インターネットサービスのKYC要件に対する4日間の異議申立期間

 (federalregister.gov)
1 ポイント 投稿者 GN⁺ 2024-04-26 | 1件のコメント | WhatsAppで共有

IaaS提供者の顧客識別プログラムおよび免除関連規定の要約

  • すべての米国IaaS提供者は、最低限の要件を満たす書面の顧客識別プログラム(CIP)を策定し、実施しなければならない
  • CIPには、顧客および実質的所有者の識別情報の収集、外国人顧客および実質的所有者の本人確認、情報の保管、情報開示に関する顧客通知などの手続きが含まれなければならない
  • IaaS提供者は、潜在的な外国人顧客と実質的所有者から、少なくとも氏名、住所、アカウントの支払い手段/資金源、メールアドレス、電話番号、IPアドレスなどの情報を収集しなければならない
  • IaaS提供者は、文書または非文書方式で外国人顧客と実質的所有者の本人確認を行うリスクベースの手続きを策定しなければならない
  • 顧客の本人確認ができない状況への対応手続きもCIPに含めなければならない
  • 顧客情報の確認過程で得たすべての情報の記録を最低2年間安全に保管し、第三者のアクセスを制限する手続きを整備しなければならない
  • IaaS提供者は、外国リセラーにもCIPの維持と実施を求め、リセラーのCIPの写しを要請があれば10日以内に商務省へ提出しなければならない
  • 不遵守の外国リセラーとの取引は30日以内に停止しなければならない

CIP報告要件の要約

  • すべてのIaaS提供者は、自社および外国リセラーのCIP実施を商務省に通知するため、CIP認証フォームを提出しなければならない
  • 毎年CIPを見直して更新し、再認証しなければならず、その間に重大な変更があった場合は商務省に通知しなければならない
  • 新しいIaaS提供者は、サービス提供前にCIP認証フォームを提出し、新たな外国リセラーを追加した場合も通知しなければならない
  • 外国リセラーからCIP情報を収集し、毎年商務省に提出しなければならない

CIP遵守評価の要約

  • 商務省はIaaS提供者のCIPの写しを要請して検査でき、不十分な点について是正を通知できる
  • 商務省は、自らの評価やIaaS提供者が提出した情報などに基づいてリスクを評価し、遵守評価を実施する
  • コンプライアンス監督の結果に応じて、リスク低減措置や特別措置などを勧告できる

CIP免除規定の要約

  • 商務長官は、IaaS提供者、アカウントの種類、借主、外国リセラーなどに対してCIP要件の遵守免除を付与できる
  • IaaS提供者は、IaaS製品の悪用防止プログラム(ADP)を策定することで、CIP要件の免除を申請できる
  • ADPには、リスク指標の特定、検知、対応、定期的な更新などの方針と手続きが含まれなければならない
  • 免除を維持するため、ADPの変更事項を毎年商務省に通知しなければならず、免除はいつでも取り消され得る

特定の国や外国人に対する特別措置の要約

  • 商務長官は、特定の国や外国人が米国のIaaS製品を悪用したサイバー活動に関与したと判断した場合、特別措置を課すことができる
  • 当該国にいる外国人のアカウント開設を禁止または条件付きとする措置、特定の外国人のアカウント開設を禁止または制限する措置などがある
  • 特別措置を課すかどうか、およびその種類は、関連要因を総合的に評価して決定する

大規模AIモデル学習の報告要件の要約

  • IaaS提供者は、外国人による悪意あるサイバー活動に悪用され得る大規模AIモデル学習取引を認識した場合、15日以内に商務省へ報告しなければならない
  • 外国リセラーにも同様の報告義務があり、IaaS提供者はこれを30日以内に商務省へ提出しなければならない
  • 商務省の要請があれば、15日以内に追加情報を提供する追完報告書を提出しなければならない
  • 誤りを発見した場合は、15日以内に訂正報告書を提出しなければならない
  • 報告書には、外国人顧客情報、学習関連情報などが含まれなければならない
  • IaaS提供者は、外国リセラーがこの要件を遵守するよう合理的な努力を払わなければならない

規定違反に対する執行の要約

  • 禁止行為には、CIPの未策定/未維持、リセラーCIPの不遵守、大規模AIモデル学習の禁止/停止の不履行などがある
  • 商務省に虚偽の陳述を行うことも違反行為に当たる
  • IEEPAに基づき、1件あたり最大25万ドル、または違反取引額の2倍のいずれか大きい額の民事制裁金が科され得る
  • 故意の違反には、最大100万ドルの罰金または20年以下の懲役が科され得る
  • このほか、米国法に基づく別の民事・刑事罰もあり得る

GN⁺の意見

この規定は、米国のIaaS提供者に外国人顧客の識別と検証を義務付けることで、悪意あるサイバー活動への悪用を防ごうとするもののようです。特に、大規模AIモデル学習にIaaSが使われることへの懸念も反映されているようです。

IaaS提供者の立場では、顧客情報の収集と検証、記録保存などの負担が大きくなりそうです。外国人顧客の確認は容易ではないかもしれず、プライバシーの問題も予想されます。外国リセラーとの契約関係にも影響が出るでしょう。

一方で政府は、これを通じてIaaS市場に対する統制力を高め、国家安全保障上の脅威を遮断しようとしているように見えます。特定の国や行為者を標的にした特別措置条項が目立ち、地政学的な対立を反映しているようです。

大規模AIモデル関連の条項は、AIのデュアルユース性に対する認識が高まった結果のようです。政府がIaaSを通じたAI開発活動を監視しようとする意図もうかがえます。技術の進展に伴う新たなリスクに対応しようとする試みと解釈できます。

この規定は、国家安全保障と技術革新の間のバランスを模索する過程のように見えます。IaaS提供者にとっては負担ですが、長期的には市場の健全性と信頼性の向上に寄与する可能性があります。ただし、過度な規制によるイノベーション阻害への懸念もあり、慎重な実施が必要に思われます。

関連記事

1件のコメント

 
GN⁺ 2024-04-26
Hacker Newsの意見
  • この法案は、IaaS(インフラ)プロバイダーに対し、自社サービスをAIの学習に使用する人々の身元確認を義務づけるもののようだ。制裁対象者や悪意ある行為者がAIを学習させ、サービス間を移動したり偽名を使ったりしてモデル学習を継続するのを防ごうとする試みだ。
  • これは比較的無害に見え、HNの議論で他の人たちがしている類推を理解するのが難しい。滑りやすい坂道なのか、それとも法案の範囲について自分が甘く見ているのか疑問だ。
  • IaaSプロバイダーは激しく反対するだろうし、AWSがKYC書類を要求し始めたら、すぐにすべてのクラウドリソースを別の場所へ移すだろう。そのための手間はほとんどない。
  • KYCは「Know Your Customer(顧客確認)」を意味する。略語を最初に使うときは正式名称を書くべきだ。特にリンク先の記事では略語自体が使われていなかったからだ。また、この提案は一般的な「インターネットサービス」ではなく、米国のIaaS製品を対象としている点も注目に値する。
  • もし銀行が顧客を把握しているなら、私たちがそうする必要はない。KYCの行き着く先は常に決済と金融だ。私たちが標準的な銀行カード決済や送金などでサービス料金を受け取るのであれば、顧客の把握は銀行に集中させられる。
  • ますます多くのオンラインサービスにKYC要件が追加されていく傾向が心配だ。KYCはサービスを提供しようとする側に大きな負担を課す。
  • KYCシステムは犯罪者をうまく排除できない傾向がある。ほとんどのKYCシステムはデータアグリゲーター(個人データを購入する業者)に依存しており、若者や貧困層、あるいはプライバシーを重視する人々は疑わしい存在と見なされがちだ.