icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

米国輸出管理規制アップデート ~サイバーセキュリティ関連の輸出管理強化~

NO&T U.S. Law Update 米国最新法律情報

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 2021年10月21日、米国商務省産業安全保障局(the U.S. Department of Commerce’s Bureau of Industry and Security)(以下、「BIS」といいます。)は、サイバーセキュリティ関連ソフトウェア等の輸出管理を強化するために米国輸出管理規則(Export Administration Regulations)(以下、「EAR」といいます。)の改正を定めた暫定最終規則(interim final rule)を公表しました※1。暫定最終規則では、不正侵入するソフトウェア、インターネットプロトコルネットワークの通信監視に関するシステム等を含むサイバーセキュリティ品目(cybersecurity items)がEARの規制対象に追加されることになりました。暫定最終規則は45日間(2021年12月6日まで)パブリックコメントに付された後、90日後の2022年1月19日に効力が生じる予定です。

 長年議論されてきたサイバーセキュリティに関する輸出管理強化を目的とした今回の暫定最終規則は、サイバーセキュリティに関連する日本企業の米国輸出管理のプラクティスに大きな影響があると思われますので、本ニュースレターでその概要を紹介します。

背景

 通常兵器に関する国際的な枠組みであるワッセナー・アレンジメント(以下、「WA」といいます。)の2013年総会において、サイバーセキュリティに関する輸出管理の強化が合意されて以降、サイバーセキュリティに対する輸出管理の強化は国際的な課題となっており、WA2013年総会の合意に基づき、EUではサイバーセキュリティ技術に対する輸出管理強化が行われ、日本においても2019年の告示改正※2によってサイバーセキュリティ業種を対内直接投資等における指定業種に指定する等の改正が行われていました。

 他方で、米国では、BISが、2015年にWA2013年総会の合意に基づきサイバーセキュリティに関する輸出管理強化を目的としたEARの規則案を発表しましたが、特に不正侵入ソフトウェア(intrusion software)に関する項目について規制範囲が広範であるとの産業界等からの反発があり、米国議会は、WA2013年総会の合意内容を再交渉するよう米国政府に要請しました。2016年のWA総会では交渉は不調に終わりましたが、WA2017年総会において、サイバーセキュリティに関する規制対象範囲を大きく修正することが合意されました。WA2017年総会後もなおサイバーセキュリティ技術を管理することへの懸念は多く表明されていましたが、長年議論されてきたサイバーセキュリティ技術に対する輸出管理に関する暫定最終規則がついに公表されるに至りました。

暫定最終規制の概要

 暫定最終規則において、ある製品がEARの規制対象に該当し、その輸出、再輸出又は移転(みなし輸出・再輸出を含みます。)にBISの許可が必要になるか否かを判断するにあたっては、以下の二段階で判断することになります。

  • 1 当該製品がEARの規制品目リスト(Commerce Control List)に記載されている品目に該当するか。
  • 2 規制品目リストに記載されている品目に該当するとして、許可例外ACE(Authorized Cybersecurity Exports)の適用があるか。

 以下、各段階における概要を紹介します。

1 規制品目リストの該当性

 暫定最終規則は、サイバーセキュリティ品目として以下の品目を規制品目リストに追加しています。

ECCN※3 4A005: 不正侵入ソフトウェア※4の生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたシステム、設備又はそれらのための構成部分
ECCN 4D004: 不正侵入ソフトウェアの生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたソフトウェア
ECCN 4D001a.: ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発又は生産のために特別に設計又は改変されたソフトウェア
ECCN 4E001※5a.: ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発生産又は使用のための技術
同c.: 不正侵入ソフトウェアを開発するための技術

ECCN※3 4A005:
不正侵入ソフトウェア※4の生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたシステム、設備又はそれらのための構成部分

ECCN 4D004:
不正侵入ソフトウェアの生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたソフトウェア

ECCN 4D001a.:
ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発又は生産のために特別に設計又は改変されたソフトウェア

ECCN 4E001※5a.:
ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発生産又は使用のための技術

同c.:
不正侵入ソフトウェアを開発するための技術

2 許可例外ACEの適用

 規制品目リストの検討を踏まえて、ある製品が上記品目に該当するとしても、暫定最終規則では広範な許可例外制度を設けています。すなわち、許可例外ACEでは、以下の場合を除くサイバーセキュリティ品目のみなし輸出を含む輸出、再輸出又は移転は、BISの輸出許可なく行うことが認められています。

① 制裁対象国(キューバ、イラン、北朝鮮及びシリア)に対する輸出等

② エンドユーザー規制

  • (a) 政府エンドユーザー(government end user)※6に対する輸出等の規制:規制品目リストに添付されているカントリーグループのうち、D:1、D:2、D:3、D:4又はD:5に指定される国・地域に所在する政府エンドユーザーに対する輸出等は許可例外ACEの適用対象外となります。

    しかし、上記国・地域のうち、A:6に指定されるキプロス、イスラエル及び台湾を仕向地とする以下のいずれかの輸出等は政府エンドユーザーの規制対象外(すなわち許可例外ACEの適用あり)となります。

    • (i)優遇サイバーセキュリティエンドユーザー(favorable treatment cybersecurity end user)※7によって所有又は運営される情報システムを含むサイバーインシデントに関連するデジタルアーティファクツ(digital artifacts)※8の輸出等や(ii)そのようなサイバーインシデントの調査又は訴追を目的とする警察又は司法機関への輸出等※9
    • (i)サイバーインシデントへの対応、(ii)脆弱性開示又は(iii)サイバーインシデントの調査又は訴追を目的とする、これらの事象に対応するチームに対する輸出等
  • (b) 非政府エンドユーザーに対する輸出等の規制:規制品目リストに添付されているカントリーグループのうち、D:1又はD:5に指定された国・地域に所在する非政府エンドユーザーに対して、脆弱性開示又はサイバーインシデントに対応すること以外を目的として行う一定の輸出等は許可例外ACEの適用対象外となります。

 なお、暫定最終規則では、上記規制に加えて、輸出者、再輸出者又は移転者が、輸出、再輸出又は移転の時に、サイバーセキュリティ品目が所有者等の許可なく情報又は情報システムの機密性、完全性又は可用性に影響を及ぼす目的で使用されることを認識等していた場合にも、許可例外ACEの適用はないとされています。なお、BISは「認識」について、実際に認識していたことや特定の事実を認識していたことを要求せず、該当する取引における事実・状況等から、上記目的で使用されることを認識していたか又は認識すべき事由があったかを広く解釈する可能性があることに留意する必要があります。

今後に向けて

 上記のとおり、暫定最終規則の適用を判断するためには、複雑かつ専門的な判断が必要となり、自社のサイバーセキュリティに関する製品がEARの規制品目リストに該当するか否か、該当するとして許可例外ACEの適用があるか否かという検討には専門的な観点からの分析・検討が必要になると思われます。暫定最終規則の前文では、暫定最終規則の対象範囲は限定的であることから、その影響は最小限になるだろうと記載されていますが、暫定最終規則の上記内容に鑑みると、暫定最終規則がサイバーセキュリティに関するビジネスを展開している米国内外の企業に与える実務的影響は大きいと思われます。

 上記のとおり、暫定最終規則はパブリックコメントを踏まえて、さらに修正がなされる余地がありますので、暫定最終規則の最終案が公表されるまで、引き続きその動向に注視する必要があります。

※2
対内直接投資等に関する命令第三条第四項に基づき財務大臣及び事業所管大臣が定める業種を定める件の一部を改正する告示(令和元年5月 内閣府・総務省・財務省・文部科学省・厚生労働省・農林水産省・経済産業省・国土交通省・環境省 告示第1号)等

※3
Export Control Classification Number(輸出規制品目分類番号)の略。

※4
「不正侵入ソフトウェア」とは、電子計算機又は電気通信回線に対応可能な機器(モバイル機器及びスマートメーターを含みます。)の監視ツールによる検出を回避し、防御手段を無効化するように、特別に設計又は改変されたソフトウェアであって、以下のいずれかの操作を実行するものを意味します。

  • (1) 電子計算機又は電気通信回線に対応可能な機器からデータ又は情報の抽出を行うこと又はシステム若しくはユーザーデータの改変を行うこと
  • (2) 外部からの命令を実行するためのプログラム又はプロセスの標準的な実行パスを改変すること

※5
ECCN 4E001a.及びc.との関係では、脆弱性の開示(vulnerability disclosure)又はサイバーインシデントへの対応(cyber incident response)を目的として、ECCN 4E001a.及びc.に記載の技術を交換する場合は適用がないとされています。

※6
政府機関のほか、政府機関によって運営される研究施設、政府機関のために行動する団体等を含みます。

※7
米国子会社、金融機関、保険会社又は医療機関が含まれます。

※8
ソフトウェアや技術等の、ある情報システムの使用若しくは危殆化又はその他の効果に関する過去又は現在の活動を示す情報システム上で発見される品目を意味します。

※9
(ii)の警察又は司法機関への輸出等の対象がデジタルアーティファクツに限られるかどうか明らかではないとの指摘もなされています。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

弁護士等

国際通商・経済制裁法・貿易管理に関連する著書/論文

コーポレートに関連する著書/論文

一般企業法務に関連する著書/論文

海外業務に関連する著書/論文

南北アメリカに関連する著書/論文

アジア・オセアニアに関連する著書/論文

米国に関連する著書/論文

中国に関連する著書/論文

× 閉じる
業務分野を選択
× 閉じる