米商務省、サイバー関連の外国企業4社を輸出管理対象に追加

米国商務省産業安全保障局（BIS）は11月3日、米国の安全保障および国益に反する行為を理由に、サイバー関連の外国企業4社を輸出管理規則（EAR）上のエンティティー・リスト（EL）に掲載すると発表した。正式には4日付の官報で公示する。

ELには、米政府が「米国の国家安全保障または外交政策上の利益に反する行為に携わっている、またはその恐れがある」と判断した団体や個人を掲載し、それらへ米国製品（物品・ソフトウエア・技術）を輸出・再輸出・みなし輸出などを行う場合には、事前許可が必要となる。今回新たに掲載した事業体は、EARの対象となる全ての製品に関して許可審査方針が「原則不許可（presumption of denial）」の扱いとされている。

今回掲載されたのは、イスラエル籍のNSOグループとキャンディル（Candiru）、ロシア籍のポジティブ・テクノロジーズ、シンガポール籍のコンピューター・セキュリティー・イニシアチブ・コンサルタンシーの4社となる。イスラエルの2社については、外国政府向けにスパイウェアを開発・供給し、政府高官やジャーナリスト、企業関係者、活動家、学界関係者、大使館員などを対象に悪用していることを理由としている。ロシアとシンガポールの2社については、情報システムへの許可されていないアクセスを得るために使われるサイバーツールを取引し、世界の個人や機関のプライバシーや安全を脅かしたことを理由とした。またBISは、今回の掲載は、サイバー関連製品（ソフトウエアと技術を含む）を対象として10月21日に厳格化したEARに基づく措置としている（2021年10月22日記事参照）。

ジーナ・レモンド商務長官は「米国は、市民社会、反体制派、政府職員および国内外の各種機関のサイバーセキュリティーを脅かす技術を開発、取引、利用する企業の責任を追及すべく積極的に輸出管理を活用していく」との声明を出している。国務省も声明を発表し、「人権を米国の外交政策の中心に据えるというコミットメントの一環として、バイデン・ハリス政権は抑圧のために利用されるデジタルツールの拡散と乱用を阻止するよう取り組んでいる」と、今回の措置における人権保護の側面を強調した。

ジョー・バイデン大統領は10月をサイバーセキュリティーの向上を意識する月間として、政府機関が総力を挙げて外国からのサイバー攻撃に備えていく決意を表明していた。国務省が10月4日から1カ月間にわたるサイバーセキュリティー・ワークショップ（注）を開催するなど、バイデン政権は最近、サイバー関連の取り組みを強化している。

（注）5月12日の大統領令（2021年5月14日記事参照）に基づき企画されたイベントで、国務省のサイバーセキュリティー、クラウドサービス、通信技術の専門家800人以上が参加し、米国の安全保障や外交に関するデータのサイバー攻撃からの保護について協議を行うもの。

（磯部真一）