米商務省、輸出管理規則を一部改定、サイバーセキュリティー関連ソフトなどを対象に追加

米国商務省産業安全保障局（BIS）は10月21日、サイバー攻撃に使用される恐れのある米国製品（ソフトウエアと技術を含む）に関連して、米国輸出管理規則（EAR）を厳格化する暫定最終規則を公示した。パブリックコメントを募った後、公示から90日後の2022年1月19日に最終規則として施行する予定だ。

今回の規則では、主にコンピュータやネットワークに不正侵入するソフトウエアと関連技術を規制対象として追加指定した。報道によると、米国では、電力網や通信ネットワークを稼働させるコンピュータシステムに侵入するソフトウエアの埋め込み行為を、中国やロシアなどが長年行ってきたとされる（政治専門誌「ポリティコ」10月20日）。

同ソフトウエアについては、通常兵器などの国際的な輸出管理枠組みであるワッセナー・アレンジメント（WA）で2013年に規制リストに追加され、BISが2015年5月にEAR上の規制案を発表していたが、その規制範囲が広範で、正当な研究開発を妨げると産業界から反発を受けていた。その後、米政府はWAの規制リストの再交渉を行い、サイバー攻撃への対応やソフトウエア更新を目的とした取引を例外扱いにするなどの修正を加えた。

EARで今回指定されたソフトウエアなどを今後、輸出・再輸出・国内移転（みなし輸出・再輸出を含む）する場合、BISの事前許可が必要となる（注1）。一方で、BISは許可例外制度も設け、テロ支援国家など（注2）を除き、大半の国・地域への輸出などを認める。ただし、EARの規制品目リスト（Commerce Control List：CCL）上、国家安全保障上の懸念などがあると指定した国・地域（注3）については、エンドユーザー規制の対象として事前許可が必要となる可能性がある。なお、輸出者が特定の規制品目について、情報（システム）の機密性・完全性・可用性に影響を及ぼす目的で使用されることを認識した上で輸出などした場合、規制に抵触する恐れがある。

BISは、今回の規制範囲は限定的で産業界への影響は「最小限」としている。パブリックコメントは規則の公示から45日間（12月6日まで）受け付け、米連邦政府ポータル（ドケット番号：BIS-2020-0038）で提出が可能だ。

ジーナ・レモンド商務長官は今回の規制に関して「米国はサイバーセキュリティーや人権を脅かす悪意のある行為のために使用される特定技術の拡散を抑えるべく、多国間のパートナーと連携する」との声明を出している。なお、米国の輸出者は、人権侵害への悪用を防ぐ上で、監視能力を持つ製品・サービスの外国政府との取引について、国務省ガイダンスを参照することで、事業上のリスクを軽減するよう推奨されている。

（注1）米国の輸出管理法令の概要・運用などについては、ジェトロ調査レポート「厳格化する米国の輸出管理法令」「続・厳格化する米国の輸出管理法令 留意点と対策」を参照。

（注2）CCLのカントリーグループのEグループ（E:1、E:2）に指定されるキューバとイラン、北朝鮮、シリアが該当する。

（注3）CCLのカントリーグループのDグループ（D:1、D:2、D:3、D:4、D:5）に指定される国・地域について、政府がエンドユーザーとなる場合の輸出は規制対象となる。D:1、D:5の指定国・地域に所在する非政府のエンドユーザーも対象に含まれるが、みなし輸出の場合は対象外。なお、Dグループに指定される国・地域のうち、A6にも指定されるイスラエルやキプロス、台湾への特定の輸出などについては、エンドユーザー規制の対象外となる。

（藪恭兵）