に、米国の顧客や関連規制当局（CISAなど）への報告責任者、報告内容、72時間以内の報告期限を定めた文書（インシデント対応計画）を作成する。ISO/IEC 27001 の要件に含まれるインシデント管理プロセスを確立することで、対応手順が明確化され、報告までの時間短縮と組織的な連携がスムーズになる。定期的な演習（Tabletop Exercise）自社製品に起因する脆弱性を悪用されたシナリオを設定し、インシデント対応、法務、広報の連携シミュレーションを定期的に実施する。 

本稿では、米国市場で事業を展開する日本企業が直面する、複雑かつ多層的なサイバーセキュリティ法規制について解説しました。連邦、州、業界ごとの規制、そしてサプライチェーン全体に課される要求は、もはや避けては通れない経営課題です。

しかし、これらの規制対応は単なるコストや負担ではありません。以下のステップを戦略的に実行することで、貴社の製品と開発プロセスの安全性を客観的に証明し、米国市場における強力な競争優位性を築くことができます。

第一歩はリスクアセスメントから: まず自社製品がどのような環境で利用され、いかなるリスクに晒されうるかを評価し、取り組むべき対策の優先順位を明確にします。

NISTフレームワークへの準拠: 政府調達の要件であるNIST SP 800-171やCMMCへの対応は、サプライチェーンにおける信頼の基盤となります。

SBOMによる透明性の確保: ソフトウェアの構成要素を明確にするSBOMは、もはや「特別な要求」ではなく、製品の透明性を示すための標準要件となりつつあります。

セキュア開発プロセスの確立: 「Secure by Design」を実現するため、NIST SSDFやOT/ICS分野の国際標準であるIEC 62443-4-1に準拠した開発プロセスを導入し、製品ライフサイクル全体でセキュリティを確保します。

これらの要求に先回りして対応することは、顧客からの信頼を獲得し、ビジネス機会を拡大するための重要な投資です。本稿が、貴社の米国事業戦略の一助となれば幸いです。