NO&T U.S. Law Update 米国最新法律情報
2021年10月21日、米国商務省産業安全保障局(the U.S. Department of Commerce’s Bureau of Industry and Security)(以下、「BIS」といいます。)は、サイバーセキュリティ関連ソフトウェア等の輸出管理を強化するために米国輸出管理規則(Export Administration Regulations)(以下、「EAR」といいます。)の改正を定めた暫定最終規則(interim final rule)を公表しました※1。暫定最終規則では、不正侵入するソフトウェア、インターネットプロトコルネットワークの通信監視に関するシステム等を含むサイバーセキュリティ品目(cybersecurity items)がEARの規制対象に追加されることになりました。暫定最終規則は45日間(2021年12月6日まで)パブリックコメントに付された後、90日後の2022年1月19日に効力が生じる予定です。
長年議論されてきたサイバーセキュリティに関する輸出管理強化を目的とした今回の暫定最終規則は、サイバーセキュリティに関連する日本企業の米国輸出管理のプラクティスに大きな影響があると思われますので、本ニュースレターでその概要を紹介します。
通常兵器に関する国際的な枠組みであるワッセナー・アレンジメント(以下、「WA」といいます。)の2013年総会において、サイバーセキュリティに関する輸出管理の強化が合意されて以降、サイバーセキュリティに対する輸出管理の強化は国際的な課題となっており、WA2013年総会の合意に基づき、EUではサイバーセキュリティ技術に対する輸出管理強化が行われ、日本においても2019年の告示改正※2によってサイバーセキュリティ業種を対内直接投資等における指定業種に指定する等の改正が行われていました。
他方で、米国では、BISが、2015年にWA2013年総会の合意に基づきサイバーセキュリティに関する輸出管理強化を目的としたEARの規則案を発表しましたが、特に不正侵入ソフトウェア(intrusion software)に関する項目について規制範囲が広範であるとの産業界等からの反発があり、米国議会は、WA2013年総会の合意内容を再交渉するよう米国政府に要請しました。2016年のWA総会では交渉は不調に終わりましたが、WA2017年総会において、サイバーセキュリティに関する規制対象範囲を大きく修正することが合意されました。WA2017年総会後もなおサイバーセキュリティ技術を管理することへの懸念は多く表明されていましたが、長年議論されてきたサイバーセキュリティ技術に対する輸出管理に関する暫定最終規則がついに公表されるに至りました。
暫定最終規則において、ある製品がEARの規制対象に該当し、その輸出、再輸出又は移転(みなし輸出・再輸出を含みます。)にBISの許可が必要になるか否かを判断するにあたっては、以下の二段階で判断することになります。
以下、各段階における概要を紹介します。
暫定最終規則は、サイバーセキュリティ品目として以下の品目を規制品目リストに追加しています。
| ECCN※3 4A005: | 不正侵入ソフトウェア※4の生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたシステム、設備又はそれらのための構成部分 |
| ECCN 4D004: | 不正侵入ソフトウェアの生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたソフトウェア |
| ECCN 4D001a.: | ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発又は生産のために特別に設計又は改変されたソフトウェア |
| ECCN 4E001※5a.: | ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発生産又は使用のための技術 |
| 同c.: | 不正侵入ソフトウェアを開発するための技術 |
ECCN※3 4A005:
不正侵入ソフトウェア※4の生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたシステム、設備又はそれらのための構成部分
ECCN 4D004:
不正侵入ソフトウェアの生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたソフトウェア
ECCN 4D001a.:
ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発又は生産のために特別に設計又は改変されたソフトウェア
ECCN 4E001※5a.:
ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発生産又は使用のための技術
同c.:
不正侵入ソフトウェアを開発するための技術
規制品目リストの検討を踏まえて、ある製品が上記品目に該当するとしても、暫定最終規則では広範な許可例外制度を設けています。すなわち、許可例外ACEでは、以下の場合を除くサイバーセキュリティ品目のみなし輸出を含む輸出、再輸出又は移転は、BISの輸出許可なく行うことが認められています。
① 制裁対象国(キューバ、イラン、北朝鮮及びシリア)に対する輸出等
② エンドユーザー規制
しかし、上記国・地域のうち、A:6に指定されるキプロス、イスラエル及び台湾を仕向地とする以下のいずれかの輸出等は政府エンドユーザーの規制対象外(すなわち許可例外ACEの適用あり)となります。
なお、暫定最終規則では、上記規制に加えて、輸出者、再輸出者又は移転者が、輸出、再輸出又は移転の時に、サイバーセキュリティ品目が所有者等の許可なく情報又は情報システムの機密性、完全性又は可用性に影響を及ぼす目的で使用されることを認識等していた場合にも、許可例外ACEの適用はないとされています。なお、BISは「認識」について、実際に認識していたことや特定の事実を認識していたことを要求せず、該当する取引における事実・状況等から、上記目的で使用されることを認識していたか又は認識すべき事由があったかを広く解釈する可能性があることに留意する必要があります。
上記のとおり、暫定最終規則の適用を判断するためには、複雑かつ専門的な判断が必要となり、自社のサイバーセキュリティに関する製品がEARの規制品目リストに該当するか否か、該当するとして許可例外ACEの適用があるか否かという検討には専門的な観点からの分析・検討が必要になると思われます。暫定最終規則の前文では、暫定最終規則の対象範囲は限定的であることから、その影響は最小限になるだろうと記載されていますが、暫定最終規則の上記内容に鑑みると、暫定最終規則がサイバーセキュリティに関するビジネスを展開している米国内外の企業に与える実務的影響は大きいと思われます。
上記のとおり、暫定最終規則はパブリックコメントを踏まえて、さらに修正がなされる余地がありますので、暫定最終規則の最終案が公表されるまで、引き続きその動向に注視する必要があります。
※2
対内直接投資等に関する命令第三条第四項に基づき財務大臣及び事業所管大臣が定める業種を定める件の一部を改正する告示(令和元年5月 内閣府・総務省・財務省・文部科学省・厚生労働省・農林水産省・経済産業省・国土交通省・環境省 告示第1号)等
※3
Export Control Classification Number(輸出規制品目分類番号)の略。
※4
「不正侵入ソフトウェア」とは、電子計算機又は電気通信回線に対応可能な機器(モバイル機器及びスマートメーターを含みます。)の監視ツールによる検出を回避し、防御手段を無効化するように、特別に設計又は改変されたソフトウェアであって、以下のいずれかの操作を実行するものを意味します。
※5
ECCN 4E001a.及びc.との関係では、脆弱性の開示(vulnerability disclosure)又はサイバーインシデントへの対応(cyber incident response)を目的として、ECCN 4E001a.及びc.に記載の技術を交換する場合は適用がないとされています。
※6
政府機関のほか、政府機関によって運営される研究施設、政府機関のために行動する団体等を含みます。
※7
米国子会社、金融機関、保険会社又は医療機関が含まれます。
※8
ソフトウェアや技術等の、ある情報システムの使用若しくは危殆化又はその他の効果に関する過去又は現在の活動を示す情報システム上で発見される品目を意味します。
※9
(ii)の警察又は司法機関への輸出等の対象がデジタルアーティファクツに限られるかどうか明らかではないとの指摘もなされています。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
服部薫、塚本宏達、近藤亮作(共著)
商事法務 (2025年4月)
長島・大野・常松法律事務所 農林水産・食品プラクティスチーム(編)、笠原康弘、宮城栄司、宮下優一、渡邉啓久、鳥巣正憲、岡竜司、伊藤伸明、近藤亮作、羽鳥貴広、田澤拓海、松田悠、灘本宥也、三浦雅哉、水野奨健(共編著)、福原あゆみ(執筆協力)
(2025年3月)
安西統裕
細川智史、大澤大、湯浅諭、岡田忠志(共著)
(2025年4月)
三笘裕、伊藤環(共著)
(2025年4月)
宮下優一
酒井嘉彦
商事法務 (2025年4月)
長島・大野・常松法律事務所 農林水産・食品プラクティスチーム(編)、笠原康弘、宮城栄司、宮下優一、渡邉啓久、鳥巣正憲、岡竜司、伊藤伸明、近藤亮作、羽鳥貴広、田澤拓海、松田悠、灘本宥也、三浦雅哉、水野奨健(共編著)、福原あゆみ(執筆協力)
(2025年4月)
三笘裕、伊藤環(共著)
酒井嘉彦
商事法務 (2025年4月)
長島・大野・常松法律事務所 農林水産・食品プラクティスチーム(編)、笠原康弘、宮城栄司、宮下優一、渡邉啓久、鳥巣正憲、岡竜司、伊藤伸明、近藤亮作、羽鳥貴広、田澤拓海、松田悠、灘本宥也、三浦雅哉、水野奨健(共編著)、福原あゆみ(執筆協力)
(2025年3月)
金田聡
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
服部薫、塚本宏達、近藤亮作(共著)
殿村桂司、松﨑由晃(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
服部薫、塚本宏達、近藤亮作(共著)
(2025年4月)
伊佐次亮介
酒井嘉彦
(2025年4月)
梶原啓
(2025年3月)
金田聡
(2025年3月)
石原和史
殿村桂司、松﨑由晃(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
服部薫、塚本宏達、近藤亮作(共著)
(2025年4月)
伊佐次亮介
鹿はせる
(2025年1月)
大川友宏、髙野紘輝、万鈞剣(共著)
(2024年12月)
德地屋圭治、鄧瓊(共著)
若江悠
