米国輸出管理規則 (EAR)

  • [アーティクル]

EAR について

米国商務省は 、産業安全保障局 (BIS) を通じて輸出管理規則 (EAR) を適用します。 EAR は、商業および軍事目的と特定の防衛アイテムの両方に使用できる「デュアルユース」項目を含む、ほとんどの商用製品、ソフトウェア、および技術の輸出と再輸出に関する制御を広範に管理し、課します。

BIS ガイダンスでは、データまたはソフトウェアがクラウドにアップロードされたとき、またはユーザー ノード間で転送される場合、クラウド プロバイダーではなく顧客が、そのデータまたはソフトウェアへの転送、ストレージ、アクセスが EAR に準拠していることを確認する責任を持つ "エクスポーター" であることを保持します。

BISによると輸出とは、保護された技術または技術データを外国の目的地に移転すること、または米国内の外国人へのその解放(みなし輸出とも呼ばれる)を指す。 EAR は大まかに次を管理します。

  • 米国からエクスポートします。
  • 米国の配信元の項目と、米国の配信元のコンテンツの ミニミス 部分を超える特定の外部配信元アイテムを再エクスポートまたは再送信します。
  • 他の国からの人への移転または開示。

EAR の対象となる項目は、コマース管理リスト (CCL) で確認できます。各項目には一意の エクスポート制御分類番号 (ECCN) が割り当てられます。 CCL に記載されていない項目は EAR99 として指定されており、ほとんどの EAR99 商用製品はライセンスのエクスポートを必要としません。 ただし、アイテムの宛先、エンド ユーザー、またはエンド ユースによっては、EAR99 アイテムであっても BIS エクスポート ライセンスが必要になる場合があります。

2016 年 6 月に公開された 最後の規則では、FIPS 140-2 検証済み暗号化モジュールを使用してエンドツーエンドで暗号化され、軍事禁輸国またはロシア連邦に意図的に格納されていない場合、EAR ライセンス要件は未分類の技術データとソフトウェアの転送とストレージにも適用されないと明らかにしました。

Microsoft と EAR

Microsoft のテクノロジ、製品、およびサービスは、米国輸出管理規則 (EAR) の対象となります。 EAR のコンプライアンス認定はありませんが、Microsoft Azure、Microsoft Azure Government、Microsoft Office 365 Government (GCC High および DoD 環境) は、EAR の対象となる適格な顧客が輸出管理リスクを管理し、コンプライアンス要件を満たすのに役立つ重要な機能とツールを提供します。

EAR を適用する米国商務省は、Microsoft などのクラウド サービス プロバイダーではなく、顧客が自分の顧客データの輸出者と見なされる立場を取っています。 ほとんどの顧客データは、EAR エクスポート制御の対象となる "テクノロジ" や "技術データ" とは見なされませんが、Microsoft のスコープ内クラウド サービスは、顧客が直面する潜在的な輸出管理リスクを管理し、大幅に軽減できるように構成されています。 Microsoft では一般に、対象となるお客様に対して政府機関向けのクラウド サービスを使用することをお勧めします。ただし、排他的ではありません。 適切な計画により、お客様は次のツールと独自の内部手順を使用して、米国の輸出管理に完全に準拠することができます。

  • データの場所に関するコントロール。 お客様は、データの保存場所を可視化し、堅牢なツールにアクセスしてストレージを制限します。 したがって、データが米国に格納され、制御されたテクノロジまたは技術データの米国外への転送を最小限に抑えることができます。 さらに、顧客データは準拠していない場所に格納されません。これは、データが "意図的に保存される" という EAR の禁止事項と一致します。Azure データセンターは、25 のグループ D:5 の国またはロシア連邦のいずれにも存在しません。
  • エンドツーエンドの暗号化。 EAR で指定された物理ストレージの場所に対してエンドツーエンドの暗号化セーフ ハーバーを利用することで、Microsoft のスコープ内クラウド サービスは、エクスポート制御リスクから保護するのに役立つ暗号化機能を提供します。 また、転送中および保存中のデータを暗号化するための幅広いオプションと、暗号化オプションの中から柔軟に選択できるオプションも提供しています。 詳細については、次を参照してください。
  • 承認されていないと見なされるエクスポートを防ぐためのツールとプロトコル。 暗号化の使用は、米国以外の人が暗号化されたデータにアクセスできる場合でも、暗号化されている間にデータを読み取ったり理解したりできない場合は何も明らかにされないため、EAR の下で潜在的なみなしエクスポート (または再エクスポートと見なされる) から保護するのにも役立ちます。したがって、制御されたデータの 'リリース' はありません。

対象となる Microsoft のクラウド プラットフォームとサービス

実装方法

米国の輸出管理の概要と、EAR に基づく義務を評価する顧客向けのガイダンス。

よく寄せられる質問

Microsoft クラウド サービスを使用する場合は、エクスポートコントロールに準拠するために何を行う必要がありますか?

EAR では、Microsoft クラウドなどのクラウド サーバーにデータがアップロードされると、クラウド サービス プロバイダーではなくデータを所有している顧客がエクスポーターと見なされます。 そのため、データの所有者 (つまり、Microsoft のお客様) は、Microsoft クラウドの使用が米国のエクスポートコントロールにどのように影響するかを慎重に評価し、使用または保存するデータのいずれかが EAR コントロールの対象になる可能性があるかどうかを判断し、該当する場合は、どのようなコントロールが適用されるかを判断する必要があります。 Azure および Office 365 クラウド サービスが、米国の輸出管理に対する完全なコンプライアンスを確保するのにどのように役立つかについて説明します。

Microsoft のテクノロジ、製品、サービスは EAR の対象ですか?

ほとんどの Microsoft のテクノロジ、製品、サービスは次のいずれかです。

  • EAR の影響を受けないため、コマースコントロールリストに含まれず、ECCN がありません。
  • または、EAR99 または 5D992 Mass Market は Microsoft による自己分類の対象となり、ライセンス不要 (NLR) としてライセンスなしで禁輸されていない国にエクスポートされる場合があります。

一部の Microsoft 製品には、ライセンスが必要な場合と必要ない ECCN が割り当てられている場合があります。 EAR または法律顧問に問い合わせて、輸出目的で適切なライセンスの種類と適格な国を決定してください。

EAR と国際武器規制 (ITAR) の違いは何ですか?

最も広範なアプリケーションを使用する米国の主要な輸出管理は、米国商務省によって管理される EAR です。 EARは、商用アプリケーションと軍事アプリケーションの両方を持つデュアルユースアイテム、および純粋に商用アプリケーションを持つアイテムに適用できます。

また、米国には、最も機密性の高い項目とテクノロジを管理する、ITAR などの個別のより特殊な輸出管理規制もあります。 米国国務省によって管理されている彼らは、関連する技術データを含む多くの軍事、防衛、および諜報項目(別名「防衛記事」)の輸出、一時的な輸入、再輸出、移転に関する規制を課します。

リソース