DHSが12/26から非市民の顔撮影を義務化、CBPの生体認証入出国を全面拡張—プライバシーと企業渡航管理への波紋です

今日の深掘りポイント

• 12月26日から、米国の入国・出国地点で「全ての非市民」を対象に顔撮影・照合が実施される最終規則が示されたと報じられています。ビザ不正滞在対策と国境セキュリティ強化が目的です。
• 報道では、CBPが取得した非市民の顔画像を最長75年保持しうる点が指摘されています。不可逆なバイオメトリクスの長期保持は、漏えい時の影響が継続しやすい構造的リスクです。
• 企業にとっては、米国渡航者（特に非市民）のプライバシー・人権配慮、サプライヤー（航空・空港・旅行管理）のデータ連携リスク、渡航時の脅威インテリジェンス運用など、実務フローの見直しが求められます。
• スコアリング指標では、probability: 9、credibility: 10と実現性・信頼性が極めて高く、scale: 9、magnitude: 8が示す適用範囲・影響度の大きさを踏まえ、12月施行までの短期間で備えるべき優先テーマです。

はじめに

米国国土安全保障省（DHS）が、生体認証による入出国管理を拡大し、税関国境警備局（CBP）が米国の全ての入出国地点で非市民の顔画像を撮影・政府データベースと照合する最終規則を公表したと報じられています。施行開始は12月26日で、不法滞在の抑止や国境セキュリティの強化、手続きの迅速化を狙う一方で、プライバシー、差別リスク、長期保管に伴うサイバー・オペレーショナルリスクが強く懸念されます。国際往来が多い日本企業のガバナンスに直結する動きとして、渡航者保護とインシデント対応設計の両面から整理する必要がある局面です。

出典（報道）では、非市民の顔画像が最長75年間保持されうる点が明記されており、バイオメトリクスの「不可逆性（いったん漏えいすると取り消せない）」がリスクの重さを増幅します。制度の対象、保持期間、照合プロセスといった仕様は、セキュリティチームが自社の渡航・法務・人事・コンプライアンスと共有すべき一次情報です。

参考: Biometric Updateの報道

深掘り詳細

事実整理（報道ベース）

• 対象と施行時期
  • 全非市民を対象に、米国の全入国・出国地点で顔撮影・照合を実施する最終規則が公表されたと報じられています。施行は2025年12月26日からとされています。
• 技術と運用
  • 旅行者の顔画像を撮影し、政府のデータベースと照合して身元確認を迅速化する仕組みです。
• データ保持
  • 非市民の顔画像は、CBPにより最大75年間保持される可能性があると報じられています。
• 目的
  • 国境セキュリティの強化、不正滞在抑止、手続きの効率化が意図とされています。
• オプトアウト
  • 報道では、従来一部の場面で市民の任意性が論点になってきた経緯が示唆されていますが、今回の対象は「非市民」であり、実質的なオプトアウト余地は限定的になるとみられる趣旨がうかがえます（この点は最終規則本文の確認が必要な論点です）。

出典: Biometric Update

編集部インサイト（仮説を明示）

• 長期保持×不可逆性の「構造的リスク」
  • 仮説: 75年という保持期間は、単純に保管年数が長いというだけでなく、組織改編・ベンダー更新・クラウド移行など「運用の経年変化」による攻撃対象領域の拡大と管理の複雑化を招く可能性が高いです。不可逆なバイオメトリクスは漏えい時に恒久的な被害が残るため、従来の資格情報（パスワード、トークン）とは復旧ダイナミクスが根本的に異なります。
• 差分影響と国際企業の責任
  • 仮説: 本制度は「非市民」に適用されるため、米国籍の従業員と比較して在米滞在の非米国籍従業員（駐在・出張者）に偏ったデータ取得が生じます。グローバル企業は、採用・派遣・出張の運用で結果的に特定国籍や属性に負担が集中しうる点を、人権・DEI・安全配慮義務の観点から評価し、透明性のある社内コミュニケーションを設計すべきです。
• サプライチェーンの拡張
  • 仮説: 実運用では航空会社・空港運営者・地上支援・機器ベンダー・統合プラットフォームなど多層の関係者が関与します。最終規則はCBPの権限に関するものですが、システム接続点の増加はサプライチェーンの攻撃面を広げます。監査可能性、更新管理、鍵管理、ログ保全、テナント分離など、民間連携部分のコントロールが実質的な肝になります。
• 観測されやすい攻撃キャンペーンのトリガ
  • 仮説: 施行直前・直後は「顔登録を事前に行ってください」などを装うフィッシングや偽アプリ配布が増える典型パターンです。企業渡航者を狙ったスピアフィッシングが起きやすく、セキュリティ教育とブランド保護（偽サイト監視）が効きます。

指標（メトリクス）の読み解きと現場への示唆

• score: 57.00
  • 全体評価として中〜やや高のインパクトです。単発の脆弱性ではなく制度変更のため、継続的影響を見込み、リスク台帳に恒常項目として追加する価値が高いです。
• scale: 9.00、magnitude: 8.00
  • 適用範囲（scale）が広く、影響の大きさ（magnitude）も高い指標です。米国と往来する非市民がいる限り、ほぼ全社的な関係が生じます。人事・法務・セキュリティ・総務・渡航管理の横断対応が必要です。
• novelty: 7.00
  • 内容自体は既存プログラムの拡大ですが、全非市民対象・全国展開というスケールで新段階に入ることを示します。これに連動した詐欺・偽装手口の新展開にも備えるべきです。
• immediacy: 6.00
  • 施行まで時間は限られており、30〜60日で実行可能な優先度高のタスク（教育・通知・渡航プロセス改訂）に着手すべきです。
• actionability: 5.00
  • 規則自体は外部要因ですが、社内対策（教育、渡航フロー、サプライヤー管理、監視強化）でリスク低減余地は中程度に存在します。
• positivity: 3.00
  • セキュリティ効率化の利点はあるものの、プライバシー・人権・差別リスクの懸念が勝る評価です。対外説明責任と内部説明責任の両方を重視すべきです。
• probability: 9.00、credibility: 10.00
  • 実施確度・情報信頼性が非常に高いと解釈すべきです。前提条件が崩れる可能性は低く、確定的な前提で準備を進めるべきです。

脅威シナリオと影響（MITRE ATT&CKに基づく仮説）

以下は制度実装に伴い「攻撃者が狙うであろう面」と「企業に及ぶ影響」を、MITRE ATT&CK（Enterprise）のテクニックに沿って仮説提示するものです。具体的なシステム構成は公開情報の精査が必要なため、一般化したモデルとして記述します。

• シナリオ1: サプライチェーンを介したバイオメトリクス画像・ログの流出

  • 手口（仮説）
    • T1195 Compromise Software Supply Chain: 周辺ベンダー（画像取り込み機器、ミドルウェア、統合プラットフォーム）の更新チェーンを汚染し、悪性コードを注入します。
    • T1190 Exploit Public-Facing Application: 旅客処理関連の公開API/ポータルの脆弱性を突いて侵入します。
    • T1565 Data Manipulation: ログ改ざんにより痕跡を隠蔽します。
    • T1041 Exfiltration Over C2 Channel / T1020 Automated Exfiltration: 収集した顔画像・メタデータを断続的に外部へ送出します。
  • 影響
    • 不可逆な顔画像の広範な漏えいは、長期のなりすまし・監視リスクを生むほか、企業の従業員・役員を狙う二次被害（恐喝、スピアフィッシング）を誘発します。

• シナリオ2: 照合パイプラインの改ざんによる“すり抜け”と誤認

  • 手口（仮説）
    • T1556 Modify Authentication Process: 照合閾値やアルゴリズム設定を不正に変更し、ウォッチリスト対象者の偽陰性を増やします。
    • T1553 Subvert Trust Controls: 署名・検証プロセスの回避により、未承認モジュールをロードします。
    • T1485 Data Destruction（派生）: 監査ログの破壊で発見を遅延させます。
  • 影響
    • 誤認・誤拒否の増加は運用混乱と冤罪リスクを高め、企業の渡航計画に支障が出ます。高経営層の移動停止は事業影響が大きいです。

• シナリオ3: 施行期を狙ったフィッシング・偽アプリ配布（企業渡航者が標的）

  • 手口（仮説）
    • T1566 Phishing: 「新バイオメトリクス登録が必須」「事前アプリで登録」などの偽通知で資格情報や顔動画を収集します。
    • T1204 User Execution: 添付ファイル・モバイルアプリの実行を誘導します。
    • T1056 Input Capture / T1113 Screen Capture: 端末上で追加情報を窃取します。
  • 影響
    • 委任権限のある渡航者（購買権限、金融承認権限）を起点に、社内網への横展開や財務詐欺が発生します。人事・旅費精算SaaSへの侵入は従業員情報の二次流出につながります。

• シナリオ4: 内部不正・濫用

  • 手口（仮説）
    • T1078 Valid Accounts: 委託先を含む内部関係者が正規権限でデータへアクセスし、持ち出します。
    • T1036 Masquerading: 正規運用に偽装して大量抽出を行います。
  • 影響
    • 長期保持データの“スロー抽出”は検知が遅れがちです。発覚後の本人通知やレピュテーションコストが高騰します。

企業側への波及

• 渡航レジリエンス: 誤認・運用混乱時の代替動線（別便・別ルート・遠隔出席）や、要人の予備計画が必要です。
• 法務・プライバシー: 社員説明、同意・告知、データ主体の権利対応（問い合わせ窓口、FAQ整備）を準備すべきです。
• サプライヤー管理: TMC（Travel Management Company）、航空・空港向けのセキュリティ・プライバシー要件を更新し、監査証跡を確保すべきです。

セキュリティ担当者のアクション

短期（〜30日）

• エグゼクティブ向けブリーフィングを実施し、制度の骨子・施行日・想定影響・想定FAQを整理します。
• 人事・総務・法務・コンプライアンスと連携し、「米国渡航時のバイオメトリクス取得に関する社内告知文」をドラフトします（対象は非市民、画像保持の長期性、問い合わせ窓口を明確化します）。
• セキュリティ意識向上: 施行を題材にしたフィッシング訓練を実施し、「事前登録を装うメール・アプリ」に注意喚起します。
• DLP/監視: 旅程・渡航者情報の取り扱いSaaS（TMC、経費精算、IDaaS）のアクセス監視強化ルールを暫定導入します。

中期（30〜90日）

• 渡航リスク手順を改訂し、誤認時のエスカレーションフロー（現地リーガル、領事館、TMC緊急窓口）を明文化します。
• サプライヤーセキュリティレビューを更新し、旅客処理関連のAPI接続・データ共有の最小化・鍵管理・ログ保全（不可逆ハッシュ・WORM、時間同期）要件を追記します。
• プライバシー影響評価（DPIAに準ずる社内評価）を行い、バイオメトリクス取得に関する説明責任・差分影響（非米国籍従業員への偏り）を評価します。
• ダークウェブ・OSINT監視のキーワードに「biometric」「CBP」「travelers face」「entry-exit」等を追加し、相関検知ルールを強化します。

継続（90日以降）

• 年次の危機管理演習に「国境での誤認・入国遅延」を組み込み、事業継続・代替コミュニケーション計画をテストします。
• 渡航プロセスのゼロトラスト化（最小権限・端末健全性チェック・出張者用プロファイル分離）を推進します。
• 社内FAQ・教育コンテンツを定期更新し、制度変更や運用現場の実情を反映します。

参考情報

• Biometric Update: DHS expands biometric entry-exit program, CBP to photograph all noncitizens at U.S. borders（2025-10-27）: https://www.biometricupdate.com/202510/dhs-expands-biometric-entry-exit-program-cbp-to-photograph-all-noncitizens-at-u-s-borders

注記

• 本稿は提示された報道を一次情報として整理し、編集部によるリスク分析と仮説（明示）を加えています。最終規則の正式文書の公開内容や技術実装詳細（システム構成・データフロー・保持仕様）は、一次資料の精査により適宜アップデートすべきです。