米国商務省は、ホスティングプロバイダーに厳格な顧客確認（KYC）ルールを要求する新しい規則を準備しており、近々発効する可能性があります。

ニュース報道によると：

CIPには、米国プロバイダーがすべての口座（すなわち、米国および海外の顧客口座）の「実質的所有者」を特定することや、海外の顧客口座に関する追加要件など、厳格なKYC要件が含まれています。また、提案された規則では、米国プロバイダーに対し、米国以外の顧客基盤に関する情報を米国政府に報告することを義務付けています。

対象範囲にはどのようなプロバイダーが含まれますか?

提案規則では、「IaaS製品」を「消費者に提供される製品またはサービスで、処理、ストレージ、ネットワーク、その他の基本的なコンピューティングリソースを提供し、消費者がオペレーティングシステムやアプリケーションを含む、事前に定義されていないソフトウェアを導入および実行できるようにするもの」と広く定義しています。この定義は、提案規則が、例えばクラウドサービスプロバイダー（CSP）やCSPからコンピューティング能力を再販するすべての企業に広く適用されることを示唆しています。

提案の全文はオンラインで閲覧可能です。

こうした新しい規則のきっかけは、サイバーセキュリティの向上を目的としたトランプ政権の大統領令に遡る。

アメリカ合衆国大統領ドナルド・J・トランプは、重大な悪意あるサイバー活動に関連する国家緊急事態に対処するため、追加措置を講じる必要があると判断します。これは、外国の悪意あるサイバーアクターによる米国のインフラストラクチャ・アズ・ア・サービス（IaaS）製品の利用に対処するためです。IaaS製品は、レンタルまたはリースで提供されているサーバー上でソフトウェアを実行し、データを保存できる機能をユーザーに提供します。サーバーの保守および運用コストを負担する必要はありません。

悪意のある外国のサイバー犯罪者は、知的財産や機密データの窃盗を通じて米国経済に損害を与え、また、悪意のあるサイバー活動のために米国の重要インフラを標的とすることで国家安全保障を脅かすことを狙っています。外国の犯罪者は、悪意のあるサイバー活動を実行するための様々なタスクに米国のIaaS製品を使用しています。そのため、米国当局がこれらの外国の犯罪者が代替インフラに移行し、以前の活動の証拠を破棄する前に、法的手続きを通じて情報を追跡・入手することは極めて困難です。また、米国のIaaS製品の外国の再販業者の存在により、外国の犯罪者がこれらの製品にアクセスし、検出を回避することが容易になっています。本命令は、外国取引に関する記録保持義務を課す権限を付与するものです。

これらの新しい規制は、米国企業だけでなく海外の再販業者にも同様の記録保持義務を課します。

現在、こうした記録管理の多くは既に行われています。AWSやDigitalOceanに登録するには、氏名とクレジットカード情報を提供する必要があります。しかし、今後、本人確認がどの程度まで進むかはまだ分かりません。

例えば、今後プロバイダーは何らかの写真付き身分証明書の提示を求められるようになるのでしょうか？メールアドレスの確認とクレジットカード情報の入力だけで十分なのでしょうか？それとも「4年前の住所は何でしたか？」といった質問まで必要になるのでしょうか？パスポートをスキャンしたり、公共料金の請求書のコピーを送付したりする必要もあるのでしょうか？

ここ数年、米国にいなくても、身分証明書のスキャンを送る必要もなく、オンライン銀行口座をいくつか開設しました。VMの購入にこれ以上の煩わしい要件は想像できませんが、どうなるかはわかりません。

いずれにせよ、プロバイダーは規制を遵守し、その遵守を文書化する必要があり、これは事業にとって追加コストとなります。そして、そのコストは最終的に顧客が負担することになります。