CUI(Controlled Unclassified Information)とは、アメリカ連邦政府において、機密情報ではないが特定の保護が必要とされる非分類情報を指します。CUIには、個人情報、知的財産、法執行に関する情報、国土安全保障に関連するデータなどが含まれ、これらの情報は特定の法律や規制に基づいて保護される必要があります。CUIプログラムは、情報の管理、共有、保護に関する統一基準を提供し、連邦政府やその契約者がこれらの情報を適切に取り扱うことを求めています。特に、政府の請負業者やサプライチェーンパートナーは、CUIを取り扱う際に特定のセキュリティ基準に従うことが義務付けられており、NIST SP 800-171やNIST SP 800-53などのガイドラインに準拠したセキュリティ対策を実施する必要があります。対策として、CUIを扱う組織は、情報保護に関するポリシーを策定し、従業員に対してCUIの取り扱いに関する教育を行うことが重要です。また、CUIのアクセス管理や暗号化、監査ログの記録など、セキュリティ対策を強化することで、情報漏洩や不正アクセスのリスクを最小限に抑えることが求められます。さらに、定期的な監査を実施し、CUIの管理が適切に行われているかを確認することが推奨されます。