CUI

データ保護

FOUOとは?機密性と公開の狭間にある情報

- 公務用のみの情報とは? 「公務用のみ」とは、英語の“For Official Use Only”の略語で、FOUOと表記されます。これは、アメリカ合衆国政府、特に国防総省が、文書やデータに付与する指示の一つです。機密情報とまでは言えないものの、一般に公開することが適切でないと判断された場合に、この「公務用のみ」という指示が用いられます。 機密情報は、その漏洩が国の安全保障や利益に深刻な損害を与える可能性があるため、厳重に保護されます。一方、公開情報は誰でも自由に閲覧や利用が可能です。 「公務用のみ」の情報は、機密情報と公開情報の中間に位置するものであり、いわばグレーゾーンの情報と言えるでしょう。例えば、組織内部の業務手順書や、個人のプライバシーに関わる情報などが挙げられます。これらの情報は、業務の円滑な遂行や個人の権利保護のために、限定された範囲内でのみ取り扱われる必要があります。 「公務用のみ」の情報は、機密情報ほどではありませんが、漏洩した場合、組織の信用を失墜させたり、個人の権利を侵害する可能性があります。そのため、取り扱いには十分な注意が必要です。
コンプライアンス

米国防契約を締結する際の必須知識:DFARSの概要

- DFARSとは米国国防総省との取引において、守るべき規則があります。それが「防衛連邦調達規則補足」、英語ではDFARSと略記されるものです。これは、アメリカの連邦政府機関全体で適用される調達規則であるFAR(連邦調達規則)を、国防に関する事項に特化して補足したものです。国防総省と契約を結ぶあらゆる企業や団体は、このDFARSの規則に従うことが必須となります。DFARSが定める規則の中で、特に重要なもののひとつに、情報の保護に関するものがあります。これは、機密情報として指定されてはいないものの、適切に保護する必要がある情報である「管理対象防衛情報」、英語では「Covered Defense Information」を略してCDIと呼ばれます。CDIを扱う契約には、DFARSの規則が適用され、情報漏えいを防ぐためのセキュリティ対策を適切に実施することが求められます。もしも、DFARSの規則に従わずにセキュリティ対策が不十分な場合、国防総省との契約を失ってしまう可能性もあります。そのため、国防総省と契約を結んでいる、あるいは、結ぶ予定のある企業や団体は、DFARSの内容を十分に理解し、必要なセキュリティ対策を講じることが重要となります。
コンプライアンス

グローバルビジネスにおけるNISTの重要性

- NISTとはNISTは、アメリカ国立標準技術研究所(National Institute of Standards and Technology)の省略形で、アメリカ合衆国に設置された国の機関です。主な役割は、測定の基準を定めたり、新しい技術の開発を促進することなど、幅広く活動しています。 近年、日本でもNISTの名前を耳にする機会が増えてきました。これは、情報を取り扱う上での安全確保の重要性が高まっていることが背景にあります。特に、アメリカ合衆国政府が保有する情報を扱う企業や組織にとっては、NISTが示す指針に従うことが必須になりつつあります。 NISTは、サイバーセキュリティに関する様々な枠組みや指針、推奨事項などを提供しており、世界中で活用されています。具体的には、組織がサイバーセキュリティリスクを特定し、管理するための枠組みである「NIST Cybersecurity Framework」や、システムやデータの機密性、完全性、可用性を保護するためのガイドラインである「NIST SP 800シリーズ」などが広く知られています。 これらのNISTの基準や推奨事項は、企業や組織がサイバー攻撃から自身を守るための対策を講じる上で参考になるだけでなく、国際的な取引を行う上でも重要性を増しています。
データ保護

意外と知らないCUI: あなたの情報資産を守るために

- CUIとはCUIとは、「管理された非機密情報」という意味で、アメリカ合衆国政府によって定められた情報区分のことを指します。機密情報のように厳重な管理は求められていませんが、漏洩した場合には国の安全や企業の利益、個人のプライバシー等に悪影響を及ぼす可能性がある情報です。私たちの身の回りにもCUIは存在しています。例えば、企業が保有する顧客情報や技術情報、金融機関が扱う口座情報、医療機関が管理する患者情報などが挙げられます。これらの情報は、機密情報と比べると公開されている範囲も広く、一見すると重要ではないように思えるかもしれません。しかし、これらの情報が悪用されると、企業活動の停滞や個人情報の漏洩、社会的な混乱を招く可能性があります。そのため、CUIは適切に管理し、漏洩や不正アクセスから守ることが重要です。具体的には、情報を扱う担当者への教育や、アクセス制限、暗号化などのセキュリティ対策を講じる必要があります。また、情報資産の重要度に応じて、適切な管理体制を構築することも大切です。CUIは、決して私たちにとって遠い存在ではありません。CUIへの理解を深め、適切な情報管理を心がけることが、安全な情報社会の実現につながると言えるでしょう。