International Legal Highlights | Spring 2024

DAG Monaco and AAG Argentieri unveiled plans for a whistleblower program that will reward individuals who help DOJ uncover significant corporate or financial misconduct. The new whistleblower program will “fill gaps” not covered by existing whistleblower programs and provides DOJ with another tool to encourage companies to enhance their compliance programs and voluntarily self-disclose misconduct. DOJ will use the next 90 days to fully develop its whistleblower program before formally implementing a pilot program.

At the conference, AG Garland, DAG Monaco and others discussed recent DOJ corporate enforcement policy initiatives. DOJ’s leadership repeatedly emphasized the substantial financial benefits of voluntary self-disclosure, cooperation and remediation while stressing the importance of accountability for individual wrongdoers and the need to address corporate recidivism. Companies with a history of misconduct can expect to receive harsher financial penalties designed to deliver meaningful consequences.

DOJ officials also discussed a number of ongoing DOJ enforcement priorities, including artificial intelligence (AI), cryptocurrency, data protection and sanctions. DOJ cautioned that criminal deployment of AI will result in prosecutors seeking stiffer penalties and highlighted an increasing connection between corporate enforcement objectives and American national security interests related to the protection of sensitive data.

IN DEPTH

DOJ’s New Whistleblower Pilot Program

The headline from the 2024 White Collar Conference is DOJ’s new whistleblower program. DAG Monaco and AAG Argentieri announced that DOJ will use the next 90 days to develop and implement a DOJ-run pilot whistleblower program, which is expected to start later this year. If an individual helps DOJ discover misconduct that was otherwise unknown to DOJ, then the whistleblower can qualify for a monetary share of any resulting civil or criminal forfeiture action.

By implementing its own whistleblower program, DOJ is hoping to emulate the success of other whistleblower programs, which have become “indispensable” for many federal agencies. For example, in 2023, the US Securities and Exchange Commission’s (SEC) Whistleblower Program received more than 18,000 tips and awarded nearly $600 million to whistleblowers. The Commodity Futures Trading Commission’s (CFTC) Whistleblower Program has resulted in enforcement actions leading to more than $3 billion in financial penalties in the past decade.

DOJ’s whistleblower program is meant to “fill gaps” and proactively address misconduct that existing federal whistleblower programs do not already cover. In particular, DOJ is focused on criminal abuses of the US financial system, foreign corruption matters outside the jurisdiction of the SEC and domestic corruption matters involving bribes to government officials. DOJ also appears to be heavily focused on privately-owned companies. As examples of cases that would fall within DOJ’s new whistleblower program, DAG Monaco referenced the chief financial officer of a private equity firm forging loan documents or a private technology startup paying bribes to obtain regulatory approvals.

DAG Monaco and AAG Argentieri also made clear that DOJ’s whistleblower program is designed to drive companies to voluntarily self-disclose misconduct and to do so quickly. Whistleblowers can only obtain an award by providing original information, and companies can only obtain the benefits of DOJ’s voluntary self-disclosure program if they are “first in the door.” As DAG Monaco explained, “[w]hen everyone needs to be first in the door, no one wants to be second.” DOJ expects these “incentives to reinforce each other and multiplier effect, encouraging both companies and individuals to tell us what they know as soon as they know it.”

DAG Monaco and AAG Argentieri said DOJ will offer payments to whistleblowers under the following conditions:

• Only after all victims have been properly compensated
• Only to those who submit truthful information not already known to the government
• Only when the information is provided voluntarily and not in response to any government inquiry, preexisting reporting obligation or imminent threat of disclosure
• Only to those not involved in the criminal activity itself
• Only in cases where there is not an existing financial disclosure incentive – such as a qui tam or another applicable federal whistleblower program

Other key details of the forthcoming whistleblower program, however, have yet to be developed or announced. DOJ provided no information regarding the range of potential whistleblower awards, the criteria for determining the amount of a whistleblower award, or who will be ultimately responsible for determining whether an individual is entitled to a whistleblower award. Until these additional details are known, it is difficult to predict whether the program will have a meaningful impact on corporate enforcement going forward.

DOJ’s ‘Carrots and Sticks’ Approach to Corporate Enforcement

Throughout the 2024 White Collar Conference, DOJ officials spoke extensively about DOJ’s ongoing corporate enforcement efforts and policies. AG Garland, DAG Monaco and other officials repeatedly emphasized the need to hold both individuals and corporations accountable for misconduct, while encouraging companies to invest in a culture of compliance and voluntarily self-disclose any misconduct. To achieve these goals, DOJ continues to implement what it refers to as a “carrots and sticks” approach to corporate enforcement.

The “sticks” include aggressive prosecution of the most serious individual and corporate wrongdoers and significant consequences for corporate recidivists. AG Garland noted that DOJ’s “first priority in the area of white collar crime is going after individual bad actors.” He explained that the “greatest deterrence to white collar crime is fear of individual prosecutions of executives.” DAG Monaco and AAG Argentieri then emphasized convictions DOJ has recently obtained against individual corporate executives, including the convictions of FTX’s CEO Samuel Bankman-Fried and Binance’s CEO Changpeng Zhao. DAG Monaco, AAG Argentieri and other officials also spoke repeatedly about the need to address corporate recidivism, with increased financial penalties for companies with a history of past misconduct.

As for the “carrots,” DAG Monaco highlighted the benefits of DOJ’s voluntary self-disclosure (VSD) programs, touting the single corporate VSD policy for all US Attorney’s Offices nationwide that was rolled out last year. Voluntary self-disclosure remains at the core of DOJ’s corporate enforcement efforts. DAG Monaco’s mantra for corporations that discover misconduct is to “step up and own up,” encouraging disclosure first and foremost if they desire the most beneficial treatment considerations, including declination, non-prosecution agreements and deferred prosecution agreements, and substantially reduced monetary penalties. She, however, noted that even if DOJ discovers misconduct in the absence of company disclosure, cooperation and remediation remain valuable considerations for DOJ in the process of resolution.

DOJ believes its “carrots and sticks” approach is working. AAG Argentieri noted that DOJ has already seen “substantial year-over-year increases in disclosures” from companies to DOJ’s fraud section, with nearly twice as many disclosures in 2023 as in 2021.

DOJ’s Current Enforcement Priorities

AG Garland, DAG Monaco and other officials also discussed a number of ongoing DOJ’s enforcement priorities. In addition to traditional financial crimes, government officials repeatedly referenced AI, cryptocurrency, data security and sanctions.

DOJ and other government officials focused heavily on AI throughout the 2024 White Collar Conference. AG Garland observed that AI demonstrates great promise, but it has evolved with equally great risk, particularly in accelerating cyberattacks, advancing fraud and enhancing national security threats. DOJ will be hiring experts in computer science and technology to address AI capabilities and enforcement concerns. DAG Monaco also noted that federal prosecutors will seek penalty enhancements if AI is used to further criminal activity.

Assistant Attorney General for National Security, Matthew Olsen, emphasized the importance of sensitive data security as a crucial measure to protect US national security interests. Citing President Joe Biden’s recent Executive Order that grants authority to DOJ to issue regulations to strengthen security protections for Americans’ bulk sensitive data, including personal, health and financial data, AAG Olsen encouraged companies to have a clear understanding of the data that they have collected for their businesses and how it is safeguarded, where that data is being transmitted, who has access to the data, and where the data will potentially be shared, through sales or otherwise.

AAG Olsen also noted that corporations “are on the front lines when it comes to enforcing critical national security tools, like sanctions and export controls.” AAG Olsen said that the National Security Division has more than “doubled the number of prosecutors working on sanctions, export control, and foreign agent laws” and “brought on two veteran prosecutors to serve as the division’s first ever chief and deputy chief counsel for corporate enforcement.”

DOJ and other government agencies remain focused on fraud involving cryptocurrency. As noted above, AAG Argentieri highlighted the recent FTX and Binance convictions. And SEC’s Director of Enforcement, Grubir Grewal, and CFTC’s Director of Enforcement, Ian McGinley, both addressed their agencies’ ongoing enforcement efforts regarding cryptocurrency.

KEY TAKEAWAYS

• DOJ is aggressively encouraging companies to voluntarily self-disclose misconduct and to do so at the earliest possible opportunity. DOJ clearly expects the threat of increased whistleblower activity to further pressure companies to voluntarily self-disclosure misconduct.
• While the new whistleblower program underscores DOJ’s efforts to incentivize self-disclosure, it is unclear whether the program will have a meaningful impact on enforcement. Rewards will only be available to individuals with no involvement in the alleged misconduct and only after all victims have been paid. These limitations could substantially reduce the financial incentives for potential whistleblowers to come forward and report wrongdoing.
• Companies that do not voluntarily self-report misconduct should expect DOJ to seek harsher financial penalties going forward. Throughout the 2024 White Collar Conference, government officials explained that financial penalties cannot become “the cost of doing business” and noted that increased penalties may be necessary to deter future misconduct.
• A well-designed and robust corporate compliance program is critical in the current enforcement environment, where DOJ is actively encouraging whistleblowers to come to DOJ first. Companies should ensure that their compliance programs are designed to proactively identify misconduct which is then investigated and remediated so that self-disclosure is at least an option.
• dOJ increasingly views corporate enforcement as a national security issue. Companies can expect DOJ to continue to focus on sanctions and export control violations.
• DOJ recognizes both the promise and perils of AI. DOJ officials expressed growing concern about the use of AI to commit sophisticated financial fraud, as well as cybercrimes that manipulate data and threaten national security interests. If AI is uncovered as part of corporate misconduct, federal prosecutors are likely to pursue enhanced penalties. Companies should continuously monitor fraud prevention strategies and data security protocols to identify and address evolving risks associated with disruptive technologies like AI.

Show Less

モナコ司法副長官とアルジェンティエリ司法次官補代理は、DOJが重大な企業や金融の不正行為を摘発するのに協力した個人に褒賞を与える内部告発プログラムの計画を発表した。この新しい内部告発プログラムは、既存の内部告発プログラムではカバーされていない「ギャップを埋める」ものであり、企業にコンプライアンス・プログラムの強化や不祥事の自発的な自己開示を促すための新たな手段をDOJに提供するものである。DOJは今後90日間で、パイロットプログラムを正式に実施する前に、内部告発プログラムを十分に策定する。

同会議では、ガーランド司法長官、モナコ司法副長官らが、最近のDOJの企業取り締まり政策について議論した。DOJの指導者たちは、自発的な自己開示、協力、是正によって企業が享受できる多大な経済的利益を繰り返し強調する一方、個々の不正行為者に関する説明責任の重要性と企業の再犯防止に取り組む必要性を強調した。過去に不祥事を起こしたことのある企業は、有意な結果をもたらすよう設計された、より厳しい罰則を受けることが予想される。

DOJ関係者はまた、人工知能（AI）、暗号資産、データ保護、制裁など、DOJが現在進めている執行の優先事項についても言及した。DOJは、AIの犯罪のための利用は、検察がより厳しい罰則を求める結果となると警告し、企業に対する執行の目的と機密データの保護に関連するアメリカの国家安全保障上の利益との関連性が高まっていることを強調した。

より深く

DOJの新内部告発パイロットプログラム

2024年ホワイトカラー会議のヘッドラインは、DOJの新しい内部告発プログラムである。モナコ司法副長官とアルジェンティエリ司法次官補代理は、DOJが、DOJが運営する試験的な内部告発プログラムを今後90日間で策定し、実施すると発表した。このプログラムは今年の後半に開始することが期待される。ある個人がDOJが認識していない不正行為を発見する手助けをした場合、その内部告発者は民事上または刑事上の没収措置の結果として生じる金銭的分配を受ける資格を得ることができる。

DOJは、独自の内部告発プログラムを実施することで、多くの連邦政府機関にとって「不可欠」となっている他の内部告発プログラムの成功を模倣したいと考えている。例えば、2023年、米証券取引委員会（SEC）の内部告発プログラムは1万8000件以上の通報を受け、約6億ドルを内部告発者に授与した。商品先物取引委員会（CFTC）の内部告発プログラムでは、過去10年間に30億ドル以上の罰金につながる執行が行われた。

DOJの内部告発プログラムは、既存の連邦内部告発プログラムがまだカバーしていない「ギャップを埋め」、事前に不正行為に対処することを目的としている。特にDOJは、米国金融システムの犯罪的悪用、SECの管轄外の海外腐敗問題、政府高官への賄賂を含む国内腐敗問題に重点を置いている。また、DOJは民間企業にも重点を置いているようである。モナコ司法副長官は、DOJの新しい内部告発プログラムに該当する事例として、プライベート・エクイティ会社のCFOが融資書類を偽造するケースや、民間のテクノロジー関連スタートアップ企業が規制当局の承認を得るために賄賂を支払うケースを挙げた。

モナコ司法副長官とアルジェンティエリ司法次官補代理は、また、DOJの内部告発プログラムは、企業が自発的に不祥事を自己開示し、それを迅速に行うよう促すように設計されていることを明らかにした。内部告発者は独自の情報を提供することによってのみ褒賞を受けることができ、「最初にドアを叩いた」企業のみがDOJの自発的自己開示プログラムの恩恵を受けることができる。モナコ司法副長官が説明したように、「最初に行う必要がある場合、誰も二番手にはなりたくない」のである。DOJは、このような「インセンティブが互いに強化し合い、相乗効果をもたらし、企業も個人も、知った後すぐにDOJに伝えるよう促す」ことを期待している。

モナコ司法副長官とアルジェンティエリ司法次官補代理は、以下の条件で、DOJは内部告発者に支払いを行うだろうと述べる。

• すべての被害者に適切な補償が行われた後。
• 政府が認識していない真実の情報を提供した場合に限る。
• 政府からの照会、既存の報告義務、または開示の差し迫った脅威に応じるためではなく、自発的に情報を提供する場合に限る。
• 犯罪行為自体に関与していない者が提供する場合に限る。
• クイ・タム（Qui Tam）や他の連邦内部告発プログラムなど、既存の金銭的な情報開示インセンティブがない場合に限る。
• しかし、今後予定されている内部告発プログラムのその他の重要な詳細については、まだ策定も発表もされていない。DOJは、内部告発者に対する褒賞の可能性の範囲、褒賞の金額を決定する基準、または個人が褒賞を受ける権利があるかどうかを決定する最終的な責任者についての情報を提供していない。これらの詳細が明らかになるまでは、このプログラムが今後の企業取り締まりに有意な影響を与えるかどうかを予測することは困難である。

DOJの飴と鞭による企業取り締まりへのアプローチ

2024年ホワイトカラー会議を通じて、DOJ関係者はDOJの継続的な企業取り締まりの取り組みと方針について幅広く語った。ガーランド司法長官、モナコ司法副長官をはじめとする当局関係者は、個人と企業の双方に不祥事の責任を問う必要性を繰り返し強調するとともに、企業にはコンプライアンス文化への投資と不祥事の自発的自己開示を奨励した。これらの目標を達成するため、DOJは企業取り締まりにおいて「アメとムチ」と呼ばれるアプローチを実施し続けている。

「ムチ」には、最も深刻な個人および企業の不正行為者に対する積極的な起訴と、企業の再犯者に対する重大な処罰が含まれる。ガーランド司法長官は、DOJの「ホワイトカラー犯罪の分野での最優先事項は、個人の悪質な行為者を追及することである」と指摘した。そして、「ホワイトカラー犯罪に対する最大の抑止力は、経営者個人が訴追されるかもしれないという恐怖である」と説明した。モナコ司法副長官とアルジェンティエリ司法次官補代理は、FTXのサミュエル・バンクマン-フリードCEOとバイナンス（Binance）のチャンペン・ザオCEOの有罪判決など、DOJが最近獲得した企業幹部個人に対する有罪判決を強調した。モナコ司法副長官、アルジェンティエリ司法次官補代理、その他の当局関係者はまた、過去に不正行為の履歴がある企業に対する金銭的罰則を強化することで、企業の再犯防止に取り組む必要性について繰り返し語った。

「アメ」については、モナコ司法副長官が、DOJの自発的自己開示（VSD）プログラムの利点を強調し、昨年から全国の連邦検事局に導入された企業VSDポリシーを紹介した。自発的自己開示は、依然としてDOJの企業取り締まりの中核をなしている。モナコ司法副長官は、不祥事を発見した企業に対し、「進み出て白状する」ことを標語としており、不起訴処分、不起訴合意、起訴猶予合意、罰金の大幅減額など、最も有利な処遇を望むのであれば、何よりもまず情報開示を行うことを奨励している。しかし、彼女は、企業の情報開示がないままDOJが不祥事を発見した場合でも、協力と是正はDOJにとって解決過程における貴重な検討事項であることに変わりはないと指摘した。

DOJは「アメとムチ」のアプローチが奏功すると考えている。アルジェンティエリ司法次官補代理は、DOJの不正部門に対する企業からの「前年比での開示件数の大幅な増加」がすでに確認されており、2023年には2021年の約2倍の開示件数があったと指摘した。

DOJの現在の取り締まり政策

ガーランド司法長官、モナコ司法副長官をはじめとする当局関係者は、現在進行中のDOJの執行優先事項についても言及した。従来の金融犯罪に加え、政府高官はAI、暗号資産、データ・セキュリティ、制裁について繰り返し言及した。

DOJと他の政府関係者は、2024年ホワイトカラー会議を通じてAIに大きく焦点を当てた。ガーランド司法長官は、AIは大きな可能性を示しているが、特にサイバー攻撃の加速、詐欺の進展、国家安全保障上の脅威の増大など、同様に大きなリスクを伴う進化を遂げていると指摘した。DOJは、AIの能力と取り締まり上の懸念に対処するため、コンピューター・サイエンスとテクノロジーの専門家を雇用する予定である。モナコ司法副長官はまた、AIが犯罪行為を助長するために使用された場合、連邦検察官は刑罰の強化を求めると述べた。

国家安全保障担当のマシュー・オルセン司法次官補は、米国の国家安全保障上の利益を守るための重要な措置として、機密データのセキュリティの重要性を強調した。オルセン司法次官補は、ジョー・バイデン大統領による最近の大統領令を引き合いに出し、個人情報、健康データ、財務データなど、米国人の大量の機密データのセキュリティ保護を強化するための規制を発行する権限がDOJに付与されたことに触れ、企業に対し、ビジネスのために収集したデータとその保護方法、データの送信先、データへのアクセス権者、販売などを通じてデータが共有される可能性のある場所について明確に理解するよう促した。

オルセン司法次官補はまた、企業は「制裁や輸出規制のような重要な国家安全保障手段の執行に関して、最前線にいる」と指摘した。オルセン司法次官補によると、国家安全保障部は、「制裁、輸出管理、外国代理人法を担当する検察官を2倍以上」に増員し、「2人のベテラン検察官を同部初の企業取り締まりの主任と副主任として迎え入れた」とのことである。

DOJをはじめとする政府機関は、暗号資産に絡む詐欺に引き続き注目している。上述のように、アルジェンティエリ司法次官補代理は最近のFTXとバイナンスの有罪判決を強調した。また、SECのグルビア・グレワル執行部長とCFTCのイアン・マッギンリー執行部長は、暗号資産に関する各機関の継続的な取り締まり活動について言及した。

重要なポイント

• DOJは企業に対し、不祥事を自発的に自己開示すること、そして可能な限り早期に開示することを積極的に奨励している。DOJは、内部告発活動の活発化という脅威が、企業が自発的に不祥事を自己開示するようさらに圧力をかけることを明確に期待している。
• 新しい内部告発プログラムは、自己開示を奨励するDOJの努力を強調するものであるが、このプログラムが取り締まりに有意な影響を与えるかどうかは不明である。褒賞は、対象となる不正行為に関与していない個人にのみ支給されるものであり、すべての被害者に補償が行われた後にのみ支給される。このような制限により、潜在的な内部告発者が名乗り出て不正行為を報告する金銭的インセンティブが大幅に低下する可能性がある。
• 不祥事を自発的に自己申告しない企業は、今後DOJがより厳しい罰則を求めることを想定すべきである。2024年ホワイトカラー会議を通じて、当局関係者は、金銭的な罰則が「ビジネスを行うためのコスト」になることはあり得ないと説明し、将来の不祥事を抑止するためには罰則の強化が必要かもしれないと指摘した。
• よく設計された強固な企業コンプライアンス・プログラムは、現在の取り締まり環境において極めて重要であり、DOJは、内部告発者がまずDOJに通報することを積極的に奨励している。企業は、コンプライアンス・プログラムが不祥事を積極的に特定し、それを調査・改善するように設計されていることを確認する必要がある。
• DOJは、企業取り締まりを国家安全保障の問題と見なすようになってきている。企業は、DOJが制裁と輸出管理違反に引き続き焦点を当てることを想定して取り組むことができる。
• DOJはAIの将来性と危険性の両方を認識している。DOJ関係者は、高度な金融詐欺や、データを操作して国家安全保障上の利益を脅かすサイバー犯罪にAIが利用されることへの懸念が高まっていることを表明した。企業の不正行為の一部としてAIが摘発された場合、連邦検察は罰則強化を追求する可能性が高い。企業は不正防止戦略とデータ・セキュリティ・プロトコルを継続的に監視し、AIのような問題を引き起こしうる技術に関連する進化するリスクを特定し、対処する必要がある。

Show Less

In this article we will first explore the eleven key aspects of the EU AI Act, offering an in-depth look at its broad scope and essential requirements, including its interplay with the EU General Data Protection Regulation (GDPR), and how businesses can leverage their existing GDPR compliance programs to meet the EU AI Act’s requirements.

We will then dive into five key takeaways focusing on the key points and actionable steps you can take to navigate the evolving landscape of AI regulation and the EU AI Act in particular.

IN DEPTH

Eleven Key Aspects of the EU AI Act

The EU AI Act introduces several pivotal provisions that will significantly impact the regulatory framework of AI. Most significantly these include:

1. Broad Scope and Specific Exclusions: The EU AI Act is intended as a horizontal regulation and provides a comprehensive definition of AI systems, applicable to a wide array of applications in sectors such as healthcare, finance, public administration, and consumer technologies. Drawing from the OECD’s definition, the Act describes an AI system as “a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”. As inclusive as the GDPR in order to ensure the highest level of protection possible, this definition aims to encompass the diversity in AI systems’ levels of autonomy and adaptability after their initial deployment.

At the same time, the Act makes it clear that it does not apply to areas outside the scope of EU law, including national security and defense, and excludes AI models and systems used solely for research, innovation, or for non-professional purposes.

2. Extraterritorial Effect: The AI Act will apply not only within the EU but also to entities outside its borders. This includes non-EU providers placing AI systems or models on the EU market, those putting AI systems into service within the EU, and cases where the output of an AI system located outside the EU is used within its borders. In this respect, the AI Act aligns with both GDPR and the other acts included in the new EU digital package that it belongs to, although with quite a special angle notably as the only one directly governing technologies in contrast with the others which merely focus on data usage.

3. Risk-Based Approach: The Act employs a structured, risk-based approach to AI regulation, organizing AI systems into four categories based on their potential risk levels: Prohibited AI, High-Risk AI,                     Risk AI, and Minimal Risk AI. This system ensures that stricter regulatory measures are applied to AI applications with higher potential risks, particularly those used in critical areas such as healthcare or infrastructure. Conversely, AI systems with minimal risk are subject to less rigorous requirements. This tiered model is designed to balance the necessity of safeguarding user safety and privacy rights with the goal of fostering innovation in lower-risk AI technologies.

4. Prohibited AI and Law Enforcement Exemptions: The EU AI Act sets clear boundaries by prohibiting certain AI applications that pose risks to privacy, ethics, and fundamental rights. Again following the GDPR quite closely these include:

• Subliminal Techniques: The use of manipulative or deceptive techniques that significantly distort behavior and impair informed decision-making.
• Exploiting Vulnerabilities: AI systems that exploit vulnerabilities related to age, disability, or socio-economic circumstances.
• Biometric Categorization: Systems inferring sensitive attributes from biometric data, such as racial or ethnic origin, political opinions, religious beliefs, or sexual orientation.
• Social Scoring: Evaluation or classification of individuals based on social behavior or personal characteristics, leading to detrimental treatment of individuals.
• Predictive Policing: Assessing the risk of an individual committing criminal offenses based solely on profiling or personality traits.
• Facial Recognition Databases: Compiling databases through untargeted scraping of facial images from the internet or CCTV footage.
• Emotion Inference: Inferring emotions in workplaces or educational institutions, except for AI systems used for medical or safety reasons.

In the context of law enforcement, the Act generally restricts the use of real-time biometric identification in public spaces, allowing it only under limited, pre-authorized circumstances.

5. High-Risk AI Systems and Key Requirements: The EU AI Act identifies high-risk AI systems as those critical to sectors such as healthcare, transportation, HR management, education, essential public services, and systems influencing democratic processes. It categorizes these into two main groups:

• Annex II Systems: AI systems acting as safety components of products or as standalone products, which are subject to EU laws already requiring a conformity assessment. These are typically associated with high-risk and regulated products (medical devices, machinery, protective equipment, etc.).
• Annex III Systems: AI systems designed for specific purposes such as biometrics (excluding banned types), critical infrastructure, educational and vocational training tools, employment and workers’ management systems, essential services access (including credit scoring and insurance pricing), law enforcement, migration and border control, and the administration of justice and democratic processes.

The Act mandates comprehensive obligations for providers and deployers of these systems, covering governance measures and technical interventions necessary from the design stage through the entire lifecycle. This includes ensuring CE marking, transparency, accountability, technical documentation, data governance, human oversight, and maintaining accuracy, robustness, and cybersecurity. Providers of these systems will have to report serious incidents to market surveillance authorities.

Despite recent efforts to refine the scope and introduce exemptions for certain AI systems, ambiguities in classification remain. To address this, companies are advised to maintain high governance standards for all AI systems in use. The EU Commission will provide further classification guidelines within 18 months of the Act’s entry into force, aiming for clarity and consistency in high-risk AI system regulation.

Interestingly, the AI Act also allows, where strictly necessary and under additional conditions, the processing of special categories of personal data, such as ethnicity, for the purpose of ensuring bias detection and correction in relation to high-risk AI systems. As feeding such systems, this processing will also remain subject to the GDPR, under which it will be allowed for purposes of substantial public interest within the meaning of Article 9(2)(g).

6. Limited/Minimal Risk AI: Under the EU AI Act, AI systems categorized at the lower risk level are subject to specific transparency and identification requirements. This primarily targets AI technologies that engage directly with users, mandating that any synthetic content produced—be it audio, visual, or textual—must be clearly labeled in a way that machines can recognize as artificially created or altered. Providers are responsible for the efficacy, compatibility, and dependability of these labeling mechanisms. Additionally, the Act imposes obligations on AI functionalities like emotion detection, biometric sorting, AI-generated content, deep fakes, or the alteration of significant textual content to ensure they are transparently marked and made detectable to uphold transparency and prevent misinformation. Regarding Generative AI applications specifically, individuals must be clearly informed when they are interacting with such as chatbots and content generation tools. For AI systems deemed to pose minimal risk, the Act envisages the adoption of voluntary best practices through future codes of conduct.

7. General Purpose AI: The EU AI Act introduces specific requirements for General Purpose AI (GPAI) Models, generally known as Foundation Models, which are defined as those “capable to competently perform a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications”. GPAI was not expressly considered in the initial draft AI Act, while the risk-based approach based on the AI intended purposes and applications created the risk of leaving underlying foundation models uncovered. GPAI became a bone of contention, discussed until the last stages of negotiation of the Act, because of the specific risks it presents for users’ fundamental rights and safety. The Act thus focuses on GPAI transparency and accountability. All GPAI models, such as those used for broad applications, are required to provide extensive technical documentation, summaries of training data, and adhere to copyright and intellectual property safeguards. Models released under open-source license are considered as already insuring high levels of transparency and benefit from exemptions. For high-impact GPAI models, i.e., that pose systemic risks, the Act mandates additional stringent requirements, including thorough model evaluations, comprehensive risk assessments, adversarial testing, and incident reporting.

8. Innovation-Friendly Ecosystem: To nurture innovation, the Act introduces measures such as regulatory sandboxes and provisions for real-world testing. These initiatives intend to benefit SMEs and startups, offering them the flexibility to experiment and refine their AI systems within a controlled environment before wider deployment. This approach recognizes the dynamic nature of AI development and seeks to provide a supportive ecosystem for emerging AI innovations.

9. The interplay between the EU AI Act and the GDPR: AI systems that process personal data will be subject to both the GDPR and the EU AI Act (and respective fines in case of violations). Both acts lay down some requirements that have strong commonalities. A key question is whether it is possible to leverage compliance efforts, and if so, how. For instance, under the GDPR, data controllers are required to carry out a data protection impact assessment (DPIA) in certain circumstances, whereas under the EU AI Act, providers/users of high-risk AI systems have to carry out DPIAs, which, among others, need to consider privacy risks. In line with the effective explainability and transparency principles – which are the cornerstones of trustworthy AI systems – the EU AI Act imposes requirements to inform individuals when they interact with AI systems (e.g., chatbots and content generation tools).

10. Penalties and Enforcement: The EU AI Act establishes a comprehensive framework for penalties and enforcement. Fines for violations are scaled, with up to 7% of global annual turnover or EUR 35 million for prohibited AI violations, up to 3% for other breaches, and up to 1.5% or EUR 7.5 million for supplying incorrect information, including specific caps for SMEs and startups. Enforcement will be coordinated through a newly established central ‘AI Office’ and ‘AI Board’ at the EU level, complemented by market surveillance authorities in each EU country, ensuring a balanced and effective application of the Act across all member states.

11. Entry into force: The AI Act will start applying gradually: prohibited AI will be banned six months from the Act entering into force, while the Act will start applying to GPAI one year after entry into force; two years for high-risk AI systems of Annex III and three years for high-risk AI systems already covered by other EU regulations mandating a third-party conformity assessment.

Five Takeaways on the EU AI Act

The above compilation of key aspects is intended to serve as a useful starting point to inform proactive steps legal and compliance managers as well as DPOs can take to position their companies and their teams for success. Below, we are sharing five key takeaways for businesses to prepare for the rapidly evolving risks and challenges posed by AI:

1. Comprehensive Impact Assessment and Compliance Evaluation: Businesses should conduct a thorough assessment to understand how the AI Act will affect their operations. This evaluation should cover not just mapping and identifying high-risk AI systems but also the wider range of entities involved in AI deployment, distribution, or usage. It’s important to review existing governance frameworks to ensure they align with the Act’s requirements. Additionally, organizations should proactively examine how the AI Act might impact their daily operations and specifically, systems already covered by other EU mandatory conformity assessments (medical devices, machinery, protective equipment, etc). This requires gaining a comprehensive understanding of the legal, technological, and ethical aspects of AI to facilitate responsible integration and usage within the organization.

2. Developing a Robust AI Governance Program: It’s essential for organizations to develop an AI governance program that integrates the AI Act’s requirements with broader business strategies and objectives. This program should cover risk management, privacy, ethics, data governance, intellectual property, safety, and security, among others, and adapt existing policies and procedures to meet the new standards. Any types of organizations, more specifically businesses in tech- and data-driven industries, should assess how to leverage their existing GDPR compliance programs to also meet most, if not all, of the AI Act’s requirements. The role of the board in overseeing AI use within the organization is also a critical consideration.

3. Global Coordination and Voluntary Initiatives: Businesses, above all, should pay close attention to international efforts to harmonize AI regulations, including the EU’s collaborations with global bodies and initiatives. In this regard, the EU Commission has initiated an ‘AI Pact’, encouraging organizations to anticipate the AI Act by voluntarily sharing their internal guidelines, processes and concrete actions carried out to address the AI Act requirements, and by testing their solutions within the community. Participating in such voluntary commitments to implement the AI Act’s requirements ahead of deadlines can position organizations as leaders in ethical AI use and governance.

4. Proactive Adaptation and Compliance Strategy: With the regulatory landscape rapidly evolving, businesses need to be agile, ready to update their AI strategies and compliance programs as new guidelines and requirements emerge. Starting early on this adaptation process will help mitigate risks and liabilities and ensure compliance. Keeping an eye on regulatory developments in the EU (including the AI Act delegated / implementing acts and guidance), the UK, the US, and other regions further along in AI regulation is vital for a comprehensive compliance effort.

5. Engagement and Transparency: Collaboration with regulators, transparent communication, and fostering global harmonization are critical for successful AI governance. Businesses should also consider public engagement and transparency in their AI operations as part of their compliance and risk management strategies. This includes clear communication about AI’s role and impact within the organization and ensuring that AI technologies are deployed in a way that is ethical, responsible, and aligned with societal values. On a more operational standpoint, it would also make a lot of sense to combine as much as possible information to individuals respectively required under GDPR and the EU AI Act.

Show Less

本稿では、まずEU AI法の11の主要な側面を探り、EU一般データ保護規則（GDPR）との相互作用を含むその広範なスコープと必須要件について詳しく見ていくとともに、企業が既存のGDPRコンプライアンス・プログラムを活用してEU AI法の要件を満たすにはどうすればよいかを解説する。

そして、進化し続けるAI規制、特にEU AI法をナビゲートするためのキーポイントや実行可能なステップに焦点を当て、5つの重要なポイントを紹介する。

詳細

EU AI法の11の主要な側面

EU AI法は、AIの規制枠組みに大きな影響を与えるいくつかの重要な条項を導入している。最も重要なものは以下のとおりである。

1広範な適用範囲と特定の除外事項: EUのAI法は水平的な規制であり、ヘルスケア、金融、行政、消費者技術分野などにおいて広範に適用されるAIシステムの包括的な定義を設けている。OECDの定義に基づき、本規則はAIシステムを「様々なレベルの自律性で動作するように設計され、展開後に適応性を示す可能性があり、明示的または暗黙的な目的のために、物理的または仮想的環境に影響を与えることができる予測、内容、推奨、決定などの出力を生成する方法を、受け取った入力から推測する機械ベースのシステム」と説明している。可能な限り最高レベルの保護を確保するために、GDPRと同様に包括的な定義であり、AIシステムの自律性と適応性のレベルの多様性を包含することを目的としている。

同時に、本規則は、国家安全保障や防衛などEU法の適用範囲外の分野には適用されないこと、研究や技術革新のみに使用される場合、あるいはビジネス以外の目的で使用されるAIモデルやシステムは除外されることを明確にしている。

2. 域外適用: AI法はEU域内だけでなく、域外の事業体にも適用される。これには、AIシステムやモデルをEU市場に投入するEU域外の事業者、EU域内でAIシステムを稼働させる事業者、EU域外にあるAIシステムの出力をEU域内で使用するケースなどが含まれる。この点で、AI法はGDPRや、新しいEUデジタル・パッケージ（AI法もこれに属する）に含まれる他の法律と整合しているが、他の法律が単にデータ利用に焦点を当てているのとは対照的に、技術を直接管理する唯一の法律という意味で特殊な立ち位置にある。

3. リスクベースアプローチ:本規則は、AI規制に対して構造化されたリスクベースのアプローチを採用しており、AIシステムを潜在的なリスクレベルに基づいて次の4つのカテゴリーに整理している： 禁止されているAI、高リスクのAI、限定的なリスクのAI、最小リスクのAI。このシステムにより、特にヘルスケアやインフラなどの重要な分野で使用されるもののように、潜在的リスクが高いAIアプリケーションには、より厳格な規制措置が適用されることになる。逆に、リスクが最小限のAIシステムには、それほど厳密な要件が課されることはない。この段階的モデルは、ユーザーの安全とプライバシーの権利を保護する必要性と、リスクの低いAI技術のイノベーションを促進するという目標とのバランスをとるように設計されている。

4. 禁止されているAIと法執行の免除: EU AI法は、プライバシー、倫理、基本的権利にリスクをもたらす特定のAIアプリケーションを禁止することで、明確な境界線を設定している。ここでもGDPRに非常に近い形を取っているが、具体的には以下のようなものが含まれる。

• サブリミナル・テクニック: 行動を著しく歪め、情報に基づいた意思決定を損なう、操作的または欺瞞的なテクニックの使用。
• 脆弱性の悪用: 年齢、障害、社会経済的状況に関連する脆弱性を悪用するAIシステム。
• 生体による分類: 人種や民族的出自、政治的意見、宗教的信条、性的指向など、センシティブな属性を生体データから推測するシステム。
• ソーシャル・スコアリング: 社会的行動や個人的特徴に基づいて個人を評価または分類し、個人を不利に扱うこと。
• 予測的な取り締まり: プロファイリングや性格的特徴のみに基づいて、個人の犯罪を犯すリスクを評価すること。
• 顔認証データベース: インターネットやCCTVの映像から顔画像を抜き取り、データベースを構築すること。
• 感情推論: 医療や安全のために使用されるAIシステムを除き、職場や教育機関において感情を推測すること。

法執行の文脈では、この規則は一般に、公共の場でのリアルタイムの生体認証の使用を制限しており、事前承認された限定的な状況下でのみ使用を許可している。

5. 高リスクのAIと主要要件: EU AI法は、リスクの高いAIシステムを、ヘルスケア、交通、人事管理、教育、重要な公共サービス、民主的プロセスに影響を与えるシステムなどの分野に不可欠なものとしている。これらは主に2つのグループに分類される：

• Annex II Systems（別紙IIのシステム）: 製品の安全コンポーネントとして、あるいはスタンドアローン製品として機能するAIシステムで、すでにEU法の下で適合性評価が義務付けられているもの。これらは一般的に、リスクの高い規制対象製品（医療機器、機械、保護装置など）に関連する。
• Annex III Systems（別紙IIIのシステム）: バイオメトリクス（禁止されたタイプを除く）、重要インフラ、教育・職業訓練ツール、雇用・労働者管理システム、必要不可欠なサービスへのアクセス（クレジットスコアリングや保険価格設定を含む）、法執行、移民・国境管理、司法・民主主義プロセスの管理など、特定の目的のために設計されたAIシステム。

本規則は、こうしたシステムのプロバイダーや導入者に包括的な義務を課しており、設計段階からライフサイクル全体を通じて必要なガバナンス対策や技術的介入を網羅している。これには、CEマーキングの確保、透明性、説明責任、技術文書化、データガバナンス、人的監視、正確性・堅牢性・サイバーセキュリティの維持などが含まれる。これらのシステムのプロバイダーは、重大なインシデントを市場監視当局に報告しなければならない。

最近、範囲の絞り込みや特定のAIシステムに対する適用除外を導入する努力がなされているが、分類の曖昧さは残っている。これに対処するため、企業は使用中のすべてのAIシステムに対して高いガバナンス基準を維持することが推奨される。EU委員会は、高リスクのAIシステム規制における明確性と一貫性を目指し、本規則の発効から18カ月以内にさらなる分類ガイドラインを発行する予定である。

興味深いことに、EU AI法は、厳密に必要な場合と追加条件を満たす場合において、高リスクのAIシステムに関連する偏りの検出と是正を確保する目的で、民族などの特別なカテゴリーの個人データを取扱うことも認めている。このようなシステムにデータを供給する場合、そのデータの取扱いはGDPRの対象となり、第9条2項(g)の意味における実質的な公共の利益の目的のために取扱いが認められる。

6. 限定的なリスクのAI、最小リスクのAI: EU AI法では、より低いリスクレベルに分類されるAIシステムは、特定の透明性と識別要件の対象となる。これは主にユーザーと直接関わるAI技術を対象としたもので、音声、視覚、テキストを問わず、生成される合成コンテンツには、人工的に作成または改変されたものであると機械が認識できるような明確なラベル付けが義務付けられている。プロバイダーは、このようなラベリングメカニズムの有効性、互換性、信頼性に責任を負う。さらに本規則は、感情認識、生体認証による選別、AIが生成したコンテンツ、ディープフェイク、重要なテキストコンテンツの改変といったAIの機能に対して、透明性を維持し誤報を防止するために、それらの特徴が透明性をもって表示され、検出可能であることを保証する義務を課している。特に生成AIアプリケーションについては、チャットボットやコンテンツ生成ツールなどと対話する際には、個人に明確に通知しなければならない。最小限のリスクだと判断されたAIシステムについては、将来の行動規範を通じて自主的なベストプラクティスを採用することを想定している。

7. 汎用AI: EU AI法は、一般的にファウンデーションモデルとして知られる汎用AI（General Purpose AI）モデルに対する具体的な要件を導入している。汎用AIモデルとは、「市場に投入される方法に関係なく、幅広い明確なタスクを有能に実行でき、様々なダウンストリームシステムやアプリケーションに統合できるもの」と定義されている。汎用AIは、当初のAI法草案では明確に考慮されていなかったが、AIの目的と用途に基づくリスクベースのアプローチを採用することによって、基礎となるモデルをカバーしないリスクが生じた。汎用AIは、ユーザーの基本的権利と安全性に具体的なリスクをもたらすため、本規則の交渉の最終段階まで議論された争点となった。そのため本規則は、汎用AIの透明性と説明責任を重視している。幅広い用途に使用されるようなすべての汎用AIモデルは、包括的な技術文書、トレーニングデータの要約を提供し、著作権および知的財産の保護措置を遵守することが求められる。オープンソースライセンスのもとで公表されるモデルは、すでに高い透明性が確保されているとみなされ、免除の恩恵を受ける。影響力の大きい汎用AIモデル、すなわちシステミック・リスクをもたらすモデルについて、本規則は、徹底したモデル評価、包括的なリスク評価、敵対的テスト、インシデント報告など、さらに厳しい要件を義務付けている。

8. イノベーションに適したエコシステム: イノベーションを育むため、本規則は規制上のサンドボックスや実環境でのテストに関する規定などの措置を導入している。これらのイニシアティブは、中小企業やスタートアップ企業に利益をもたらすことを意図しており、より広範な展開の前に、管理された環境内でAIシステムを実験し、改良する柔軟性を提供する。このアプローチは、AI開発のダイナミックな性質を認識し、新たなAIイノベーションを支援するエコシステムを提供しようとするものである。

9. EU AI法とGDPRの相互作用: 個人データを取扱うAIシステムは、GDPRとEU AI法の両方の対象となる（違反した場合はそれぞれの罰金が科される）。ふたつの規則は、いくつかの共通する要件を定めている。重要な課題は、コンプライアンスへの取り組みを活用することが可能かどうか、可能な場合どのように活用するかである。例えば、GDPR上、データ管理者は特定の状況下においてはデータ保護影響評価（DPIA）を実施することが義務付けられているのに対し、EU AI法では、高リスクのAIシステムのプロバイダー／ユーザーはDPIAを実施しなければならず、特にプライバシーリスクを考慮する必要がある。信頼できるAIシステムの基礎となる効果的な説明可能性と透明性の原則に沿って、EU AI法は、AIシステム（チャットボットやコンテンツ生成ツールなど）と対話する際に個人に情報を提供する要件を課している。

10. 罰則と法執行: EU AI法は、罰則と執行に関する包括的な枠組みを確立している。違反に対する罰金は段階的に設定され、禁止されているAI違反に対しては、全世界の年間売上高の最大7％または3,500万ユーロ、その他の違反に対しては最大3％、不正確な情報の提供に対しては最大1.5％または750万ユーロとされ、中小企業やスタートアップ企業に対する特別な上限も設けられている。法執行は、EUレベルで新設される「AI事務局」と「AI委員会」を通じて調整され、EU各国の市場監視当局によって補完され、すべての加盟国において、バランスのとれた効果的な法の適用を確保する。

11. 効力発生日: EU AI法は段階的に適用が開始される。禁止されているAIは本規則の発効から6ヵ月後に禁止されるが、汎用AI については発効から1年後、別紙IIIの高リスクのAIシステムについては2年後、第三者による適合性評価を義務付ける他のEU規制ですでにカバーされている高リスクのAIシステムについては3年後に適用が開始される。

EU AI法の5つの重要なポイント

上記では、会社とそのチームを成功に導くために、法務・コンプライアンス担当者やDPOが取るべき手段を主要な側面としてまとめた。以下では、AIがもたらす急速に進化するリスクと課題に企業が備えるための5つのポイントを紹介する。

1. 包括的な影響評価とコンプライアンス評価: 企業は、EU AI法が自社の業務にどのような影響を及ぼすかを理解するために、徹底的な評価を実施すべきである。この評価では、高リスクAIシステムのマッピングや特定だけでなく、AIの展開、配布、利用に関わる幅広い事業体も対象とすべきである。既存のガバナンスの枠組みを見直し、本規則の要件に合致していることを確認することが重要だ。さらに、EU AI法が、日常業務や特にEUの他の義務的適合性評価（医療機器、機械、保護装置など）の対象になっているシステムににどのような影響を及ぼす可能性があるか、積極的に検討する必要がある。そのためには、組織内での責任ある統合と利用を促進するために、AIの法的、技術的、倫理的側面を包括的に理解する必要がある。

2. 強固なAIガバナンス・プログラムの開発: EU AI法の要件をより広範な事業戦略や目標に統合するAIガバナンス・プログラムを策定することが不可欠である。このプログラムでは、リスク管理、プライバシー、倫理、データガバナンス、知的財産、安全性、セキュリティなどをカバーし、新しい基準を満たすように既存のポリシーや手順を調整する必要がある。どのようなタイプの組織でも（より具体的にはハイテクやデータ主導型の業界の企業）、既存のGDPRコンプライアンス・プログラムを活用して、EU AI法の要件のすべてではないにせよ、ほとんどを満たす方法を検討すべきである。組織内でのAI利用を監督する委員会の役割もまた、重要な検討事項である。

3. グローバルな調整と自主的イニシアティブ: 企業は、EUが世界的な機関と協力していることを含め、AI規制の調和に向けた国際的な取組みに細心の注意を払うべきである。この点に関して、EU委員会は「AI Pact」を開始し、EU AI法の要件に対応するために実施される社内ガイドライン、プロセス、具体的なアクションを自主的に共有し、その解決策をコミュニティ内でテストすることによって、EU AI法を先取りすることを組織に奨励している。このような自主的なコミットメントに参加し、期限に先駆けてEU AI法の要件を実施することで、倫理的なAIの使用とガバナンスのリーダーとして組織を位置づけることができる。

4. 積極的な適応とコンプライアンス戦略: 規制環境が急速に進化する中、企業は新たなガイドラインや要件が出現するにつれて、AI戦略やコンプライアンス・プログラムを更新できるよう、機敏に対応する必要がある。この適応プロセスを早期に開始することで、リスクと責任を軽減し、コンプライアンスを確保することができる。EU（AI法、委任法令/実施法令、ガイダンスを含む）、英国、米国、その他AI規制が進んでいる地域の規制動向を注視することは、包括的なコンプライアンスへの取り組みにとって不可欠である。

5. エンゲージメントと透明性: AIガバナンスを成功させるためには、規制当局との連携、透明性の高いコミュニケーション、グローバルなハーモナイゼーションの実施が必要不可欠である。企業はまた、コンプライアンスおよびリスク管理戦略の一環として、AIの運用におけるパブリックエンゲージメントと透明性を考慮すべきである。これには、組織内でのAIの役割と影響に関する明確なコミュニケーションや、倫理的で責任感があり、社会的価値観に沿った方法でAI技術が導入されることを保証することが含まれる。より業務的な観点からは、GDPRとEU AI法でそれぞれ義務付けられている個人への情報提供を可能な限り組み合わせることも大いに意味があるだろう。

Show Less

OVERVIEW OF US LABOR LAW

The National Labor Relations Act (NLRA) governs labor relations in the United States by regulating interactions between employees, employers and labor unions. The NLRA is administered by the National Labor Relations Board (NLRB), a federal administrative agency consisting of a five-person board to decide cases and a general counsel who investigates and prosecutes alleged violations of the NLRA.

Members of the NLRB are appointed by the president. Four of the five board positions are split between the country’s two major political parties, with the decisive fifth seat awarded to the same party as the sitting president. The NLRB general counsel is also appointed by the president. As a result, US labor law incurs significant shifts (often 180-degree reversals) between presidential administrations.

There are three key areas of the NLRA that impact business operations in the United States:

1. Regulation on how employees form a union
2. Regulation on which terms of employment require “bargaining” once a union is formed
3. Regulation on what rules and policies employers may implement for their workplaces (including nonunion workplaces)

CURRENT TRENDS IN US LABOR LAW

President Biden campaigned, in large part, on a promise to be “pro-union.” Unsurprisingly, the NLRB – based on his appointments – has followed suit and made major changes to US labor law both by regulation and by decisions in specific cases that favor unionization and impose additional burdens on employers.

These shifts in prior law include the following:

Expediting Union Recognition 

One of the NLRA’s primary functions is governing how unions become the legal representative of employees. Until recently, this was only accomplished in one of two ways: (1) The employer voluntarily recognized a union (usually after the union provided proof that a majority of employees wished to join, making an election unnecessary) or (2) a majority of employees voted to join a union through an NLRB-administered secret ballot election. These pathways to recognition have been enshrined in US labor law for decades.

In 2023, however, the current NLRB created a third pathway intended to facilitate unionization. Now, unions are permitted to demand and potentially obtain automatic recognition. Employers receiving a demand for recognition from a union must promptly file an election petition or forfeit their employees’ right to a secret ballot election.

The right to an employee secret ballot election has long been considered fundamental and sacrosanct. This right enables employees to hear their employer’s perspective on voting for or against a union (during the employer’s “campaign”) and the potential implications of doing so. It also allows for the employee to then decide to vote for or against a union representative without fear of coercion or intimidation. Now, the NLRB will potentially force employers to recognize and bargain with a union regardless of the election’s outcome if the NLRB finds any technical campaign infractions in the run-up to that election, including relatively minor ones. In other words, unions may end up obtaining very swift certification (and resulting rights of representation) without an employee secret ballot voting process.

Employers will likely challenge these attempts to undermine secret ballot elections as the primary basis for determining union representation, but these challenges will take time (potentially years) to work their way through the US federal court system. In the meantime, Japanese companies with subsidiaries in the United States or evaluating investment opportunities must account for the reality of expedited union recognition.

Restricting Operational Changes at Unionized Facilities Without Bargaining

A core principle of US labor law is that employers with unionized workforces may not change employment conditions until they complete a bargaining process with the appropriate union. There is, however, one important caveat. Until recently, employers were permitted to take actions consistent with historical practices without bargaining and without union consent.

For example, employers of unionized operations must typically bargain with their employees’ union before implementing any layoffs. However, if the employer was implementing layoffs because of an economic downturn, and it has always implemented layoffs during economic downturns throughout its history, the employer was permitted to implement the layoffs in question without any bargaining, saving time and money.

Now, employers with unionized workforces must bargain with a union on any discretionary decision regardless of the employer past practices (outside very limited exceptions). This requirement not only restricts operational freedom but it may create delays and opportunity costs that should be considered well in advance of any major employment-related decision.

Expanding ‘Joint Employer’ Obligations and Liability

On October 27, 2023, the NLRB issued a new rule expanding bargaining obligations and unfair labor practice liability to multiple entities at once. Under US labor law, it is possible for several companies to legally employ the same group of workers at the same time, so long as each company controls key aspects of the workers’ employment. When this is the case, each company is required to bargain with the union representing the workers and all are equally liable for any labor violations. The application of this principle has been limited, however, by the commonsense requirement that each purported joint employer must actually exercise direct control over the employees at issue.

The NLRB’s new rule now considers any company with indirect or reserved authority over workers as a joint employer (e.g., any company which use staffing agencies), even if those workers are controlled by another company (i.e., staffing agencies). In other words, any company with a contractual or potential right to control a worker’s employment will be considered a joint employer, even if it never actually exercises any control. This change will extend bargaining obligations, unfair labor practice liability and labor disruptions, including strikes, to companies utilizing staffing agencies and other forms of contracted third-party labor. These arrangements are common in US labor markets and must be accounted for when analyzing operational risks and contingency plans.

Expanding Employer Liability for Unfair Labor Practices

Section 10(c) of the NLRA allows the NLRB to “make whole” any employee subjected to an unfair labor practice. For nearly 80 years, the NLRB’s remedies have largely been restricted to worker reinstatement (if appropriate) and monetary damages equal to the income the employee would have received but did not because of the unfair labor practice less interim earnings. In December 2022, the NLRB expanded the monetary damages it will award to “all direct and foreseeable pecuniary harms suffered” because of a labor violation, possibly including:

• Out-of-pocket medical expenses incurred after losing employer-sponsored insurance
• Costs associated with securing new health insurance
• Credit card debt incurred due to loss of income
• Compensation for damages to an employee’s credit score
• Fees and expenses for training or coursework required to renew or obtain a new security clearance, certification or professional license
• Expenses related to housing, relocation, transportation and/or childcare

The NLRB’s recent expansion of unfair labor practice likely exceeds its statutory authority and may be struck down by a US court of appeals. Until then, this expansion will increase litigation costs, which unions will try to leverage to extort concessions from employers during bargaining with a union.

NAVIGATING LABOR RISKS FOR SUBSIDIARIES AND TRANSACTIONS IN THE UNITED STATES

Japanese companies evaluating US subsidiary operations, investments or operational opportunities in the United States should consider the burdens and impacts of the NLRB’s new agenda. While these costs and risks are potentially significant, these can be overcome through careful analysis and forward planning.

For currently unionized operations of a subsidiary or investment target, it is important to develop a full and accurate understanding of past and current labor relations of the relevant workforces. This includes determining if the relationship with the union is cordial or hostile as well as how long the company has been unionized. It is also crucial to analyze all existing labor agreements, as the acquiring company will likely be bound by their terms as the successor. It is especially important to determine whether there are “labor neutrality,” automatic accretion or other such terms that require the company to idly stand by if the union seeks to expand to other facilities or other groups at that facility. A labor neutrality term can give a union access, information and recognition rights to help it quickly organize other employees or facilities of affiliates or parent entities. An accretion term enables a union to automatically represent other employee groups.

Certain subsidiary operations and opportunities will be attractive despite union status or risks. In these cases, there are strategies companies can utilize to mitigate or avoid risk at unionized operations. For example, companies might consider restructuring workforces (combinations or separations) or engaging in asset transactions whereby a purchase is not necessarily obligated to recognize a union or a collective bargaining agreement.

For investment opportunities involving nonunionized operations, the focus must remain on the risk of unionization post-acquisition. Pre-transaction diligence should examine any ongoing organizing activity, union outreach and/or unfair labor practices. Diligence should also consider industry trends and whether union drives are proliferating at similar or nearby facilities.

Companies setting up new operations should evaluate organizing trends. Union participation and support varies greatly across the country, and setting up operations in an area with low union participation will help avoid subsequent encroachment. If unionization at a new operation is unavoidable, consider advantageous organizational structures where a separate legal entity employs any unionized workers. This will help prevent the union from extending its reach to other operations.

For all current or potential operations in the United States, companies should anticipate the possibility of union engagement and should determine their philosophical approach to union encroachment in advance. The primary leverage unions hold over companies is their ability to increase transactional and operational costs through strikes or other work stoppages, slow bargaining and excessive litigation.

Companies need to know whether their approach will be to make peace, prepare for battle or chart a middle course. Some companies choose to foster a harmonious relationship with the union. Others seek to avoid unions and, when necessary, defend their right to act. Both approaches can work and promote prosperous operations when properly executed. The key is knowing which approach fits the company’s culture and outlook, and consistently applying the chosen course of action once it is determined.

Disclaimer: This article was published in the January 2024 issue of The Journal of the Japanese Institute for International Business Law. The discussion above is reflecting general market trends and developments. It is not a summary, analysis or commentary on any local laws. This article cannot be regarded as legal advice.

Show Less

米国労働法の概要

全国労働関係法（National Labor Relations Act、以下「NLRA」という。）は、労働者、雇用主、労働組合の間の関係を相互に規制することにより、米国の労使関係を規律している。NLRAは全国労働関係委員会（National Labor Relations Board、以下「NLRB」という。）によって運営されている。NLRBは連邦行政機関であり、5人の委員から成る、事件を決定する委員会と、NLRA違反の疑いを調査・起訴するジェネラル・カウンセルから構成される。

NLRBのメンバーは大統領によって任命される。NLRBの5つのポストのうち4つは常に国内の2大政党の間で分割され、5つ目の議席が現職の大統領と同じ政党に与えられる。NLRBのジェネラル・カウンセルも大統領によって任命される。その結果、米国の労働法は大統領政権間で大きく変化する（180度逆転することも多い）。

米国でのビジネスに影響を与えるNLRAの主要な分野として、以下の3つが存在する。

1. 労働者による労働組合の結成方法に関する規制
2. 労働組合結成後に「交渉」が必要となる労働条件に関する規制
3. 使用者が職場（労働組合のない職場を含む）において実施する規則及び方針に関する規制

米国労働法の最新トレンド

バイデン大統領は、選挙運動の大きな一環として「労働組合支持」を公約に掲げた。当然のことながら、彼が任命したNLRBはこれに追随し、労働組合結成を有利にし、雇用主にさらなる負担を課すような規制と特定の事例における決定によって、米国の労働法に大きな変更を加えた。変更内容としては以下のようなものがある。

労働組合承認の促進

NLRAの主な機能の1つは、労働組合が従業員の法的代表者となる方法を管理することである。もっとも、労働組合が法的代表者となる方法は、最近まで、次の2つのいずれかでしか達成されなかった。(1) 使用者が自発的に組合を承認する（通常、組合が従業員の過半数が加入を希望していることを証明する書類を提出した後であるため、選挙は不要である）方法、または(2)NLRBが管理する無記名投票選挙を通じて従業員の過半数が組合加入を投票する方法。これらの承認への道は、何十年もの間、米国の労働法に明記されてきた。

しかし、2023年、現在のNLRBは、労働組合化を促進することを目的とした第3の道を設けた。現在、労働組合は自動的な承認を要求し、潜在的に当該承認を取得することが認められている。労働組合から承認の要求を受けた使用者は、速やかに選挙請願書を提出するか、従業員の無記名投票の権利を喪失しなければならない。従業員の無記名投票選挙の権利は、長い間、基本的かつ神聖なものと考えられてきた。無記名投票選挙によって、従業員は（使用者の「選挙運動」中に）労働組合に投票するか否かに関する使用者の見解や、潜在的な影響を聞くことができ、その後、従業員は強制や脅迫を恐れることなく、労働組合の代表者に投票するか否かを決めることができる。しかし、現在、NLRBが選挙までの間に選挙運動に関する技術的な違反（比較的軽微なものも含む）を発見した場合、選挙の結果にかかわらず、使用者に労働組合を承認し、交渉するよう強制する可能性がある。言い換えれば、労働組合は、従業員の無記名投票プロセスなしに、非常に迅速な認証（およびその結果としての代表権）を得ることになるかもしれない。

使用者側は、組合の代表権を決定する主要な根拠としての無記名投票選挙を弱体化させようとするこうした試みに異議を唱えるだろうが、こうした異議申立てが米国の連邦裁判制度を通過するには時間がかかる（数年かかる可能性もある）。その間、米国に子会社を持つ日本企業又は投資機会を検討する日本企業は、労働組合承認が促進されている現実を考慮しなければならない。

労働組合が存在する職場における、交渉を経ない業務変更の制限

米国労働法の基本原則は、労働組合が存在する場合、使用者は、当該労働組合との交渉プロセスを完了するまで雇用条件を変更してはならないというものである。ただし、1つ重要な注意事項として、つい最近まで、雇用主は交渉及び組合の同意を得ることなく、過去の慣行に沿った行動をとることが許されていた。

例えば、労働組合が存在する事業所の使用者は、通常、レイオフ（解雇）を実施する前に従業員の労働組合と交渉しなければならない。しかし、使用者が景気後退を理由にレイオフを実施し、使用者の歴史を通じて常に景気後退時にレイオフを実施してきたのであれば、交渉なしで当該レイオフを実施することが許され、時間と費用を節約することができた。

しかし、現在、労働組合が存在する場合、使用者は、会社の過去の慣行（ごく限られた例外を除く）に関係なく、あらゆる裁量的決定について労働組合と交渉しなければならない。この要件は、業務運営の自由を制限するだけでなく、雇用に関連する重大な決定に関する遅延や機会費用を生じさせる可能性があるため、当該決定の前に十分に考慮する必要がある。

共同使用者」の義務と責任の拡大

2023年10月27日、NLRBは交渉義務と不当労働行為責任を同時に複数の企業に拡大する新規則を発表した。米国労働法では、各企業が労働者の雇用の重要な側面を管理している限り、複数の企業が合法的に同じ労働者グループを同時に雇用することは可能である。この場合、各企業は労働者を代表する労働組合と交渉する必要があり、あらゆる労働法違反に対してすべての企業が等しく責任を負う。しかし、この原則の適用は、共同使用者とされる各企業が、それぞれ、問題となっている従業員に対して実際に直接的な支配権を行使しなければならないという常識的な要件によって制限されてきた。

しかし、NLRBの新ルールでは、労働者に対する間接的または留保された権限を持つ企業（例えば派遣会社を使用する企業）はすべて、たとえその労働者が実際には別の企業（派遣会社等）に管理されていたとしても、共同使用者とみなされるようになった。すなわち、労働者の雇用を管理する契約上または潜在的な権利を持つ企業は、たとえその企業が労働者に対して実質的な支配を行っていなくても、共同使用者とみなされることになる。この変更により、交渉義務、不当労働行為責任及びストライキを含む労働紛争は、人材派遣やその他の形態の契約労働者を利用する企業に拡大されるであろう。このような契約労働者の利用は米国の労働市場では一般的であり、業務運営リスクやコンティンジェンシー・プランを分析する際には考慮しなければならない。

不当労働行為に対する使用者責任の拡大

NLRA第10条(c)は、NLRBが不当労働行為の対象となった従業員を「全体として救済」することを認めている。80年近くにわたり、NLRBの救済措置は主に復職（適切な場合）と、不当労働行為のために従業員が受け取るはずであったが受け取れなかった収入から中間収入を差し引いた金額に相当する金銭賠償に限定されてきた。しかし、2022年12月、NLRBは、金銭的損害賠償を認める範囲を、労働違反のために「被った直接的かつ予見可能なすべての金銭的損害」に拡大した。これは以下の金銭的損害賠償を含む可能性がある。

• 使用者負担の保険を失った後に発生した医療費の自己負担額。
• 新たな健康保険の確保に関連する費用。
• 収入喪失により発生したクレジットカード債務。
• 従業員のクレジットスコアに対する損害賠償。
• セキュリティ・クリアランス資格、認定、または職業免許の更新または新規取得に必要な研修またはコースワークの料金および費用。
• 住居、転居、交通、および/または育児に関する費用。

NLRBの最近の不当労働行為の拡大は、その法定権限を超えている可能性が高く、連邦控訴裁判所によって取り消される可能性がある。しかし、それまでは、この拡大は、訴訟費用を増加させ、労働組合は交渉中に使用者から譲歩を引き出すためにこれを活用しようとするだろう。

子会社における労務リスク及び米国における取引を進めるにあたっての考慮事項

米国に子会社を持つ日本企業又は米国での投資および/または事業機会を検討する日本企業は、NLRBの新しい方針によって生じる負担及びインパクトを考慮すべきである。これらのコストとリスクは潜在的に重大であるが、慎重な分析と事前計画によって克服することができる。

子会社又は投資対象会社において現在労働組合が関与する場合については、関連する労働者の過去と現在の労使関係を十分かつ正確に把握することが重要である。これには、労働組合との関係が友好的なのか敵対的なのか、また、労働組合がいつから結成されているのかを判断することも含まれる。また、買収企業が後継者としてその条件に拘束される可能性が高いため、既存の労働者との間の契約をすべて分析することも極めて重要である。特に、「労働中立条項」（労働組合にアクセス権、情報、承認権を与え、他の従業員、施設、関連会社又は親会社を迅速に組織化するのに役立つ条項）、「自動付加条項」（労働組合が自動的に他の従業員グループを代表することを可能とする条項）、または組合が他の施設やその施設の他のグループに拡大しようとする場合に、会社が待機することを要求するその他の条項があるかどうかを判断することが重要である。

組合の状況やリスクにもかかわらず、特定の子会社の事業や機会は魅力的な場合もある。このような場合、組合が存在する事業のリスクを軽減し又は回避するために、企業が活用できる戦略がある。例えば、従業員のリストラクチャリング（合併や分割）を検討したり、買収者が必ずしも労働組合や労働協約を承認する義務を負わない資産取引を行うことが考えられる。

投資に際して労働組合が関与しない場合については、買収後の労働組合化のリスクに焦点を当て続けなければならない。買収前のデュー・ディリジェンスでは、現在進行中の労働組合化活動、労働組合化への働きかけ、不当労働行為などを調査する必要がある。また、業界動向や、類似施設や近隣施設で組合活動が盛んであるかどうかも考慮すべきである。

新規事業を立ち上げる企業については、労働組合化の傾向を評価する。労働組合への参加と支持は地域によって大きく異なり、労働組合参加率の低い地域で事業を立ち上げることは、その後の労働組合の影響を避けるのに役立つ。新規事業所での労働組合結成が避けられない場合は、組合加入労働者を別法人で雇用する組織構造を検討することも有用であり、それにより、労働組合が他の事業にまで手を伸ばすのを防ぐことができる。

米国における現在または潜在的なすべての業務運営において、企業は労働組合との関わり合いの可能性を予期し、労働組合の影響に対する哲学的アプローチを事前に決定すべきである。労働組合が企業に及ぼす主な影響力は、ストライキやその他の労働停止、交渉の遅滞、過度の訴訟を通じて取引コストや経営コストを増大させることである。

企業は、自分たちのアプローチが和平に向かうのか、戦いに備えるのか、それとも中間の道を行くのかを知る必要がある。労働組合との調和的な関係を築くことを選択する企業もある一方、労働組合を避け、必要な場合には企業の権利を守ろうとする企業もある。いずれのアプローチも適切に実行されればうまく機能し、よりよい運営を促進することができる。重要なのは、どちらのアプローチが企業文化と展望に合っているかを知ること、そして、いったん決定した行動方針を一貫して適用することである。

ディスクレーマー: 上記の記事は、「国際商事法務」の2024年1月号に掲載されました。記事の内容・議論は一般の市場トレンド及び動向を反映しており、現地法の要約、分析又はコメントを行うものではありません。また、本稿は法的助言とはみなされません。

Show Less

The Court of Appeal clarified three key substantive issues in the case: the standard for claim construction, the standard for granting a preliminary injunction and the substantive evaluation of inventive step. Specifically, the Court of Appeal established the following:

1. Regarding the standard for claim construction, the patent claim is not only the starting point but the decisive basis for determining the scope of protection. The interpretation must always use the “description” and the “drawings” as explanatory aids and is not limited to cases where the claims include ambiguities. There will be no protection for what is disclosed only in the description or the drawings but has no basis in the patent claims. The same principles for claim construction will apply when assessing both infringement and validity.
2. Regarding the standard for a preliminary injunction, a proper decision for granting one must be based on it being “more likely than not” that the asserted patent is infringed and “more likely than not” that the patent will be found valid. This creates a balance – the opportunities to present facts and evidence by way of summary proceedings are limited, so the standard of proof must not be set too high. It also cannot be set too low in order to prevent the defendant from being harmed by an order for a provisional measure that is revoked at a later date. A sufficient degree of certainty is therefore needed, both for infringement and validity.
3. In provisional proceedings without hearing the defendant, the burden of proof for all relevant facts, including potential invalidity, lies with the applicant. In contrast, in provisional proceedings in which the defendant is heard, the burden of proof for entitlement and infringement lies with the applicant, while the burden of proof for invalidity lies with the defendant.
4. On the merits, the Court of Appeal held that the Local Division Munich incorrectly evaluated the likelihood that the patent would be found valid. The Court of Appeal determined that while the Local Division correctly concluded that the asserted patent would be found infringed and novel, it incorrectly concluded that the patent would likely be found to have an inventive step.
5. To reach this determination, the Court of Appeal relied on its own analysis of the prior art and on the opinion of its own technically qualified judges, with only a brief mention of a contrary view from the defendant’s expert.
6. Additionally, the Court of Appeal applied a “classical” style inventive step analysis, determining and applying the understanding and capability of a skilled person in the art (as reflected in the cited prior art references) rather than strictly applying the “problem/solution” analysis commonly practiced at the European Patent Office. A skilled person in the art would have had a reasonable expectation of success when using the claimed method because, based on their expertise, they would have been able to deal with issues such as “molecular crowding” and “autofluorescence.”

In setting these legal standards, the Court of Appeal has demonstrated that it is committed to actively leading the development of law and practice across the UPC, even if that means reigning in the work of the Local Divisions.

To learn more, visit our UPC Resource Center.

Show Less

控訴裁判所は、クレーム解釈の基準、仮差止許可の基準、進歩性の実質的評価の3つの重要な実質的問題を明らかにした。具体的には、控訴院は以下のように述べた。

1. クレーム解釈の基準について、特許クレームは出発点であるだけでなく、保護範囲を決定する決定的な根拠である。解釈は常に「明細書」と「図面」を説明の補助として用いなければならず、クレームに曖昧さが含まれる場合に限定されない。明細書や図面にのみ開示され、特許請求の範囲に根拠がないものは保護されない。クレーム解釈の原則は、侵害と有効性の両方について適用される。
2. 仮差止めの基準について、仮差止めを認める適切な判断は、主張された特許が侵害されている可能性が「ないよりは高い」こと、および特許が有効であると判断される可能性が「ないよりは高い」ことに基づかなければならない。これはバランスを必要とする。すなわち、略式手続によって事実や証拠を提出する機会は限られているため、立証基準を高く設定しすぎてはならない。また、後日取り消される仮処分命令によって被告が損害を被るのを防ぐために、低すぎる水準に設定することもできない。したがって、侵害と有効性の両方について、十分な確実性が必要とされる。
3. 被告の審尋を経ない仮手続においては、無効の可能性を含むすべての関連事実の立証責任は申立人にある。対照的に、被告が審尋を受ける仮手続においては、権利及び侵害の立証責任は申立人にあり、無効の立証責任は被申立人にある。
4. 本案について、控訴裁判所は、ミュンヘン支部は特許が有効と判断される可能性を誤って評価したと判断した。控訴裁判所は、ミュンヘン支部の判断は、主張特許が侵害され、新規性があると判断される可能性については正しいが、特許に進歩性があると判断される可能性については誤っていると判断した。この判断に至るまで、控訴裁判所は独自の先行技術分析と技術資格を有する裁判官の意見に依拠し、被告の専門家による反対意見については簡単に言及するのみであった。
5. さらに、控訴裁判所は、欧州特許庁で一般的に行われている「問題／解決」分析を厳密に適用するのではなく、（引用された先行技術文献に反映されている）当業者の理解と能力を判断し適用する「古典的」スタイルの進歩性分析を適用した。当業者であれば、その専門知識に基づいて、「分子の混雑」や「自家蛍光」といった問題に対処することができるため、クレームされた方法を使用する際には、成功の合理的な期待を持つことができたであろう。

このような法的基準を設定することで、控訴裁判所は、支部の仕事を抑制することを意味するとしても、UPC全体の法律と実務の発展を積極的にリードすることに全力を尽くしていることを示した。

NOTE: 統一特許裁判所（UPC）の最新情報については、弊所のUPCリソースセンターをご覧ください。

Show Less

Changing Automotive Payment Modalities 

Subscription services such as music streaming services, third-party apps, security services, and telemetric or concierge services are being offered and paid through cars’ infotainment systems using payment cards. These payments may be collected directly by the car manufacturer or other third parties.

Entities that provide these new infotainment-based services and accept payment cards are likely “merchants” or “service providers” under the PCI DSS definitions. Both merchants and service providers must complete either a report on compliance (ROC) or a self-assessment questionnaire (SAQ) at least annually to comply with PCI DSS. ROCs or SAQs that are started after March 31, 2024 (the retirement date of prior PCI version 3.2.1) will need to use the new 4.0 version with its more rigorous requirements.

Some merchants and service providers may be in the midst of their PCI DSS compliance validation efforts under prior PCI version 3.2.1 as of March 31, 2024. In that case, merchants or service providers should reach out to the organizations that require their PCI compliance (e.g., acquiring banks, card brands, processors) to determine next steps, including whether they can continue with their 3.2.1 validation exercise.

As with any other channel used to process payment cards, in-car payments’ connectivity, security and authentication are paramount concerns. Even if the entire cardholder data environment is outsourced, there are still obligations to comply with PCI DSS.

IN DEPTH

While participants in this industry may have some familiarity with PCI DSS obligations, the confluence of new technologies and connected-to systems with the advent of PCI DSS 4.0 drives a new PCI DSS compliance imperative.

PCI DSS 4.0 Brings New Requirements

After two years to prepare, the March 31, 2024, date for compliance with PCI DSS 4.0 is almost here. PCI DSS 4.0—which brings major changes to the payments ecosystem—places an increased focus on targeted risk analysis, organizational maturity and governance. It also makes PCI DSS compliance a continuous effort, rather than an annual snapshot exercise, and introduces a customized approach to PCI assessments, enabling businesses to implement alternative technical and administrative controls that meet the customized approach objective.

Merchants, service providers, issuers, acquirers and any other businesses that accept card payments or store, process or transmit payment cardholder data should have already begun planning for PCI DSS 4.0. Implementing PCI DSS 4.0 will require structural changes that go beyond tweaking security controls. Businesses will also need to prepare for the increased legal risks of PCI DSS 4.0’s obligations. PCI assessments under version 4.0 will require more security documentation, risk analysis and affirmative statements than before, exposing the company’s security posture to greater scrutiny.

According to Mazars’s USA PCI qualified security assessor (QSA) team, automotive manufacturers, app developers and other companies that accept payments through in-vehicle systems will need to carefully assess how their in-vehicle payment solutions integrate with their existing payment platform. Particular attention should be paid to the communications protocols, deployment model and integrated payment infrastructure.

Because of the complexity of the new requirements and the time required to implement structural changes, companies should promptly begin addressing and internally validating compliance in advance of an assessment by their QSA. Businesses should consider whether to involve legal counsel and other consultants (under privilege) in this assessment and other aspects of their transition to PCI DSS 4.0, including for purposes of encouraging full and open communication and consideration of risks and exposure.

WHAT’S NEW IN PCI DSS 4.0?

PCI DSS 4.0 is an extensive change to the previous version, PCI DSS 3.2.1. Some of the significant changes are included below.

Increased Requirements for Yearly Diligence for Merchants and Service Providers

PCI DSS 4.0 increases the requirements for periodic diligence by merchants and service providers by adding several new controls, including the following:

• Service providers now have an explicit requirement to provide merchants with information necessary for the merchant to comply with its monitoring requirements under PCI DSS 12.8.4 and 12.8.5 (PCI DSS 12.9.2).
• At least every 12 months and upon a significant change, merchants and service providers must document and confirm the PCI DSS in-scope environment (PCI DSS 12.5.2), with additional documentation requirements for service providers (PCI DSS 12.5.2.1-2).
• Merchants and service providers must conduct a targeted risk analysis for any controls that use the customized approach, at least every 12 months with written approvals by senior management (PCI DSS 13.3.2).
• Merchants and service providers must complete at least an annual risk analysis for any controls that have flexibility for the frequency of controls (PCI DSS 13.3.1, best practice until 2025).
• Merchants and service providers must review at least annually cipher suites and protocols (PCI DSS 12.3.3, best practice until 2025).
• Merchants and service providers must conduct at least an annual review of hardware and software technologies in use, with a plan to remediate outdated technologies approved by senior management (PCI DSS 12.3.4, best practice until 2025).

These additional annual diligence requirements will take time and effort to establish. Merchants and service providers may want to build these new processes well in advance of having to rely on them for PCI DSS compliance through their ROC or SAQ processes and QSA oversight. Starting sooner rather than later will be key to pragmatic results, allowing at least one practice cycle of these assessments prior to relying on them for PCI DSS compliance.

New Customized Approach

When merchants and service providers cannot meet the prescriptive controls of PCI DSS 3.2.1, they must propose a compensating control and justify it with a risk assessment and a compensating control worksheet. In PCI DSS 4.0, this option still exists, but there is also a new option for a customized control approach. This customized approach retains the requirement to evaluate risk but allows for a more strategic pathway to meet a control. Instead of compensating for the lack of a control, the customized approach allows the merchant or service provider to document a different control based on the objective of the control that is being customized. The assessor will then assess the customized control in place of the control that is being substituted, allowing for a long-term customization rather than a shorter-term “compensating” control. (Not all controls are eligible for the customized approach. Notably, PCI DSS 3.3.1 prohibits storage of sensitive authentication data after authorization.)

Expanded Risk Analysis Guidance

PCI DSS 4.0 also provides expanded guidance on conducting risk analysis. Risk analysis has always been a part of PCI DSS, and it significantly is used as part of the compensating control worksheet. This new version includes a Sample Targeted Risk Analysis Template (PCI DSS Appendix E2). While using the template is not mandatory, the template provides more information on how the PCI Security Council expects a risk analysis to be carried out.

Clarifications to “Significant Change” Standard

PCI DSS 4.0 clarifies key PCI DSS concepts, including a more fulsome description of a “significant change,” which was not specifically defined in prior PCI DSS versions. While this latest version does not provide an exact definition, PCI DSS 4.0 does provide descriptions and examples of a significant change (PCI DSS, 7 Description of Timeframes Used in PCI DSS Requirements). This is important given the many interim changes, adaptations and updates (especially in the mobile payments industry) in the United States and other countries, such as India.

WHEN DOES PCI DSS 4.0 TAKE EFFECT?

PCI DSS 4.0 was issued on March 31, 2022, but will remain optional until March 31, 2024, when PCI DSS v. 3.2.1 will be retired. Assessments begun after that date must be under version 4.0. Some companies have opted into 4.0 already and are conducting PCI assessments and SAQs/ROCs under 4.0.

Several new requirements added for version 4.0 will not become mandatory until March 31, 2025. Until that date these requirements are considered “best practice.”

WHAT ARE THE LEGAL RISKS?

Failure to comply with PCI DSS 4.0 may lead to further investigations, fines, penalties and assessments, especially if there is a card breach after PCI DSS 4.0 becomes mandatory. Several state laws already incorporate PCI DSS, and other state laws include compliance with PCI DSS as a safe harbor.

The increased focus on risk analysis in PCI DSS 4.0 means that entities are likely to disclose more information about their security program to QSAs than they would under version 3.2.1. Given that PCI security assessments are not conducted under privilege, businesses should be prepared for the assessment papers to be scrutinized, particularly in the wake of a security incident. This will be increasingly significant, because the widespread adoption of chip transactions in the United States has reduced the viability of card cloning, reportedly causing credit card fraudsters large and small to target card-not-present transaction data and increase cybersecurity risk to a wide variety of companies.

Statements made in risk analyses should be accurate, verifiable and consistent with other disclosures. Security documentation should reflect actual, provable and current practices. Customized controls should defensibly meet the defined customized approach objectives.

The transition to PCI DSS version 4.0 will prove challenging and time-consuming to many companies. Companies should begin their transition planning promptly. An initial step in the transition should be an assessment against the PCI DSS 4.0 standard to identify compliance gaps and opportunities to implement a customized approach. Engaging outside counsel to help oversee the conduct of the internal assessment or other aspects of transition planning can mitigate risk and contribute to a successful transition.

Show Less

自動車の支払い方法の変化

自動車のインフォテインメントシステムを通じた支払いにより、音楽ストリーミングサービス、サードパーティアプリ、セキュリティサービス、コネクテッドサービスやコンシェルジュサービスなどのサブスクリプションサービスが提供されている。これらの支払いは、自動車メーカーが直接徴収する場合もあれば、その他の第三者が徴収する場合もある。

これらの新しいインフォテイメントベースのサービスを提供し、支払いカードを受け付ける事業者は、PCI DSSの定義上の「加盟店（merchants）」または「サービスプロバイダー（service providers）」に該当する。加盟店とサービスプロバイダーは、PCI DSSを遵守するために少なくとも年に1回、遵守報告書（report on compliance）または自己評価アンケート（self-assessment questionnaire）のいずれかを行う必要がある。2024年3月31日（旧PCIバージョン3.2.1の廃止日）以降に実施する遵守報告書または自己評価アンケートは、より厳格な要件を備えた新バージョン4.0を使用する必要がある。

一部の加盟店およびサービスプロバイダーは、2024年3月31日時点で以前のPCIバージョン3.2.1に基づくPCI DSS遵守の検証作業の最中かもしれない。この場合、加盟店またはサービスプロバイダーは、PCI遵守を要求する組織（アクワイアリング銀行、カードブランド、プロセッサーなど）に連絡して、バージョン3.2.1の検証作業を継続できるかどうかを含め、次のステップを決定する必要がある。

支払いカードの処理に使用される他のチャネルと同様に、車内決済の接続性、セキュリティ、および認証は最重要事項である。カード保有者データ環境全体を外部委託する場合でも、PCI DSSに準拠する義務があることを忘れてはならない。

詳細

この産業の事業者はPCI DSSの義務にある程度精通しているかもしれないが、PCI DSS 4.0の登場による新しいテクノロジーとコネクテッドシステムの融合は、PCI DSS準拠の新たな必須条件を課すことになる。

PCI DSS 4.0がもたらす新たな要件

2年間の準備期間を経て、PCI DSS 4.0の遵守期限は2024年3月31日に迫っている。決済業界のエコシステムに大きな変化をもたらすPCI DSS 4.0では、ターゲットリスク分析、組織の成熟度、およびガバナンスに焦点を当てている。また、PCI DSS遵守を毎年のスナップショット作業ではなく、継続的な取り組みとし、PCI評価にカスタマイズされたアプローチを導入することで、企業は目標に合わせた代替的な技術的および管理的コントロールを実装できるようになる。

加盟店、サービスプロバイダー、発行会社、アクワイアラ、およびカード決済を受け付ける、または支払いカード保有者データを保存、処理、送信する企業は、PCI DSS 4.0に向けた計画をすでに開始しているはずである。PCI DSS 4.0を実装するには、セキュリティ管理の微調整にとどまらない構造的な変更が必要になる。企業は、PCI DSS 4.0の義務による法的リスクの増加にも備える必要がある。バージョン4.0でのPCI評価では、以前よりも多くのセキュリティ文書、リスク分析、および肯定的なステイトメントが要求されるため、企業のセキュリティ態勢はより厳しい精査にさらされることになる。

Mazarsの米国PCIセキュリティ評価資格者（qualified security assessor）チームによると、車載システムを通じて支払いを受け付ける自動車メーカー、アプリ開発者、その他の企業は、車載決済ソリューションが既存の決済プラットフォームにどのように統合されているかを慎重に評価する必要がある。特に、通信プロトコル、展開モデル、統合決済インフラに注意を払わなければいけない。

新しい要件は複雑であり、構造的な変更を実施するのに時間がかかるため、企業はセキュリティ評価資格者による評価に先立ち、早急に社内でのコンプライアンス検証を開始する必要がある。企業は、完全かつオープンなコミュニケーションとリスクおよびエクスポージャーの検討を促す目的も含め、この評価およびPCI DSS 4.0への移行の他の側面において、（秘匿特権の下で）外部弁護士およびコンサルタントに依頼するかどうかを検討する必要がある。

PCI DSS 4.0の新しい点は？

PCI DSS 4.0は、前バージョンのPCI DSS 3.2.1から大幅に変更されている。重要な変更点の一部は以下のとおりである。

加盟店およびサービスプロバイダーに対する年間ディリジェンスの要件強化

PCI DSS 4.0は、以下を含むいくつかの新しいコントロール項目を追加することにより、加盟店とサービスプロバイダーによる定期的なディリジェンスの要件を強化する。

• サービスプロバイダーは、PCI DSS 12.8.4および12.8.5（PCI DSS 12.9.2）に基づくモニタリング要件を遵守するために必要な情報を加盟店に提供しなければならない。
• 加盟店およびサービスプロバイダーは、少なくとも12か月ごとおよび重要な変更が生じた際に、PCI DSSが適用される環境（PCI DSS 12.5.2）を文書化して確認する必要があり、サービスプロバイダーには追加の文書化要件が課される（PCI DSS 12.5.2.1-2）。
• 加盟店およびサービスプロバイダーは、カスタマイズされたアプローチを使用するコントロールについて、少なくとも12か月に1回、シニアマネジメントの書面による承認を得て、ターゲットリスク分析を実施する必要がある（PCI DSS 13.3.2）。
• 加盟店とサービスプロバイダーは、頻度に柔軟性があるコントロールについて、少なくとも年に1回のリスク分析を実施する必要がある（PCI DSS 13.3.1、2025年までのベストプラクティス）。
• 加盟店とサービスプロバイダーは、暗号スイートとプロトコルを少なくとも年1回見直す必要がある（PCI DSS 12.3.3、2025年までのベストプラクティス）。
• 加盟店およびサービスプロバイダーは、少なくとも年に1回、使用中のハードウェアおよびソフトウェアのレビューを実施し、シニアマネジメントの承認を得て、古くなった技術を修正する計画を立てなければならない（PCI DSS 12.3.4、2025年までのベストプラクティス）。

このような追加の年間ディリジェンス要件を確立するには時間と労力を要する。加盟店およびサービスプロバイダーは、遵守報告書または自己評価アンケートのプロセスおよびセキュリティ評価資格者の監督を通じたPCI DSS遵守に依存しなければならなくなる前に、これらの新しいプロセスを十分に構築することを望むだろう。PCI DSS遵守のためにこれら評価に依存する前に、少なくとも1回はこれらの評価を実践できるように、可能な限り早めに開始することが現実的な結果を得るための鍵となるだろう。

新しいカスタマイズされたアプローチ

加盟店およびサービスプロバイダーがPCI DSS 3.2.1に規定されたコントロールを満たせない場合、代替となるコントロールを提案し、リスク評価および代替となるコントロールのワークシートを使用してそれを正当化する必要がある。PCI DSS 4.0でも、このオプションは引き続き存在するが、カスタマイズされたコントロールアプローチという新しいオプションもある。このカスタマイズされたアプローチでは、リスクを評価する要件は維持されるが、コントロールを満たすためのより戦略的な方法が可能となる。カスタマイズされたアプローチでは、コントロールの欠如を補う代わりに、加盟店またはサービスプロバイダーは、カスタマイズされたコントロールの目的に基づいて、異なるコントロールを文書化することができる。評価者は、カスタマイズされたコントロールを代替されるコントロールの代わりに評価し、短期的な「代替」コントロールではなく、長期的なカスタマイズを可能にする（すべてのコントロールがカスタマイズ手法の対象となるわけではない。特に、PCI DSS 3.3.1では、認証後に機密認証データを保存することを禁止している）。

リスク分析ガイダンスの拡大

PCI DSS 4.0では、リスク分析の実施に関するガイダンスも拡大している。リスク分析は常にPCI DSSの一部であり、代替コントロールのワークシートの一部として大きな役割を果たしている。この新バージョンには、サンプルのターゲットリスク分析テンプレート（PCI DSS Appendix E2）が含まれる。テンプレートの使用は義務ではないが、このテンプレートは、PCI セキュリティ協議会が期待するリスク分析の実施方法に関する詳細な情報を提供している。

「重要な変更」基準の明確化

PCI DSS 4.0では、以前のPCI DSSバージョンでは明確に定義されていなかった「重要な変更」のより詳細な説明を含め、PCI DSS の主要な概念が明確化された。この最新バージョンは正確な定義を提供していないが、PCI DSS 4.0は重要な変更点と例の詳細を説明している（PCI DSS、「PCI DSS要件で使用されるタイムフレームの説明」）。これは、米国やインドなどの国々で（特にモバイル支払い業界における）多くの暫定的な変更、適応、および更新があることを考慮すると重要である。

PCI DSS 4.0はいつから有効になるのか？

PCI DSS 4.0は2022年3月31日に発行されたが、PCI DSS v.3.2.1が廃止される2024年3月31日までは任意である。それ以降に開始される評価は、バージョン4.0に準拠する必要がある。一部の企業はすでにバージョン4.0を選択し、それに基づいてPCI評価および自己評価アンケート/遵守報告書を実施している。

バージョン4.0で追加されたいくつかの新要件は、2025年3月31日まで義務化されない。それまでは、これらの要件は「ベストプラクティス」とみなされる。

何が法的リスクか？

PCI DSS 4.0を遵守しない場合、特にPCI DSS 4.0が義務化された後にカード侵害が発生した場合は、さらなる調査、罰金、罰則、および評価につながる可能性がある。いくつかの州法はすでにPCI DSSを取り入れており、その他の州法もPCI DSS遵守をセーフハーバーとしている。

PCI DSS 4.0ではリスク分析がより重視されるため、企業はバージョン3.2.1よりも多くのセキュリティプログラムに関する情報をセキュリティ評価資格者に開示することになる。PCIセキュリティ評価は秘匿特権の下で実施されるものではないため、企業は、評価文書が精査されることに備える必要がある。特にセキュリティインシデントの発生後にはより重要性を増すだろう。なぜなら、米国でチップ取引が広く採用されたことで、カードクローニングの実行可能性が低下し、大小のクレジットカード詐欺師がカードを提示しない取引データを標的とするようになり、さまざまな企業のサイバーセキュリティリスクが高まったと報告されているためである。

リスク分析における記述は、正確で、検証可能であり、他の開示と整合していなければならない。セキュリティ文書は、実際の、証明可能な、最新の実務を反映すべきである。カスタマイズされたコントロールは、定義されたカスタマイズされたアプローチの目的を満たすものでなければならない。

PCI DSSバージョン4.0への移行は、多くの企業にとって困難で時間のかかるものである。企業は速やかに移行計画を開始する必要がある。移行の最初のステップは、PCI DSS 4.0基準に照らした評価を行い、遵守のギャップとカスタマイズされたアプローチを実装する機会を特定することであう。外部弁護士による内部評価の実施や移行計画の他の側面の監督は、リスクを軽減し、移行の成功に繋がるだろう。

Show Less