米商務省、サイバーセキュリティー関連ソフトなどの輸出管理に関わる最終規則を発表

米国商務省産業安全保障局（BIS）は5月26日、サイバー攻撃に使用される恐れのある米国製品の輸出管理を厳格化する最終規則を官報で公示した。最終規則は即日有効となった。

今回の最終規則は、2021年10月に発表され2022年3月7日に発効した暫定最終規則を修正したものとなる（2021年10月22日記事参照）。同規則では、コンピューターやネットワークに不正侵入する特定のソフトウエアと関連技術を輸出管理規則（EAR）の対象として追加した。一方でサイバー関連輸出にかかる許可例外制度（注1）を設け、テロ支援国家など（注2）を除く国・地域への輸出・再輸出・国内移転（みなし輸出・再輸出を含む）を原則認める仕組みを取っている。

BISは暫定最終規則を発表した際、米産業界などに与える影響についてパブリックコメントを募集していた。BISは今回、パブコメ募集期間に提出された意見に基づいて規則の内容を一部修正し、最終規則として発表した。

主な修正点は、許可例外制度における「政府エンドユーザー」に関わる規則の明確化や変更となる。暫定最終規則では、EARのカントリー・グループでDグループ（D:1、D:2、D:3、D:4、D:5）に指定されている国・地域の政府エンドユーザーに輸出などする場合は原則、許可例外が認められていなかった。最終規則でもこの点に変わりはないが、政府エンドユーザーの定義が曖昧であるという意見に対応し、政府エンドユーザーの定義を満たす主体を具体的にリスト化した。政府が運営する研究機関や、政府が所有する公共事業者（通信サービスプロバイダーなどを含む）や交通サービス事業者など7種類を例示した。

また、Dグループの国・地域の政府エンドユーザーに輸出などをする場合に、許可・例外を認める対象範囲を狭めた。具体的には、Dグループの国・地域のうち、A6にも指定されている国・地域の警察または司法組織に、刑事または民事の捜査または起訴の目的で特定のソフトウエアや技術を輸出などする場合などに限定した。

（注1）EARの740.22条を参照。米国の輸出管理法令の概要・運用などについては、ジェトロ調査レポート「厳格化する米国の輸出管理法令」「続・厳格化する米国の輸出管理法令 留意点と対策」を参照。

（注2）EARのカントリー・グループのEグループ（E:1、E:2）に指定されているキューバおよびイラン、北朝鮮、シリアが該当する。

（甲斐野裕之）