すべての対応は「何がCUIか」の特定から始まる

CMMCNIST SP 800-171への対応を進めるうえで、技術対策よりも先に必要なのが「自社に流れてくる情報のうち、どれがCUIなのか」を特定する作業です。ここを曖昧にしたまま進めると、スコープが定まらず対策費用が膨張するか、逆に保護漏れによる契約違反リスクを抱えることになります。

本記事では、CUIの分類(Basic/Specified)、米国側から届く文書のマーキングの読み方、日本企業が特に注意すべき配布制限(NOFORN等)と輸出管理規制(ITAR/EAR)との関係、そして受領から保管・再配布までの実務フローを解説します。

CUIの基本:誰が決めて、どこに定義があるのか

CUI(Controlled Unclassified Information:管理対象非機密情報)は、機密指定(Classified)ではないが、米国の法令・規則・政府方針により保護や配布制限が求められる情報です。米国家公文書記録管理局(NARA)が制度を所管し、CUI Registry(カテゴリの公式一覧)に約20グループ・100超のカテゴリが定義されています。防衛分野では国防総省のDoDI 5200.48がマーキング・取扱いの実務ルールを定めています。

  • 防衛関連で頻出するカテゴリ:CTI(管理対象技術情報)、輸出管理情報(Export Controlled)、調達・契約情報など
  • 重要な原則:CUIかどうかを決めるのは情報の作成者(米政府機関・プライム)であり、受領者が勝手に解除・格下げすることはできない

CUI Basic と CUI Specified の違い

区分CUI BasicCUI Specified
保護要件の根拠制度共通の標準(NIST SP 800-171の管理策)個別の法令・規則が固有の保護要件を規定
取扱いの難易度標準的(SP 800-171準拠で対応可能)高い(追加要件・配布制限が上乗せされる)
代表例一般的な調達関連情報など輸出管理情報(ITAR/EAR)、原子力関連情報など
マーキング例CUI または CUI//CTICUI//SP-CTI のように「SP-」が付く

日本企業にとっての実務的な意味は明確です。「SP-」付き(Specified)、特に輸出管理系のCUIが流れてくる場合は、SP 800-171の標準対策だけでは足りず、個別規制への対応が必要になります。見積り・スコープ定義の前に、受領する情報にSpecifiedが含まれるかを必ず確認しましょう。

マーキングの読み方:バナー・カテゴリ・配布制限

米国側から届く文書には、ページ上部(バナー)に次の形式でマーキングが付されます。

🏷️ マーキングの構造

CUI//カテゴリ//配布制限 の3層構造。例:

  • CUI — CUIであることのみ表示(Basicの最小形)
  • CUI//CTI — 管理対象技術情報(Controlled Technical Information)
  • CUI//SP-CTI — Specified(個別規制あり)の技術情報
  • CUI//SP-CTI//NOFORN — さらに外国人への開示禁止の配布制限付き
  • CUI//CTI//REL TO USA, JPN — 米国と日本に限定して開示可

日本企業が最初に確認すべきは「配布制限」

  • NOFORN(No Foreign Dissemination):外国政府・外国人への開示禁止。原則として日本企業・日本人従業員は受領できない。NOFORN付き文書が届いた場合は開かずに発信元へ確認するのが正しい対応
  • REL TO(Releasable To):列挙された国に開示可。「REL TO USA, JPN」なら日本企業も受領可能だが、リストにない国の拠点・従業員(例:海外子会社の外国籍エンジニア)への展開は不可
  • FED ONLY/FEDCON:連邦政府職員・契約者限定。範囲外への転送は契約違反

つまり、マーキングは「保護レベル」だけでなく「誰に見せてよいか」を規定しており、アクセス権設計(誰をCUI取扱者にするか)の直接のインプットになります。

ITAR/EARとの関係——CUIと輸出管理は「別の制度で重なる」

混同されがちですが、CUIと輸出管理規制(ITAR:国際武器取引規則/EAR:輸出管理規則)は別の制度です。ただし対象情報は重なります。

  • CUI制度:情報の「保護(セキュリティ管理策)」を要求する枠組み
  • ITAR/EAR:情報・技術の「移転(誰に渡せるか)」を規制する枠組み。みなし輸出(deemed export)の考え方により、自社内であっても外国籍者への開示が「輸出」と扱われ得る
  • 輸出管理対象の技術データはCUI Specified(SP-付き)としてマーキングされることが多く、SP 800-171の管理策+輸出管理コンプライアンス(該非判定・ライセンス・国籍管理)の両輪が必要になる
  • クラウド保管では、データ所在地と運用者の国籍が論点になる。商用クラウドの限界とGCC High論点はM365エンクレーブ構築ガイドを参照

受領から保管・再配布までの仕分けフロー

  1. 受領時の識別:契約書・SOW・送付状でCUI指定の有無を確認。マーキングの有無に関わらず、契約上CUIと指定された情報はCUIとして扱う(マーキング漏れは発信元に確認)
  2. 仕分け:①CUIでない → 通常管理。②CUI Basic → エンクレーブへ格納。③CUI Specified(SP-)→ 輸出管理該当性を確認のうえ、より厳格な区画へ。④NOFORN等で受領不可 → 開封せず発信元へ連絡
  3. 保管:CUI専用の保管場所(専用サイト・アクセス制限フォルダ)へ格納し、一般環境への拡散を防ぐ。Purview秘密度ラベルでマーキングをデジタル管理に対応付けると運用が安定する
  4. 社内展開:配布制限(REL TO等)に基づき、開示可能な従業員の範囲を確認してからアクセス権を付与。教育未受講者には付与しない
  5. 派生文書の作成:CUIを引用・加工した社内資料もCUIとしてのマーキングと管理を継承する(派生時のマーキング漏れが最頻出の不備)
  6. 再配布(下請への提供):契約のフローダウン条項に基づき、提供先がSP 800-171相当の管理を実装していることを確認。提供記録を残す
  7. 廃棄:読み取り不能な方法(NIST SP 800-88準拠のメディアサニタイズ等)で廃棄し、記録を残す

よくある不備と過剰対応

  • 派生文書のマーキング漏れ:受領文書は管理していても、それを引用した設計書・議事録が一般フォルダに置かれる
  • 「全部CUI扱い」の過剰対応:判断を避けて全文書をCUI扱いにすると、スコープが全社に拡大し対応費用が膨張する。仕分け基準を作って絞り込むことが費用統制の要
  • メール添付での拡散:CUIをメール添付で回覧し、各自のメールボックスに残り続ける。専用サイト格納+リンク共有へ動線を変える
  • 外国籍従業員の考慮漏れ:REL TO・輸出管理該当データへのアクセス権設計で国籍要件を見落とす
  • 発信元への確認をためらう:マーキングが曖昧な文書を推測で処理する。CUI指定の解釈権は発信元にあり、確認は正当な行為

まとめ

CUI対応の成否は、技術対策の前段にある「特定と仕分け」の精度で決まります。Basic/Specifiedの区分と配布制限(NOFORN・REL TO)を読めるようになること、受領から派生・再配布・廃棄までのフローを定義すること、そしてマーキングをPurview秘密度ラベル等のデジタル管理に対応付けること——この3点を押さえれば、スコープを絞った費用効率のよいCMMC・SP 800-171対応が可能になります。

BTNコンサルティングでは、CUI仕分け基準の策定、取扱いフローの設計、Microsoft 365でのエンクレーブ実装までをITコンサルティングとして支援しています。60分の無料相談からお気軽にどうぞ。

関連記事・参考リンク
CMMC 2.0実務対応ガイド2026NIST SP 800-171解説M365でのCUIエンクレーブ構築防衛産業サイバーセキュリティ基準とはDFARS条項とインシデント報告義務NIST SP 800-88(メディアサニタイズ)解説NARA: CUI Registry ↗DoD CUI Program ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。