NO&T U.S. Law Update 米国最新法律情報
2021年10月21日、米国商務省産業安全保障局(the U.S. Department of Commerce’s Bureau of Industry and Security)(以下、「BIS」といいます。)は、サイバーセキュリティ関連ソフトウェア等の輸出管理を強化するために米国輸出管理規則(Export Administration Regulations)(以下、「EAR」といいます。)の改正を定めた暫定最終規則(interim final rule)を公表しました※1。暫定最終規則では、不正侵入するソフトウェア、インターネットプロトコルネットワークの通信監視に関するシステム等を含むサイバーセキュリティ品目(cybersecurity items)がEARの規制対象に追加されることになりました。暫定最終規則は45日間(2021年12月6日まで)パブリックコメントに付された後、90日後の2022年1月19日に効力が生じる予定です。
長年議論されてきたサイバーセキュリティに関する輸出管理強化を目的とした今回の暫定最終規則は、サイバーセキュリティに関連する日本企業の米国輸出管理のプラクティスに大きな影響があると思われますので、本ニュースレターでその概要を紹介します。
通常兵器に関する国際的な枠組みであるワッセナー・アレンジメント(以下、「WA」といいます。)の2013年総会において、サイバーセキュリティに関する輸出管理の強化が合意されて以降、サイバーセキュリティに対する輸出管理の強化は国際的な課題となっており、WA2013年総会の合意に基づき、EUではサイバーセキュリティ技術に対する輸出管理強化が行われ、日本においても2019年の告示改正※2によってサイバーセキュリティ業種を対内直接投資等における指定業種に指定する等の改正が行われていました。
他方で、米国では、BISが、2015年にWA2013年総会の合意に基づきサイバーセキュリティに関する輸出管理強化を目的としたEARの規則案を発表しましたが、特に不正侵入ソフトウェア(intrusion software)に関する項目について規制範囲が広範であるとの産業界等からの反発があり、米国議会は、WA2013年総会の合意内容を再交渉するよう米国政府に要請しました。2016年のWA総会では交渉は不調に終わりましたが、WA2017年総会において、サイバーセキュリティに関する規制対象範囲を大きく修正することが合意されました。WA2017年総会後もなおサイバーセキュリティ技術を管理することへの懸念は多く表明されていましたが、長年議論されてきたサイバーセキュリティ技術に対する輸出管理に関する暫定最終規則がついに公表されるに至りました。
暫定最終規則において、ある製品がEARの規制対象に該当し、その輸出、再輸出又は移転(みなし輸出・再輸出を含みます。)にBISの許可が必要になるか否かを判断するにあたっては、以下の二段階で判断することになります。
以下、各段階における概要を紹介します。
暫定最終規則は、サイバーセキュリティ品目として以下の品目を規制品目リストに追加しています。
ECCN※3 4A005: | 不正侵入ソフトウェア※4の生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたシステム、設備又はそれらのための構成部分 |
ECCN 4D004: | 不正侵入ソフトウェアの生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたソフトウェア |
ECCN 4D001a.: | ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発又は生産のために特別に設計又は改変されたソフトウェア |
ECCN 4E001※5a.: | ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発生産又は使用のための技術 |
同c.: | 不正侵入ソフトウェアを開発するための技術 |
ECCN※3 4A005:
不正侵入ソフトウェア※4の生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたシステム、設備又はそれらのための構成部分
ECCN 4D004:
不正侵入ソフトウェアの生成、コマンド及びコントロール又は配信のために特別に設計又は改変されたソフトウェア
ECCN 4D001a.:
ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発又は生産のために特別に設計又は改変されたソフトウェア
ECCN 4E001※5a.:
ECCN 4A005によって規制された設備又はECCN 4D004によって規制されたソフトウェアの開発生産又は使用のための技術
同c.:
不正侵入ソフトウェアを開発するための技術
規制品目リストの検討を踏まえて、ある製品が上記品目に該当するとしても、暫定最終規則では広範な許可例外制度を設けています。すなわち、許可例外ACEでは、以下の場合を除くサイバーセキュリティ品目のみなし輸出を含む輸出、再輸出又は移転は、BISの輸出許可なく行うことが認められています。
① 制裁対象国(キューバ、イラン、北朝鮮及びシリア)に対する輸出等
② エンドユーザー規制
しかし、上記国・地域のうち、A:6に指定されるキプロス、イスラエル及び台湾を仕向地とする以下のいずれかの輸出等は政府エンドユーザーの規制対象外(すなわち許可例外ACEの適用あり)となります。
なお、暫定最終規則では、上記規制に加えて、輸出者、再輸出者又は移転者が、輸出、再輸出又は移転の時に、サイバーセキュリティ品目が所有者等の許可なく情報又は情報システムの機密性、完全性又は可用性に影響を及ぼす目的で使用されることを認識等していた場合にも、許可例外ACEの適用はないとされています。なお、BISは「認識」について、実際に認識していたことや特定の事実を認識していたことを要求せず、該当する取引における事実・状況等から、上記目的で使用されることを認識していたか又は認識すべき事由があったかを広く解釈する可能性があることに留意する必要があります。
上記のとおり、暫定最終規則の適用を判断するためには、複雑かつ専門的な判断が必要となり、自社のサイバーセキュリティに関する製品がEARの規制品目リストに該当するか否か、該当するとして許可例外ACEの適用があるか否かという検討には専門的な観点からの分析・検討が必要になると思われます。暫定最終規則の前文では、暫定最終規則の対象範囲は限定的であることから、その影響は最小限になるだろうと記載されていますが、暫定最終規則の上記内容に鑑みると、暫定最終規則がサイバーセキュリティに関するビジネスを展開している米国内外の企業に与える実務的影響は大きいと思われます。
上記のとおり、暫定最終規則はパブリックコメントを踏まえて、さらに修正がなされる余地がありますので、暫定最終規則の最終案が公表されるまで、引き続きその動向に注視する必要があります。
※2
対内直接投資等に関する命令第三条第四項に基づき財務大臣及び事業所管大臣が定める業種を定める件の一部を改正する告示(令和元年5月 内閣府・総務省・財務省・文部科学省・厚生労働省・農林水産省・経済産業省・国土交通省・環境省 告示第1号)等
※3
Export Control Classification Number(輸出規制品目分類番号)の略。
※4
「不正侵入ソフトウェア」とは、電子計算機又は電気通信回線に対応可能な機器(モバイル機器及びスマートメーターを含みます。)の監視ツールによる検出を回避し、防御手段を無効化するように、特別に設計又は改変されたソフトウェアであって、以下のいずれかの操作を実行するものを意味します。
※5
ECCN 4E001a.及びc.との関係では、脆弱性の開示(vulnerability disclosure)又はサイバーインシデントへの対応(cyber incident response)を目的として、ECCN 4E001a.及びc.に記載の技術を交換する場合は適用がないとされています。
※6
政府機関のほか、政府機関によって運営される研究施設、政府機関のために行動する団体等を含みます。
※7
米国子会社、金融機関、保険会社又は医療機関が含まれます。
※8
ソフトウェアや技術等の、ある情報システムの使用若しくは危殆化又はその他の効果に関する過去又は現在の活動を示す情報システム上で発見される品目を意味します。
※9
(ii)の警察又は司法機関への輸出等の対象がデジタルアーティファクツに限られるかどうか明らかではないとの指摘もなされています。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
若江悠
福原あゆみ
安西統裕
宰田高志
糸川貴視、米田崇人、吉野貴之(共著)
(2024年11月)
松﨑景子
(2024年11月)
三笘裕、高井志穂(共著)
(2024年11月)
長谷川良和
(2024年11月)
松﨑景子
(2024年11月)
三笘裕、高井志穂(共著)
石原和史
(2024年10月)
山本匡
若江悠
福原あゆみ
(2024年12月)
前川陽一
(2024年12月)
前川陽一
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
大久保涼、逵本麻佑子、小山田柚香(共著)
若江悠
(2024年12月)
前川陽一
(2024年12月)
前川陽一
(2024年11月)
福井信雄
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
大久保涼、逵本麻佑子、小山田柚香(共著)
若江悠
(2024年9月)
鹿はせる
德地屋圭治、鄧瓊(共著)
(2024年8月)
川合正倫、万鈞剣(共著)