契約書の中の「7012」「7019」「7021」——読み飛ばすと危険な条項

米国防総省(DoD)調達のサプライチェーンに連なる企業の契約書には、DFARS(国防連邦調達規則補足)のセキュリティ関連条項が含まれています。プライムや上位サプライヤーとの契約・発注書に「DFARS 252.204-7012」等の条項番号が記載されていれば、それは具体的な法的義務です。「英文の定型条項だから」と読み飛ばしたまま署名すると、インシデント発生時に72時間以内の報告義務を知らずに違反する、といった事態になりかねません。

本記事では、CMMCの前提でもあるDFARS主要4条項の内容と、日本企業(下請を含む)が押さえるべき実務を解説します。

主要4条項の全体像

条項通称要求の骨子
252.204-7012CUI保護・インシデント報告条項NIST SP 800-171による「適切なセキュリティ」の実装、サイバーインシデントの72時間以内報告、証拠保全、クラウド要件
252.204-7019SPRS登録条項SP 800-171自己評価スコアのSPRS登録(3年以内の評価)。登録がなければ受注資格なし
252.204-7020政府評価協力条項DoDによる評価(DIBCAC等)への協力義務、下請に7019/7020をフローダウンする義務
252.204-7021CMMC条項契約で指定されたCMMCレベルの取得・維持。2025年11月の48 CFR発効により新規調達へ順次挿入

252.204-7012の中身:5つの義務

① 「適切なセキュリティ」の実装

CUI(Covered Defense Information)を扱うシステムにNIST SP 800-171を実装すること。未達項目はSSP・POA&Mで管理します。

② サイバーインシデントの72時間以内報告

  • CUIまたは契約履行能力に影響するサイバーインシデントを発見した場合、72時間以内にDoDの報告ポータル「DIBNet」へ報告する義務がある
  • 報告にはDoD承認の外部証明書(Medium Assurance Certificate)が必要。これは取得に日数がかかるため、インシデントが起きてから準備したのでは間に合わない。契約時点での事前取得が実務上の鉄則
  • 「調査が完了してから報告」ではなく、判明している範囲で速報し、追って更新する運用が求められる

③ 証拠の保全(90日間)

インシデントに関連するシステムイメージ・ログ等を報告から少なくとも90日間保全し、DoDの要求があれば提供できる状態を保ちます。フォレンジックに耐えるログ設計(改ざん防止・十分な保持期間)が前提になります。

④ マルウェアの提出

検出したマルウェア検体は、DoDのサイバー犯罪センター(DC3)へ提出する義務があります。検体を消してしまう「駆除最優先」の運用とは相反するため、対応手順書に組み込んでおく必要があります。

⑤ クラウド利用時の要件

CUIを外部クラウドに保存する場合、そのクラウドがFedRAMP Moderateベースライン相当を満たし、かつ上記の報告・保全・提出義務に対応できることを確認する義務があります。Microsoft 365等での実装と商用テナントの限界点はM365エンクレーブ構築ガイドを参照してください。

7019/7020:SPRSスコアの「鮮度」と政府評価

  • 3年以内の評価が必要:SPRSに登録するSP 800-171自己評価は「直近3年以内」のものであること。登録したまま放置すると失効する
  • スコアは契約の前提条件:発注側はSPRSを照会してから契約する。未登録=受注資格なしとして扱われる
  • 政府評価への協力:7020により、DoD(DIBCAC)が中位・高位の信頼度評価を行う場合、施設・システム・人員へのアクセスを提供する義務を負う
  • 虚偽申告のリスク:実態より高いスコアの登録は米国虚偽請求法(False Claims Act)の対象となり得る。米国では実際にセキュリティ虚偽申告を理由とした摘発・和解事例が積み上がっており、「とりあえず高めに登録」は法的リスクそのもの

フローダウンの実務——下請はどこまで義務を負うのか

DFARS条項にはフローダウン(下請への条項継承)義務があり、プライム→一次→二次と契約の連鎖に沿って義務が流れてきます。日本企業が下請として発注を受ける場面では、次を確認してください。

  1. 発注書・契約書に条項番号があるか:7012/7019/7020/7021の引用があれば、その義務を自社も負う
  2. CUIが実際に流れてくるか:CUIを受領しない取引形態(仕様を受け取らず汎用品を納めるだけ等)なら、義務の範囲は限定される。「何が流れてくるか」を書面で確認するのが出発点(CUIの特定・マーキング実務参照)
  3. 自社からさらに下請に出す場合:CUIを渡すなら同条項をフローダウンする義務がある。提供先の管理状況の確認と提供記録が必要
  4. 安易な誓約書への署名に注意:プライムからの「SP 800-171準拠を誓約せよ」という書面に、実態の裏付けなく署名するのは虚偽申告リスクを抱え込む行為。ギャップがあるならPOA&M(改善計画)を添えて誠実に回答する

インシデント報告に「事前に」備える5項目

  1. 外部証明書(Medium Assurance Certificate)の事前取得:報告ポータルへのアクセスに必須。担当者の交代も見越して管理
  2. 報告判断フローの整備:「何がreportableか」(CUIへの影響・契約履行への影響)を判断する基準と、72時間のカウント開始点を手順書化
  3. ログ・イメージの保全体制:90日保全に耐えるログ基盤(Sentinel等のSIEM、改ざん防止ストレージ)。Sentinelのコスト設計とあわせて検討
  4. プライムへの連絡経路:下請として発見した場合、DIBNet報告と並行して上位契約者への通知が求められるのが一般的。連絡先と様式を平時に確認
  5. 訓練:年次のインシデント対応訓練にDFARS報告シナリオ(72時間タイムライン)を組み込む

まとめ

DFARS条項は「米国の話」ではなく、契約書に条項番号が引用された瞬間に日本企業自身の義務になります。特に7012の72時間報告は、外部証明書の事前取得・証拠保全体制・報告判断フローという平時の準備がなければ物理的に履行できない義務です。CMMC(7021)対応と並行して、報告体制の整備を先送りしないことが重要です。

BTNコンサルティングでは、契約条項の技術要件の読み解き、NIST SP 800-171ギャップ分析、インシデント報告体制の構築(ログ設計・手順書・訓練)までをITコンサルティングとして支援しています。60分の無料相談からお気軽にどうぞ。

関連記事・参考リンク
CMMC 2.0実務対応ガイド2026NIST SP 800-171解説CUIの特定・マーキング実務M365でのCUIエンクレーブ構築防衛産業サイバーセキュリティ基準とはインシデント対応ガイドDoD DIBNet(報告ポータル) ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。