CUI(Controlled Unclassified Information)とは【用語集詳細】
CUI(Controlled Unclassified Information)は日本語では「管理された非機密情報」、「管理された非格付け情報」等と訳される、米国政府が定めた情報区分です。
CUIは、米国各政府機関が取り扱う安全保障および原子力に係る情報のうち、機密(Classified)指定には至らないが適切に保護すべき情報を指します。CUIに関する法的根拠として2010年に発行された大統領令13556があります。
CUIは、2001年の米国同時多発テロにおける情報共有・連携の失敗を教訓として、連邦政府、州政府、部族政府、また各機関が別個で制定してきた非機密情報に対する取り扱いを統合する目的で制定されました。
CUIに分類されるカテゴリーは現在以下のとおりです。
1.重要インフラ
2.防衛
3.輸出管理
4.金融
5.移民
6.インテリジェンス
7.国際協定
8.法執行
9.法律
10.自然および文化リソース
11.NATO
12.核(原子力)
13.特許
14.プライバシー
15.調達及び取得
16.企業秘密
17.Provisional
18.統計
19.税
20.輸送
CUIの機密性を保護するための情報セキュリティに関する基準文書として、米国国立標準技術研究所(NIST)が発行するNIST SP800-171があります。
NIST SP800-171には、非連邦政府システムや非連邦組織がCUIを取り扱う際のセキュリティ要求が記載されており、例えば国防総省の契約業者たる防衛企業等は、この基準、あるいはこの基準を元に策定中の認証制度であるCMMCを遵守する必要があります。
我が国の防衛省でも、2023年度より防衛産業サイバーセキュリティ基準として、NIST SP800-171に準じた規定が施行されました。
なお、防衛省が定めるCUIに近似した情報区分として「注意」があります。
